2014.05.08

현실화되는 BYOD 우려... 해법은 당근? 채찍?

Tom Kaneshige | CIO
‘킬 스위치’에 놓인 CIO의 손끝을 직원들은 마치 다모클레스의 검처럼 바라본다. 자신들이 보유한 BYOD 스마트폰과 태블릿을 사용하지 못하도록 하지 않을까 걱정하는 것이다.

실제로 직원들이 회사의 보안 정책을 준수하지 않는다면, 사적으로 구입해 회사에 가져와 사용하는 스마트폰은 끔찍한 운명을 맞이할 수 있다.

거꾸로 CIO는 일종의 '보상'을 제시해 BYOD 직원들이 보안 정책을 더 철저히 준수하도록 유도할 수 있다.

예를 들어, 회사의 모바일 장치 정책을 준수하는 것을 조건으로 월 전화요금의 일부를 분담해주는 보상책 등을 활용할 수 있다.

CIO는 '당근'이든 '채찍'이든 BYOD 직원들이 보안을 중시하도록 만들 방법을 찾아야 한다. 모바일 보안 회사인 어댑티브모바일(AdaptiveMobile)이 500개 회사(직원들)를 대상으로 설문 조사한 결과에 따르면, 80%에 달하는 기업이 BYOD를 도입했다.

그러나 이 가운데 절반에 달하는 회사들이 지난 1년간 보안 침해 사고를 당한 것으로 조사됐다. 한 회사는 지난 해 모바일 장치를 통해 금융 데이터베이스가 해킹 당하면서 8만 달러의 손실이 발생했다고 밝혔다.

센트리파이(Centrify)가 500여 중견 기업과 대기업 직원들을 조사한 결과에 따르면, 43%가 기업 기밀 데이터에 접근을 했으며, 안전하지 않은 공공 네트워크를 이용한 경우에는 15%가 개인 계정이나 비밀번호와 관련된 보안 침해 사고를 겪은 것으로 밝혀졌다. 또 개인 기기에 저장된 데이터 보호에 있어 최소한의 책임도 수용하지 않는다고 대답한 비율은 15%였다. BYOD 보안 우려는 이미 현실 속에서 가시화되고 있는 것이다.

IT가 때때로 극단적인 조치를 취하는 이유
일부 CIO들은 BYOD 문제에 대처하기 위해 극단적인 조치를 취하고 있다. 예를 들어, BYOD 보안 정책을 준수하지 않았다는 이유로 직원들을 해고할 수도 있다. 어댑티브모바일의 조사 결과에 따르면, 킬 스위치와 장치 잠금 기능을 보유하고 있다고 대답한 비율은 60%가 넘었다. 그러나 대다수의 직원들은 이를 인식하지 못하고 있었다.

어댑티브 모바일은 현재 기업들이 킬 스위치에 대한 인식 수준을 높이려 하고 있다고 분석했다. 직원들이 BYOD에 있어 책임을 인식할 수 있도록 하기 위해서다.

스마트폰 킬 스위치는 최근 여러 '뉴스 거리'를 만들고 있다. 무선 산업 단체인 CTIA는 주요 스마트폰 제조업체와 통신 사업자가 킬 스위치 기능 구현을 위해 파트너십을 체결했다고 발표했다.

이는 스마트폰 도난에 대처하기 위한 대책이다. 이 파트너십의 중심에는 특정 횟수 이상 비밀번호를 잘못 입력했을 때 도난 장치를 사용할 수 없도록 만들고, 공장 초기화 기능을 차단하는 조항이 자리를 잡고 있다.

현재 많은 BYOD 정책들은 CIO에게 유사한 권한을 부여하고 있다. 장치를 잠그거나, 장치에 들어있는 앱과 데이터를 원격 지울 수 있도록 하는 권한이다.

BYOD 직원들은 부지불식간에 이러한 권리를 양도하는 경우가 많다. 통상 끝 부분에 '조건을 수락합니다'는 버튼을 클릭할 수 있게 만든, 장황한 한 페이지 분량의 문서로 보안 정책을 제시하는 경우가 대부분이다. 그리고 직원들은 이런 형식을 가진 문서의 경우 부지불식간에 페이지를 스크롤 다운해 클릭을 하는 데 익숙하다.

어댑티브모바일을 공동 창업한 가레스 맥클라클랜 CCO(Chief Commercial Officer)는 "조사 결과에 따르면, 기업들은 설치된 앱 감시에서 장치 잠금 및 재설정 등 생각보다 강력하게 장치를 확인 및 통제하고 있다"고 말했다.

즉 기업들은 더 적극적으로 보안을 통제하고 있다. 중대한 위협에 직면했다고 판단했을 경우 장치를 잠글 확률이 높다.

그러나 어댑티브모바일은 이번 조사 보고서에서 기업들이 10가지 보안 위협 가운데 8가지를 제대로 확인하지 못하고 있다고 분석했다. 10가지 위협이란 '맬웨어 감염', '유해한 사이트 접속', '의도하지 않은 앱 설치', '스파이웨어나 다른 '정탐'용 앱 존재', '승인되지 않은 파일 전송 사이트 이용', '로밍 위협 방지', 'SMS나 MMS 스팸과 맬웨어 배포', '개인적인 데이터나 메시징 지출', '고객 데이터 침해 또는 상실', '스팸봇이나 봇넷 감염'이었다.




2014.05.08

현실화되는 BYOD 우려... 해법은 당근? 채찍?

Tom Kaneshige | CIO
‘킬 스위치’에 놓인 CIO의 손끝을 직원들은 마치 다모클레스의 검처럼 바라본다. 자신들이 보유한 BYOD 스마트폰과 태블릿을 사용하지 못하도록 하지 않을까 걱정하는 것이다.

실제로 직원들이 회사의 보안 정책을 준수하지 않는다면, 사적으로 구입해 회사에 가져와 사용하는 스마트폰은 끔찍한 운명을 맞이할 수 있다.

거꾸로 CIO는 일종의 '보상'을 제시해 BYOD 직원들이 보안 정책을 더 철저히 준수하도록 유도할 수 있다.

예를 들어, 회사의 모바일 장치 정책을 준수하는 것을 조건으로 월 전화요금의 일부를 분담해주는 보상책 등을 활용할 수 있다.

CIO는 '당근'이든 '채찍'이든 BYOD 직원들이 보안을 중시하도록 만들 방법을 찾아야 한다. 모바일 보안 회사인 어댑티브모바일(AdaptiveMobile)이 500개 회사(직원들)를 대상으로 설문 조사한 결과에 따르면, 80%에 달하는 기업이 BYOD를 도입했다.

그러나 이 가운데 절반에 달하는 회사들이 지난 1년간 보안 침해 사고를 당한 것으로 조사됐다. 한 회사는 지난 해 모바일 장치를 통해 금융 데이터베이스가 해킹 당하면서 8만 달러의 손실이 발생했다고 밝혔다.

센트리파이(Centrify)가 500여 중견 기업과 대기업 직원들을 조사한 결과에 따르면, 43%가 기업 기밀 데이터에 접근을 했으며, 안전하지 않은 공공 네트워크를 이용한 경우에는 15%가 개인 계정이나 비밀번호와 관련된 보안 침해 사고를 겪은 것으로 밝혀졌다. 또 개인 기기에 저장된 데이터 보호에 있어 최소한의 책임도 수용하지 않는다고 대답한 비율은 15%였다. BYOD 보안 우려는 이미 현실 속에서 가시화되고 있는 것이다.

IT가 때때로 극단적인 조치를 취하는 이유
일부 CIO들은 BYOD 문제에 대처하기 위해 극단적인 조치를 취하고 있다. 예를 들어, BYOD 보안 정책을 준수하지 않았다는 이유로 직원들을 해고할 수도 있다. 어댑티브모바일의 조사 결과에 따르면, 킬 스위치와 장치 잠금 기능을 보유하고 있다고 대답한 비율은 60%가 넘었다. 그러나 대다수의 직원들은 이를 인식하지 못하고 있었다.

어댑티브 모바일은 현재 기업들이 킬 스위치에 대한 인식 수준을 높이려 하고 있다고 분석했다. 직원들이 BYOD에 있어 책임을 인식할 수 있도록 하기 위해서다.

스마트폰 킬 스위치는 최근 여러 '뉴스 거리'를 만들고 있다. 무선 산업 단체인 CTIA는 주요 스마트폰 제조업체와 통신 사업자가 킬 스위치 기능 구현을 위해 파트너십을 체결했다고 발표했다.

이는 스마트폰 도난에 대처하기 위한 대책이다. 이 파트너십의 중심에는 특정 횟수 이상 비밀번호를 잘못 입력했을 때 도난 장치를 사용할 수 없도록 만들고, 공장 초기화 기능을 차단하는 조항이 자리를 잡고 있다.

현재 많은 BYOD 정책들은 CIO에게 유사한 권한을 부여하고 있다. 장치를 잠그거나, 장치에 들어있는 앱과 데이터를 원격 지울 수 있도록 하는 권한이다.

BYOD 직원들은 부지불식간에 이러한 권리를 양도하는 경우가 많다. 통상 끝 부분에 '조건을 수락합니다'는 버튼을 클릭할 수 있게 만든, 장황한 한 페이지 분량의 문서로 보안 정책을 제시하는 경우가 대부분이다. 그리고 직원들은 이런 형식을 가진 문서의 경우 부지불식간에 페이지를 스크롤 다운해 클릭을 하는 데 익숙하다.

어댑티브모바일을 공동 창업한 가레스 맥클라클랜 CCO(Chief Commercial Officer)는 "조사 결과에 따르면, 기업들은 설치된 앱 감시에서 장치 잠금 및 재설정 등 생각보다 강력하게 장치를 확인 및 통제하고 있다"고 말했다.

즉 기업들은 더 적극적으로 보안을 통제하고 있다. 중대한 위협에 직면했다고 판단했을 경우 장치를 잠글 확률이 높다.

그러나 어댑티브모바일은 이번 조사 보고서에서 기업들이 10가지 보안 위협 가운데 8가지를 제대로 확인하지 못하고 있다고 분석했다. 10가지 위협이란 '맬웨어 감염', '유해한 사이트 접속', '의도하지 않은 앱 설치', '스파이웨어나 다른 '정탐'용 앱 존재', '승인되지 않은 파일 전송 사이트 이용', '로밍 위협 방지', 'SMS나 MMS 스팸과 맬웨어 배포', '개인적인 데이터나 메시징 지출', '고객 데이터 침해 또는 상실', '스팸봇이나 봇넷 감염'이었다.


X