실제 MDM을 설치할 때, 어떤 승인 과정들을 거치며 왜 필요한 과정인지 알아볼까요?
안드로이드
기기 관리자 권한 활성화
관리자 권한 활성화는 MDM 앱이 스마트폰이나 태블릿을 보다 안전하고 효율적으로 관리할 수 있도록 허용하는 것입니다.
이 권한을 부여하면 앱은 일반적인 기능 외에도 보안과 관련된 중요한 작업을 수행할 수 있게 됩니다.
회사의 정보 보호를 위해서는 기기와 업무용 앱에 대한 보안 설정이 필수적이며 기기 관리자 권한은 비밀번호 정책 설정, 카메라 및 마이크에 대한 사용 제한 등 보안 강화 목적으로만 사용됩니다.
이 권한은 사용자의 동의 없이는 절대 활성화되지 않으며, 권한 요청 시 앱은 사용 목적과 기능을 투명하게 안내합니다.
그림 1
그림 2
MDM은 사용자의 기기 관리자 활성화 동의를 얻은 후에 설치가 진행됩니다. 동의없이는 절대 노노!!
삼성 라이선스 동의(삼성 단말기인 경우에만 해당돼요!)
MDM 기기 관리자 활성화에 동의했는데 왜 삼성 라이언스 동의가 한번 더 필요할까요?
안드로이드 기기에서 기기관리자를 활성화하여 Android API(Application Programming Interface) 보안 기능을 사용할 수 있는 것처럼, 삼성 라이선스에 동의해야 제조사에서 제공하는 API의 사용이 가능합니다.
그림 1
그림 2
그림 2
MDM의 보안 기능은 안드로이드 API만으로는 제공할 수 없기 때문에 단말기 제조사(삼성) 동의는 필수!필수!
앱 권한 허용
안드로이드 6.0 이상부터는 앱이 특정 기능을 수행하기 위해 사용자에게 명확한 권한 요청과 동의를 받는 것이 필수입니다.
예를 들어 설명해볼까요?
기기에서 전화번호를 추출하려면 전화 권한이 필요하고 기기의 위치 확인을 하기 위해서는 위치 권한이 필요합니다.
MDM 앱은 이러한 권한을 요청할 때, 사용 목적과 활용 방식에 대해 사전에 충분히 안내하고, 사용자의 동의를 받은 후에만 해당 권한을 실행됩니다. 이처럼 앱 권한은 법인 및 개인 기기에서 기기 관리, 업무용 앱 배포 등 MDM 기능을 원활하게 운영하기 위해 꼭 필요한 요소입니다.
* MDM에서는 위치를 저장하지 않고, 기기 밖으로 전송하지도 않습니다.
그림 1
그림 2
그림 3
사용자 동의를 통해 얻은 앱 권한은 사용자의 기기를 보호하는 것 이외의 다른 용도로는 절대 사용하지 않아요!
사용정보 접근 허용
사용정보 접근 허용은 다른 앱을 얼마나 자주 사용하는지를 조회할 수 있는 권한입니다. MDM에서는 운영체제에서 앱 간 전환을 감지하기 위해 이 권한을 활용합니다.
이 권한은 다음과 같은 보안 목적에 한 해 사용됩니다:
악성 앱이 실행되었는지를 판단하고, 필요시 실행을 차단
업무용 앱의 실행 여부를 확인하여 해당 앱이 실행 중일 때 보안 정책을 적용
이 외의 다른 용도로는 절대 사용되지 않으며, 오직 위와 같은 보안 목적에만 제한적으로 활용됩니다.
그림 1
그림 2
그림 3
그림 4
"사용정보 접근 허용 권한은 악성 앱 차단, 업무용 앱의 보안을 위한 목적으로만 사용하는 것으로 그 외 개인정보에는 접근할 수 없어요"
다른 앱 위에 표시
다른 앱 위에 표시 권한은 보안 정책 위반 시 경고를 띄우거나, 보안 정책이 적용/해제될 때 사용자에게 시각적으로 알림을 제공하는 데 활용됩니다.
이 기능은 내비게이션 앱이나 알람 앱에서도 사용되는 일반적인 시스템 권한으로 MDM 앱에서도 보안성과 실시간 대응력 확보를 위해 적용합니다.
그림 1
그림 2
그림 3
”일반 알람 앱처럼 보안 정책이 적용되거나 해제되었을 때 사용자에게 시각적으로 알림을 제공해요!”
배터리 최적화
안드로이드 6.0 이상부터는 베터리의 사용량을 줄이기 위해 모바일 네트워크를 사용하거나 데이터를 동기화하는 등의 일부 기능을 제한할 수 있게 됐죠. 이를 "배터리 최적화"라고 합니다.
그러나, MDM 앱은 앱이 사용중이지 않더라도 MDM 서버와 지속적으로 통신이 가능해야하고 언제든지 MDM 서버의 명령을 받을 수 있어야 해요. 그래야 실시간 운영이 가능하니까요.
따라서, MDM 앱은 “배터리 최적화를 실행하지 않는 앱"으로 설정해야 합니다.
예를 들어 Google Play 서비스는 항상 Google 서버와 통신할 수 있어야 하므로 기본적으로 배터리 최적화를 하지 않는 앱으로 되어 있습니다. MDM 앱도 이와 같은 맥락이죠!
그림 1
그림 2
“배터리 최적화가 안된다고? MDM이 배터리 다 소모시키는거 아니야?” 어머! 요즘 세상에~ 그럴리가! 고도화된 기술로 배터리 소모량은 미미합니다.
iOS
신뢰하지 않는 기업용 개발자
Apple App Store에서 제공되지 않는 앱을 설치 후 최초 실행하면, ‘신뢰할 수 없는 기업용 앱 개발자’라는 메시지가 표시될 수 있습니다.
이는 MDM 앱이 Apple의 기업용 배포 인증서를 통해 개발되었기 때문이며 처음 실행할 때는, 사용자가 직접 해당 개발자를 ‘신뢰’로 설정해야 앱을 정상적으로 사용할 수 있습니다.
설정 앱에서 ‘일반’ → ‘VPN 및 기기 관리’로 이동한 후 기업용 앱을 ‘신뢰’ 해주시면 됩니다.
그림 1
그림 2
동일한 기업용 배포 인증서를 통해 개발된 앱이 이미 설치되어 있다면, 배포인증서를 신뢰한 상태로 새롭게 신뢰할 필요는 없어요! 신규 기업용 배포 인증서에 한해 딱 한번만 승인!
MDM 프로필의 설치
MDM 서비스를 사용하려면 먼저 기기 정보를 서버에 등록해야 합니다.
MDM은 기기 단위로 관리되며, 서버는 각 기기에 명령을 전달하기 위해 필수적인 정보만 최소한으로 수집합니다.
아이폰이나 아이패드에서 MDM 서비스를 정상적으로 이용하려면, 기기 정보 추출 및 원격 제어 기능을 가능하게 하는 MDM 프로필을 반드시 설치해야 합니다.
그림 1
그림 2
그림 3
MDM 프로필은 Apple 기기를 관리하기 위한 애플의 고유한 방식입니다. 전 세계 모든 MDM 제조사는 Apple 기기를 효과적으로 제어하고 관리하기 위해 MDM 프로필을 필수적으로 사용하고 있죠!