업무용 Apple 기기를 MDM으로 관리하기 위한 A to Z

스마트폰 보급이 늘어나면서 우리가 회사에서 업무를 위해 사용하는 기기는 최소 2대 이상입니다. PC와 스마트폰 이렇게요. PC는 데스크탑 아니면 노트북일텐데 최근에는 신규 입사자의 PC를 데스크탑이 아닌 노트북을 제공하는 기업이 늘어나고 있습니다. 저희 직원들도 모두 노트북을 업무적으로 사용하고 있고요.

여기에서 나아가 BYOD의 열풍으로, 개인적으로 사용하는 스마트폰에 업무용 앱을 설치해서 업무에 활용하기도 합니다. 메일이나 메신저, 파일 공유같은 협업 앱이나 Office 문서 조회 및 편집을 위한 생산성 앱이 대표적이고 회사의 인프라 혹은 개발 코드 모니터링을 위한 앱도 사용하죠. 

때문에 기업에서 업무에 사용되는 기기의 수가 엄청나게 증가했고, 이 증가추세는 스마트 와치, 타블렛 등의 추가적인 기기 보급 확대에 힘입어 좀처럼 꺾이지 않을 것 같습니다. 그래서 IT부서는 이런 많은 기기들을 어떻게 효율적으로 관리할 수 있을까에 대한 고민이 깊어질 수 밖에 없고, 그래서 나온 것이 바로 MDM 솔루션 입니다.

이번 콘텐츠를 통해 소개 해 드릴 내용은 Apple 기기를 MDM솔루션으로 관리하는 방법입니다. 노트북이야 대부분 Windows 계열 노트북을 사용할테지만 개발자 분들은 Apple Macbook Pro를 선호하시는 분들이 많죠. 그리고 국내에서 SAMSUNG Galaxy 다음으로 많이 사용하는 스마트폰인 Apple iPhone이기도 하고, 타블렛인 iPad를 업무적으로 사용하시는 분들도 상당히 많습니다.(저희도 사용합니다.) 모 외국계 IT기업은 전사 노트북을 Windows가 아닌 macOS기기로 지급하는 곳도 있을 정도로 기업 업무에 Apple 기기가 많이 활용되고 있어 Apple 기기를 MDM솔루션으로 어떻게 관리할 수 있는지 지난 2주 동안 테스트 해 봤습니다.

콘텐츠의 주요 내용은 아래와 같이 4개 입니다.

• 1.Mobile Device Management 개요

• 2.Apple Device Management

• 3.MDM 활용법

• 4.총평

그럼 지금부터 지난 3주 동안 Apple 기기를 MDM솔루션으로 관리하기 위해 겪었던 다양한 시행착오와 테스트 경험을 공유해 드리겠습니다. 다른 콘텐츠 대비 분량이 꽤 많은데, 이미지가 많아서 그렇게 보일 뿐 텍스트 양은 그다지 많지 않으니 보시는 데에 오래 걸리시진 않을거에요. 

1. Mobile Device Management 개요

 1) MDM이란?

• ■MDM 정의

모바일 단말 관리는 스마트폰이나 태블릿, 휴대용 컴퓨터와 같은 모바일 기기를 보호, 관리, 감시, 지원하는 일련의 과정을 의미한다. 구체적으로는 안전한 패스워드 설정, 모바일 애플리케이션 배포, 도난 및 분실시 원격 자료삭제 등이 있다. /위키백과

MDM은 Mobile Device Management의 약자로 기업에서 업무 용도로 지급한 다양한 기기를 IT팀에서 관리하기 위한 보안솔루션입니다. 이미 시장에 나온지 10년도 더 지났을 정도로 많이 알려진, 그리고 기업들에게 많이 보급된 솔루션이고요. 회사에서 직원들에게 지급한 모바일 기기 + 개인적으로 사용하는 모바일 기기를 업무에 활용하려고 할 때 IT팀에서 적절히 통제하기 위한 솔루션이라고 보시면 됩니다.

 2) MDM의 발전 방향 : MDM -> MAM -> EMM

• ■MDM : Mobile Device Management

<이미지 출처 : PCQuest>

최초 MDM은 말 그대로 기기 자체를 통제하는 데에 주력했습니다. 회사 네트워크에 접속하게 되면 기기의 카메라 촬영, 음성 녹음, USB나 마이크로SD카드를 활용한 데이터 이동을 원천적으로 막는 등 기기의 통제권을 사용자에서 회사 IT관리자로 가져옵니다. 하지만 회사에서 준 기기로 월급루팡 하지 않고 일 열심히 했으면 하는게 회사의 입장일텐데, 이런 회사의 마음을 너무나 잘 아는 사용자들은 갖가지 우회 방법을 발견해서 회사의 통제망을 벗어나기 시작했죠. 저 역시 과거 회사에서 지급해 준 기기로 인터넷 쇼핑을 하기 위해 사내 네트워크가 아닌 스마트폰 테더링으로 접속해 사용했던 경험이 있을 정도니까요.

그리고 기기를 업무 용도가 아닌 개인 용도로도 사용할 수 있는데, 회사에서 기기의 데이터를 삭제 할 경우 개인 용도로 저장된 데이터도 삭제할 수 있고 기기의 통제권이 회사에 있다 보니 사생활 침해 우려도 있는 것이 사실입니다.

• ■MAM : Mobile Application Management

<이미지 출처 : Galus Australis>

그런데 기기 자체를 IT팀에서 통제하다보니 사용자의 사용자 경험이 너무 떨어졌습니다. 사용자들이 너무 불편해서 업무 활용성이 떨어진다고 불만을 제기하자 MDM에서 MAM이란 솔루션이 나왔습니다. 기기를 통제하는 것이 아닌 기기에서 돌아가는 앱을 통제하는 솔루션입니다. 스마트폰에서 MAM 앱을 실행하면 새로운 업무 공간이 나타나고, 이 공간에서 회사 업무에 관련된 앱들을 활용해 업무를 처리하는 형태도 있고, 회사 업무 앱 자체만을 통제해서 업무 앱을 실행하면 화면 캡처나 파일 공유 등의 기능이 불가능하도록 하는 형태도 있습니다.

• ■EMM : Enterprise Mobility Management

<이미지 출처 : Enterprise Management 360>

EMM은 MDM과 MAM이 합쳐진 개념입니다. 기기 통제, 앱 통제 보두 가능하며 가능한 사용자 경험을 해치지 않는 선에서 최상의 생산성을 유지할 수 있도록 편리한 비즈니스 생산성 앱도 제공합니다. 그리고 나아가 기존에 사용하는 Outlook같은 이미 익숙한 앱을 사용하더라도 회사에서 정한 기밀 파일의 이동을 막거나 스크린샷을 찍을 수 없게 하는 등의 통제도 가능합니다. 요즘 나오는 MDM솔루션은 다 이 EMM이라고 보시면 됩니다.

 3) MDM 시장 현황

• ■ 2019 Gartner Magic Quadrant for UEM

<이미지 출처 : mobileiron>

글로벌 시장조사기관인 Gartner에서는 UEM(Unified Endpoint Management)라는 용어를 사용합니다. EMM보다 상위 개념이라고 보는 시각도 있는데 많은 솔루션 벤더들이 UEM과 EMM을 혼용해서 사용하는 경우도 많아 최신 MDM을 부르는 용어로 이해하셔도 무방합니다.(물론 기술적으로 파고들면 다르겠으나 내용의 이해를 돕기 위해 이렇게 하겠습니다.) 

글로벌 시장의 주요 플레이어들은 위와 같습니다. VMware, IBM, Microsoft가 가장 상위에 위치하고 있네요. VMware는 AirWatch, IBM은 MasS360, Microsoft는 Intune이라는 솔루션을 제공하고 있습니다. 이외에 Citrix의 XenMobile, Cisco의 Meraki System Manager도 유명한 솔루션입니다. 국내에도 지란지교 시큐리티의 Mobile Keeper, 마크애니의 Aegis SAFER,  라온시큐어의 ONE Guard, 삼성SDS EMM솔루션이 유명합니다.

2. Apple Device Management 

MDM이 무엇인지 대략 살펴봤으니 이제 본격적으로 Apple 기기들을 MDM솔루션으로 관리하는 방법을 알아보겠습니다. Apple 기기를 관리하기 위해서는 몇 가지 준비가 필요한데요. 제가 지난 3주 중 2주는 이 부분을 해결하는 데에 시간을 쏟은 것 같네요. 정말 많은 시행착오를 겪었는데, 그 내용을 공유하겠습니다.

 1) Apple 기기를 관리하기 위한 방법 : ABM(Apple Business Manager)

• ■Apple DEP

<이미지 출처 : ATEXSHOP.COM>

Apple 기기를 관리하기 위해서는 Apple DEP(Device Enrollment Program)을 이용해야 합니다. Apple iPhone이 글로벌 스마트폰 점유율 3위일 만큼 사용자가 많고 기업에서도 업무용 스마트폰으로 많이 사용되기 때문에 Apple은 일찌감치 기업에서 Apple 기기를 기업에서 효과적으로 관리하기 위한 방법을 마련했는데요. 그것이 바로 Apple DEP 입니다.

<이미지 출처 : MOBILE-FIRST CLOUD FIRST>

위 이미지와 같이 Apple 기기를 먼저 APN(Apple Push Notification)에 인증서를 등록해서 인증 받아야 합니다. 그래야 Apple이 아닌 다른 제조사의 애플리케이션이 Apple 기기에 푸시 알람을 보낼 수 있기 때문입니다. 그리고 다시 Apple 기기를 사용하려는 MDM솔루션에 등록하는 절차를 거쳐야 합니다.

그냥 Apple이 MDM 솔루션을 제공하면 될텐데 아쉽게도 Apple은 자체 MDM솔루션을 제공하지 않습니다. 그래서 다른 3rd party MDM솔루션을 활용해 Apple 기기를 관리해야 하는데 Apple 기기에 3rd party MDM솔루션에서 기기 통제를 위한 알람을 보내기 위해서 APN 인증 절차를 거쳐야 합니다. APN 인증에 대한 내용은 뒤에서 다시 설명하겠습니다.

• ■ABM(Apple Business Manager)

<이미지 출처 : Apple Deployment Programs>

Goole에서 Apple DEP라고 검색하면 deploy.apple.com이라는 사이트가 가장 위에 나타납니다. 클릭해서 들어가면 위와 같은 화면을 보게 되는데요. DEP가 ASM(Apple School Manager), ABM(Apple Business Manager)라고 바뀌었다고 나옵니다. Apple기기를 학교에서도 많이 사용하기 때문에 학교를 위한 관리 방법을, 그리고 우리가 사용하려는 기업용 관리 방법을 제공합니다. 

Apple Business Manager를 클릭하면 위와 같이 business.apple.com으로 이동합니다. 이 페이지에서 Apple 기기를 관리할 수 있는 것입니다. Apple ID를 입력하라고 되어 있는데 개인적으로 사용하는 iPhone, iPad, Macbook의 Apple ID가 아닌 단체 전용 Managed ID가(ABM을 위한 전용 ID) 필요합니다. 그럼 계정 생성 과정을 하나씩 상세히 보여드리겠습니다.(ABM에 관련된 모든 이미지는 제가 직접 캡처한 이미지로, 출처가 모두 ABM이므로 따로 출처를 명기하지 않겠습니다.)

 2) ABM 세팅

• ■Apple Business 계정 생성

계정 입력 창 하단에 있는 '지금 등록하세요.'를 클릭하면 위와 같이 단체 등록을 위한 정보 입력 창이 나타납니다. 그런데 중간에 생소한 것이 하나 있네요. 'D-U-N-S 번호'를 입력하랍니다. 저는 사업자등록번호인줄 알고 입력하고 우측 하단의 '계속'버튼을 누르니 유효하지 않은 번호라고 나오며 진행이 안되더군요.

<이미지 출처 : Google duns번호 검색 결과>

Google에서 'duns번호'라고 검색하면 나타나는 검색 결과입니다. 가장 위에 있는 사이트가 Apple에서 제공하는 정보로 보이네요. 클릭하면

<이미지 출처 : developer.apple.com>

위와 같이 D-U-N-S 번호는 지역별로 사업체를 식별하는 9자리 고유 번호로 D&B(Dun & Bradstreet)가 할당하고 관리한다는 정보를 확인할 수 있습니다. 즉, D-U-N-S 번호를 국제적으로 통용되는 사업자번호라고 보시면 됩니다. 아마 수출입 관련 업무를 하시는 분들은 익숙하실거에요. 저는 이번에 처음 알게 됐습니다. 파란색으로 하이라이트 된 D-U-N-S 번호 조회 도구(영문)를 클릭하면

<이미지 출처 : idmsa.apple.com>

또다른 페이지로 이동하면서 Apple Developer에 로그인하라고 나옵니다. 어라... 난 개발자가 아닌데... 

<이미지 출처 : Google Dun & Bradstreet 검색 결과>

그래서 이번엔 Google에서 Dun & Bradstreet를 검색해 봅니다. 오... 첫 번째 검색결과가 광고이긴 하지만 나이스디앤비에서 DUNS번호를 발급해 주나 봅니다. 클릭해 보면

<이미지 출처 : NICE D&B Global Service 웹페이지>

나이스디앤비 글로벌의 웹페이지로 이동합니다. 우측에 있는 D-U-N-S® Number 신청 바로가기 버튼이 보이시죠? 클릭하면

<이미지 출처 : NICE D&B Global Service D-U-N-S® Number 신청 페이지>

아 쫌! 신청 페이지가 아닌 D-U-N-S® Number 소개 페이지가 나옵니다. 내용을 보니 나이스디앤비가 국내 유일 D-U-N-S® Number 발급기관이라고 하네요. 우측의 '신청 바로가기' 버튼을 다시 눌러봅니다.

아... 깊은 빡침을 느꼈지만 마음을 가다듬고 회원가입을 한 뒤 다시 D-U-N-S® Number 소개 페이지로 와서 '신청 바로가기' 버튼을 눌러봅시다.

<이미지 출처 : NICE D&B Global Service D-U-N-S® Number 신청 페이지>

드디어 신청 페이지가 떴습니다만... 유료네요. 유룝니다. 네, 유료에요. 우리가 필요한 것은 온라인 기업 인증을 위한 D-U-N-S® Number라서 신규 신청을 위해 45만원을 내고 7 영업일을 기다려야 합니다.

아.. 이건 좀 아닌 것 같습니다. 아무리 대행이라고 하지만 너무 비싼 것 같단 생각이 마구마구 들더군요. 그래서 아까 Google에서 duns번호로 검색했을 때 두 번째로 나왔던 원 발급 기관인 Dun & Bradstreet 홈페이지로 가봅시다.

<이미지 출처 : Dun & Bradstreet 홈페이지>

상단 메뉴 중 우측에 D-U-N-S Number가 있습니다. 마우스를 가져가면 아래 메뉴가 바뀌고요. 'Get a D-U-N-S Number'를 클릭합니다.

<이미지 출처 : Dun & Bradstreet D-U-N-S® Number 신청 페이지>

하단에 번호를 신청하기 위한 이유를 선택하라는 곳이 있는데 예시가 달랑 위와 같이 3가지 입니다. 저희는 미국에서 비즈니스를 하지 않고 저는 Apple 개발자도 아닐뿐더러 미국 정부에서 일하는 사람도 아니기에 선택지가 없습니다. 만약 두 번째인 Apple Developer를 선택하게 되면 개발자로 Apple ID로 로그인해야 하며, 세 번째는 정부와 계약 혹은 일을 하는 사람도 아니기에 선택하기 겁이 납니다.(나중에 잘못돼서 미국에서 소송당하면 어쩌나 싶은 걱정도 들었어요.)

첫 번째를 선택하면 다음 화면으로 넘어갈 수 있는데 그래도 뭔가 좀 찜찜한게 사실입니다. 그럼 어찌해야 할까요? 그냥 맘편히 나이스디앤비에 45만원 주고 7 영업일 기다려야 할까요? 에이, 아니죠. 다 방법이 있습니다. 다시 ABM 사이트인 business.apple.com으로 가봅시다.

business.apple.com에 접속 후 우측 하단에 있는 '지금 등록하세요'를 클릭하면 '단체 등록' 페이지가 나타난다고 앞에서 보여 드렸습니다. 여기서 상단의 '단체 정보' 우측에 있는 '?'를 클릭하면 위와 같이 'D-U-N-S 번호는 ~ 방문하십시오.'라는 팝업 문구가 나타나는데 하단에 하이라이트 된 Dun & Bradstreet 연락처를 클릭합니다.

그러면 위와 같이 D&B Support 페이지가 나타납니다. 아래 Submit Case 하단의 입력창에 Email을 입력하고 우측 하단의 Next 버튼을 누르면

위와 같이 개인정보를 입력하는 창이 나타납니다. 빨간색으로 표시된 부분만 입력 후 우측 하단의 'Next'버튼을 우르면 다음 화면으로 넘어가는데요.

요청 사항을 선택하라는 화면과 함께 가장 왼쪽에 'Create New DUNS' 버튼을 클릭합니다. 그러면

드디어 D-U-N-S® Number 신청을 위한 회사 정보를 입력하는 화면이 나타납니다. 저는 빠짐없이 모두 입력했고요. 특히 마지막 'Description'에 왜 D-U-N-S® Number가 필요한지와 우리가(쉐어드IT)가 어떤 곳인지 설명하는 내용을 비교적 상세하게 적었습니다.(영어로 기재해야 합니다.) 모든 칸을 빠짐없이 입력 후 우측 하단의 'Submit'버튼을 누르는 것으로 D-U-N-S® Number 신청 절차가 끝나게 됩니다. 

신청하고 하루가 지난 뒤 위와 같이 D&B에서 신청을 확인했다는 안내 메일을 받았는데요. 폰트가 좀 작아서 잘 안보이실텐데 "We have submitted the request for your DUNS to be created on 3/30/2020. The current turnaround time will be 14 calendar days. The estimated completion will be 4/13/2020." 라는 문구가 있습니다. 세상에  처리될 때 까지 무려 14일이나 걸린다네요. 그래도 맘편히 기다릴 수 있습니다. 왜냐고요? 무료거든요. 나이스디앤비에 45만원을 지불해도 7일이나 기다려야 하는데 Apple Business 계정 생성 창에서 신청하면 비록 14일 걸리지만 무료로 발급받을 수 있습니다.

이후 번호 발급 요청이 확정되었다는 안내 메일을 받았고 역시 14일 뒤인 4월13일에 완료 될 것이라는 문구가 있습니다. 일단 느긋하게 기다려 보기로 합니다.

그런데 이게 왠일인가요.확인 메일을 받은 후 2일 뒤인 4월 2일에 신청이 완료 되었다는 메일을 받았습니다. 그리고 D-U-N-S® Number도 나왔고요. 메일에는 7일 뒤에 사용할 수 있다고 하는데 저는 기다리지 않고 바로 발급된 번호를 사용해서 Apple Business 계정을 생성해 봤습니다.

다행히 D-U-N-S® Number가 잘 인증되어 계정 생성을 신청 했습니다. 이후 위와 같이 등록 검토 중이라는 화면을 보게 되고요. 최대 5일까지 걸린다는 문구도 있습니다. 일단 계정이 생성되어야 다음 단계로 갈 수 있기 때문에, 다시 또 기다려 봅니다.

진짜 5일이 지난 뒤 오전에 국제전화를 한통 받았습니다. Apple에서 직접 전화가 오더군요. 다행히 한국인에게 전화를 받아 자세히 이후 절차에 대해 안내받을 수 있었고, 통화를 종료하자 위와 같이 제가 생성한 정보에 대한 확인 메일을 받았습니다. 그리고 회사 대표자로 등록한 이름 확인 후 승인 버튼을 누르면 

위와 같이 Apple Business Manager로 이동하며 '단체를 설정 중입니다'라는 화면을 보게 됩니다. 그리고 잠시 후

짜잔~ Apple Business Manager에 성공적으로 로그인이 되었습니다. 이제서야 Apple Business 계정 생성이 완료 된 것입니다. 이제 Apple 기기를 관리하기 위한 준비가 1/3정도 완료되었네요. 이미지가 많아 내용이 좀 길었지만 아마 여기까지 따라 오시는 데에 오래 걸리지 않을 겁니다. 나이스디앤비나 D&B 사이트가 아닌 바로 Apple Business에서 D-U-N-S® Number를 신청하시면 7일 정도면 Apple Business 계정 생성이 가능할 것입니다.

• ■ABM에 Apple 기기 배정을 위한 리셀러 ID 입력

Apple 기기 관리를 위해 이제 ABM에 기기를 배정(등록)해 봅시다. 먼저 좌측 하단의 설정을 클릭 후 나타나는 메뉴 중 가장 하단의 '기기 관리 설정'을 클릭하면 우측에 '고객 번호'를 입력하는 화면이 나타납니다. 여기에서 두 가지 정보를 입력할 수 있는데 하나는 'Apple 고객 번호', 다른 하나는 '리셀러 ID'입니다. 이 중 'Apple 고객 번호'는 무시하셔도 되고, '리셀러 ID'를 반드시 입력해야 기기 배정이 가능합니다.

이 때 만약 복수의 리셀러로부터 제품을 구매하여 리셀러 ID가 여러 개일 경우 리셀러 ID와 제품을 매칭해야 합니다. 예를 들어, A 리셀러에서 구매한 제품은 A리셀러의 ID를 등록해야 배정할 수 있고 B리셀러를 통해 구매한 제품은 B리셀러 ID를 등록해야 배정할 수 있습니다. A리셀러에서 구매한 제품을 B리셀러 ID 등록 후 배정하면 배정이 되지 않는 점 참고해 주세요.

저는 처음에 등록 정보 메뉴에서 확인할 수 있는 '단체 ID'를 'Apple 고객 번호'로 인지하고 입력했습니다. 하지만 줄곧 번호가 승인되지 않고 대기 상태로 이다가 하루 지난 뒤 급기야 실패라고 뜨더군요. 그리고 메일을 한통 받았습니다.

위와 같이 Apple에서 계정을 검토해 보니 제가 등록한 번호가 일치하지 않는다는 내용이었습니다. 그러면서 제대로 된 번호를 입력하라는군요. 이 Apple 고객 번호는 Apple 기기를 구매한 구매처에 문의해서 받아야 합니다. 만약 입력한 번호가 인증되지 않은 상태에서 기기 배정을 하게 되면

위와 같이 기기 배정에 실패하게 됩니다. 로그를 다운받아 내용 확인 후 Google 및 해외 사이트를 검색 해 본 뒤 여러 시도를 해 봤지만 기기를 배정할 수 없었습니다. 이것 때문에 한 이틀 정도 허비했던 것 같네요. 그래서 어쩔 수 없이 기업용 Apple 기기 총판인 SK네트웍스에 문의하여 리셀러ID를 받아 'Apple 고객 번호'대신 '리셀러 ID'를 입력하니

한방에 정상적으로 등록되었습니다. 이제야 기기 배정을 정상적으로 할 수 있는 상태가 된 것입니다.

• ■MDM 서버 생성 후 Apple 기기 배정

다음 순서는 MDM 서버 생성입니다. 설정 -> 기기 관리 설정으로 가면 'MDM 서버 추가'라는 파란색 문구를 볼 수 있습니다. 그것을 클릭하면 위와 같이 우측에 MDM 서버를 만들 수 있는 화면이 나타납니다. 여기서 MDM 서버 이름을 정하고 그 하단의 MDM 서버 설정에 공개키를 업로드 하고 저장하면 됩니다만... 공개키...??? 이게 뭐죠?

공개키는 Apple 기기 관리를 위해 ABM이 3rd party MDM 솔루션을 인증하기 위한 수단입니다. 이 공개키는 3rd party MDM 솔루션에서 다운받아 업로드 해야 합니다. 저희는 MDM 솔루션을 사용하지 않기 때문에 적당한 MDM 솔루션을 선택해야 했는데요. Google에서 Apple 기기 관리를 위한 MDM 솔루션 검색 후 무료 체험이 가능한 솔루션 중 Hexnode MDM이라는 솔루션을 선택했습니다.

Apple 기기를 관리하기 위한 MDM솔루션은 여러 종류가 있는데, 앞서 Gartner Magic Quadrant 보고서에서 보셨던 VMware AirWatch, IBM MaaS360, Microsoft Intune을 비롯해 Citrix XenMobile, Cisco Meraki System Manager 뿐만 아니라 Jamf, Hexnode MDM, SimpleMDM 등 대부분의 외산 MDM 솔루션으로 Apple 기기를 관리할 수 있습니다.

저는 Hexnode MDM을 선택했고, 지금부터 보여드리는 절차는 다른 MDM솔루션이라도 크게 다르지 않으니 참고하시기 바랍니다. 위 이미지의 빨간 박스처럼 Hexnode MDM의 공개키(Public Key)인 pem파일을 다운받습니다.

그리고 다시 MDM 서버 설정 화면으로 돌아와 다운받은 pem파일을 위 빨간박스 처럼 'MDM 서버 설정' 아래에 파일 선택을 눌러 업로드 합니다. 그리고 우측 하단의 '저장' 버튼을 클릭하면

이렇게 MDM 서버가 잘 생성되었습니다. 그런데 아직 끝난게 아닙니다. MDM 솔루션에서도 ABM에서 정보를 가져오기 위해 ABM에 등록된 MDM 서버의 토큰을 다운받아 MDM 솔루션에 업로드하는 과정이 필요합니다. 그래서 위와 같이 생성된 MDM 서버 이름 아래의 '토큰 다운로드'를 선택해 p7m파일을 다운받습니다.

그리고 다시 MDM 솔루션의 공개키를 다운로드 받았던 ABM 설정 화면으로 돌아와 ABM에서 다운받은 토큰을 업로드 합니다. 여기까지 하면 ABM에서 기기 배정을 위한 준비가 끝나게 됩니다. 이제 ABM에서 기기를 배정 해 볼까요?

ABM에서 '기기 배정' 메뉴를 클릭하면 위와 같이 '기기 관리'화면이 나타납니다. 기기를 배정하는 방법은 3가지로 '일련 번호'(Serial Number), '주문 번호'(Order Number), 'CSV'파일 업로드가 있습니다. 기기를 하나씩 등록할 경우 '일련 번호' 혹은 '주문 번호'를 사용하면 되고요. 위와 같이 번호 입력 후 아래 '작업 선택'에서 '서버에 배정'을 선택하고 'MDM 서버'는 등록한 MDM 서버를 선택한 뒤 '완료'버튼을 누르면 됩니다.

그러면 이렇게 기기가 정상적으로 배정이 됩니다. 이 화면 보기까지 며칠이 걸렸던지... 이 글을 보시는 분들은 부디 저처럼 시행착오 겪지 마시고 한방에 하시길 바랍니다.

만약 배정해야 하는 기기 수가 많다면 위와 같이 CSV파일을 업로드 해서 배정할 수 있습니다. ABM에서 샘플 CSV파일을 제공하는데, 그냥 한 행 마다 일련 번호를 넣으면 됩니다. 저는 2개 기기의 일련 번호를 입력했고, 등록한 Hexnode MDM서버 선택 후 완료 버튼을 누르면

위와 같이 2개의 기기가 잘 배정 되었습니다.

이후 AMB의 설정 메뉴로 가보면 위와 같이 MDM서버에 기기가 잘 배정된 것을 확인할 수 있습니다. 이제 ABM에서의 할 일은 모두 끝났고요. 이제 MDM 솔루션으로 가볼까요?

• ■MDM 솔루션에 기기 등록

MDM 솔루션의 ABM 설정 화면에서 'Sync with DEP'를 클릭하면 빨간 박스처럼 ABM에서 등록한 기기 2개가 나타납니다. 이제 다 끝난 것이라고 생각하시면 안됩니다. 아직 안끝났어요... 만약 이 상태에서 MDM 대시보드로 가보면

위 빨간 박스처럼 등록된 기기가 0으로 나옵니다. 아니 분명 ABM에서 기기 2개를 등록했고 계정과 동기화 시켰을 때 기기 2개가 나타난 것도 확인했는데 왜 대시보드에는 등록된 것이 없다고 나오는 것일까요? 이거 해결하는 데에 또 꼬박 하루가 걸렸던 것 같네요. 다시 앞서 보셨던 ABM 설정 화면으로 가볼까요?

빨간 점선을 잘 봐주세요. 자세히 보시면 'Last Assigned'와 'Device'의 값이 없는 것을 확인할 수 있습니다. ABM(DEP) 계정에 기기가 배정되었지만 MDM 솔루션에도 한번 더 등록을 해 줘야 합니다. 그래야 MDM 솔루션에서 관리가 가능하거든요.

Hexnode MDM에서 기기를 등록하는 방법은 두 가지가 있습니다. 첫 번째는 로그인하면 나타나는 팝업 가이드를 토대로 등록하는 방법입니다. 왼쪽 이미지 처럼 먼저 등록할 기기의 유형을 선택하면 오른쪽 이미지와 같이 기기 등록을 위한 고유한 URL이 표시됩니다. 이 URL을 등록할 기기의 웹브라우저에서 접속하면 됩니다.

다른 하나는 Hexnode MDM의 등록 메뉴에서 Email Invite를 사용하는 것입니다. ABM 계정으로 이메일을 보낸 다음 등록할 기기에서 수신된 메일을 확인 해 등록 절차를 거치면 됩니다.

위와 같이 메일에 표시된 URL로 접속하면 됩니다.

 그리고 Username과 Password를 입력하면 되고요. 저는 iPad, Macbook Air에서 Safari 브라우저로 접속해서 진행했습니다.

위 웹페이지에서 계정 정보를 잘 입력했다면 위와 같이 Apple 기기에 프로파일이 설치됩니다. 이렇게 프로파일까지 설치가 완료된 뒤 MDM 솔루션의 대시보드로 가보면

이렇게 기기 두개가 등록되어 대시보드에 나타나는 것을 확인할 수 있습니다. 이제야 MDM 솔루션에서 Apple 기기를 제어하기 위한 기본적인 세팅이 끝났습니다.

그런데 아직 한 가지가 더 남았습니다. MDM 솔루션에서 실행 한 명령이 기기에 잘 전달되고 해당 명령이 무엇인지 사용자에게 알려주기 위한 APN(Apple Push Notification) 인증이 남았습니다. 이 인증 절차는 간단한데요.

Hexnode MDM의 경우 Admin -> APNs를 선택해서 APN 인증서를 생성해 다운로드 한 다음 Apple Push Certificates Portal로 이동합니다.

그리고 우측 상단의 Create Certificate 버튼을 클릭하면

위와 같이 인증서 생성 화면으로 바뀌고 Notes에 간단히 MDM 솔루션 이름(말 그대로 메모라 아무 내용이나 입력하면 되지만 구분을 위해 저는 MDM 솔루션 이름을 넣었습니다.)을 넣고 MDM 솔루션에서 생성한 인증서 pem파일을 선택 후 Upload버튼을 누릅니다.

그러면 상단에 방금 업로드 한 인증서가 잘 생성된 것을 확인할 수 있습니다. 여기까지가 Apple 기기를 MDM 솔루션으로 관리하기 위한 ABM, MDM 솔루션 기본 세팅 과정이었습니다. 다시 한번 간단히 내용을 정리 하면 아래와 같습니다.

간단히 10가지 과정으로 정리할 수 있겠네요. D-U-N-S® Number 발급과 ABM 계정 생성까지 걸리는 시간을 감안하면 넉넉잡아 2주 정도는 소요될 것 같습니다. 만약 Apple 기기를 MDM 솔루션으로 관리하실 예정이신 분들은 미리 D-U-N-S® Number 발급, ABM 계정 생성, Apple 기기를 구매한 업체에게 리셀러 ID를 받아 놓으시면 이후 과정은 10~20분 정도면 끝내실 수 있을겁니다.

 3) MDM 세팅

여기까지 잘 따라 오셨다면 Apple 기기를 MDM 솔루션으로 관리하기 위한 준비는 끝난 셈입니다. 이제 본격적으로 MDM 솔루션을 활용해 Apple 기기를 제어해 볼 차례인데요. 그렇게 하기 위해서는 기기 관리를 위한 정책을 설정해야 합니다. Hexnode MDM에 대한 예시이지만 다른 MDM 솔루션들도 메뉴만 다를 뿐 내용은 크게 다르지 않을 것입니다.

• ■정책 설정하기

Hexnode MDM에서는 메인의 Policies에서 정책을 만들 수 있습니다. New Policy를 선택하면 위와 같이 정책 템플릿을 선택하라는 팝업이 나오는데, 미리 솔루션에서 만들어 둔 템플릿을 바탕으로 정책을 만들어 갈 수 있습니다. 저 역시 이 템플릿 중 하나를 선택해서 저만의 정책을 만들었고요. 다른 MDM 솔루션도 이런 템플릿을 제공하고 있습니다. 

정책을 만드는 화면입니다. IT관리자 분들은 익숙하실 화면인데요. 네트워크 방화벽 설정이나 보안 솔루션 정책 설정의 화면과 크게 다르지 않습니다. 앱 정책에서는 기기에 기본적으로 설치할 앱을 정할 수 있고, 네트워크 정책에서는 화사 WiFi SSID를 미리 입력해서 기기를 켜는 순간 바로 회사 WiFi에 접속할 수 있게 해줍니다. VPN 설정도 할 수 있고요.

보안 정책에서는 특정 URL을 블랙리스트/화이트리스트로 관리할 수 있고 이메일 수신 허용 도메인과 특정 포털 사이트 도메인 자체를 막아서 해당 도메인에서 제공하는 모든 서비스 접속을 막을 수도 있습니다. 그리고 사용하는 이메일 서비스의 연락처 동기화고 가능하고요. 사전에 기기를 받았을 때 개인이 이것 저것 설정할 필요 없이 바로 회사 업무에 활용할 수 있게 사전 설정 작업을 해 줄 수 있습니다.

정책을 만들었다고 끝난게 아닙니다. 정책을 적용할 기기에 할당해 주는 작업을 해야겠죠. 위와 같이 Hexnode MDM의 경우 'My Polies'에서 만든 정책을 선택하고 Manage -> Associate Targets를 선택하면 나타나는 팝업 화면에서 정책을 적용할 기기를 선택할 수 있습니다. 이렇게 Apple 기기에 정책을 적용한 다음 기기 별로 혹은 사용자나 그룹을 지정해 직접 제어하면 됩니다.

3. MDM 활용 사례

기본적인 세팅이 모두 끝난 만큼 실제 Apple 기기를 Hexnode MDM에서 어떻게 제어할 수 있는지 몇 가지 사례를 보여드리겠습니다. 제가 보여 드리는 것은 극히 일부이고 이런 것도 가능하다 정도로 이해하시면 되겠습니다.

 1)  대량 앱 배포 : Apple VPP(Volume Purchase Program)

회사에서 업무적으로 사용하는 타 제조사가 만든 앱이 있다면 MDM 솔루션에서 한번에 배포할 수 있습니다. 이 때 사용하는 것이 Apple VPP(Volume Purchase Program)으로 ABM에서 앱을 구매하고 MDM솔루션에서 사용자 기기에 한번에 배포할 수 있습니다. 만약 유료 라이선스 앱을 사용하고 있다면 VPP에서 라이선스 수량만큼 구매 후 사용자 기기에 배포할 수 있기 때문에 수량 관리에도 용이한 장점이 있습니다.

이 VPP를 이용하기 위해서는 ABM에서 국내용 사업자 등록번호를 입력해 VPP에 가입해야 합니다.

• ■VPP 앱 배포 : Google Chrome 브라우저

회사의 그룹웨어가 Google Chrome 브라우저에 최적화 되어 있어 사용자 기기에 Chrome 브라우저 배포가 필요하다고 가정해보죠. ABM에 로그인 후 좌측 하단의 앱을 클릭한 뒤 우측 상단의 빨간 박스로 표시한 검색창에서 Chrome을 검색하면 우측과 같이 Apple App Store에 등록된 Chrome이 나타납니다. 그리고 이 앱을 필요한 수량 만큼 구매를 하면 됩니다.

그러면 위와 같이 Apple VPP에서 구매한 앱이 사용 가능하다는 메일을 받게 되고요.

Henxnode MDM의 Apps 메뉴에서 Google Chrome을 검색해 보면 위와 같이 License Type에 VPP 0/3이라고 표시된 것을 확인할 수 있습니다. 이 앱을 iPad에 배포하면

이렇게 iPad에 Chrome 브라우저가 설치되고요. 개인이 Chrome 브라우저를 설치하려면 Apple App Store에 개인 Apple ID로 로그인 후 Chrome 브라우저 검색 -> Apple ID 비밀번호 입력 -> 다운로드의 단계를 거쳐야 하지만 Apple VPP와 MDM솔루션으로 배포하면 iPad에 Chrome 브라우저 앱을 설치하겠다는 Push 메시지가 나타나고 바로 앱이 설치됩니다. 

그리고 다시 Hexnode MDM의 Apps 메뉴로 와서 Chrome 브라우저를 검색해 보면 위와 같이 License Type에 수량이 1/3으로 표시된 것을 확인할 수 있습니다. 

• ■VPP 앱 배포 : Cisco Webex Meetings

만약 회사에서 화상회의 용 앱을 Cisco Webex Meetings를 이용한다면 위와 같이 ABM에서 Webex Meetings를 검색해 구입하고요. 2개를 구매한 것 보이시죠? 다시 Hexnode MDM으로 가보면

위와 같이 Webex를 검색해 보면 License Type이 VPP 0/2로 되어 있는 것을 확인할 수 있습니다. IT팀에서 강제로 배포할 필요가 있는 앱은 이렇게 Apple VPP에서 구매하고 MDM 솔루션에서 배포하면 간편하게 사용자 기기에 앱을 설치할 수 있습니다.

 2) 사용자 기기 분실, 도난 시 대처 : 기기 위치 추적, 락다운, 초기화

사용자가 만약 기기를 분실했다면 IT팀에서는 현재 기기가 어디에 있는지 파악해야 합니다. 만약 회사 사옥 주변에 있다면 쉽게 찾을 수 있을텐데 그렇지 않고 엄한 곳에 있다면 데이터 유출 방지를 위해 빨리 기기를 락다운 시키거나 초기화해야 합니다. 이를 위해서는 MDM 솔루션 앱이 사전에 설치되어 있어야 하고 위치정보 활성화가 되어 있어야 합니다.

• ■기기 위치 추적

저는 정책 설정을 통해 iPad의 Dock에 Hexnode MDM 앱을 기본 앱으로 배포 해 두었습니다. 위 빨간색 박스의 앱이 Hexnode MDM 앱 입니다. 그리고 한번 실행해서 위치 추적을 활성화 시켜뒀고요.

Hexnode MDM의 메뉴에서 'Manage' 선택 후 'Devices' 탭에서 iPad를 선택해 보면 위와 같이 Location History에 제 기기 위치가 표시됩니다. 사무실에서 테스트 한 것인데 회사 위치가 잘 표시 되더군요. 당연히 맵을 확대 축소시킬 수 있습니다.

• ■기기 락다운

만약 기기의 위치가 회사와 꽤 먼 곳이라면 기기가 도난된 것이 확실하므로 빠르게 기기를 잠궈야 합니다. 위와 같이 Hexnode MDM의 'Manage' -> 'Devices' 탭에서 기기 선택 후 'Actions'에서 'Lock Device'를 선택하고 'iPad 분식'이라고 메시지 입력 후 실행하면

위와 같이 iPad가 잠기게 됩니다. 만약 기기를 습득한 사람이 사용하고 있다면 바로 위와 같은 화면을 보게 되고요. 애초에 iPad에 비밀번호 혹은 지문인식을 설정해 뒀다면 기기를 습득해도 사용할 수 없겠지만 그렇지 않을 경우 MDM 솔루션에서 비밀번호 설정 후 락다운 시켜 사용하지 못하게 조치할 수 있습니다.

iPad뿐만 아니라 Macbook Air의 macOS에도 MDM 솔루션 프로파일을 설치했기 때문에 위와 같이 강제로 락다운 시키는 것도 가능합니다.

• ■기기 초기화

기기 락다운을 했다 하더라도 기기를 다시 회수할 가능성이 높지 않다면 데이터 유출 방지를 위해 기기를 초기화 시킬 필요가 있습니다. 이 작업 역시 기기 락다운과 마찬가지로 'Manage' -> 'Devices'에서 기기 선택 후 'Actions'에서 'Wipe Devices'를 선택하면 됩니다.

그러면 위와 같이 기기 초기화가 시작됩니다. 아무런 푸시 알람 혹은 경고 창 없이 바로 강제로 화면이 바뀌며 초기화 되기 때문에 실행에 주의할 필요가 있습니다. 실수로 정상적으로 잘 사용하고 있는 사용자의 기기를 초기화 시키면 큰일이니까요.

기기 초기화가 완료되면 맨 처음 공장출고 상태로 기기가 리셋됩니다. 이렇게 기기가 도난 당했을 때에는 데이터 유출 방지를 위해 강제로 기기 초기화를 할 수 있고요. 만약 내부 직원들에게 새 기기가 아닌 퇴사자의 기기를 지급해 줄 일이 있을 때에도 이렇게 기기 초기화를 사용할 수 있습니다.

그렇다면 그냥 사용자가 기기를 초기화 하는 것과 MDM 솔루션에서 초기화 하는 것은 무엇이 다를까요? 사용자가 기기 초기화를 하게 되면 Apple 기기를 처음 활성화 시키기 위한 각종 설정 작업(언어, 지역, 시간, Apple ID 입력, 키보드 설정, Siri 설정, 암호 설정, 이용약관 동의 등)을 거쳐야 합니다. 하지만 MDM 솔루션에서는 이러한 설정을 모두 생략시킬 수 있어 빠른 초기화가 가능한 장점이 있습니다. 

위 사진의 오른쪽과 같이 MDM 솔루션을 통해 설정 작업을 모두 생략하면 위와 같이 회사에서 자동으로 원격 관리를 통해 설정을 하다는 화면을 보게 됩니다. 이렇게 MDM 솔루션을 활용하면 사용자가 기기 활성화에 소요되는 시간을 대폭 줄일 수 있습니다.

활성화 시키면 위와 같이 기본 상태가 달라집니다. 왼쪽은 MDM 솔루션으로 관리하기 전의 초기 화면이고요. MDM 솔루션에 등록 후 정책 적용한 상태에서 초기화 시킨 뒤 iPad Air를 활성화하면 우측과 같이 초기 화면이 변합니다. 저는 Wall Paper를 등록했고 MDM 솔루션 앱과 설정 앱을 Dock에 배치하는 정책을 적용했고요. 회사의 주요 보안 문구가 포함된 이미지를 제작해 Wall Paper 뿐만 아니라 Lock Screen으로도 배포할 수 있습니다.

 3) 사용자 헬프데스크 처리를 위한 기기 리모트 뷰

사용자가 기기를 사용하다가 문제가 생겨서 IT팀에 문의하는 일은 빈번하게 발생합니다. IT팀에서 헬프데스크 접수 후 온라인 혹은 유선으로 안내를 했으나 사용자가 제대로 이행하지 못해 계속 문제를 겪는다면 직접 IT팀의 관리자가 조치를 취해 줄 필요가 있을텐데요. 만약 사용자가 사무실에 없고 외부에 있다면, 아니면 IT관리자와 사용자의 근무지가 다르다면 어떻게 해야 할까요? 이 때 IT관리자가 사용자의 기기를 원격으로 보면서 필요한 조치를 취할 수 있습니다.

• ■사용자 기기 설정

리모트 뷰를 위해서는 MDM 솔루션에서  리모트 뷰를 시작해야 합니다. 위와 같이 'Manage' -> 'Device Summary' 선택 후 우측의 'Remote View'에 있는 'Start Session'을 클릭합니다.

그러면 왼쪽 이미지와 같이 iPad 상단에 MDM 솔루션 앱의 푸시 알람이 오고요. 터치하면 우측 이미지와 같이 화면 기록 화면이 나타납니다. 여기서 MDM 솔루션 앱 선택 후 화면 기록을 시작하면 됩니다.

• ■MDM 솔루션에서 원격으로 기기 보기

사용자 기기에서 화면 기록을 시작하면 위와 같이 MDM 솔루션에서 사용자 기기인 iPad의 화면이 나타납니다.  우측의 화면 확대 아이콘을 클릭하면

이렇게 전체 화면으로 키울 수 있고요. 이제 IT관리자가 사용자 기기의 화면을 보면서 이렇게 해보세요, 저렇게 해보세요 하며 지시를 내릴 수 있습니다. 직접 원격으로 제어하는 것은 아니지만 사용자가 처리하기 어려운 조치라면 단순히 통화하는 것 보다는 화면을 보면서 지시를 내리는 것이 문제 해결에 훨씬 도움이 되겠죠?

4. 총평 : 회사에서 사용하는 기기인 만큼 Apple 기기를 IT팀에서 확실하게 관리하기 위해서 MDM 솔루션은 필수, 하지만 준비과정이 다소 복잡한 것은 아쉬움

<이미지 출처 : Pixeden>

여기까지 Apple 기기를 MDM 솔루션으로 관리하기 위한 방법을 ABM 계정을 생성하는 첫 단계부터 자세히 살펴봤습니다. 앞서 서두에서 말씀드렸던 것 처럼 기업에서 Apple 기기는 업무적으로 정말 많이 활용됩니다. 저 역시 iPhone 3gs부터 iPhone을 사용해왔고 iPad와 Macbook Air도 8년 넘게 회사에서 업무적으로 사용해 왔고요. 제가 만난 대부분의 개발자들의 PC는 Macbook Pro일 정도로 개발자들에게 널리 사랑받는 기기가 바로 Apple 기기가 아닐까 싶습니다.

이렇게 업무적으로 많이 사용하는 Apple 기기를 IT팀에서는 어떻게 하면 효율적으로 관리할 수 있을 지 고민이 될 수 밖에 없습니다. 그래서 필요한 것이 MDM 솔루션이고, MDM솔루션으로 Apple 기기를 관리하기 위해서는 Apple DEP, ABM을 사용해야만 합니다. 비록 준비 과정이 다소 오래 걸리고 여러 단계를 거쳐야 하긴 하지만 회사에서 사용하는 기기인 만큼 IT팀에서는 확실하게 관리할 필요가 있기 때문에 다수의 Apple 기기가 사용되는 기업이라면 MDM 솔루션을 사용할 것을 추천하고 싶습니다.

<이미지 출처 : Hexnode MDM 홈페이지>

회사에서 신규 직원들을 위한 Apple 기기를 대량으로 구매했다면 직원들이 알아서 잘 사용하게끔 일임하는 것이 아니라 IT팀에서 사전 세팅 후 지급해 줄 필요가 있습니다. 만약 ABM과 MDM솔루션을 사용하지 않는다면 IT팀에서 직접 기기 활성화 하고 업무적으로 필요한 필수 앱들을 하나씩 설치해서 지급해야 할 텐데, 기기 수가 많다면? 어휴, 생각만 해도 끔찍합니다.

따라서 업무용 Apple 기기를 대량으로 구매하실 계획이 있으시다면 Apple Store나 오픈마켓, 오프라인 리셀러 매장을 통해 구매하기 보다는 SK네트웍스 같은 기업 전문 리셀러를 통해 구매하셔서 MDM 관리를 위한 지원을 받으시기 바랍니다. 그래야 IT팀에서도 사용자들에게 기기를 지급하기 전에, Apple 기기의 박스에서 꺼내기도 전에 MDM 솔루션으로 미리 필요한 작업들을 간편하게 진행할 수 있을테니까요. IT관리자과 사용자 모두 기기 세팅에 필요한 시간을 대폭 단축시킬 수 있으니 MDM솔루션을 사용하지 않을 이유는 없어 보입니다.

이것으로 '회사 업무용 Apple 기기를 MDM으로 관리하기 위한 A to Z'편을 마치겠습니다. 저의 지난 3주간의 경험이 대량으로 Apple 기기를 관리해야 하는 담당자 분들께 조금이나마 도움이 되기를 바랍니다. 끝!

본 컨텐츠는  Apple, MS, 삼성, LG 등을 비롯한 국내외 IT Brand 총판 Biz.(B2B)를 영위하고 있는
 

SK 네트웍스의 지원으로 제작되었습니다. 

  다양한 기업 및 채널에 노트북, PC 등의 Device를 안정적으로 공급하고 있는 기업입니다.

  궁금하신 점이나 필요하신 점이 있으면 언제든지 아래 연락처로 연락 주세요

영업담당 SK네트웍스 B2B사업팀 / 신태순 매니저 / 010-6482-7817 / [email protected]

기술담당 SK네트웍스 B2B사업팀 / 정희석 매니저 / 010-3100-1584 / [email protected]