아이폰13 액정 자가수리 - aipon13 aegjeong jagasuli

모바일

Evan Schuman | Computerworld

2021.09.30

수리할 권리(right-to-repair)는 기업 IT팀에 매우 민감한 이슈다. 대규모 IT 운영팀을 두거나 서드파티 수리 업체와 지원 계약을 맺든 상관없이, 기업이 어떤 제품을 수리하기 위해 독점적으로 특정 업체를 이용해야 한다는 것은 받아들이기 힘든 제약이다. 이는 애플에 대한 것이다. 애플의 제품 수리 정책 역사를 보면 '혐오스럽다'는 표현이 절대 과하지 않다.

애플이 자사의 제품 수리 관련 사업을 보호하기 위해 얼마나 사악하게 노력해 왔는지에 대해서는 이미 널리 알려져 있다. 최근 맥루머스의 새 보도 역시 이러한 필자의 기대(?)를 저버리지 않았다. 맥루머스 사이트를 보면 현재 벌어지고 있는 사태에 대해 상세히 설명한 폰 리페어 구루(Phone Repair Guru)의 유튜브 영상을 볼 수 있다.

아이폰 13에 적용한 애플의 새로운 수법에서 가장 인상적인 것은 놀라울 만큼 정교하다는 것이다. 새 아이폰 13 모델의 액정 부품에 오리지널임을 식별하는 암호를 새겨넣었다. 따라서 액정을 교체하면, 심지어 애플로부터 정식으로 구매한 인증 부품을 사용한다고 해도 페이스 ID가 제대로 작동하지 않는다. 맥루머스의 보도를 일부 인용하면 다음과 같다.

"아이폰 13을 구매한 사람이 애플의 '인디펜던트 리페어 프로그램(Independent Repair Program)'의 인증 혹은 가맹을 받지 않은 서드파티 수리점이나 부품 업체에서 액정을 교체하면 아이폰의 페이스 ID를 더는 사용할 수 없다. 액정 부품 자체는 페이스 ID를 구동하는 데 필요한 어떤 하드웨어도 없는 것처럼 보이는 데도 이런 상태가 된다"

맥루머스의 실제 테스트 결과 상황은 예상보다 심각했다. 전문가가 아이폰 13 2대를 놓고 액정 부품 2개를 서로 교체해 봤는데, 새 액정을 설치한 후 두 아이폰 13 모두에서 페이스 ID가 작동하지 않았다. 기존 액정을 다시 원래 아이폰 13에 설치하자 페이스 ID가 제대로 작동했다.

필자가 가장 이해할 수 없었던 부분은 애플 인증 방식의 핵심 요소인 페이스 ID가 작동을 멈춰 버린 것이다. 애플이 인증했거나 애플로부터 직접 구매한 정품 액정으로 교체했으므로 사실상 같은 부품인데, 도대체 아이폰은 액정 부품이 바뀐 것을 어떻게 인식할 수 있었을까.

추정해보면 액정 부품 자체에 본래 휴대폰에서만 작동하도록 하는 정보가 내장된 것으로 보인다. 하지만 애플 인증 업체에서는 이런 문제 없이 액정 부품을 교체할 수 있다는 점을 고려하면 뭔가 더 비밀스러운 수법이 숨어 있는 것으로 보인다. 인증된 수리기사가 액정 부품을 교체하는 과정에서 휴대폰에 일정한 숫자를 입력하는 방식일 수도 있다.

현재 전 세계적으로 '수리할 권리'를 보장하는 법안이 속속 만들어지고 있다. 결국 애플은 이러한 방식을 폐기하거나 설치 과정에서 입력해야 하는 숫자를 공개해야 할 수 있다. 필자는 이런 상황에 몰린다면 애플이 결국 별도의 숫자를 입력하는 절차를 결국 없앨 것으로 본다. 애플이 지금처럼 사용자를 괴롭힐 방법을 찾는 대신 아이폰의 기능과 사용성, 보안을 개선하는 데 더 집중한다면 실제로 더 많은 수익을 올릴 수 있을 텐데 안타깝다.

일부에서는 이런 해석을 내놓기도 한다. 애플은 안드로이드 대비 사상 최고의 시장 점유율을 갱신하고 있고 (이것이 사실이라는 전제하에) 이제는 새로운 기능을 추가하는 것으로는 판매를 크게 늘릴 수 없다. 따라서 수리 사업의 매출을 유지하는 데 더 노력을 기울이는 것이 수익을 늘리는 데 더 합리적이라는 해석이다.

이쯤 되면 필자는 구글의 '악마가 되지 말자'는 구호가 떠오른다. 물론 지금의 애플엔 '악마가 되자'는 문장이 훨씬 더 어울린다.

Tags 부품수리 수리할권리 아이폰13 페이스ID

내부 감사로 IT 리스크 관리를 지원하는 방법

ⓒ Getty Images Bank 오늘날 기업이 직면하는 사이버 보안 위협과 IT 위험은 예전과 비할 바 없이 높다. 악의적인 웹사이트와 이메일 차단 같은 기존 컴퓨팅 보안 영역 이외에도, 클라우드 네트워크 보안, 특히 재택 근무자의 증가로 야기되는 문제까지 해결해야 한다. 그러나 보안을 강화하기 위해 모두가 IT 전문가가 될 필요는 없다. 내부 감사 부서는 기업의 데이터 보안과 관련된 리스크 관리 영역을 개선하는 데 주도적인 역할을 할 수 있다. 재무 위험과 규정 준수 위험 등의 다른 영역에서처럼, 내부 감사 부서는 IT나 사이버 보안 위험과 관련해서도 기업에 확신을 제공할 수 있다. IT 부서와 정보보호 최고책임자(CISO)는 적절한 네트워크 액세스 정책과 전략을 지속적으로 추진한다. 동시에 내부 감사 부서는 IT 감사를 수행하여 적절한 절차와 규칙이 잘 지켜지고 있는지를 확인할 것이다. 또한, 내부 감사자는 다른 사업부와 협력해 모든 부서가 적절한 내부 통제 기준을 마련하고 이해관계자가 어디에 가장 중요한 리스크가 존재하는지 파악할 수 있다. 또한 내부 감사 활동과 지속적인 리스크 평가를 실시하면, 기업이 진화하는 사이버 보안 위협의 특징을 이해하는 데도 도움을 줄 것이다. IT 감사 실시 포괄적인 IT 감사를 수행하는 것도 IT 리스크 관리를 지원하는 한 방법이다. 감사 리스크 평가의 방식은 여러 가지지만, 감사 계획에 반드시 포함되어야 하는 영역은 다음과 같다. IT 부서가 보안 업데이트와 디바이스 권한을 추적할 수 있도록 IT 자산 인벤토리 구축 네트워크 인프라에 대한 액세스 및 디바이스 사용과 관련해 재택 근무 정책 검토 IT 부서 및 기타 부서들과 보안 침해 공지 방법 등의 보안 인시던트 대응 절차 조율 침투 테스트 같은 보안 사례의 결과 검토 사이버 보안 위협 보고 이해관계자에게 사이버 보안 위협을 보고하는 것 역시 감사 부서가 IT 리스크 관리를 지원하는 방법이다. 여기에는 임원과 이사회 구성원은 물론, 기업의 리스크 관리와 법무 등 다른 부서와의 조율도 포함된다. 내부 감사인 협회(Chartered Institute of Internal Auditors, CIIA)는 "리스크 관리에 대한 지식을 통해, 내부 감사자가 자문위원으로서 기업의 실무 개선 과정에서 촉매제 역할을 할 수 있다”라고 말한다. 규정 준수 소프트웨어, 리스크 관리 소프트웨어 같은 다른 시스템과 통합할 수 있는 내부 감사 소프트웨어를 사용해 통제 테스트를 수행하면, 감사 부서는 잠재적 리스크를 더욱 완전하게 파악할 수 있다. 더 나아가 데이터 시각화 등 강력한 내부 감사 기술을 활용하면 쉽게 이해하기 쉬운 보고서를 생성할 수 있어 이해관계자가 보안 리스크와 관련된 위협에 효과적으로 대응할 수 있다. 지속적인 IT 리스크 평가의 필요성 사이버 보안 위협에 대한 IT 감사와 보고를 수행하는 것도 리스크 관리 프로세스 구축에 도움이 된다. 그러나 내부 감사자가 사이버 보안 위험보다 한 발 먼저 앞서 가려면, 더욱 지속적으로 IT 리스크 평가를 수행하는 방법을 고려하자. 즉, 리스크 평가를 연례 내부 감사의 일부로만 실시하는 것이 아니라, 적절한 내부 감사 소프트웨어를 사용하여 더 자주 동적 감사 프로세스를 수행하는 것이다. 강력한 데이터 통합과 자동화 기능을 통해, 팀메이트+(TeamMate+)는 내부 감사부서가 더욱 지속적으로 통제 테스트를 수행하고, 필요에 따라 보고서를 쉽게 생성할 수 있도록 지원한다. 빠르게 진화하는 최신 사이버 보안 위협과 규정 준수 요구 사항, 기타 관련 영역을 연례적 검토보다 더 지속적으로 파악할 수 있다. 무료 데모 신청하기 지난 20여 년 동안 감사 부문의 혁신을 주도한 팀메이트+ 데모를 신청하고, 더욱 꾸준하게 또 효과적으로 IT 리스크를 관리하는 방법을 알아 보자.

Wolters Kluwer

내부 감사가 작동하면 사이버 사기 위험도 줄어든다

ⓒ Getty Images Bank 사이버 사기 공격 위험이 점차 증가하는 현대 환경에서 내부 감사자는 어떤 조치를 취할 수 있을까? IT 부서라면 이미 사이버 사기를 겨냥한 내부 통제와 탐지 툴을 사용하고 있겠지만, 내부 감사 부서의 담당자도 사이버 사기 리스크 관리를 지원할 수 있다. 국제 감사 재단(Internal Audit Foundation, IIA)과 미국 컨설팅 업체 크롤(Kroll)이 공동으로 실시한 설문조사에 따르면, 사기 리스크가 증가하면서 내부 감사자의 36%는 내부 관리에, 29%는 데이터 분석에 더 많은 자원을 투입한 것으로 나타났다. IIA CEO 앤서니 퍼글리시는 보도 자료를 통해 "기업이 신기술 투자를 늘리고 있는 상황에서 독립적 내부 감사 기능으로 내부 통제와 리스크 관리 체계를 보장할 경우 사이버 사기 위험이 줄어든다는 사실이 명확하게 나타났다”라고 밝혔다. 내부 감사 부서가 사이버 사기 위험을 줄이는 몇 가지 단계를 상세히 살펴보자. 다른 부서와의 협력을 통한 사기 리스크 평가에서 전체 데이터 세트를 테스트하는 데이터 분석 툴 활용에 이르기까지 내부 감사자의 역할은 매우 다양하다. 리스크 환경 평가 사기 행위에 대한 내부 통제를 개선하고 전반적인 리스크를 줄이고자 하는 내부 감사자가 거쳐야 하는 첫 번째 단계 중 하나는 어떤 위협이 존재하는지를 이해하는 것이다. 식별된 주요 위협 요소와 취약한 영역에 따라 실행 계획은 달라진다. 기업 리스크 관리 팀 등 다른 부서와 협력하고 IT 감사 활동을 수행하면, 기업이 피싱 공격에 얼마나 많이 노출되어 있는지를 알게 된다. 실제 사이버 공격을 식별하지는 못했으나 직원 개인 디바이스 사용이 늘어나 위험이 심각해졌음을 알게 되기도 한다. 다른 부서의 리더와 직원 관행에 대해 이야기하면서 인사이트를 얻는 방법도 있다. 어떤 경우에든, 기본 토대를 마련하고 미래에 발생할 새로운 위협을 위협을 고려하여 보다 잘 대비하는 것이 좋다. 고위 경영진으로부터 새로운 사기 모니터링 시스템이나 사기 방지 서비스를 구현하기 위해 예산을 확보하려는 경우, 이러한 리스크가 어떤 형태로 나타나는지를 명확하게 설명하는 것이 중요하다. 내부 통제 수단 추가 및 검토 사이버 리스크 환경을 잘 이해할 수록, 사기를 예방하고 사기 활동을 줄이는 내부 통제 수단을 잘 추가하고 검토할 수 있다. 내부 감사자는 재무 팀이나 회계 팀과 협력하여 더 나은 재무 보고 프로토콜과 승인 프로세스를 구축할 수 있다. 이렇게 하면 사이버 공격자가 공급업체를 겨냥해 자금 이체를 유도하거나 세무 서류 등 민감 정보를 공개하려는 경우, 더욱 철저한 검토 절차를 통해 공격을 미연에 방지할 수 있다. 2018년 SEC(Securities and Exchange Commission)는 ‘비즈니스 이메일 침해’ 유형의 위협을 다룬 보고서를 발표하며 강력한 내부 통제를 필요로 하는 목소리가 커질 것으로 예상했다. SEC는 “이러한 공격이 만연해지고 지속적으로 확대됨에 따라, 기업은 사이버 관련 사기가 야기하는 위험을 염두에 두고, 내부 회계 통제 시스템이 자산을 충분히 보호하는지를 숙고해야 한다”라고 조언했다. 데이터 분석 활용 사이버 사기 리스크를 줄이는 또 다른 방법은 데이터 분석을 사용하는 것이다. 모든 트랜잭션, 모든 액세스 로그를 수동으로 검토하면 내부 감사 팀이 할 일이 너무 많아진다. 그러나 팀메이트 애널리틱스(TeamMate Analytics)같은 데이터 분석 툴을 사용하면 샘플링에 의존하지 않고 전체 데이터 세트를 테스트하여 사기 행위를 발견할 수 있다. 또한 수동 프로세스를 줄이고 지속적으로 감사를 수행할 수 있어 사이버 범죄가 빠르게 진화하면서 새로운 위협이 발생할 때마다 내부 감사자가 완벽하게 파악할 수 있다. 데이터 분석 툴은 보고 작업을 간소화하고 능률을 높인다. 내부 감사자가 이사회와 고위 경영진에게 사이버 사기 리스크에 대해 보고하거나 외부 감사자와 커뮤니케이션해야 하는 경우, 분석 인사이트를 쉽게 공유할 수 있으면 모든 직원이 같은 목표를 향해 협력할 수 있다. 기업을 둘러싼 사이버 사기 리스크가 높기는 하지만, 이러한 조치를 취하면서 내부 감사자는 조직 내에서 사기 공격에 대한 인식을 제고할 수 있다. 애초부터 사기가 발생할 가능성을 낮추고 사기 발생 시 악영향도 줄인다. ⓒ Getty Images Bank 팀메이트 애널리틱스를 활용한 보편 테스트 수행하기 팀메이트 애널리틱스는 모든 감사자가 강력한 데이터 분석을 수행할 수 있도록 지원한다. 소프트웨어를 통해 기업의 확신을 높이고 리스크 노출을 줄이는 방법, 그리고 전체 데이터 세트를 대상으로 한 테스트를 쉽게 수행하는 방법을 찾고 있다면, 전 세계 모든 업계의 감사 부서에 전략적 인사이트를 제공하는 프리미엄 전문 솔루션인 팀메이트 데모를 신청할 수 있다.

Wolters Kluwer

랜섬웨어 위험 낮추기, 내부 감사 부서의 역할 커진다

ⓒ Getty Images Bank 대중 교통 시스템, 의료 시설, 금융 서비스 기업의 공통점은 무엇일까? 바로 랜섬웨어 공격을 받았다는 것이다. 랜섬웨어는 사이버 범죄자가 개인과 기업기밀 시스템 및 파일 액세스를 차단한 후 해제하는 대가로 금전을 요구하는 악성 소프트웨어를 말한다. 전 세계 모든 업계의 기업 상당수가 랜섬웨어 경험이 있다. 사이버 보안 위험은 많지만 그 중에서도 랜섬웨어는 가장 심각한 사안이다. 랜섬웨어 공격을 받으면 기업 운영 중단을 넘어 데이터 유출과 평판 손상 같은 문제가 발생하기 때문이다. 사이버 보안 소프트웨어 기업 소포스(Sophos)가 전 세계적으로 실시한 설문 조사에 따르면, 2021년 조사에 참여한 기업의 66%가 랜섬웨어 공격을 받은 것으로 나타났다. 소포스는 “랜섬웨어로 인한 손해와 장애 복구에 평균 1개월이 걸렸다”라고 덧붙였다. 랜섬웨어의 심각성을 고려할 때, 내부 감사자는 전반적인 사이버 보안 위험과 랜섬웨어 위협을 함께 제거할 수 있도록 지원하는 목표를 세워야 한다. IT/사이버 보안 감사를 수행하고, 내부 감사 관리 소프트웨어 등의 기술로 내부 통제와 협업을 개선하는 조치를 수행하는 것이 한 방법이다. 더욱 자세히 살펴보자. IT 관행 및 통제 수단 검토 일반적으로 내부 감사자는 사이버 보안 소프트웨어를 선택하고 랜섬웨어 위험 인지에 대한 직원 교육을 실시할 책임자는 아니지만, IT 감사 같은 IT 관행과 통제 수단에 대한 확신을 제공할 수는 있다. IT 팀이 랜섬웨어 이메일 사기를 당한 직원이 있는지를 확인하는 피싱 테스트를 수행한다면, 그 후 내부 감사자가 결과를 검토하고 사회 공학적 공격 방지 기준을 충족하는지를 확인할 수 있다. 랜섬웨어나 다른 사이버 보안 위험에 대한 기업의 대비 상태가 미흡하다고 판단될 경우, 내부 감사자는 이사회와 고위 경영진 같은 다른 이해 관계자에게 위험을 알려야 한다. 내부 감사 리더는 또한, 원격 근무 정책을 검토하여 IT 팀이 재택 근무 환경에 필요한 기능에만 집중하지 않고 랜섬웨어 위험을 염두에 두고 적절하게 관리하는지를 확인할 수도 있다. 보통은 IT 부서장의 지침에 의존하지만, 내부 감사자가 액세스 로그 같은 영역을 감사하고 적절한 위협 인텔리전스와 데이터 보호 기술을 갖춘 승인된 장치만 네트워크에 연결되도록 지원하는 것도 가능하다. 주요 이해 관계자의 연결 필요 랜섬웨어 방어 역량을 향상하려면, 내부 감사자가 단순히 IT 부서와 협업하는 것이 아니라 주요 이해 관계자를 연결해야 한다. 모든 사람이 같은 목표를 위해 협력할 수 있도록 여러 부서의 정보를 취합해야 한다는 의미다. 내부 감사자는 랜섬웨어 공격 대응에 필요한 비용 계산 방식을 재무 팀에게 확인한 다음, 이사회와 고위 경영진 등 다른 주요 이해관계자가 접근 방식을 이해하고 동의하도록 설득한다. 그렇지 않으면 랜섬웨어 공격 후 복구 예산이 충분하지 않아 문제가 발생할 것이다. 가트너 감사 및 위험 관행 연구 책임자인 재커리 긴즈버그는 보도 자료에서 "기업은 규모나 매출에 관계없이 모두 랜섬웨어의 표적이 될 수 있다고 가정하고, 예방, 탐지, 방어, 대응 및 복구 조치를 검토해야 한다”라고 설명했다. 내부 감사 관리 소프트웨어 활용 내부 감사자는 내부 감사 관리 소프트웨어를 활용하여 랜섬웨어 위험을 제거할 수 있다. 사이버 보안 위험 관리를 지원할 기술은 많지만, 감사 관점에서 볼 때 가장 확신할 수 있는 솔루션은 내부 감사 관리 소프트웨어다. 팀메이트+(TeamMate+)는 일반적인 감사 작업을 자동화하고 협업을 개선하며, 내부 감사 팀이 연례 감사만 수행하면서 랜섬웨어 위험을 도외시하지 않고, 지속적인 감사를 활용하도록 지원한다. 우수한 내부 감사 관리 소프트웨어는 대규모 데이터 세트와 보고서 결과를 쉽게 테스트할 수 있으므로 직관적인 프레젠테이션을 만들어 많은 경영진의 이해를 돕는다. 내부 감사팀은 랜섬웨어 위험 관리를 혁신할 도구를 보유해야 한다. 공격 발생 전에 미리 계획하고 내부 연결에 집중하면 랜섬웨어 공격과 그 외 많은 사이버 보안 위험을 줄일 수 있다. 팀메이트+ 오딧(TeamMate+ Audit) 팀메이트는 업계에 혁신을 불러왔으며 모든 규모의 감사 부서에 필요한 역량을 제공하는 감사 관리 소프트웨어다. 문의와 데모 체험을 통해 감사 혁신을 담당하는 팀메이트+ 오딧의 특징과 이점을 직접 확인할 수 있다.