실제 MDM을 설치할 때, 어떤 승인 과정들을 거치며 왜 필요한 과정인지 알아볼까요?
안드로이드
기기 관리자 활성화
MDM 앱은 일반 앱과 달리 보안이 강화된 기능을 사용합니다.
‘보안’이라는 특수 목적의 MDM 앱은 일반 앱을 사용하는 것과는 차이가 있어요.
때문에 MDM 앱은 기기를 관리할 수 있는 특수 권한을 사용자가 부여해야 사용할 수 있습니다.
이러한 과정을 ‘기기 관리자 활성화’라고 합니다.
그림 1
그림 2
그림 3
손가락
MDM은 사용자의 기기 관리자 활성화 동의를 얻은 후에 설치가 진행됩니다. 동의없이는 절대 노노!!
삼성 라이선스 동의(삼성 단말기인 경우에만 해당돼요!)
MDM 기기 관리자 활성화에 동의했는데 왜 삼성 라이언스 동의가 한번 더 필요할까요?
안드로이드 기기에서 기기관리자를 활성화하여 Android API(Application Programming Interface) 보안 기능을 사용할 수 있는 것처럼, 삼성 라이선스에 동의해야 제조사에서 제공하는 API의 사용이 가능합니다.
그림 1
그림 2
MDM의 보안 기능은 안드로이드 API만으로는 제공할 수 없기 때문에 단말기 제조사(삼성) 동의는 필수!필수!
앱 권한 승인
안드로이드 6.0 이상부터는 앱에서 특정한 행위를 할 경우, 반드시 사용자의 권한 동의를 받아야 합니다.
예를 들어 설명해볼까요?
앱에서 APK(Android application package)를 설치할 경우에는 저장소 권한이 필요하고 앱에서 전화번호를 추출해야 하는 경우는 전화 권한이 필요합니다.
이처럼 앱 사용 권한은 법인 및 개인 기기에서 기기 관리, 업무 앱 배포 관리 등 MDM 기능을 정상적으로 사용하기 위해 꼭 필요한 권한으로 필요한 권한을 사용자에게 미리 설명하고, 사전 동의를 얻은 후 동작합니다.
* 위치 권한은 기기의 위치를 확인하기 위해 사용하며 위치를 저장하지 않고, 기기 밖으로 전송하지도 않습니다.
그림 1
그림 2
그림 3
사용자 동의를 통해 얻은 앱 권한은 사용자의 기기를 보호하는 것 이외의 다른 용도로는 절대 사용하지 않아요!
접근성 서비스 활성화
접근성 서비스는 기본 목적은 장애를 가진 분들의 모바일 기기의 사용성에 도움을 주고자 사용하는 서비스로 기기에서 발생하는 이벤트나 앱의 전환 시 음성, 텍스트, 점자 등의 방법으로 변환하여 알려주기 위해 사용합니다.
이러한 접근성 서비스를 MDM에서는 일부 OS에서 앱의 전환을 알리기 위해 사용합니다.
악성 앱이 실행되었는지를 판단하여 실행을 차단시키거나, 업무앱이 실행되었는 지를 판단하여 앱이 실행되는 동안에는 보안을 적용하는 목적으로 사용되며 그 외의 목적으로는 절대 사용되지 않습니다.
그림 1
그림 2
그림 3
접근성 서비스는 보안을 목적으로만 사용하는 것으로 접근성 서비스 활성화로 개인정보에는 접근할 수 없어요.
사용정보 접근 권한
사용정보 접근 권한은 다른 앱을 얼마나 자주 사용하는 지를 조회할 수 있는 권한으로 MDM에서는 일부 OS에서 앱의 전환을 알리기 위해 사용합니다.
악성 앱이 실행되었는 지를 판단하여 실행을 차단시키거나, 업무앱의 실행 여부를 판단하여 해당 앱이 실행되는 동안 보안을 적용하는 목적으로 사용됩니다.
위와 같은 목적으로 현재 사용중인 앱을 확인하는 것 외에 다른 목적으로는 절대 사용되지 않습니다.
그림 2
그림 3
그림 4
"사용정보 접근 권한은 악성 앱 차단, 업무 앱 보안을 위한 목적으로만 사용하는 것으로 그 외 개인정보에는 접근할 수 없어요"
배터리 최적화
안드로이드 6.0 이상부터는 베터리의 사용량을 줄이기 위해 모바일 네트워크를 사용하거나 데이터를 동기화하는 등의 일부 기능을 제한할 수 있게 됐죠.
이를 "배터리 최적화"라고 합니다.
그러나, MDM 앱은 앱이 사용중이지 않더라도 MDM 서버와 지속적으로 통신이 가능해야하고 언제든지 MDM 서버의 명령을 받을 수 있어야 해요. 그래야 실시간 운영이 가능하니까요.
따라서, MDM 앱은 “배터리 최적화를 실행하지 않는 앱"으로 설정해야 합니다.
예를 들어 Google Play 서비스는 항상 Google 서버와 통신할 수 있어야 하므로 기본적으로 배터리 최적화를 하지 않는 앱으로 되어 있습니다. MDM 앱도 이와 같은 맥락이죠!
그림 1
그림 2
“배터리 최적화가 안된다고? MDM이 배터리 다 소모시키는거 아니야?” 어머! 요즘 세상에~ 그럴리가! 고도화된 기술로 배터리 소모량은 미미합니다.
iOS
'신뢰할 수 없는 기업용 App 개발자'를 신뢰
Apple App Store에서 제공하지 않은 앱을 설치할 때에는 ‘신뢰할 수 없는 기업용 App 개발자’ 확인이 필수입니다.
MDM 앱은 Apple 사의 기업용 배포 인증서를 사용하여 개발합니다. 기업용 배포 인증서를 사용한 앱을 처음 설치할 때에는 '신뢰할 수 없는 기업용 App 개발자‘ 신뢰를 승인해야 사용 가능합니다.
기기의 설정 앱 실행 → 일반 → 프로파일 및 기기 관리로 이동하여 기업용 앱을 선택한 후 ‘신뢰’해주시면 됩니다.
그림 1
그림 2
그림 3
동일한 기업용 배포 인증서를 통해 개발된 앱이 이미 설치되어 있다면, 배포인증서를 신뢰한 상태로 새롭게 신뢰할 필요는 없어요! 신규 기업용 배포 인증서에 한해 딱 한번만 승인!
MDM 프로파일의 설치
MDM 서비스를 사용하려면 먼저 기기의 정보를 서버에 등록해야 합니다.
MDM 서비스는 기기별로 이루어지며 해당 기기에 명령을 전송하기 위해 최소한의 기기 정보를 서버에서 사용합니다.
아이폰이나 아이패드에서는 기기 정보를 추출하고 원격으로 기기를 제어하기 위해 MDM 프로파일을 반드시 설치해야 합니다.
그림 1
그림 2
MDM 프로파일은 기기를 관리하기 위한 애플의 고유한 방식입니다. 전 세계 모든 MDM 제조사는 애플사의 기기를 관리하기 위해서 MDM 프로파일을 사용하고 있죠!