칼럼 | 사용자가 주도한 BYOD, 안전한 모바일 기기 전략이 절실

Network World
IT의 소비자화(consumerization of IT) 또는 BYOD(Bring Your Own Device).

어느 쪽으로 지칭하든 개인이 각자 소유한 모바일 기기를 가져와 기업 자원을 사용하는 추세는 멈출 수 없다.

일부 사용자는 소셜 네트워크를 확인하는 정도에만 모바일 기기를 사용하고 있다. 그러나 이동 중에 기업의 영업 애플리케이션과 기업용 앱을 이용하는 사용자도 있다. 많은 기업들이 BYOD와 맞서 싸웠지만, 패배하고 말았다.
 
솔직해져 보자. 좋든 싫든, 사용자가 보안 이슈의 주도권을 거머쥔 상태다. 이들은 자신의 모바일 기기와 앱을 사랑한다. 또한 업무에도 모바일 기기와 앱을 사용하길 원한다. 개발업체와 기업 모두 이런 BYOD 트렌드가 잠시간 머물렀다 사라져는 단기간의 유행이 아니라는 사실과, BYOD의 이면에는 비용 절감 기회라는 부수적인 동인이 수반된다는 점을 잘 알고 있다.
 
직원들에게 각자의 기기를 가져와 업무에 활용하도록 하면, 기업은 비용을 절감할 수 있다. 기업이 기기를 구입하거나 임대해 직원에게 제공할 필요가 없기 때문이다. 물론 이런 비용 절감에는 비용이 수반된다. 여전히 개인 기기를 통제하고 관리해야 하기 때문이다. 관련 업체에게는 큰 수익기회나 다름없다.
 
그리고 기업들이 무수히 많은 BYOD 기기를 통제하고 관리할 시점이 멀지 않았다. 가트너는 최근 발표한 보고서에서 2014년에는 90%에 달하는 기업이 모바일 기기에서 기업용 애플리케이션을 사용할 수 있도록 지원할 것이라고 전망했다. 
 
또한 시스코의 보고서에 따르면, 2015년과 2020년에는 한 사람당 각각 3.47개와 6.58개의 기기를 사용할 것으로 추정했다. 이는 '기업은 과연 개인당 얼마나 많은 기기를 관리해야 할까?'라는 질문을 가져온다. 이런 부분들을 염두에 두고, BYOD를 다루는 기본적인 방법에 대해 살펴보자. 
 
기업들은 투자, 기반이나 프로세스에 대한 변화를 최소화한다고 감안했을 때 다음 중에 하나를 선택할 수 있다.
 
- 기업이 제공하지 않은 기기 일체를 차단한다.

- 기업 소유, 개인 소유할 것 없이 기기를 차단하지 않는다('허용'이라는 단어 대신 '기기를 차단하지 않는다.'는 표현을 선택했다. 무언가가 네트워크에 접근하는 위험을 의미하는데 좀더 적합한 표현이다). 

 
- 일부 기기에 대한 접속을 통제한다. 필요와 위험에 따라 회사 자원에 대한 접속을 승인하거나 차단한다는 의미다.
 
 
사실 BYOD 문제를 다룬다는 표현 자체가 어불성설이다. BYOD는 기업이 주도한 목적이 아니기 때문이다. 이는 일종의 트렌드에 가깝다. 연결된 시스템을 아주 좁게 관찰하는 방식은 언급할 필요조차 없다. 따라서 BYOD 마케팅이라는 표현은 2~3년 내에 설 자리를 잃게 될 것이다. 
 
그러고 나면 진짜 도전만이 남을 것으로 보인다. 다름 아닌 모바일 보안이다. 보안 수단이 확보된 기기와 장소에서 관련된 자원에만 접근하도록 할 필요가 있다. 다른 말로 설명하면, 기업들이 자신들의 네트워크에 접속하는 기기들을 관리하는 것 역시 중요하지만, 이들 기기가 할 수 있는 일과 할 수 없는 일을 정해 관리하는 것이 더 중요하다. 
 
이른바 모바일 기기 관리(Mobile Device Management, MDM)와 모바일 애플리케이션 관리(Mobile Application Management, MAM)를 결합한 방식이다.
 
일단은 이런 토대 마련이 중요하다. 이와 함께 직원이 갖고와 업무용으로 사용하는 기기는 물론이고 기업이 제공했거나 개인이 보유한 가정의 업무용 데스크톱, 노트북 컴퓨터, 또는 아마존 킨들, 애플 TV, 심지어는 소니 플레이스테이션 등 현재, 또는 미래에 사용될 네트워크 연결 기기 일체를 관리하는 것이 중요하다.
 
또한 BYOD와 MDM/MAM은 전혀 다른 개념으로, 상호 보완적인 관계에 있다는 점을 이해해야 한다. BYOD는 모바일 기기의 접속과 관련된 개념이다. 그리고 MDM/MAM은 이들 기기가 기업망에 접속한 이후, 또는 해제된 상태에서 모바일 기기와 애플리케이션을 세세하게 관리하는 방법을 제공한다.
 
기업 네트워크와 데이터를 공격과 오용에서 보호하기 위해서는 BYOD 개념 이상이 필요하다. 안전한 모바일 구현 환경을 구축하기 위해서는 기업이 제공한 기기, 승인한 개인 기기, 협력사가 보유한 기기, 관리대상이 아닌 기기를 대상으로 한 모바일 접속 관리 프로그램이 필요하다. 그렇다면 모바일 보안 확보 요건에는 어떤 것들이 있을까? 필자는 다음과 같은 것을 추천한다.
 
- 여러 다양한 기기, OS, (유선/무선 등) 연결방법, 사용자 별로 접속을 통제한다.
 
- 기기 소유자만 기기를 사용하도록 인증을 관리한다.
 
- 기기가 규정된 기업/규제 정책을 준수하도록 한다. 기기의 IMEI(International Mobile Equipment Identity) 번호, OS 버전, 루트 및 탈옥 상태, 설치되거나 누락된 애플리케이션 등의 항목을 검증한다.
 
- 정책 예외를 격리한다.
 
- 추상기반 플랫폼과 반대되는 원본 OS 애플리케이션 개발 방법을 활용해 가장 높은 수준의 측정과 통제가 가능한 애플리케이션을 개발한다.
 
- (MDM 툴을 사용해) 연결된 기기와 (MAM을 사용해) 실행되고 있는 애플리케이션을 관리한다.
 
- 루트된 기기를 통해 루트되는 악성 활동, 악성 코드에 감염된 애플리케이션, 오용된 기기와 애플리케이션으로부터 네트워크를 보호하기 위해 SSL 암호화 세션을 실행하고 있다 하더라도 딥 패킷 인스펙션(deep packet inspection)을 활용한다.
 
- 3G/4G 연결, 공공 네트워크/ 핫스팟(hotspots)을 이용한 공격과 오용으로부터 기기를 보호한다.
 
- 기밀 데이터, 주요 데이터의 손실과 도난을 방지한다(SSL 암호화 세션과 애플리케이션 관리).
 
델 소닉 월(Dell Sonic WALL) 제품 관리 담당 이사 드미트리 아이라페토브는 "기업들은 종합적으로 모바일 보안 대책을 수립해 이행해야 한다. 기기 관리 및 보호, 네트워크 및 데이터 접근 통제, 네트워크 보호 등을 모두 포함해야 한다"고 충고했다. 
 
그러나 불행히도 이 과정이 너무 복잡해, 현재 완벽한 모바일 보안을 촉진하는 통합 제품과 서비스를 제공하는 개발업체들은 극소수에 불과한 실정이다. 또한 이런 통합 서비스의 일부로 안드로이드, 블랙베리, iOS, 윈도우 등 모바일 OS를 원천 지원할 수 있는 개발업체는 더 적다. 그러나 향후 6~12개월동안 시장 지형이 어떻게 변할지 지켜볼 필요가 있다.
 
히타치 ID(Hitachi-ID) 기술 전도사 쳉웨이 쳉은 "BYOD 트렌드는 10년 전 노트북 컴퓨터 트렌드와 크게 다를바 없다. 새로운 플랫폼, 이 플랫폼에 대한 관리와 방벽 설치, 네트워크 상주 모바일 기기의 양적 증가라는 수요 충족에 따르는 기반에 대한 문제다. 기기 기반의 인증을 위해서는 신원기반의 접속 관리가 필요하다. 누군가 기기를 가져오면 기기 소유자의 신원을 파악할 수 있어야 하기 때문"이라고 언급했다.
 
기업들은 이와 관련된 도전을 해소하는데 시간을 낭비해서는 안 된다. 비즈니스 요건과 환경에 부합하는 로드맵을 수립하고 이행해, 모바일 보안을 확보하는 계획을 구축하는 작업부터 서둘러야 한다. 이런 전략의 사례들은 다음과 같다.
 
- 비즈니스 전략과 요건을 규정한다. 의사 개개인이 아이패드를 사용하도록 허용한 병원인가? 또는 게이트 담당 직원들에게 회사 소유의 안드로이드 태블릿을 지급한 항공사인가?
 
- 현재 운영 환경을 평가한다. 재택 근무자가 있는가? 모바일 노트북 접속 관리 프로그램을 도입했는가? 보유 기반이 사용자 한 명당 하나 이상의 기기를 처리할 수 있는가?
 
- 설계를 하고, 조사를 하고, 테스트를 한다. 요건과 보유 기반에 부합하는 솔루션을 선정한다. 그리고 소수 사용자 그룹을 대상으로 테스트를 해 선정 대상을 2~3개로 좁힌다.
 
- 단계별로 솔루션을 배치한다. 업무용, 업무상 위험, 장치 유형, 사용자 성숙도, 물리적 입지와 기타 사용자/기기/비즈니스 속성을 기준으로 그룹을 분류, 우선순위를 정하고, 배치하고, 검증한다.
 
델 소닉 월의 아이라페토브는 "점차 더 많은 IT 관리자가 정교한 소비자 기기가 자사의 네트워크에 접속하는 상황을 직면하고 있다. 이는 전통적으로 보수적인 기업용 기기를 유지한다는 시각을 바꿀 것을 강요하고 있다. 이런 변화는 더욱 가속화될 전망이다. 따라서 IT 보안 담당자는 IT 관리자가 이런 도전을 해소할 수 있도록 한 단계 성장해야 한다"고 설명했다.
 
만약 기업의 BYOD 채택이 늘어나고, 동시에 포괄적인 모바일 보안 프로그램 도입이 확대되면, IT 보안은 가까운 장래에 큰 성과를 거둘 전망이다. 물론 이들 기기의 제조업체가 이런 성과 창출을 견인하게 된다. 그리고 보안 개발업체들은 이를 관리하고 보안하는 역할을 한다. editor@itworld.co.kr