2022/12/18 Reese Li
맥킨지 글로벌 연구소의 "코로나19 이후 업무의 미래" 보고서는 2020년 코로나19가 전 세계를 휩쓸면서 전 세계 노동 시장을 혼란에 빠뜨리고 사람들의 오랜 업무 패턴에 영향을 미쳤다고 지적했습니다. "Remote office"와 "divided office"가 새로운 표준이 된 상황에서 직원들은 서로 다른 장소에서 일하는 동안 어떻게 높은 효율성을 유지할 수 있을까요? 회사의 IT 자원은 하드웨어 및 소프트웨어 관리와 유지 보수를 지원할 수 있을까요? 이러한 문제들은 앞으로 주요 기업들이 직면한 과제가 될 것입니다.
인텔 vPro® 플랫폼 간단 소개
인텔®은 근무가 아직 보편화되지 않았던 2006년에 인텔 vPro®를 출시했습니다. 인텔 vPro®란 무엇일까요? 이는 비즈니스 및 IT 요구에 특별히 설계된 플랫폼입니다. "효율성, 보안, 관리 및 안정성"이라는 네 가지 지표 기능을 강조하여 원격 오피스의 요구에 대한 기반을 마련하고, 2011년에는 인텔 클라이언트 컴퓨터에 인텔 vPro® 배포를 완료했습니다. 인텔 vPro® 플랫폼은 인텔 액티브 관리 기술 (Intel® Active Management Technology, Intel AMT)을 통해 외부 (Out-Of-Band, OOB) 관리를 제공하며, 장치 수리를 원격으로 수행하여 PC 플릿을 효과적으로 관리하고 유지할 수 있습니다. 작년에 출시된 12세대 알더 레이크(Alder Lake)프로세서는 인텔 vPro® 플랫폼과 함께 사용됩니다. 12세대 프로세서의 하이브리드 아키텍처는 컴퓨터 성능을 더욱 향상시키고 생산성을 개선합니다.
인텔 vPro® 플랫폼이 제공하는 혜택
인텔의 12세대 프로세서 Alder Lake의 하이브리드 아키텍처는 성능 코어 (Performance Core, P-Core)와 효율성 코어 (Efficient Core, E-Core) 사이에서 고성능 컴퓨팅, 전력 소비 및 발열 생성 사이의 균형을 이루어 사용자들이 더 자유롭게 멀티태스킹 협업을 수행하고 IT에 적용할 수 있게 합니다.
Alder Lake 프로세서와 인텔 vPro® 플랫폼으로 설계된 컴퓨터는 인텔 Wi-Fi 6/6E 및 Thunderbolt™ 4 기술을 통합하여 클라우드 및 협업 애플리케이션의 응답성을 향상시키는데 추가로, Thunderbolt™ 4 기술은 여러 개의 4K 화면과 주변 기기를 확장할 수 있으며 노트북을 충전할 수 있는 간편하고 멀티태스킹 작업 환경을 조성할 수 있습니다.
인텔 vPro® 프로세서의 유
인텔은 다양한 프로세서를 개발했습니다. 전력 최적화, 그래픽 성능, 메모리 및 외부 크기 등에서 기업 및 사용자들이 선택할 수 있는 다양한 프로세서가 있습니다. 다음은 모바일 기기를 위한 인텔의 13세대 프로세서 랩트어 레이크(Raptor Lake)가 인텔 vPro® 디자인을 지원하는 예시이며, 다른 관련 정보는 인텔 웹사이트를 방문해주세요.
U 15W | P 28W | PX 45W | H 45W | HX 55W | |
Core i9 | i9-13900H | i9-13950HX | |||
i9-13905H | i9-13900HK | i9-13900HX | |||
Core i7 | i7-1365U | i7-1370P | i7-13800H | i7-13850HX | |
i7-1355U | i7-1360P | i7-13705H | i7-13700H | i7-13700HX | |
Core i5 | i5-1345U | i5-1350P | i5-13600H | i5-13600HX | |
i5-1335U | i5-1340P | i5-13505H | i5-13500H | i5-13500HX |
Intel® Active Management Technology 개요
인텔 액티브 관리 기술 (AMT)은 인텔 vPro의 기능으로, 운영 체제와 독립적으로 실행되며 관리 및 보안 어플리케이션을 위한 다양한 내장 기능과 플러그인을 제공합니다. 이 기술은 IT 직원이 네트워크 컴퓨팅 자산을 더 잘 발견하고 복구하며 보호할 수 있도록 합니다. 컴퓨터가 꺼져 있더라도 전원 코드와 네트워크에 여전히 연결되어 있다면 IT 담당자는 여전히 Intel AMT에 액세스하여 원격 조작 및 관리 기능을 수행할 수 있습니다.
1. 충전 포트의 목적
인텔 AMT는 사전 정의된 4개의 IANA 네트워크 포트(16992~16995)를 통해 데이터를 송수신하며, 4개의 포트가 정의하는 기능은 다음과 같습니다:
- 16992 – HTTP traffic
- 16993 – TLS secured HTTPS traffic
- 16994 – Serial-over-LAN and IDE Redirect
- 16995 – TLS Secured Serial-over-LAN and IDE Redirect
인텔 AMT 애플리케이션에서 보안 인증서 (전송 계층 보안, TLS)가 설정되어 있지 않은 경우 데이터 송수신에 연결 포트 16992/16994를 사용합니다. 보안 인증서가 구성된 경우 연결 포트 16993/16995를 사용합니다. 보안 인증서는 유효한 네트워크 트래픽에 영향을 주지 않습니다. 다시 말해, 데이터를 송수신할 때 연결 포트 16992와 16993의 데이터 흐름은 동일합니다. 유일한 차이점은 데이터를 전송하기 위해 연결 포트 16993을 사용하려면 먼저 보안 인증서 협상을 거쳐야 한다는 점입니다. 포트 16994/16995에도 동일한 원칙이 적용되지만 이 두 포트는 데이터 전송에 독점적인 바이너리 프로토콜을 사용하므로 이를 사용하려면 특수 소프트웨어를 사용해야 합니다.
그림 1: OS는 포트 16992~16995를 제외한 모든 데이터 트래픽을 허용합니다.
(출처:Active Platform Management Demystified: Unleashing the Power of Intel VPro (TM) Technology)
2. 본인 인증 및 권한
인텔 AMT가 설정되 두 개의 포트가 열리고 관리 콘솔에서 연결 명령을 수신할 준비가 됩니다. 이 두 포트에서 Transmission Control Protocol(TCP)를 통해 언제든지 연결을 설할 수 있습니다. 인텔 AMT는 관리 콘솔로부터의 지시를 받기 전에 HTTP-Digest 또는 Kerberos를 사용하여 신원 인증 및 권한 부여를 수행합니다. 권한 부여 단계에서는 어떤 당사자가 관리 터미널인지와 해당 작업을 수행할 적절한 권한을 갖고 있는지를 확인하여 데이터 전송 과정의 보안을 보장하고, 외부의 제3자 공격을 방지합니다.
다음은 TLS 구성을 예로 들어 인텔 AMT 인증 및 권한 부여 프로세스를 간략하게 소개합니다:
- 16993 포트로부터 연결 수락
- 인텔 AMT는 인증서를 콘솔(console)로 전송하여 검증합니다 (TLS가 구성되어 있지 않은 경우 이 단계는 생략됩니다).
- 인텔 AMT는 제어측이 유효하고 신뢰할 수 있는 인증서를 갖고 있는지 확인합니다 (TLS가 구성되어 있지 않은 경우 이 단계는 생략됩니다).
- HTTP-Digest 또는 Kerberos를 사용하여 신원 인증 및 권한 부여
- 사용자가 Intel AMT의 권한 목록에 없으면 연결이 거부됩니다.
- 사용자가 작업을 수행할 권한이 없으면 작업이 거부됩니다.
- 관리 작업 수행
인텔 AMT의 운영 기능은 무엇인가요?
그렇다면 권한이 부여된 IT 관리자는 인텔 AMT를 통해 어떤 종류의 원격 작업을 수행할 수 있을까요? 다음 예는 가장 일반적으로 사용되는 몇 가지 예를 보여줍니다:
- 디바이스의 디버그 및 수리, 디바이스의 전원 켜기, 끄기 및 시스템 재시작을 원격으로 제어합니다.
- 시스템의 BIOS 설정을 원격으로 확인하고 변경할 수 있습니다.
- 설정을 통해 네트워크 트래픽을 필터링하여 시스템을 보호합니다.
- 시스템에서 실행 중인 애플리케이션을 확인합니다 (예: 백신 소프트웨어가 실행 중인지 여부 확인).
- 부팅 프로그램을 IT 관리자 시스템에 위치한 이미지로 리디렉션하여 시스템을 원격으로 디버그 및 유지 관리합니다.
- 인텔 AMT 관리 기능에 액세스하기 위해 네트워크 환경을 설정합니다.
- 사용자 시스템은 고유한 식별자(Universally Unique Identifier, UUID)로 식별됩니다.
- 회사 네트워크 외부에서도 클라이언트 활성화 원격 액세스(CIRA) 구성 파일을 통해 시스템에 원격으로 연결할 수 있습니다.
더 많은 응용 프로그램에 대해서는 인텔® Active Management Technology 를 참고하세요.
Thunderbolt 4를 통해 Intel vPro® 실행하기
인텔에서 발표한 Thunderbolt 3/4 호스트 기능 규격 1.4에는 액티브 매니지먼트 기술 - 3.5.6 vPro (AMT)에 대한 테스트 항목이 추가되었습니다. 이 테스트 항목은 vPro를 지원하는 기기를 대상으로하며, 이더넷 오버 Thunderbolt 기능을 사용하여 Thunderbolt 케이블을 통해 인텔 액티브 관리 기술을 사용합니다.
Thunderbolt 인터페이스를 통해 인텔 액티브 매니지먼트 기술을 구현하기 위해서는 노트북 하드웨어가 Intel vPro 플랫폼을 지원해야 하며, vPro (AMT)를 지원하는 Thunderbolt 4 Dock을 준비해야 합니다. 아래에서는 Thunderbolt 케이블을 통해 Intel vPro 플랫폼을 사용하여 원격 소프트웨어 및 하드웨어 유지 관리를 수행하는 방법을 소개합니다.
A. 환경 설정
- Intel vPro 플랫폼을 지원하는 TBT 인터페이스를 가진 노트북을 TBT4 Dock(AMT 지원)에 TBT 케이블을 사용하여 연결합니다.
- 그런 다음 TBT4 독을 다른 vPro(AMT 지원)을 지원하는 노트북에 이더넷 케이블을 사용하여 연결합니다.
그림 2: vPro (AMT) 테스트 항목에 대한 환경 설정의 개략도
B. 기기 테스트 설정
- BIOS
- BIOS 설정 인터페이스로 들어가서 MEBx (Intel ® Management Engine BIOS Extension)를 찾습니다.
- Intel AMT 기능 옵션을 활성화합니다.
- Intel AMT 구성 기능 옵션을 활성화합니다.
- 네트워크 액세스 상태 옵션을 네트워크 활성으로 조정합니다.
- 고정 IP 주소 설정
- IPv4 주소 설정 시, TBT Host1과 Host2를 동일한 도메인으로 설정합니다 (예: TBT Host1을 192.168.1.151로 설정하고, Host2를 192.168.1.150로 설정합니다).
- 설정을 저장하고 OS로 돌아갑니다.
C. 원격 제어 수행
- 각각 TBT Host1 및 Host2에서 브라우저를 엽니다.
- TBT Host1 브라우저에서 로컬 IP 주소를 입력하고, Host2 브라우저에서 TBT Host1 IP 주소를 입력합니다 (예: TBT Host1은 localhost:16992를 입력하고, Host2는 192.168.1.151:16993을 입력합니다).
- 연결에 성공하면 인텔 ® Active Management Technology 페이지가 웹 페이지에 나타나며, 설정한 기기의 IP 주소는 TBT Host1의 시스템 상태 인터페이스에서 확인할 수 있습니다.
- Host2의 인텔 ® Active Management Technology 페이지에는 원격 종료 및 재시작 등의 작업을 수행할 수 있는 원격 제어 인터페이스가 있습니다.
- 원하는 작업을 클릭한 후에 "Send Command"를 누르면, 20초의 카운트다운 후에 해당 작업이 TBT Host1에서 실행됩니다.
그림 3: TBT Host1의 Intel AMT 인터페이스, 호스트의 IP 주소를 확인할 수 있습니다.
그림 4: Host2의 Intel AMT 인터페이스, 원격 제어 옵션을 볼 수 있습니다.
참고
- "Active Platform Management Demystified" - 11장: Intel® Active Management Technology와의 연결과 통신
- 원격 에 적합한 Intel vPro® 플랫폼의 주요 이점 8가지
- Intel vPro® 플랫폼이란 무엇인가?
- Intel® Active Management Technology
- 618475_Thunderbolt3_4 호스트 인증 자료 rev2.7.3