MacOS 15.4.1 업데이트 후 서명 없는 앱은 실행불가.
페이지 정보
작성자
휘수
휘수
작성일
2025.04.28 18:43
본문
15.4.1 부터는 서명이 없는 앱은 어떤 식으로 실행하던 바로 강제 종료 시켜버리네요.
보안타령하면서 사용자 제약해서 결국 앱스토어에서 받은 앱만 사용가능하게 하려는 프로젝트는 차곡차곡 진행중이네요.
sip도 gatekeeper 도 다 사용 안해도 이제 서명 안 된 앱은 실행할 방법이 없는 건가요.
맥은 이제 PC가 아니라 임베디드 디바이스라고 불러야 할 듯 하네요.
보안 때문이라면 최소한 유저가 선택할 수 있게는 해줘야지 답답하네요.
사파리 익스텐션도 사파리 켤때마다 allow unsigned extensions를 체크하고 다시 활성화 해줘야 하네요.
이러는 이유는 보안이 아니라 단 하나 때문이죠. $$
핵심은 보안이 아니라 수수료와 유료 개발자가 아니면 앱 작성 불가죠.
환경 타령하면서 충전기 빼는거나 마찬가지에요.
1명
추천인 목록보기
댓글 9
/ 1 페이지
휘수님의 댓글의 댓글
작성일
04.28 22:40
@예지님에게 답글
확인 감사합니다. 그 앱들은 애플에 등록된 개발자 서명이 아닐까요? 15.4.1 m3에서도 안 되고 m4에서도 안 되네요. 15.4까지 잘 실행 됐었는데 격리 리스트에도 없고 서명없이 쓰던 실행 안되는 앱이 몇 개 되네요.
유료 개발자 등록하는 방법밖에 없나보네요.
-67050 invalid code signature라는데 답답하네요.
내부적으로 차단된건지 선택권을 줬으면 좋겠네요.
일년에 15만원씩 내야하나 보네요… 하...
유료 개발자 등록하는 방법밖에 없나보네요.
-67050 invalid code signature라는데 답답하네요.
내부적으로 차단된건지 선택권을 줬으면 좋겠네요.
일년에 15만원씩 내야하나 보네요… 하...
예지님의 댓글의 댓글
작성일
04.28 22:46
@휘수님에게 답글
전 앱스토어 설치보다 앱스토어 외 사이트에서 직접 다운로드 하거나 홈브루로 설치한 앱이 많은데 대부분 애플 인증서로 인증 되어있고, 저 두 앱은 애플 인증서로 인증 안 되어 있는 앱이에요. 홈페이지에도 애플 인증 안 받았다고 적혀있고 터미널로도 인증 여부 확인해봤습니다.
앱스토어에서 제공하지 않는 Realm Studio 를 비롯해 대부분 앱은 터미널로 codesign 명령어 날리면
Authority=Developer ID Application: Realm ApS (QX5CR2FTN2)
Authority=Developer ID Certification Authority
Authority=Apple Root CA
이런식으로 인증 정보가 나오는데 저 두 앱은 인증 정보가 나오지 않아요.
앱이 150개 넘게 설치되어 있는데요, 대부분 앱스토어 외 터미널이나 사이트에서 dmg, pkg 받아서 설치한 앱들인데 대충 인증 안 받았을 법한 앱 20개 정도 확인해본 결과 제 경우는 저 두 앱만 인증 안 된 앱이고 나머지는 다 애플 인증 되어 있어요. 그리고 저 두 앱도 FileBot 은 15.4.1 이후 최초 설치한 앱이고 MakeMKV 앱은 기존에 사용하던 앱인데 버전 업데이트 되어서 오늘 새 버전으로 다시 설치했습니다.
앱스토어에서 제공하지 않는 Realm Studio 를 비롯해 대부분 앱은 터미널로 codesign 명령어 날리면
Authority=Developer ID Application: Realm ApS (QX5CR2FTN2)
Authority=Developer ID Certification Authority
Authority=Apple Root CA
이런식으로 인증 정보가 나오는데 저 두 앱은 인증 정보가 나오지 않아요.
앱이 150개 넘게 설치되어 있는데요, 대부분 앱스토어 외 터미널이나 사이트에서 dmg, pkg 받아서 설치한 앱들인데 대충 인증 안 받았을 법한 앱 20개 정도 확인해본 결과 제 경우는 저 두 앱만 인증 안 된 앱이고 나머지는 다 애플 인증 되어 있어요. 그리고 저 두 앱도 FileBot 은 15.4.1 이후 최초 설치한 앱이고 MakeMKV 앱은 기존에 사용하던 앱인데 버전 업데이트 되어서 오늘 새 버전으로 다시 설치했습니다.
휘수님의 댓글의 댓글
작성일
04.28 23:13
@예지님에게 답글
그렇군요. 답답하네요. -67050 invalid code signature 는 뭘까요…
어쨌던 다른 두대의 맥에서 모두 15.4에서는 되는데 15.4.1에서는 안 되는거 보면… 뭔가 보안이 강화된것은 맞는것 같습니다. codesign 문제가 아니라면 -67050는 왜 뜨는 걸까요…
갈수록 보안 이슈 해결하기가 벅차지는 군요.
15버전에서 /tmp 보안이 강화되서 꼬박 하루를 삽질했었는데. 정보 찾기도 쉽지않고 정말 피곤하네요.
어쨌던 다른 두대의 맥에서 모두 15.4에서는 되는데 15.4.1에서는 안 되는거 보면… 뭔가 보안이 강화된것은 맞는것 같습니다. codesign 문제가 아니라면 -67050는 왜 뜨는 걸까요…
갈수록 보안 이슈 해결하기가 벅차지는 군요.
15버전에서 /tmp 보안이 강화되서 꼬박 하루를 삽질했었는데. 정보 찾기도 쉽지않고 정말 피곤하네요.
예지님의 댓글의 댓글
작성일
04.29 00:32
@휘수님에게 답글
제가 알기로 게이트키퍼는 귀찮아서 해제하려는게 아니면 굳이 해제할 필요가 없구요... 새로 설치할 때 설정에서 직접 관리자가 허용해주면 되기 때문에... 무분별한 설치 보다는 관리자가 확인하고 허용해주는게 낫다고 생각해서 해제 안 하고 직접 허용해주고 있습니다.
SIP 는 시스템 파일이나 경로 변경까지 시키는 앱이 뭐가 있는지 모르겠습니다. 정말 특수한 경우가 아니면 해제할 필요 없지 않나 싶습니다. 애초에 앱들도 해킹 목적이 아니고서야 설치를 위해 굳이 SIP 해제를 요구할만한 뭔가를 하진 않을테니까요... 전 아직까지 한 번도 해제해본적 없는 것 같습니다.
해당 코드로 검색 해봤는데
- 어떤 포스팅에 67050 에러가 지속시, 하드웨어 결함을 의심해볼 수 있으니 점검할 것
- 깃허브에...... kext가 더이상 로드되지 않음...... -67050
- 애플 개발자 포럼에...... kext 서명 결과 -67050 유효하지 않은 서명
뭐 이런 것들 나오는걸 보면 하드웨어 점검이 필요하거나 설치한 앱이 단순히 애플 인증서로 인증 하지 않은 앱 수준이 아니라 커널 확장 파일까지 필요로 하는 앱인 것 같습니다.
kext까지 건드리는건 주로
- 해킨토시에서 애플이 지원하지 않는 하드웨어를 강제로 지원하기 위해 kext 주입
- 리얼맥인데 구형 맥에서 최신 OS를 구동하기 위해 OpenCore나 Clover로 부트로더부터 교체해서 kext 주입
인데 간혹 가다 이런게 아닌데도 앱이 kext 까지 요구하는 경우가 정말 간~~~~~~~~~~혹가다 있긴 있더라구요. 예를 들어 소니 카메라 업데이트라던가 하는 것들;;; 도대체 소니 카메라 업데이트 하는데 왜 kext 까지 필요한건진 모르겠지만요.
즉....... 보안 레벨을 최고로 낮춰야 작동하는건 '커널 확장 파일'설치까지 필요한 경우일 것 같은데요... 이게 SIP랑 다른 것으로 알고 있습니다. 부트로더 교체 같은 비정상적인걸 제외하면 SSU 보안 정책 변경이 가장 강력한 보안 해제로 알고 있어요.
복구 모드에서 시동 보안 유틸리티 보안 정책 낮춰보세요. (여기서 보안 정책 변경하기 참고 : https://support.apple.com/ko-kr/guide/mac-help/mchl82829c17/15.0/mac/15.0#mchl9b13cbdc)
SIP 는 시스템 파일이나 경로 변경까지 시키는 앱이 뭐가 있는지 모르겠습니다. 정말 특수한 경우가 아니면 해제할 필요 없지 않나 싶습니다. 애초에 앱들도 해킹 목적이 아니고서야 설치를 위해 굳이 SIP 해제를 요구할만한 뭔가를 하진 않을테니까요... 전 아직까지 한 번도 해제해본적 없는 것 같습니다.
해당 코드로 검색 해봤는데
- 어떤 포스팅에 67050 에러가 지속시, 하드웨어 결함을 의심해볼 수 있으니 점검할 것
- 깃허브에...... kext가 더이상 로드되지 않음...... -67050
- 애플 개발자 포럼에...... kext 서명 결과 -67050 유효하지 않은 서명
뭐 이런 것들 나오는걸 보면 하드웨어 점검이 필요하거나 설치한 앱이 단순히 애플 인증서로 인증 하지 않은 앱 수준이 아니라 커널 확장 파일까지 필요로 하는 앱인 것 같습니다.
kext까지 건드리는건 주로
- 해킨토시에서 애플이 지원하지 않는 하드웨어를 강제로 지원하기 위해 kext 주입
- 리얼맥인데 구형 맥에서 최신 OS를 구동하기 위해 OpenCore나 Clover로 부트로더부터 교체해서 kext 주입
인데 간혹 가다 이런게 아닌데도 앱이 kext 까지 요구하는 경우가 정말 간~~~~~~~~~~혹가다 있긴 있더라구요. 예를 들어 소니 카메라 업데이트라던가 하는 것들;;; 도대체 소니 카메라 업데이트 하는데 왜 kext 까지 필요한건진 모르겠지만요.
즉....... 보안 레벨을 최고로 낮춰야 작동하는건 '커널 확장 파일'설치까지 필요한 경우일 것 같은데요... 이게 SIP랑 다른 것으로 알고 있습니다. 부트로더 교체 같은 비정상적인걸 제외하면 SSU 보안 정책 변경이 가장 강력한 보안 해제로 알고 있어요.
복구 모드에서 시동 보안 유틸리티 보안 정책 낮춰보세요. (여기서 보안 정책 변경하기 참고 : https://support.apple.com/ko-kr/guide/mac-help/mchl82829c17/15.0/mac/15.0#mchl9b13cbdc)
휘수님의 댓글의 댓글
작성일
04.29 01:01
@예지님에게 답글
써드파티 하드웨어도 많고 꼭 필요한 kext들도 있기때문에 sip는 disable하지 않고는 사용할 수가 없습니다.
kext가 아니라 앱에 invalid code signature 에러가 나고 있어요.
질문은 아니고 그냥 한탄이었어요. 이런 정도로 해결될 부분은 아니고… 격리리스트에도 없고 codesign으로 날려도 안되는거 보면 15.4.1에서 뭔가 또 추가 된거 같습니다.
다른 얘기지만 애플이 결국은 kext도 차단하겠다던데 kext없이 해결하려면 레이턴시가 증가할 거 같아서 그것 또한 우울합니다.
kext가 아니라 앱에 invalid code signature 에러가 나고 있어요.
질문은 아니고 그냥 한탄이었어요. 이런 정도로 해결될 부분은 아니고… 격리리스트에도 없고 codesign으로 날려도 안되는거 보면 15.4.1에서 뭔가 또 추가 된거 같습니다.
다른 얘기지만 애플이 결국은 kext도 차단하겠다던데 kext없이 해결하려면 레이턴시가 증가할 거 같아서 그것 또한 우울합니다.
예지님의 댓글의 댓글
작성일
04.29 01:12
@예지님에게 답글
@휘수 ㅠㅠ 뭔가 하드웨어 쪽으로 건드리는게 많은가보네요. 제가 설치한 앱들은 애플 인증 없이도 문제가 없는데 보안상으로도 많이 민감한 앱인가봅니다.
예지님의 댓글