이와 달리 SK플래닛은 사내 전면적으로 BYOD를 도입, 직원들 누구나 자기가 사용하고 싶은 기기를 쓸 수 있도록 시스템을 구축했다. 특히 가장 문제가 되는 기기 관리 및 보안 이슈를 사용자와 관리자 모두가 만족할 수 있는 수준으로 구축함으로써 이상적인 형태의 BYOD를 도입했다는 평가를 받고 있다. 다른 계열사 및 해외 법인에서까지 많은 관심을 보이고 있는 SK플래닛의 BYOD 솔루션에 대해 알아본다.

기업 업무 환경, 스마트 오피스로 변모하다

언제 어디서나 간편하게 인터넷에 접속할 수 있는 무선 네트워크 환경이 조성되면서 스마트폰과 태블릿PC 등 모바일 기기의 보급이 급속히 확산되고 있다. 시장조사기관인 IDC나 가트너의 예측을 보면 가히 폭발적이라는 표현이 어울릴 정도다.

또한 모바일 기기의 성능이 높아지고 다양해지면서 사람들은 점차 업무 영역에도 이들을 사용하기 시작했다. 사무실 혹은 지정된 공간에서 정해진 시간동안 업무를 봐야 하던 전통적인 방식은 효율성이란 측면에서 좋은 점수를 얻기 어려웠다. 그러나 모바일 기기를 이용하면 언제 어디서든 쉽게 무선 네트워크를 통해 사내망에 접속하여 업무를 수행할 수 있기 때문에, 상황에 맞는 유연한 대처와 높은 업무 효율성을 달성할 수 있다. 기업들이 스마트 워크(Smart Work) 환경을 구축하려는 이유도 바로 이 때문이다.

기업들이 스마트 워크 환경을 구축하기 위해 모바일 기기를 직원들에게 나눠주거나 구입을 유도하면서 개인이 휴대하는 모바일 기기도 많아지고 있다. 이에 따라 개인용과 업무용으로 구별된 기기를 각각 휴대하는 것에 대해 불편함을 느끼기 시작하면서 개인용 기기 하나로 업무에 활용하는 경우가 점차 증가하기 시작했다. 이른바 BYOD(Bring Your Own Device)가 시작된 것이다. BYOD는 업무용 기기를 선택하는데 있어서 기업들의 고민을 덜어줄 수 있을 뿐만 아니라, 개인도 자신이 원하는 혹은 익숙한 기기를 활용하여 업무를 볼 수 있다는 장점이 있다.

BYOD는 점차 하나의 IT 트렌드로 자리 잡을 것이라 예상되고 있다. 가트너는 2016년에 전 세계 기업의 38%가 BYOD 추세에 따라 임직원들에게 기기를 지급하지 않을 것으로 전망했다.

기기 관리와 보안, BYOD 도입의 걸림돌

BYOD가 점차 확산되고 있는 추세라고는 해도, 정작 기업들이 BYOD를 도입하는 것에는 부담감을 느끼는 부분이 있다. 바로 기기 관리와 보안이라는 측면에서다.

직원들이 각자 기기를 가져와서 업무를 수행한다는 것은 사전에 인가되지 않은 기기가 내부망에 접속을 해야 한다는 것을 뜻한다. 그렇게 되면 기업 입장에서는 부담을 느낄 수밖에 없다. 어떤 사용자가, 어떤 운영체제의 기기로, 언제 어디서 접속하는지에 대한 관리를 쉽게 할 수 없기 때문이다. 그렇기에 지금까지 외부 기기를 반입하여 사용하기 위해서는 사전에 기기 등록을 마치고 인가를 받아야만 했다. 그러나 이는 기기 사용자뿐만 아니라 관리자 입장에서도 불편함이 많은 과정이었다. 기기가 바뀌거나 업그레이드될 때마다 매번 이와 같은 과정을 거쳐야하기 때문이다.

기기 등록을 마치고 사용을 하게 되더라도 보안이라는 문제가 여전히 존재한다. 기업에서 제공하는 기기들은 사전에 보안을 위한 여러 장치들이 사전에 마련되곤 한다. 기능 제약 및 사전 보안 프로그램 설치 등이 그것이다. 그러나 개인이 가져오는 기기들에는 그런 장치들이 없을뿐더러, 개인들도 자신들의 기기에 그런 제약을 걸기를 원하지 않는다. 때문에 기업은 내부 문서와 같은 중요 자료들이 쉽사리 개인용 기기에 저장되어 반출될 수 있다는 부담감을 느끼게 되고, 이를 적절히 통제할 방안을 찾기 위해 여러 솔루션을 도입하고 있다. 최근 MDM(Mobile Device Management)과 같은 솔루션이 주목받는 이유이기도 하다.

편의성 중심의 BYOD 추진

여타 다른 기업들과 마찬가지로 SK플래닛도 BYOD 도입을 위해 어려움을 갖고 있었다. 이전까지는 직원들 혹은 외부 고객들이 네트워크에 접속하기 위해서는 기기 IP와 맥(MAC) 주소를 기반으로 한 등록이 필요했다. 이를 위해서 사용자는 사용 요청 시스템에 접속하여 맥주소를 사전 등록해야 했다. 그러나 사용자가 숫자 ‘0’과 영문자 ‘O’를 잘못 파악해서 입력한다거나, 관리부서에서 기기 등록을 위한 입력을 할 때 실수가 나는 등 번거로움이 존재했다. 또한 사용자들도 기기에 변화가 있을 때마다 매번 등록을 해야 하고, 관리부서도 이와 같은 등록 건수가 많아지다 보면 자체 업무를 수행하기 힘들다는 어려움이 존재했다. 특히 직원 수가 많을수록 이런 어려움은 더욱 클 수밖에 없었다.

SK플래닛은 이 같은 번거로움과 어려움을 해소하기 위해 BYOD 솔루션을 도입하기로 했다. 이전까지는 사전 기기 등록을 한 후 인증을 통해 네트워크에 접속할 수 있었지만, 새롭게 도입하는 BYOD 솔루션에서는 기기 등록과 인증을 한 번에 하는 것을 목표로 했다. 이를 위해 SK플래닛이 추진한 것은 완전 자동화 체제였다.

또한 SK플래닛은 온라인 쇼핑몰 11번가나 스마트폰용 내비게이션 T맵 등 온라인과 모바일 플랫폼 서비스 사업을 하고 있는 만큼, 무선 인터넷 환경과 다양한 모바일 기기에서의 원활한 서비스가 제공될 수 있도록 노력하고 있다. 그러다보니 개발과 운영차원에서부터도 이를 테스트할 수 있도록 사내 네트워크 시스템의 완전 무선화를 구축하고자 했다.

기기 등록부터 사용자 인증까지 전 과정 자동화

SK플래닛은 이전부터 에어큐브의 인증 서버를 사용해왔다. 유선 네트워크는 맥 인증, 무선 네트워크는 802.1x 인증을 통해 기기 등록을 해왔던 것. 그러나 기존 수작업 체제가 아닌 자동화 체제를 구축하기 위해 SK플래닛은 에어큐브와 공동 개발을 통해 새로운 BYOD 솔루션을 개발하기로 했다.

SK플래닛은 에어큐브의 기존 인증서버인 에어프론트(AirFRONT)와 정책관리서버인 바이프론트(ByFRONT) 이외에도 웹 인증 스위치 센서인 인프론트(InFront)를 도입해 신규 기기 및 비인가 기기의 IP와 맥 주소를 자동으로 수집하도록 했다. 여기서 수집된 기기 정보들은 자동적으로 관리서버에 전송되어 해당 기기 정보를 식별한다. 해당 기기가 노트북인지, 스마트폰이나 태블릿PC인지를 구별하고, 또 해당 기기의 운영체제(OS)가 윈도우인지, MAC OS X인지 아니면 리눅스인지도 구별한다.

이렇게 식별된 기기 정보는 사내 단말에 설치되는 엔드포인트 보안 클라이언트에도 전송된다. 그리하여 별도 등록 절차가 없더라도 정상적인 사용자로 인증이 되면 보안 시스템을 통과하여 기기를 사용할 수 있게 한다.

이런 것들이 시스템적으로 가능하게 된 것은 네트워크 VLAN(Virtual LAN, 가상랜)을 통한 보안정책을 설정했기 때문이다. 새로운 기기가 등록되고 해당 기기의 네트워크 사용 요청이 들어오게 되면, 우선적으로 기기를 수집된 정보에 따라 분류한 이후 그에 맞는 보안 정책을 할당하고 사용할 수 있도록 하는 과정이 VLAN에서 자동으로 이뤄진다.

SK플래닛은 모바일 플랫폼 회사로서 다양한 플랫폼을 지원해야 하는 역할도 맡고 있다. OS만으로 따져도 PC 기반 운영체제인 윈도우나 MAC OS X에서부터 모바일 기반 운영체제인 안드로이드, iOS, 윈도모바일 등 다양한 운영체제에서 다양한 브라우저를 통해 서비스를 이용할 수 있도록 해야 한다.

기본적으로 이러한 멀티 플랫폼을 엔드포인트 단에서 구현하게 되면 에이전트를 설치해야 하는 방식도 사용된다. 그러나 에이전트 방식은 OS 버전이 업그레이드될 때마다 에이전트도 함께 업그레이드해야하기 때문에 관리 차원에서도 불편함이 생긴다.

SK플래닛은 에이전트 설치 대신 웹 서버와 인증 서버를 묶음으로써 웹 단에서 자체적으로 인증이 구현될 수 있도록 했다. 이를 통해 OS 버전과 상관없이 웹 브라우저가 지원되는 기기라면 어떤 것이든지 자유롭게 인증을 받고 사용할 수 있도록 했다.

또한 SK플래닛은 BYOD 시스템을 구축하면서 VLAN을 큰 덩어리 단위로 가져가는 것에 집중했다. 층마다 또는 부서마다 VLAN을 잘게 쪼개지 않고 건물 전체로 둬서 언제 어디서나 동일한 기기가 하나의 IP로 사내 네트워크를 이용할 수 있도록 했다. 그렇기에 3층에서 인증을 받고 사용하던 네트워크 IP가 다른 층으로 이동했다고 해서 변동되지 않고 그대로 사용할 수 있으며, 건물 외부로 나갔다가 다시 들어오더라도 새로 인증을 받을 필요 없이 이전 인증을 받은 상태 그대로 사용이 가능하다.

권한과 책임 부여로 보안성 높여

기본적으로 보안과 편의성은 양립할 수 없는 관계다. 보안을 높이다보면 사용자들의 편의성은 많이 떨어질 수밖에 없으며, 편의성만을 강조하다보면 보안이 허술해질 수 있기 때문이다. 그러나 SK플래닛은 BYOD 솔루션을 구축하면서 편의성과 보안이라는 두 마리 토끼를 모두 잡는데 성공했다. 이는 SK플래닛이 직원들에게 권한과 책임을 모두 부여했기 때문이다.

SK플래닛의 BYOD 솔루션은 직원들이 신규 기기를 등록할 때 스스로 등록 및 인증을 할 수 있도록 하고 있다. 자기 자신이 업무용으로 사용하는 기기의 등록은 물론, 고객이나 외부 손님 등이 SK플래닛의 네트워크를 사용하기 위한 등록까지도 할 수 있다. 단말 등록 과정에서 IT 관리부서는 일체 관여하지 않는다.

우선 직원들의 사내 업무용 기기 등록 및 인증일 경우, 사전 등록된 직원 아이디(ID)와 패스워드(PW)를 입력하는 것으로 절차가 시작된다. ID와 PW가 정상적으로 서버에서 인증이 되면, 인증 서버는 해당 직원에게 일회용 비밀번호(One Time Passward, OTP)를 문자메시지로 발송한다. 물론 네트워크 사용 요청을 하는 동안 인증 센서는 해당 기기에 대한 정보를 자동으로 수집하고 해당 정보를 관리서버로 제공한다. 이렇게 문자메시지로 발급된 OTP를 직원이 입력하면 최종적으로 인증이 끝나게 되고, 신규 기기를 사내망에서 사용할 수 있게 된다.

외부 기기에 대한 사용도 마찬가지다. 이 역시 담당직원의 권한과 책임이 필요하다. 고객 또는 손님이 SK플래닛에서 와이파이(WI-Fi)와 같은 네트워크를 이용하려 할 경우, SK플래닛 직원에게 사용 요청을 해야 한다. 요청자는 인증화면에서 본인의 이름과 전화번호를 입력한 후 직원 검색을 통해 해당 직원에게 사용 요청을 보낸다.

사용요청을 받은 직원은 요청승인자의 인적정보를 확인한 후 승인을 할지 아니면 거부를 할지를 선택할 수 있다. 승인이 이뤄지면 요청자는 SK플래닛의 네트워크를 이용할 수 있게 되고, 승인요청이 거부되면 요청자는 인증요청 화면만 볼 수밖에 없다.

SK플래닛은 이렇게 직원이 자신의 고객 또는 손님에 대한 책임까지 지게 함으로써 편의성은 높이면서도 보안도 강조할 수 있는 BYOD 솔루션을 구축할 수 있었다.

“통제 위주 정책보다 개인 책임형 정책이 효과 좋아”

일반적으로 기업에서는 보안을 위해 통제를 강화한다. 그러나 SK플래닛은 오히려 직원들에게 권한을 더 부여했다.

통제 위주 정책을 펴게 되면 통제가 되지 않는 부분을 허용하는 것으로 인식하는 경향이 있다. 단지 통제를 하지 않는 부분을 허용으로 보는 것이다. 그러나 이는 잘못된 방향이라고 생각한다.

그러나 개인 책임형 정책을 펴면 이와는 다른 풍경이 연출된다. 그러나 개인 책임형 정책을 펴면 이와는 다른 풍경이 연출된다. 예를 들어 개인 메일로 회사 공식적인 업무를 하면 안 된다는 정책이 있다고 치자. 회사에서는 개인 웹메일 접속을 차단하기 위해 A 웹사이트, B 포털사이트 등을 차단하는 통제한다. 사용자는 A, B 사이트가 회사 정책 상 접속금지이지만, 외국에서 서비스하는 C 사이트는 정책상 허용한다는 오류를 범하기가 쉽다. 반면에 회사 정책을 사용자에게 설명하고, 교육 등 커뮤니케이션에 집중한다면, 개인 메일 서비스를 하는 A, B, C 사이트뿐만 아니라 D, E 사이트들도 모두 회사 공식적인 업무를 하면 안 되는 사이트로 인식될 수 있다. 이렇게 사용자에게 정확한 정책을 안내하고, 스스로 정책을 지키게 하는 것이다.

SK플래닛이 구축한 BYOD 솔루션도 이처럼 사용자에게 자율을 부여하면서도 그에 따른 책임도 따르게 함으로써 편의성과 보안을 동시에 충족시킬 수 있었다.

BYOD 솔루션 도입에 어려움은 없었는지.

기존 운영체계와 그에 익숙해진 사람들의 사고를 바꾸는 것이 조금 어려웠다. 유선 체제로 구축되어 있는 시스템을 전면 무선화 하는 것이었기 때문에 관련 담당자들을 설득시키는 과정이 필요했다. 이미 익숙해진 운영 방식에서 벗어나 다른 방식으로 넘어가야 하는 것이었기 때문이다.

SK플래닛이 추구한 BYOD의 방향에서는 VLAN 구성을 크게 가져가는 것이 좋다. 그러나 이를 쪼개자는 의견들도 많았다. 문제가 생겼을 시 관리하는 차원에서 유용하기 때문이다. 그러나 VLAN이 여러 개로 나눠졌을 때 IP를 부여받은 기기가 다른 층으로 이동했을 경우 IP가 변경되기 때문에 당초 구상했던 것과 다른 방향으로 흘러가게 된다.

그래서 BYOD 솔루션 도입을 위해 유선을 양보하고 무선을 가져오는 방식으로 절충했다. SK플래닛은 모바일 플랫폼 서비스 회사이기 때문에 무선이 메인이 되어야 한다는 인식을 심기 위해 노력했다. 이를 통해 유선은 층별로 구분을 두되 무선은 건물 전체를 커버할 수 있도록 했다.

이는 단지 판교 사옥만이 아니다. 현재 SK플래닛의 사옥은 서울 을지로와 상공회의소, 수서에도 있다. 이 모든 사옥에서 한 번의 인증을 통해 별도 재인증이 없이 무선을 활용할 수 있도록 시스템을 구축하고 있다. 판교에서 인증을 받고 사용했다면 을지로에서도 동일한 IP로 재인증 없이 그대로 사용할 수 있도록 하는 것이다.

BYOD 솔루션을 도입하면서 가장 중점을 둔 부분은.

무엇보다 사용자 편의성에 중점을 뒀다. 또한 BYOD 트렌드에 따라 기기들을 마음껏 갖고 와서 붙이고 사용하면서도 보안에 문제가 생기지 않게끔 않는 것도 필요했다.

정작 문제는 외부에서 게스트가 들어왔을 때 기기를 어떻게 붙이고 통제하는지에 관한 것이었다. 사용자는 편하게 인증을 받되 SK플래닛은 그 기기의 정보를 식별하고 그에 맞춰 정책을 적용할 필요가 있었다. 조금 더 쉽게 말하면 보안성을 어떻게 강화해야 하는지에 대한 고민이었다.

솔루션 구축 기간은.

솔루션 개발 기간은 기획기간 포함 8개월 정도 걸렸다. 에어큐브와 공동으로 개발을 진행했으며, 지난해 SK M&C와 통합되는 과정에서 동시 오픈하기 위해 준비했다. 시기상으로는 2013년 3월 말부터 적용을 시작했으며, 적용 기간은 2~3개월 걸렸다. 각 사옥별, 그리고 업무별 순차적으로 적용하고 있다.

솔루션 적용 이후 직원들의 만족도는 어떠한지.

만족도 조사 등의 반응은 체크하기 어렵다. 그러나 일반 직원들의 네트워크 신청 문의가 많이 줄었다. 솔루션이 구축되기 전에는 네트워크 요청 신청이 하루에 한 두 건 정도 왔다고 하면 지금은 그런 요청이 한 달에 한 번 정도 될까 말까 한다. 그것도 실제로 신청에 관련된 것이 아닌, 사용 방법을 가이드해도 잘 모르겠다고 하는 부분에 대한 문의들이다. 쉽게 말해 요청 건수 자체가 줄었다. 번거롭게 매번 요청할 필요도 없으니 나름 만족하고 사용하고 있는 것이 아닌가 싶다.

또한 BYOD는 외부 서비스가 아니기 때문에 반응들이 잘 나오지 않지만, 다른 계열사에서도 도입 의향을 보이기도 한다. 유·무선을 통합해서 많은 기기들을 써야 하는 곳에는 좋은 솔루션이라고 생각한다.

직원 계정 유출 및 도용 문제에 대한 대비는.

BYOD 솔루션을 도입한 지 얼마 되지 않았다. 첫 단추가 잘 끼워질 수 있도록 사람들의 변화를 유도하고 관리하는 중이다.

우선 ID 도용 문제가 발생할 수 있기 때문에 기본적으로 문자메시지를 이용한 투팩터 인증 방식을 채택했다. 한 번 더 본인 인증을 거치게 함으로써 도용에 대한 문제를 줄이고자 했다.

또한 직원들에게 보안 교육을 진행함으로써 ID 도용 문제가 발생하지 않도록 노력하고 있다. 잘 모르는 사람이 네트워크 승인을 요청할 시 거절할 수 있도록 하고 있으며, ID를 타인에게 넘겨주는 행위 등을 하지 못하게 주지시키고 있다. 만약 잘 몰랐다는 이유로 ID 도용 및 유출이 발생했을 경우 책임은 해당 사용자가 져야 하는 것이니 늘 조심해달라는 요청도 보안 교육 내용을 포함해 가이드하고 있다.