Intel 기반 Mac에서 기관 복구 키를 사용하는 방법

IRK(기관 복구 키)를 생성하여 FileVault로 암호화된 Intel 기반 Mac 컴퓨터의 잠금을 해제하고 데이터를 복구하는 방법을 알아봅니다.

이 문서에서는 IRK(기관 복구 키)를 생성하여 FileVault로 암호화된 Intel 기반 Mac의 잠금을 해제하는 이전 방법에 대해 설명합니다. Apple Silicon이 탑재된 Mac 컴퓨터나 Intel 기반 Mac에서 MDM을 사용하는 경우 IRK를 사용하는 대신 복구 키를 서버에 에스크로할 수 있습니다.

자신의 암호로 데이터에 접근할 수 없는 사용자를 위해 복구 키를 사용하여 FileVault로 암호화된 데이터에 대한 접근 권한을 다시 얻을 수 있습니다. Intel 기반 Mac 컴퓨터에서 기관 복구 키를 사용하여 FileVault로 암호화된 Mac 컴퓨터의 잠금을 해제하고 대상 디스크 모드를 사용하여 데이터를 복구할 수 있습니다.

FileVault 마스터 키체인 생성하기

  1. Mac에서 터미널 앱을 열고 다음 명령을 입력합니다.
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. 메시지가 표시되면 새 키체인의 마스터 암호를 입력한 다음 다시 입력하라는 메시지가 표시되면 암호를 다시 입력합니다. 입력하는 동안 터미널에 암호가 표시되지 않습니다.
  3. 키 쌍이 생성되고 FileVaultMaster.keychain이라는 파일이 데스크탑에 저장됩니다. 이 파일을 외장 드라이브의 암호화된 디스크 이미지와 같은 안전한 위치에 복사합니다. 이 안전한 사본은 FileVault 마스터 키체인을 사용하도록 설정된 Intel 기반 Mac의 시동 디스크 잠금을 해제할 수 있는 개인 복구 키이며, 배포용이 아닙니다. 

다음 섹션에서는 아직 데스크탑에 있는 FileVaultMaster.keychain 파일을 업데이트해 보겠습니다. 그런 다음 해당 키체인을 단체의 Mac 컴퓨터에 배포할 수 있습니다.


마스터 키체인에서 개인 키 제거하기

FileVault 마스터 키체인을 생성한 후 다음 단계에 따라 배포용 키체인 사본을 준비합니다.

  1. 데스크탑에서 FileVaultMaster.keychain 파일을 이중 클릭합니다. 키체인 접근 앱이 열립니다.
  2. 키체인 접근 사이드바에서 'FileVaultMaster'를 선택합니다.
  3. FileVaultMaster 키체인이 잠겨 있으면 메뉴 막대에서 파일 > 'FileVaultMaster' 키체인 잠금 해제를 선택한 후 생성한 마스터 암호를 입력합니다.
  4. 다음과 같이 오른쪽에 표시된 두 항목 중 종류 열에 '개인 키'라고 되어있는 항목을 선택합니다.
    개인 FileVault Master Password Key가 선택되어 있는 키체인 접근
  5. 메뉴 막대에서 편집 > 삭제를 선택하고 키체인 마스터 암호를 입력한 다음 확인 메시지가 나타나면 '삭제'를 클릭하여 개인 키를 삭제합니다.
  6. 키체인 접근 앱을 종료합니다.

이제 데스크탑의 마스터 키체인에 개인 키가 더 이상 포함되어 있지 않으므로 배포할 준비가 되었습니다.


각 Mac에 업데이트된 마스터 키체인 배포하기

키체인에서 개인 키를 제거한 후 개인 키로 잠금을 해제할 수 있게 하려는 각 Intel 기반 Mac에서 다음 단계를 따르십시오.

  1. 업데이트된 FileVaultMaster.keychain 파일의 복사본을 /라이브러리/Keychains/ 폴더에 넣습니다.
  2. 터미널 앱을 열고 다음 명령을 모두 입력합니다. 이 명령은 파일의 사용 권한을 -rw-r--r--로 설정하고 파일을 루트가 소유하며 wheel이라는 그룹에 할당되도록 합니다.
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. FileVault가 이미 켜져 있으면 터미널에 다음 명령을 입력합니다.
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. FileVault가 꺼져 있으면 보안 및 개인 정보 보호 환경설정을 열고 FileVault를 켭니다. 사용자의 회사, 학교 또는 단체에서 복구 키를 설정했다는 메시지가 표시됩니다. '계속'을 클릭합니다.
    복구 키 메시지가 표시된 보안 및 개인 정보 보호 환경설정

이것으로 절차가 완료되었습니다. 사용자가 macOS 사용자 계정 암호를 잊어버려 Mac에 로그인할 수 없는 경우 개인 키를 사용하여 디스크의 잠금을 해제할 수 있습니다.


개인 키를 사용하여 사용자의 시동 디스크 잠금 해제하기

  1. 잠금을 해제하려는 Mac에서 T 키를 누른 채로 컴퓨터를 켭니다.
  2. Thunderbolt 로고가 표시되면 T 키를 놓습니다. 
  3. Thunderbolt 3(USB-C) 케이블을 사용하여 Mac을 다른 Mac(호스트)에 연결합니다.
  4. 디스크 잠금을 해제하려면 암호를 입력하라는 메시지가 표시되면 '취소'를 클릭합니다.
  5. 호스트 Mac에서 개인 복구 키가 포함된 외장 드라이브를 연결합니다.
  6. 암호화된 디스크 이미지에 개인 복구 키를 저장한 경우 파일을 이중 클릭하여 이미지를 마운트하고 메시지가 표시되면 암호를 입력합니다.
  7. 잠금을 해제할 디스크의 시동 볼륨 이름(예: Macintosh HD)을 모르는 경우 디스크 유틸리티를 열고 사이드바에서 볼륨 이름을 찾습니다. 다음 단계에서 이 정보가 필요합니다.
  8. 터미널을 열고 다음 명령을 입력하여 암호화된 시동 디스크의 잠금을 해제합니다. 'name'을 시동 볼륨의 이름으로 대치하고 /path를 외장 드라이브 또는 디스크 이미지에 있는 FileVaultMaster.keychain의 경로로 대치합니다.
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    Macintosh HD라는 시동 볼륨과 ThumbDrive라는 복구 키 볼륨을 사용한 예:
    diskutil ap unlockVolume "Macintosh HD"-recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  9. 마스터 암호를 입력하여 시동 디스크의 잠금을 해제합니다. 암호가 승인되면 볼륨이 데스크탑에 마운트됩니다.
게시일: