'BYO 대응법' 케네스 CIO와의 일문일답

많은 기업들의 CIO들처럼 케네스 코리보도 불길한 징조를 감지했다. 직원들이 자신들이 소유하고 있는 개인 기기들을 회사 내에서도 사용하고 싶어했고 회사 정책에 상관없이 개인기기의 사용 허용을 요청하기 시작했다.

"모바일 기기가 널리 확산되면서 지난 18~24개월간 이런 요청이 쇄도했다. 이와 동시에 사용자들은 새로운 장비를 사들이기 시작했다. 예전에는 회사에서 지급한 장비만 사무실에서 사용했지만 이제는 사용자들이 집에서 본인 소유의 개인 컴퓨터를 이용해 작업을 하고, 자신들이 모바일 기기를 보유하고 있으며 이것은 업무를 위해서 자신이 선택한 플랫폼이라고 공표하기까지 이르렀다. 이를 계기로 우리는 서로 협력하여 이 상황에 대한 계획을 세워야 한다고 결정해야만 했다.

국제광고 및 마케팅 통신서비스 기업 옴니콤 미디어 그룹(Omnicom Media Group)의 CIO 케네스 코리보는 이같이 말했다.

80개국에서 많은 사용자들이 불만을 토로하자 코리보는 옴니콤의 직원들에게 최대한 안전한 방법으로 접근을 허용하고자 했다. 그는 회사 네트워크에 접속하려는 모든 모바일 기기를 일일이 확인한 뒤에 정책에 따라 신중하게 접속을 허용하는 방식을 취했다.

현재 코리보의 팀은 아이패드, 아이폰, 안드로이드, 블랙베리, 노트북, 데스크톱, 회의실 컴퓨터 등 약 1만 개에 달하는 노드(Node)를 관리하고 있다. 코리보는 현재의 정책 강제 시스템(Policy Enforcement System)이 운영되는 상태에서 기기가 정책에 부응하는 한 플랫폼은 전혀 문제가 되지 않는다고 말했다. 그와 주고 받은 일문일답이다.

몇 년 전의 기기정책은 어떤 것이었나?
그 당시나 지금이나 정책은 동일하다. 단 과거에는 오직 회사소유의 기기만이 회사 네트워크에 접속할 수 있다. 하지만 상황이 변했다. 우리는 추세가 변하고, 비표준적이거나 회사 소유가 아닌 기기에서 이메일을 확인할 수 있도록 회사 네트워크에 접속하려는 사람들이 많아지고 있다는 것을 알아차렸다. 여기서 우리는 추세를 정확히 인지했다.

그래서 우리는 몇몇 포커스 그룹(Focus Group) 및 구성원들과 함께 우리가 어떻게 하면 그들을 도울 수 있는지 논의하기 시작했다. 이에 참여한 사람들은 젊은 편에 속한다. 그런 점이 도움이 됐다. 젊은 세대는 기술과 자신의 기기를 사용하는데 좀 더 친숙하며, 우리는 그들을 위해 보안상 안전한 방법으로 그들의 기기를 사용할 수 있도록 해주어야 한다는 사실을 절실히 깨달을 수 있었다.

그것을 달성하기 위해서 지금 무엇을 하고 있는가?
우리는 기본적으로 포어스카우트(ForeScout)의 네트워크 보안제품을 통해 관리되는 환경(Managed Environment)을 확보하고 있다. 그리고 전 세계에 걸쳐 회사의 정책을 적용하고 있다. 이 정책은 우리 네트워크의 끝에서 스캔을 활성화시키는 방법부터 네트워크 내부에서 운영되는 방법까지 모든 것에 영향을 끼친다.

이런 망 접근 제어(Network Access Control, 이하 NAC) 환경을 구축하기 전에는 다른 기기들이 우리의 네트워크에 접근하지 못하도록 차단했었다. 오직 회사소유의 기기만 회사 네트워크에 접속할 수 있었다.

그러나 이제는 NAC을 이용해 우리의 네트워크를 손님, 직원, 벤더들을 위한 네트워크로 분할한다. 어떤 기기든지 네트워크에 접속하게 되면 네트워크 사용을 허가하기에 앞서 우선 기기가 정확한 바이러스 데피니션(Virus Definition)을 확보하고 있는지 그리고 특정 표준에 부합하는지 확인하기 위해서 정책을 실행한다. 기존에는 회사소유가 아닌 기기를 이용해서 회사 네트워크에 접속할 수 없었지만 지금은 규정을 준수하는 모든 기기의 접속을 허용하고 있다.

기기의 접속이 거부되면 어떤 일이 발생하는가?
기기의 접속이 거부되면 IT 부서가 이를 인지하게 되고 기기의 소유자를 도와 네트워크에 접속할 수 있도록 한다. 유형에 따라 사용자를 분류하고 메모를 전달하며, IT부서도 이에 대한 메모를 받는다. 대부분의 경우, IT부서는 헬프 데스크(Help Desk)에서 직원들에게 편의를 제공하며 문제는 90% 이상 해결된다.

직원들과 손님들의 반응은 어땠나?
긍정적인 반응과 부정적인 반응 모두 관찰할 수 있었다. 일부는 우리가 좀 더 나은 서비스와 더 많은 접속 선택권을 제공하고 있다는 것을 이해하고 이에 고마워했으며 이전보다 접속이 더 쉬워졌다는 것을 인지했다. 하지만 일부는 우리가 왜 접속을 제어하는지 전혀 이해하지 못했다. 그들은 여전히 "왜 플랫폼과 표준을 그냥 개방하면 안 되는가?"라고 묻고 있다.

정책 강제 시스템이 정상적으로 작동하는지 어떻게 판단하는가?
회사의 알티리스(Altiris) 티케팅 시스템(Ticketing System)은 사건과 추세를 모니터링한다. 우리 시스템 내에는 보안과 네트워크 요청을 위한 카테고리가 있다. 추세는 늘 바뀐다. 문제는 ‘사람들이 필요한 것을 실행하기 위해서 여전히 IT 부서의 도움을 받아야 하는가?’이다. 또는 네트워크에 접속할 자유와 보안 사이에 적절한 균형이 유지되고 있는가 하는 문제도 중요하다.

우리는 우리의 시스템을 통해 이를 모니터링하고 있으며 현재 요청이 줄어드는 추세다. 1년 전에는 이런 요청이 최저 수준이었지만 최근에는 패드기기나 모바일 기기 등이 등장하면서 점점 많은 사람들이 이를 사용하게 되어 요청이 다시 증가하는 추세다.

모바일 기술과 사용자 소유의 업무용 기기측면에서 다음단계는 무엇이라고 생각하는가? 그리고 이런 것들의 정책에 어떤 영향을 끼칠 거라 생각하는가?
우리는 아직 진화의 초창기에 머물고 있다고 생각한다. 이런 새로운 기기들이 더욱 확산될 수록 소비자들은 새로운 방법을 찾으려고 할 것이다. 그리고 이 때문에 기업이 이런 기기들과 상호작용하는 방법과 이를 사용하는 방법이 바뀌게 될 것이라고 생각한다.

우리가 더 개방된 환경으로 나아가고 있는 것 같다. 우리는 이전에 우리가 보안의 관점에서 행했던 일들을 오늘날의 사용자들의 요청과 일치시키기 위해서 노력하고 있다. 그리고 기술을 이용함으로써 예전보다 더 개방된 환경을 제공하면서도 보안을 유지할 수 있게 되었다. ciokr@idg.co.kr