2014.02.17

기업 모바일 보안 ‘7가지 베스트 프랙티스’

Ed Tittel | CIO

보안 위협을 연구하고 설명하기 위해 보안 전문가들이 즐겨 사용하는 몇몇 어휘들이 있다. ‘공격 표면(attack surface)'이라는 표현도 이 목록에 포함된 흥미로운 개념 가운데 하나다. 공격 표면이란 정보 및 금융 자산, 지적 재산, 또는 비즈니스 수행 역량에 존재하는 잠재적 공격 지점을 확인하는 과정을 의미한다.
 

외부의 공격은 금전적 손실이나 법률 및 규제 위반의 위협, 혹은 평판에의 타격 등을 야기할 수 있다. 공격 표면 관리의 목표는 이러한 문제들을 예방하는데 있다.

그 내용 좀 더 구체적으로 살펴보자면, 기업들은 우선 원치 않는, 초청 받지 않은 접속을 제한하고, 공격 방어 체계를 확고히 하며, 흔히 ‘계층 방어(defense in depth)’라 불리는 구조를 도입하는 등의 노력을 실시할 수 있을 것이다. 또한 방어층은 복수로 구성되어 한 개의 층이 뚫리더라도 방어 기능을 지속할 수 있어야 한다.

이러한 보호 과정은 모바일 영역에 가서는 더욱 복잡해지고, 또 더욱 중요해진다. 기업 시스템과 애플리케이션, 데이터에 접근하는 직원 및 계약 업체들의 모바일 기기 규모가 증가할수록 그 접근 통로를 보호하는 과정의 중요성은 증대된다. 모바일 기기는 업무 생산성을 향상 시키는 혁신적인 도구다. 이를 이용한 정보 및 각종 자산에 대한 접근 구조를 확립하는 것은 비즈니스 안정성 향상과 수익 증대 두 마리 토끼를 잡는 노력임을 기업들은 기억해야 할 것이다.

모바일 기기의 핵심은 기업 외부에서, 매 순간 이동한다는데 있다. 방화벽이나 위협 관리 시스템, 스팸 및 콘텐츠 필터링 등 기존의 침입 방지 도구만으론 이러한 모바일 기기를 완벽히 관리할 수 없다. 모바일 기기가 위협 통로가 아닌 순수한 생산성 도구로 자리 잡을 수 있도록 하기 위해, 적절한 베스트 프래틱스를 마련해야 한다. 보안 전문가들은 이 과정의 핵심에 대해 안전과 편의성 사이의 균형을 확보하는 것이라 설명하고 있다.

모바일 기기 관련 베스트 프래틱스 확립은 많은 어려움과 비용적 부담이 발생하는 과정이지만, 동시에 절대 포기할 수 없는 활동이다. 아래에 소개될 모바일 기기와 그것의 사용자들을 기업 및 기관 IP, 거래 기밀, 혹은 경쟁 우위 지점의 의도치 않은 노출로부터 보호해 줄 베스트 프랙티스에 주목해보자.

소개될 활동 가운데 몇몇은 모바일 기기 자체의 보호에 초점이 맞춰져 있으며, 다른 몇몇은 모바일 사용자들이 접근하는 데이터 및 애플리케이션의 보안을 위한 것이다. 모두 손실과 피해로부터 기업을 보호해 줄 방법론들이다.

1. 모바일 기기에도 백신 소프트웨어가 필요하다
시장의 신종 맬웨어 위협 트렌드를 살펴보자면, 불과 몇 년 사이에 iOS나 (특히) 안드로이드와 같은 모바일 OS를 타깃으로하는 맬웨어의 수가 윈도우, 맥 OS, 리눅스 등 전통적 컴퓨터 OS를 겨냥한 맬웨어 만큼이나 늘어난 것을 확인할 수 있다. 이제 스마트폰이나 태블릿을 이용해 인터넷에 접속하는 사용자들, 특히 그것을 업무 용도로 활용하는 사용자들에게 백신 소프트웨어는 선택이 아닌 필수가 됐다.

2. 모바일 커뮤니케이션 보호
많은 전문가들이 모바일 기기의 커뮤니케이션 과정에 암호화가 적용돼야 한다고 강조한다. 무선 커뮤니케이션 방식의 취약성이 그 이유다.

전문가들은 또 모바일 기기와 기업 혹은 클라우드 기반 시스템 간의 통신에는 접근 발생을 허용하는 VPN이 필요하다는 조언도 전하고 있다. 강력한 암호화만이 VPN의 핵심이 아니다. 애플리케이션과 서비스, 혹은 원격 데스크톱 및 시스템에의 접근에 모바일 기기를 이용코자 하는 사용자들을 기록, 관리, 인증하는 것 역시 VPN이 담당하는 중요한 역할이다.

3. 패스워드 통제를 통한 강력한 인증이 필요
현대의 많은 기기들은 내장 생체 인식(지문 스캔, 안면 인식, 음석 인식 등) 도구와 같은 다양한 로컬 보안 방식을 채택하고 있다. 이보다 이전 세대의 기기들의 경우에는 작은 휴대용 보안 토큰 (혹은 이메일이나 문자 메시지로 발송되는 일회용 패스워드)를 통해 보호 받는다.

그러나 간단한 계정 및 패스워드를 통해서만 보안 기능이 운영되는 모바일 기기의 경우에는 기기를 손에 쥔 이가 이를 악용해 주요 정보 및 시스템에 대한 접근권을 확보하지 못하도록 복수의 인증 절차를 도입해야 할 필요가 있다.

같은 맥락에서 사용자들을 대상으로 한 패스워드 설정 및 활용 교육 역시 필요할 것이다. 기업 혹은 기관은, 모바일 기기 침투를 통해 입게 될 손실과 유출의 위협 수준이 어느 정도일지를 생각해보고, 연속적인 로그인 시도가 몇 회 이상일 경우 해당 기기를 차단하고 그 내부의 데이터를 삭제해야 될 지 등의 여부를 결정해야 할 것이다. (대부분의 현대적 시스템들은 스마트폰이나 태블릿 내 데이터의 원격 삭제가 가능하다. 기타 구형 기기들의 경우에도 모바일 기기 관리 시스템을 통해 해당 작업을 진행할 수 있다)




2014.02.17

기업 모바일 보안 ‘7가지 베스트 프랙티스’

Ed Tittel | CIO

보안 위협을 연구하고 설명하기 위해 보안 전문가들이 즐겨 사용하는 몇몇 어휘들이 있다. ‘공격 표면(attack surface)'이라는 표현도 이 목록에 포함된 흥미로운 개념 가운데 하나다. 공격 표면이란 정보 및 금융 자산, 지적 재산, 또는 비즈니스 수행 역량에 존재하는 잠재적 공격 지점을 확인하는 과정을 의미한다.
 

외부의 공격은 금전적 손실이나 법률 및 규제 위반의 위협, 혹은 평판에의 타격 등을 야기할 수 있다. 공격 표면 관리의 목표는 이러한 문제들을 예방하는데 있다.

그 내용 좀 더 구체적으로 살펴보자면, 기업들은 우선 원치 않는, 초청 받지 않은 접속을 제한하고, 공격 방어 체계를 확고히 하며, 흔히 ‘계층 방어(defense in depth)’라 불리는 구조를 도입하는 등의 노력을 실시할 수 있을 것이다. 또한 방어층은 복수로 구성되어 한 개의 층이 뚫리더라도 방어 기능을 지속할 수 있어야 한다.

이러한 보호 과정은 모바일 영역에 가서는 더욱 복잡해지고, 또 더욱 중요해진다. 기업 시스템과 애플리케이션, 데이터에 접근하는 직원 및 계약 업체들의 모바일 기기 규모가 증가할수록 그 접근 통로를 보호하는 과정의 중요성은 증대된다. 모바일 기기는 업무 생산성을 향상 시키는 혁신적인 도구다. 이를 이용한 정보 및 각종 자산에 대한 접근 구조를 확립하는 것은 비즈니스 안정성 향상과 수익 증대 두 마리 토끼를 잡는 노력임을 기업들은 기억해야 할 것이다.

모바일 기기의 핵심은 기업 외부에서, 매 순간 이동한다는데 있다. 방화벽이나 위협 관리 시스템, 스팸 및 콘텐츠 필터링 등 기존의 침입 방지 도구만으론 이러한 모바일 기기를 완벽히 관리할 수 없다. 모바일 기기가 위협 통로가 아닌 순수한 생산성 도구로 자리 잡을 수 있도록 하기 위해, 적절한 베스트 프래틱스를 마련해야 한다. 보안 전문가들은 이 과정의 핵심에 대해 안전과 편의성 사이의 균형을 확보하는 것이라 설명하고 있다.

모바일 기기 관련 베스트 프래틱스 확립은 많은 어려움과 비용적 부담이 발생하는 과정이지만, 동시에 절대 포기할 수 없는 활동이다. 아래에 소개될 모바일 기기와 그것의 사용자들을 기업 및 기관 IP, 거래 기밀, 혹은 경쟁 우위 지점의 의도치 않은 노출로부터 보호해 줄 베스트 프랙티스에 주목해보자.

소개될 활동 가운데 몇몇은 모바일 기기 자체의 보호에 초점이 맞춰져 있으며, 다른 몇몇은 모바일 사용자들이 접근하는 데이터 및 애플리케이션의 보안을 위한 것이다. 모두 손실과 피해로부터 기업을 보호해 줄 방법론들이다.

1. 모바일 기기에도 백신 소프트웨어가 필요하다
시장의 신종 맬웨어 위협 트렌드를 살펴보자면, 불과 몇 년 사이에 iOS나 (특히) 안드로이드와 같은 모바일 OS를 타깃으로하는 맬웨어의 수가 윈도우, 맥 OS, 리눅스 등 전통적 컴퓨터 OS를 겨냥한 맬웨어 만큼이나 늘어난 것을 확인할 수 있다. 이제 스마트폰이나 태블릿을 이용해 인터넷에 접속하는 사용자들, 특히 그것을 업무 용도로 활용하는 사용자들에게 백신 소프트웨어는 선택이 아닌 필수가 됐다.

2. 모바일 커뮤니케이션 보호
많은 전문가들이 모바일 기기의 커뮤니케이션 과정에 암호화가 적용돼야 한다고 강조한다. 무선 커뮤니케이션 방식의 취약성이 그 이유다.

전문가들은 또 모바일 기기와 기업 혹은 클라우드 기반 시스템 간의 통신에는 접근 발생을 허용하는 VPN이 필요하다는 조언도 전하고 있다. 강력한 암호화만이 VPN의 핵심이 아니다. 애플리케이션과 서비스, 혹은 원격 데스크톱 및 시스템에의 접근에 모바일 기기를 이용코자 하는 사용자들을 기록, 관리, 인증하는 것 역시 VPN이 담당하는 중요한 역할이다.

3. 패스워드 통제를 통한 강력한 인증이 필요
현대의 많은 기기들은 내장 생체 인식(지문 스캔, 안면 인식, 음석 인식 등) 도구와 같은 다양한 로컬 보안 방식을 채택하고 있다. 이보다 이전 세대의 기기들의 경우에는 작은 휴대용 보안 토큰 (혹은 이메일이나 문자 메시지로 발송되는 일회용 패스워드)를 통해 보호 받는다.

그러나 간단한 계정 및 패스워드를 통해서만 보안 기능이 운영되는 모바일 기기의 경우에는 기기를 손에 쥔 이가 이를 악용해 주요 정보 및 시스템에 대한 접근권을 확보하지 못하도록 복수의 인증 절차를 도입해야 할 필요가 있다.

같은 맥락에서 사용자들을 대상으로 한 패스워드 설정 및 활용 교육 역시 필요할 것이다. 기업 혹은 기관은, 모바일 기기 침투를 통해 입게 될 손실과 유출의 위협 수준이 어느 정도일지를 생각해보고, 연속적인 로그인 시도가 몇 회 이상일 경우 해당 기기를 차단하고 그 내부의 데이터를 삭제해야 될 지 등의 여부를 결정해야 할 것이다. (대부분의 현대적 시스템들은 스마트폰이나 태블릿 내 데이터의 원격 삭제가 가능하다. 기타 구형 기기들의 경우에도 모바일 기기 관리 시스템을 통해 해당 작업을 진행할 수 있다)


X