BYOD를 성공으로 이끄는 4가지 팁

Australian Reseller News

BYOD (Bring Your Own Device) 움직임은 공식적으로 업무용 개인 장비 사용을 부추기고, 허용 가능한 보안 수준에서 작업을 수행할 수 있도록 IT 부문에 요구한다. 하지만, 어떻게 위험이 사용 기기의 주어진 범위와 끝부분의 제어가 부족한 사실을 나타낼 수 있는가?

시트릭스의 조사에 따르면, 현재 BYOD 정책을 도입한 기업은 44%에 이르며 2013년까지 이를 마련할 계획이라고 답한 기업은 무려 94%로 집계됐다. 필자는 이 94%의 기업들에게 BYOD를 성공으로 이끌어줄 4개의 열쇠를 소개하고자 한다. 장비가 아닌 서비스의 표준화, 일반적인 전송방법, 지능형 접근 제어, 데이터 봉쇄가 바로 그 4개의 열쇠다.

1. 서비스의 표준화
표준화는 동일한 수준의 서비스를 제공하면서 다른 플랫폼에서도 일관성 있는 보안 제어 기능을 구현하는 것이다. 보안 제어와 호환성이 결여되면 사용자의 정보 서비스 접근을 막고 생산성을 떨어뜨린다. 그렇다고 더 많은 사용자 접근 경로를 추가해 이 문제를 해결하는 것은 허술한 보안 관리를 초래하고, IT환경 관리를 더 어렵게 만든다. 기업들은 데스크톱과 애플리케이션 가상화 기술 및 터미널 서버를 통해 사용자가 기대하는 서비스를 제공할 수 있다.

가상 데스크톱은 원격 서버에 호스팅돼 있고 사용자 업무에 필요한 애플리케이션과 툴 등에 접근하도록 하는 데스크톱 컴퓨터에 필적할 만 하다. 사용자가 서버에 연결할 수만 있다면, 가상 데스크톱에 접근할 수 있기 때문이다.

애플리케이션 가상화를 통해, 소프트웨어는 사용자가 다양한 기기에서 핵심 비즈니스 애플리케이션에 접근하도록 서버로부터 최종 사용자 기기로 연결된다. 애플리케이션 가상화는 소프트웨어를 따로 설치하지 않고도 애플리케이션들을 서버에서 업그레이드할 수 있다. 이 때 원격이나 모바일 기기와의 인터페이스조차 필요하지 않다. 기기에 애플리케이션이 저장됐다면, 서버와 연결되지 않더라도 작동된다.

두 가상화 옵션은 원격 가상 데스크톱 또는 애플리케이션에 접근하기 위해 터미널 서버 커넥션을 이용하지만, 터미널 서버는 데스크톱 가상화와 유사한 IT서비스로 일관된 접근 기능을 제공하기 위해 독립적으로 사용될 수 있다. 하지만, 이것은 서버 OS에서 작동되는 데스크톱 가상화와 다르다. 터미널 서버는 모든 애플리케이션이 터미널 접근을 제공하지 않고 일부는 터미널이 가상화 데스크톱과 다르게 동작하기 때문에 제공하는 서비스가 제한된다.

이 솔루션들은 새로운 것이 아니며, 보안 모델은 IT 서비스용으로 사용할 만큼 성숙하다. 사실 이러한 툴은 최종 사용자 기기의 제어를 보안 실무자로 바꾼다. 사용자가 다른 애플리케이션을 설치하거나 취약점을 알리기 위해 시스템을 바꾸지 않도록 시스템에 제한을 둘 수 있다. 모든 활동을 원격으로 수행하기 때문에, 직원들이 주 컴퓨터를 사용할 수 없어도 연결된 기기와 상관없이 일할 수 있다. 터미널 서버와 가상화 툴 모두는 사용자 오류가 생산성과 저비용 지원에 영향을 덜 주도록 복원 또는 기계 복제를 쉽게 만든다.


주의사항: 가상화 및 터미널 서버는 최종 사용자로부터 데이터센터로 일부 장비 비용을 옮김으로써 BYOD에 할당된 비용절감 효과를 줄어들게 한다. 또한 두 솔루션은 연결 손실로 인해 직원 생산성을 크게 방해해 연결 손실에 대한 영향을 증가시킨다.

이러한 솔루션들은 소규모 조직에는 엄두도 못 낼 정도로 비용 부담이 크다. 터미널 서버 라이선스는 곧바로 비용 추가로 이어지며, 고가용성 가상 시스템과 데이터센터도 꽤 비싸다. 하지만, 아웃소싱과 클라우드 기반 솔루션은 중소 기업에게 이러한 서비스를 사용할 수 있는 기회를 제공하지만, 이들의 보안은 진지하게 검토돼야 한다.

2. 일반적인 전송방법
일반적인 전송방법은 기기의 특정세트에 맞는 다양한 서비스를 지원하는 비용을 피하면서 수많은 기기로 콘텐츠를 가져올 수 있게 도와준다. 대다수의 기기들이 가지는 한 가지 공통점은 HTTP와 SSL의 지원이다. SSL 기반 기술과 웹 기반 애플리케이션은 직원들이 어떤 시스템을 사용하는지 상관없이 콘텐츠를 가져온다. 게다가 다른 포트대신 SSL에서 서비스가 작동할 때 방화벽 규칙을 단순화시킬 수 있다.

예를 들어, L2TP, PPTP 또는 IPSec VPNs은 SSTP(Secure Sockets Tunneling Protocol)로 대체될 수 있다. 전화기, 태블릿, PC, 매킨토시는 모두 SSTP를 지원하므로, 비용을 절감하고 가능한 공격 벡터를 줄이기 위해 항목의 단일 양식을 설립해, 보장하고, 감사할 수 있다. 가상화 또는 터미널 서버를 사용한다면, 트래픽은 SSL을 통해 요약할 수 있다.

일반적인 전송 개념은 어디서나 접근할 수 있는 웹 기반 저장소를 통해 네트워크 공유로 확대할 수 있다. 접근성과 함께, 웹 기반 저장소는 네트워크 공유를 통해 추가적인 감사 기능과 데이터 마이닝 및 기업 정보 수집 활동을 검색하기 위한 메타데이터를 활용하는 기능을 제공한다.

마찬가지로, 세일즈포스닷컴 또는 아웃룩 웹 액세스(Outlook Web Access)와 같은 다른 웹 기반 애플리케이션도 언제 어디서든 필요할 때 심지어 개인 기기에서도 주요 비즈니스 툴을 사용하도록 만든다. 사용자 경험은 사용하는 브라우저에 따라 달라질 수 있다. 특히나 작은 화면을 사용하는 모바일 사용자나 플래시(Flash) 같은 기능 지원이 부족한 태블릿 사용자에게는 더욱 그러하다. 하지만, 웹 기반 애플리케이션은 대부분의 기기에서 접근할 수 있다.

3. 지능형 접근 제어
일반적인 전송방식에서 수많은 보안 레어 뒤에 숨어 있는 데이터는 더 많은 사용자를 접근하게 하고 공격자에게 흥미를 돋게 만든다. 따라서 BYOD 조직은 보다 지능적인 접근 제어가 필요하다.

접근 제어 결정은 일반적으로 사용자 역할에 근거하거나, 접근 시간 또는 시스템이 지정한 경우에 근거한다. 역할은 리소스에 권한이 있는 그룹에 맞는 사용자의 수행으로 함수를 정의한다. 따라서 지점 회계사는 고객 데이터가 아닌 해당 지점의 재무 데이터에 접근할 수 있다. 시간 기반의 제어는 업무시간에만 재무 데이터에 액세스하도록 제한하고, 기계 지정은 이름이나 고유 식별자로 표시 허용 또는 거부하는 목록이다.


기기 유형, NAC 프로필 및 위치정보를 포함한 추가적인 액세스 제어 요소는 BYOD 환경에서 더 많은 정보에 따라 접근 제어 결정을 내릴 수 있다. 기기 유형 제한을 통해 특정 데이터는 같은 회사에서 지급한 노트북이나 제한된 모바일 기기같이 승인된 장치에서만 접근할 수 있다. NAC 프로필은 접근 여부를 결정하는 역할도 한다. 최신 바이러스 정의 또는 패치 레벨이 없는 기기의 접근을 막는다.

마지막으로, 기기의 글로벌 위치를 보고하는 위치정보 기능은 많은 새로운 기기 속에 내장돼 있고, 이는 접근 제어 시스템이 세계 어디에 기기가 있는지에 따라 접근을 허용하거나 막도록 한다. 특히 데이터가 특정 국가 또는 지역에서 다르게 다뤄야만 할 때, 그 국가를 떠나지 않게 규정하는 법규를 따르는 것이 중요하다. 하지만, 위치정보 데이터는 사용자 기기에 의해 수정될 수 있기 때문에 완전히 신뢰할 수는 없다. BYOD를 채용할 계획이라면, 이러한 접근 제어의 일부를 지원하는 애플리케이션의 채택을 고려해 볼만 하다.

4. 데이터 차단
BYOD에 대한 우려 가운에 하나는 데이터 유출 등 각종 보안 사고다. 직원은 회사에 속하지만, BYOD가 개인 소유이므로 이 안에 저장된 데이터를 다루는 것 자체가 민감한 문제가 될 수 있다. 이것은 데이터 차단이 필요한 회사와 개인의 모두의 관심사다. 기업들은 개인 기기를 공유하며 훼손되거나 도난당할 경우 데이터를 잃어버릴 위험을 가지고 있고, 개인들은 그들 기기에 있는 기업 데이터의 존재가 법적에 문제가 있을 경우 몰수될 수 있다는 우려를 갖는다.

가장 좋은 방법은 기업 데이터를 개인 장비에 저장하지 않도록 하는 것이다. 가상화 및 터미널 서버의 지지자들은 이용자가 접근하는 데이터가 기업 네트워크 내의 컴퓨터에 있기 때문에 가상 기기 또는 터미널 서버를 통해 효과적으로 데이터 유출을 차단할 수 있다. 하지만 가상 데스크톱과 함께, 데이터는 종종 모바일 폰과 웹 애플리케이션과 같은 다른 채널들을 통해 접근된다.

기기 암호화와 원격 삭제 기술이 결합하면서 데이터가 삭제되기 전에 도둑맞지 않도록 보증한다. 암호화된 기기는 데이터를 얻기 위해 시간과 노력을 증가시키므로, 원격으로 모든 데이터를 지울 수 있는 시간을 준다. 잘못된 패스워드가 너무 많이 사용된다면, 기기는 모든 데이터를 지울 것이다.

디지털 저작권 관리(DRM)는 데이터 소유자가 데이터에 수용 가능한 행동을 지정할 수 있는 것을 BYOD 환경에서 발견했다. 예를 들면, 데이터는 다운로드 후 24시간 이후에 열람할 수 없거나, 읽을 수는 있지만 인쇄할 수 없고, 복사/붙여넣기와 같은 기능을 아예 사용하지 못하게 설정할 수 있다.

결국 BYOD는 장비 및 지원 비용에서 상당한 절감효과를 내고, 원하는 기기의 사용을 통해 직원들의 만족도를 향상시킨다. 하지만 이는 가볍게 여길 수 없는 보안 고려사항과 함께 제공된다. BYOD를 숙고한다면, 가상 데스크톱과 얇은 컴퓨팅 같은 기술은 다양한 플랫폼에서 효과적으로 접근할 수 있고, 일관된 사용자 경험도 제공한다.

또한, 웹 기반 애플리케이션과 SSL 기술과 같은 일반 전송방식은 비즈니스와 개인 장비 모두에 접근 가능한 조직의 주요 애플리케이션을 만들 수 있게 한다. 보다 지능적인 접근 제어와 결합한 이들은 데이터 차단 전략이 데이터 손실의 위험을 줄이면서 데이터 사용 증가에 따라 기업이 전략을 준수하고 보안 상태를 유지하도록 해준다. 현재의 BYOD 정책이 직원 업무를 방해하고 있다면, 이 도전을 극복해야 하는 시점이라는 의미다.

이 기고문은 보안 컨설팅 업체 임원이 작성한 것으로 본지의 편집 방향과 다를 수 있다.

*Eric Vanderburg는 국제공인정보시스템 보안전문가(ISSP)로 보안 컨설팅 기업 저이노브(JurInnov)에서 정보시스템과 보안을 담당하는 이사다.  ciokr@idg.co.kr