2014.01.09

칼럼 | 모바일 개인정보 보호 정책에서 고려할 것들

Evan Schuman | Computerworld
아직 모바일에 특화된 개인정보 보호 정책을 만들지 않은 기업이라면, 지금이 바로 그 정책을 만들 때다.

모바일 기기가 다량의 데이터를 포함하고 있기 때문에 이들이 외부와의 통신에 적합하다는 사실은 잘 알려져 있다. 하지만 안타깝게도 모바일만의 개인정보 보호 정책을 논의하거나 이미 도입한 기업들을 찾아보기란 거의 불가능하다. 모바일 개인정보 보호 정책의 논의가 거의 이뤄지지 않고 있는 상황을 현재로선 받아들일 수 있겠지만, 바로 그 이유 때문에 무엇을 제한해야 하는지 생각해야 한다는 것이다. 하지만 오래 기다릴 필요가 없을지도 모른다. 2014년은 모바일 개인정보 보호 정책을 수립하기에 좋은 시점으로 보이기 때문이다. 그리고 관련 정책을 수립하기로 마음먹은 상황에서 도움이 될만한 조언을 전하고자 한다.

경영진과 직원의 동상이몽
모바일 개인정보 보호 정책이 필요하다는 데에는 이견이 없다. 직원들은 IT부서가 자신들을 보안위협으로부터 IT부서가 보호해주기를 바란다. 그리고 임원들은 직원들의 모바일 기기 사용이 일반화되더라도 IT부서가 기업의 데이터를 안전하게 지켜주길 기대한다. 게다가 여러분의 고객들에게 수집한 데이터를 가지고 어떻게 사용해야 하는지 알려줄 필요도 있다. 그리고 여러 계약업체, 유통사, 공급사 등 관계자들도 자신들이 해서는 안 되는 일에 대해 알아야 할 필요가 있다.

모바일 기기가 네트워크에 연결된 다른 기기와 마찬가지로 IT 관련 위협을 야기할 수 있다는 점은 충분히 문제가 될만하다. 모바일 기기는 LAN에 대한 완전한 접근권을 갖고 있으며 사용자가 네트워크 오너에게 무엇을 허용해주더라도 이를 어딘가에 얹어서 처리할 수도 있다. 그리고 물론 악의를 가진 사용자가 네트워크에 접속할 경우 허용된 접근권을 넘어 서고자 시도할 것이다.

---------------------------------------------------------------
기업의 BYOD 정책 인기기사
->기고 | 성공적인 BYOD 정책 수립을 위한 7가지 조언
-> IBM CIO에게 듣는 '빅 블루식 BYOD 전략'
->마스터카드에서 배우는 BYOD 보안 정책
->시스코, ‘BYOD 종합 대책’ 발표
-> 중소기업의 BYOD 대응 전략, ‘셀프서비스 정신’
---------------------------------------------------------------


너무 많은 정보가 너무 쉽게 모바일로
하지만 여러분이 모바일 특화 정책을 필요로 하는 이유는 모바일 기기에 데이터를 저장할 때 충분한 주의를 기울이지 않기 때문이다. 이론적으로는 모바일 기기는 모든 데이터의 흐름을 추적한다. 내장 마이크와 카메라는 원격으로 작동될 수 있다. 애플리케이션을 통해 모든 통화 내역, 이메일, 송수신 텍스트는 물론 트위터 게시물과 방문 사이트까지 모두 접근할 수 있다. 심지어 사용자 본인도 모르게 메시지를 발송할 수도 있다. (일례로 스타벅스 애플리케이션은 사용자를 대신해 트위터 게시물 작성 권한을 요청하고 있다.) 그리고 일부 애플리케이션은 사용중인 다른 애플리케이션 식별은 물론 OS 버전, 브라우저, 휴대폰 시리얼 넘버, 자세한 와이파이 정보, 통신사 등의 정보도 파악할 수 있다.

물론 개인정보 보호 정책 수립에서 직원들이 할 수 있는 일과 없는 일을 규정하는 것도 중요하다. 하지만, 기업이 써드파티 업체들의 데이터 사용 권한을 조정하는 것이 더 중요한 일인지도 모른다. 그리고 이러한 움직임의 일환으로 여러분의 기업이 설정하게 될 공공 개인정보 보호 제한이 있다. 마케팅 활동인 소비자의 정보를 필요로 한다. 정보에 대한 제한을 설정하지 않는 정책이라면 여러분이 속한 기업의 마케팅 관계자들은 소비자의 모든 정보를 취득할 수 있는 애플리케이션을 무한정 만들게 될 지도 모른다.

근시안적인 접근보다는 장기적인 관점으로
이러한 일들이 가져다 줄 수 있는 당장의 이득이 장기적인 기업의 명성에 끼치는 영향보다 더 가치 있는지에 대해 엄정히 판단해야 한다. IT담당자들과 기업의 임원들은 어떤 비즈니스를 운영 중인지, 그리고 고객들과 자신들에 대해 어떤 수준의 규제를 만들고 싶은지에 대해서 논의해야 한다. 그러한 과정에서 중요한 것은 바로 CIO가 중심을 잡는 것이다. 마감 일정에 쫓기는 마케터들 때문에 이러한 일들을 사안별로 결정해서는 안된다.

또한 IT부서는 기업이 모바일 기기의 추적 기능을 통해 무엇을 달성할 수 있는지에 대해 명확히 알고 있어야 한다. 이러한 기능이 직원들의 위치를 파악해야 할 때는 유용하게 여겨질 수도 있다. 심지어 비상 탈출 상황과 같은 시점에 직원들의 위치를 파악하여 안전하게 대피시키는 상황에서도 도움이 된다. 이밖에 신입 사원이 사옥 내에 멀리 떨어져 있는 회의실을 찾는데도 도움이 된다.




2014.01.09

칼럼 | 모바일 개인정보 보호 정책에서 고려할 것들

Evan Schuman | Computerworld
아직 모바일에 특화된 개인정보 보호 정책을 만들지 않은 기업이라면, 지금이 바로 그 정책을 만들 때다.

모바일 기기가 다량의 데이터를 포함하고 있기 때문에 이들이 외부와의 통신에 적합하다는 사실은 잘 알려져 있다. 하지만 안타깝게도 모바일만의 개인정보 보호 정책을 논의하거나 이미 도입한 기업들을 찾아보기란 거의 불가능하다. 모바일 개인정보 보호 정책의 논의가 거의 이뤄지지 않고 있는 상황을 현재로선 받아들일 수 있겠지만, 바로 그 이유 때문에 무엇을 제한해야 하는지 생각해야 한다는 것이다. 하지만 오래 기다릴 필요가 없을지도 모른다. 2014년은 모바일 개인정보 보호 정책을 수립하기에 좋은 시점으로 보이기 때문이다. 그리고 관련 정책을 수립하기로 마음먹은 상황에서 도움이 될만한 조언을 전하고자 한다.

경영진과 직원의 동상이몽
모바일 개인정보 보호 정책이 필요하다는 데에는 이견이 없다. 직원들은 IT부서가 자신들을 보안위협으로부터 IT부서가 보호해주기를 바란다. 그리고 임원들은 직원들의 모바일 기기 사용이 일반화되더라도 IT부서가 기업의 데이터를 안전하게 지켜주길 기대한다. 게다가 여러분의 고객들에게 수집한 데이터를 가지고 어떻게 사용해야 하는지 알려줄 필요도 있다. 그리고 여러 계약업체, 유통사, 공급사 등 관계자들도 자신들이 해서는 안 되는 일에 대해 알아야 할 필요가 있다.

모바일 기기가 네트워크에 연결된 다른 기기와 마찬가지로 IT 관련 위협을 야기할 수 있다는 점은 충분히 문제가 될만하다. 모바일 기기는 LAN에 대한 완전한 접근권을 갖고 있으며 사용자가 네트워크 오너에게 무엇을 허용해주더라도 이를 어딘가에 얹어서 처리할 수도 있다. 그리고 물론 악의를 가진 사용자가 네트워크에 접속할 경우 허용된 접근권을 넘어 서고자 시도할 것이다.

---------------------------------------------------------------
기업의 BYOD 정책 인기기사
->기고 | 성공적인 BYOD 정책 수립을 위한 7가지 조언
-> IBM CIO에게 듣는 '빅 블루식 BYOD 전략'
->마스터카드에서 배우는 BYOD 보안 정책
->시스코, ‘BYOD 종합 대책’ 발표
-> 중소기업의 BYOD 대응 전략, ‘셀프서비스 정신’
---------------------------------------------------------------


너무 많은 정보가 너무 쉽게 모바일로
하지만 여러분이 모바일 특화 정책을 필요로 하는 이유는 모바일 기기에 데이터를 저장할 때 충분한 주의를 기울이지 않기 때문이다. 이론적으로는 모바일 기기는 모든 데이터의 흐름을 추적한다. 내장 마이크와 카메라는 원격으로 작동될 수 있다. 애플리케이션을 통해 모든 통화 내역, 이메일, 송수신 텍스트는 물론 트위터 게시물과 방문 사이트까지 모두 접근할 수 있다. 심지어 사용자 본인도 모르게 메시지를 발송할 수도 있다. (일례로 스타벅스 애플리케이션은 사용자를 대신해 트위터 게시물 작성 권한을 요청하고 있다.) 그리고 일부 애플리케이션은 사용중인 다른 애플리케이션 식별은 물론 OS 버전, 브라우저, 휴대폰 시리얼 넘버, 자세한 와이파이 정보, 통신사 등의 정보도 파악할 수 있다.

물론 개인정보 보호 정책 수립에서 직원들이 할 수 있는 일과 없는 일을 규정하는 것도 중요하다. 하지만, 기업이 써드파티 업체들의 데이터 사용 권한을 조정하는 것이 더 중요한 일인지도 모른다. 그리고 이러한 움직임의 일환으로 여러분의 기업이 설정하게 될 공공 개인정보 보호 제한이 있다. 마케팅 활동인 소비자의 정보를 필요로 한다. 정보에 대한 제한을 설정하지 않는 정책이라면 여러분이 속한 기업의 마케팅 관계자들은 소비자의 모든 정보를 취득할 수 있는 애플리케이션을 무한정 만들게 될 지도 모른다.

근시안적인 접근보다는 장기적인 관점으로
이러한 일들이 가져다 줄 수 있는 당장의 이득이 장기적인 기업의 명성에 끼치는 영향보다 더 가치 있는지에 대해 엄정히 판단해야 한다. IT담당자들과 기업의 임원들은 어떤 비즈니스를 운영 중인지, 그리고 고객들과 자신들에 대해 어떤 수준의 규제를 만들고 싶은지에 대해서 논의해야 한다. 그러한 과정에서 중요한 것은 바로 CIO가 중심을 잡는 것이다. 마감 일정에 쫓기는 마케터들 때문에 이러한 일들을 사안별로 결정해서는 안된다.

또한 IT부서는 기업이 모바일 기기의 추적 기능을 통해 무엇을 달성할 수 있는지에 대해 명확히 알고 있어야 한다. 이러한 기능이 직원들의 위치를 파악해야 할 때는 유용하게 여겨질 수도 있다. 심지어 비상 탈출 상황과 같은 시점에 직원들의 위치를 파악하여 안전하게 대피시키는 상황에서도 도움이 된다. 이밖에 신입 사원이 사옥 내에 멀리 떨어져 있는 회의실을 찾는데도 도움이 된다.


X