삼성 KNOX

최근 수정 시각:

파일:나무위키+상위문서.png   상위 문서: 삼성전자/소프트웨어

파일:galaxyapps_icon_table.png 갤럭시 앱스 애플리케이션 목록

Galaxy Essentials

파일:GalaxyApps.png
갤럭시 앱스

파일:SmartThings.png
SmartThings

파일:game_live.png
게임 라이브

파일:삼성게임런처.png


삼성 참

파일:gametuner.png
게임튜너

파일:SmartManager.png
디바이스 관리

파일:link_share.png
링크 공유

명함 인식

무비 메이커

파일:보안폴더apk.png
보안 폴더

파일:SS.png
사운드 어시스턴트

파일:20160831_225326.png
사운드캠프

파일:sidesync.png
사이드싱크

파일:galaxy_wearables.png
갤럭시 웨어러블

파일:삼성 기어 360.png
삼성 기어 360

파일:S메모.png
삼성 노트

파일:samsunglevel.png
삼성 레벨

파일:삼성 맥스.png
삼성 맥스

파일:갤케어.png
삼성 멤버스

파일:music.png
삼성 뮤직

파일:SBrowser.png
삼성 인터넷

파일:SPlanner.png
삼성 캘린더

파일:samsung_cloud_print.png
삼성 클라우드 프린트

파일:SamsungCloud.png
삼성 클라우드

파일:theme_store.png
삼성 테마

파일:SamsungPass.png
삼성 패스

파일:삼페미니.webp
삼성 페이 미니

파일:SamsungPay.png
삼성 페이

파일:삼성 포커스.png
삼성 포커스

파일:ic_launcher_samsungflow.png
삼성 플로우

파일:S헬스.png
삼성 헬스

파일:knox.png
삼성 KNOX

파일:samsung_vr.png
삼성 VR

파일:samsung_membership.png
삼성전자 멤버십

파일:SmartSwitch.png
스마트 스위치

파일:external/www.google.com/art_canvas.png
아트캔버스

옵티컬 리더

와이파이 카메라

파일:wifi_transfer.png
와이파이 트랜스퍼

파일:carmodeforgalaxy.png
자동차 모드

파일:kids_mode.png
키즈 모드

파일:effect_icon_original.png
Artecture

파일:빅스비.png
Bixby

파일:write_on_pdf.png
PDF에 쓰기

파일:PENUP.png
PENUP

파일:external/cdn4.aptoide.com/71ee98339a53725660cec9267ddb8add.png
S바로

파일:STranslator.png
S번역기

파일:S_Voice.png
S보이스

서비스 종료

파일:갤뷰리모트.png
갤럭시 뷰 리모트

파일:external/data.apkhere.com/icon.png
게임 캐스트

파일:milk.png
밀크

삼성 러닝

파일:samsung_link.png
삼성 링크

삼성 북스

삼성 와치온

삼성 월렛

삼성 허브

삼성 Kies

파일:음성 명령.png
음성명령

파일:음성 대화.png
음성대화

챗온

Geo 뉴스

New PC Studio



파일:galaxyapps_icon_table.png Galaxy Essentials

삼성 녹스
Samsung KNOX

파일:SamsungKnoxLogo.png

파일:knox.png

개발

Samsung Electronics Co., Ltd.,

유통

플랫폼

안드로이드

다운로드

파일:Google Play.png 구글 플레이

웹사이트

Samsung Knox



1. 개요2. 출시 배경3. 상세
3.1. 구조
3.1.1. Knox 워런티3.1.2. Knox 적용
3.1.2.1. 설치3.1.2.2. 기본 기능3.1.2.3. 애플리케이션 설치(삼성 Knox apps)3.1.2.4. USB 데이터 모드
3.2. Knox 2.03.3. 세부 솔루션
3.3.1. My KNOX3.3.2. KNOX Express3.3.3. KNOX Premium3.3.4. Work Space3.3.5. 보안 폴더
3.3.5.1. 지원 기기
3.3.6. KNOX 액티브 프로텍션
4. 관련 영상5. 기타

1. 개요[편집]

삼성전자에서 출시한 보안 소프트웨어. 시큐리티를 강조한 모바일 플랫폼으로, 현재 안드로이드 4.3 젤리빈 이상 및 타이젠 2.4 이상의 운영체제에 탑재되어 있다. 현재 기업과 관공서는 유료로 판매되며 일반 삼성전자 스마트폰 사용자에게는 무료로 제공되고 있다.

삼성 녹스라는 이름은 포트 녹스라는 이름에 착안하여 만들어졌다고 한다. 경쟁 기술로는 이쪽 업계의 터줏대감인 블랙베리BIS/밸런스와 잘 알려지지 않은 LG전자Gate 정도가 있다.

취약점으로 인한 해킹위험성과 버그 등이 많았다. 지금은 서비스 종료되었고, 기능이 축소된 보안폴더 서비스를 이용할 수 있다. 업무용만 아니라면 보안폴더만으로도 기존 라이트 유저의 수요는 충족하기에 큰 무리는 없다.

안드로이드 4.3 이상 삼성 스마트폰[1]을 지원한다.

2. 출시 배경[편집]

스마트 기기가 대중화된 이후, 직장에서 일괄적으로 지급하던 업무용 단말기를 회사 서버에 물려서 사용하는 형태에서 점차적으로 이른바 BYOD[2]라고 하는 개인적으로 구매한 단말기를 회사에서도 사용하는 형태가 일반화되면서 보안 문제가 불거지기 시작했다. 때문에 기업과 관공서 및 각국 군부대 업무처리에 대한 보안을 강화하기 위해서 기획되어진 것으로 보인다.

2013년 5월 까다롭기로 유명한 미 국방부의 조건[3]을 통과했고, 2014년 2월 26일에는 미국 국가 정보보증 협회(NIAP)[4]로부터 스마트폰 최초로 모바일 단말 CC[5] 보안 인증인 MDFPP[6]를 획득했다고 한다.

이후 미국 연방 수사국과 미국의 각 군에 제품 공급을 추진하고 있고, 2013년 10월 영국 통신 당국의 보안 인증 역시 통과했다.

2016년에는 중국 정보 보안 인증 기구인 ‘ISCCC[7]’와 프랑스 정보시스템 보안기구인 ‘ANSSI[8]’로부터 보안 솔루션 인증을 획득했다.

개인 헤비 유저들은 루팅 등 시스템 수정이 어려워져서 선호하지 않으나, 그래봐야 대다수의 비전문가들은 거의 신경쓰지 않으며 보안을 더욱 중시하는 높으신 분들은 매우 좋아하는 현실. 사실 루팅은 스스로 보안 위험에 노출되는 것이기 때문에 보안이 중요한 기업체에서 사용을 삼가는 것이 맞는 것이기도 하다. 다만 기업 사용자를 위해서 탑재된 것이다 보니 개인 사용자 입장에선 불편하게 느껴질 수 있다는 것이 문제.

3. 상세[편집]

사실 Knox 기술은 두 가지로 이루어져 있다. 하나는 Knox Notification Manager, 하나는 Knox Container. Knox Notification Manager는 SELinux[9]와 물려 동작한다. 시스템에 허가되지 않은 접근이 발견 될 경우, 즉시 차단하고 사용자에게 경고를 보낸다. 또한 SELinux 상태가 Permissive나 Disabled[10]로 변경 될 경우, '안드로이드 SE가 해제되었습니다.'라고 아주 친절하게 재부팅하여 보안 정보를 복원할 것을 요구한다. 다만 사실상 Knox는 아래 내용인 Knox Container를 지칭한다. 아래에서는 Knox Container에 대해 다룬다.

3.1. 구조[편집]

간단히 설명하면, 하나의 기기에 일반적으로 사용하는 개인 사용자 공간에 가상적으로 구현한 강화된 보안 공간을 설치하여 하나의 기기로 개인용과 업무용으로 구분해 사용한다. 여기까지는 간단한 사생활 잠금 기능과 유사하나, Knox는 보안 공간을 암호화해 완전히 잠가버린다는 점이 특징이다.

즉, 보안 공간인 Knox 컨테이너와 일반 사용자 공간은 단순한 방법으로 데이터 송수신을 할 수 없다. 뿐만 아니라 이 상태에서는 USB 케이블 역시 단순한 충전기능으로만 사용할 수 있다. 이로 인해 해킹이나 바이러스 등의 노출에서 차단이 가능해진다고 한다.

3.1.1. Knox 워런티[편집]

삼성전자에서는 Knox가 기본 탑재되는 기기와 대규모 업그레이드를 통해 Knox 지원이 가능해지는 기기의 내부에 Knox의 보안을 위해 'Knox warranty'라는 것을 부여한다. [11]

기본적으로 Knox 워런티는 다운로드 모드 상태에서 확인했을 때, 'KNOX WARRANTY VOID: 0 / KNOX WARRANTY VOID: 0x0 / BIT WARRANTY: 0' 상태지만 커스텀 펌웨어 설치나, 루팅, 다운그레이드[12] 등 제품의 시스템 영역을 임의로 조작하게 되면 Knox 워런티가 0x1/1로 변하게 되며 Knox를 이용할 수 없게 된다. 이는 과거 삼성전자의 '루팅 카운터'와는 달리 제거할 수도 없다. 루팅 카운트는 eMMC 내부의 특정 파티션에 기록되는 것이라 삭제가 가능하지만, Knox 워런티의 경우에는 eFUSE[13] 라는 하드웨어 자체가 변경되기 때문에 기본적으로 원상복구가 불가능하다.[14] Knox 워런티는 사실상 플래그로서, eFUSE 회로가 정상적으로 연결된 상태에선 0(정상), eFUSE 회로가 Re-Programming 되어 연결이 끊어진 경우 1(변조)로 표기된다. 이 부분이 헤비 사용자, 특히 커스텀 롬을 이용하는 유저들의 경우 어쩔 수 없이 KNOX 워런티를 포기해야 한다.

단, 그냥 워런티가 아니라 'Knox 워런티'라고 굳이 따로 이름이 붙어 있다는 점에 주목. 이 말은 즉 Knox 워런티가 깨졌다고 해서 모든 A/S가 막히는 게 아니라 일부 소프트웨어와 관련된 수리만 막힌다는 소리로, 일부 소프트웨어와 무관한 타 무상 A/S 서비스 가능 사유가 있다면 여전히 무상 A/S를 받을 수 있으며[15], 이는 삼성 모바일샵의 공식 입장링크 삭제됨으로 확인된 사항이다.

KNOX WARRANTY VOID bit가 0x1로 바뀌면, 더 이상 Knox Container를 포함해 삼성 페이 등 Knox와 연계된 모든 서비스를 구동할 수 없게 된다. 이렇게 사용을 제한하는 이유는 펌웨어 변조 등으로 인하여 기기가 변조되어 기기 자체를 신뢰할 수 없는 상황이 오면 Knox Container 내의 자료에는 일절 접근할 수 없도록 하여 내부의 데이터를 보호하는 것이다. 컨테이너 자체가 변조위험이 있다면 사용 자체를 막는 건 굉장히 바람직한 방법이다. 또한 EFS 파티션이 손상되어 IMEI가 손상되어도 워런티가 변형되었을 경우 삼성 내부 정책으로 인해 센터에서 IMEI 재발급이 불가능 해진다.[16]

헤비 유저들의 경우 갤럭시 S6 이전에는 Knox를 포기하고 루팅 등을 하는 경우가 많았으나, 최종보스삼성 페이 등 Knox와 연계된 서비스가 점차 늘어남에 따라 시스템 수정을 포기하는 유저들이 늘어나고 있다.때문에 추노마크와 악성 앱을 삭제할 수 없게 되었다[17][18][19]

3.1.2. Knox 적용[편집]

3.1.2.1. 설치[편집]

Knox 애플리케이션이 존재하는 삼성전자스마트폰태블릿 컴퓨터에서 단순히 일반 사용자 공간에서 Knox 애플리케이션을 처음으로 접속하게 되면 Knox 컨테이너 설치유무를 묻고, 시작하게 된다.

3.1.2.2. 기본 기능[편집]

제품의 기본적인 기능들은 역시 Knox 컨테이너 내부에 별도로 관리하며 Knox 컨테이너 내부에서 등록 및 생성된 데이터는 일반 사용자 공간에서는 확인할 수 없다. 단, 사용자의 편의를 위해 Knox 컨테이너 내부에서 일반 사용자 공간의 데이터를 열람하는 것은 가능하다.

3.1.2.2.1. 연락처[편집]

녹스에 등록된 연락처뿐만 아니라 개인홈에 등록된 연락처도 볼 수 있다. 이와 반대로 개인홈에서도 녹스에 등록된 연락처를 볼 수 있다.  단, 이를 위하여는 녹스의 설정에서 "KNOX 연락처 표시" 항목에 체크를 해 주어야 하며, 이 경우에도 개인홈에서는 녹스의 연락처를 볼 수만 있을 뿐 삭제나 편집은 녹스 모드에서만 가능하다. [20]

3.1.2.2.2. 이메일[편집]

익스체인지 계정 자체가 녹스 안에 등록되어 있으므로, 원래의 개인홈에 있는 이메일 앱에서는 아무것도 안 나온다. 다만, 개인홈에서도 이메일 알림은 뜨며 "녹스에서 확인하세요"라고 나오고, 그것을 누르면 녹스 비밀번호를 입력하는 화면이 나온다. 즉 새로운 이메일이 온 사실은 개인홈에서도 알 수 있다.

3.1.2.2.3. 삼성 노트[편집]

개인홈의 삼성 노트와 녹스의 삼성 노트는 완전히 분리되어 있다.

3.1.2.2.4. 삼성 캘린더[편집]

삼성 캘린더의 경우, 녹스에서는 개인홈의 일정을 띄울 수 있지만, 반대로 녹스의 일정을 개인홈에서 표시되게 하는 것은 불가능하다.  단, 녹스의 개별 일정에 알림이 설정되어 있는 경우, 그 알림은 개인홈의 잠금화면에서도 뜬다.

3.1.2.3. 애플리케이션 설치(삼성 Knox apps)[편집]

구글 안드로이드의 경우 구글 플레이, 각 통신회사들이 운영하는 앱스토어와 제조사가 운영하는 직영 앱스토어 등으로 애플리케이션을 구매 및 다운로드받아 설치할 수 있지만, Knox 컨테이너 내부에서는 이들을 전혀 사용할 수 없다. 오로지 녹스에 특화된, 비지니스용 애플리케이션을 취급하는 삼성전자'삼성 Knox Apps'라는 Knox 전용 앱스토어를 이용해야 한다.

파일:external/media02.hongkiat.com/knox-app-store-2.jpg

이는 보안성이 의심되는 난잡한 애플리케이션을 걸려내기 위해 애플앱스토어처럼 삼성전자가 직접 Knox에 최적화된 애플리케이션을 선별할 계획인 것으로 보인다.

초기에는 약 80여개의 애플리케이션이 등록되어 거래가 이루어졌다.

이후, Knox 2.0를 런칭하면서 전용 클라우드 기반 앱스토어인 'Knox 마켓 플레이스'를 론칭했다. 이로 인해 Knox 내부에서 사용할 수 있는 애플리케이션이 대폭 증가하게 되었다고 한다. 결제 시스템 역시 외부와 분리되어 있어서 Knox 내부에서 사용할 것들만 별도로 결제를 해주면 된다고 한다.

또한 Knox apps의 경우에는 구글 플레이가 올라오지 않는 중국 내수용 갤럭시 스마트폰이라도 삼성전자가 직접 경영한다. 원래 외국 기업이 중국 내에서 앱 스토어를 경영하기 위해서는 중국 내 현지 파트너와 협력해 중국 정부로부터 라이센스 허가를 받아 중국 내 현지 파트너와 협력해서 경영해야 하는데[21]녹스 관련된 경우에는 엄격한 심사를 거쳐서 순수하게 비지니스 업무에 사용하는 앱들만을 판매하는 구조[22]라서 운영 주체가 중국 내 파트너로 변경되는 경우, 여러가지 녹스 내부의 보안 문제와 직접적인 연관이 있기 때문에 이러한 이유를 들어서 녹스가 중국 보안 당국의 인증을 받았기 때문에, 중국 당국이 ISCCC를 통해 녹스의 보안을 인증을 해[23] 주면서, 녹스에 사용되는 녹스 앱스의 경우는 예외적으로 중국 정부 및 관공서 기관의 모바일 전자정부업무를 비롯한 중국의 모바일 업무 등에 사용하기 위한 수천만 대의 단말기를 중국 정부가 요구하는 조건에 맞춰 납품하는 조건으로, 중국 정부의 특별 라이센스를 취득해서 삼성전자가 유일하게 중국 내에서 직접 경영한다.

3.1.2.4. USB 데이터 모드[편집]

USB를 통해 Knox 컨테이너로 데이터를 넣거나 Knox 컨테이너로부터 데이터를 꺼낼 수 없으며 USB 케이블 역시 단순한 충전 기능만 사용할 수 있다. 때문에 클라우드 서비스를 거치는 약간 불편한 방법으로 데이터를 송수신해야 한다.

3.2. Knox 2.0[편집]

기존 Knox에서 보안 기능을 강화하여 2014년 2월에 발표되었다. 안드로이드 4.4 킷캣을 베이스로 사용하기 때문에 4.3 젤리빈 이하 운영체제에서는 작동하지 않는다. 최초 지원 기기는 갤럭시 S5이다. [24]

기존 Knox와 차이점으로는,

  • 지문인식과 연동하여 기존의 PIN 번호 인증과 같이 사용하게 하여 이중 인증을 지원한다.

  • 클라우드 서비스가 강화되었다. 클라우드라는 특성상, 어디에 있든 쉽게 자료 열람이 가능하지만 보안에 취약할 수가 있다는 단점이 존재했는데, EMM[25] 기능을 이용해 클라우드 환경에서 업무를 처리해도 인증 권한 등을 이용해 보안을 강화했다고 한다.

  • 공인 인증서, 보안카드 등 사용자 인증정보 및 각종 암호화 키 정보를 하드웨어 칩셋 내부에 구현된 트러스트 존을 통해 관리할 수 있게 되었다고 한다. 이는 애플애플 A7 AP 내부에 Touch ID 정보를 저장하는 기능과 유사하다.[26]

  • Knox 외부의 애플리케이션을 내부에서 사용하려면 변환 작업[27]을 해주어야 했지만, 별도의 변환 없이 동기화할 수 있다

  • 기기의 소프트웨어 정보와 커널 정보를 모니터링하는 기능이 추가되었다.

  • Knox 2.0 출시 당시 안타깝게도 Knox 1.0에서 Knox 2.0으로 자동 업그레이드 하는 기능은 제공되지 않았다. 단말기를 Knox 2.0 지원 펌웨어로 업데이트한 다음 Knox 1.0 컨테이너를 수동으로 삭제한 후 2.0 컨테이너를 다시 생성해야 했고, 이를 강제하기 위하여 전 업그레이드 대상 단말기의 Knox 1.0 컨테이너를 사용 불가상태로 만드는게 고작이었다. 재생성하는 와중에 2.0 컨테이너를 만들게 될테니까. 중앙에서 버전관리를 하지 못한다는 것은 기업 입장에서는 상당한 약점이 될 수 있다. 실제로 삼성전자의 경우 Knox 1.0에서 2.0으로 업그레이드를 진행하는 와중에 홍역을 치렀다.

3.3. 세부 솔루션[편집]

3.3.1. My KNOX[편집]

업무용 데이터와 개인용 데이터를 분리하는 무료 보안 솔루션으로 개인을 타겟으로 한 솔루션이다. 삼성전자 단말기에서만 사용할 수 있다.

구글 플레이스토어에서 설치 가능한 My Knox 앱을 사용해서 허가를 받은 사람만 접근할 수 있는 컨테이너를 만들 수 있고, 모든 파일과 데이터가 이 컨테이너 안에서 암호화된다. 즉, 자체 홈 화면, 시작 관리자, 애플리케이션 및 위젯을 모두 갖추고 있는 가상의 모바일 디바이스라 할 수 있다. IT 부서의 지원 없이도 임직원의 업무 효율을 높이는 보완적인 솔루션으로 활용할 수 있다.

IT 관련 설정과 같은 번거로운 절차 없이 간편하게 모바일 디바이스를 보호할 수 있는 방법을 제공하며 안드로이드 운영체제 환경을 그대로 사용하기에 기존 사용자 인터페이스를 그대로 사용하며 업무용 이메일 및 기타 중요한 데이터와 애플리케이션과 데이터 등을 보호할 수 있다.

글로벌 버전의 경우는 구글 플레이를 통한 앱 설치, 중국 버전의 경우는 갤럭시 앱스를 통한 앱 설치[28] 및 기존 개인용 공간으로부터의 애플리케이션 이동을 지원한다.[29] 앱 설치나 자료 전송이 일반 환경에 버금갈 정도로 자유롭기 때문에 보안 성능 뿐만 아니라 숨덕질 등의 사생활 보호에도 매우 유용하다. 외부의 앱을 삭제해도 내부 앱은 유지되기 때문에 앱 은닉에 있어서는 최상의 솔루션. 다만 다른 솔루션과 달리 이렇게 설치 가능한 앱이 안전하리란 보장이 없기 때문에, 100% 신뢰할 수 있는 앱[30]만 Knox 내부로 마이그레이션하는 것이 안전하다

갤럭시 S6 이상 기기의 경우 삼성 테마에서 적용한 테마가 Knox 내부 환경에 적용되지 않는 등 자잘한 불편 사항이 몇몇 있다.

갤럭시 S7을 마지막으로 서비스를 종료한다. 갤럭시 S8부터는 보안 폴더를 대신 사용해야 한다.

파일:knox초절전오류.png
안드로이드 7.0 버전을 구동하는 갤럭시 S6, 갤럭시 S6 엣지, 갤럭시 S6 엣지+, 갤럭시 S6 Active, 갤럭시 노트5, 갤럭시 J3 Pop에서 초절전 모드 실행 시 My Knox가 초기화되는 버그가 있다. 수정되었는지는 확인바람.

2017년12월19일 My Knox를 지원 종료된다.

안녕하세요

My Knox를 사용해 주셔서 감사합니다.

이전에 알려드렸던 바와 같이 2017년 12월 19일부로 My Knox 지원을 종료합니다. 서비스 종료 시점 이후로는 앱 스토어에서 My Knox를 다운로드 할 수 없습니다.

My Knox 앱을 삭제하기 전까지는 모바일 디바이스에서 계속해서 My Knox를 사용할 수 있습니다. 다만, My Knox 비밀번호를 초기화하거나 My Knox 잠금을 해제하는 등 디바이스를 원격으로 관리할 수 있는 My Knox 포털 에 로그인 할 수 없습니다.

사용하고 계신 휴대전화가 안드로이드 N 이상의 운영체제를 지원하는 경우에는, Google Play 또는 Galaxy Apps에서 보안 폴더 앱을 설치한 후, My Knox에 저장된 개인 데이터를 보안 폴더로 옮기세요. (Galaxy Note 8과 같은 신규 출시 모델의 경우는 보안 폴더가 기본으로 탑재되어 있어 별도의 다운로드가 필요하지 않습니다) My Knox 데이터를 먼저 백업한 후 보안 폴더에 백업 데이터를 복원 할 것을 권장합니다.

My Knox 데이터를 백업하려면 [My Knox 설정 > 백업 및 복원 > My Knox 데이터 백업]으로 이동하세요. (My Knox 백업 및 복원 기능을 사용하려면 삼성 계정이 필요합니다.)

현재 사용하고 계신 휴대전화가 보안 폴더를 지원하지 않는 경우에는, ‘퍼스널 모드로 이동’ 등의 기능을 사용하여 My Knox 데이터를 My Knox 외부로 백업하시기 바랍니다.

My Knox 서비스 종료와 관련한 자세한 내용은 My Knox 자주 묻는 질문 에서 확인하세요.

그 동안 My Knox 서비스를 사용해 주셔서 감사 드립니다. 삼성은 끊임없는 혁신을 통해 최상의 제품과 서비스를 제공하기 위해 노력하고 있습니다.

* 보안 폴더 앱은 N OS가 설치된 디바이스라 하더라도 모델, 이동통신사에 따라 지원되지 않을 수 있습니다.


감사합니다.
삼성 My Knox 팀

3.3.2. KNOX Express[편집]

간편한 보안을 위한 무료 보안 솔루션으로 중소기업을 타겟으로 한 솔루션이다. 삼성전자 외 단말기에서도 사용할 수 있다.[31]

클라우드 기반의 콘솔을 사용하며 설정 및 원격 관리가 간편하다고 한다. 사용자가 각자 사용하는 개인 단말기를 직접 관리하고 컨테이너를 통해 승인을 거친 다양한 애플리케이션을 사용할 수 있다고 한다.

3.3.3. KNOX Premium[편집]

구글 안드로이드 및 애플 iOS 디바이스를 관리할 수 있는 종합 솔루션이다. [32]

사용자가 각자 사용하는 개인 단말기로 업무용 데이터와 개인용 데이터를 Knox를 이용해 같이 다룰 때, 사측에서 업무용 데이터만 관리할 수 있게하는 솔루션이다. 반대로 말해서 사측은 해당 솔루션을 사용할 때 개인용 데이터에는 접근할 수 없기 때문에 직원 사생활 침해 논란에서 자유로울 수 있다.

기본적으로 민감한 업무용 데이터 관리를 위해 원격 제어 및 관리 기능과 사측에 맞는 보안 정책을 설정 및 적용할 수 있다. 또한, Knox[33] 뿐만이 아니라 타사의 보안 솔루션을 같이 적용해 사용할 수 있다. [34]

Knox는 단말 보안을 위한 플랫폼만을 제공한다. 그래서 Knox를 제어하고[35], 각종 단말 보안정책을 적용하여 스마트폰을 쥐락펴락[36]하는 MDM[37]을 결합하여 제품으로 출시한 것. 보안솔루션이라는게 다 그렇지만 이 MDM이라는 물건은 당연히 사용자들에게는 평판이 매우, 아주 많이 안 좋다. 지워버리고 싶은 앱 부동의 1위! 그런데 그냥은 삭제도 안 된다[38]. 치사하게 공장초기화를 해도 단말이 정상화되지 않는다. 펌웨어 업데이트를 해도 마찬가지다.[39] 삼성그룹 계열사 임직원이 사용하던 단말기를 중고구매했다가 이런 사단이 나는 경우는 MDM 콜센터나 운영부서를 찾아내서 정식 절차 대로 삭제를 지원받자. 이런 경우 한정으로 군말 않고 MDM 삭제 지원을 해 준다. iOS의 경우는 현재 Knox를 제공하지 않기 때문에 MDM을 통한 단말 보안정책 적용/해제만 지원한다.

3.3.4. Work Space[편집]

간단하고 효율적인 관리를 추구하는 모바일 보안 솔루션이다. 네 가지의 솔루션 중 가장 강력한 보안을 자랑한다.

기기 당 두 개의 컨테이너를 지원[40]하며 삼성 Knox 앱스를 통해서만 애플리케이션을 다운로드 받을 수 있다. 다만, 단순한 동작으로 개인용 애플리케이션과 전환을 이루어지게 한다고 한다.

현재, 기업이나 관공서 각 국 정보당국의 인증을 받은 솔루션으로 기기가 부팅이되는 순간, Trusted Boot 및 ARM TrustZone 등 하드웨어 수준부터 애플리케이션 수준까지 여러 단계에 걸쳐 인프라를 보호한다고 한다.

사실 원래의 Knox API에서는 다 지원하는 부분이다. 라이센스에 따라 사용가능 여부가 결정될 뿐.

3.3.5. 보안 폴더[편집]

파일:Screenshot_20170423-180509.png
Knox 2.7부터 추가된 솔루션이다. 갤럭시 노트7부터 기본 탑재된다.

Knox 기반의 서비스로, 애플리케이션을 보안폴더 내 내장된 스토어에서 다운받거나 복제할 경우 보안폴더내에 들어간 을 이용하기 위해선 사용자가 임의로 설정한 보안 솔루션을 풀어야한다. 특히 보안폴더 내의 앱은 외부의 동일 앱과 설정값 및 데이터를 공유하지 않으며 보안폴더 내 애플리케이션의 내용은 보안 폴더 밖에서 확인할 수 없다. 이 때문에 이를 이용해서 하나의 기기로 동일한 내용을 가진 하나의 애플리케이션을 두 개의 계정으로 사용하는 것이 가능하다고 한다.[41]

참고로 애플리케이션 외에도 일반적인 음악파일, 문서파일, 공인인증서 등 '내 파일'(갤럭시 스마트폰 내장 파일관리자)에서 확인가능한 모든 종류의 파일을 보안폴더로 옮길 수 있다.

보안 폴더와 별개로 녹스 앱을 설치할 수 있으며, 기능상 차이는 없다.

갤럭시 S8부터는 더이상 My Knox를 지원하지 않고, 보안 폴더가 메인이 된다.

야동덕후를 위한 것인지는 모르겠지만 보안 폴더의 이름과 아이콘을 제한적이지만 바꿀 수 있게 되어 있다.

몇 가지 버그가 확인되어 있다.

  1. 일반영역에서 미디어 파일을 이동해 왔을 경우 갤러리에서 보이지 않을 수 있다. 이런 경우 단말을 재시작할 것. 파일 이동 후 썸네일이 생성되지 않는것으로 보인다. 솔직히 야동... 숨기다가 발견한 버그다.

  2. 보안폴더 내의 연락처 앱에서 일반영역의 연락처를 볼 수 있도록 설정한 단말기를 블루투스로 차량과 페어링 하는 경우 똑같은 연락처가 두 번 차량으로 다운되는 현상이 있다[42]. 일반영역 연락처 한 번, 보안폴더 내 연락처에 동기화된 연락처 한 번 - 이렇게 두 번 다운되는 것으로 보인다. 보안폴더 내의 연락처 앱에서 일반영역의 연락처를 볼 수 없게 설정을 바꾸면 임시로 해결이 된다.

  3. 보안폴더 내에서 지문인식을 이용하는 은행어플 이용시 보안폴더내 삼성패스오류로 인해 해당 어플에서 지문인식 사용불가.


이 중 1번과 2번 버그에 대해 삼성전자 측에 문의한 결과 이 버그들은 펌웨어 개선으로 해결하겠다는 답변을 받았다. 개선 여부는 확인바람.

보안 폴더 내부에 구글 번역이나 페이스북 메신저 등을 설치하면 알림이 오거나 텍스트를 복사할 때 동그란 팝업창이 뜬다. 보안폴더를 잠궈도 내부 프로그램은 언제나 작동하고 있다는 뜻.

여담으로 보급형 스마트폰인 갤럭시 와이드2나 보급형 태블릿인 갤럭시 탭 A 8.0(2017)에도 기본 탑재되어 있다. 다만 둘 다 지문인식이 없기 때문에 암호가 뚫리지 않도록 조심하자. 보급형 스마트폰을 사용하는 야동유저들을 위한 배려

3.3.5.1. 지원 기기[편집]

3.3.6. KNOX 액티브 프로텍션[편집]

4. 관련 영상[편집]


삼성 KNOX 소개 영상.

5. 기타[편집]

  • 보안 취약점이 존재한다는 말이 있었으나, 삼성전자는 부인 후 반박하는 것으로 대응했다. 이후, 최초로 보안 결함 문제를 제기한 이스라엘의 벤구리온 대학 사이버 보안 연구팀과 공동으로 테스트를 진행하여 '이상없다'는 결론을 내렸다고 한다.[43]

  • 한국 내에서는 국방부[44]국가정보원 등 주요 관공서 등을 대상으로 운영하기 위해 준비하는 중이라고 하며, 모바일 전자정부 솔루션 채택도 검토 중이라고 한다.

  • 삼성전자 내부에서는 기업 및 관공서 시장 확대 이전에, 전 세계의 삼성전자 자사 임직원 중 갤럭시 S4갤럭시 J[45], 갤럭시 노트3를 사용하는 임직원을 대상으로 레퍼런스로 삼아 우선 시범 사용 계획이 있다고 한다.[46] 자사를 레퍼런스로 삼은 것은 삼성전자 전체 직원이 녹스의 안정성, 편리성 등 검증에 참여할 수 있다고 한다.[47] 이후 가능하다면 삼성 그룹의 전 계열사로도 이를 확대할 계획이라고 한다.

  • 2014년 구글 I/O의 발표에서 안드로이드 자체에 녹스가 통합이 된다고 밝혔다.# 삼성은 이로 인해 블랙베리가 장악한 엔터프라이즈 시장에서 안드로이드의 매력을 높일 수 있을 것으로 기대한다고 한다. 하지만 그 외 다른 핵심 보안 기능은 안드로이드폰 제조 경쟁사들과 공유되지 않을 거라고 한다.

  • 블랙베리도 손을 잡았다. 블랙베리의 보안 기술인 엔터프라이즈 기술도 녹스에 적용할 것이라고 하며, 이를 탑재한 스마트폰과 태블릿 컴퓨터도 선보일 것이라고 한다.

  • 갤럭시 S4의 경우 안드로이드 4.3 젤리빈 펌웨어는 일반 소비자용 펌웨어와 삼성전자 내부 적용을 위한 Knox 펌웨어가 따로 있었다. 그런데 특정 버전 Knox 펌웨어의 경우 공장초기화를 하고 나면 단말이 부팅이 안 되는 이슈가 발생했다.[48] 당시는 사내 테스트 용도였기 때문에 삼성전자서비스 A/S 기사들은 Knox가 존재한다는 것 자체를 몰랐던 관계로 커스텀 펌웨어를 사용하여 메인보드가 죽은것으로 처리될 수 밖에 없는 상황이였다고 한다. 이런 경우는 당연히 유상 확정. 당시 삼성전자 Knox 운영담당자가 이것 때문에 테스트용으로 종종 사용하곤 하던 개인 소유의 스마트폰 단말기의 메인보드를 교체한 적이 있다. 그런데 얼마 지나지 않아 이런 케이스를 조치할 수 있도록 가이드가 내려왔다. 그리고 4.4 킷캣으로 업그레이드 되면서 Knox가 모든 S4에 적용되어 해결되었다.

[1] 일부 모델 제외[2] Bring Your Own Device[3] FIPS 140-2 인증[4] NIAP는 미국 국가안보국 산하 인증기관으로 보안 인증 테스트 등을 담당한다.[5] Common Criteria[6] Mobile Device Fundamentals Protection Profile[7] China Information Security Certification Center)[8] Agence Nationale de la Sécurité des Systèmes d’Information[9] SE Android[10] 기본적으로 Enforcing 상태다.[11] 갤럭시 노트 II를 포함하여 이후 출시된 모든 플래그십급 단말기에는 Knox warranty가 적용되어 있었다. 그동안 Knox가 펌웨어에 적용되지 않아 보이지 않았을 뿐이다.[12] 순정펌웨어 파일로 다운그레이드 하는 경우에는 Knox 워런티가 깨지지 않는다. 단, 소프트웨어 업데이트를 통해 녹스가 추가된 기기를 녹스가 없는 순정펌웨어로 다운그레이드를 할 경우 녹스를 깨는 것은 불가피하다.[13] eFUSE는 IBM사에서 개발된 실시간 재프로그래밍 칩이며 Knox 워런티 플래그가 0x1이나 1이 되었다는건 이 eFUSE 회로가 작동하여 스스로 재 프로그래밍 하여 플래그 값을 1로 바꾸었다는 의미. 즉, 회로를 뜯어고쳐야한다. 이는 Knox의 개발이 시작된 시기에 갤럭시 S4부터 지금까지 탑재되어 오고 있다. 재 프로그램 될경우 이렇게 eFUSE가 끊어져버린다. [14] 그러나 간혹 이런 사례가 발견되고 있어 Knox가 정말로 eFUSE와 관련되는지는 유저 레벨에서의 확인이 필요하다. 해당 링크는 녹스 워런티가 268435452인 상태에서 eFUSE가 끊어지지 않는 현상인데, 아마 오버플로우와 관련이 있지 않나 싶다.[15] 심지어 KNOX 워런티가 1로 올라간 상태에서, KNOX 워런티와 무관하게 메인보드가 고장난 상황이여도 무상 A/S 기간이 남아있다면, 교체가 가능하다! 새로운 메인보드로 교체받는 것이기 때문에 KNOX 워런티도 0으로 돌아온다.[16] 하드웨어적으로 라이팅에 락이 걸리는건 아니니 워런티 깰 일 있으면 EFS 파티션을 백업하는것을 권장한다. 안그러면 IMEI 날라갔을때 돈이 엄청 깨지는 메인보드 교체가 기다리고 있다.[17] 두 가지 모두 시스템 영역에 박혀있기 때문에 루팅을 하지 않는 한 없애거나 삭제할 수 없다.[18] 안드로이드 버전 오레오(8.0.0) 이상에서는 Galaxy Apps에서 Good Lock 2018 이란 앱을 다운받아 추노마크는 없앨 수 있게 되었다.[19] 그런데 일부 단말기 한정으로 Knox Warranty에 대한 우회책이 나와 이것도 이젠 옛말이 되어가고 있다. 녹스 워런티가 깨졌더라도 일부 특정 커스텀 커널을 씌울 경우 녹스 및 제한적으로 삼성페이 사용이 가능해지는데(!) 원리는 애초에 녹스 워런티 값을 읽지않고 그냥 항상 플래그 값이 0이라고 속임으로써 사용이 가능하게끔 하는것이다.[20] 참고로 특정 녹스연락처를 개인홈에서 숨기는 것은 가능하다.[21] 중국에서 안드로이드 폰의 앱 스토어를 경영하기 위한 조건으로 라이센스를 발급하는데 여기에는 중국인과 중국 내자 기업이 100% 지분을 가지는 것이 조건으로 붙는다.라이센스 취득의 경우 중국인/중국 기업이 100% 지분을 가진 경우에만 허가하는 구조이다. 단 외국 기업이라도 중국 기업과 합병한 기업의 경우에도 라이센스가 허가된다.(소프트뱅크의 완도우지아도 지분을 인수한 경우에 해당되기 때문에 합병 기업에 속한다.) 이 때문에 외국 기업의 경우에는 중국에서 앱 스토어를 경영하기 위해 중국 현지 파트너가 운영 주체로 변경되는 경우가 많다. 삼성전자의 경우 삼성 갤럭시 앱스의 중국 현지 파트너는 시나닷컴이다. 즉 삼성 갤럭시 앱스의 중국판은 삼성전자 중국지사가 일부 관여하기는 하지만 직접 운영하는 것이 아니고 삼성전자의 중국 내 파트너인 시나(Sina.com)가 운영 주체가 되어, 외국 자본을 통해 라이센스 문제를 해결하고 있다.[22] 절대 게임이라든지 보안성이 의심되는 앱들은 절대 못 올라온다. 녹스 컨테이너의 경우에는 녹스 앱스에 업무용 앱, 비즈니스 앱들을 기존 삼성 갤럭시 앱스보다 더 까다로운 심사를 통해서 올라온다고 한다.[23] 사용 된 기기는 갤럭시 S6 엣지+갤럭시 노트5를 사용했다.[24] 개인 사용자의 경우 기본적으로 비활성화 되어 있으며, 별도로 활성화를 시켜 주어야만 한다.[25] Enterprise Mobility Management[26] 다만, 이쪽은 Touch ID에 국한되어 데이터를 저장한다.[27] Redex라고 한다. 삼성전자에서 대상 앱의 보안성을 점검한 후 작업을 한다. 이 과정에서 앱의 클래스명이 수정된다. 정확히는 원래의 클래스명 앞에 접두사가 더 붙는다. 앱 유지보수 담당자 입장에서는 개발 후 배포시점에 불편한 단계가 하나 추가된 셈으로, 보안성 검토 후 Redex 작업이 이루어지는데 최소 몇 시간 최대 며칠이 걸린다. 또한 자신의 클래스명을 체크해야 하는 경우가 있을경우도 클래스명 변경을 감안해서 개발해야 한다.[28] 녹스 앱스도 같이 탑재 되어 있는 형태이다.[29] 다만 APK 파일을 직접 Knox 공간 내부에 설치하는 것만큼은 불가능. APK 파일을 Knox 공간으로 이동시킬 수조차 없어서 시도라도 해보려면 클라우드 서비스를 이용해야 한다. 이러다 보니 통신사 앱 스토어 등 서드파티 스토어도 당연히 못 쓴다. 어차피 외부에 설치해서 안으로 끌어오면 그만일 텐데도 굳이 막아놓은 이유는 불명(...). 예외적으로 구글 플레이를 이용 할 수 없는 중국판은 갤럭시 앱스를 통해서 앱 설치가 가능하다.[30] 유명 앱 개발 업체나 금융 업체에서 유통망을 통해 정식으로 배포하는 앱. 구글 플레이에 등록된 앱이라고 다 안전한 게 아니기 때문에, 감시의 눈이 많아 함부로 헛짓거리를 못하는 유명 업체 앱을 쓰는 게 좋다.[31] 안드로이드에 Knox가 통합되는 것과 무관하지 않을 것 같다.[32] 내부 구성 관련해서는 마지막 문단 참조[33] 정확히 말하면 MDM[34] KNOX MDM 파트너십에 가입하면 Knox API를 제공받을 수 있는데, 이 API를 통해 Knox를 제어할 수 있다면 어떤 솔루션이라도 상관이 없다.[35] 이를테면 Knox 컨테이너를 원격으로 잠가 버리거나, 지워 버리는 등등[36] 출근하면서 게이트를 통과하면 단말 카메라와 USB를 사용 못하게 했다가, 퇴근하면서 게이트를 통과하면 사용 가능하게 하는 등[37] Mobile Device Management[38] MDM 앱이 디바이스 관리자에 등록되는데, 디바이스 관리자에 등록되는 앱은 등록 해제를 하기 전에는 삭제가 불가능하다. 삼성 단말기의 경우 MDM 앱이 디바이스 관리자에서 등록 해제가 안되도록 펌웨어 레벨에서 막기 때문에 일반적인 방법으로는 삭제 자체가 불가능하다.[39] MDM 앱을 설치한 다음 서버에 단말을 등록하여 MDM을 활성화 하면 공장초기화나 펌웨어 업데이트로 영향받지 않는 영역에 '나 MDM 사용하는 단말기요~!'라고 마킹이 되게 되어있다. 이 마킹이 존재하지만 공장초기화 등의 방법으로 MDM 앱이 삭제된 경우에는 단말 부팅할 때 MDM 보안 설정에 준하는 제한을 단말에 걸어버린다. 루팅을 해서 어찌 해 보려 시도하는 순간 이번에는 Knox 라이센스가 날아가니 이래저래 골치다... 다만 MIUI등 커스텀 롬을 설치하면 MDM은 작동하지 않는다고 한다. 커롬 깔아도 녹스는 날아가는데?[40] 다만 Knox API 자체는 컨테이너 생성 가능 갯수의 제한이 없다. 어른의 사정 때문에 두 개로 제한하는 것.[41] 예를 들자면 SNS 이중계정이라든지...[42] 8인치 네비게이션과 블루링크가 적용된 LF 쏘나타 차량에서 확인함.[43] 벤구리온 대학 연구팀에서 제기한 문제는 단말기에 내장된 데이터가 암호화 처리되지 않았을 경우에만 해당되는 것이라며 벤구리온대학 연구팀과 함께 다시 실험한 결과, 암호화가 실행된 녹스 단말기 내 데이터 유출은 불가능했다고 한다.[44] 국정원 심사가 완료되고, 채택이 된다면은 국방부 관계자도 이를 검토할 의향이 있다는 입장이다.[45] 2013년에 일본 시장을 타겟으로 하여 출시한 모델이다.[46] 이는 삼성전자의 브랜드 인지도와 IT 시장 영향력을 고려할 때 자사 첫 적용은 다른 기업이 참고할수 있는 좋은 사례가 된다고 한다.[47] 이 역시 보안 유지에 민감하기로 유명한 삼성전자가 보안 수준을 높히는 긍정적인 효과도 기대할 수 있다.[48] 해당 버전 펌웨어에 포함된 리커버리 파티션 이미지가 실제 단말의 리커버리 파티션의 크기보다 커서 플래시 메모리에 기록이 안되었다고 한다. 이 리커버리 파티션에 저장된 코드가 바로 공장초기화때 동작하는 코드인데 이게 제 짝이 아니였으니... 설상가상으로 Knox용 펌웨어는 Knox 적용버전 외 일반버전 펌웨어의 단말 기록을 막는 로직이 있는데 이건 또 정상작동했다. A/S 기사가 펌웨어 복구를 시도할 수가 없었다는 말.