2019.06.14

기업 관리자가 알아야 할 애플 iOS 기기 관리의 변화

Ryan Faas | Computerworld
최근 열린 WWDC 행사를 통해 애플은 iOS 13부터 워치OS 6, 맥OS 카탈리나, 새로 명명된 아이패드OS, 신형 맥 프로까지 다양한 소식을 공개했다. 특히 신형 맥 프로가 타워형 케이스로 복귀하고 매우 많은 업그레이드 및 주문 제작 옵션을 제공한다는 사실이 필자는 반가웠다.



행사의 막바지에는 '애플 기기 관리에 대한 새 소식'이라는 59분짜리 흥미로운 세션도 있었다(애플 개발자 사이트에서 스트리밍으로 다시 볼 수 있다). 이 발표에는 기업 IT 전문가 대부분이 반가워할 다음과 같은 중요한 내용이 포함됐다.

- BYOD 기기를 대상으로 한 새로운 관리 사용자 프로필이 만들어졌다.
- iOS 및 맥OS용 싱글사인온(Single Sign-On: SSO) 확장 프로그램이 만들어졌다. 기업 시스템과 클라우드, 앱에 대한 인증과 안전 접근을 간단하게 해 주는 프로그램이다.
- 기업용 앱 구매/관리에는 애플 기업 관리자가 (그리고 초중고 교육에는 애플 학교 관리자가) 단독 솔루션이 될 것이다.
- 2년간의 경고를 거쳐 기기 관리 기능은 감독 기기에서 전담할 것이 분명해졌다(이미 배치된 장치는 복원되기 전까지 관리 프로필에 변화가 없을 것이다.)
- 모바일 장치 관리(MDM) 플랫폼에 대한 문서가 개정됐다. 정보 검색이 더 쉬워졌으며 대부분의 개발자 전용 자료로부터 분리됐다.


내용이 꽤 많은데 처음 두 항목이 가장 중요하다.

BYOD에 대한 새로운 방침
직원이 본인 소유의 기기를 가져와 업무에 사용하게 하는 BYOD 프로그램은 직원 기기에 대한 IT 부서의 제어 수준에 관한 우려 때문에 늘 어려움을 겪어 왔다. 이 밖에도 직원 기기와 사용에 관한 어떤 정보를 IT 부서에서 질의 가능한지에 대한 의문도 여전히 계속되고 있다.

지금까지는 이러한 우려는 타당했다. iOS 정책이 기기 전체에 대해 수립되었기 때문이다. 즉, IT 부서는 하드웨어의 많은 부분과 그 기능에 대해 통제권을 갖는 것이 사실이고 현재 암호 삭제와 같이 기기 전체에 영향을 미치는 명령을 내릴 수 있다. 또한 아이폰이나 아이패드와 그 사용, 구성과 관련된 여러 가지 세부 내용을 요청할 수도 있다. 예컨대, 관리되지 않은 개인적인 앱을 비롯해 설치된 모든 앱을 관리자가 확인하는 것이 가능하다.

그러나 iOS 13에서는 기존의 등록 과정과 함께 신규 사용자 등록 옵션이 제공된다. 이 신규 절차는 사용자가 직접 시작할 수 있고, 사용자가 지정할 수 있는 등록 관련 정보가 포함돼 있으며, 사용자는 기업 인증 정보로 인증하게 되어 있다.

이 방법으로 등록하면 기기에 별도의 APFS 볼륨이 생성된다. 기업 자료가 저장되는 곳으로서 암호화돼 별도로 안전하게 관리된다. 모든 관리 앱과 계정은 데이터를 해당 볼륨에 저장한다. 이 볼륨은 개인 데이터에 대한 걱정 없이 없앨 수 있다. 암호화 키를 삭제하기만 하면 볼륨 내의 보호된 기업 데이터는 없어지기 때문이다.

iOS에서 쓸 수 있는 기능은 이것만이 아니다. 사용자 등록이 의미하는 것은 암호 삭제 같은 대부분의 기기 명령을 사용할 수 없으며 꼭 필요한 경우에만 정보를 질의할 수 있다는 것이기도 하다. 또한, 대부분의 구성 데이터는 공유되지 않는다. 관리 기업 앱이 아닌 앱에 대한 정보도 마찬가지다. 이 모든 변화는 개인정보 보호에 대한 애플의 기존 태도의 연장선이며 개인 기기와 그 사용을 관장하는 HR 정책에 대해 직원이 느끼는 우려를 해소하는 데 도움이 될 것이다.

관리의 3단계
이러한 변화의 결과, 이제 iOS 기기를 소유권과 용도에 따라 다음과 같은 3가지 방법으로 등록, 관리할 수 있다.

1. 잠금이 필요한 감독 기기. 여기에는 주로 키오스크 장비, 매일 체크아웃 되는 하드웨어, 공유되는 장치가 연관된다. 감독 기기는 반드시 회사가 소유해야 하며 맥 앱인 '애플 구성기 2(Apple Configurator 2)'를 통해서 또는 애플의 무선 전송(OTA) 기기 등록 프로그램을 사용해 감독해야 한다.
2. 기기 등록을 사용해 관리되는 기기. 한 명의 사용자가 업무에는 물론 개인적으로 사용하도록 지정된 회사 소유의 하드웨어에 더 적합한 절충안이다.
3. 사용자 등록. 투명성은 가장 높고 관리는 가장 가볍다. 특히 BYOD 장치를 대상으로 하며 사용자의 개인정보는 물론 업무 자료를 보호한다.

 
인증, 연합, 관리 애플 ID
기업에 그다음으로 중요한 소식은 SSO 인증과 관련된 것이다. 이를 통해 기업 자원에 대한 접근이 훨씬 수월해진다. SSO 인증은 터치 ID와 페이스ID는 물론 업무용 관리 애플 ID와도 연동된다. 여기서 중요한 점은, 이것이 소비자들이 주요 사용하는 ‘애플로 로그인’ 기능과는 무관하다는 것을 애플이 매우 분명히 했다는 점이다. 그 시스템은 현재 소셜 미디어 로그인 옵션에는 없는 개인정보 보호 제어 장치를 추가하는 한편, 온라인 공개/소비자 자료에 대한 접근을 쉽게 하기 위한 것이다.

SSO와 '애플로 로그인' 등 두 가지 옵션은 애플이 별도로 추진하는 계획이어서 통합될 가능성은 없어 보인다. 사실 ‘애플로 로그인’ 기능을 업무에 사용하면 개인용 접근과 업무용 접근이 섞여 버린다. 애플이 사용자 등록을 통해 없애려고 하는 개인정보보호 및 분리 문제와 비슷한 문제가 오히려 야기되는 것이다. iOS 13과 맥OS 카탈리나의 SSO 확장 프로그램은 기업 ID 관리 또는 디렉터리 시스템과 연동된다. 개발자가 필수 API를 구현하면 앱에 SSO가 제공된다. 이 기능은 클라우드 등 네트워크 서비스 전체에 걸쳐 작동한다.

(종전에는 교육용으로만 사용 가능했던) 관리 애플 ID는 사용자 등록에 중요한 역할을 한다. 사용자는 등록 절차를 시작할 때 관리 애플 ID를 입력한다. 그 ID와 프로필은 업무 자료가 들어 있는 기기상 볼륨에 접근할 때 사용된다. 또한 파일 앱에서 사용할 수 있는 업무 전용 아이클라우드 계정에 접근할 때도 사용된다. 이 관리 애플 ID는 여타 기업 인증 정보처럼 보일 것이다. 왜냐하면 기존의 디렉터리 시스템(애저 액티브 디렉터리와 같은 연합 클라우드 서비스 포함)을 사용해 관리 애플 ID를 생성할 수 있기 때문이다.

전체적으로 이러한 변화는 기업 고객에게 중대한 개선점이다. 모바일 및 클라우드 우선 세계에서 보안과 접근에 대한 필요를 해결해 주고 상황을 진전시켜 주는 한편, 기존 기업의 필요를 해결해 준다. 또한 애플이 개인정보 보호를 진지하게 여기고 기업 고객을 위해 노력을 할 의지가 있음을 다시 한번 확인시켜 준다. ciokr@idg.co.kr



2019.06.14

기업 관리자가 알아야 할 애플 iOS 기기 관리의 변화

Ryan Faas | Computerworld
최근 열린 WWDC 행사를 통해 애플은 iOS 13부터 워치OS 6, 맥OS 카탈리나, 새로 명명된 아이패드OS, 신형 맥 프로까지 다양한 소식을 공개했다. 특히 신형 맥 프로가 타워형 케이스로 복귀하고 매우 많은 업그레이드 및 주문 제작 옵션을 제공한다는 사실이 필자는 반가웠다.



행사의 막바지에는 '애플 기기 관리에 대한 새 소식'이라는 59분짜리 흥미로운 세션도 있었다(애플 개발자 사이트에서 스트리밍으로 다시 볼 수 있다). 이 발표에는 기업 IT 전문가 대부분이 반가워할 다음과 같은 중요한 내용이 포함됐다.

- BYOD 기기를 대상으로 한 새로운 관리 사용자 프로필이 만들어졌다.
- iOS 및 맥OS용 싱글사인온(Single Sign-On: SSO) 확장 프로그램이 만들어졌다. 기업 시스템과 클라우드, 앱에 대한 인증과 안전 접근을 간단하게 해 주는 프로그램이다.
- 기업용 앱 구매/관리에는 애플 기업 관리자가 (그리고 초중고 교육에는 애플 학교 관리자가) 단독 솔루션이 될 것이다.
- 2년간의 경고를 거쳐 기기 관리 기능은 감독 기기에서 전담할 것이 분명해졌다(이미 배치된 장치는 복원되기 전까지 관리 프로필에 변화가 없을 것이다.)
- 모바일 장치 관리(MDM) 플랫폼에 대한 문서가 개정됐다. 정보 검색이 더 쉬워졌으며 대부분의 개발자 전용 자료로부터 분리됐다.


내용이 꽤 많은데 처음 두 항목이 가장 중요하다.

BYOD에 대한 새로운 방침
직원이 본인 소유의 기기를 가져와 업무에 사용하게 하는 BYOD 프로그램은 직원 기기에 대한 IT 부서의 제어 수준에 관한 우려 때문에 늘 어려움을 겪어 왔다. 이 밖에도 직원 기기와 사용에 관한 어떤 정보를 IT 부서에서 질의 가능한지에 대한 의문도 여전히 계속되고 있다.

지금까지는 이러한 우려는 타당했다. iOS 정책이 기기 전체에 대해 수립되었기 때문이다. 즉, IT 부서는 하드웨어의 많은 부분과 그 기능에 대해 통제권을 갖는 것이 사실이고 현재 암호 삭제와 같이 기기 전체에 영향을 미치는 명령을 내릴 수 있다. 또한 아이폰이나 아이패드와 그 사용, 구성과 관련된 여러 가지 세부 내용을 요청할 수도 있다. 예컨대, 관리되지 않은 개인적인 앱을 비롯해 설치된 모든 앱을 관리자가 확인하는 것이 가능하다.

그러나 iOS 13에서는 기존의 등록 과정과 함께 신규 사용자 등록 옵션이 제공된다. 이 신규 절차는 사용자가 직접 시작할 수 있고, 사용자가 지정할 수 있는 등록 관련 정보가 포함돼 있으며, 사용자는 기업 인증 정보로 인증하게 되어 있다.

이 방법으로 등록하면 기기에 별도의 APFS 볼륨이 생성된다. 기업 자료가 저장되는 곳으로서 암호화돼 별도로 안전하게 관리된다. 모든 관리 앱과 계정은 데이터를 해당 볼륨에 저장한다. 이 볼륨은 개인 데이터에 대한 걱정 없이 없앨 수 있다. 암호화 키를 삭제하기만 하면 볼륨 내의 보호된 기업 데이터는 없어지기 때문이다.

iOS에서 쓸 수 있는 기능은 이것만이 아니다. 사용자 등록이 의미하는 것은 암호 삭제 같은 대부분의 기기 명령을 사용할 수 없으며 꼭 필요한 경우에만 정보를 질의할 수 있다는 것이기도 하다. 또한, 대부분의 구성 데이터는 공유되지 않는다. 관리 기업 앱이 아닌 앱에 대한 정보도 마찬가지다. 이 모든 변화는 개인정보 보호에 대한 애플의 기존 태도의 연장선이며 개인 기기와 그 사용을 관장하는 HR 정책에 대해 직원이 느끼는 우려를 해소하는 데 도움이 될 것이다.

관리의 3단계
이러한 변화의 결과, 이제 iOS 기기를 소유권과 용도에 따라 다음과 같은 3가지 방법으로 등록, 관리할 수 있다.

1. 잠금이 필요한 감독 기기. 여기에는 주로 키오스크 장비, 매일 체크아웃 되는 하드웨어, 공유되는 장치가 연관된다. 감독 기기는 반드시 회사가 소유해야 하며 맥 앱인 '애플 구성기 2(Apple Configurator 2)'를 통해서 또는 애플의 무선 전송(OTA) 기기 등록 프로그램을 사용해 감독해야 한다.
2. 기기 등록을 사용해 관리되는 기기. 한 명의 사용자가 업무에는 물론 개인적으로 사용하도록 지정된 회사 소유의 하드웨어에 더 적합한 절충안이다.
3. 사용자 등록. 투명성은 가장 높고 관리는 가장 가볍다. 특히 BYOD 장치를 대상으로 하며 사용자의 개인정보는 물론 업무 자료를 보호한다.

 
인증, 연합, 관리 애플 ID
기업에 그다음으로 중요한 소식은 SSO 인증과 관련된 것이다. 이를 통해 기업 자원에 대한 접근이 훨씬 수월해진다. SSO 인증은 터치 ID와 페이스ID는 물론 업무용 관리 애플 ID와도 연동된다. 여기서 중요한 점은, 이것이 소비자들이 주요 사용하는 ‘애플로 로그인’ 기능과는 무관하다는 것을 애플이 매우 분명히 했다는 점이다. 그 시스템은 현재 소셜 미디어 로그인 옵션에는 없는 개인정보 보호 제어 장치를 추가하는 한편, 온라인 공개/소비자 자료에 대한 접근을 쉽게 하기 위한 것이다.

SSO와 '애플로 로그인' 등 두 가지 옵션은 애플이 별도로 추진하는 계획이어서 통합될 가능성은 없어 보인다. 사실 ‘애플로 로그인’ 기능을 업무에 사용하면 개인용 접근과 업무용 접근이 섞여 버린다. 애플이 사용자 등록을 통해 없애려고 하는 개인정보보호 및 분리 문제와 비슷한 문제가 오히려 야기되는 것이다. iOS 13과 맥OS 카탈리나의 SSO 확장 프로그램은 기업 ID 관리 또는 디렉터리 시스템과 연동된다. 개발자가 필수 API를 구현하면 앱에 SSO가 제공된다. 이 기능은 클라우드 등 네트워크 서비스 전체에 걸쳐 작동한다.

(종전에는 교육용으로만 사용 가능했던) 관리 애플 ID는 사용자 등록에 중요한 역할을 한다. 사용자는 등록 절차를 시작할 때 관리 애플 ID를 입력한다. 그 ID와 프로필은 업무 자료가 들어 있는 기기상 볼륨에 접근할 때 사용된다. 또한 파일 앱에서 사용할 수 있는 업무 전용 아이클라우드 계정에 접근할 때도 사용된다. 이 관리 애플 ID는 여타 기업 인증 정보처럼 보일 것이다. 왜냐하면 기존의 디렉터리 시스템(애저 액티브 디렉터리와 같은 연합 클라우드 서비스 포함)을 사용해 관리 애플 ID를 생성할 수 있기 때문이다.

전체적으로 이러한 변화는 기업 고객에게 중대한 개선점이다. 모바일 및 클라우드 우선 세계에서 보안과 접근에 대한 필요를 해결해 주고 상황을 진전시켜 주는 한편, 기존 기업의 필요를 해결해 준다. 또한 애플이 개인정보 보호를 진지하게 여기고 기업 고객을 위해 노력을 할 의지가 있음을 다시 한번 확인시켜 준다. ciokr@idg.co.kr

X