기관에서 컴퓨터의 FileVault 복구 키 설정하기

기관 복구 키를 사용하면 사용자가 Mac 로그인 암호를 잊어버린 경우 FileVault로 암호화된 사용자 데이터를 복구할 수 있습니다.

다음 고급 단계는 시스템 관리자와 명령어 라인에 익숙한 사용자를 대상으로 합니다.

FileVault 마스터 키체인 생성하기

  1. Mac에서 터미널 앱을 열고 다음 명령을 입력합니다.
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. 메시지가 표시되면 새 키체인의 마스터 암호를 입력한 다음 다시 입력하라는 메시지가 표시되면 암호를 다시 입력합니다. 입력하는 동안 터미널에 암호가 표시되지 않습니다.
  3. 키 쌍이 생성되고 FileVaultMaster.keychain이라는 파일이 데스크탑에 저장됩니다. 이 파일을 외장 드라이브의 암호화된 디스크 이미지와 같은 안전한 위치에 복사합니다. 이 안전한 사본은 FileVault 마스터 키체인을 사용하도록 설정된 Mac의 시동 디스크 잠금을 해제할 수 있는 개인 복구 키이며, 배포용이 아닙니다. 

다음 섹션에서는 아직 데스크탑에 있는 FileVaultMaster.keychain 파일을 업데이트해 보겠습니다. 그런 다음 해당 키체인을 기관의 Mac 컴퓨터에 배포할 수 있습니다.

마스터 키체인에서 개인 키 제거하기

FileVault 마스터 키체인을 생성한 후 다음 단계에 따라 배포용 키체인 사본을 준비합니다.

  1. 데스크탑에서 FileVaultMaster.keychain 파일을 이중 클릭합니다. 키체인 접근 앱이 열립니다.
  2. 키체인 접근 사이드바에서 'FileVaultMaster'를 선택합니다. 오른쪽에 항목이 두 개 이상 표시되면 사이드바에서 다른 키체인을 선택한 다음 FileVaultMaster를 다시 선택하여 목록을 새로 고칩니다.
  3. FileVaultMaster 키체인이 잠겨 있으면 키체인 접근 윈도우의 왼쪽 상단 모서리에 있는  아이콘을 클릭한 다음 앞에서 생성한 마스터 암호를 입력합니다.
  4. 다음과 같이 오른쪽에 표시된 두 항목 중 종류 열에 '개인 키'라고 되어있는 항목을 선택합니다.
    개인 FileVault Master Password Key가 선택되어 있는 키체인 접근
  5. 메뉴 막대에서 편집 > 삭제를 선택하고 키체인 마스터 암호를 입력한 다음 확인 메시지가 나타나면 '삭제'를 클릭하여 개인 키를 삭제합니다.
  6. 키체인 접근 앱을 종료합니다.

이제 데스크탑의 마스터 키체인에 개인 키가 더 이상 포함되어 있지 않으므로 배포할 준비가 되었습니다.

각 Mac에 업데이트된 마스터 키체인 배포하기

키체인에서 개인 키를 제거한 후 개인 키로 잠금을 해제할 수 있게 하려는 각 Mac에서 다음 단계를 따릅니다.

  1. 업데이트된 FileVaultMaster.keychain 파일의 복사본을 /라이브러리/Keychains/ 폴더에 넣습니다.
  2. 터미널 앱을 열고 다음 명령을 모두 입력합니다. 이 명령은 파일의 사용 권한을 -rw-r--r--로 설정하고 파일을 루트가 소유하며 wheel이라는 그룹에 할당되도록 합니다.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. FileVault가 이미 켜져 있으면 터미널에 다음 명령을 입력합니다.
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. FileVault가 꺼져 있으면 보안 및 개인 정보 보호 환경설정을 열고 FileVault를 켭니다. 사용자의 회사, 학교 또는 단체에서 복구 키를 설정했다는 메시지가 표시됩니다. '계속'을 클릭합니다.
    복구 키 메시지가 표시된 보안 및 개인 정보 보호 환경설정

이것으로 절차가 완료되었습니다. 사용자가 macOS 사용자 계정 암호를 잊어버려 Mac에 로그인할 수 없는 경우 개인 키를 사용하여 디스크의 잠금을 해제할 수 있습니다.

 

개인 키를 사용하여 사용자의 시동 디스크 잠금 해제하기

사용자가 계정 암호를 잊어버려 Mac에 로그인할 수 없는 경우, 개인 복구 키를 사용하여 시동 디스크의 잠금을 해제하고 FileVault로 암호화된 데이터에 접근할 수 있습니다.

  1. 시동 중에 클라이언트 Mac에서 command-R 키를 길게 눌러 macOS 복구로 시동합니다.
  2. 시동 디스크의 이름(예: Macintosh HD)과 포맷을 모르는 경우 macOS 유틸리티 윈도우에서 디스크 유틸리티를 연 다음 디스크 유틸리티에서 해당 볼륨에 대해 표시하는 정보를 오른쪽에서 확인합니다. 'APFS 볼륨' 또는 'Mac OS 확장'이 아니라 'CoreStorage 논리적 볼륨 그룹'이 표시되면 Mac OS 확장 포맷입니다. 이후 단계에서 이 정보가 필요합니다. 완료되면 디스크 유틸리티를 종료합니다.
  3. 개인 복구 키가 들어 있는 외장 드라이브를 연결합니다.
  4. macOS 복구의 메뉴 막대에서 유틸리티 > 터미널을 선택합니다.
  5. 개인 복구 키를 암호화된 디스크 이미지에 저장한 경우, 터미널에서 다음 명령을 사용하여 이미지를 마운트합니다. /path 를 .dmg 파일 이름 확장자가 포함된 디스크 이미지 경로로 대치합니다.
    hdiutil attach /path
    
    ThumbDrive라는 볼륨에 PrivateKey.dmg라는 디스크 이미지가 있는 경우의 예:
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. 다음 명령을 사용하여 FileVault 마스터 키체인의 잠금을 해제합니다. /path 를 외장 드라이브에 있는 FileVaultMaster.keychain의 경로로 대치합니다. 키체인이 암호화된 디스크 이미지에 저장된 경우 이 단계와 나머지 모든 단계에서 해당 이미지의 이름을 경로에 포함해야 합니다.
    security unlock-keychain /path
    
    ThumbDrive라는 볼륨을 사용한 예:
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. 마스터 암호를 입력하여 시동 디스크의 잠금을 해제합니다. 암호가 승인되면 명령 프롬프트가 나타납니다.

사용자의 시동 디스크가 포맷된 방식에 따라 아래 설명된 대로 계속 진행합니다.

APFS

 시동 디스크가 APFS용으로 포맷된 경우 다음 추가 단계를 완료합니다.

  1. 다음 명령을 입력하여 암호화된 시동 디스크의 잠금을 해제합니다. "name" 을 시동 볼륨의 이름으로 대치하고, /path 를 외장 드라이브 또는 디스크 이미지에 있는 FileVaultMaster.keychain의 경로로 대치합니다.
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    Macintosh HD라는 시동 볼륨과 ThumbDrive라는 복구 키 볼륨을 사용한 예:
    diskutil ap unlockVolume "Macintosh HD"-recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. 마스터 암호를 입력하여 키체인의 잠금을 해제하고 시동 디스크를 마운트합니다.
  3. ditto와 같은 명령어 라인 도구를 사용하여 디스크에 있는 데이터를 백업하거나, 터미널을 종료하고 디스크 유틸리티를 사용합니다.

Mac OS 확장(HFS Plus)

시동 디스크가 Mac OS 확장용으로 포맷된 경우 다음 추가 단계를 완료합니다.

  1. 다음 명령을 입력하여 드라이브 및 CoreStorage 볼륨의 목록을 가져옵니다.
    diskutil cs list
    
  2. 'Logical Volume' 다음에 표시되는 UUID를 선택한 후 다음 단계에서 사용하기 위해 복사합니다.
    예: +-> Logical Volume 2F227AED-1398-42F8-804D-882199ABA66B
  3. 다음 명령을 사용하여 암호화된 시동 디스크의 잠금을 해제합니다. UUID 를 이전 단계에서 복사한 UUID로 대치하고 /path 를 외장 드라이브 또는 디스크 이미지에 있는 FileVaultMaster.keychain의 경로로 대치합니다.
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    ThumbDrive라는 복구 키 볼륨을 사용한 예:
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. 마스터 암호를 입력하여 키체인의 잠금을 해제하고 시동 디스크를 마운트합니다.
  5. ditto와 같은 명령어 라인 도구를 사용하여 디스크에 있는 데이터를 백업하거나, 터미널을 종료하고 디스크 유틸리티를 사용합니다. 또는 다음 명령을 사용하여 잠금이 해제된 디스크의 암호를 해제하고 이 디스크로 시동합니다. 
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    ThumbDrive라는 복구 키 볼륨을 사용한 예:
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
게시일: