2018.08.10

"iOS 기기의 보안을 랩톱에 이식"··· 올바른 '신형 맥북 프로' 관리법

Ryan Faas | Computerworld
애플은 최근 맥북 프로를 공개했다. 성능이 크게 향상됐고, 새로운 디자인의 버터플라이 키보드가 적용됐으며, ‘헤이 시리’ 커맨드 기능과 2세대 애플 T-시리즈 칩을 장착했다. T2 칩은 성능을 향상할 뿐만 아니라 암호화를 위한 시큐어 인클레이브(Secure Enclave)가 포함돼 있어 보안을 강화하고 애플의 터치ID, 터치 바 기능을 지원한다(아이맥 프로는 이미 T2 칩을 사용하고 있다).



신형 맥북 프로(특히 T2 칩)에 대해 가장 많이 나오는 이야기 중 하나가 IT 친화적 보안 기능을 갖춘, 진정한 의미에서의 전문가용 기기라는 것이다. SSD 스토리지부터 시작 프로세스, 그리고 사용 중인 앱까지 보호하는 보안 역량을 갖추었다. 특히 마지막 항목의 경우 애플이 관리하는 맥 앱스토어가 아닌 다른 곳에서 앱을 설치할 수 있기 때문에 무척 중요하다.

이 강력한 조합은 기업, 또는 부서 전체의 노트북을 애플 제품으로 선택할 수 있는 강력한 근거가 될 것이다. 상당히 벅찬 작업에서도 높은 수준의 성능을 보여줄 뿐 아니라 거의 모든 작업 단계에 다중 보안을 지원한다. 파일볼트(FileVault) 암호화 액세스도 가능하다. 파일볼트 암호화를 사용하는 맥의 SSD에서 데이터를 빼내기란 불가능에 가깝다. 맥에서 직접 암호화 키를 배포하는 데다가 암호화 역시 무척 강력하기 때문이다.

대부분 노트북의 경우, 일단 기기를 훔치는 데에만 성공하면 자료를 추출하기 어렵지 않다. 하드 드라이브나 SSD를 빼낸 후, OS가 로딩 또는 부팅될 때 적용되는 보안 메커니즘을 우회해 기기에 저장된 데이터를 ‘복원’ 하기만 하면 된다. 그러나 맥은 파일볼트를 사용해 기기마다 각기 다른 드라이브 암호화가 적용되므로 이런 방식으로는 드라이브에 저장된 암호화된 데이터에 액세스 할 수 없다. 이 사실 하나만으로도 기업 환경에서 맥을 사용해야 할 이유가 충분하다. 특히 기기상에서 (그리고 송신 중에) 데이터 보안이 예외 없이, 절대적으로 유지돼야 하는 업종이라면 더 그렇다.

강력한 보안, 양날의 검
하지만 이렇게 철통 같은 보안이 일으킬 수 있는 문제점도 IT 전문가라면 알고 있어야 한다. 맥이 고장 났는데 제대로 부팅이 안 될 경우 그 안에 저장된 데이터에 액세스하지 못할 수도 있다. 드라이브를 다른 맥에 교체해 넣거나 타임 머신 또는 서드 파티 백업 툴을 사용해 안에 든 내용을 가져 오는 것조차 불가능하다.

보안에 대해 이런 식으로 접근하는 기기는 맥북 프로가 처음이 아니다. 애플은 터치ID와 iOS 기기에 중요 데이터를 저장하는 시큐어 인클레이브 기술을 도입하면서 비슷한 보안 레이어를 iOS에 도입한 적 있다. 터치ID나 페이스ID를 사용하는 모든 아이폰, 아이패드는 생산 과정에서 암호화가 시큐어 인클레이브와 연동된다. 한 아이폰의 지문 센서나 홈 버튼을 다른 아이폰에서 사용하면 인식이 잘 안 되는 것도 이 때문이다. 센서 자체가 하나의 기기와 짝을 이루고 있다.

이런 이유로, 맥북 프로의 강력한 보안 기능은 기업에 일종의 양날의 검이다. 너무 안전하게 보호한 나머지, 하드웨어가 고장 날 경우 데이터에 완전히 액세스하는 것이 불가능할 수 있다. 또한 로컬 드라이브나 클라우드에 데이터를 백업하는 작업이 이전 맥북보다 훨씬 더 중요하다. 맥북 프로가 고장 날 경우 이렇게 백업해 둔 데이터에 의존할 수밖에 없기 때문이다.

둘 중에서는 클라우드 솔루션이 제1 선택지가 돼야 한다. 기업 데이터를 기기 외에 다른 곳에 안전하게 보관할 수 있기 때문에 하드웨어가 고장나도 액세스 또는 복원이 가능하다. 그 밖에도 네트워크가 아닌 클라우드 솔루션에 백업하는 것은 장점이 많다. 이동이 잦은 ‘하이퍼-모바일(hyper-mobile)’ 세상에서는 사용자가 집에서, 이동 중에 혹은 고객이나 잠재 고객의 회사에서 등 기업 네트워크 밖에서 작업하는 일이 많다. 사무실 안에서만, 혹은 VPN같은 구식 테크놀로지와 연동해서만 백업이 이루어지는 옛날 방식으로는 원격 근무하는 사용자나 맥을 들고 사무실 밖에 나가 작업하는 사용자가 불편을 겪을 수밖에 없다.

웹 기반이든, 앱 기반이든, 맥북 프로 사용자에게는 스토리지 및 콜라보레이션이 가능한 클라우드 솔루션이 기본 선택이 돼야 한다. 그리고 이를 통해 맥은 비즈니스 (그리고 교육) 분야에서 모바일 및 클라우드 퍼스트 플랫폼으로 자리잡아 가고 있다. 크롬북이나 기타 모바일 기기에서 제기됐던 의문을, 이제 애플의 노트북도 직면하게 된 것이다.

신형 맥북 프로와 관련한 우려
맥북 프로를 기업 환경에서 도입할 때는 암호화나 데이터 액세스 문제를 먼저 고려해야 하지만, 이게 전부는 아니다. 이번 신형 맥북 프로는 애플의 넷부트(NetBoot)/넷인스톨(NetInstall) 기능을 지원하지 않는 최초의 기종이기도 하다. 즉 기업이나 기관에서 이들 기기를 사용할 때 조달 및 디플로이먼트 프로세스에 대해 재검토할 필요가 있다.

지금까지, 기업용 기기로 맥을 설정하는 가장 쉬운 방법은 기본 시스템을 만들어 놓고 그 시스템의 스타트업 드라이브 이미지를 생성한 후 맥 부팅 및 이미지 인스톨 프로세스를 자동화하는 것(그리고 일반적으로 드라이브의 저장 콘텐츠를 대체하는 것)이었다. OS X/맥OS 출시 이전부터 사용해 온 이런 방법은 주로 넷부트/넷인스톨(때로는 단독으로, 또 때에 따라서는 JAMF같은 디플로이먼트 툴을 사용해서)에 의존하곤 했다. 이런 툴은 타깃 맥을 네트워크에서 부팅하고, 적절한 이미지를 찾아 인스톨 할 수 있게 해주었다.

이 과정은 지나치게 시간과 노동력이 많이 들기 때문에 애플은 지난 몇 년 동안 이에 대해 비판적 태도를 유지해 왔다. 그런데도 아직 많은 기업과 학교, 단체에서 이 방식을 이용하고 있다. 그러나 맥 OS X 10.7 '라이언'부터 애플은 맥 설정 및 관리 모델을 MDM으로 전환하기 시작했다. MDM 모델은 iOS 기기 관리를 위한 모델이다. MDM 모델은 더 가볍고, 확장성이 뛰어나며, 자동화됐다. 마이크로소프트와 같은 다른 기업 역시 MDM 모델을 도입하고 있다.

애플의 기기 등록 프로그램과 MDM 시스템이 만날 경우 iOS 기기(그리고 맥)는 원하는 애플 MDM 솔루션에 등록하고 자동으로 설정, 앱, 액세스, 제한 등 기타 매니지먼트 관련 기준을 적용할 수 있다. 이렇게 하면 기기가 MDM을 통해 올바른 정보를 받을 수 있어 설정 어시스턴트의 상당 부분을 건너뛸 수 있다. 완전히 자동화 된 프로세스이므로 IT가 손 댈 필요가 전혀 없어진다. 이제 맥도 같은 방식으로 MDM 솔루션에 등록할 수 있게 됐다.

애플은 또한 MDM을 사용해 앱 설정상의 디테일이나, 시스템 셋팅 등을 포함할 수 있게 할 예정이다. 이제 애플의 맥OS 인스톨이나 셋업 루틴이 아니어도 소프트웨어, 파일/도큐먼트, 그리고 설정 데이터에 패키지를 추가할 수 있다. 애플이 처음 MDM으로 이전을 시작했을 때만 해도 숙련된 맥 관리자에게 이 기능은 다소 투박하게 느껴졌다. 그러나 시간이 지날수록 차츰 다듬어지고 완성되고 있다. 애플 역시 줄곧 이 기능을 주력 배포 방식으로 사용하고 있다.

이러한 방식의 장점 중 하나는 (배포를 간결화하거나, 사용자가 직접 기업 소유의 신형 맥북을 켜서 설정할 수 있도록 하는 것 외에도) 기업이 직접 매니지먼트 툴을 선택할 수 있게 해 각 기관의 요구와 가장 잘 맞으면서도 나머지 인프라스트럭처와 통합할 수 있는 툴을 사용할 수 있다는 것이다. EMM(enterprise mobility) 업체 역시 충분히 성숙해 진정한 의미에서의 맞춤형, 통합 솔루션이 가능해졌다. 이제 인프라스트럭처로 기업 환경 내에서 대부분의 기기와 플랫폼을 관리할 수 있게 됐다.


기업 IT와 MDM/EMM 모델
EMM 인프라스트럭처에 JAMF, VM웨어/에어와치(Airwatch), 모바일 아이언(Mobile Iron), 심지어 마이크로소프트의 솔루션을 사용해 온 기업조차 큰 어려움 없이 새로운 맥북 프로를 도입할 수 있을 것이다. 애플의 맥OS 서버(보통 넷부트/넷인스톨을 사용하려면 맥OS 서버가 필요하다)를 비롯한 옛날 방식을 버리지 못하는 기업들, 혹은 여전히 기기의 이미징을 수동으로 하는 기업(도입 규모가 작을 때는 괜찮지만 확장성이 떨어진다)은 이제 MDM/EMM 모델로의 이전을 고려해야 한다.

특히 모바일 기기 관리를 위해 EMM을 수용한 기업은 이러한 전환이 비교적 쉬울 것이다. 왜냐하면 맥을 관리, 배포하기 위한 툴과 프로세스가 이미 갖춰져 있을 것이기 때문이다. 그러나 아직 모바일 관리로 이전하지 않은 기업이라면 더 급하다. 이런 툴과 프로세스가 아예 없으므로 더 모바일(그리고 점차 데스크톱) 관리를 도입해야 한다. 쉽게 말해 이제는 모바일 관리에 맥 역시 추가됐으며 점차 PC나 각종 윈도우 기기도 여기에 포함될 것이다. 이제 모바일 관리는 기업 IT 스택의 빠질 수 없는 중요 요소가 됐다.

애플이 맥OS 모하브(Mojave)를 iOS와 비슷하게 만들 것이라는 이야기는 예전부터 많았다. 아이폰에서 시도한 보안 방식을 과감히 도입한 신형 맥북 프로는 애플이 자사 플랫폼 간의 공통 분모를 넓히기 위해 노력중임을 잘 보여 준다. 이를 통해 궁극적으로 편해 지는 것은 개발자와 IT 전문가다. 맥과 iOS를 하나의 ‘OS’로 통합하는 것은 무리가 있다고 해도, 이제는 하나의 단일 플랫폼인 ‘애플 플랫폼’에서 맥OS와 iOS에 동시에 접근할 수 있기 때문이다. ciokr@idg.co.kr 
2018.08.10

"iOS 기기의 보안을 랩톱에 이식"··· 올바른 '신형 맥북 프로' 관리법

Ryan Faas | Computerworld
애플은 최근 맥북 프로를 공개했다. 성능이 크게 향상됐고, 새로운 디자인의 버터플라이 키보드가 적용됐으며, ‘헤이 시리’ 커맨드 기능과 2세대 애플 T-시리즈 칩을 장착했다. T2 칩은 성능을 향상할 뿐만 아니라 암호화를 위한 시큐어 인클레이브(Secure Enclave)가 포함돼 있어 보안을 강화하고 애플의 터치ID, 터치 바 기능을 지원한다(아이맥 프로는 이미 T2 칩을 사용하고 있다).



신형 맥북 프로(특히 T2 칩)에 대해 가장 많이 나오는 이야기 중 하나가 IT 친화적 보안 기능을 갖춘, 진정한 의미에서의 전문가용 기기라는 것이다. SSD 스토리지부터 시작 프로세스, 그리고 사용 중인 앱까지 보호하는 보안 역량을 갖추었다. 특히 마지막 항목의 경우 애플이 관리하는 맥 앱스토어가 아닌 다른 곳에서 앱을 설치할 수 있기 때문에 무척 중요하다.

이 강력한 조합은 기업, 또는 부서 전체의 노트북을 애플 제품으로 선택할 수 있는 강력한 근거가 될 것이다. 상당히 벅찬 작업에서도 높은 수준의 성능을 보여줄 뿐 아니라 거의 모든 작업 단계에 다중 보안을 지원한다. 파일볼트(FileVault) 암호화 액세스도 가능하다. 파일볼트 암호화를 사용하는 맥의 SSD에서 데이터를 빼내기란 불가능에 가깝다. 맥에서 직접 암호화 키를 배포하는 데다가 암호화 역시 무척 강력하기 때문이다.

대부분 노트북의 경우, 일단 기기를 훔치는 데에만 성공하면 자료를 추출하기 어렵지 않다. 하드 드라이브나 SSD를 빼낸 후, OS가 로딩 또는 부팅될 때 적용되는 보안 메커니즘을 우회해 기기에 저장된 데이터를 ‘복원’ 하기만 하면 된다. 그러나 맥은 파일볼트를 사용해 기기마다 각기 다른 드라이브 암호화가 적용되므로 이런 방식으로는 드라이브에 저장된 암호화된 데이터에 액세스 할 수 없다. 이 사실 하나만으로도 기업 환경에서 맥을 사용해야 할 이유가 충분하다. 특히 기기상에서 (그리고 송신 중에) 데이터 보안이 예외 없이, 절대적으로 유지돼야 하는 업종이라면 더 그렇다.

강력한 보안, 양날의 검
하지만 이렇게 철통 같은 보안이 일으킬 수 있는 문제점도 IT 전문가라면 알고 있어야 한다. 맥이 고장 났는데 제대로 부팅이 안 될 경우 그 안에 저장된 데이터에 액세스하지 못할 수도 있다. 드라이브를 다른 맥에 교체해 넣거나 타임 머신 또는 서드 파티 백업 툴을 사용해 안에 든 내용을 가져 오는 것조차 불가능하다.

보안에 대해 이런 식으로 접근하는 기기는 맥북 프로가 처음이 아니다. 애플은 터치ID와 iOS 기기에 중요 데이터를 저장하는 시큐어 인클레이브 기술을 도입하면서 비슷한 보안 레이어를 iOS에 도입한 적 있다. 터치ID나 페이스ID를 사용하는 모든 아이폰, 아이패드는 생산 과정에서 암호화가 시큐어 인클레이브와 연동된다. 한 아이폰의 지문 센서나 홈 버튼을 다른 아이폰에서 사용하면 인식이 잘 안 되는 것도 이 때문이다. 센서 자체가 하나의 기기와 짝을 이루고 있다.

이런 이유로, 맥북 프로의 강력한 보안 기능은 기업에 일종의 양날의 검이다. 너무 안전하게 보호한 나머지, 하드웨어가 고장 날 경우 데이터에 완전히 액세스하는 것이 불가능할 수 있다. 또한 로컬 드라이브나 클라우드에 데이터를 백업하는 작업이 이전 맥북보다 훨씬 더 중요하다. 맥북 프로가 고장 날 경우 이렇게 백업해 둔 데이터에 의존할 수밖에 없기 때문이다.

둘 중에서는 클라우드 솔루션이 제1 선택지가 돼야 한다. 기업 데이터를 기기 외에 다른 곳에 안전하게 보관할 수 있기 때문에 하드웨어가 고장나도 액세스 또는 복원이 가능하다. 그 밖에도 네트워크가 아닌 클라우드 솔루션에 백업하는 것은 장점이 많다. 이동이 잦은 ‘하이퍼-모바일(hyper-mobile)’ 세상에서는 사용자가 집에서, 이동 중에 혹은 고객이나 잠재 고객의 회사에서 등 기업 네트워크 밖에서 작업하는 일이 많다. 사무실 안에서만, 혹은 VPN같은 구식 테크놀로지와 연동해서만 백업이 이루어지는 옛날 방식으로는 원격 근무하는 사용자나 맥을 들고 사무실 밖에 나가 작업하는 사용자가 불편을 겪을 수밖에 없다.

웹 기반이든, 앱 기반이든, 맥북 프로 사용자에게는 스토리지 및 콜라보레이션이 가능한 클라우드 솔루션이 기본 선택이 돼야 한다. 그리고 이를 통해 맥은 비즈니스 (그리고 교육) 분야에서 모바일 및 클라우드 퍼스트 플랫폼으로 자리잡아 가고 있다. 크롬북이나 기타 모바일 기기에서 제기됐던 의문을, 이제 애플의 노트북도 직면하게 된 것이다.

신형 맥북 프로와 관련한 우려
맥북 프로를 기업 환경에서 도입할 때는 암호화나 데이터 액세스 문제를 먼저 고려해야 하지만, 이게 전부는 아니다. 이번 신형 맥북 프로는 애플의 넷부트(NetBoot)/넷인스톨(NetInstall) 기능을 지원하지 않는 최초의 기종이기도 하다. 즉 기업이나 기관에서 이들 기기를 사용할 때 조달 및 디플로이먼트 프로세스에 대해 재검토할 필요가 있다.

지금까지, 기업용 기기로 맥을 설정하는 가장 쉬운 방법은 기본 시스템을 만들어 놓고 그 시스템의 스타트업 드라이브 이미지를 생성한 후 맥 부팅 및 이미지 인스톨 프로세스를 자동화하는 것(그리고 일반적으로 드라이브의 저장 콘텐츠를 대체하는 것)이었다. OS X/맥OS 출시 이전부터 사용해 온 이런 방법은 주로 넷부트/넷인스톨(때로는 단독으로, 또 때에 따라서는 JAMF같은 디플로이먼트 툴을 사용해서)에 의존하곤 했다. 이런 툴은 타깃 맥을 네트워크에서 부팅하고, 적절한 이미지를 찾아 인스톨 할 수 있게 해주었다.

이 과정은 지나치게 시간과 노동력이 많이 들기 때문에 애플은 지난 몇 년 동안 이에 대해 비판적 태도를 유지해 왔다. 그런데도 아직 많은 기업과 학교, 단체에서 이 방식을 이용하고 있다. 그러나 맥 OS X 10.7 '라이언'부터 애플은 맥 설정 및 관리 모델을 MDM으로 전환하기 시작했다. MDM 모델은 iOS 기기 관리를 위한 모델이다. MDM 모델은 더 가볍고, 확장성이 뛰어나며, 자동화됐다. 마이크로소프트와 같은 다른 기업 역시 MDM 모델을 도입하고 있다.

애플의 기기 등록 프로그램과 MDM 시스템이 만날 경우 iOS 기기(그리고 맥)는 원하는 애플 MDM 솔루션에 등록하고 자동으로 설정, 앱, 액세스, 제한 등 기타 매니지먼트 관련 기준을 적용할 수 있다. 이렇게 하면 기기가 MDM을 통해 올바른 정보를 받을 수 있어 설정 어시스턴트의 상당 부분을 건너뛸 수 있다. 완전히 자동화 된 프로세스이므로 IT가 손 댈 필요가 전혀 없어진다. 이제 맥도 같은 방식으로 MDM 솔루션에 등록할 수 있게 됐다.

애플은 또한 MDM을 사용해 앱 설정상의 디테일이나, 시스템 셋팅 등을 포함할 수 있게 할 예정이다. 이제 애플의 맥OS 인스톨이나 셋업 루틴이 아니어도 소프트웨어, 파일/도큐먼트, 그리고 설정 데이터에 패키지를 추가할 수 있다. 애플이 처음 MDM으로 이전을 시작했을 때만 해도 숙련된 맥 관리자에게 이 기능은 다소 투박하게 느껴졌다. 그러나 시간이 지날수록 차츰 다듬어지고 완성되고 있다. 애플 역시 줄곧 이 기능을 주력 배포 방식으로 사용하고 있다.

이러한 방식의 장점 중 하나는 (배포를 간결화하거나, 사용자가 직접 기업 소유의 신형 맥북을 켜서 설정할 수 있도록 하는 것 외에도) 기업이 직접 매니지먼트 툴을 선택할 수 있게 해 각 기관의 요구와 가장 잘 맞으면서도 나머지 인프라스트럭처와 통합할 수 있는 툴을 사용할 수 있다는 것이다. EMM(enterprise mobility) 업체 역시 충분히 성숙해 진정한 의미에서의 맞춤형, 통합 솔루션이 가능해졌다. 이제 인프라스트럭처로 기업 환경 내에서 대부분의 기기와 플랫폼을 관리할 수 있게 됐다.


기업 IT와 MDM/EMM 모델
EMM 인프라스트럭처에 JAMF, VM웨어/에어와치(Airwatch), 모바일 아이언(Mobile Iron), 심지어 마이크로소프트의 솔루션을 사용해 온 기업조차 큰 어려움 없이 새로운 맥북 프로를 도입할 수 있을 것이다. 애플의 맥OS 서버(보통 넷부트/넷인스톨을 사용하려면 맥OS 서버가 필요하다)를 비롯한 옛날 방식을 버리지 못하는 기업들, 혹은 여전히 기기의 이미징을 수동으로 하는 기업(도입 규모가 작을 때는 괜찮지만 확장성이 떨어진다)은 이제 MDM/EMM 모델로의 이전을 고려해야 한다.

특히 모바일 기기 관리를 위해 EMM을 수용한 기업은 이러한 전환이 비교적 쉬울 것이다. 왜냐하면 맥을 관리, 배포하기 위한 툴과 프로세스가 이미 갖춰져 있을 것이기 때문이다. 그러나 아직 모바일 관리로 이전하지 않은 기업이라면 더 급하다. 이런 툴과 프로세스가 아예 없으므로 더 모바일(그리고 점차 데스크톱) 관리를 도입해야 한다. 쉽게 말해 이제는 모바일 관리에 맥 역시 추가됐으며 점차 PC나 각종 윈도우 기기도 여기에 포함될 것이다. 이제 모바일 관리는 기업 IT 스택의 빠질 수 없는 중요 요소가 됐다.

애플이 맥OS 모하브(Mojave)를 iOS와 비슷하게 만들 것이라는 이야기는 예전부터 많았다. 아이폰에서 시도한 보안 방식을 과감히 도입한 신형 맥북 프로는 애플이 자사 플랫폼 간의 공통 분모를 넓히기 위해 노력중임을 잘 보여 준다. 이를 통해 궁극적으로 편해 지는 것은 개발자와 IT 전문가다. 맥과 iOS를 하나의 ‘OS’로 통합하는 것은 무리가 있다고 해도, 이제는 하나의 단일 플랫폼인 ‘애플 플랫폼’에서 맥OS와 iOS에 동시에 접근할 수 있기 때문이다. ciokr@idg.co.kr 
X