계정이 있습니까?

  •   맞춤형 콘텐츠
  •   제품 및 지원

계정이 필요하십니까?

계정 만들기

Meraki Cloud에서 모바일 디바이스 관리

게시일: 2020년 4월

직원들이 사용하는 개인 소유 디바이스가 약 6만 개에 달하는 시스코에서는 MDM(모바일 디바이스 관리)이 상당히 중요한 문제입니다. 시스코 데이터 센터 또는 클라우드에서 호스팅되는 애플리케이션에 연결하거나 메일을 사용하는 등 회사 소유 디바이스에서 할 수 있는 작업이라면 지원되는 개인 디바이스에서도 모두 할 수 있습니다. 그러나 승인되지 않은 디바이스가 회사 데이터 및 애플리케이션에 액세스할 경우 보안 침해 및 감염이 발생할 위험이 있습니다. 반대로, 승인된 디바이스가 액세스하지 못하는 경우에는 직원들이 업무를 수행할 수 없게 되고 시스코 IT 팀에는 지원 요청 케이스가 폭증하게 될 것입니다. 여기에서 시스코의 BYOD 보안 아키텍처에 대한 내용을 읽어 보실 수 있습니다.

플랫폼 선택: 불필요한 부가 기능은 제외하고 클라우드와 API를 지원하는 플랫폼

시스코 데이터 센터에서 12년 이상 사용하던 MDM 플랫폼이 단종됨에 따라, 시스코에서는 이를 대체할 최고의 플랫폼 5개를 신중하게 비교 검토한 후 Cisco Meraki SM(Systems Manager)을 선택했습니다. Meraki SM은 인프라를 구매하고 관리할 필요가 없는 클라우드 솔루션입니다. 원격 디바이스 잠금, 디바이스 지우기, 애플리케이션 관리, 인증서 관리, PIN 변경 셀프 서비스 등 시스코에 필요한 핵심 기능을 갖추고 있으며, 풍부한 API를 제공하므로 Meraki SM을 다른 애플리케이션과 통합하거나 셀프 서비스로 진행되는 설정 프로세스를 대부분 자동화할 수 있습니다. 시스코처럼 모바일 디바이스를 많이 사용하는 기업의 경우, 사용자 셀프 서비스 등록은 반드시 필요한 기능입니다.

파일럿: 사용자 경험 세부 조정

시스코의 IT 제품 소유자와 사용자 경험 전담 설계자는 사용자 경험에 초점을 맞춰 프로젝트를 계획했습니다. 이를테면 이들은 보안과 데이터 프라이버시를 사용자의 관점에서 생각했습니다. 개인 데이터 프라이버시는 직원의 디바이스를 관리하는 고용주가 마땅히 신경써야 할 사안입니다. 시스코에서는 사용자의 불편을 덜어 주기 위해 디바이스 및 데이터와 관련하여 회사에서 확인 및 수행할 수 있는 작업과 불가능한 작업을 설정 프로세스가 시작되기 전에 명확히 안내합니다.

이렇게 해서 프로토타입을 구축한 뒤에는 사용자 수 20명 규모로 파일럿 프로젝트를 실시했습니다. 목표는 사용자가 새 디바이스를 손쉽게 셀프 등록할 수 있고, 기존 업무 앱을 삭제했다가 재설치하지 않고도 기존 디바이스를 Meraki SM에 등록할 수 있는지 확인하는 것이었습니다. 그리고 지침 없이도 사용자가 알아서 할 수 있을 만큼 심플한 프로세스를 만들고자 했습니다.

이에 따라 다음과 같은 프로세스를 진행했습니다. 우선 파일럿 사용자에게eStore 앱(시스코의 IT 서비스 카탈로그)을 다운로드하라고 요청했습니다. 이 앱을 열면 사용 정책 동의, 설치할 시스코 앱(이메일, 시스코 TV 등) 확인 등 단계별 프로세스 안내 메시지가 표시됩니다. 기존 플랫폼에 디바이스를 이미 등록한 사용자에게는 “You had these apps before. Do you want to keep the same ones?(이전에 이 앱을 보유한 적이 있습니다. 같은 앱을 그대로 유지하시겠습니까?)”라는 질문이 표시됩니다. 그러므로 앱을 다시 다운로드하지 않아도 됩니다. 전체 등록 프로세스는 15분 안에 완료되었습니다.

시스코에서는 파일럿 기간 중 수렴한 사용자 피드백을 토대로 eStore 앱과 Meraki SM 설정을 조정하여 사용 경험을 세부 조정했습니다. 대부분은 몇 가지 안내 지침을 더 명확히 수정하는 작업과 사용자 진행 단계를 최적화하는 작업이었습니다.

API로 핵심 기능 확장

시스코에서는 운영 환경에 맞게 Meraki SM을 확장하고 도입하기 위해 API를 광범위하게 사용했습니다. Meraki SM을 처음 사용하는 고객의 입장에서, 파일럿 기간은 물론 그 이후에도 Meraki 팀과 긴밀하게 협력하면서 새로운 API 호출을 제안하고 호출 횟수도 최적화했습니다. 배치 처리 및 스로틀 기능 덕분에 설정 프로세스 전체를 초당 3~6회의 호출로 완료할 수 있었습니다. 일일 보고에 사용되는 API 호출 횟수는 이보다 훨씬 더 많습니다. 6만 개에 달하는 디바이스를 보고하려면 대량의 데이터를 처리해야 합니다. 따라서 속도 제한 오류로 인해 사용자의 셀프 등록 속도가 느려지지 않도록 API 호출의 시기와 방법을 반드시 제어해야만 합니다. Meraki 팀에 이런 고민을 이야기하자 개별 디바이스가 아니라 관리 대상 디바이스 전체의 프로덕션 데이터를 가져오는 새로운 API를 만들어 주었습니다. 이 API를 사용하면 일일 보고에 필요한 API 호출 횟수가 대폭 줄어듭니다.

이와 함께 앱 업데이트에 사용되는 API 호출 횟수도 파일럿 단계에서 최적화했습니다. 업데이트를 사용자 한 명에게 푸시하든 여러 명에게 푸시하든 필요한 호출 횟수는 동일하기 때문에 사용자 그룹을 대상으로 업데이트하기로 결정했습니다. 콘솔에서 업데이트할 앱을 선택한 후 그 업데이트를 모든 디바이스에 적용할지, 허가된 모든 디바이스에 적용할지, 아니면 기존 버전이 설치된 모든 디바이스에 적용할지 여부를 선택하면 됩니다. (여기서 허가된 디바이스란 해당 앱을 보유할 권한이 있는 사용자에게 속한 디바이스로, 현재 해당 사용자의 디바이스에 그 앱이 있는지 여부와는 관계가 없습니다.) 시스코에서는 API 호출 횟수를 최소화하고 사용하지 않는 앱 및 해당 앱에 대한 알림으로 사용자 디바이스가 복잡해지지 않도록 일반적으로 "기존 버전이 설치된 모든 디바이스"를 선택합니다.

기존 시스템에서 관리하던 모바일 디바이스의 마이그레이션

파일럿 프로젝트를 마친 뒤, 개인용 iOS 디바이스 5만 개를 Meraki SM으로 마이그레이션하는 작업을 시작했습니다. 사용자가 자신의 디바이스에서 eStore 앱을 열면 새 관리 시스템에 디바이스를 등록하기 위한 단계별 안내 메시지가 표시됩니다.

그러나 기존 시스템에 이미 디바이스를 등록한 사용자들이 새 시스템에 다시 등록하게 만들기는 어려웠습니다. 기존 사용자를 위한 인센티브가 없었습니다. 인프라를 구매하거나 관리할 필요가 없고 소프트웨어를 업그레이드하거나 테스트하지 않아도 된다는 Meraki SM의 주요 이점은 엔드 유저가 아니라 시스코 IT 팀이 얻게 되는 이점이기 때문입니다.

이에 따라 다음과 같은 방식으로 마이그레이션을 진행했습니다. 우선 기존 MDM 플랫폼에서 사용자 디바이스의 기존 eStore 앱을 업데이트하는 정책을 만들었습니다. 그와 동시에 사용자들에게 새로운 디바이스 관리 시스템으로 업그레이드해 달라고 요청하는 이메일 캠페인을 실시했습니다. 디바이스에서 최근 설치한 새로운 버전의 eStore 앱을 열고 10~15분만 투자하여 Meraki SM 플랫폼에 디바이스를 등록해 달라고 요청하는 이메일이었습니다. eStore 앱을 연 사용자는 단계별 안내에 따라 설정 프로세스를 진행할 수 있었습니다. 한편 사용자는 설정 프로세스를 진행하는 동안 엔드 유저 라이선스 계약에 동의하고, 디바이스 관리 중 시스코 IT 팀에서 액세스할 수 있는 데이터와 그렇지 않은 데이터를 확인했습니다. 이렇게 정보를 공개하면 사용자의 신뢰 유지에 도움이 되며, 이런 방식에 대한 긍정적인 피드백이 많았습니다.

시스코는 사용자의 디바이스를 새로운 관리 시스템으로 옮겨 줄 수는 없었지만 그 대신 간단하고 빠른 셀프 서비스 등록 프로세스를 설계했습니다. 예를 들어, 기존 시스템에서 디바이스 등록을 취소하고 Meraki SM에 새로 등록하는 과정을 자동화했습니다. 이 프로세스는 사용자가 전혀 모르는 사이에 진행됩니다. 마찬가지로 기존 MDM 시스템에서 관리하던 사용자 디바이스의 앱도 Meraki SM 관리 플랫폼으로 자동으로 이동됩니다. 그러면 사용자가 업무용 앱을 일일이 삭제한 후 다시 다운로드하지 않아도 되기 때문에 시간이 절약됩니다. 셀프 서비스 등록 프로세스가 끝나면 Meraki SM에서 디바이스를 관리하게 되며, 사용자는 이전과 동일한 업무용 앱을 사용할 수 있습니다.

인증서 관리

많은 대기업에서 그렇듯이 시스코 IT 팀에서도 인증서를 사용하여 VPN 액세스 같은 활동을 관리합니다. 시스코에서는 자체 CA(Certificate Authority)를 운영하며, 따라서 관리 시스템이 이 CA와 연동되어야 합니다. Meraki는 이 플랫폼을 처음 사용하는 고객의 입장에서 시스코와 협업하여 맞춤형 인증서를 개발하고, 여기에 VPN 액세스 같은 서비스 지원 옵션과 서드파티 CA 통합 옵션을 추가했습니다.

역할 기반 관리 및 사용자 개인정보 보호

시스코에서는 앱 관리, 운영 업무, Tier-3 지원에 Meraki SM 웹 기반 콘솔을 사용합니다. 데이터, 디바이스 또는 보안 업무를 수행하는 IT 직원에게는 각기 다른 권한이 할당됩니다. 예를 들어 어떤 직원은 설정 및 디바이스를 보고 변경할 수 있는 반면, 다른 직원은 보는 것만 가능합니다. 이보다 더 세분화된 권한 관리를 위해 시스코에서는 Meraki SM API를 사용하여 맞춤형 뷰어를 만들었습니다. 예를 들어, 사용자 개인정보를 보호하기 위해 전체 Meraki SM 대시보드에 표시되는 사용자 및 디바이스 데이터 중 하위 집합만 보여주는 Tier-1 담당자용 뷰어를 개발했습니다.

37,000개의 디바이스 이동 완료 및 현재 진행 중

2020년 2월 말까지 iOS 디바이스 3만 7천 개를 Meraki SM으로 옮겼습니다. 이러한 디바이스 중 절반 가량은 Meraki SM을 도입한 이후에 직원들이 구입한 디바이스이고, 나머지 절반은 직원들이 셀프 서비스 등록 프로세스에 따라 새로운 플랫폼으로 이전한 기존 디바이스입니다. 대규모 마이그레이션을 효율적으로 진행하기 위해 사용자 50명부터 시작한 다음 200명, 500명, 1,000명, 2,000명, 5,000명, 9,000명으로 늘려 가는 배치 방식을 활용했습니다.

지표로 드러난 사용자 만족도는 높았습니다. 셀프 서비스 등록 중 지원이 필요한 사용자는 1.6%에 불과했는데, 이는 과거의 비슷한 마이그레이션 작업보다 훨씬 더 낮은 비율입니다. Meraki SM로 이전한 디바이스 37,000개 중 Tier-3 기술 지원이 필요한 디바이스는 20개뿐이었습니다. 그리고 디바이스 등록 직후 사용 경험에 대해 긍정적인 피드백을 남긴 사용자는 88%에 달했습니다.

시스코에서는 2020년 3월에 iOS 디바이스 마이그레이션을 완료하고 안드로이드 디바이스 마이그레이션을 시작했습니다. 기존 시스템은 2020년 4월에 영구적으로 사용이 중단됩니다.

비즈니스 가치

  • 클라우드의 경제성: 인프라, 라이선스, 유지 보수, 업그레이드, 문제 해결, 데이터 센터 공간, 전력, 냉각 등의 비용을 직접 지불하는 대신 예측 가능한 사용자당 요금을 지불하면 됩니다.
  • 더 간단한 성능 모니터링: Meraki API로 상태 점검을 자동화하여 문제 파악 및 해결 속도를 높입니다. 시스코에서는 등록, 인증서 프로비저닝, API 상태를 정기적으로 모니터링합니다.
  • 수월한 업그레이드: Meraki SM은 클라우드 서비스이므로 업그레이드가 제공되는 즉시 다운로드할 수 있으며, 기존의 온프레미스 MDM 플랫폼과 달리 테스트 및 구축에 필요한 시간과 수고를 줄일 수 있습니다.
  • 심플한 사용자 경험: 기존 플랫폼에서 Meraki SM으로 디바이스를 이전하는 과정을 자동화하여 사용자의 시간을 절약함으로써 사용자가 IT 작업이 아닌 본연의 업무에 집중할 수 있도록 합니다. 이렇게 해서 지원 요구가 줄어들면 시스코 IT 팀은 혁신에 더 많은 시간을 투자할 수 있게 됩니다.

습득한 교훈 - 최초 사용자로서 얻은 몇 가지 가치

  • 로컬 호스팅 플랫폼에서 클라우드 플랫폼으로 전환할 경우 지원, 운영, 엔지니어링에 영향을 미친다는 점을 유념하십시오. 예를 들어 시스코에서는 자동화, 데이터 보고 및 분석, 엔드 투 엔드 서비스 운영 기술을 갖춘 팀원을 프로젝트에 투입했습니다.
  • 더 작은 팀에서 대규모로 디바이스를 관리할 수 있는 Meraki API의 이점을 누려 보십시오. 시스코에서는 디바이스 컨피그레이션을 자동화하고 사용량 및 추세 모니터링을 위한 데이터를 수집하는 데 API를 사용합니다.
  • 사용자들에게 새로운 MDM 플랫폼으로 전환해야 할 이유를 알려주십시오. 시스코에서는 30일 안에 등록하지 않으면 메일 액세스가 취소된다고 안내하는 방법을 고려했고, 시스코 TV 같은 엔터프라이즈 앱을 업데이트할 때 전환 안내 메시지를 표시하는 방법도 생각해 보았습니다. 그리고 최종적으로 일상 업무에 업그레이드를 포함하는 쪽으로 결정했습니다. 앞서 설명한 바와 같이, 시스코에서는 eStore 앱을 업그레이드한 다음 사용자에게 eStore 앱을 열어 새 플랫폼으로 업그레이드해 달라고 요청하는 이메일을 보냈습니다.

자세한 내용