macOS에서 FileVault 관리

macOS가 설치된 기기의 경우 조직이 SecureToken 또는 Bootstrap Token을 사용하여 FileVault를 관리할 수 있습니다.

Secure Token 사용

macOS 10.13 이상 버전의 APFS(Apple 파일 시스템)는 FileVault 암호화 키를 생성하는 방법을 변경합니다. CoreStorage 볼륨에 있는 이전 버전의 macOS에서 FileVault 암호화 프로세스에 사용되던 키는 사용자나 기관이 Mac에서 FileVault를 켠 경우에 생성되었습니다. APFS 볼륨에 macOS가 설치된 기기의 경우 이 키는 사용자를 만들거나 첫 사용자의 암호를 설정하거나 어떤 사용자가 Mac에 처음으로 로그인할 때 생성됩니다. 이 암호화 키의 구현, 생성 시기, 저장 방법은 모두 Secure Token이라는 기능의 일부입니다. 더 자세히 말하면, Secure Token은 사용자 암호로 보호되는 KEK(키 암호화 키)가 래핑된 것입니다.

APFS에 FileVault를 배포할 때 사용자는 다음과 같은 작업을 계속할 수 있습니다.

MDM(모바일 기기 관리) 솔루션에 저장해 에스크로가 가능한 PRK(개인 복구 키) 등 기존 도구와 프로세스 사용
사용자가 Mac에서 로그인하거나 로그아웃할 때까지 FileVault 활성화 연기
IRK(기관 복구 키) 생성 및 사용

macOS 11에서 Mac의 첫 사용자의 초기 암호를 설정하면 해당 사용자에게 Secure Token이 부여됩니다. 일부 작업흐름의 경우 최상의 방법은 아니지만 이전과 같이 첫 번째 Secure Token을 부여하면 해당 사용자 계정으로 로그인해야 할 수 있습니다. 이러한 상황이 발생하지 않도록 하려면 사용자의 암호를 설정하기 전에 다음과 같이 프로그램을 통해 생성한 사용자의 AuthenticationAuthority 속성에 ;DisabledTags;SecureToken을 추가하십시오.

sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"

Bootstrap Token 사용

macOS 10.15에 도입된 새로운 Bootstrap Token 기능은 모바일 계정과 기기 등록으로 만들어진 선택적인 관리자 계정(‘관리형 관리자’) 양쪽 모두에 Secure Token을 부여하는 기능을 지원합니다. macOS 11에서 Bootstrap Token은 로컬 사용자 계정을 포함하여 Mac 컴퓨터에 로그인하는 모든 사용자에게 Secure Token을 부여할 수 있습니다. macOS 10.15 이상에서 Bootstrap Token 기능을 사용하려면 다음과 같은 요건을 충족해야 합니다.

Mac을 감독하도록 Apple School Manager 또는 Apple Business Manager를 사용해 MDM에 Mac을 등록
MDM 공급업체 지원

macOS 10.15.4 이상에서 MDM 솔루션이 기능을 지원하는 경우 Secure Token이 활성화된 사용자가 처음 로그인할 때 Bootstrap Token이 생성되고 MDM으로 에스크로됩니다. 필요한 경우 profiles 명령어 라인 도구를 사용하여 Bootstrap Token을 생성하고 MDM에 에스크로할 수도 있습니다.

macOS 11에서는 Bootstrap Token을 사용하여 사용자 계정에 Secure Token을 부여하는 이상의 작업을 수행할 수도 있습니다. Apple Silicon이 탑재된 Mac에서는 MDM을 통해 관리되는 상태의 경우에 Bootstrap Token을 사용하여 커널 확장 프로그램 및 소프트웨어 업데이트의 설치를 승인할 수 있습니다.

기관 및 개인 복구 키 비교

CoreStorage 및 APFS 볼륨 양쪽에서 FileVault는 기관 복구 키(이전에 FileVault Master identity로 알려진 IRK) 사용을 통한 볼륨 잠금 해제를 지원합니다. IRK는 볼륨의 잠금을 해제하거나 FileVault 를 완전히 끄기 위한 명령어 라인 작업에 유용하지만, 특히 macOS의 최신 버전에서 조직에 대한 활용성은 제한되어 있습니다. Apple Silicon이 탑재된 Mac의 경우, IRK는 다음 두 가지 이유에서 아무런 기능성도 제공하지 않습니다. 먼저, IRK는 복구용 OS에 접근하는 데 사용할 수 없으며, 둘째, 더 이상 대상 디스크 모드가 지원되지 않기 때문에 다른 Mac에 연결하여 볼륨의 잠금을 해제할 수 없습니다. 이러한 이유 등으로 인해, Mac 컴퓨터의 FileVault를 기관이 관리하는 데 있어 IRK의 사용은 더 이상 권장되지 않습니다. 대신 개인 복구 키(PRK)를 사용해야 합니다.

추가 정보내부 볼륨 암호화 및 FileVault MDM(모바일 기기 관리)Apple 플랫폼 배포: 배포에 Secure Token, Bootstrap Token 및 볼륨 소유권 사용하기

이 설명서를 PDF로 다운로드하기

도움이 되었습니까?

Apple 플랫폼 보안

macOS에서 FileVault 관리

Secure Token 사용

Bootstrap Token 사용

기관 및 개인 복구 키 비교