2012.07.25

변화하는 BYOD 개념과 기술··· 최신 정보 소스는?

Sandra Gittlen | Network World
코네티컷 주립대학 경영 대학원은 2000년부터 BYOD(Bring Your Own Device) 정책을 실시하고 있다. 애플리케이션 환경 대신 기기 지원에 초점을 맞추는 등 일부 방향을 잘못 잡으면서, BYOD 전략을 재고하고 있는 중이다.

경영대학원의 제레미 폴락 IT 담당 디렉터는 "우리는 남들보다 앞서 BYOD 를 시작했다. 당시는 지금만큼 많은 정보가 없었다. 개인적으로는 차라리 지금 BYOD 전략을 추진했다면, 많은 정보를 통해 더 많은 혜택을 창출했을 것"이라고 말했다.
 
가트너는 최근 전세계적으로 많은 기업들이 BYOD로 인해 초래되는 모바일 보안 문제를 크게 우려하고 있다고 발표했다. 이들 기업 가운데 상당수는 직원 소유의 스마트폰 (조사 대상의 약 32%), 노트북 컴퓨터(44%) 등 개인 기기를 기술 지원하고 있다.

가트너는 "BYOD는 불가피한 요건이다. 그러나 데이터 관리와 통제를 위해 IT 부서에 모빌리티 전략 팀을 구성할 필요가 있다"라고 권고했다.
 
BYOD 전략을 추진하기 앞서 관련 정보를 수집해 판단할 필요가 있다. BYOD와 관련된 기술, 법, 보안 부분과 함께, 프로그램 배치 이후 정보 유통 경로로 활용할 수 있는 5가지 핵심 정보 자원을 추려봤다.

1. 토론 그룹에서 정보를 얻는다
BYOD를 가장 잘 알고 있는 사람은 이미 BYOD를 도입한 기업에서 근무하는 IT 책임자들이다. 모바일 보안, 모바일 장비 관리를 주제로 다루고 있는 토론 그룹을 찾아 들어가보면 BYOD와 관련된 자세한 논쟁을 살펴볼 수 있다. 예를 들어 넷 관리 벤더인 스파이스웍스(Spiceworks)와 IT 거버넌스 전문가들 단체인 ISACA는 BYOD 문제를 정기적으로 다루는 커뮤니티를 운영하고 있다.

폴락은 자신들과 계약을 체결한 벤더인 VM웨어(VMware)의 포럼에서 동종업계 동료들의 의견을 참조하고 있다. 그는 VM웨어 가상 데스크톱 기반 사용자로 관련 제품 포럼에서 질의를 하거나, 올라온 질의에 답변하기도 한다.

IT 교육 및 인증에 초점을 맞추고 있는 비영리 단체인 컴프TIA(CompTIA)의 랜디 그로스 CIO에 따르면, IT 리더들은 링크드인을 비롯한 소셜 미디어 사이트를 이용해 BYOD와 관련된 주제를 놓고 동료들과 공개적으로 의견을 교환하고 있다. 그는 "매일 BYOD와 관련해 새로운 정보가 나오고 있다. 따라서 업계 동료들의 의견을 계속 접할 수 있고, 그렇게 하는 것이 좋다"라고 언급했다.

2. 산업 컨퍼런스에서 도움을 찾는다
RSA 컨퍼런스 프로그램 위원회의 휴 톰슨 위원장은 "2012년 RSA 컨퍼런스에 사상 처음으로 모바일 보안과 관련된 반나절 동안의 교육 프로그램을 편성했었다"고 밝혔다. BYOD는 사실상 거의 모든 프로그램에서 토론 대상이 되고 있다. 모바일 맬웨어 대처 방법, e디스커버리, 직원 개인 기기 압수 방법 등 다양한 주제를 다룬다. RSA 컨퍼런스는 2013년에는 하루 일정의 보안 프로그램을 편성할 계획이다. 참가자들의 관심이 높기 때문이다. 이 프로그램에서는 기업의 BYOD 정책을 자세히 다루게 된다.

통상 이런 컨퍼런스는 벤더와 산업 리더들이 연사로 나서는 것 외에 휴식시간을 이용해 업계 동료들과 교류를 할 수 있는 기회를 제공한다. 또 대부분의 컨퍼런스는 행사를 녹화해 온라인을 통해 제공하고 있다. 따라서 직접 참가한 것과 같은 정보를 얻을 수 있다.

관심을 가질만한 또 다른 컨퍼런스로는 올해 11월 14-16일 라스베가스에서 개최되는 ISACA의 정보 보안 및 리스크 관리 컨퍼런스를 들 수 있다.

3. 학습과 자격증을 고려한다
IT 전문가들은 BYOD와 기술은 관련이 없다고 착각하곤 한다. 그러나 사실은 기술이 중요한 부분을 차지하고 있다. 스파이스웍스의 IT 교육 부문은 '헬프 데스크 101(Help Desk 101: How to Run a Rockin' Help Desk)라는 과정에서 개인 기기를 관리, 지원, 수리하는 등의 BYOD 관련 내용을 교육하고 있다.
 
산스 인스터튜트(SANS Institute) 또한 BYOD 정책 개발과 집행을 위한 전략, 현장 학습으로 구성된 이틀 일정의 '모바일 기기 보안(Mobile Device Security)'이라는 교육 과정을 제공하고 있다.

4. 업계 지식 센터와 표준을 점검한다
산스 인스티튜트, NIST, 컴프TIA 등 산업 단체들은 IT 리더들이 기업에서 BYOD의 역할을 이해하는데 도움이 되는 기준, 가이드라인, 백서, 정책 탬플릿 견본 등을 발행하고 있다.

예를 들어, 산스 인스터튜트의 '보안 준비성 평가(Security Consensus Operational Readiness Evaluation)'는 BYOD 도입을 준비할 때 참고할만한 포괄적인 체크리스트이다. 이는 필수 보안 대책, 벤치 마크 및 평가 툴, 연구 가이드, 사고 처리 양식, 법 집행과 관련된 FAQ로 구성되어 있다.

컴프TIA는 모빌리티, IT 보안 등의 주제를 다룬 기본 트레이닝 지침서를 무료로 제공하고 있다. 또 회원들을 대상으로 더 자세한 정보가 나와있는 가이드를 제공한다.

NIST(National Institute of Standards and Technologies)는 특별 간행물 800-63(Special Publication 800-63)에서 전자 인증과 관련된 가이드라인을 제시하고 있다. 이 간행물은 직원, 계약업자, 공개 네트워크를 통해 정부 시스템에 접속하는 개인 사용자를 원격으로 인증하는 방법에 대해 소개하고 있다.

클라우드는 많은 BYOD 전략에서 중심을 차지하고 있다. 클라우드 보안 협회(Cloud Security Alliance)의 모바일 워킹 그룹은 이런 추세에 발맞춰 BDYO를 포함시키고 있다.

또 ISACA의 존 피론티(John Pironti) 수석 어드바이저에 따르면, 미국 변호사 협회(American Bar Association) 같은 기관의 BYOD 관련 정보를 참조하는 것도 도움이 된다. 피론티는 "IT 전문가들은 제때 변호사를 고용하지 못하는 경우가 많다. 따라서 BYOD에 대한 법률적 입장을 이용하기 위해, 시간이 있을 때 법률가들로부터 정보를 얻을 필요가 있다."고 언급했다.

5. 애널리스트와 벤더가 발간한 백서, 연구 보고서, 웹캐스트, 사례 연구를 참조한다
애널리스트와 벤더들은 BYOD가 IT에 미치는 영향을 다방면으로 연구한다. 예를 들어, 가트너는 BYOD가 호스팅 데스크톱 기반에 어떻게 영향을 주는지를 연구했다. 또 간단하게 모바일 기기 사용 정책과 절차를 수립하는 툴킷을 개발해 발표했다.

애버딘(Aberdeen), 포레스터(Forrester), 네메르테스 리서치(Nemertes Research) 등 컨설팅 기관드로 정기적으로 설문조사와 게시판, 블로그를 통해 BYOD를 다루고 있다.

모바일 기기 관리와 보안에 직접 관련이 있는 벤더들은 사례 연구와 여론 조사 등 고객에게 필요한 자료를 수집해 제공하고 있다. 그러나 산스 인스터튜트의 조슈아 라이트(Joshua Wright)는 BYOD 학습에서 가장 많이 간과하는 부분은 운영 시스템 보안이라고 지적했다.

IT 리더들은 가장 먼저 애플의 iOS 같은 모바일 기기 플랫폼이 자신들의 데이터 보호 요건에 부합하는지 판단을 해야 한다. 플랫폼마다 독창적인 특징이 있고, 이런 특징이 기업 보안 정책과 충돌을 할 수 있기 때문이다.

단기간에 BYOD 전문가가 될 수는 없다. 계획과 지속적인 노력, 시간이 필요하다. BYOD는 발전하고 있는 개념으로 계속 관심을 기울여야 한다. ciokr@idg.co.kr



2012.07.25

변화하는 BYOD 개념과 기술··· 최신 정보 소스는?

Sandra Gittlen | Network World
코네티컷 주립대학 경영 대학원은 2000년부터 BYOD(Bring Your Own Device) 정책을 실시하고 있다. 애플리케이션 환경 대신 기기 지원에 초점을 맞추는 등 일부 방향을 잘못 잡으면서, BYOD 전략을 재고하고 있는 중이다.

경영대학원의 제레미 폴락 IT 담당 디렉터는 "우리는 남들보다 앞서 BYOD 를 시작했다. 당시는 지금만큼 많은 정보가 없었다. 개인적으로는 차라리 지금 BYOD 전략을 추진했다면, 많은 정보를 통해 더 많은 혜택을 창출했을 것"이라고 말했다.
 
가트너는 최근 전세계적으로 많은 기업들이 BYOD로 인해 초래되는 모바일 보안 문제를 크게 우려하고 있다고 발표했다. 이들 기업 가운데 상당수는 직원 소유의 스마트폰 (조사 대상의 약 32%), 노트북 컴퓨터(44%) 등 개인 기기를 기술 지원하고 있다.

가트너는 "BYOD는 불가피한 요건이다. 그러나 데이터 관리와 통제를 위해 IT 부서에 모빌리티 전략 팀을 구성할 필요가 있다"라고 권고했다.
 
BYOD 전략을 추진하기 앞서 관련 정보를 수집해 판단할 필요가 있다. BYOD와 관련된 기술, 법, 보안 부분과 함께, 프로그램 배치 이후 정보 유통 경로로 활용할 수 있는 5가지 핵심 정보 자원을 추려봤다.

1. 토론 그룹에서 정보를 얻는다
BYOD를 가장 잘 알고 있는 사람은 이미 BYOD를 도입한 기업에서 근무하는 IT 책임자들이다. 모바일 보안, 모바일 장비 관리를 주제로 다루고 있는 토론 그룹을 찾아 들어가보면 BYOD와 관련된 자세한 논쟁을 살펴볼 수 있다. 예를 들어 넷 관리 벤더인 스파이스웍스(Spiceworks)와 IT 거버넌스 전문가들 단체인 ISACA는 BYOD 문제를 정기적으로 다루는 커뮤니티를 운영하고 있다.

폴락은 자신들과 계약을 체결한 벤더인 VM웨어(VMware)의 포럼에서 동종업계 동료들의 의견을 참조하고 있다. 그는 VM웨어 가상 데스크톱 기반 사용자로 관련 제품 포럼에서 질의를 하거나, 올라온 질의에 답변하기도 한다.

IT 교육 및 인증에 초점을 맞추고 있는 비영리 단체인 컴프TIA(CompTIA)의 랜디 그로스 CIO에 따르면, IT 리더들은 링크드인을 비롯한 소셜 미디어 사이트를 이용해 BYOD와 관련된 주제를 놓고 동료들과 공개적으로 의견을 교환하고 있다. 그는 "매일 BYOD와 관련해 새로운 정보가 나오고 있다. 따라서 업계 동료들의 의견을 계속 접할 수 있고, 그렇게 하는 것이 좋다"라고 언급했다.

2. 산업 컨퍼런스에서 도움을 찾는다
RSA 컨퍼런스 프로그램 위원회의 휴 톰슨 위원장은 "2012년 RSA 컨퍼런스에 사상 처음으로 모바일 보안과 관련된 반나절 동안의 교육 프로그램을 편성했었다"고 밝혔다. BYOD는 사실상 거의 모든 프로그램에서 토론 대상이 되고 있다. 모바일 맬웨어 대처 방법, e디스커버리, 직원 개인 기기 압수 방법 등 다양한 주제를 다룬다. RSA 컨퍼런스는 2013년에는 하루 일정의 보안 프로그램을 편성할 계획이다. 참가자들의 관심이 높기 때문이다. 이 프로그램에서는 기업의 BYOD 정책을 자세히 다루게 된다.

통상 이런 컨퍼런스는 벤더와 산업 리더들이 연사로 나서는 것 외에 휴식시간을 이용해 업계 동료들과 교류를 할 수 있는 기회를 제공한다. 또 대부분의 컨퍼런스는 행사를 녹화해 온라인을 통해 제공하고 있다. 따라서 직접 참가한 것과 같은 정보를 얻을 수 있다.

관심을 가질만한 또 다른 컨퍼런스로는 올해 11월 14-16일 라스베가스에서 개최되는 ISACA의 정보 보안 및 리스크 관리 컨퍼런스를 들 수 있다.

3. 학습과 자격증을 고려한다
IT 전문가들은 BYOD와 기술은 관련이 없다고 착각하곤 한다. 그러나 사실은 기술이 중요한 부분을 차지하고 있다. 스파이스웍스의 IT 교육 부문은 '헬프 데스크 101(Help Desk 101: How to Run a Rockin' Help Desk)라는 과정에서 개인 기기를 관리, 지원, 수리하는 등의 BYOD 관련 내용을 교육하고 있다.
 
산스 인스터튜트(SANS Institute) 또한 BYOD 정책 개발과 집행을 위한 전략, 현장 학습으로 구성된 이틀 일정의 '모바일 기기 보안(Mobile Device Security)'이라는 교육 과정을 제공하고 있다.

4. 업계 지식 센터와 표준을 점검한다
산스 인스티튜트, NIST, 컴프TIA 등 산업 단체들은 IT 리더들이 기업에서 BYOD의 역할을 이해하는데 도움이 되는 기준, 가이드라인, 백서, 정책 탬플릿 견본 등을 발행하고 있다.

예를 들어, 산스 인스터튜트의 '보안 준비성 평가(Security Consensus Operational Readiness Evaluation)'는 BYOD 도입을 준비할 때 참고할만한 포괄적인 체크리스트이다. 이는 필수 보안 대책, 벤치 마크 및 평가 툴, 연구 가이드, 사고 처리 양식, 법 집행과 관련된 FAQ로 구성되어 있다.

컴프TIA는 모빌리티, IT 보안 등의 주제를 다룬 기본 트레이닝 지침서를 무료로 제공하고 있다. 또 회원들을 대상으로 더 자세한 정보가 나와있는 가이드를 제공한다.

NIST(National Institute of Standards and Technologies)는 특별 간행물 800-63(Special Publication 800-63)에서 전자 인증과 관련된 가이드라인을 제시하고 있다. 이 간행물은 직원, 계약업자, 공개 네트워크를 통해 정부 시스템에 접속하는 개인 사용자를 원격으로 인증하는 방법에 대해 소개하고 있다.

클라우드는 많은 BYOD 전략에서 중심을 차지하고 있다. 클라우드 보안 협회(Cloud Security Alliance)의 모바일 워킹 그룹은 이런 추세에 발맞춰 BDYO를 포함시키고 있다.

또 ISACA의 존 피론티(John Pironti) 수석 어드바이저에 따르면, 미국 변호사 협회(American Bar Association) 같은 기관의 BYOD 관련 정보를 참조하는 것도 도움이 된다. 피론티는 "IT 전문가들은 제때 변호사를 고용하지 못하는 경우가 많다. 따라서 BYOD에 대한 법률적 입장을 이용하기 위해, 시간이 있을 때 법률가들로부터 정보를 얻을 필요가 있다."고 언급했다.

5. 애널리스트와 벤더가 발간한 백서, 연구 보고서, 웹캐스트, 사례 연구를 참조한다
애널리스트와 벤더들은 BYOD가 IT에 미치는 영향을 다방면으로 연구한다. 예를 들어, 가트너는 BYOD가 호스팅 데스크톱 기반에 어떻게 영향을 주는지를 연구했다. 또 간단하게 모바일 기기 사용 정책과 절차를 수립하는 툴킷을 개발해 발표했다.

애버딘(Aberdeen), 포레스터(Forrester), 네메르테스 리서치(Nemertes Research) 등 컨설팅 기관드로 정기적으로 설문조사와 게시판, 블로그를 통해 BYOD를 다루고 있다.

모바일 기기 관리와 보안에 직접 관련이 있는 벤더들은 사례 연구와 여론 조사 등 고객에게 필요한 자료를 수집해 제공하고 있다. 그러나 산스 인스터튜트의 조슈아 라이트(Joshua Wright)는 BYOD 학습에서 가장 많이 간과하는 부분은 운영 시스템 보안이라고 지적했다.

IT 리더들은 가장 먼저 애플의 iOS 같은 모바일 기기 플랫폼이 자신들의 데이터 보호 요건에 부합하는지 판단을 해야 한다. 플랫폼마다 독창적인 특징이 있고, 이런 특징이 기업 보안 정책과 충돌을 할 수 있기 때문이다.

단기간에 BYOD 전문가가 될 수는 없다. 계획과 지속적인 노력, 시간이 필요하다. BYOD는 발전하고 있는 개념으로 계속 관심을 기울여야 한다. ciokr@idg.co.kr

X