Clash Verge macOS에서 시스템 확장이 차단됨? 개인정보 보호 및 보안에서 TUN 허용하기

왜 “시스템 확장이 차단됨”이 뜨나요?

Clash Verge와 같이 Mihomo(구 Clash Meta) 커널을 내장한 macOS 클라이언트에서 TUN 모드나 패킷 필터에 해당하는 기능을 켜면, 커널 확장·시스템 확장·네트워크 확장(Network Extension) 계열 구성 요소를 로드해야 하는 경우가 많습니다. Apple은 보안상 이 로드를 기본적으로 막고, 사용자가 설정 앱의 개인정보 보호 및 보안 화면에서 명시적으로 허용할 때까지 기다리게 설계해 두었습니다.

그래서 설치 직후나 앱 업데이트 직후에 TUN 토글을 처음 켜면, 화면 상단이나 알림 센터에 “시스템 확장이 차단되었습니다”와 비슷한 문구가 나타날 수 있습니다. 이것은 앱이 손상되었다는 뜻이라기보다는, 아직 사용자 승인이 없는 상태에서 확장 로드가 거절된 것에 가깝습니다. 같은 맥락에서 개발자를 허용하라는 안내가 함께 보이기도 합니다. 버전과 빌드에 따라 표시 문구·버튼 이름은 조금씩 다를 수 있으나, 해결의 중심은 항상 시스템 설정에서의 수동 허용과 재시작(또는 로그아웃)입니다.

시작 전에 확인할 것

먼저 macOS 버전과 칩 종류(Apple Silicon vs Intel)에 맞는 Clash Verge 패키지를 쓰고 있는지 확인하세요. 잘못된 아키텍처의 앱은 확장 단계에 도달하기 전에 실행 자체가 불안정할 수 있습니다. 최신 macOS에서는 시스템 확장·개발자 도구·보안 관련 UI가 이전 버전과 조금씩 달라질 수 있으므로, 아래 단계는 설정 앱의 검색창에 “확장”·“개발자”·“보안” 등을 입력해 해당 화면으로 이동하는 방식을 병행하면 헷갈림이 줄어듭니다.

동시에 다른 VPN 클라이언트나 유사한 네트워크 필터가 이미 TUN·필터 슬롯을 점유하고 있으면, Clash 쪽 확장이 로드되지 않거나 바로 비활성화될 수 있습니다. 테스트할 때는 일시적으로 충돌 가능성이 있는 앱을 끄고 순서를 밟는 것이 좋습니다. TUN의 일반적인 동작과 시스템 프록시와의 차이는 Clash TUN 모드 완전 가이드에서 더 넓게 다루고 있으니, 원리를 함께 보시면 이해가 빨라집니다.

개인정보 보호 및 보안에서 허용하기

다음은 대부분의 환경에서 통하는 권장 순서입니다. 이미 한 번 허용한 적이 있다면 해당 단계가 회색이거나 사라져 있을 수 있습니다.

1. Clash Verge에서 TUN 또는 동등한 메뉴를 켜 시도합니다. 이때 시스템이 확장 로드를 막으면 알림이 뜨거나, 설정으로 이동하라는 안내가 나올 수 있습니다.
2. 시스템 설정(구 시스템 환경설정)을 열고, 왼쪽 목록에서 개인정보 보호 및 보안(또는 상위에 개인정보 보호 및 보안이 통합된 최신 설정 트리)으로 이동합니다.
3. 화면을 아래로 스크롤해 보안 또는 시스템 확장 관련 구역을 찾습니다. 여기에 허용·확인·세부정보 보기 등의 버튼이 나타나는 경우가 많습니다. 표시된 개발자 이름·앱 이름이 Clash Verge 배포 주체와 일치하는지 확인한 뒤 허용합니다.
4. 별도로 개발자 도구나 개발자 모드를 켜야 한다는 안내가 보이면, Apple 문서에 따라 해당 토글을 활성화합니다. 일부 환경에서는 이 단계 후 관리자 비밀번호 입력과 재부팅이 요구됩니다.
5. 안내에 따라 Mac을 다시 시작합니다. 알림만 닫고 재부팅을 건너뛰면 확장이 여전히 차단된 채로 남는 경우가 흔합니다.
6. 재부팅 후 Clash Verge를 다시 실행하고 TUN을 다시 켭니다. 필요하면 앱을 완전히 종료했다가 다시 엽니다.

설정 UI는 macOS 메이저 버전마다 조금씩 옮겨집니다. 핵심은 차단 사실을 시스템이 기록해 두었고, 그 기록을 사용자가 개인정보 보호 및 보안 화면에서 해제해야 한다는 점입니다. 버튼이 보이지 않으면, 한 번 TUN을 다시 시도해 알림을 띄운 직후에 같은 화면을 새로고침해 보세요.

네트워크 확장과의 관계

TUN에 가까운 기능은 사용자 공간 앱만으로 끝나지 않고, 네트워크 확장 프레임워크 위에서 동작하는 구성 요소를 통해 가상 인터페이스나 패킷 경로를 등록하는 경우가 있습니다. 이때도 최종적으로는 시스템 확장 승인 흐름과 맞물립니다. 즉, 사용자 입장에서는 “TUN이 안 켜진다”로 보이지만, 실제 병목은 확장 로드 권한인 경우가 많습니다.

설정 앱의 일반 > 로그인 항목 및 확장(또는 이에 준하는 메뉴)에서 Clash Verge 관련 확장이 꺼져 있지 않은지 확인하세요. 사용자가 실수로 확장을 비활성화하면 동일한 증상이 반복됩니다.

TUN이 실제로 트래픽을 잡는지 검증하기

설정에서 허용을 마쳤다고 해서 곧바로 모든 앱이 노드를 탄다고 가정하지 마세요. 아래를 순서대로 확인하면 “확장은 됐는데 규칙·DNS 때문에 안 된다”와 구분하기 쉽습니다.

클라이언트 UI와 로그

Clash Verge에서 TUN이 켜진 상태로 표시되는지, 오류 배너가 없는지 봅니다. 대시보드나 로그에서 가상 인터페이스 생성·라우팅 관련 메시지가 있는지 확인하세요. 여기서 이미 오류가 반복되면 확장 이슈가 남았거나 다른 필터와 충돌하는지 다시 살펴봅니다.

터미널에서 인터페이스 확인

터미널에서 ifconfig 또는 networksetup 등으로 utun·클라이언트가 만든 가상 NIC 이름이 보이는지 확인할 수 있습니다. 이름은 빌드마다 다를 수 있으나, TUN이 살아 있으면 이전에 없던 인터페이스가 생기는 패턴이 흔합니다.

공인 IP·DNS 경로

브라우저뿐 아니라 터미널의 curl로 공인 IP 조회 API에 접속해 보고, 기대한 노드 국가와 일치하는지 봅니다. 브라우저만 노드를 타고 터미널은 직결이면, 아직 TUN이 전체 트래픽을 가로채지 못했거나 분할 규칙이 터미널 트래픽을 DIRECT로 보내고 있을 수 있습니다. 전역에 가깝게 실험할 때는 프로필의 정책을 잠시 단순화해 원인을 가르는 방법도 있습니다. 브라우저만 되는 증상과의 교차 점검은 시스템 프록시와 TUN 점검 글과 함께 읽으면 좋습니다.

여전히 차단되거나 TUN이 꺼질 때

허용 버튼을 눌렀는데도 같은 알림이 반복되면 다음을 점검합니다. 시스템 무결성 보호(SIP)를 임의로 끄는 등 위험한 조작은 권장하지 않으며, 정상 경로로 해결하는 것이 안전합니다.

• 완전 삭제 후 재설치: 이전 버전의 확장 메타데이터가 꼬였을 수 있습니다. 앱 제거 가이드를 따른 뒤 공식 채널에서 다시 설치해 보세요.
• 프로파일·MDM: 회사나 학교에서 관리하는 Mac은 확장 설치가 정책으로 막혀 있을 수 있습니다. 이 경우 IT 정책을 따릅니다.
• 다른 보안 소프트웨어: 서드파티 방화벽·필터가 네트워크 확장 로드를 가로막는 사례가 있습니다. 잠시 분리해 테스트합니다.
• macOS 업데이트 직후: 재부팅 한 번 더, 또는 보조 업데이트 적용 후 다시 시도합니다.

정리

Clash Verge에서 macOS의 TUN 모드를 쓰려다 시스템 확장이 차단됨 알림을 본다면, 우선 개인정보 보호 및 보안에서 해당 확장·개발자를 허용하고, 시스템이 요구하면 재부팅까지 마친 뒤 클라이언트에서 TUN을 다시 켜는 순서가 기본 골격입니다. 이후에는 UI·로그·가상 인터페이스·공인 IP 확인으로 네트워크 확장이 실제로 트래픽을 잡고 있는지 검증하면, 규칙이나 DNS 문제와의 구분이 쉬워집니다.

같은 계열 도구들과 비교했을 때 Clash·Mihomo는 규칙 표현과 프로토콜 조합이 유연한 편이라, TUN 경로만 열리면 이후 세부 튜닝의 여지가 큽니다. 반대로 말하면 확장 단계에서 막히면 그 이후 설정이 아무리 정교해도 체감이 나지 않으므로, 본문의 순서를 한 번에 끝까지 밟아 두는 것이 시간을 아낍니다.

맥용 클라이언트를 바로 받아 같은 절차를 적용해 보시려면 Clash를 무료로 다운로드해 설치한 뒤, 먼저 시스템 프록시로 연결을 확인하고 TUN을 켜 보시길 권합니다. 권한이 정렬되면 이후에는 규칙과 DNS만 손보면 되는 단계로 넘어가기 쉽습니다.