정보 보안 강화, 모바일에서 해야 할 보안은?

지란지교시큐리티 모바일보안사업부

강정구 부장 rooky@jiran.com

 

[컴퓨터월드]  올해초 카드 3사의 개인정보유출사고로 인해 개인정보보호에 대한 사회적 관심이 최고조에 이르렀다.

정보보안업계에는 기업, 공공기관뿐만 아니라 금융권으로부터의 보안솔루션 및 컨설팅 문의가 폭증했고, 특히 기업·개인정보에 민감한 금융권에서는 개인정보보호뿐만 아니라 기업정보를 포함한 사내 모든 정보에 대해 전방위적인 유출방지를 강화해야 한다는 ‘붐(boom)’이 일어나고 있다.

그 이유로는 상위기관의 보안관련 권고사항도 있겠지만 각 카드사의 CEO에게 책임을 묻는 형태로 이번 개인정보유출사고에 대한 조사가 진행 중이며, 정보유출 기업에 대한 법적 규제가 강화되고 있기 때문에 타 금융기관도 영향을 받을 수밖에 없는 상황이다.

따라서 보안문제에 있어 사용자 편의를 어느 정도 존중해주던 기존 분위기에서 이제는 보안 우선정책으로 보안 흐름이 변화하고 있는 추세다.

특히 ‘모바일’은 많은 보안전문가와 기업에서 보안을 담당하는 관리자들이 향후 가장 큰 보안 위협으로 손꼽고 있는 만큼 모바일에서의 정보유출 가능성과 정보유출을 방어해야 하는 포인트를 알고 있어야 한다.

가장 쉬운 예로 모바일 기기는 분실·도난 같은 사용자 부주의에 의하여 개인이나 기업의 정보가 쉽게 노출되거나 유출될 수 있다. 루팅·탈옥된 스마트폰도 OS 보안취약점을 이용한 해킹 등으로 모바일 기기 내의 기업정보가 유출될 수 있다. 마지막으로 모바일 기기의 카메라, 녹음기, 화면 캡쳐 등 다양한 종류의 ‘스마트 장치(Smart Device)’나 사내에서 허용되지 않은 개인 무선네트워크(테더링 등)를 통해서도 정보가 유출될 수 있다.

이와 같은 다양한 위협들이 존재하기 때문에 모바일 보안과 관련하여 기업 및 기관에서는 다양한 조치를 취하고 있으며 이는 크게 두 가지로 나누어 볼 수 있다.

첫째, 모바일오피스 보안이다. 모바일오피스에서 사용하는 업무 앱을 통해 정보유출이 될 수 있으며 이를 방지하기 위해 모바일 기기 관리(MDM), 업무 앱 관리 및 보안(MAM), 백신, 키보드 가상화, 무선 공인인증 등의 조치를 범용적으로 많이 사용하고 있다. 

둘째, 모바일 기기를 통한 내부정보유출방지다. 스마트폰은 사진촬영, 녹음, 테더링 등 다양한 기능들이 내부정보유출 경로가 될 수 있기 때문에 USB보다 더 위험하다고 볼 수 있다. 따라서 기업 내부로 출입 시, 해당 기능을 제한적으로 사용하거나 사용을 원천 차단하는 ‘모바일 기기의 출입통제(MDAC: Mobile Device Access Control)’를 원하는 기업수요가 늘고 있다.

<사진02 – 모바일출입통제(MDAC)개념도>

 

모바일기기출입통제(MDAC)는 보안구역 내(사내)에서 스마트 단말기의 카메라/녹음기/USB/테더링/앱 등의 디바이스를 차단하는 모바일보안 운용방식을 말한다.

주로 이용하는 방식은 출입통제시스템(SPEED-GATE 등)과 연계하는 방식이고, 이외에도 무선네트워크(기지국/GPS/AP 등)를 이용하거나, 해당 환경이 없는 경우에는 근태시스템, 그룹웨어 SSO(Single-Sign On)등과 연계하여 적용할 수도 있다.

<사진03 – 다양한 출입통제 시나리오>

 

사실 과거에는 모바일 기기 출입통제에 대한 수요가 연구소, 반도체 회사 같은 지식기반 산업체와 군기관 등에서 많이 요구가 되어 왔다. 그러나 이제는 그 영역이 없어져 금융권, 공공기관, 일반기업까지도 확산이 되고 있으며 최근 외주인력 보안 관리에 대한 관심이 높아지며 방문객의 단말기에도 보안스티커를 붙이는 단순한 조치가 아닌 기술적 조치를 원하는 기업이 증가하고 있다. 더불어 외부 방문자에 대해서는 편리하고도 강력한 통제에 대한 요구가 증가하고 있는 추세다.

모바일오피스 앱을 통한 정보유출 방어는 이미 일반화된 추세이지만, 현실적으로 더 큰 보안 위협은 이번의 보안사고와 같이 모바일 기기를 통한 내부 정보유출 위험에 있다.

이에 대한 보안을 적용하기 위해서는 물리보안시스템, 모바일보안시스템 등과 더불어 자사의 보안강화를 위한 운영정책도 함께 병행 되어야 한다. 이와 더불어 사용자 개인소유 단말기(BYOD)를 통제 대상으로 두어야 하므로 회사 밖에서의 사용자 편의성에 대한 보장도 이루어져야 할 것이다.