드롭박스, 박스, 슈가싱크 등 직원들이 집에서 작업한 업무용 문서를 저장하는데 사용하는 앱이 가장 위험한 것으로 조사됐다.
임직원들이 스마트폰과 태블릿을 들고 다니며 드롭박스, 박스(Box), 슈가싱크(SugarSync) 등 클라우드 스토리지 서비스를 사용하면서 기업들이 데이터 유출 위험이 커지고 있다는 대학의 연구 결과가 나왔다.
스코트랜드의 클래스고대학(University of Glasgow)의 연구진들은 iOS나 안드로이드 기기에서 이러한 서비스를 통해 가져온 워드 문서와 PDF 파일은 새로운 데이터로 덮어 쓰게 되는 시점에 스토리지 용량이 한계에 이를 때까지 캐시에 저장된다는 것을 발견했다.
iOS 기기의 경우, 데이터가 메모리에 저장되지만 안드로이드는 SD 메모리 카드에 정보를 저장한다. 애플리케이션과 관련한 메타 데이터도 검색 할 수 있다.
이 연구에는 결함이 있는 것으로 지적됐다. 무엇보다도 연구진들이 OS의 오래된 버전을 사용했다. 연구진들은 아이폰 3S에서 iOS 3를, HTC 디자이어에서 안드로이드 2.1을 각각 테스트했기 때문이다.
구형 기기에 모든 정보를 보관하는 것이 아니기 때문에 최신 iOS와 안드로이드 기기에 그대로 적용하기에는 문제가 있다고 전문가들은 지적했다. 전문가들은 스마트폰을 훔친 사람이나 기기에 악성코드를 심어놓을 경우에도 일부 데이터에 접근할 수 있다는 데 의견을 모았다
루멘션(Lumension)의 포렌식 분석가 폴 헨리는 "포렌식 관점에서 보면, 어떤 종류의 흔적도 남기지 않으면서 기기에서 할 수 있는 것은 거의 없다”라고 말했다. "드롭박스의 경우 일반적으로 데이터베이스를 해독할 수 있고 당신의 활동내역 정보를 자세히 얻을 수 있다. 그렇다. 실제 메모리 안에 있는 파일들의 캐시된 사본을 찾을 수 있다”라고 헨리는 덧붙였다.
데이터 유출 위험은 BYOD 추세로 심화됐다. 대부분의 기업들은 직원이 업무에 개인 기기를 사용할 수 있도록 하지만, 보안을 보장하기 위해서는 엄격한 정책을 수립해야 한다는 게 전문가들의 의견이다.
BYOD의 가장 큰 위험은, 직원들이 집에서도 일하기 위해 업무용 문서를 저장할 스토리지 서비스같은 애플리케이션을 사용한다는 데 있다. 개인용 데이터와 업무용 데이터가 섞이면서 보안이 유출될 가능성도 높아지는 것이다.
이 연구를 주도했던 조지 그리스포스는 개인용 데이터와 업무용 데이터의 분리는 모든 모바일 기기에서 매우 중요한 사인이라고 밝혔다. "클라우드 애플리케이션은 기기를 분리하는 방법에 대한 더 큰 그림의 일부가 돼야 한다"라고 그리스포스는 말했다. ciokr@idg.co.kr