ova
블로그로 돌아가기
·11분 분량·productdevbook

macOS 네트워크 프라이버시 완벽 가이드

macOS 네트워크 프라이버시에 대한 처음부터 끝까지의 실용 가이드입니다. DNS, 텔레메트리, 앱 권한, 그리고 이를 가시화하는 도구를 다룹니다.

  • Privacy
  • macOS
  • Security
  • Network monitoring

Mac은 첫 커피를 마치기 전에 인터넷과 수백 번 통신합니다. 소프트웨어 업데이트 확인, iCloud 동기화, Spotlight 인덱스 핑, Safari 사전 가져오기, 2021년에 설치한 모든 실행마다 여전히 본부에 전화하는 그 한 앱. macOS의 네트워크 프라이버시는 어둠 속으로 가는 것이 아닙니다 — 무엇이 외부로 나가는지, 왜, 그리고 그것이 편안한지 아는 것에 관한 것입니다. 이 가이드는 처음부터 끝까지 버전입니다. DNS, 텔레메트리, 앱 권한, 그리고 변경이 유지되는지 실제로 검증하게 하는 모니터 대 방화벽 스택.

긴 읽기입니다. 단일 스위치가 없기 때문입니다. macOS의 네트워크 프라이버시는 시스템이며, 부분은 함께만 의미가 있습니다.

macOS의 네트워크 프라이버시가 실제로 다루는 것

밖에서 안으로 네 계층:

  1. DNS — 모든 연결은 이름 조회로 시작합니다. 리졸버를 운영하는 누구든 방문하는 모든 도메인의 로그를 봅니다.
  2. 전송 — TLS는 콘텐츠를 암호화하지만 서버 이름 표시(SNI)와 IP 목적지를 누설합니다. 암호화된 클라이언트 헬로(ECH)가 그 간극의 일부를 닫습니다.
  3. 앱 수준 텔레메트리 — 앱이 분석, 충돌 보고서, 기능 핑을 보냅니다. 일부는 필요하고, 대부분은 선택적입니다.
  4. 시스템 수준 텔레메트리 — Apple 자체의 진단 및 사용 보고서, 더불어 App Store의 옵트인 개인화 광고.

프라이버시 스택은 네 가지 모두를 다룹니다. 어떤 계층이든 건너뛰면 다른 사람이 옳은 일을 할 것이라고 신뢰하고 있는 것입니다.

계층 1: DNS — 암호화하고 누가 보는지 고르세요

기본적으로 macOS는 라우터가 DHCP를 통해 건네주는 어떤 DNS 서버든 사용합니다. 가정용 Wi-Fi에서는 보통 ISP입니다. 카페 네트워크에서는 카페의 라우터를 운영하는 누구든입니다. ISP는 DNS 쿼리 로그를 수익화하는 것으로 알려져 있습니다. 카페는 잘못 구성하는 것으로 알려져 있습니다.

암호화 DNS로 전환

macOS는 구성 프로필을 통해 DNS over HTTPS(DoH)와 DNS over TLS(DoT)를 지원합니다. 고려할 만한 세 리졸버:

  • Cloudflare 1.1.1.1 — 빠름, 공개 무로그 정책, 잘 감사됨. DoH 엔드포인트: https://cloudflare-dns.com/dns-query.
  • Quad9 9.9.9.9 — 스위스 기반 비영리, 알려진 악성 도메인을 기본적으로 차단. DoH 엔드포인트: https://dns.quad9.net/dns-query.
  • NextDNS — 제어할 수 있는(또는 비활성화할 수 있는) 로그가 있는 프로필별 구성 가능 필터링.

가장 깔끔한 설치는 리졸버 사이트의 .mobileconfig 프로필입니다. 다운로드하고, 더블 클릭하고, 시스템 설정 → 일반 → VPN 및 기기 관리 → 프로필에 설치하세요. 새 리졸버를 가져오도록 브라우저를 다시 시작하세요.

작동하는지 https://1.1.1.1/help(Cloudflare용)에서 확인하세요 — DoH/DoT 또는 평문 DNS에 있는지 출력할 것입니다.

폴백 주의

암호화 DNS 엔드포인트가 도달 불가하면, macOS는 시스템 DNS로 폴백할 수 있고, 이는 라우터의 리졸버로 폴백합니다. 일부 VPN 클라이언트도 알려주지 않고 DNS를 재정의합니다. 주기적으로 확인하세요.

계층 2: 전송 — TLS가 숨기는 것과 숨기지 않는 것

TLS 1.3은 모든 HTTPS 요청의 본문을 숨깁니다. 기본적으로 다음을 숨기지 않습니다.

  • 연결한 IP 주소 — 링크를 지켜보는 누구든 1.2.3.4:443을 봅니다.
  • SNI의 호스트 이름 — TLS 핸드셰이크의 암호화되지 않은 부분이 통신하는 서버를 명명합니다.
  • 타이밍 패턴 — 얼마나 오래, 얼마나 자주, 얼마나 큰지.

암호화된 클라이언트 헬로(ECH)는 클라이언트와 서버 둘 다 지원할 때 SNI를 암호화합니다. Cloudflare가 앞에 있는 사이트는 이미 그렇게 합니다. 대부분의 다른 것은 아직 그렇지 않습니다. macOS의 Safari와 Chrome은 서버가 협력할 때 ECH를 지원합니다.

실용적 결론: TLS는 콘텐츠에 훌륭합니다. 메타데이터는 여전히 누설됩니다. IP를 가리는 유일한 방법은 VPN 또는 Tor입니다 — 그리고 그것들은 신뢰를 출구를 운영하는 누구든에게 옮깁니다. 신뢰하기 편안한 누군가를 고르세요.

계층 3: 앱 수준 텔레메트리 — 찾고, 결정하세요

대부분의 앱이 분석을 보냅니다. 일부는 끌 수 있게 합니다. 정직한 워크플로는 다음과 같습니다.

  1. 무엇이 연결되는지 보세요. 네트워크 모니터는 어떤 앱이 활성이고 얼마나 보내는지 보여줍니다. ova는 메뉴 바에 자리 잡고, 약 1Hz로 샘플링하고, 앱별 속도와 기록을 보여줍니다.
  2. 호스트 이름 교차 참조. Little Snitch(또는 LuLu, 또는 Radio Silence)는 연결당 목적지 도메인을 보여줍니다. 모니터는 "X가 통신하고 있다"고 알려주고, 방화벽급 도구는 "X가 telemetry.example.com과 통신하고 있다"고 알려줍니다.
  3. 가능한 곳에서 끄세요. 대부분의 앱은 환경설정에 "사용 데이터 공유" 또는 "충돌 보고서 보내기" 옵션이 있습니다. 끄는 것이 거의 어떤 것도 깨뜨리지 않습니다.
  4. 토글이 작동했는지 검증하세요. 이것이 사람들이 건너뛰는 단계입니다. 끄고, 앱을 다시 시작하고, 외부 트래픽을 지켜보세요. 여전히 보인다면 진짜 신호가 있는 것입니다.
프라이버시 설정이 실제로 작동하는지 검증
대부분의 "텔레메트리 비활성화" 토글은 정직합니다. 일부는 연극입니다. ova 같은 모니터는 다시 시작 후 앱별 속도를 지켜봄으로써 1분 안에 차이를 확인하게 합니다.

확인할 만한 흔한 위반자

  • Microsoft Office — 기본적으로 진단 데이터를 보냅니다. Word → 환경설정 → 개인정보 보호에서 비활성화하세요.
  • Adobe Creative Cloud — 백그라운드에서 Core Sync, CCXProcess와 친구들을 실행합니다. 대부분은 선택적입니다. Cloud 에이전트 자체는 Creative Cloud 앱을 사용한다면 그렇지 않습니다.
  • Spotify — 분석 이벤트. 제한된 토글이지만 데이터 양이 작습니다.
  • Slack — 설계상 무거움(웹소켓, 프레즌스). 텔레메트리가 아니라 그저 작동하는 방식입니다.
  • Mac App Store의 무작위 유틸리티 앱 — 놀랄 만큼 수다스럽습니다. 모니터는 설치된 채 둘 가치가 없는 것을 발견하는 데 도움이 됩니다.

계층 4: 시스템 수준 — Apple과 OS 자체

Apple은 대부분보다 프라이버시 보호적이지만, macOS는 여전히 일부 데이터를 보내는 것을 기본으로 합니다. 확인할 세 곳:

시스템 설정 → 개인정보 보호 및 보안 → 분석 및 개선

  • Mac 분석 공유 — 대부분의 사용자에게 기본 꺼짐. 검증하세요.
  • Siri 및 받아쓰기 개선 — Siri를 잃지 않고 끌 수 있습니다.
  • 앱 개발자와 공유 — 충돌 데이터(익명화)를 서드파티 개발자에게 보냅니다.

시스템 설정 → 개인정보 보호 및 보안 → Apple 광고

  • 개인화 광고 — 끄세요. App Store 광고는 여전히 나타나지만 표적화되지 않습니다.

시스템 설정 → 개인정보 보호 및 보안 → 위치 서비스 → 시스템 서비스

여기 많은 시스템 서비스가 있습니다. 대부분 괜찮습니다. 면밀히 살펴볼 만한 것:

  • 중요한 위치 — 보이고 삭제 가능.
  • iPhone 분석 폰이 짝지어진 경우.
  • 라우팅 및 트래픽 — 트래픽 데이터를 위해 익명화된 위치를 보냅니다.

네트워크 관련 토글

  • 시스템 설정 → Wi-Fi → 세부사항 → IP 주소 추적 제한 — 지원되는 네트워크에서 iCloud Private Relay 스타일 기술을 사용합니다.
  • iCloud Private Relay(iCloud+ 구독의 Mac 부분) — Safari와 일부 시스템 트래픽을 두 릴레이를 통해 프록시하여 사이트로부터 IP를 숨기고 Apple로부터 DNS를 숨깁니다.

모니터 대 방화벽 스택

이것이 대부분의 프라이버시 가이드가 혼란스러워하는 곳입니다. 둘 다 필요하며, 다른 일을 합니다.

모니터

커널 카운터를 읽고, 무엇이 일어나고 있는지 보여줍니다. 차단하지 않고, 프롬프트하지 않고, 방해하지 않습니다. ova는 이 범주에 있습니다 — 약 3MB, 커널 확장 없음, 네트워크 필터 없음, 설치 후 권한 프롬프트 없음. 읽기 전용입니다.

방화벽

연결을 검사하고, 규칙을 적용하고, 차단하거나 허용합니다. Little Snitch는 정형적인 Mac 방화벽입니다. LuLu는 무료 옵션입니다. macOS 애플리케이션 방화벽(내장)은 들어오는 것만 처리하지 나가는 것은 처리하지 않으므로, 같은 범주가 아닙니다.

둘 다 원하는 이유

방화벽이 정책을 시행합니다. 모니터가 그것을 검증합니다. Little Snitch에 "Adobe가 *.adobe.io에 연락하지 못하게 차단"이라고 말할 때, 규칙이 발화한다고 신뢰합니다. 모니터가 확인합니다 — 차단을 설정하고 앱별 트래픽이 0으로 떨어지면 차단이 작동한 것입니다. 그렇지 않다면 잘못 구성된 규칙이 있는 것입니다.

나란히 실행하세요. CPU와 메모리의 결합 비용은 한 Chrome 탭에 비해 무시할 만합니다.

프라이버시 스택에 조용한 모니터 추가

ova는 커널 카운터를 읽고 앱별 대역폭을 보여줍니다 — 로컬, 텔레메트리 없음, 약 3MB.

macOS용 다운로드

앱 권한: 대부분의 사람이 잊는 프라이버시 계층

네트워크 프라이버시는 바이트에만 관한 것이 아닙니다. macOS는 앱당 긴 권한 목록을 게이트합니다. 위치, 연락처, 캘린더, 미리알림, 사진, 카메라, 마이크, 화면 녹화, 입력 모니터링, 전체 디스크 접근, 파일 및 폴더, 손쉬운 사용, 자동화, Bluetooth, 로컬 네트워크.

그중 두 가지가 직접적인 네트워크 프라이버시 함의가 있습니다.

  • 로컬 네트워크 — 부여되면 앱이 LAN을 스캔하고 다른 기기를 발견할 수 있습니다. AirPlay 수신기와 프린터 앱에 유용합니다. 대부분의 다른 것에는 의심스럽습니다.
  • Bluetooth — 부여되면 앱이 가까운 기기와 통신할 수 있는데, 이는 때때로 근접성 추적을 의미합니다.

연 1회 시스템 설정 → 개인정보 보호 및 보안을 감사하세요. 더 이상 인식하지 못하는 앱의 권한을 취소하세요. OS는 다음번 앱이 실제로 접근이 필요할 때 다시 프롬프트할 것입니다.

실용적인 30분 감사

30분을 비워 두세요. 커피. 회의 없음.

  1. .mobileconfig 프로필을 통해 DNS를 Cloudflare 1.1.1.1 또는 Quad9로 전환합니다. https://1.1.1.1/help로 검증합니다.
  2. 시스템 설정에서 개인정보 보호 및 보안을 감사합니다. 분석 공유를 비활성화합니다. 위치 서비스 → 시스템 서비스를 검토합니다. 필요하지 않은 앱의 로컬 네트워크를 취소합니다.
  3. ova와 방화벽(Little Snitch 시험판 또는 LuLu)을 설치합니다. 한 시간 동안 정상적으로 일하면서 그것들이 실행되게 둡니다.
  4. 앱별 목록을 검토합니다. 놀라게 하는 통신하는 어떤 것이든 찾아보세요. 일부 앱은 유지하고, 일부는 제거하고, 일부는 방화벽 규칙을 통해 음소거합니다.
  5. 기준선을 문서화합니다. 조용한 순간 동안 앱별 목록의 스크린샷을 찍습니다. 다음 달 비교합니다.

이는 30분 설정입니다. 반복하지 않을 것입니다. 월간 점검은 5분입니다.

흔한 신화

"VPN = 프라이버시"

VPN은 신뢰를 ISP에서 VPN 제공자로 옮깁니다. VPN이 로그하고 ISP가 그렇지 않다면, 더 나쁩니다. 감사된 무로그 주장이 있는 제공자를 고르세요.

"시크릿 모드가 나를 숨긴다"

브라우저의 시크릿 모드는 로컬 기록을 막습니다. 네트워크는 같은 DNS 쿼리와 연결을 봅니다.

"Apple은 어떤 것도 보지 않는다"

Apple은 동의한 것(분석, Siri 샘플, 종단 간 암호화되지 않은 경우 iCloud 콘텐츠)에 더해 일부 시스템 수준 지문(기기 확인, MDM 비콘, 푸시 알림)을 봅니다. 대부분의 회사보다 적지만, 0이 아닙니다.

프라이버시를 위해 신뢰하는 도구에 "100% 로컬"이 의미하는 것

프라이버시를 위해 설치하는 모든 도구는 그 자체로 비공개여야 합니다. 구체적으로:

  • 계정 없음 — 프라이버시 도구를 사용하기 위해 로그인할 필요가 없어야 합니다.
  • 클라우드 동기화 없음 — 데이터는 그들의 디스크가 아니라 본인의 디스크에 살고 있습니다.
  • 텔레메트리 없음 — 본부에 전화하는 프라이버시 앱은 그 자체로 모순입니다.
  • 서명 및 공증 — Apple의 개발자 프로세스는 실제 신호입니다. 개인적으로 소스를 읽지 않았다면 서명되지 않은 바이너리를 건너뛰세요.

ova는 네 가지 모두를 충족합니다. 대역폭 기록은 디스크에 있고, 앱은 원격 대시보드가 없으며, 계정 흐름이 전혀 없습니다.

마무리

macOS의 네트워크 프라이버시는 네 계층입니다 — DNS, 전송, 앱 텔레메트리, 시스템 텔레메트리 — 그것들을 정직하게 유지하는 감사 습관에 더해. DNS를 암호화하고, 권한을 정리하고, 방화벽 옆에 모니터를 실행하고, 매월 다시 확인하세요. 부분 중 어느 것도 어렵지 않습니다. 비결은 한꺼번에 모두를 가지는 것입니다. 계층을 건너뛰는 것이 다른 것을 덜 유용하게 만들기 때문입니다.

이번 주에 30분을 보내세요. 대부분의 사람들은 유휴 상태라고 생각하던 동안 Mac이 무엇을 하고 있었는지에 조용히 놀랍니다.