기업이 macOS Big Sur에서 이전 시스템 확장 프로그램을 관리하는 방법

시스템 관리자가 macOS Big Sur에서 이전 시스템 확장 프로그램 또는 커널 확장 파일(kext)의 설치를 관리하는 방법에 대해 알아봅니다.

macOS의 시스템 확장 프로그램에 관하여

macOS Catalina 10.15 및 이후 버전의 시스템 확장 프로그램을 사용하면 커널 수준의 접근을 요구하지 않고도 네트워크 확장 프로그램 및 엔드포인트 보안 솔루션과 같은 소프트웨어가 macOS의 기능을 확장할 수 있습니다. 커널 대신 사용자 공간에서 시스템 확장 프로그램을 설치 및 관리하는 방법에 대해 알아봅니다.

커널 확장 파일 또는 kext로도 알려진 이전 시스템 확장 프로그램은 시스템의 높은 권한을 가진 모드에서 실행됩니다. macOS High Sierra 10.13부터는 커널 확장 파일이 로드되기 전에 관리자 계정 또는 MDM(모바일 기기 관리) 프로파일의 승인을 받아야 합니다.

macOS Big Sur 11.0 및 이후 버전에서는 Intel 기반 Mac 컴퓨터와 Apple Silicon이 탑재된 Mac 컴퓨터 모두에서 이전 시스템 확장 프로그램을 관리할 수 있습니다.

이전 시스템 확장 프로그램을 관리하는 방법

더 이상 사용되지 않거나 지원되지 않는 KPI를 사용하는 커널 확장 파일은 기본적으로 더 이상 로드되지 않습니다. MDM을 사용해 대화상자가 표시되지 않도록 주기적으로 기본 정책을 수정하고 커널 확장 파일이 로드되도록 허용할 수 있습니다. Apple Silicon이 탑재된 Mac 컴퓨터의 경우 먼저 보안 정책을 변경해야 합니다.

macOS Big Sur에서 새 커널 확장 파일 또는 업데이트된 커널 확장 파일을 설치하려면 다음 중 하나를 수행합니다.

• 사용자에게 보안 및 개인 정보 보호 환경설정의 메시지에 따라 확장 프로그램을 허용한 다음 Mac을 재시동하도록 안내합니다. https://support.apple.com/ko-kr/guide/deployment/dep88f99b98a커널 확장 파일 정책AllowNonAdminUserApprovals 키를 사용하여 관리자가 아닌 사용자가 확장 파일을 허용하도록 할 수 있습니다.

• RestartDevice라는 MDM 명령을 보내고 RebuildKernelCachekey를 True로 설정합니다.

최초 승인 후 또는 버전이 업데이트된 경우 승인된 커널 확장 파일 세트가 변경될 때마다 재시동해야 합니다.

Apple Silicon이 탑재된 Mac 컴퓨터의 추가 요구 사항

Apple Silicon이 탑재된 Mac 컴퓨터에 커널 확장 파일을 설치하려면 먼저 다음 방법 중 하나로 보안 정책을 변경해야 합니다.

• 자동 기기 등록을 통해 기기가 MDM에 등록된 경우 커널 확장 파일에 대한 원격 관리를 자동으로 승인하고 보안 정책을 변경할 수 있습니다.*

• 기기 등록을 사용하여 MDM에 기기를 등록한 경우 로컬 관리자가 macOS 복구에서 수동으로 보안 정책을 변경하고 커널 확장 파일 및 소프트웨어 업데이트에 대한 원격 관리를 승인할 수 있습니다. 또한 MDM 관리자는 로컬 관리자에게 MDMOptions에서 PromptUserToAllowBootstrapTokenForAuthentication을 설정하거나 MDM 프로파일에서 동일한 키를 설정하여 이 옵션을 변경하도록 안내할 수 있습니다.*

• MDM 기기가 아닌 기기 또는 사용자 등록을 사용하여 MDM에 등록된 기기를 사용하는 경우 로컬 관리자가 macOS 복구에서 수동으로 보안 정책을 변경하고 커널 확장 파일 및 소프트웨어 업데이트에 대한 사용자 관리를 승인할 수 있습니다.