기고 | 성공적인 BYOD 정책 수립을 위한 7가지 조언

CIO

2015년에는 전 세계의 스마트폰 보급률이 20억 대에 이를 것으로 전망된다. 기업은 이에 대비하고 있는가?

만일 업무용 이메일이나 캘린더, 접촉 시스템에 접근하는 간단한 작업에 있어서도 직원들의 개인 기기 사용(BYOD)을 지원하고 있지 않다면, IT 관리자는 한시라도 빨리 정책을 수립해야 할 필요가 있다.

굳이 필자가 강조하지 않더라도 아마 기업 임원진들의 압박을 받고 있을 것이다. CEO를 비롯한 임원진 역시 그들의 잦은 출장이나 미팅에서 태블릿과 스마트폰이 얼마나 큰 힘을 발휘하는지 몸소 경험하고 있기 때문이다.

그렇다면 BYOD 정책을 개발하고 이를 실질적으로 적용하는 과정에서 요구되는 핵심은 무엇일까? 여기 BYOD 프로그램을 성공으로 이끌어 줄 일곱 개의 조언을 소개한다. 당신의 기업이 BYOD 정책을 개발하고 있다면, 각각의 항목들을 점검해보고, 스스로에게, 그리고 동료와 임원들에게 질문을 던져보라.

1. 어떤 기기들을 허용할 지 확실히 하라
예전이었다면 이는 간단하고 명확한 문제였을 것이다. 사용자들의 선택권은 블랙베리 뿐이었고, 원한다면 이를 직장에 가져와 사용하면 됐다. 그러나 이제는 iOS 기반 스마트폰과 태블릿에서부터 안드로이드 휴대기기, 그리고 RIM의 새로운 플레이북(Playbook)까지, 너무나도 많은 선택권이 생겼다.

직원에게 ‘개인 기기를 가져와 사용하라'고 말하기 이전에, 우선 이 말의 의미를 명확히 정의해야 할 필요가 있을 것이다.

개인 기기가 아이폰과 안드로이드 폰 모두를 포함하는가? 아니면 오직 아이패드만을 의미하는 것인가? BYOD에 관심을 지니는 임직원에게 우리 회사가 지원할 기기가 무엇인지 확인시켜주고, 앞으로의 배치는 어떤 방식으로 진행될 예정인지 분명히 하라.

2. 모든 기기에 엄격한 보안 기준을 적용하라
기업의 많은 직원들은 그들의 개인 기기에 비밀 번호나 락 스크린(lock screen)을 적용하는 것을 달가워하지 않을 것이다.

이것은 그들에게 자신 기기의 콘텐츠와 기능에 대한 접근을 불편케 하는 장애물로 여겨지기 때문이다. 그러나 이 문제만큼은 절대 직원들에게 양보해서는 안 된다. 그들의 휴대폰 속에 담긴 기업의 중요 정보들이 아무데나 흩뿌려지도록 내버려 둘 것인가?

임직원에게 그들의 기기를 통해 기업 시스템 접근을 허용코자 한다면, 그 과정에서의 정교한 패스워드 적용은 필수적인 문제로 다뤄져야만 할 것이다. 패스워드는 단순한 네 자리의 숫자가 아닌 장문의 알파벳으로 구성하도록 하고, 가능하다면 관리 전문가의 도움을 받아 기기 보안 정책의 안정성을 점검하는 작업도 진행해야 한다.

3. BYOD 대상 기기에 대한 서비스 기준 정책을 명확히 정의하라
직원들의 개인 기기에 문제가 발생했을 경우 이를 지원할 기준을 확립하는 것 역시 중요한 문제다. 적절한 기준을 수립하고 있는가에 대한 물음은 다음과 같다. 이에 답해보자.

- 기존 개인용 기기를 통해 네트워크에 연결하는 과정에 어느 정도의 지원이 이뤄지고 있는가?

- 파손 기기에 IT는 어떠한 방식의 지원을 제공하는가?

- 이메일이나 캘린더와 같은 개인용 정보 관리 애플리케이션에는 어떤 제한을 두고 있는가?

- 과거 지원을 약속했던 개인용 애플리케이션에서 접속 제한의 문제가 발생할 경우, 어떤 방식의 대응이 이뤄지는가?

- 애플리케이션의 '제거 및 변경' 지원이 제대로 운용되고 있는가?

- 직원들의 개인 기기에 문제가 발생할 경우, 그들에게 대체용 기기를 지원하고 있는가?

4. 누가 어떤 애플리케이션과 데이터를 보유하고 있는지 명확히 하라
언뜻 보기에는 별 것 아닌 듯 보이지만, 기업의 서버에 얼마나 많은 개인 정보들이 저장되어있고 직원들의 기기로 이 서버에 접근하는 작업이 얼마나 간편한지 생각해 본다면, 이것이 얼마나 위험한 문제인지 새삼 깨닫게 될 것이다.

만일 직원들의 기기가 도난 당하거나 분실됐다면, 그 속의 데이터를 어떻게 삭제할 것인가? 일반적으로 기기 내 데이터의 삭제는 부분적으로 진행되기 어렵다. 즉, 당신이 분실된 직원들의 기기에서 기업 데이터를 지우려 한다면, 사진이나 음악, 애플리케이션과 같은 그들의 개인적 데이터들 역시 제거해야 한다.

이를 다시 복원하기란 거의 불가능하며, 직원에게는 큰 손실이 발생할 것이다. 기업의 BYOD 정책은 이와 같은 문제를 확실히 논의하고 있는가? 만일 기업이 BYOD 정책의 적용 대상이 되는 기기에 대한 데이터 삭제 권한을 확보하고 있다면, 이에 더불어 직원에게 콘텐츠 보안 백업, 복구과정과 관련한 가이드 라인을 제시해주는 것 역시 고려해 볼 필요가 있다.


5. 어떤 애플리케이션이 허용되고 금지될 지 결정하라
이는 기업의 네트워크에 접속하는 모든 공용, 개인용 기기에 적용되는 문제다. 특히 소셜 미디어 브라우징이나 대체 이메일 관리 애플리케이션, 그리고 VPN과 같은 원격 접속 소프트웨어와 관련해서는 이 문제가 더욱 중요하게 다뤄져야 할 것이다.

기업의 주요 데이터에 자유로운 접속이 가능한 직원의 기기에 보안적, 법적 문제가 있는 애플리케이션이 설치되고 실행되도록 방치해 둘 것인가? 가상의 상황이긴 하지만, 최신 트위터 애플리케이션에 보안적 문제점이 발견된다면, 혹은 아이폰의 내장 메일 애플리케이션을 통해 수신된 스팸이 기업 전반에까지 침투하게 된다면 어떻게 대처할 것인가? 문자 메시지 시스템의 오류로 기업이 보유한 연락처 정보가 유출되는 경우라면? 강조하지만, 적절한 정책 수립은 BYOD 도입의 기초다.

물론 직원들이 의심스러운 애플리케이션이나 저작권에 위배되는 음악, 미디어 자료를 다운로드하는 것을 방지할 기술적 해결책은 아직 미흡한 것이 사실이다. 그러나 적어도, 명확한 관리 원칙을 수립하는 노력은 기울여봐야 할 가치가 있지 않을까?

6. BYOD 계획에는 적절한 제한적 사용 정책이 뒷받침되어야 한다
기업용 휴대폰을 노트북이나 데스크탑 등의 전통적 네트워크 장비들과 같은 수준에서 취급하고 지원하는 기업은 많을 것이다. 그러나 그 영역이 개인 기기로 확대된다면 문제는 달라진다.

직원에게 어떠한 VPN 접속 활동을 허용하고, 또 금지할 것인가? 많은 이들이 간과하곤 하는 제한적 사용 정책(acceptable use policy) 관련 논의들을 소개한다.

- VPN 터널이 생성된 아이폰을 통해 직원이 페이스북 포스트를 기재한다면, 이는 규정 위반인가?

- 직원이 기기의 VPN을 통해 부적절한 웹사이트에 접속한다면, 이는 규정 위반인가?

- 만일 어떤 직원이 자신의 의도와는 무관하게 기업 네트워크에 부적절한 무언가를 전송했다면, 어떤 제재 수단을 적용해야 할까? 혹 이런 상황이 직원의 개인적 목적으로의 기기 활용 중 발생했다면?

- 정책 감시 강화를 위해서는 어떤 전략이나 툴이 필요할까?

- IT 관리자에게 부여된 규정 수립 관련 권한에는 어떤 것들이 있을까?

7. 이탈 정책을 수립하라
기업의 BYOD 프로그램에 포함된 기기를 보유한 직원이 회사를 떠날 경우에 대한 대비책을 마련하는 것 역시 소홀히 해서는 안 된다. 어떻게 그들의 기기에서 접속 토큰(access token)과 이메일 접근권, 그리고 기업 데이터와 전용 애플리케이션을 제거할 것인가?

이는 그들로부터 기업용 휴대폰을 반환받는 것만큼 간단한 작업이 아니다. 이 경우, 기업들은 대개 퇴사 면담이나 직원 관리 작업을 통해 그들의 이메일, 동기화 접근권을 박탈하는 방식을 적용하곤 한다. 그리고 좀더 보안에 신경을 쏟는 기업은 엄격한 이탈 관련 규정에 따라 BYOD 적용 기기 내 데이터를 삭제하기도 한다.

후자의 경우라면 삭제 작업에 앞서 사용자의 개인 사진이나 별도 구매 애플리케이션들을 백업하도록 하는 명확한 원칙 수립이 동반돼야 할 것이다. 이보다 선진적인 방식으로는 IT 부서가 설정한 관리 원칙에 따라 퇴사하는 직원들이 스스로 삭제 작업을 진행토록 하는 것도 가능할 것이다. 

* Jonathan Hassell은 컨설팅 기업 82 벤처스의 경영자다. editor@itworld.co.kr