애플이 기관 고객을 대상으로 macOS 시에라∙iOS 10 지원문서를 게시했습니다.
이 지원문서는 기업 또는 대학 같은 곳에서 애플 기기 수~수십여 대의 다루는 시스템 관리자가 새 운영체제를 설치하기에 앞서 검토하고 준비해야할 사안을 정리한 가이드라인 성격을 띠고 있습니다.
사안을 항목별로 살펴보면, 우선 애플의 두 차기 운영체제는 PPTP VPN 연결을 더 이상 지원하지 않습니다.
구식 터널링 프로토콜인 PPTP의 경우 최근 무차별 대입 공격(brute force attacks)을 통해 외부인이 침입할 수 있는 취약점이 발견되는 등 보안에 대한 우려가 끊이지 않고 있기 때문입니다. 기업 또는 대학에서 제공되는 VPN 서비스가 PPTP 인증 기반인 경우 iOS 10 및 macOS 시에라를 설치한 사용자가 접속하지 못하기 때문에 시스템 관리자는 보안이 강화된 프로토콜로 VPN 서버를 구성해야 합니다.
SSL 버전3와 RC4 같은 낡은 네트워크 암호화 규격도 차기 운영체제에서 제거됩니다.
국내∙외 웹사이트를 안전하게 이용하기 위해 널리 사용되는 보안기능은 HTTPS 혹은 SSL/TLS라고 불리는 암호화 통신 프로토콜입니다. SSL/TLS는 클라이언트와 웹서버 사이에 '핸드셰이크(handshake)'라고 하는 과정을 거칩니다. 서버와 클라이언트가 본격적으로 데이터를 주고 받기 전에 서로 어떤 암호화 알고리즘을 지원하는지 확인하고 공개키 등의 정보가 담긴 인증서를 서로 교환하는 등의 프로세스가 이뤄집니다.
SSL/TLS 통신에 사용되는 프로토콜 중 하나인 SSLv3와 RC4의 경우 하트블리드(HEARTBLEED), 프릭(FREAK), 푸들(POODLE), 사이퍼 스위트 다운그레이드 같은 취약점에 노출될 수 있다는 우려가 제기되고 있어 업계에서 점차 설 자리를 잃어가고 있습니다. 애플도 이에 맞춰 해당 프로토콜 지원을 중단하는 것으로 보이는데요. 앞서와 마찬가지로 macOS 시에라로 웹 사이트를 운영하거나 인터넷 서비스를 제공하고 있는 경우 사용자들의 불편을 예방하기 위해 암호화 스위트를 보안성이 더욱 높은 방식으로 업그레이드해야 한다는 게 지원문서의 골자입니다.
macOS 서버 애플리케이션이 제공하는 넷부트 기능에도 변화가 있을 예정입니다. 오래 전부터 맥은 'OS X Server' 기반 서버에 저장된 홈 디렉토리를 네트워크 상이나 네트워크 밖에서 접근하고 동기화할 수 있습니다. 이를 네트워크 부트 또는 줄여서 '넷부트(NetBoot)'라고 합니다. 맥이 인터넷에 연결되지 않았을 때는 로컬 스토리지에 캐시 형태의 홈 디렉토리를 생성한 뒤 파일을 편집하고, 인터넷에 연결되면 네트워크 서버에 저장된 휴대용 홈 디렉토리와 변경사항을 동기화하는 식으로 작동하죠. 애플에 따르면 macOS 시에라를 시작으로 휴대용 홈 디렉토리를 생성할 수 없게 된다고 합니다.
아울러 새 운영체제에선 시스템 진단을 위해 커널 데이터를 저장장치에 '덤프(Dump)'하려면 일반적인 부팅이 아닌, 반드시 복구 파티션으로 부팅한 뒤 nvram 명령어를 사용해야 합니다. 또한 운영체제와 함께 애플 SAN 파일 시스템(Apple Xsan)도 버전 5로 업그레이드되면서 파일 메타데이터를 새로운 포맷으로 재구축된다고 하는데요. Xsan 버전 5에서 생성되거나 업그레이드된 볼륨은 오래된 '메타데이터 컨트롤러 서버(MDC)'를 통해 제어할 수 없게 되므로 다른 Xsan 사용자에게 호환성을 제공하려면 운영체제 업그레이드를 미루거나 대안을 찾아야 합니다.
그 밖에도 운영체제 안팎을 걸쳐 여러 가지 변경사항이 발생하는 만큼 시스템 관리자는 지원 문서를 꼼꼼히 확인할 필요가 있어 보입니다. 더욱 자세한 내용은 참조 링크에서 확인하실 수 있습니다.
참조
• Apple - Prepare your institution for iOS 10 and macOS Sierra
관련 글
• 애플, 차세대 맥 운영체제 'macOS 시에라(Sierra)' 발표
• 애플, macOS 시에라 첫 번째 개발자 프리뷰 버전 배포... 알려진 문제와 버그 내역
• 애플, macOS 및 iOS 10부터 PPTP 방식의 VPN 기능 지원 중단
from Back to the Mac http://ift.tt/2aKdTf9
via IFTTT