종업원 이용 확산 불구 기업 보안대책 전무…솔루션 경쟁 점화
직원들의 이동성이 좋아지면 생산성은 당연히 높아진다. 하지만 보안 문제는 그보다 훨씬 더 심각하게 강도가 높아진다. 게다가 아직까지 모바일 디바이스들에 대한 보안 정책들은 별로 개발되지 않은 편이다. 그렇다고 보안 때문에 기술 발전의 이기를 사용하지 않는다는 것은 역사에 역행하는 것이다. 소극적인 것보다는 제대로 된 보안 정책을 수립하고 새로운 기술 발전의 이기를 적극 도입하는 것이 바람직하다.
◆단말기는 회사소유 아니더라도 '데이터는 회사 소유'=스마트폰은 이메일, 웹서핑, 데이터 관리 등 업무에 필요한 많은 작업을 처리할 수 있다. 최근 미국내 설문 조사에 따르면 스마트폰을 가진 사람들 중 82%가 회사용 이메일을, 80%가 회사 웹사이트를, 60%가 회사 데이터를 스마트폰을 통해서 조회한다고 응답했다.
이들 중 74%가 사용료를 자신이 부담하고 있으며 이들 중 65%는 스마트폰의 구입까지 회사가 지급하는 것이 아니라 본인 스스로 지불했다고 한다. 그들 중 회사의 IT부서에서 스마트폰과 PDA에 대한 지원을 한다고 응답한 것은 31% 밖에 되지 않는다. 회사의 재산이 아니니 회사에서 관리하지 않는다는 논리다. 하지만 단말기는 회사 소유가 아니라도 데이터는 회사 소유다. 그렇기 때문에 회사에서 적극적으로 지원하고 보안 정책도 강제해야 된다.
무조건 막을 것인가, 적절한 방법을 찾을 것인가? CIO들이 할 수 있는 것은 둘 중 하나다. 회사내 모든 컴퓨터에 액티브싱크와 같은 프로그램의 설치를 불허하거나 USB 포트를 모두 없애 버림으로써 이동 장치의 사용을 막아버리는 방법이 있고, 훨씬 더 바람직한 것은 정책과 기술적 강제를 적절하게 섞어 데이터를 안전하게 지키는 것이다. 이동성의 이점을 충분히 인식한다면 후자를 선택할 수 밖에 없다.
모바일 데이터를 안전하게 지키는
단계적 방안
1. 정책 수립: 회사 밖으로 이동해도 되는 데이터를 지정한다. 간부들도 예외를 두지 말라.
2. 회사 밖으로 나가는 데이터는 암호화하라. 이동 장치 관리 수트들은 대개 암호화 기능을 갖고 있다.
3. 회사에서 지원하는 모바일 단말기를 겨냥한 멀웨어가 시중에 나왔을 때 방지 프로그램을 설치할 준비를 하라.
4. 스마트폰의 진보를 지켜봐라
5. 이런 단계를 취하지 않을 것이라면, 회사 PC를 모두 잠궈서 사용자들이 동기화 프로그램을 설치하지 못하게 하라. 동기화가 없으면 중요한 데이터가 모바일 단말기로 저장되지 않는다.
◆"보안 정책 수립이 최우선이다"=모바일 암호화는 개발이 시작된지 오래지만, 실제 사용하지 않는 기술은 의미가 없다. 이베이 등의 개인 직거래 장터를 검색해 보면 자신이 사용하던 중고 스마트폰을 팔겠다는 사람들이 많이 있다. 이렇게 내놓은 스마트폰에 중요한 데이터가 들어있기라도 하면 기술로 해결할 수 있는 것은 거의 없다. 장치의 선택, 규정, 배치, 사용, 유지관리, 복구, 폐기 등을 모두 다루는 보안 정책이 필요하다.
고위 간부의 스마트폰은 다른 대접을 해주고 싶은 유혹을 뿌리쳐야 한다. 조직의 보안 정도는 가장 취약한 부분의 상태가 결정한다. 그리고 스마트폰은 랩탑보다 잃어버리기가 더 쉽다. 고위 간부라고 다른 사람보다 잃어버리지 않을 가능성이 높은 것도 아니며 사실은 더 중요한 데이터를 더 많이 갖고 있을 가능성이 높다.
정책을 작성할 때, 암호와와 자동비밀번호 입력과 같은 기본적인 데이터 보호부터 시작하고 단말기를 분실하거나 도난 당했을 때 원격으로 데이터를 지울 수 있는 방법을 반드시 사용해야 한다. 대부분의 푸시 이메일, 단말기 관리, 보안 시스템들이 이를 지원한다. 정책을 상세하게 살펴보면 VPN 권한과 사용자가 바이러스방지, 방화벽 및 기타 보안 소프트웨어의 사용을 강제하는 것들이 있다
◆보안정책은 유연하게, 그리고 기술발전 추세 주시해야=보안 정책은 고정되면 안된다. 주기적으로 비즈니스 요구 사항의 변화와 새로운 기술이 적용될 때마다 업데이트해야 된다. 단말기를 분실하면 실질적인 비용은 물리적 손실보다 훨씬 크다는 사실을 사용자들에게 주지시켜야 한다.
사용 정책을 적용하기 위해서는 회사가 단말기를 구매해줘야 통제력이 미친다. 회사가 물리적 자산을 소유하는 경우에는 정책을 강제하고 보안 소프트웨어를 설치하기가 더 쉽다.
물론 IT 부서에서 스마트폰을 구매하여 나눠주는 것을 꺼릴만한 이유가 있다. 스마트폰 시장은 소비자 중심이며 모델 라이프 싸이클이 짧다. 모바일 단말기의 보안 및 관리 벤더들은 유행제품에 대한 지원은 좋지만, 카메라나 SD 카드 슬롯 등을 잠그는 것과 같은 고수준의 하드웨어 보안에 대한 지원은 오류 투성이다. 직원이 자신의 개인 단말기에 데이터를 저장하는 것을 허락하는 경우에는 모바일 단말 보안 벤더가 지원하는 하드웨어 목록을 발표하고 지속적으로 업데이트함으로써 보완하는 것이 가장 좋다.
스마트폰 보안 제품 벤더에 대해 파악하기 위해서는 벤더의 마케팅 자료를 읽고, 많은 시간을 투자해서 단말기가 안고 있는 문제점을 분석해야 실제로 기업에 문제가 되는 위험 요소들을 사전에 예방할 수 있다.
따라서 위험요소들을 추적해야 한다. 제일 먼저 해야될 일은 데이터 분실을 방지하는 것이다. 얼마나 많은 정보를 사용자들이 장치에 담는지 알고 나면 놀랄 것이다. 스마트폰은 이동전화 연결 말고도 사용자가 서비스 지역에 있지 않을 경우나 연결이 끊겼을 때, 또는 비행기에 타고 있을 경우에도 데이터 액세스를 할 수 있도록 하기 위해 회사 데이터를 캐시로 저장하는 경우가 많다.
이메일은 저장되는 것이 일반적이고 웹브라우저가 비즈니스 웹싸이트를 저장하는 경우도 있다. 회사 애플리케이션은 DB 시스템을 액세스하기 위한 프리젠테이션 레이어 역할부터 폼 데이터의 저장, 심지어는 DB에서 선택한 것 전체를 저장하는 경우도 있다.
◆단말기 전체를 암호화하고, 바이러스를 막아라=방어의 첫번째는 폴더 각각 또는 SD카드와 같은 리무버블 스토리지 매체를 포함하여 단말기 전체를 암호화하는 것이다.
여기엔 장단점이 있다. 장치 전체를 암호화하면 데이터 분실을 막을 수는 있지만 성능 저하를 가져온다. 선택된 폴더만 암호화하면 성능을 유지하지만 암호화가 필요한 데이터가 제대로 암호화되고 있는지 항상 확인해야 한다. 장치의 속도가 점점 빨라지고 있고 사용자가 암호화되지 않은 폴더에 실수로 데이터를 저장할 가능성이 있으므로 디스크 전체를 암호화하는 것이 최선이다.
모바일 단말기에 대한 바이러스 방지의 필요성은 이미 많이 부각되어 있다. 카스퍼스키랩, 맥아피, 시만텍, 트렌드마이크로 등 주요 업체들이 모바일 단말기 바이러스 보호 프로그램을 제공한다. 최근까지 확산되었던 모바일 디바이스의 바이러스는 주로 Symbian 플랫폼이었으며 윈도우용은 손으로 꼽을 정도로 소수였다.
그리고 아이폰을 공격하는 것들이 조만간 나올 것으로 예상되고 있다. 아이폰의 잠금을 풀어서 써드파티 애플리케이션을 설치하거나 다른 통신사업자로 사용자를 유도하기 위한 여러 시도들은 주로 버퍼오버플로우 같은 고전적인 공격법이다. 애플은 지금까지 열심히 문제점을 수정하고 있긴 하지만 아이폰의 잠금을 푸는데 사용되는 방법은 단말기를 망가트리는데도 사용할 수 있다.
모바일 단말기를 공격하기 위한 멀웨어를 만드는 것은 생각보다 매우 쉽다. 블랙베리폰에 벨소리를 다운로드하는 것만으로도 잠재적으로 문제를 야기시킬 수 있을 정도다.
하지만 아직까지는 잠재적이다. 이동 플랫폼에 블래스터나 코드레드 웜 같은 정도의 타격을 주는 것은 아직까지 발견되지 않았다. 모바일 단말기들은 조각화된 OS 구조 덕분으로 은둔보안(security through obscurity)을 지금까지 누려온 셈이다.
하지만 더 많은 스마트폰이 기업 네트워크에 연결되고 데스크탑 컴퓨터들의 보안이 더 좋아지면 공격자들은 데이터가 잘 보호되지 않는 모바일 단말기들을 공격을 위한 우회 경로로 노리게 될 것이다. 아직까지 스마트폰 바이러스 예방 프로그램이 필요하지는 않지만 향후 12~18 개월 내에, 특히 회사내 스마트폰의 숫자가 늘어나면, 설치할 것을 고려해보는 것이 좋다.
◆트렌드마이크로∙트러스트디지털, 다양한 보안 솔루션 내놔=모바일 보안이 이슈가 되더라도 당황할 필요는 없다. 제법 많은 업체들이 이 분야에서 이미 입지를 다져왔으며 그 중 몇 제품을 인포메이션위크에서 시험해봤다.
트러스트디지털(Trust Digital)는 가디언엣지(GuardianEdge)와 손잡고 미국 정부나 기업들과 계약을 맺고 개발한 최신 스마트폰 보안 클라이언트를 보내왔고, 트렌드마이크로(Trend Micro)도 앞으로 발표될 모바일 단말 보안 수트를 보내왔다.
트러스트디지털의 스마트폰 보안 관리 소프트웨어와 트렌드마이크로의 모바일 시큐리티(TMMS) 5.0은 아주 다양한 방법으로 모바일 단말 보안 서비스를 제공한다. 가장 흥미를 끄는 기능은 트러스트디지털 제품의 애플리케이션 신뢰 모델이다.
이 제품은 애플리케이션의 실행을 허락하거나 금지시키는 단순한 화이트리스트나 블랙리스트와는 달리 어떤 애플리케이션이 특정 데이터 타입과 작동할 것인지를 결정할 수 있다. 예를들어, 마이크로소프트 워드만이 워드 문서를 액세스할 수 있도록 지정할 수 있다. 이것은 멀웨어를 방어하는데 유용하다. 트러스트디지털과 트렌드마이크로 제품의 주된 차이점 중 하나는 TMMS 5.0은 트렌드마이크로의 데스크탑 보안 제품 같은 동일한 콘솔에서 관리할 수 있다는 것이다.
트렌드마이크로와 트러스트디지털의 암호화 모델은 모두 만족스러웠다. 개별적인 장치 또는 그룹별로 국한된 암호화키를 정의할 수 있어 데이터 공유가 가능하다. 단지 문제가 되는 것은 장치에 한가지 정책만이 강제될 수 있기 때문에 사용자가 보드상의 메모리에는 자신만의 키를 사용하고 SD 카드만 공유된키로 암호화하여 다른 사용자에게 넘겨줄 수 없다는 점이다.
트렌드마이크로와 트러스트디지털은 하드웨어 잠금이나 원격 삭제와 같은 피해 정도를 줄일 수 있는 기능을 갖고 있다. 트러스트디지털은 소프트웨어 배포 기능이 있지만 보안에 초점을 맞춘 제품이기 때문에 모바일 단말기 관리 시스템에서 흔히 볼 수 있는 고급 재고관리와 보고 기능의 일부가 결여되어 있다.
InformationWeek USA
webmaster@itdaily.kr