• 아티클

System Center

System Center Mobile Device Manager 소개

Matt Fontaine

 

한 눈에 보기:

  • 일반적인 Mobile Device Manager 시스템
  • Windows Mobile로 Active Directory 확장
  • Windows Mobile 장치 등록, 프로비저닝 및 인벤토리

Microsoft System Center Mobile Device Manager 2008은 기업 네트워크에서 Windows Mobile 장치를 관리하는 IT 전문가를 위해 개발된 매우 흥미로운 프로그램입니다. 이 새로운 제품 하나에서 장치 관리, 보안 관리 및 모바일 VPN(가상 사설망) 기능을 모두 제공하므로

이를 활용하면 관리 업무를 줄이고 모바일 장치의 ROI(투자 수익률)를 향상하는 데 크게 도움이 될 것입니다.

Mobile Device Manager를 사용하면 기존 Active Directory® 및 그룹 정책 인프라를 사용하여 장치 설정을 적용할 수 있습니다. OTA(무선) 장치 관리 기능을 통해 IT 전문가는 업데이트와 응용 프로그램을 장치에 쉽게 제공할 수 있으며 OTA 자체 프로비저닝을 통해 더욱 확장성이 높고 간편한 방식으로 배포 작업을 수행할 수 있습니다. 최종 사용자는 모바일 VPN 기능을 통해 방화벽 뒤에 있는 데이터와 응용 프로그램에 액세스할 수 있으며 이 동안에도 관리자는 계속 연결된 상태를 유지하여 배포된 장치를 제어할 수 있습니다. 이러한 모든 기능이 확장 가능하고 사용자 지정 가능한 하나의 제품인 Mobile Device Manager에 포함되어 있으므로 이 제품은 오늘날 IT 전문가에게 없어서는 안 될 필수적인 도구일 것입니다.

관리 요구 사항

모바일 사용자는 앞으로도 여러 해에 걸쳐 빠르게 증가할 것으로 예상됩니다. 모바일 장치는 이동성이라는 특성 때문에 다른 네트워크 장비보다 관리하기가 어렵습니다. 모바일 장치는 다양한 방식으로 네트워크에 연결되며, 이 중 많은 장치는 방화벽 밖에 있거나, 클라이언트 장치와 다른 운영 체제를 사용하거나, 크기가 작아 어디에 두었는지 잊어버리거나 잃어버리기 쉽기 때문에 안전하지 않을 수 있습니다.

오늘날 모바일 장치의 확장된 기능은 기업과 최종 사용자 모두에게 매우 뛰어난 이점을 제공하지만 이것은 장치 지원을 더욱 복잡하게 만드는 요인이기도 합니다. 이로 인해 기업의 데이터와 네트워크가 더 많은 보안 위험에 노출될 수 있으며, 중요한 기간 업무(LOB) 응용 프로그램 및 고객 데이터에 액세스하는 장치의 경우에는 특히 그렇습니다. 이러한 장치가 분실, 도난 또는 오용되는 경우 심각한 보안 문제가 발생할 수 있습니다.

모바일 장치와 기존 네트워크 클라이언트가 가진 기능의 차이가 좁혀지면서 모바일 장치를 랩톱 컴퓨터나 데스크톱 컴퓨터와 같이 관리할 수 있는 기능에 대한 요구가 증가하고 있습니다. 이것이 바로 Mobile Device Manager의 기본 개념입니다. 점점 더 많은 비즈니스 사용자들이 Windows Mobile® 플랫폼을 사용하고 있으므로 Mobile Device Manager는 조만간 Windows® 기반 IT 관리 시스템의 중요한 부분으로 자리할 것입니다.

Mobile Device Manager는 Windows Mobile 장치가 네트워크에 연결된 PC나 랩톱인 것처럼 간편하게 종단 간 관리 및 제어를 수행할 수 있도록 설계되었습니다. Mobile Device Manager의 세 가지 주요 기능은 다음과 같습니다.

장치 관리. 서버당 사용자 수를 수십 명에서 수천 명까지 확장할 수 있으며 중앙에서 Windows Mobile 장치를 프로비저닝, 모니터링 및 관리할 수 있는 기능입니다.

보안 관리. 중요한 데이터를 보호하고 장치를 추적할 수 있는 보다 효율적인 메커니즘입니다.

모바일 VPN. 방화벽 뒤에 있는 데이터 및 응용 프로그램에 항상 효율적으로 액세스할 수 있도록 하는 기능입니다.

Mobile Device Manager는 모바일 장치를 데스크톱이나 랩톱 컴퓨터와 동등한 회사의 자산으로 취급하여 최상의 수준으로 관리할 수 있는 도구를 제공하려는 System Center의 이념에 따라 마련되었습니다. Mobile Device Manager는 다른 System Center 제품을 사용해 본 경험이 있는 사용자에게 친숙한 사용자 인터페이스를 제공합니다.

다시 말해 이는 Mobile Device Manager가 기존 Windows 기반 인프라에서도 설계대로 잘 작동한다는 점을 의미합니다. 몇 가지 예를 들면 Mobile Device Manager는 Active Directory 및 그룹 정책을 사용하고, 기존 Microsoft 분석 및 보고 도구(예: SQL Server®)와 함께 작동하며, Microsoft® Management Console 스냅인과 Windows PowerShellTM cmdlet을 사용하여 확장할 수 있습니다.

Mobile Device Manager 시스템

Mobile Device Manager는 확장성이 우수하며 하나의 인스턴스에서 수만 개의 장치와 여러 구성 옵션을 지원할 수 있습니다. 일반적으로 Mobile Device Manager의 서버 쪽에는 게이트웨이 서버, 장치 관리 서버, 등록 서버, SQL Server 데이터베이스 등의 네 가지 주요 시스템 구성 요소가 있습니다(그림 1 참조).

그림 1 일반적인 Mobile Device Manager 시스템

그림 1** 일반적인 Mobile Device Manager 시스템 **(더 크게 보려면 이미지를 클릭하십시오.)

게이트웨이 서버는 일반적으로 경계 네트워크에 설치되어 장치 네트워크 연결의 터미널 역할을 하고, 들어오는 장치 연결을 인증하고, 장치에 대해 안정적인 IP 주소를 제공하며 장치 및 네트워크 연결과 관련된 기타 기능을 수행합니다.

장치 관리 서버는 그룹 정책 구현, OTA 소프트웨어 배포, 장치 데이터 삭제와 같은 장치 운영 및 관리 작업의 허브입니다. 이 서버는 기존 도메인 컨트롤러에서 작동합니다. 장치 관리 서버는 Windows Mobile 장치의 서로게이트 네트워크 클라이언트 역할을 하여 Windows Mobile 장치가 다른 시스템과 통신할 수 있도록 지원합니다.

등록 서버는 도메인 컨트롤러의 모바일 장치를 나타내는 Active Directory 도메인 서비스 개체를 만듭니다. 이를 통해 모바일 장치를 다른 도메인 구성원과 같이 관리할 수 있습니다. 등록 서버는 또한 모바일 장치의 인증서 요청 및 검색 작업을 처리하며 등록 인증서를 수락하거나 발급하기 전에 기본적으로 Active Directory를 사용하여 장치를 인증합니다. SQL Server 데이터베이스에서는 장치 구성, 작업, 상태 설정 등과 관련된 정보를 모두 보관할 수 있는 리포지토리를 제공합니다.

인프라가 준비되어 실행되면 Mobile Device Manager가 장치 등록, 모바일 VPN 연결 설정, 장치 관리 등 세 가지 과정을 통해 모바일 장치와 상호 작용합니다. 장치 등록은 장치가 Active Directory 도메인에 참가하는 과정입니다. Mobile Device Manager는 만료되는 일회성 암호인 "공유 암호"를 사용하여 장치가 비보안 연결을 통해 등록될 수 있도록 지원합니다. 등록된 장치는 네트워크 트래픽을 라우팅할 게이트웨이 서버에 대한 모바일 VPN 연결을 설정할 수 있습니다. 모바일 VPN 연결을 사용하면 관리자 또는 시스템이 소프트웨어 및 설정을 장치에 배포하여 장치 관리를 수행할 수 있습니다.

Windows Mobile로 Active Directory 확장

하이브리드 또는 애드혹 IT 보안 방식은 완전히 통합된 보안 방식보다 위험할 수 있습니다. Mobile Device Manager는 기존 Active Directory 도메인 서비스 인프라를 사용하여 Windows PC와 같은 모바일 장치를 관리할 수 있도록 함으로써 이러한 위험을 줄일 수 있도록 설계되었습니다. 그 결과 ID 및 액세스 관리 작업을 보다 효율적으로 처리할 수 있고, 정책 대상을 더욱 일관되게 지정할 수 있으며 보안 구성을 한번에 수행할 수 있습니다.

PC 또는 서버와 마찬가지로 Windows Mobile 장치와 관련된 그룹 정책 개체를 OU(조직 구성 단위), 보안 그룹 및 WMI(Windows Management Instrumentation) 필터에 할당할 수 있습니다. 관리자는 또한 특정 장치가 그룹 정책 설정을 가져오지 못하도록 할 수도 있습니다.

Windows Mobile 장치와 관련한 설정 및 정책이 130개 이상 제공되므로 이를 활용하여 다양한 기능을 세부적으로 제어할 수 있습니다. 이에 대한 예를 통해 살펴보겠습니다.

  • 암호 설정에는 암호 요구 사항, 암호 형식 및 최소 길이, 암호 만료, 지정된 횟수만큼 암호 시도가 실패하면 로컬 장치 데이터 삭제(남은 암호 시도 횟수에 대한 사용자 알림 포함) 등이 있습니다.
  • 플랫폼 잠금 설정을 통해 관리자는 카메라, 무선 LAN, 적외선 통신, Bluetooth, 이동식 저장소 등의 장치 기능을 선택적으로 설정하거나 해제할 수 있습니다. POP(Post Office Protocol), IMAP(Internet Message Access Protocol), SMS(Short Message Service), MMS(Multimedia Messaging Service) 메시징 기능을 모두 해제할 수 있으며 Windows Mobile용 Windows Update도 해제할 수 있습니다.
  • Mobile Device Manager는 세부적인 수준의 응용 프로그램 제어 기능을 제공합니다. 따라서 장치가 승인되지 않은 서명을 가진 응용 프로그램이나, 서명되지 않은 응용 프로그램을 실행하지 못하도록 하거나 관리자 판단 하에 특정한 서명되지 않은 응용 프로그램을 허용할 수 있습니다.
  • 데이터를 효과적으로 보호하기 위해 관리자는 이동식 저장소 카드에서 생성된 파일을 장치에 연결된 암호화 키를 사용하여 암호화할 수 있습니다. 장치 암호화는 장치의 중요한 데이터를 보호하는 데도 사용할 수 있습니다. 관리자는 기본적으로 보호되는 파일 외에도 추가 파일을 암호화하도록 지정할 수 있습니다.
  • 모바일 VPN 설정을 사용하면 장치의 VPN 연결에 대해 사용자가 가질 수 있는 제어 수준과 데이터 암호화 수준을 설정할 수 있습니다.
  • ActiveSync® 설정을 통해서는 메시지 형식, 전자 메일 수명 필터, 크기 제한, 동기화 설정 등을 설정할 수 있습니다.
  • S/MIME 설정을 통해서는 메시지 서명, 메시지 암호화 또는 특정 알고리즘 사용을 요구할 수 있습니다.

위에서 설명한 설정을 비롯한 여러 가지 설정은 다양한 시나리오를 지원합니다. 이러한 설정을 통해 IT 전문가는 특정 장치에서 실행될 수 있는 응용 프로그램 유형을 결정할 수 있습니다. 또한 하드웨어 기능을 무선으로 설정하거나 해제할 수 있습니다. 예를 들어 중요한 정보가 실수로 또는 의도적으로 노출되지 않도록 카메라 기능을 해제할 수 있습니다. 장치 또는 이동식 저장소 카드(또는 두 장치 모두)에 데이터 암호화를 설정하여 장치 또는 카드의 분실이나 도난으로 인해 개인 소유의 데이터가 권한이 없는 타인에게 넘어갈 수 있는 가능성을 줄일 수 있습니다.

이외에도 여러 보안 관리 도구가 Mobile Device Manager에 포함되어 있습니다. Windows Mobile 장치에서 사용할 수 있는 응용 프로그램이 무수히 많으므로 관리자는 이러한 응용 프로그램의 설치 지원 여부를 확실하게 제어해야 합니다. Mobile Device Manager를 사용하면 응용 프로그램의 허용 및 차단 목록을 작성하여 적용할 수 있습니다. 또한 Mobile Device Manager에는 강력한 원격 데이터 삭제 기능도 있습니다. 장치에 대한 VPN 연결이 항상 유지되므로 장치가 네트워크에 연결되어 동기화될 때까지 기다릴 필요 없이 장치의 데이터를 즉시 삭제할 수 있습니다. 장치 데이터를 원격으로 삭제하면 장치가 도메인 컨트롤러에서 제거되며 해당 인증서는 해지됩니다. 이후에 장치를 복원하면 새 일회용 암호를 사용하여 다시 등록한 후에 장치가 도메인에 다시 참가하도록 설정할 수 있습니다.

지속적인 모바일 장치 확인

Mobile Device Manager는 OTA 프로비저닝, OTA 소프트웨어 및 업데이트 배포, 종합적이고 중앙 집중적인 인벤토리 관리 기능을 비롯한 완벽한 장치 관리 기능을 하나의 솔루션을 통해 제공함으로써 네트워크에서 Windows Mobile 장치를 최대한 쉽게 관리할 수 있도록 설계되었습니다.

OTA 자체 등록 기능은 시간이 부족한 IT 전문가와 최종 사용자들의 마음을 사로잡을 수 있는 기능입니다. 사용자가 Windows Mobile 6.1 장치에 전자 메일 주소를 입력하면 입력된 전자 메일 주소를 사용하여 모바일 장치 관리 서버를 찾습니다. 서버를 찾지 못하면 사용자에게 관리 서버 주소를 직접 입력하라는 메시지가 표시됩니다. 서버를 찾은 경우 사용자가 등록할 수 있는 것으로 확인되면 사용자에게 관리자가 미리 생성한 일회용 암호를 입력하라는 메시지가 표시됩니다.

전자 메일 주소와 암호는 사용자를 인증하고 사용자 장치를 관리 서버에 등록하는 데 사용됩니다. 암호를 입력하여 장치가 인증 및 등록되면 관리자가 정의한 설정과 정책이 장치에 적용됩니다. 자체 등록 방식은 Windows Mobile 장치 배포의 확장성을 높이고 이러한 장치를 시작하고 실행하는 데 필요한 시간과 비용을 줄이기 위해 마련되었습니다.

Mobile Device Manager의 OTA 소프트웨어 배포 기능은 이미 전 세계의 많은 IT 전문가들이 사용하고 있는 소프트웨어 업데이트 도구 키트인 Windows Software Update Services(WSUS) 3.0을 기반으로 합니다. 그림 2와 같이 WSUS 3.0은 복잡한 IT 요구 사항을 충족하기 위한 대상 지정 및 응용 프로그램 패키징 기능을 제공합니다. 따라서 관리자가 설정한 규칙과 정책에 따라 소프트웨어를 적절한 장치에 자동으로 제공할 수 있습니다. 서버 및 클라이언트 업데이트와 마찬가지로 모바일 장치 업데이트와 패치도 WSUS 3.0을 사용하여 자동화할 수 있습니다. 배포 계획 및 테스트 작업 중에는 자동 업데이트 기능을 해제할 수 있음을 기억하십시오.

그림 2 소프트웨어 배포 마법사

그림 2** 소프트웨어 배포 마법사 **(더 크게 보려면 이미지를 클릭하십시오.)

빠르게 배포되는 모바일 장비 관리와 관련한 최대 과제 중 하나는 모든 정보를 간편하게 추적하는 기능을 제공하는 것입니다. Mobile Device Manager는 인벤토리 정보를 중앙에서 처리하여 많은 사용자가 이미 컴퓨터에 설치하여 사용하고 있는 익숙한 소프트웨어인 SQL Server 2005 기반의 유연하고 사용자 지정 가능한 보고서를 제공합니다. 관리자는 운영 체제 및 버전, 장치 모델, 설치된 응용 프로그램, 보안 정책을 비롯한 수백 개 이상의 인벤토리 정보 항목을 수집할 수 있습니다. 이러한 인벤토리는 확장이 가능하므로 관리자는 항목 및 레지스트리 설정을 추가할 수 있습니다.

훨씬 높은 수준의 유연성을 제공하는 Mobile Device Manager는 그래픽 사용자 인터페이스를 선호하는 경우 Microsoft Management Console 스냅인을 사용하거나(그림 3 참조), 명령줄을 선호하는 경우 Windows PowerShell 콘솔을 사용하여 제어할 수 있습니다. 어떤 방법을 사용하든 시스템을 확장하고 사용자 지정할 수 있습니다. 이는 소프트웨어를 조직에 맞게 구성하려는 기업 사용자에게 꼭 필요한 기능입니다.

그림 3 Mobile Device Manager 콘솔

그림 3** Mobile Device Manager 콘솔 **(더 크게 보려면 이미지를 클릭하십시오.)

모바일 VPN

정보 근로자는 수년 동안 모바일 장치를 통해 다른 사람들과 전자 메일 및 메시지를 주고 받았습니다. 오늘날 모바일 장치 기술에서 개발된 가장 유용한 기능 중 하나는 방화벽 뒤에 있는 비즈니스 데이터 및 응용 프로그램에 액세스하는 기능입니다. 액세스가 늘어남에 따라 새로운 보안 위험이 생겨나므로 공격에 잘 대처할 수 있도록 추가 기능을 주의해서 관리해야 합니다. Mobile Device Manager는 최첨단 모바일 VPN 기능을 제공하므로 이러한 기능을 통해 Microsoft DynamicsTM Customer Relationship Management(CRM)에서 SAP 또는 Siebel에 이르는 인트라넷 데이터에 액세스할 수 있습니다. 이러한 모델은 데스크톱 및 랩톱 PC의 기존 원격 액세스 전략에 부응하도록 설계되었습니다(그림 4 참조).

그림 4 Mobile VPN Settings(모바일 VPN 설정)

그림 4** Mobile VPN Settings(모바일 VPN 설정) **(더 크게 보려면 이미지를 클릭하십시오.)

모바일 VPN은 데이터가 IPsec 암호화 터널을 통해 SSL 암호화 형식으로 전송되는 이중 보안 기능을 사용하여 장치를 게이트웨이 서버에 연결합니다. 장치가 인증되면 사용자는 사용자의 자격 증명과 리소스 특정 정책에 지정된 대로 리소스에 대한 액세스 권한을 부여 받습니다.

Mobile Device Manager에서 사용되는 모바일 VPN 기술을 통해 항상 연결된 상태가 유지되므로 사용자들은 향상된 액세스 환경을 이용할 수 있으며 IT 전문가는 현재 정책 및 설정에 따라 장치를 항상 업데이트된 상태로 유지할 수 있습니다. 또한 장치가 분실되거나 도난된 경우 장치 데이터를 바로 삭제할 수 있습니다. 세션이 중단되더라도 신속하게 다시 연결되므로 장치 세션이 재인증 없이 계속될 수 있습니다. Mobile Device Manager를 사용하면 연결을 유지하는 동시에 Wi-Fi와 셀룰러 네트워크 간의 자연스러운 전환이 가능합니다.

Mobile Device Manager의 모바일 VPN에서 사용되는 보안 기술은 Open Mobile Alliance for Device Management(OMA DM), Internet Key Exchange(IKE) 버전 2 및 OMA Software Component Management Object(SCOMO) 등의 업계 표준을 기반으로 합니다. 이를 통해 복잡한 환경에서 근무하는 IT 전문가가 자신이 직면한 상황에 맞게 시스템을 보다 효과적으로 확장하고 사용자 지정할 수 있습니다.

완벽한 솔루션

Mobile Device Manager는 Windows Mobile 장치를 관리하는 데 필요한 모든 도구를 완전하게 제공하며 하나의 인터페이스를 통해 이를 모두 액세스할 수 있습니다. 또한 Active Directory 및 그룹 정책을 활용하여 데이터, 장치 및 네트워크에 대한 보안을 개선할 수 있습니다. 장치 관리 작업은 OTA 등록, 프로비저닝, 업데이트와 강력한 인벤토리 도구를 통해 보다 수월하게 수행할 수 있습니다. 모바일 VPN은 보안에 영향을 미치지 않고 기업 및 사용자가 원하는 기능을 제공하도록 설계되었습니다.

이러한 모든 기능은 모바일 장치가 네트워크에서 최상의 수준으로 관리될 수 있도록 함으로써 IT 전문가의 업무를 지원하는 필수적인 기능입니다. Mobile Device Manager를 사용하면 IT 전문가가 뛰어난 품질의 최종 사용자 환경을 제공하고, 관리 오버헤드를 줄이고, 관리와 관련하여 보다 나은 ROI를 창출할 수 있습니다. 이런 것들이 복합적으로 작용하면 엄청난 가치를 얻을 수 있을 것입니다.

이 기사에 도움을 주신 Brian Hoskins, Derek Snyder, Prithvi Raj, Lax Madapaty, Katharine Holdsworth에게 감사의 인사를 전합니다.

Matt Fontaine은 자유 기고 테크니컬 라이터이자 BuzzBee에서 컨설턴트로 근무하고 있습니다. Matt는 고성능 컴퓨팅, 기업 소프트웨어, 보험 수리, 상업용 부동산, 엔지니어링, 건설, 소비재 등의 다양한 분야에서 활동 중이며 Evergreen State College를 졸업한 인재입니다.

© 2008 Microsoft Corporation 및 CMP Media, LLC. All rights reserved. 이 문서의 전부 또는 일부를 무단으로 복제하는 행위는 금지됩니다..