macOS의 sandbox-exec를 활용한 안전한 애플리케이션 실행 탐구

sandbox-exec는 macOS에 내장된 명령줄 유틸리티로, 애플리케이션을 샌드박스 환경 내에서 실행하도록 설계되었습니다. 이 도구는 애플리케이션이 시스템 자원에 제한된 접근 권한으로 실행될 수 있는 안전하고 제한된 공간을 만들어, 악성 코드나 의도하지 않은 동작으로부터의 위험을 최소화하는 데 도움을 줍니다.

주요 세부 사항

sandbox-exec를 이용한 애플리케이션 샌드박싱은 악성 코드로부터 보호하고, 손상된 애플리케이션으로 인한 피해를 제한하며, 개인정보 보호와 자원 제어를 강화하는 것을 목표로 합니다. sandbox-exec를 사용하려면 안전한 환경에 대한 규칙을 정의하는 구성 파일인 샌드박스 프로필이 필요합니다. 기본 명령 구문은 다음과 같습니다:

sandbox-exec -f profile.sb command_to_run

여기서 profile.sb는 규칙을 지정하고, command_to_run은 이러한 제약 조건 내에서 실행될 애플리케이션입니다.

샌드박스 프로필은 Scheme과 유사한 구문으로 작성되며, 버전 선언, 기본 정책 및 특정 규칙을 포함합니다. 이러한 프로필을 설정하는 두 가지 기본적인 접근 방식이 있습니다:

• 기본 거부: 처음에는 모든 작업을 제한하고 필요한 작업만 허용합니다. 예시:

(version 1) (deny default) (allow file-read-data (regex "^/usr/lib")) (allow process-exec (literal "/usr/bin/python3"))

• 기본 허용: 특정 작업을 제외한 모든 작업을 허용합니다. 예시:

(version 1) (allow default) (deny network*) (deny file-write* (regex "^/Users"))

실제 사용을 위해 네트워크 접근이 없는 샌드박스 터미널 세션을 설정할 수 있습니다:

# terminal-sandbox.sb (version 1) (allow default) (deny network*) (deny file-read-data (regex "/Users/[^/]+/(Documents|Pictures|Desktop)")

다음과 같이 실행합니다:

sandbox-exec -f terminal-sandbox.sb zsh

또한 macOS는 no-network 프로필과 같은 일반적인 제한 시나리오를 위해 /System/Library/Sandbox/Profiles에 미리 빌드된 프로필을 제공합니다.

대상 사용자

이 도구는 통제된 환경에서 애플리케이션을 테스트하거나 엄격한 보안 정책을 적용해야 하는 개발자와 보안 전문가에게 이상적입니다.