맥북 보안 설정 — FileVault부터 방화벽까지 한번에 잡기
맥북과 맥 데스크탑의 핵심 보안 설정 7가지를 정리합니다. FileVault 암호화, 방화벽, 잠금 화면 타이머, Gatekeeper, SIP, 펌웨어 비밀번호, Find My Mac까지.
카페에서 잠깐 자리를 비운 사이 맥북이 사라졌다. 혹은 수리 맡기면서 개인 파일이 기술자 손에 그대로 넘어가는 상황 — 그게 실제로 얼마나 위험한지는 지금 설정 상태에 달려 있다.
맥을 샀다. 전원을 켰다. Apple ID를 넣었다. 끝?
대부분은 여기서 멈춘다. macOS가 “안전하다”는 이야기를 어디선가 들었고, 실제로 윈도우보다 악성코드 문제가 적으니까 — 기본 상태로 쓴다.
문제는, macOS의 핵심 보안 기능 중 상당수가 기본값이 꺼져 있다는 거다. FileVault(디스크 암호화)는 최근 macOS에서 Apple 계정으로 설정하면 자동 활성화되지만, 방화벽은 꺼져 있고, 잠금 화면 타이머는 느슨하고, 잠금 화면에 메시지 미리보기가 뜬다.
맥을 산 지 5분이든 5년이든, 지금 한번 훑어보면 된다. 7가지.
1. FileVault — 디스크 통째로 암호화
FileVault는 맥의 시동 디스크 전체를 XTS-AES-128(128비트 블록, 256비트 키)로 암호화하는 기능이다.
쉽게 말하면: 맥이 꺼진 상태에서 누군가 SSD를 분리해 다른 컴퓨터에 꽂아도, 로그인 비밀번호 없이는 데이터를 읽을 수 없다. 카페에서 맥북을 도난당했을 때, 또는 수사기관이 기기를 압수했을 때 — FileVault가 켜져 있으면 디스크 자체가 암호 덩어리다.
Apple Silicon(M1 이상) 맥은 하드웨어 수준에서 데이터를 자동 암호화하지만, FileVault를 별도로 켜야 로그인 비밀번호 없이 복호화하는 걸 차단한다. 자동 암호화와 FileVault는 다른 레이어다.
켜는 법: 설정 → 개인정보 보호 및 보안 → FileVault → 켜기
켤 때 복구 키 저장 옵션이 나온다. iCloud 계정에 저장하거나, 복구 키를 직접 기록하거나. 보안이 목적이라면 iCloud 저장 없이 복구 키를 직접 보관하는 게 낫다. iCloud에 저장하면 Apple이 법적 요청에 따라 복구 키를 제공할 수 있기 때문이다 — BitLocker에서 Microsoft가 FBI에 복구 키를 넘긴 사례와 같은 구조다.
복구 키를 종이에 적어 금고에 넣든, 비밀번호 관리자에 저장하든 — 본인만 접근 가능한 곳에 두면 된다. 잃어버리면 비밀번호도 까먹었을 때 데이터를 영영 못 꺼낸다. Apple도 못 열어준다.
2. 방화벽 — 기본값이 꺼져 있다
macOS 방화벽은 외부에서 맥으로 들어오는 연결(inbound)을 필터링한다. 기본값이 꺼져 있다. 대부분의 사용자가 모르고 지나간다.
켜는 법: 설정 → 네트워크 → 방화벽 → 켜기
방화벽 옵션에서 스텔스 모드도 켤 수 있다. 스텔스 모드를 켜면 맥이 ping 요청이나 포트 스캔에 응답하지 않는다. 카페나 호텔 같은 공용 Wi-Fi에서 네트워크에 연결된 다른 기기가 내 맥을 “발견”하는 걸 방지한다.
나가는 트래픽(내가 웹사이트에 접속하는 것)은 차단하지 않으니까, 켜놔도 인터넷 사용에 지장이 없다.
🟢 일반 사용자: 방화벽 켜기 + 스텔스 모드는 공용 네트워크를 자주 쓴다면 켜두는 게 좋다. 집에서만 쓴다면 방화벽만 켜도 충분하다.
3. 잠금 화면 — 타이머와 미리보기
맥을 잠그지 않고 자리를 비우면, 그 시간 동안 누구든 접근할 수 있다. 잠금 화면 설정 두 가지가 핵심이다.
비활성 후 잠금 시간: 설정 → 잠금 화면 → 화면 보호기 시작 후 또는 디스플레이가 꺼진 후 암호 요구 → 즉시로 설정한다. 기본값은 “즉시”가 아닐 수 있다. 이걸 “5분 후”로 놔두면, 화면이 꺼진 뒤 5분간은 비밀번호 없이 열 수 있다.
디스플레이 자동 끄기: 설정 → 잠금 화면 → 비활성 상태인 경우 디스플레이 끄기 → 짧게 설정한다. 배터리 사용 시 12분, 전원 어댑터 사용 시 510분이 적당하다.
잠금 화면 정보 노출 차단:
잠겨 있을 때 메시지 보기→ 끄기. 잠금 상태에서 카카오톡, 문자 내용이 화면에 뜨는 걸 막는다.사용자 이름 및 사진 보기→ 끄기.암호 힌트 보기→ 끄기.
핫코너 설정: 설정 → 데스크탑 및 Dock → 핫코너 → 모서리 하나에 “잠금 화면”을 지정한다. 마우스를 화면 구석으로 밀면 즉시 잠긴다. 자리 비울 때 뚜껑 안 닫아도 0.5초면 잠금 가능하다.
🟡 카페/공유 오피스에서 작업하는 사람: 핫코너 + 비밀번호 요구 “즉시” 조합은 필수다. 잠깐 화장실 간 사이에 옆 사람이 화면을 보는 건 영화에서만 나오는 일이 아니다.
4. Gatekeeper — 앱 설치 관문
Gatekeeper는 macOS에서 앱을 실행할 때 “이 앱이 어디서 왔는지” 검증하는 시스템이다.
기본 설정은 App Store 및 확인된 개발자로 되어 있다. Apple이 서명한 앱이거나, Apple에 등록된 개발자가 공증(notarization)을 받은 앱만 실행을 허용한다.
서명되지 않은 앱을 실행하려면 수동 우회가 필요하다. macOS Sequoia(15) 이전에는 Ctrl+클릭 → 열기로 가능했지만, Sequoia부터는 이 방법이 제거됐다. 지금은 설정 → 개인정보 보호 및 보안에서 차단된 앱을 직접 허용해야 한다. 이 수동 우회를 자주 하게 되면 습관이 돼서 무감각해지는데 — 출처를 모르는 .dmg 파일을 받아서 Gatekeeper를 매번 우회하는 건 현관문에 자물쇠 달아놓고 항상 열어두는 거랑 같다.
확인: 설정 → 개인정보 보호 및 보안 → 보안 항목에서 App Store 및 확인된 개발자가 선택돼 있는지 확인한다.
Gatekeeper를 터미널에서 완전히 끄는 명령어(spctl --master-disable)가 인터넷에 돌아다니는데, 이건 하지 마라. Gatekeeper가 꺼지면 macOS가 앱 서명을 아예 확인하지 않는다.
5. SIP — 시스템 무결성 보호
SIP(System Integrity Protection)는 macOS의 핵심 시스템 파일을 관리자 권한(root)으로도 수정하지 못하게 막는 보호 장치다. OS X El Capitan(2015)부터 기본 활성화돼 있다.
/System, /bin, /sbin, /usr 같은 시스템 디렉토리를 읽기 전용으로 잠근다. 악성코드가 관리자 권한을 탈취해도 시스템 파일을 변조할 수 없다.
SIP는 건드리지 않는 게 정답이다. 기본값이 켜져 있고, 끌 이유가 없다.
간혹 특정 프로그램 설치를 위해 “SIP를 끄세요”라고 안내하는 블로그가 있다. 그 프로그램이 시스템 파일을 수정해야 하기 때문인데 — SIP가 막는 데는 이유가 있다. SIP를 끄는 순간, macOS 보안 모델의 근간 하나가 빠진다.
확인 방법: 터미널에서 csrutil status를 입력하면 enabled 또는 disabled가 나온다.
6. 펌웨어 비밀번호 / Apple Silicon 보안
맥을 껐다 켤 때, 복구 모드(Recovery Mode)나 외부 디스크로 부팅하면 macOS를 우회할 수 있다. 펌웨어 비밀번호는 이 경로를 막는 기능이다.
Intel Mac: 복구 모드에서 유틸리티 → 시동 보안 유틸리티에서 펌웨어 비밀번호를 설정할 수 있다. 이걸 설정하면 외부 디스크 부팅이나 복구 모드 진입 시 비밀번호를 요구한다.
Apple Silicon(M1 이상): 펌웨어 비밀번호 기능 자체가 없다. 대신 FileVault를 켜면, 복구 모드(recoveryOS) 진입 시 사용자 인증을 요구한다. Apple Silicon에서는 FileVault가 펌웨어 비밀번호를 대체한다.
결론: Intel Mac이면 펌웨어 비밀번호를 설정하고, Apple Silicon이면 FileVault를 켜면 된다(이미 1번에서 했다).
7. Find My Mac — 도난/분실 대비
설정 → Apple ID → iCloud → 나의 Mac 찾기 → 켜기.
Find My Mac이 켜져 있으면 세 가지가 된다.
- 위치 추적 — 다른 Apple 기기나 icloud.com/find에서 맥의 위치를 확인할 수 있다.
- 원격 잠금 — 분실 모드를 걸면 비밀번호 없이 사용 불가.
- 원격 삭제 — 최악의 경우 데이터를 원격으로 전부 날릴 수 있다.
활성화 잠금(Activation Lock): Find My Mac을 켜면 자동으로 활성화된다. 맥을 초기화해도 Apple ID와 비밀번호 없이는 다시 설정할 수 없다. 도둑이 맥을 훔쳐서 초기화해도 벽돌이 된다.
Apple Silicon이나 T2 칩이 탑재된 Mac에서만 활성화 잠금이 동작한다.
내 상황에 맞게 판단하기
🟢 일반 사용자 — 이것만 해라:
- FileVault 켜기 (복구 키 안전한 곳에 보관)
- 방화벽 켜기
- 잠금 화면 비밀번호 요구 → 즉시
- 잠금 화면 메시지 미리보기 → 끄기
- Find My Mac 켜기
- macOS 소프트웨어 업데이트 — 미루지 마라
이 여섯 개면 일반인 수준에서 충분하다. 5분이면 끝난다.
🟡 민감한 상황 (카페에서 일하는 프리랜서, 회사 기밀 다루는 직원, 이직 준비 중): 위 전부 + 방화벽 스텔스 모드 + 핫코너 잠금 설정 + FileVault 복구 키 iCloud 저장 안 함. 맥 비밀번호를 영문 대소문자 + 숫자 + 특수문자 조합 15자리 이상으로 설정하면 더 좋다.
🔴 OPSEC 필요 (기자, 활동가, 내부고발자): 위 전부 + 차단모드(Lockdown Mode) 켜기 + Touch ID 사용 안 함(강제 지문 인식 방지) + iCloud 동기화 최소화 + 고급 데이터 보호 켜기. 비밀번호를 절대로 Touch ID로 대체하지 마라 — 잠을 자는 동안 손가락을 갖다 대면 열린다.
비밀번호 한 마디
위의 모든 설정이 로그인 비밀번호 위에 쌓인다. FileVault도, 잠금 화면도, 펌웨어 비밀번호도 — 결국 비밀번호가 “1234”면 의미가 없다.
macOS 비밀번호는 영문 대소문자 + 숫자 + 특수문자 조합, 최소 12자리 이상을 권장한다. 15자리 이상이면 더 좋다. Touch ID를 설정해두면 길어도 매번 입력할 일은 없다.
그리고 이 비밀번호를 다른 서비스에 재사용하지 마라. 맥 비밀번호는 FileVault 복호화 키이기도 하다. 유출되면 디스크 암호화가 무너진다.
정리
macOS가 “안전하다”는 건 반은 맞고 반은 틀리다. 아키텍처 자체는 견고하지만, 핵심 기능 중 방화벽, 잠금 타이머, 알림 미리보기 같은 건 사용자가 직접 설정해야 작동한다.
위의 7가지를 한번 훑으면 된다. 전부 해도 10분이 안 걸린다. 그리고 가장 중요한 건 단 하나 — macOS 업데이트를 미루지 않는 것이다. 어떤 보안 설정도 패치 안 된 취약점 앞에서는 무력하다.
자주 묻는 질문
- FileVault를 켜면 맥이 느려지나요?
- Apple Silicon(M1 이상) 맥에서는 체감 차이가 거의 없습니다. 하드웨어 AES 엔진이 암호화/복호화를 전담하기 때문입니다. Intel Mac에서도 SSD 기준으로 성능 저하는 미미합니다.
- FileVault 복구 키를 잃어버리면 데이터를 못 꺼내나요?
- 로그인 비밀번호와 복구 키를 둘 다 잃어버리면 데이터 복구가 불가능합니다. Apple도 복구할 수 없습니다. iCloud에 복구 키를 저장하면 편리하지만, 보안 목적이라면 iCloud 저장 없이 복구 키를 별도로 보관하는 게 낫습니다.
- Apple Silicon 맥에서 펌웨어 비밀번호는 어떻게 설정하나요?
- Apple Silicon(M1 이상) 맥에서는 펌웨어 비밀번호가 존재하지 않습니다. 대신 FileVault를 켜면 복구 모드 진입 시 인증을 요구하므로 동일한 수준의 보호를 받습니다. 펌웨어 비밀번호는 Intel Mac 전용 기능입니다.
- 맥 방화벽을 켜면 인터넷이 안 되거나 느려지나요?
- 나가는 트래픽(outbound)은 방화벽이 차단하지 않으므로 웹 브라우징, 스트리밍, 다운로드에 영향이 없습니다. 들어오는 연결(inbound)만 필터링하기 때문에 일반 사용에서 체감되는 변화는 거의 없습니다.