벤치리뷰·뉴스·정보/아키텍처·정보분석

[분석정보] 2012년 vPro는 클라이언트 관리의 결정적 수단이 되는가? 2/2부

tware 2012. 9. 20. 09:46

 

 

전편에서는 2012년 vPro 대해 설명했지만, 후편에서는 지원되는 소프트웨어를 소개한다.

 그렇다고 해도 통합 관리 도구가 아닌 단일 기능 (혹은 적은 기능)에서도 vPro 기능을 잘 활용하는 소프트웨어를 선택해 보았다. vPro는 모든 기능을 사용하려고 하면 매우 대규모 통합형이 필요하지만, 단일 기능이라면 도입이 쉽기 때문이다.

 


인텔 AMT를 쉽게 설치 해주는 "PIT-Configurator"


 원격 PC 관리 및 원격 KVM 기능을 갖춘 Intel AMT (Active Management Technology)는 잘 다룰 수 있으면 매우 편리한 기능이다.

 예를 들어, Intel AMT 전원 컨트롤 기능을 사용하면 전원을 끄지 않은 PC를 원격으로 전원 오프 할 수있다. 절전이 필요할 요즈음에서는 매우 유용한 기능이다. 또한 원격 KVM인 KVM Remote Control 기능을 이용하면 BIOS 설정을 원격으로 변경하거나 시작 Windows OS 유지 보수를 할 수있다.

 단지 Intel AMT를 사용하는데 있어서 까다로운 것은 그 설정이다. Intel은 Intel AMT를 설치하기 위해 Intel Setup and Configuration Software (Intel SCS)를 제공하고 있다. 그냥 이 설치 소프트웨어는 대규모 시스템 전용으로 만들어져 있기 때문에, 간편하게 이용할 적합한 소프트는 없다.

 따라서 이를 보완하는 소프트웨어가 다양하게 제공되었다. 그 중 하나는 NEC 캐피탈 솔루션을 제공하고 있는 PIT-Configurator이다. 이 소프트웨어를 이용하면 복잡한 초기 설정을 간단하게 해주며, 무엇보다 기쁜 것은 무료로 제공되는 것이다 (또한 PIT-Configurator는 베스트 라스트 주식회사가 개발한 'AMT 설정상수 " 의 OEM이다).

 다운로드한 PIT-Configurator를 USB 메모리에 저장하고 설치하는 vPro 기반 PC에서 실행하면 설정 항목이 창에 표시된다. 이후 필요한 항목을 입력하면 OK이다. 설정한 데이터가 USB 메모리에 저장되며 PC가 다시 시작할때 Intel AMT 설치를 설정을 해 주었다.


 

Intel이 제공하는 Intel AMT 용 구성 도구. 대규모 시스템용으로 중소기업이 쉽게 이용하는 것은 어렵다.

 

 

NEC 캐피탈 솔루션을 무상으로 제공하고 있는 Intel AMT의 구성 도구 "PIT-Configurator" 이 소프트웨어는 베스트 라스트의 OEM 제품으로 9월 4일의 시점에서 베스트 라스트의 Web 사이트에서 최신 버전이 제공되고 있다

 

 

이번에는 최신 버전인 베스트 라스트의 vPro 구성 소프트 "AMT 설정상수"를 이용. 테스트에 사용된 Dell의 vPro 대응 노트 PC "Latitude E6430 '에서 Intel AMT의 구성을 할 경우 유선 LAN을 연결하여 둘 필요가 있었다

 

 

 

설정 파일은 USB 메모리에 저장된다. 소프트에 따르면, USB 메모리를 꽂은 채로 재부팅하면 자동으로 Intel AMT의 구성이 완료
 

웹 브라우저 및 원격 액세스 소프트웨어에서 AMT를 사용


 일단 Intel AMT의 설치가 완료되면, Web 브라우저에서 수동으로 vPro 가능 PC의 전원 온 / 오프를 하거나, IP 주소 등 각종 정보를 확인 할 수 있다.

 또한 원격 KVM 기능을 브라우저에서 사용할 수 없지만, 예를 들어 RealVNC Plus (99 달러) 등의 vPro 지원 원격 액세스 소프트웨어를 이용하면 이것도 가능하게 된다. RealVNC Plus는 전원 온 / 오프, 재부팅, ISO 이미지 마운트도 원격으로 할 수있다.

 

vPro는 브라우저를 사용하여 전원 제어 및 기기 정보를 확인할 수있다. vPro 가능 PC의 IP 주소와 컴퓨터 이름과 포트 번호 16992를 지정하면 로그인 화면이 표시된다. 여기서 vPro의 ID와 비밀번호를 입력하면 액세스 가능

 

 

브라우저에서 원격 클라이언트 PC의 전원을 on / OFF 할 수 있다. 여기에서 BIOS 설정을 선택할 수도있다

 

 

 

Dell Latitude E6430은 vPro 지원 Wireless LAN을 지원하고 있다. vPro로 이용하기 위해서는 Wireless LAN 설정을 vPro 쪽에 둘 필요가 있다. 이 설정은 브라우저에서 실행할 수 있다

 

 

VNC Viewer Plus를 사용하면 vPro 원격 KVM 기능을 사용할 수 있다. RealVNC Plus는 90일 평가판이 포함되어 있다

 

 

 

 

VNC Viewer Plus를 시작하고 연결하는 클라이언트 PC의 IP 주소를 넣고, vPro의 ID와 암호를 넣으면, 클라이언트 PC에 액세스 가능

 

 

VNC Viewer Plus를 사용하여 Dell 노트북 PC에 접근. Windows 7 바탕 화면이 표시된다
 

전원 관리 및 원격 KVM 기능을 지원하는 2 개의 소프트

 

 

 

Intel AMT의 KVM 기능을 사용하여 원격으로 클라이언트 PC를 조작 가능


 1대 1대의 PC를 관리 한다면 이러한 도구와 Web 브라우저만으로 문제없지만, 다수의 PC를 두고있는 회사에서는 이렇게 할수 없다. 중소기업에서도 수백 대의 PC를 보유하고 있는 기업은 많은 만큼 가능하면 단일 기능도 집중 관리를 하고 싶다는 요구가있을 것이다.

 그래서 NEC 캐피탈 솔루션은 PC의 전원 관리를 할 PIT-PowerController for AMT 원격 KVM 기능을 지원하는 PIT-RemoteRescue for AMT 같은 도구도 출시하고 있다.

 에너지 절약이 과제가 되고 있는 요즘에는 PC의 절전도 중요한 포인트지만, PIT-PowerController for AMT를 사용하면 vPro 기반 PC에 전용 소프트웨어를 도입하지 않고도 관리 PC에서 PC의 전원을 원격으로 관리 할 수​​ 있게 된다. 또한 일정별 자동 온 / 오프도 가능하다.

 특히 PIT-PowerController for AMT은 병원에서 실예가 많은 것이라고 한다. 병원에는 의사가 사용하는 전자 건강 기록부의 PC, 접수 등의 업무 단말기, 키오스크 등 다양한 PC가 존재하지만, 전원을 자동으로 켜 주기 때문에 퇴근시 PC의 전원을 끄고 있어도 부드럽게 매일 아침 업무가 시작되는 셈이다. 물론, PC의 전원을 자동으로 해제 할 수도 있지만, 종업 시간은 반드시 똑같지 않기 때문에 운영상은 자동 전원 끄기를 사용하는 케이스는 그리 많지 않다고 한다.

 한 PIT-RemoteRescue for AMT는 vPro 원격 KVM 기능을 이용하여 에이전트 없이 동일 네트워크에 존재하는 PC를 조작 할 수 있기 때문에 클라이언트 PC에 문제가 발생했을 때 지원 부서가 PC의 위치 까지 가지 않아도 해결할 수 있게된다. 또한 PIT-PowerController for AMT처럼 전원 온 / 오프 일정은 없지만, 개별 PC에 전원 온 / 오프 가능하다.

 또한 NEC 캐피탈 솔루션이 PIT-RemoteRescue for AMT의 이용권을 매월 5만엔으로 제공하고 있다. 회사에서 PC를 임대 / 구매하는 것이 조건이 되지만, 그 대수가 1개라도 이용 제한 대수에 제한은 없다. "섣불리 판매하고 가격 경쟁에 휘말리기 보다 중소기업이 관리 기능으로 잘 사용 해주면 좋다"라고 하는 위치라고 하며, 향후 타사에서도 이러한 움직임이 나올 것이다.

 

원격으로 전원 온 / 오프도 지원했다. 또한 과금은 클라이언트 PC의 대수가 아니라 PIT-RemoteRescue for AMT를 설치하는 관리 용 PC의 숫자로 이루어지는 형식으로 하나의 관리 PC에서 관리 할 수 ​​있는 클라이언트 PC는 무제한

 

 

PIT-RemoteRescue for AMT를 사용하면 본사의 정보 시스템 담당자가 지역의 영업소에 설치되어 있는 클라이언트 PC를 관리 할 수​​있다. 해외 지사의 클라이언트 PC도 일본에서 관리 가능

 

 

Dell E6430를 원격으로 부팅하여 OS를 원격으로 조작한다. KVM 기능으로 클라이언트 PC의 문제를 IT 관리자가 원격으로 해결 가능

 

PIT-RemoteRescue for AMT의 조작 화면. 클라이언트 PC를 그룹화하고 관리 할 수​​ 있다. 클라이언트 PC는 DNS에 등록되어 있을 필요가 있다. IP 주소를 지정할 수없다

 

 

액세스 하는 클라이언트 PC를 지정하여 KVM 기능으로 울직인다. 전원이 켜져 있지 않은 경우, PIT-RemoteRescue for AMT에서 전원 온 / 오프가 가능

 

 

 

이번 Dell에서 빌린 vPro 지원 Lattitude E6430은 프로세서 Core i5-3360M, 메모리는 4GB, HDD320GB, 1366 × 768의 14 형 액정을 탑재한 기업용 노트북 PC이다
 

디스크 암호화 및 포이즌 필을 지원하는 vPro


 한편, Intel AT (Anti-Theft Technology)을 이용하는 예로는 WinMagic의 SecureDoc가있다.

 개인 정보 보호법이 시행된 이후, 중요한 개인 데이터가 들어 있는 노트북 PC를 분실하는 사례가 잇따라 보고 되고 있어, 그 결과 노트북 PC 자체를 사외에 꺼낼 수 없게 된 기업도 많다. 모바일에서 일할 수 있는지 여부는 비즈니스에 중요한 요소이며, 데이터 보호 등면에서 노트북 PC를 외부 반출을 제한하는 것은 비즈니스 측면에서 큰 무기를 잃는 것과 같다.

 그래서 엄격한 보안 대책을 강구한 후 사외에 PC를 반출하는 것을 허가한다는 정책을 채택하는 기업도 많아졌다. SecureDoc도 이러한 노트북 PC의 보안을 강화하는 소프트웨어의 하나로, PC의 HDD 나 USB 메모리, CD / DVD 미디어, SD 카드 등을 암호화하여 보호해 준다.

 

PC의 디스크는 부트 드라이브마다 암호화 가능하고 시작할 때 암호 및 IC 카드 인증, 생체 인식 (지문 등)을 클리어하지 않으면 PC 자체를 사용할 수 없게된다. 물론 디스크가 암호화 되어 있기 때문에 노트북 PC를 도난 당하거나 분실한 경우에도 디스크의 중요한 데이터가 유출되지 않는다.

 SecureDoc에서 사용되는 암호는 강력한 AES-256 비트이며, 보안 수준으로 매우 높아지고 있다. 또한 제 3세대 Core i 프로세서는 AES 암호화 / 암호 해독을 하드웨어로 수행 명령이 포함되어 있기 때문에 디스크 암호화를 사용해도 PC의 성능은 거의 떨어지지 않는다.

 여기까지 SecureDoc 기능으로 실현되는 것이지만, Intel AT 기능을 이용한 PC 잠금 기능을 통해 더욱 높은 보안을 확보 할 수 있다고 한다. 예를 들어, Intel AT 및 SecureDoc의 제휴에 의해 일정 기간 동안 관리 서버에 연결하지 얺눈 PC를 잠글 수 있으며, 관리 서버에서 노트 PC에 기동 정지 명령 (포이즌 필)를 보낼 수 있습니다. 또한 잠금뿐만 아니라, 암호화 키 등의 정보를 저장한 영역을 삭제해 버릴 수도 있다. 따라서 Intel AT를 사용하면 매우 높은 보안성을 갖게 되는 것이다.

 

WinMagic의 SecureDoc는 디스크 암호화의 주요 기능. Intel AT를 사용한 기동 정지 등은 플러스 알파의 기능이라고 할 수 있다

 

 

SecureDoc와 Intel AT를 조합하면,노트 PC를 명령 하나로 시작되지 않도록 할 수 있다.

 

 

vPro 가능 PC의 부팅을 중지시킨 후 PC에 내장된 GPS와 연동하여 도난당한 PC가 어디에 있는지 찾아 나오는 서비스도 제공된다

 


 또한 Symantec이 발매하고 있는 PGP Whole Disk Encryption은 2012년 vPro 프로세서가 지원하는 암호화 지원 기능 (AES-NI)을 사용하기 때문에 암호화 / 복호화가 고속으로 실시한다.

 디스크 전체를 암호화 하는 경우, 디스크에 액세스 할때 마다 이 데이터의 암호화 / 암호가 필요하게 된다. 말하자면, 디스크 액세스에 암호화 / 해독하는 계층이 추가 되기 때문에 이 작업을 가능한 프로세서에 부하를 주지 않고 빠르게 할 필요가 있다. AES-NI를 지원하는 경우 하드웨어에 의해 빠른 처리를 지원하며 PC 자체의 성능은 거의 떨어지지 않는다.

 또한 PGP Whole Disk Encryption은 Intel AMT 기능을 사용하여 원격 ISO 이미지에서 부트를 지원하고 있다.

 또한 이 제품은 이전 Intel AT 옵션을 제공하고 있었지만, 현재는 제공이 중단되고 있다. Intel AT를 사용한 PC 잠금 기능은 IT 관리자에게는 큰 장점이 있기 때문에 다시 Intel AT를 이용한 기능을 지원하는 것을 기대하고 싶다.

 

Symantec과 연계하는 Intel IPT


 Intel IPT를 이용한 서비스로는 Symantec이 인수한 베리사인이 제공하는 Symantec Validation & ID Protection (VIP)가 있다.

 VIP는 자동으로 생성되는 1번만 유효한 일회용 원타임 패스워드로 및 기존 암호와 결합하여 매우 강력한 이중 인증을 실현한다. 2개의 암호를 사용하여 사이트에 액세스하거나, 온라인 쇼핑 결제 등에 이용 하거나 인터넷 상에서도 높은 보안이 실현된다..

 일반적으로 일회용 암호를 생성하려면 USB 메모리형의 전용 토큰 등이 이용되지만, Intel IPT가 탑재되어 있으면 PC를 원타임 패스워드 발행 토큰으로 사용할 수 있다. 또한 2012년 vPro는 공개키 PKI (Symantec Managed PKI)와의 제휴도 지원하고 있다.

 또한 Intel IPT는 IPT With Protected Transaction Display라는 기능이 포함되어 있다. 이 기능은 IPT의 비밀키를 스크린 키보드로 입력할 경우, 스크린 샷 및 원격 디스플레이에서 화면이 표시되지 않도록 하는 것. 이 기능이 활성화되어 있으면 PC가 악성 코드에 감염 되어, 스크린 샷 및 원격 디스플레이 화면이 범인이 운용하고 있는 서버나 PC에 전송 되더라도 원격 키보드 부분이 검게 표시되어 비밀키가 유출되지 않게 된다.


 

Symantec가 인수한 VeriSign은 Intel IPT를 사용하는 인증 서비스를 제공하고 있다

 

 

 

2012년 vPro는 공개 키 PKI에 대응하고 있다. Symantec Managed PKI와 연계하여 강력한 인증을 제공

 

 

Symantec PKI Client는 표준 Intel IPT를 지원하는

 

 

Intel IPT는 스크린 키보드 표시가 도난되지 않게 Intel IPT With Protected Transaction Display 기능이 지원

 

 

지금까지 여러 vPro 지원 솔루션을 시도했지만, Intel AMT에서 제공되는 원격 전원 제어, 원격 KVM 기능 등은 고객 관리에 있어서는 매우 편리했다. 다만 쉽게 사용할 수 있는 도구가 적은 것이 문제다. Intel에서 몇 가지 정보가 나와 있지만, 아직 일반적인 것은 아니다.

 Intel AT 및 Intel IPT 등 관해서도, 기업 보안에 매우 유용하다고 생각한다. 그러나 현재는 많은 사용자가 적극적으로 Intel AT 및 Intel IPT를 사용하는 것은 아니다.

 이것은 vPro 브랜드에 있을지도 모른다. Intel로는 부가가치로 vPro 기반 PC를 판매 해 나가고 싶겠지만, 만약 Intel 프로세서를 사용하는 PC 모두, vPro가 제공하는 모든 기능을 사용할 수있게 되면 많은 소프트웨어가 vPro 기능을 필수로 하고 올 것이다.

 정말 Intel이 vPro 기능을 보급시켜 나가려고 생각한다면 vPro 브랜드를 만드는 것이 아니라 모든 PC에서 vPro 기능을 사용할 수 있게 해야 하지 않을까.

(vPro가 어짜피 기업내의 PC관리용이라 개인 사용자에게는 어쩌면 필요가 없을 수도 있습니다. 누가 내 pc 만질 수 있는거 아냐? 이런 생각을 가지는 유저도 생길테구요. 이런 vPro 기능에 대해서 인텔이 해킹용 소프트를 설치해 뒀다고 하는 PC 커뮤니티 유저도 있죠... -_-;;; (답이 없다...). (vPro의 경우 꺼둔 PC의 자원도 중앙관리하는 곳에서 PC의 상태를 볼 수 있습니다. 물론 전기는(전원케이블) 연결된 상태여야 하구요. 수천 수만대를 기업의 본사나 지사등에서 쓴다고 할 때, 나쁘게 말을 해서 누군가가 PC의 메모리 1개를 몰래 빼갔다고 하면 PC가 꺼져 있다고 해도, 메모리가 1개 빠져 있는것을 관리자는 볼 수 있습니다. 기업의 자산 관리를 제대로 할 수 있다는 거죠. 모든 기업이 vPro를 쓰지는 않지만, 왜 기업용 PC에서 인텔 플랫폼 PC가 AMD 플랫폼 PC에 비해서 더 높은가도 알 수 있는 부분이죠. 이런걸 생각 못하면, 이상한 상상으로 흐르게 되죠.)

 

모두가 PC를 아주 잘 알면 모든 PC가 지원되는게 좋은데, 그렇지 않다면 기업용으로 납품되는 대기업이(HP,Dell,삼성,LG 등) 제조하는 완제품 PC나, 또는 조립용 에서도 vpro를 지원하는 Q 계열 칩셋 보드를 구해서 개인이 설정해서 쓰던가(소규모 기업이나, 또는 여러 PC를 관리해야하는 일반 유저) 하는게 나을 수도 있겠죠. 아래 PDF 문서와 다른 기사를 참고해서 보세요.)

 

 

2012년 9월 20일 기사 입니다.

 

 

 

2013-9-5-2nd-4th-gen-familyguide-kr.pdf

 

 

2013-9-5-4thgen-vpro-brief-kr.pdf

 

 

3rd-gen-core-vpro-comparison-guide.PDF

 

 

intel 2nd gen processor vPro.pdf

 

아래 동영상은 초기 vPro 영상이긴 하지만, 개념을 이해하기 좋습니다.

 

https://youtu.be/hReZyJJoXws

브이프로 기술 데모

 

https://youtu.be/GhNnxNPD-7E

신한은행 인텔 vPro 도입 성공 사례 발표

 

 

[분석정보] 인텔 하드웨어 지원 다중 인증 기능을 탑재한 제 6세대 Core vPro

 


[분석정보] 2012년 vPro는 클라이언트 관리의 결정적 수단이 되는가? 1/2부

 

 

[분석정보] Intel AMT를 사용해서, 원격으로 BIOS 제어나 OS 복구에 도전

 

 

[분석정보] iAMT, Montecito등 신기술이 공개된 IDF

 

 

[분석정보] 인텔 무선화를 더욱 추진하는 제5세대 Core vPro

 

 

[분석정보] 2020년에 500억대가 될 IoT 시대를 맞이하는 Intel의 전략

 

 

[분석정보] 9년전의 아이디어에서 태어난 아톰. 리서치 @ 인텔

 

 

[분석정보] 고기능 고성능 + 에너지 절약 저비용을 양립시키는 Intel의 대처

 

 

[분석정보] 차세대 CPU 힌트가 나왔다 IDF

 

 

 
2013-9-5-4thgen-vpro-brief-kr.pdf
1.04MB
 
3rd-gen-core-vpro-comparison-guide.PDF
0.94MB
 
2013-9-5-2nd-4th-gen-familyguide-kr.pdf
0.72MB
 
intel 2nd gen processor vPro.pdf
3.51MB