삼성 KNOX

(삼성 녹스에서 넘어옴)
삼성전자의 애플리케이션
운영중인 애플리케이션
삼성 갤럭시 앱스
삼성 KNOX
삼성 페이
삼성 뮤직
삼성 인터넷
S보이스
삼성 헬스
삼성 테마
삼성 노트
삼성 패스
S번역기
S플래너
S콘솔
S콘솔 게임패드
S 바로
삼성 멤버스
삼성 기어
삼성 클라우드
스마트 매니저
스마트 스위치
갤럭시 뷰 리모트
밀크
밀크 비디오
PEN.UP
사운드캠프
딩동탭
그룹 플레이
옵티컬 리더
사이드싱크
스크랩북
PDF에 쓰기
패밀리 스퀘어
게임 튜너
게임런처
Artecture
운영이 중단된 애플리케이션
삼성 허브삼성 뮤직삼성 비디오삼성 러닝삼성 북스삼성 와치온삼성 월렛
삼성 Kies삼성 링크챗온게임 캐스트음성 명령음성 대화


공식 홈페이지



파일:Knox.png

삼성 녹스(Samsung KNOX)
개발사삼성전자
지원 범위안드로이드 4.3 이상 삼성전자의 일부 기기를 제외한 갤럭시 스마트폰[1]
다운로드구글 플레이 공식 다운로드 사이트

1 개요

삼성 녹스(Samsung Knox)는 삼성전자에서 출시한 보안 소프트웨어이다. 시큐리티를 강조한 모바일 플랫폼으로, 현재 안드로이드 4.3 젤리빈 이상 및 타이젠 2.4 이상의 운영체제에 최적화되어 탑재되었다. 현재 기업과 관공서는 유료로 판매되며 일반 삼성전자 스마트폰 사용자에게는 무료로 제공되고 있다.[2] 타 제조사 디바이스에는 호환이 되지 않는다.

삼성 녹스라는 이름은 포트 녹스라는 이름에 착안하여 만들어졌다고 한다.

경쟁 기술로는 이쪽 업계의 터줏대감인 블랙베리BIS/밸런스와 잘 알려지지 않은 LG전자Gate정도가 있다.

2 출시 배경

스마트 기기가 대중화된 이후, 직장에서 일괄적으로 지급하던 업무용 단말기를 회사 서버에 물려서 사용하는 형태에서 점차적으로 이른바 BYOD[3]라고 하는 개인적으로 구매한 단말기를 회사에서도 사용하는 형태가 일반화[4]되면서 보안 문제가 불거지기 시작했다. 때문에 기업과 관공서 및 각국 군부대 업무처리에 대한 보안을 강화하기 위해서 기획되어진 것으로 보인다.

이러한 배경에서 2013년 5월, 결과적으로는 까다롭기로 유명한 미 국방부의 조건[5]을 통과했으니 1차적인 성과는 거둔 셈이 되었으며, 2014년 2월 26일에는 삼성전자는 미국 국가 정보보증 협회[6]로부터 스마트폰 분야에서 최초로 모바일 단말 CC[7] 보안 인증인 MDFPP[8]를 획득했다고 한다.

이후 미국 연방 수사국과 미국의 각 군에 제품 공급을 추진하고 있고, 2013년 10월에는 영국 통신 당국의 보안 인증 역시 통과했다.

2016년에는 중국 정보 보안 인증 기구인 ‘ISCCC[9]’와 프랑스 정보시스템 보안기구인 ‘ANSSI[10]’로부터 보안 솔루션 인증을 획득했다.

헤비 유저들은 루팅 등 시스템 수정이 어려워져서 선호하지 않으나, 그래봐야 대다수의 일반인들은 거의 신경쓰지 않으며 보안을 더욱 중시하는 높으신 분들은 매우 좋아하는 현실. 사실 루팅은 스스로 보안 위험에 노출되는 것이기 때문에 보안이 중요한 기업체에서 사용을 삼가는 것이 맞는 것이기도 하다.

3 상세

사실 Knox 기술은 두 가지로 이루어져 있다. 하나는 Knox Notification Manager, 하나는 Knox Container. Knox Notification Manager는 SELinux[11]와 물려 동작한다. 시스템에 허가되지 않은 접근이 발견 될 경우, 즉시 차단하고 사용자에게 경고를 보낸다. 또한 SELinux 상태가 Permissive나 Disabled[12]로 변경 될 경우, 안드로이드 SE가 해제되었습니다.라고 아주 친절하게 재부팅하여 보안 정보를 복원할 것을 요구한다. 다만 사실상 Knox는 아래 내용인 Knox Container를 지칭한다. 아래에서는 Knox Container에 대해 다룬다.

3.1 구조

간단히 설명하면, 하나의 기기에 일반적으로 사용하는 개인 사용자 공간에 가상적으로 구현한 강화된 보안 공간을 설치하여 하나의 기기로 개인용과 업무용으로 구분해 사용한다. 여기까지는 간단한 사생활 잠금 기능과 유사하나, Knox는 보안 공간을 암호화해 완전히 잠그는 패기를 보여줬다는 점이 특징이다.

즉, 보안 공간인 Knox 컨테이너와 일반 사용자 공간은 단순한 방법으로 데이터 송수신을 할 수 없다. 뿐만 아니라 이 상태에서는 USB 케이블 역시 단순한 충전기능으로만 사용할 수 있다. 이로 인해 해킹이나 바이러스 등의 노출에서 차단이 가능해진다고 한다.

3.1.1 Knox 워런티

삼성전자에서는 Knox가 기본 탑재되는 기기와 대규모 업그레이드를 통해 Knox 지원이 가능해지는 기기의 내부에 Knox의 보안을 위해 Knox warranty라는 것을 부여한다. [13]

기본적으로 Knox 워런티는 다운로드 모드 상태에서 확인했을 때, KNOX WARRANTY VOID: 0 / KNOX WARRANTY VOID: 0x0 / BIT WARRANTY: 0 상태지만 커스텀 펌웨어 설치나, 루팅, 다운그레이드[14] 등 제품의 시스템 영역을 임의로 조작하게 되면 Knox 워런티가 0x1/1로 변하게 되며 Knox를 이용할 수 없게 된다. 이는 과거 삼성전자의 '루팅 카운터'와는 달리 제거할 수도 없다. 루팅 카운트는 eMMC 내부의 특정 파티션에 기록되는 것이라 삭제가 가능하지만, Knox 워런티의 경우에는 eFUSE[15] 라는 하드웨어 레벨의 영역에서 관장하기 때문에 기본적으로 원상복구가 불가능하다.[16] Knox 워런티는 사실상 플래그로서, eFUSE 회로가 정상적으로 연결된 상태에선 0(정상), eFUSE 회로가 Re-Programming 되어 연결이 끊어진 경우 1(변조)로 표기된다. 이 부분이 헤비 사용자, 특히 커스텀 롬을 이용하는 유저들의 경우 어쩔 수 없이 KNOX 워런티를 포기해야 한다.

단, 그냥 워런티가 아니라 "Knox" 워런티라고 굳이 따로 이름이 붙어 있다는 점에 주목. 이 말은 즉 Knox 워런티가 깨졌다고 해서 모든 A/S가 막히는 게 아니라 Knox와 관련된 수리만 막힌다는 소리로, Knox와 무관한 타 무상 A/S 서비스 가능 사유가 있다면 여전히 무상 A/S를 받을 수 있으며, 이는 삼성 모바일샵의 공식 입장으로 확인된 사항이다.

KNOX WARRANTY VOID bit가 0x1로 바뀌면, 더 이상 Knox Container를 포함해 삼성 페이, S 헬스Knox와 연계된 모든 서비스를 구동할 수 없게 된다. 이렇게 사용을 제한하는 이유는 펌웨어 변조등으로 인하여 기기가 변조되어 기기 자체를 신뢰할 수 없는 상황이 오면 Knox Container내의 자료에는 일절 접근할 수 없도록 하여 내부의 데이터를 보호하는 것이다. 컨테이너 자체가 변조위험이 있다면 사용 자체를 막는 건 굉장히 바람직한 방법이다.

헤비 유저들의 경우 갤럭시 S6 이전에는 Knox를 포기하고 루팅 등을 하는 경우가 많았으나, 삼성 페이S 헬스 등 Knox와 연계된 서비스가 점차 늘어남에 따라 시스템 수정을 포기하는 유저들이 늘어나고 있다.

3.1.2 Knox 적용

3.1.2.1 설치

Knox 애플리케이션이 존재하는 삼성전자스마트폰태블릿 컴퓨터에서 단순히 일반 사용자 공간에서 Knox 애플리케이션을 처음으로 접속하게 되면 Knox 컨테이너 설치유무를 묻고, 시작하게 된다.

3.1.2.2 기본 기능

제품의 기본적인 기능들은 역시 Knox 컨테이너 내부에 별도로 관리하며 Knox 컨테이너 내부에서 등록 및 생성된 데이터는 일반 사용자 공간에서는 확인할 수 없다. 단, 사용자의 편의를 위해 Knox 컨테이너 내부에서 일반 사용자 공간의 데이터를 열람하는 것은 가능하다.

3.1.2.2.1 연락처

녹스에 등록된 연락처뿐만 아니라 개인홈에 등록된 연락처도 볼 수 있다. 이와 반대로 개인홈에서도 녹스에 등록된 연락처를 볼 수 있다.  단, 이를 위하여는 녹스의 설정에서 "KNOX 연락처 표시" 항목에 체크를 해 주어야 하며, 이 경우에도 개인홈에서는 녹스의 연락처를 볼 수만 있을 뿐 삭제나 편집은 녹스 모드에서만 가능하다. [17]

3.1.2.2.2 이메일

익스체인지 계정 자체가 녹스 안에 등록되어 있으므로, 원래의 개인홈에 있는 이메일 앱에서는 아무것도 안 나온다. 다만, 개인홈에서도 이메일 알림은 뜨며 "녹스에서 확인하세요"라고 나오고, 그것을 누르면 녹스 비밀번호를 입력하는 화면이 나온다. 즉 새로운 이메일이 온 사실은 개인홈에서도 알 수 있다.

3.1.2.2.3 삼성 노트 (S노트)

개인홈의 삼성 노트와 녹스의 삼성 노트는 완전히 분리되어 있다.

3.1.2.2.4 S플래너

S플래너의 경우, 녹스에서는 개인홈의 일정을 띄울 수 있지만, 반대로 녹스의 일정을 개인홈에서 표시되게 하는 것은 불가능하다.  단, 녹스의 개별 일정에 알림이 설정되어 있는 경우, 그 알림은 개인홈의 잠금화면에서도 뜬다.

3.1.2.3 애플리케이션 설치(삼성 Knox apps)

구글 안드로이드의 경우 구글 플레이, 각 통신회사들이 운영하는 앱스토어와 제조사가 운영하는 직영 앱스토어 등으로 애플리케이션을 구매 및 다운로드받아 설치할 수 있지만, Knox 컨테이너 내부에서는 이들을 전혀 사용할 수 없다. 오로지 녹스에 특화된, 비지니스용 애플리케이션을 취급하는 삼성전자의 '삼성 Knox Apps'라는 Knox 전용 앱스토어를 이용해야 한다.

knox-app-store-2.jpg

이는 보안성이 의심되는 난잡한 애플리케이션을 걸려내기 위해 애플앱스토어처럼 삼성전자가 직접 Knox에 최적화된 애플리케이션을 선별할 계획인 것으로 보인다.

초기에는 약 80여개의 애플리케이션이 등록되어 거래가 이루어졌다.

이후, Knox 2.0를 런칭하면서 전용 클라우드 기반 앱스토어인 'Knox 마켓 플레이스'를 론칭했다. 이로인해 Knox 내부에서 사용할 수 있는 애플리케이션이 대폭 증가하게 되었다고 한다. 결제 시스템 역시 외부와 분리되어 있어서 Knox 내부에서 사용할 것들만 별도로 결제를 해주면 된다고 한다.

또한 Knox apps의 경우에는 구글 플레이가 올라오지 않는 중국 내수용 갤럭시 스마트폰이라도 삼성전자가 직접 경영한다. 원래 외국 기업이 중국 내에서 앱 스토어를 경영하기 위해서는 중국 내 현지 파트너와 협력해 중국 정부로부터 라이센스 허가를 받아 중국 내 현지 파트너와 협력해서 경영해야 하는데[18],[19]녹스 관련된 경우에는 엄격한 심사를 거쳐서 순수하게 비지니스 업무에 사용하는 앱들만을 판매하는 구조[20]라서 운영 주체가 중국 내 파트너로 변경되는 경우[21], 여러가지 녹스 내부의 보안 문제와 직접적인 연관이 있기 때문에 이러한 이유를 들어서 녹스 앱스의 경우는 예외적으로 중국 정부 및 관공서 기관의 모바일 전자정부업무에 사용하기 위한 수천만 대의 단말기를 중국 정부에 납품하는 조건으로, 중국 정부의 특별 라이센스를 취득해서 삼성전자가 직접 경영한다.

3.1.2.4 USB 데이터 모드

USB를 통해 Knox 컨테이너로 데이터를 넣거나 Knox 컨테이너로부터 데이터를 꺼낼 수 없으며 USB 케이블 역시 단순한 충전 기능만 사용할 수 있다. 때문에 클라우드 서비스를 거치는 약간 불편한 방법으로 데이터를 송수신해야 한다.

3.2 Knox 2.0

기존 Knox에서 사용자 편의성을 낮추높이고[22] 보안 기능을 강화하여 2014년 2월에 발표되었다. 안드로이드 4.4 킷캣을 베이스로 사용하기 때문에 4.3 젤리빈 이하 운영체제에서는 작동하지 않는다. 최초 지원 기기는 갤럭시 S5이다. [23]

기존 Knox와 차이점으로는,

  • 지문인식과 연동하여 기존의 PIN 번호 인증과 같이 사용하게 하여 이중 인증을 지원한다.
  • 클라우드 서비스가 강화되었다. 클라우드라는 특성상, 어디에 있든 쉽게 자료 열람이 가능하지만 보안에 취약할 수가 있다는 단점이 존재했는데, EMM[24] 기능을 이용해 클라우드 환경에서 업무를 처리해도 인증 권한 등을 이용해 보안을 강화했다고 한다.
  • 공인 인증서, 보안카드 등 사용자 인증정보 및 각종 암호화 키 정보를 하드웨어 칩셋 내부에 구현된 트러스트 존을 통해 관리할 수 있게 되었다고 한다. 이는 애플애플 A7 AP 내부에 Touch ID 정보를 저장하는 기능과 유사하다.[25]
  • Knox 외부의 애플리케이션을 내부에서 사용하려면 변환 작업[26]을 해주어야 했지만, 별도의 변환 없이 동기화할 수 있다
  • 기기의 소프트웨어 정보와 커널 정보를 모니터링하는 기능이 추가되었다.
  • Knox 2.0 출시 당시 안타깝게도 Knox 1.0에서 Knox 2.0으로 자동 업그레이드 하는 기능은 제공되지 않았다. 단말기를 Knox 2.0 지원 펌웨어로 알아서 업데이트한 다음 Knox 1.0 컨테이너를 수동으로 삭제한 후 2.0 컨테이너를 다시 생성해야 했고, 이를 강제하기 위하여 전 업그레이드 대상 단말기의 Knox 1.0 컨테이너를 사용 불가상태로 만드는게 고작이었다. 재생성하는 와중에 2.0 컨테이너를 만들게 될테니까. 중앙에서 버전관리를 하지 못한다는 것은 기업 입장에서는 상당한 약점이 될 수 있다. 실제로 삼성전자의 경우 Knox 1.0에서 2.0으로 업그레이드를 진행하는 와중에 홍역을 치렀다. 뭐 지금은 다 지나간 이야기다. 사실 삼성전자 내부에만 테스트용으로 적용되었던 Knox 1.0은 급하게 공밀레로 만들어진 터라서 이런 일이 벌어질 법도 했다.

3.3 세부 솔루션

3.3.1 My KNOX

업무용 데이터와 개인용 데이터를 분리하는 무료 보안 솔루션으로 개인을 타겟으로 한 솔루션이다. 삼성전자 단말기에서만 사용할 수 있다.

구글 플레이스토어에서 설치 가능한 My Knox 앱을 사용해서 허가를 받은 사람만 접근할 수 있는 컨테이너를 만들 수 있고, 모든 파일과 데이터가 이 컨테이너 안에서 암호화된다. 즉, 자체 홈 화면, 시작 관리자, 애플리케이션 및 위젯을 모두 갖추고 있는 가상의 모바일 디바이스라 할 수 있다. IT 부서의 지원 없이도 임직원의 업무 효율을 높이는 보완적인 솔루션으로 활용할 수 있다.

IT 관련 설정과 같은 번거로운 절차 없이 간편하게 모바일 디바이스를 보호할 수 있는 방법을 제공하며 안드로이드 운영체제 환경을 그대로 사용하기에 기존 사용자 인터페이스를 그대로 사용하며 업무용 이메일 및 기타 중요한 데이터와 애플리케이션과 데이터 등을 보호할 수 있다.

구글 플레이를 통한 앱 설치 및 기존 개인용 공간으로부터의 애플리케이션 이동을 지원한다.[27] 앱 설치나 자료 전송이 일반 환경에 버금갈 정도로 자유롭기 때문에 보안 성능 뿐만 아니라 숨덕질 등의 사생활 보호에도 매우 유용하다. 외부의 앱을 삭제해도 내부 앱은 유지되기 때문에 앱 은닉에 있어서는 최상의 솔루션. 다만 다른 솔루션과 달리 이렇게 설치 가능한 앱이 안전하리란 보장이 없기 때문에, 100% 신뢰할 수 있는 앱[28]만 Knox 내부로 마이그레이션하는 것이 안전하다.물론 그냥 숨덕질 전용이라면 상관 없고

S6 이상 기기의 경우 삼성 테마에서 적용한 테마가 Knox 내부 환경에 적용되지 않는다든가, 지문인식 솔루션이 멀쩡히 탑재돼 있음에도 재부팅 및 장기간 미사용 시 쓸데없이 비밀번호를 타이핑 해야 하는 등 자잘한 불편 사항이 몇몇 있다.

3.3.2 KNOX Express

간편한 보안을 위한 무료 보안 솔루션으로 중소기업을 타겟으로한 솔루션이다. 삼성전자 외 단말기에서도 사용할 수 있다.[29]

클라우드 기반의 콘솔을 사용하며 설정 및 원격 관리가 간편하다고 한다. 사용자가 각자 사용하는 개인 단말기를 직접 관리하고 컨테이너를 통해 승인을 거친 다양한 애플리케이션을 사용할 수 있다고 한다.

3.3.3 KNOX Premium

구글 안드로이드 및 애플 iOS 디바이스를 관리할 수 있는 종합 솔루션이다. [30]

사용자가 각자 사용하는 개인 단말기로 업무용 데이터와 개인용 데이터를 Knox를 이용해 같이 다룰 때, 사측에서 업무용 데이터만 관리할 수 있게하는 솔루션이다. 반대로 말해서 사측은 해당 솔루션을 사용할 때 개인용 데이터에는 접근할 수 없기 때문에 직원 사생활 침해 논란에서 자유로울 수 있다.

기본적으로 민감한 업무용 데이터 관리를 위해 원격 제어 및 관리 기능과 사측에 맞는 보안 정책을 설정 및 적용할 수 있다. 또한, Knox[31] 뿐만이 아니라 타사의 보안 솔루션을 같이 적용해 사용할 수 있다. [32]

Knox는 단말 보안을 위한 플랫폼만을 제공한다[33]. 그래서 Knox를 제어하고[34], 각종 단말 보안정책을 적용하여 스마트폰을 쥐락펴락[35]하는 MDM[36]을 결합하여 제품으로 출시한 것. 보안솔루션이라는게 다 그렇지만 이 MDM이라는 물건은 당연히 사용자들에게는 평판이 매우, 아주 많이 안좋다. 지워버리고 싶은 앱 부동의 1위! 그런데 그냥은 삭제도 안된다[37]. 치사하게 공장초기화를 해도 단말이 정상화되지 않는다. 펌웨어 업데이트를 해도 마찬가지다.[38] 삼성그룹 계열사 임직원이 사용하던 단말기를 중고구매했다가 이런 사달이 나는 경우는 MDM 콜센터나 운영부서를 찾아내서 정식 절차 대로 삭제를 지원받자. 이런 경우 한정으로 군말 않고 MDM 삭제 지원을 해 준다. 구글은 이런 때 쓰라고 있는거다. MDM 삭제로 검색하면 좌악 나온다. iOS의 경우는 현재 Knox를 제공하지 않기 때문에 MDM을 통한 단말 보안정책 적용/해제만 지원한다.

3.3.4 Work Space

간단하고 효율적인 관리를 추구하는 모바일 보안 솔루션이다. 네 가지의 솔루션 중 가장 강력한 보안을 자랑한다.

기기 당 두 개의 컨테이너를 지원[39]하며 삼성 Knox 앱스를 통해서만 애플리케이션을 다운로드 받을 수 있다. 다만, 단순한 동작으로 개인용 애플리케이션과 전환을 이루어지게 한다고 한다.

현재, 기업이나 관공서 각 국 정보당국의 인증을 받은 솔루션으로 기기가 부팅이되는 순간, Trusted Boot 및 ARM TrustZone 등 하드웨어 수준부터 애플리케이션 수준까지 여러 단계에 걸쳐 인프라를 보호한다고 한다.

사실 원래의 Knox API에서는 다 지원하는 부분이다. 라이센스에 따라 사용가능여부가 결정될 뿐.

3.3.5 보안 폴더

Knox 2.7부터 추가된 솔루션. 갤럭시 노트7부터 기본 탑재된다.

보안폴더와 별개로 녹스 앱을 설치할 수 있으며, 기능상 차이는 없다.

3.3.6 KNOX 액티브 프로텍션

4 관련 영상

삼성 KNOX 소개 영상.

5 기타

  • 보안 취약점이 존재한다는 말이 있었으나,삼성전자는 부인 후 반박하는 것으로 대응하고 있다. 이후, 최초로 보안 결함 문제를 제기한 이스라엘의 벤구리온 대학 사이버 보안 연구팀과 공동으로 테스트를 진행하여 '이상없다'는 결론을 내렸다고 한다.[40]
  • 한국 내에서는 국방부[41]국가정보원 등 주요 관공서 등을 대상으로 운영하기 위해 준비하는 중이라고 하며, 모바일 전자정부 솔루션 채택도 검토 중이라고 한다. 그리고 음모론자들은 정부가 공무원들에게 강매하기 위한 수단이 아니냐며 의구심을 보내고 있다[42]
  • 삼성전자 내부에서는 기업 및 관공서 시장 확대 이전에, 전 세계의 삼성전자 자사 임직원 중 갤럭시 S4갤럭시 J, 갤럭시 노트3를 사용하는 임직원을 대상으로 레퍼런스로 삼아 우선 시범 사용 계획이 있다고 한다.[43] 자사를 레퍼런스로 삼은것은 삼성전자 전체 직원이 녹스의 안정성, 편리성 등 검증에 참여할 수 있다고 한다.[44] 이후 가능하다면 삼성 그룹의 전 계열사로도 이를 확대할 계획이라고 한다.
  • 2014년 구글 I/O의 발표에서 안드로이드 자체에 녹스가 통합이 된다고 밝혔다.# 삼성은 이로 인해 블랙베리가 장악한 엔터프라이즈 시장에서 안드로이드의 매력을 높일 수 있을 것으로 기대한다고 한다. 하지만 그 외 다른 핵심 보안 기능은 안드로이드폰 제조 경쟁사들과 공유되지 않을 거라고 한다.
  • 삼성전자와 애플이 손을 잡았다. 아이폰아이패드에도 녹스가 탑재 될 것이라고 한다. 삼성전자 관계자의 말에 따르면 "기업 고객이 기업에서 사용 중인 단말기를 관리하려면 보안 플랫폼에 모바일 기기 관리(MDM)솔루션을 적용해야 한다"며 "'삼성 녹스'에 다양한 글로벌 파트너사의 MDM을 적용할 수 있고, 삼성의 MDM인 '녹스 EMM'도 안드로이드, iOS 기기에 적용 가능하다"고 한다.[45]
  • 애플에 이어 블랙베리도 손을 잡았다. 블랙베리의 보안 기술인 엔터프라이즈 기술도 녹스에 적용할 것이라고 하며, 이를 탑재한 스마트폰과 태블릿 컴퓨터도 선보일 것이라고 한다.
  • 갤럭시 S4의 경우 안드로이드 4.3 젤리빈 펌웨어는 일반 소비자용 펌웨어와 삼성전자 내부 적용을 위한 Knox 펌웨어가 따로 있었다. 그런데 특정 버전 Knox 펌웨어의 경우 공장초기화를 하고 나면 단말이 부팅이 안되는 이슈가 발생했다. 당시는 사내 테스트 용도였기 때문에 삼성전자서비스 A/S 기사들은 Knox가 존재한다는 것 자체를 몰랐던 관계로 커스텀 펌웨어를 사용하여 메인보드가 죽은것으로 처리될 수 밖에 없는 상황이였다고 한다. 이런 경우는 당연히 유상 확정. 당시 삼성전자 Knox 운영담당자가 이것 때문에 테스트용으로 종종 사용하곤 하던 개인 소유의 스마트폰 단말기의 메인보드를 교체한 적이 있다. 그런데 얼마 지나지 않아 이런 케이스를 조치할 수 있도록 가이드가 내려왔다. 안드로이드 4.4 KitKat이 출시되면서 Knox가 모든 S4 단말기에 적용되어 해결되었다.
  1. 삼성전자 단말기가 아니면 지원을 하지 않는다.
  2. 사용하고 싶은 사람들은 다운로드해서 설치하면 된다.
  3. Bring Your Own Device
  4. 이 트렌드를 못 따라가서 블랙베리가 망했다.
  5. FIPS 140-2 인증
  6. NIAP는 미국 국가안보국 산하 인증기관으로 보안 인증 테스트 등을 담당한다.
  7. Common Criteria
  8. Mobile Device Fundamentals Protection Profile
  9. China Information Security Certification Center)
  10. Agence Nationale de la Sécurité des Systèmes d’Information
  11. SE Android
  12. 기본적으로 Enforcing 상태다.
  13. 노트2를 포함하여 이후 출시된 모든 플래그십급 단말기에는 Knox warranty가 적용되어 있었다. 그동안 Knox가 펌웨어에 적용되지 않아 보이지 않았을 뿐이다.
  14. 순정펌웨어 파일로 다운그레이드 하는 경우에는 Knox 워런티가 깨지지 않는다.
  15. eFUSE는 IBM사에서 개발된 실시간 재프로그래밍 칩이다. 즉 Knox 워런티 플래그가 0x1이나 1이 되었다는건 이 eFUSE 회로가 작동하여 스스로 재 프로그래밍 하여 플래그 값을 1로 바꾸었다는 의미.
  16. 그러나 간혹 이런 사례가 발견되고 있어 Knox가 정말로 eFUSE와 관련되는지는 유저 레벨에서의 확인이 필요하다.
  17. 참고로 특정 녹스연락처를 개인홈에서 숨기는 것은 가능하다.
  18. 라이센스 취득의 경우 중국인/중국 기업이 100% 지분을 가진 경우에만 허가하는 구조이다. 다만 외국 기업이라도 중국 기업/중국인과의 합병 기업에게도 라이센스를 인정해 주고 있다.(소프트뱅크의 완도우지아도 지분을 인수한 경우에 해당되기 때문에 합병 기업에 속한다.)
  19. 삼성 갤럭시 앱스의 중국판은 삼성전자 중국지사가 일부 관여하기는 하지만 직접 운영하는 것이 아니고 삼성전자의 중국 내 파트너인 시나(Sina.com)가 운영 주체가 되어, 외국 자본을 통해 라이센스 문제를 해결하고 있다.
  20. 절대 게임이라던지 보안성이 의심되는 앱들은 절대 못올라온다. 녹스 컨테이너의 경우에는 녹스 앱스에 업무용 앱, 비지니스 앱들을 기존 삼성 갤럭시 앱스보다 더 까다로운 심사를 통해서 올라온다고 한다.
  21. 중국에서 안드로이드 폰의 앱 스토어를 경영하기 위한 조건으로 라이센스를 발급하는데 여기에는 중국인과 중국 내자 기업이 100% 지분을 가지는 것이 조건으로 붙는다. 단 외국 기업이라도 중국 기업과 합병한 기업의 경우에도 라이센스가 허가된다. 이 때문에 외국 기업의 경우에는 중국에서 앱 스토어를 경영하기 위해 중국 현지 파트너가 운영 주체로 변경되는 경우가 많다. 삼성전자의 경우 삼성 갤럭시 앱스의 중국 현지 파트너는 시나닷컴이다.
  22. KNOX 2.0 부터는 백업과 삭제등, 일부 기능을 지원하지 않는다!
  23. 개인 사용자의 경우 기본적으로 비활성화 되어 있으며, 별도로 활성화를 시켜 주어야만 한다.
  24. Enterprise Mobility Management
  25. 다만, 이쪽은 Touch ID에 국한되어 데이터를 저장한다.
  26. Redex라고 한다. 삼성전자에서 대상 앱의 보안성을 점검한 후 작업을 한다. 이 과정에서 앱의 클래스명이 수정된다. 정확히는 원래의 클래스명 앞에 접두사가 더 붙는다. 앱 유지보수 담당자 입장에서는 개발 후 배포시점에 불편한 단계가 하나 추가된 셈으로, 보안성 검토 후 Redex 작업이 이루어지는데 최소 몇시간 최대 며칠이 걸린다.
  27. 다만 APK 파일을 직접 Knox 공간 내부에 설치하는 것만큼은 불가능. APK 파일을 Knox 공간으로 이동시킬 수조차 없어서 시도라도 해보려면 클라우드 서비스를 이용해야 한다.사실 확장자를 JPG등으로 바꾸고 옮기면 된다. 이러다보니 통신사 앱 스토어 등 서드파티 스토어도 당연히 못 쓴다. 어차피 외부에 설치해서 안으로 끌어오면 그만일 텐데도 굳이 막아놓은 이유는 불명(...) 추가바람.
  28. 유명 앱 개발 업체나 금융 업체에서 유통망을 통해 정식으로 배포하는 앱. 구글 플레이에 등록된 앱이라고 다 안전한 게 아니기 때문에, 감시의 눈이 많아 함부로 헛짓거리를 못하는 유명 업체 앱을 쓰는 게 좋다.
  29. 안드로이드에 Knox가 통합되는 것과 무관하지 않을 것 같다.
  30. 내부 구성 관련해서는 마지막 문단 참조
  31. 정확히 말하면 MDM
  32. KNOX MDM 파트너십에 가입하면 Knox API를 제공받을 수 있는데, 이 API를 통해 Knox를 제어할 수 있다면 어떤 솔루션이라도 상관이 없다.
  33. 최소한 My Knox는 설치해야 사용 가능한 이유
  34. 이를테면 Knox 컨테이너를 원격으로 잠가 버리거나, 지워 버리거나 등등
  35. 출근하면서 게이트를 통과하면 단말 카메라와 USB를 사용 못하게 했다가, 퇴근하면서 게이트를 통과하면 사용 가능하게 하는 등
  36. Mobile Device Management
  37. MDM 앱이 디바이스 관리자에 등록되는데, 디바이스 관리자에 등록되는 앱은 등록 해제를 하기 전에는 삭제가 불가능하다. 삼성 단말기의 경우 MDM 앱이 디바이스 관리자에서 등록 해제가 안되도록 펌웨어 레벨에서 막기 때문에 일반적인 방법으로는 삭제 자체가 불가능하다.
  38. MDM 앱을 설치한 다음 서버에 단말을 등록하여 MDM을 활성화 하면 공장초기화나 펌웨어 업데이트로 영향받지 않는 영역에 '나 MDM 사용하는 단말기요~!'라고 마킹이 되게 되어있다. 이 마킹이 존재하지만 공장초기화 등의 방법으로 MDM 앱이 삭제된 경우에는 단말 부팅할 때 MDM 보안 설정에 준하는 제한을 단말에 걸어버린다. 루팅을 해서 어찌 해 보려 시도하는 순간 이번에는 Knox 라이센스가 날아가니 이래저래 골치다... 다만 MIUI등 커스텀 롬을 설치하면 MDM은 작동하지 않는다고 한다.
  39. 다만 Knox API 자체는 컨테이너 생성 가능 갯수의 제한이 없다. 어른의 사정때문에 두 개로 제한하는 것.
  40. 벤구리온 대학 연구팀에서 제기한 문제는 단말기에 내장된 데이터가 암호화 처리되지 않았을 경우에만 해당되는 것이라며 벤구리온대학 연구팀과 함께 다시 실험한 결과, 암호화가 실행된 녹스 단말기 내 데이터 유출은 불가능했다고 한다.
  41. 국정원 심사가 완료되고, 채택이 된다면은 국방부 관계자도 이를 검토할 의향이 있다는 입장이다.
  42. 이쪽의 경우 iOS 소스 공개(…) 요청 거부로 인한 아이폰 사용 금지가 얽혀 있다.
  43. 이는 삼성전자의 브랜드 인지도와 IT 시장 영향력을 고려할 때 자사 첫 적용은 다른 기업이 참고할수 있는 좋은 사례가 된다고 한다.
  44. 이 역시 보안 유지에 민감하기로 유명한 삼성전자가 보안 수준을 높히는 긍정적인 효과도 기대할 수 있다.
  45. 여기에서 약간의 오해가 있는 데, iOS 장치에 들어가게 되는 것은 갤럭시 시리즈에서 볼 수 있는 SE for Android 기반의 Knox가 아니라, 삼성의 MDM인 Knox EMM이다. 애시당초 iOS 장치에는 SE for Android를 사용할 수 없으며, iOS 장치의 보안 구조에는 secure boot나 H/W기반 full encrypted storage등과 같은 장치가 이미 포함되어 있어서 굳이 Knox를 적용할 필요가 없다. 단, Knox Container와 같은 완전히 격리된 형태의 저장소는 아직 iOS에서 지원되지 않는다.