'암호화로는 부족해' 메시지앱 리스크를 관리하는 방법

CIO
현재 CIO는 '셰도우 IT'(Shadow IT, 기업 내에서 직원이 IT팀의 승인 없이 임의로 사용하는 IT)와 치열한 전쟁을 벌이고 있다. 그래서 왓츠앱(WhatsApp), 페이스북 메신저, 아이메시지(iMessage), 구글 행아웃(Hangouts) 같은 유명 메시지앱은 상대적으로 더 개방적으로 허용됐던 것이 사실이다.


Image Credit: Getty Images Bank

그러나 업무에 개인용 기기를 사용하는 사례가 늘어날수록 사용하는 메시지앱도 점점 다양해질 것이 자명하다. 시장조사업체 가트너의 조사 책임자 아담 프리셋은 "직장 등에서 이런 앱을 부주의하게 사용해 발생할 수 있는 잠재적인 문제점을 완화하는 것은 CIO와 IT팀의 책임이다. 이런 메시지앱은 효율성을 높일 수 있지만 자칫 기업에 피해가 되지 않도록 CIO가 신경 써야 한다"라고 말했다.

메시지와 암호화 그리고 기업
다행스러운 점은 이런 앱을 만드는 기업이 보안을 최우선 순위로 여기고 있다는 것이다. 월간 활성 사용자 수(MAU)가 10억 명이 넘는 왓츠앱은 지난 2월 E2E(End to End) 암호화를 기본 표준으로 채택했다. 올여름 10억 MAU를 돌파한 페이스북 메신저도 현재 E2E 암호화를 테스트하고 있다.

약 1억 MAU를 보유한 텔레그램(Telegram)은 '기존 메시지앱의 더 안전한 대안'이라고 광고하고 있고, 구글은 최근 공개된 화상 통화 앱 듀오(Duo)에 E2E 암호화를 적용한 것은 물론 향후 내놓을 알로(Allo)에도 이를 적용할 예정이다.

많은 CIO가 메시지앱에 암호화 프로토콜을 적용하는 것을 반기지만 걱정거리는 '송수신'에서 끝나지 않는다. 프리셋은 "일반 소비자용 앱 대부분은 기업 환경에 적합하지 않고 이런 앱 내에서 전송되는 정보는 해당 개인이 소유한다. 중앙 계정 프로비저닝이 없어 누가 그룹에 속해야 하고 누구를 거부할지 개인이 결정하고 있으며, 이로 인해 적절하지 못한 사람이 민감한 데이터에 접근할 수 있다"라고 말했다. 보안 허점이나 네트워크 취약성도 IT의 주요 우려 중 하나다.

그래서 기업용 VoIP 업체 넥스티바(Nextiva)는 다른 형태의 해법을 찾고 있다. 업체의 CIO 조시 레사보이는 "기업은 이런 앱에 대해 논의하고 공유하기 힘 들 뿐만 아니라 앱을 통해 정보에 접근하는 사람을 통제하는 것도 불가능하다. 따라서 우리는 적절한 메시지앱 사용 방법을 교육하는 등 더 긍정적인 접근방식을 취했다"라고 말했다.

---------------------------------------------------------------
보안 인기기사
->보안담당자가 주목해야 할 2015년 정보보안 트렌드 5가지
-> 강은성의 Security Architect | 보안관제 100% 활용하기(1)
->'사물인터넷이 기업 보안 바꾼다' 6가지 이유
-> 심각한 애플리케이션 보안 실태 ‘해결책은?’
-> 중소기업을 위한 다계층 보안체계 체크리스트
-> ‘그럴싸한데?’ 보안 분야 13가지 낭설들 ①
-> 산업 스파이·악의적 직원으로부터 기밀을 보호하는 방법
---------------------------------------------------------------

IT가 지켜볼 때 직원은 더 신중해진다
구체적으로 레사보이는 직원이 이런 앱을 이용해 정보를 공유하고 저장하는 과정에서 보안을 의식하도록 해 메시지앱의 부정적인 영향을 최소화하려 노력하고 있다. 그는 "직원은 IT 부서가 메시지앱을 모니터링하고 있다는 사실을 알고 있을 때 더 주의하는 경향이 있다. 이런 앱이 기업 전체에 미치는 영향을 직원이 명확히 이해할 때 더 신중하게 행동하게 된다"라고 말했다.

따라서 메시지앱의 부작용을 최소화하는 첫걸음은 기업 내에서 메시지앱이 얼마나 자주 사용되는지 파악하는 것이다. 완벽하게 조사하기는 불가능하다고 해도 아예 정보 없이 잘못된 가정을 하는 것보다는 훨씬 낫다.

프리셋은 "직원이 특정 앱을 사용하는 이유를 파악하면 더 책임감 있게 행동할 수 있도록 하는 지침을 만들 수 있다. 예를 들어 항상 비밀대화 기능을 사용하도록 하거나, 내부 통신 정책을 업데이트하거나 혹은 중요한 문제를 다루는 그룹 또는 개인에게 별도로 주의를 환기하는 것 등이다. 의사소통은 물과 같아서 결국 저항이 가장 적은 경로를 통해 흘러간다"라고 말했다.

가트너 자료를 보면, 많은 기업이 내부 업무 의사소통에 메시지앱을 사용하고 있으며, 특히 왓츠앱이 인기가 높다. 이는 곧 가장 관리해야 할 표적이 왓츠앱이라는 의미이기도 하다. 프리셋은 "CIO는 왓츠앱을 허용해도 되는지 검증하고 싶겠지만, 사실 이 플랫폼에서 무슨 일이 일어나는지 전혀 알 수 없다는 것을 곧 깨달을 것이다. 결국, CIO와 기업은 가시성 또는 통제 없이 위험을 감수해야 한다"라고 말했다.

넥스티바의 레사보이도 같은 어려움을 겪었지만 다른 방식으로 접근했다. 그는 "많은 직원이 페이스북 메신저와 왓츠앱을 사용하고 있다는 사실을 알고 있지만 개인용 기기의 앱까지 확인할 순 없다. 결국 우리는 팀 구성원이 메시지앱을 사용하는 시간 자체를 줄이는 데 초점을 두고 있다"라고 말했다. 즉 앱을 완전히 차단하는 대신 관련 위험을 완화하는 데 IT팀의 노력을 집중하는 것이다.

레사보이는 오히려 페이스북, 왓츠앱 같은 인기 있는 메시지앱보다 덜 알려진 새로운 앱에 더 우려하고 있다. 그는 "현재 가장 우려하는 것은 아직 파악하지 못한 앱이다. 기술이 너무 빠르게 발전하고 있어서 앞으로 무슨 일이 있을지 예측하는 것이 불가능하다. 이런 불확실성에 대응하는 것은 더 어렵다"라고 말했다. ciokr@idg.co.kr