2017.03.22

'사용자 편의와 보안을 고려한' BYOD 정책 수립 팁

Ryan Francis | CSO
회사가 원하든 원치 않든 직원들은 자신의 기기를 들고 올 것이다.

오늘날의 업무 환경에서 직원은 점점 더 끊임없이 의사소통하고 싶어 한다. 회사의 허용 여부와 관계없이 직원은 업무용으로 개인용 기기를 사용한다. 피할 수 없는 것을 무시하기보다는 회사를 보호하고 업무 생산성을 높이면서 보안과 균형을 유지하는 BYOD 정책을 개발하고 구현해야 한다. 미국의 로펌 볼치&빙엄(Balch & Bingham LLP)의 파트너 브랜든 N. 로빈슨이 개인정보 보호와 데이터 보안을 위한 몇 가지 방법을 제시했다.

BYOD 정책을 수립하기 전에


먼저 회사가 BYOD 정책을 수립하려는 궁극적인 목적이 무엇인지를 파악하라. 모바일 기기 자체의 보안 때문인가? 모바일 환경을 관리하기 위해선가? 애플리케이션 위험을 해결하기 위함인가? BYOD 정책에는 회사 정보를 안전하게 보관하고, 유용성/생산성을 높이며, 시간 낭비(예 : 페이스북, 트위터, 유튜브 등)와 부적절한 웹 사용을 줄이는 것도 포함될 수 있다.

규제 위험 평가
지역/지방/외국에 있는 데이터에 대한 개인정보 보호 및 보안법을 이해하려면 해당 지역의 법무부서와 인사부서에 문의하라. 지역에 따라 법이 다르다면, 필요에 따라 일반 BYOD 정책에 하위 정책이나 절차도 고려하라. 정책을 개발할 때 HR, IT, 경영, 법률 등 다양한 이해 관계자를 포함해 구현 가능한 방식으로 정책이 개발되도록 한다.


개인정보 거버넌스
회사는 BYOD 기기의 정보를 감사하고 접근할 권한이 있어야 한다. 긴박한 중요한 상황에서 직원들이 일시적인 문제를 예방할 수 있는지 확인해야 한다.
 
비용 지불 구조
회사가 전화 요금을 지불하거나 매월 사용료를 지급하나? 데이터 초과는 어떻게 처리되나?

모든 기기에 대한 엄격한 보안 정책


핀 방식 암호가 아닌 강력한 영문+숫자 혼합 암호를 사용하라. 어떤 기기로 내부 네트워크에 접근할 수 있는지에 대한 원칙을 포함하라. 기기를 잠그기 전에 비활성 상태로 유지해야 하는 기간을 정의하라.

데이터 소유권 및 복구
데이터와 앱의 소유권은 누구에게 있나? 기기를 분실하거나 도난당한 경우 어떻게 되나? 회사에서 지울 수 있나? (개인 사진, 직원이 직접 비용을 내고 구입한 앱 등) BYOD 정책에는 회사 방침에 따라 네트워크로 연결해 기기의 데이터와 앱을 지울 권리가 있음을 분명히 해야 한다. 영업 담당자라면, 고객 연락처가 기기에 저장돼 있을 텐데 이 경우 영업에 미치는 영향은 어느 정도일지도 계산해 봐야 한다. 

그리고, 회사가 허용하는 기기의 기종과 OS-아이폰, 안드로이드폰, 태블릿 등-도 분명히 해야 한다. 

어떤 사이트를 방문할 수 있나?
어떤 앱을 허용하거나 금지하나? 어떤 웹 사이트가 차단되나? 여기에는 소셜 미디어, VPN, 원격 접근 소프트웨어 등이 포함돼야 한다.

사용 정책과도 통합해야 한다. 회사가 소셜미디어, 부적절한 웹사이트를 허용하지 않을 수도 있다. 직원이 VPN으로 연결해 페이스북에 부적절한 내용을 게재하거나 회사 네트워크로 개인용 기기를 연결해 부적절한 자료를 전송하면 어떻게 되나? 개인용 기기와 관련해 이러한 정책을 어떻게 모니터링하고 시행하나? 어떤 원칙을 수립하나? 

BYOD 기기에 대한 기술 지원 수준 지정
IT부서가 연결 문제, 고장난 기기나 개인용 기기에 설치된 앱에 도움을 주나? 헬프데스크가 있나? 삭제 후 재구성까지 지원하나? 임대 기기는 어떻게 처리하나?

직원 퇴사 문제
직원이 회사를 떠날 때 접근 권한, 데이터, 회사 계정 이메일, 독점 데이터를 어떻게 강제로 삭제할까?

-원격으로 회사 계정 이메일을 사용을 중지할 수 있나?
-동기화 기능을 비활성화할 수 있나?
-기기에 있는 회사 정보를 완전히 삭제할 수 있나?
-기기에 있는 회사 정보를 삭제하지만, 개인 사진과 개인적으로 구입한 애플리케이션을 백업할 수 있나?
-함께 일하더라도 필요한 경우 회사가 삭제할 권한이 선택사항으로 있어야 한다. 

검토, 모니터링, 수정
더 나은 모니터링이나 애플리케이션 실행 등이 필요한 경우, 무엇이 작동하고 있는지, 폐기해야 할 것이 있는지 등을 정기적으로 확인하라. 교육하고, 교육하고, 또 교육해야 한다. 더 잘 알고 있는 직원이 회사 정책에 관심을 가질수록 안전하고 신뢰할 수 있는 환경으로 개선된다.

기기 보안에는 선제대응이 필요하다
기기 보안에 능동적으로 대처하라.

-모바일 기기에 업데이트를 설치하라. 또는 BYOD 정책에 적시 업데이트 항목을 넣어라. 모바일 업데이트는 지속해서 취약점을 수정한다.
-탈옥 기기를 허용해선 안 된다. 규제받지 않는 앱에 악성코드가 포함될 수 있다.
-모바일 기기 관리 툴을 사용하라. 이러한 서비스는 스마트폰과 태블릿을 무선으로 보호하고, 보안 설정을 정의하며, 작업 내용을 관리하고, 무선 업데이트나 앱을 강제할 수 있게 해준다.
-암호와 암호 요건을 강화하라. 이는 기기를 분실하거나 도난당할 때 매우 중요하다.
ciokr@idg.co.kr



2017.03.22

'사용자 편의와 보안을 고려한' BYOD 정책 수립 팁

Ryan Francis | CSO
회사가 원하든 원치 않든 직원들은 자신의 기기를 들고 올 것이다.

오늘날의 업무 환경에서 직원은 점점 더 끊임없이 의사소통하고 싶어 한다. 회사의 허용 여부와 관계없이 직원은 업무용으로 개인용 기기를 사용한다. 피할 수 없는 것을 무시하기보다는 회사를 보호하고 업무 생산성을 높이면서 보안과 균형을 유지하는 BYOD 정책을 개발하고 구현해야 한다. 미국의 로펌 볼치&빙엄(Balch & Bingham LLP)의 파트너 브랜든 N. 로빈슨이 개인정보 보호와 데이터 보안을 위한 몇 가지 방법을 제시했다.

BYOD 정책을 수립하기 전에


먼저 회사가 BYOD 정책을 수립하려는 궁극적인 목적이 무엇인지를 파악하라. 모바일 기기 자체의 보안 때문인가? 모바일 환경을 관리하기 위해선가? 애플리케이션 위험을 해결하기 위함인가? BYOD 정책에는 회사 정보를 안전하게 보관하고, 유용성/생산성을 높이며, 시간 낭비(예 : 페이스북, 트위터, 유튜브 등)와 부적절한 웹 사용을 줄이는 것도 포함될 수 있다.

규제 위험 평가
지역/지방/외국에 있는 데이터에 대한 개인정보 보호 및 보안법을 이해하려면 해당 지역의 법무부서와 인사부서에 문의하라. 지역에 따라 법이 다르다면, 필요에 따라 일반 BYOD 정책에 하위 정책이나 절차도 고려하라. 정책을 개발할 때 HR, IT, 경영, 법률 등 다양한 이해 관계자를 포함해 구현 가능한 방식으로 정책이 개발되도록 한다.


개인정보 거버넌스
회사는 BYOD 기기의 정보를 감사하고 접근할 권한이 있어야 한다. 긴박한 중요한 상황에서 직원들이 일시적인 문제를 예방할 수 있는지 확인해야 한다.
 
비용 지불 구조
회사가 전화 요금을 지불하거나 매월 사용료를 지급하나? 데이터 초과는 어떻게 처리되나?

모든 기기에 대한 엄격한 보안 정책


핀 방식 암호가 아닌 강력한 영문+숫자 혼합 암호를 사용하라. 어떤 기기로 내부 네트워크에 접근할 수 있는지에 대한 원칙을 포함하라. 기기를 잠그기 전에 비활성 상태로 유지해야 하는 기간을 정의하라.

데이터 소유권 및 복구
데이터와 앱의 소유권은 누구에게 있나? 기기를 분실하거나 도난당한 경우 어떻게 되나? 회사에서 지울 수 있나? (개인 사진, 직원이 직접 비용을 내고 구입한 앱 등) BYOD 정책에는 회사 방침에 따라 네트워크로 연결해 기기의 데이터와 앱을 지울 권리가 있음을 분명히 해야 한다. 영업 담당자라면, 고객 연락처가 기기에 저장돼 있을 텐데 이 경우 영업에 미치는 영향은 어느 정도일지도 계산해 봐야 한다. 

그리고, 회사가 허용하는 기기의 기종과 OS-아이폰, 안드로이드폰, 태블릿 등-도 분명히 해야 한다. 

어떤 사이트를 방문할 수 있나?
어떤 앱을 허용하거나 금지하나? 어떤 웹 사이트가 차단되나? 여기에는 소셜 미디어, VPN, 원격 접근 소프트웨어 등이 포함돼야 한다.

사용 정책과도 통합해야 한다. 회사가 소셜미디어, 부적절한 웹사이트를 허용하지 않을 수도 있다. 직원이 VPN으로 연결해 페이스북에 부적절한 내용을 게재하거나 회사 네트워크로 개인용 기기를 연결해 부적절한 자료를 전송하면 어떻게 되나? 개인용 기기와 관련해 이러한 정책을 어떻게 모니터링하고 시행하나? 어떤 원칙을 수립하나? 

BYOD 기기에 대한 기술 지원 수준 지정
IT부서가 연결 문제, 고장난 기기나 개인용 기기에 설치된 앱에 도움을 주나? 헬프데스크가 있나? 삭제 후 재구성까지 지원하나? 임대 기기는 어떻게 처리하나?

직원 퇴사 문제
직원이 회사를 떠날 때 접근 권한, 데이터, 회사 계정 이메일, 독점 데이터를 어떻게 강제로 삭제할까?

-원격으로 회사 계정 이메일을 사용을 중지할 수 있나?
-동기화 기능을 비활성화할 수 있나?
-기기에 있는 회사 정보를 완전히 삭제할 수 있나?
-기기에 있는 회사 정보를 삭제하지만, 개인 사진과 개인적으로 구입한 애플리케이션을 백업할 수 있나?
-함께 일하더라도 필요한 경우 회사가 삭제할 권한이 선택사항으로 있어야 한다. 

검토, 모니터링, 수정
더 나은 모니터링이나 애플리케이션 실행 등이 필요한 경우, 무엇이 작동하고 있는지, 폐기해야 할 것이 있는지 등을 정기적으로 확인하라. 교육하고, 교육하고, 또 교육해야 한다. 더 잘 알고 있는 직원이 회사 정책에 관심을 가질수록 안전하고 신뢰할 수 있는 환경으로 개선된다.

기기 보안에는 선제대응이 필요하다
기기 보안에 능동적으로 대처하라.

-모바일 기기에 업데이트를 설치하라. 또는 BYOD 정책에 적시 업데이트 항목을 넣어라. 모바일 업데이트는 지속해서 취약점을 수정한다.
-탈옥 기기를 허용해선 안 된다. 규제받지 않는 앱에 악성코드가 포함될 수 있다.
-모바일 기기 관리 툴을 사용하라. 이러한 서비스는 스마트폰과 태블릿을 무선으로 보호하고, 보안 설정을 정의하며, 작업 내용을 관리하고, 무선 업데이트나 앱을 강제할 수 있게 해준다.
-암호와 암호 요건을 강화하라. 이는 기기를 분실하거나 도난당할 때 매우 중요하다.
ciokr@idg.co.kr

X