지난 4월 25일 서울 JM메리어트 호텔 그랜드볼룸에서 <제 8회 NES 2013-차세대 기업보안 세미나&전시회> 가 열렸다. 올해 NES 세미나에서는 '지능형 위협과 기업 보안, 안전한 BYOD 환경 구축' 을 주제로 안랩(AhnLab)을 비롯한 많은 IT, 보안 회사들이 급변하는 IT 및 위협 환경에 대응하기 위해 주목해야 할 최신 보안 위협 이슈와 동향, 대응 방안을 논의하였다.
현재 화두인 'BYOD((Bring Your Own Device)의 보안'에 대한 발표 중 지란지교소프트 윤두식 본부장의
BYOD를 위한 효율적인 모바일 보안 구축 방안과 사례를 관심있게 들었다. 다음은 주요 내용을 정리한 것이다.
BYOD란 Bring Your Own Device의 줄임말이다. 스마트폰 BYOD를 통한 스마트워크 구현이 용이한 시대가 열렸다. 그런데, 아이러니하게도 BYOD와 스마트워크는 근본적으로 추구하는 목적이 다르다.
개인자산, 프라이버시, 업무 편의성, 개인 경쟁력 강화, 다양한 단말을 추구하는 BYOD와는 다르게 스마트워크는 기업정보, 사내 업부 통제/감사, 기업 정보보안, 기업경쟁력 강화, 일관된 관리를 추구한다.
그렇다면, 어떻게 해야 이 두 가지가 상호보완 관계로 나아갈 수 있을까? 먼저 그 둘 사이의 차이를 진단하고 해결해야 한다.
현재, 모바일 분야의 핵심 보안 이슈는 △단말기 내 개인 및 기업의 정보보호(단말 위협), △모바일 오피스를 통한 중요 정보의 유출 방지(디지털 정보 위협), △디바이스(카메라 등)를 통한 사내 정보 유출 방지(기반시설 위협) 등이다.
다양한 보안 위협은 응용 프로그램, 애플리케이션, 플랫폼, 단말기, 서버 및 네트워크를 겨냥한다. 응용 프로그램을 위협하는 것은 악성 애플리케이션, 악성코드, 앱 위·변조 등이며, 플랫폼을 위협하는 것은 루팅·탈옥, OS보안 취약점 등이다. 단말기에서는 도난·분실, 데이터 노출 등이 서버 및 네트워크에서는 Wi-Fi 해킹, 비인가 AP 등의 위협이 있다.
이를 해결하기 위해 현재 모바일 기기 보안을 위한 여러가지 가이드 라인이 존재한다. NIS(국가정보원)가 스마트폰 보안 규격을, 금융감독원이 스마트워크 정보보호 가이드라인을 행정안전부가 모바일 전자정부서비스 보안 가이드라인을 내놓았다. 이를 종합해 분석 해보면 다음과 같다.
▲ 모바일 기반의 실 업무 환경에 따른 보안 대책
이처럼 안전한 모바일 업무 환경의 기반은 MDM이다.
보안과 사용자 권리 사이 균형점 찾기가 관건
MDM(Mobile Device Management)은 휴대폰 정보의 유출을 막는 솔루션이다. 즉, 위에 언급된 문제들의 해결을 위한 것으로 분실, 도난된 단말에 원격으로 잠금을 걸거나 휴대폰을 초기화해 정보 유출을 막는다. 아울러 카메라, 녹음기, 블루투스, Wi-Fi 같은 휴대폰 기능을 제어하여 사내에서 발생할 수 있는 정보 유출을 사전에 차단한다. 또한, 애플리케이션 배포, 실행을 관리해 업무에 필요한 애플리케이션의 설치를 유도하고, 악성코드 등의 위험이 있는 악성 앱의 설치와 실행을 차단한다.
간단히 정리하면, 업무 앱 보안, 앱 배포/관리, 모바일 기기 출입 통제, 기본 MDM, 모바일 부가 서비스가 국내 MDM 수요의 범위라고 볼 수 있다.
보안 수위를 높이면 보안 측면에서는 철통 같은 수비가 가능하겠지만, 단말기는 '개인 소유 기기'이다. 즉, 너무 강압적인 보안 솔루션은 결국 직원들의 불만을 사게 되고, 어떻게든 정책을 빠져나가려는 사람이 생겨, 이로 인한 문제가 발생한다. 즉, 효율적인 보안과 사용자 권리 보장이 적절한 조화를 이뤄야 한다. 실제로 MDM은 Mobile Device Management -> Mobile App Management -> Mobile Content Management로의 발전과정을 거치고 있다. 장치에서 앱 그리고 콘텐츠로 좁아지는 양상은 사용자 권리 보장의 신장과 맞물리는 것이 아닌가 생각된다. Ahn
이승건 / 성균관대 전자전기컴퓨터공학부
'파워인터뷰 > 전문가 초대석' 카테고리의 다른 글
사이버 테러 막는 망분리 솔루션 어떻게 구축할까 (1) | 2013.07.04 |
---|---|
APT를 알면 사이버 테러 이길 해법이 보인다 (0) | 2013.05.30 |
온라인 게임 회사에는 어떤 업무들이 있나 (0) | 2013.05.01 |
혼자서 7년째 컨퍼런스 개최하는 보안전문가 만나보니 (2) | 2013.04.29 |
현직 CEO 3인이 전하는 SW 산업의 미래 (0) | 2013.03.12 |