편리하고도 안전한 BYOD 환경 어떻게 만들까

지난 4월 25일 서울 JM메리어트 호텔 그랜드볼룸에서 <제 8회 NES 2013-차세대 기업보안 세미나&전시회> 가 열렸다. 올해 NES 세미나에서는 '지능형 위협과 기업 보안, 안전한 BYOD 환경 구축' 을 주제로 안랩(AhnLab)을 비롯한 많은 IT, 보안 회사들이 급변하는 IT 및 위협 환경에 대응하기 위해 주목해야 할 최신 보안 위협 이슈와 동향, 대응 방안을 논의하였다. 

현재 화두인 'BYOD((Bring Your Own Device)의 보안'에 대한 발표 중 지란지교소프트 윤두식 본부장의

BYOD를 위한 효율적인 모바일 보안 구축 방안과 사례를 관심있게 들었다. 다음은 주요 내용을 정리한 것이다.


BYOD란 Bring Your Own Device의 줄임말이다. 스마트폰 BYOD를 통한 스마트워크 구현이 용이한 시대가 열렸다. 그런데, 아이러니하게도 BYOD와 스마트워크는 근본적으로 추구하는 목적이 다르다.

개인자산, 프라이버시, 업무 편의성, 개인 경쟁력 강화, 다양한 단말을 추구하는 BYOD와는 다르게  스마트워크는 기업정보, 사내 업부 통제/감사, 기업 정보보안, 기업경쟁력 강화, 일관된 관리를 추구한다. 

그렇다면, 어떻게 해야 이 두 가지가 상호보완 관계로 나아갈 수 있을까? 먼저 그 둘 사이의 차이를 진단하고 해결해야 한다.

현재, 모바일 분야의 핵심 보안 이슈는 △단말기 내 개인 및 기업의 정보보호(단말 위협), 모바일 오피스를 통한 중요 정보의 유출 방지(디지털 정보 위협), △디바이스(카메라 등)를 통한 사내 정보 유출 방지(기반시설 위협) 등이다.

다양한 보안 위협은 응용 프로그램, 애플리케이션, 플랫폼, 단말기, 서버 및 네트워크를 겨냥한다. 응용 프로그램을 위협하는 것은 악성 애플리케이션, 악성코드, 앱 위·변조 등이며, 플랫폼을 위협하는 것은 루팅·탈옥, OS보안 취약점 등이다. 단말기에서는 도난·분실, 데이터 노출 등이 서버 및 네트워크에서는 Wi-Fi 해킹, 비인가 AP 등의 위협이 있다.

이를 해결하기 위해 현재 모바일 기기 보안을 위한 여러가지 가이드 라인이 존재한다. NIS(국가정보원)가 스마트폰 보안 규격을, 금융감독원이 스마트워크 정보보호 가이드라인을 행정안전부가 모바일 전자정부서비스 보안 가이드라인을 내놓았다. 이를 종합해 분석 해보면 다음과 같다.

▲ 모바일 기반의 실 업무 환경에 따른 보안 대책                                                                                    

이처럼 안전한 모바일 업무 환경의 기반은 MDM이다.

보안과 사용자 권리 사이 균형점 찾기가 관건

MDM(Mobile Device Management)은 휴대폰 정보의 유출을 막는 솔루션이다. 즉, 위에 언급된 문제들의 해결을 위한 것으로 분실, 도난된 단말에 원격으로 잠금을 걸거나 휴대폰을 초기화해 정보 유출을 막는다. 아울러 카메라, 녹음기, 블루투스, Wi-Fi 같은 휴대폰 기능을 제어하여 사내에서 발생할 수 있는 정보 유출을 사전에 차단한다. 또한, 애플리케이션 배포, 실행을 관리해 업무에 필요한 애플리케이션의 설치를 유도하고, 악성코드 등의 위험이 있는 악성 앱의 설치와 실행을 차단한다.

간단히 정리하면, 업무 앱 보안, 앱 배포/관리, 모바일 기기 출입 통제, 기본 MDM, 모바일 부가 서비스가 국내 MDM 수요의 범위라고 볼 수 있다.

보안 수위를 높이면 보안 측면에서는 철통 같은 수비가 가능하겠지만, 단말기는 '개인 소유 기기'이다. 즉, 너무 강압적인 보안 솔루션은 결국 직원들의 불만을 사게 되고, 어떻게든 정책을 빠져나가려는 사람이 생겨, 이로 인한 문제가 발생한다. 즉, 효율적인 보안과 사용자 권리 보장이 적절한 조화를 이뤄야 한다. 실제로 MDM은 Mobile Device Management -> Mobile App Management -> Mobile Content Management로의 발전과정을 거치고 있다. 장치에서 앱 그리고 콘텐츠로 좁아지는 양상은 사용자 권리 보장의 신장과 맞물리는 것이 아닌가 생각된다. Ahn


이승건 / 성균관대 전자전기컴퓨터공학부


댓글을 달아 주세요

삼성의 정보유출 방지대책, 모범 답안인가

현장속으로/세미나 2011.06.30 10:11
얼마 전 KBS 마감 뉴스인 '뉴스라인'에 안철수연구소 김홍선 대표가 출연했다. 보안 이슈로 보안 회사 CEO가 전국 마감 뉴스에 출연하는 것은 매우 드문 일이다. 잇단 금융권 보안 사고로 그만큼 보안이 핫이슈가 된 것이다. 이런 가운데 6월 23일 금융위원회와 금융감독원은 ‘금융회사 IT 보안강화 종합대책’을 발표했다. 최고경영자의 IT 투자 계획 승인 및 이행 여부 확인 강화, 정보보호책임자(CISO) 지정 의무화, IT 보안 인력·예산 확충, IT 실태 평가 강화와 제재 수준 상향, IT 보안 인프라와 내부통제 개선, IT 아웃소싱 관리 강화 등이 주요 내용이다. 

사실 보안 사고가 터질 때마다 논의만 무성하고 실질적인 대책 마련에 필요한 투자는 미흡했던 게 현실이다. 최근의 분위기가 실제 보안 수준을 높이는 결과로 이어지기를 바라며 얼마 전 열린 차세대 기업 정보보안 세미나 'NES 2011'에서 다루어진 내용을 정리해본다. 삼성SDS 김문진 수석 컨설턴트는 삼성의 보안 대책 사례를 발표했다. 또한 파수닷컴 안혜연 부사장은 단말기가 다양해지고 클라우드(가상화), 모바일, 엔드포인트 등 새로운 화두가 등장하는 흐름에서 보안은 정보(데이터) 자체에 집중해야 한다고 강조했다.  

삼성은 정보 유출 어떻게 방지할까? / 삼성SDS 김문진 수석 컨설턴트

위는 작년에 있었던 보안 사고이다. 일반적으로 H중공업의 잘못이라고 생각하는데 사실은 협력업체를 통해서 유출이 되었던 사건이다. 자사뿐 아니라
협력업체의 보안도 신경
써야 한다는 것을 보여주는 단적인 사례이다.  

글로벌 기업인 삼성은 보안 측면에서 많은 투자를 하고 많은 보안 인력이 산업 현장에서 근무한다. 그 동안 들어본 보안 솔루션들은 전부 다 들어와 있다고 생각해도 된다. 모든 것이 삼성 내부에 있는 시스템을 보호하기 위해 들어와 있고 효과적으로 설치, 운영된다.
 그 중 최근 화두인 클라우드를 어떻게 활용하고 있을까? 클라우드는 여러 가지 형태의 제품이 있는데, 삼성은 그 중 SBC(서버 기반 컴퓨팅), 클라이언트 가상화, 가상 디스크를 사용한다.
우선, 외부 출장자, 재택 근무자는 내부 시스템에 접근하기 위해 클라우드 서비스를 사용한다. 협력사도 클라우드 서비스를 사용한다. 제조 라인에 대한 보안도 클라우드 서비스를 이용해 강화한다. 먼저 사용자가 밖에서 내부 시스템으로 들어올 때에는 SBC, 를 통해 작업을 한 뒤 시스템에 업데이트를 한다. 작업을 마치면 사용자 PC에는 아무것도 남지 않게 된다. 만약 사용자가 작업을 하던 노트북을 잃어버리거나 PC가 해킹을 당해도 그 안에는 업무 관련 자료가 없으니 피해가 없다. 이처럼 사용자의 실수까지 케어를 해준다. 
 
다음으로 협력업체에 사내 정보를 제공하는 경우는 클라이언트 PC 가상화를 적용한다. 가상 영역에 정보(설계도면, 매뉴얼, 심안서)를 올려주면 협력업체에서 그 자료를 받아서 작업 후에 다시 서버에 업데이트를 하는 형태이다. 리얼 PC에서는 해당 정보는 보이지 않는다. 빼내가려고 해도 빼내갈 수 없는 구조인 것이다.

또한 제조 라인의 경우 365일 24시간 작동되어야 한다. 그런데 제조 라인에 내장된(임베디드) 컴퓨터 대부분이 윈도우 기반으로 네트워크로 연결되어 있다. 그래서 바이러스가 침투할 수 있어서 멈춰버리는 경우도 생길 수 있다. 이에 대비하기 위해 사내망 또는 인터넷과 연결된 부분을 가상화 PC로 구성한다. 업무 자료는 가상 PC와 리얼 PC가 분리되기 때문에 악성코드가 침투하더라도 리얼 PC에는 영향을 못 미친다. 때문에 제조 라인 전체가 안전하다.
 
마지막으로 연구소나 기밀 업무를 하는 쪽은 가상 디스크를 사용한다. 이런 부서는 중요 문서를 개인 PC나 노트북에 저장을 못 하게 하는 것이다. 
그 결과 개인 PC가 악성코드에 감염이 되어도 내부의 중요 문서가 유출되지 않는다.
 

보안, 정보 자체에 집중해야 / 파수닷컴 안혜연 부사장


요즘 단말기에 한계가 있다는 분은 없을 것 같다. 그만큼 기술이 빨리 진화한다. 요즘 클라우드(가상화), 모바일, 엔드포인트가 화두이다. 여기에 그린 IT까지. 이런 변화 속에서 보안은 어떻게 바뀌어야 할까?
 
태블렛 PC와 같은 모바일 디바이스, 클라우드 서비스가 나오게 되었다. 이런 기술을 단지 보안 문제로 사용하지 않을 수 있을까? 업무의 효율을 높이기 위해서는 사용할 수밖에 없다. 이런 오픈된 환경에 맞게 기존 보안 모델이 바뀌어야 한다. 30년 동안 유지된 정보 보안 아키텍처가 어떻게 바뀌어야 할까? 
정보(데이터) 자체에 집중해야 한다.

예전에는 PC에서 데이터가 생성되면 내부 망에서 공유되거나 정보와 관련된 사람에게 이메일로 공유되었다. 하지만 지금은 공유할 수 있는 장이 넓어졌다. 그 결과 관리자는 해당 데이터에 대한 권한이 없는 사람이 볼 수 있느냐 없느냐를 고민하게 되었다. 여기저기서 생성되고 운영되는 자료를 얼마나 잘 컨트롤하느냐를 고민해야 한다.
컨트롤하기 쉽지가 않기 때문에 우리는 좀더 스마트해져야 한다. 예를 들면 어느 파일이 생성된 뒤 그것이 이동할 때는 권한 레벨이 자동으로 유지되게 해야 한다. 
 
우리가 집중할 부분은 엔드포인트(사용자 PC, 각종 모바일 장치와 같이 네트워크에 최종적으로 연결된 IT 장치) 보안이다. 이 부분은 그 동안 안 해온 것은 아니다. 그런데 스마트폰 유저가 점점 많아지는 이 시대에 스마트폰 이용 자체가 문제가 될 수 있다. 접근 가능한 정보가 중요한 경우가 있기 때문이다. 엔드포인트에서 정보의 중요도에 따른  컨트롤이 되어야 한다. 추후에 나아가야 되는 IT 정보의 흐름 아닐까 하는 생각이 든다.

과연 클라우드, 모바일 환경에서 중요한 것은 무엇일까? 영업, 관리, 시스템, 회계 등등 클라우드 아웃소싱이 일어나고 있다. 중요한 정보가 클라우드 서비스로 올라가게 된다. 우리가 알 수 없는 서버에 데이터가 올라가는 것이다. 이렇게 올라간 데이터는 다른 서버로 복제되기도 하고 내려받기도 한다. 그리고 단말기로 접속한 영업사원이 이용을 할 수도 있다. 어떤 정보는 모바일 디바이스로는 접근 불가(컨트롤) 되어야 한다. 이런
제약 사항
이 생겨야 보안에 대해 믿을 수 있을 것이다. 

아이패드에서 보안 문서를 연 경우

아이패드에서 일반 문서는 무방비로 열린다. 이번에는 보안 문서를 열어보자. 이 경우에는 암호를 넣어야 한다. 권한이 있는 사람만 보는 것이다. 
이메일로 받은 파일도 마찬가지이다. 받은 파일을 특정 뷰어로 보는 경우 시간에 제약을 주는 것이다. 가령 일정 시간 내에서는 인증을 묻지 않고 작업을 진행시키고 아무 작업 없이 10분이 지나가면 다시 인증을 거치는 것이다. 

엔드포인트에서의 또 다른 예제는 내부에서 사용하는 프린터가 될 수 있다. 프린터가 똑똑해져서 MFP(멀티 펑션 프린터)가 생긴다. 파일을 전송할 수도 있고 공유도 가능하고 스캔도 된다. 이런 기기가 보편화하는 데 어떤 보안이 필요할지 생각해야 한다. Ahn
 
 
대학생기자 김재기 / 한양대 안산 컴퓨터공학과


해보지도 않고 포기하는 것은 현명하지 않은 일이라고 생각합니다.
타고난 천재가 아닌 이상 처음부터 잘하는 사람은 없겠지요.
새로운 것에 도전하고 항상 노력하는 대학생기자 김재기입니다.


댓글을 달아 주세요

  1. jjongmi 2011.07.01 21:19  Address |  Modify / Delete |  Reply

    다른 세미나에서 삼성의 기업보안에 대해서 들은 적이 있는데 클라우딩을 활용한다는 건 처음듣네요^^~ 잘 읽었습니다!

KTX 승무원에서 보안 컨설턴트로 변신한 정효진씨



수줍은 웃음을 띠며 그녀가 들어왔다. 안랩인이 된 지 고작 6개월째라 인터뷰가 민망하다며 연신 고개를 떨어뜨리던 그녀에게는 놀라운 이력이 숨겨져 있었다. KTX 승무원, 교사를 거쳐 지금은 보안 컨설턴트로 활약하는 정효진(27) 씨. 그 숨겨진 뒷이야기를 들어봤다.

정효진 씨는 대학에서 컴퓨터를 전공하면서 교사의 꿈을 품고 전자계산 교직 이수를 했다. 보람되고 안정된 직장을 얻기 위해 6개월 가량을 노량진에서 고군분투했지만 결과는 낙방. ‘한 번만 더’라는 마음을 가지고 있던 그와는 달리 완강하셨던 어머니는 종이 한 장을 건네셨다. 바로 KTX 공개 채용 광고. 대한항공 승무원인 언니를 보며 승무원에 대한 막연한 환상을 품어왔던 그는 KTX 승무원에 도전장을 냈고, 높은 경쟁률을 뚫고 ‘레일 위의 꽃’이 되었다.

씨저널 충청권 잡지 표지 모델로 나왔던 효진씨.

2년 동안 근무하며 그는 잊지 못할 많은 경험을 얻었다. 처음에는 우리나라 지방의 도시가 어디에 자리하고 있는지도 잘 알지 못했다던 정효진 씨. 그런 그가 이제는 각 지방 고유의 맛에 대해 늘어놓을 정도가 됐다. 


“동대구에는 닭똥집이 유명하고요. 순대를 먹더라도 찍어먹는 게 지역마다 달라요. 구내식당도 지방 손맛을 그대로 느낄 수 있어서 좋았고, 아! 특히 광주가 인심이 후했어요.” 음식 이야기가 나오자, 발갛게 상기된 얼굴로 신나게 설명하는 그에게서 수줍던 웃음 대신 활기가 묻어났다.




KTX 승무원들이 ‘비정규직 파업’을 시작할 즈음 정효진 씨는 미련 없이 승무원 일을 그만뒀다
. 대신 학창 시절 품었던 교사의 꿈이 그 자리를 메웠다. 사립 고등학교에 올린 그의 이력서를 보고 한 여고에서 기간제 교사 제의를 해온 것이다.

다른 곳도 취직이 됐지만 결국 교사를 선택했다. 처음에는 타오르는 열정을 가지고 반항심 많은 아이들까지 끌어안고자 했지만 쉽지 않았다. 그래도 학생들이 성장하는 모습을 바라보며 보람을 느꼈다. 보람을 느끼는 만큼 그가 자신에게 느끼는 부족함도 커져갔다. 학생들 중에는 IT 분야에 대해 꿈을 가지고 있는 아이들이 많아 여러 질문들을 하곤 했다. 프로그램 개발, 컨설팅 등 많은 것이 있었지만, 정작 속 시원히 말해줄 수 있는 것이 별로 없어 속상했다. 그 중 하나라도 직접 경험해 보고 싶어 ‘IT의 꽃’이라는 보안의 세계에 뛰어들었다.

KTX 승무원과 교사. 이 두 가지가 보안 컨설턴트와 연관되지 않는다? NO! 이 세 가지 직업의 공통점은 ‘사람을 대하는 일’이라는 것이다. 승무원은 외국인, 노인, 어린이 등 다양한 고객들에 대한 응대가 빈번하고 다양한 상황에 매끄럽게 대처해야 한다. 선생님도 사람을 대하기는 마찬가지다. 무섭다는 요즘 아이들에게 인기가 많았던 그는 두루두루 많은 사람을 겪어봤으니 보안 컨설턴트로서 고객을 대하는 일이 자연스러웠을 것이다.

이런 장점을 내세워 보안 컨설턴트에 입문했지만, 보안 컨설턴트가 사람 대하는 능력만으로 할 수 있는 일은 아니다. 정효진 씨는 대학교 때의 전공을 살려 다시 공부를 시작했다. 보안에 대한 기본 지식 습득과 관련 자격증은 필수!

보안 컨설턴트는 기업 IT 인프라의 보안 취약점을 진단해 더 안전한 시스템과 네트워크를 운영하는 데 도움을 주도록 진단하는 역할을 한다. 기업은 앞으로 일어날 수 있는 해킹 위협이나 취약점을 예방하고자 정보보호 전문 회사에 있는 보안 컨설턴트에게 컨설팅을 받는다.

보안 컨설턴트는 크게 기술 컨설턴트와 관리 컨설턴트로 나눠지는데 정효진 씨는 기술 부분을 중점적으로 맡고 있다. 그녀가 주로 하는 Penetration Test(모의 테스트)는 말 그대로 침투 테스트이며, 취약점을 찾아내고자 침투 테스트를 시도해 이로 인해 발생할 수 있는 해킹 위협 및 내부 보안 사고를 예방하고 차단하기 위한 대응책을 제시하는 서비스이다.

“보안에 대한 전반적 이해가 필요하기 때문에 계속 공부 중이에요.”라고 말하는 그에게서 일에 대한 열정을 느낄 수 있었다.

정효진 씨가 생각하는 보안 컨설턴트로서의 매력은 무엇일까?
“여러 기업체가 보안 컨설팅을 받기 때문에 의료, 교육 기관 등 많은 분야를 경험해요. 또 최소한 한 달 정도 의뢰한 곳에 머무르기 때문에 많은 사람과 인맥을 쌓을 수 있어요.”
하지만 그 중 최고의 매력은 자신과 팀이 보안 시스템을 분석한 뒤, 그로 인해 의뢰한 기업의 보안 시스템이 더 나아진 모습으로 변할 때라고 한다.

“저는 이 일을 즐기고 있어요.”라고 힘주어 말하는 정효진 씨. 지쳐서 한 박자 쉬어 가고 싶을 때, 그녀의 이 말에 담긴 열정을 기억해 내길 바란다. Ahn

대학생기자 허보미 / 이화여대 국어국문학과

봉긋한 꽃망울, 스쳐지나가는 바람에도 애정 갖기.
세상에 대한 호기심을 간직한 채 글로 소통하길 꿈꾼다.


 

댓글을 달아 주세요

  1. 요시 2009.06.01 19:14  Address |  Modify / Delete |  Reply

    대단하세요~~!
    얼굴도 이쁘시당ㅎㅎㅎㅎ

  2. Dorothy 2009.06.02 14:33  Address |  Modify / Delete |  Reply

    울팀 이쁜이 효진씨~~
    쭉~~ 즐기세욤~~~

  3. Zet 2009.06.03 01:12  Address |  Modify / Delete |  Reply

    오.. 글 정말 잘 읽었네요.
    열정이 묻어나는것 같아 보기 좋아요.
    얼굴도 예쁘시고요.

    인터뷰글 잘읽었습니다. :)

  4. 고데깅 2009.06.03 18:43 신고  Address |  Modify / Delete |  Reply

    주어진 일어 모든 열심이 신것 같애요^^
    배울점이 많네요~ !

  5. 도라에몽 2009.06.05 13:27  Address |  Modify / Delete |  Reply

    동대구에 빨간 양념한 똥집이 맛있는데..서울엔 읍어용~

  6. mbti 2009.06.05 15:33  Address |  Modify / Delete |  Reply

    다재다능하시네요...^^;...

  7. 제보자 2009.06.07 01:24  Address |  Modify / Delete |  Reply

    요즘 프로젝트를 야간에 하셔서 힘드실텐데!! 화이팅 하세요~ ㅋㅋ
    "나의 과거를 세상에 알리지 말라" 그렇게 부탁하셨건만 ㅎㅎ 저한테 설득당해서 세상의 빛을 보게 된 사실이죠! ㅎ

  8. 광년이 2009.06.07 13:50  Address |  Modify / Delete |  Reply

    좋은 글 잘보고 갑니다..^^ 세상에는 참 멋진분이 많은거 같아요 ㅎㅎ