2021.04.28

칼럼ㅣ알고도 쉬쉬··· '기업 모바일 보안' 재고해야 할 때

Evan Schuman | Computerworld
지난 2020년 3월 기업들이 팬데믹 위기에 대응하기 위해 황급히 서두르면서 ‘보안’을 대충 해치웠다는 사실을 알고 있는가? 이제 문제를 해결할 때다. 

기업 모바일 보안 세계에서는 때때로 ‘끔찍한’ 상황으로 인해 보안을 무시하면서까지 기업을 지키려 들 때가 있다. 코로나19 사태로 기업들이 사무실 건물을 비우고 모든 것(그리고 모든 직원)을 원격지와 클라우드에 옮기게 됐던 지난 2020년 3월이 그 전형적인 예다. 
 
ⓒGetty Images

보안을 간과하게 된 이유는 갑작스러운 재택근무로의 전환 때문이 아니라 기업들이 며칠 만에 혹은 하룻밤 만에 빠르게 전환해야 했기 때문이다. 이런 상황에서 IoT 보안 문제가 증가했다. 이를테면 집에 있는 IoT 기기가 VPN을 통해 글로벌 시스템에 액세스하고, 때로는 파이프라인을 통해 맬웨어를 퍼뜨렸다. 엉망진창이었다. 

최근 공개된 버라이즌(Verizon)의 모바일 보안 보고서(Mobile Security Index 2021 Report)는 이 문제와 관련해 “전체 응답자의 거의 절반이 회사에서 다 알고도 모바일 기기 보안을 무시했다고 시인했다”라고 단도직입적으로 언급했다. 해당 보고서에 따르면 이는 작년(46%)보다 증가한 수치다. 또한 38%는 그렇게 해야 한다는 압박을 받았다고 답했다. 

이 수치를 맥락적으로 해석해보자. 많은 보안 임원이 (보안을) 간과하고 있다는 걸 알고 있었지만 이를 서면으로 인정하기는(설문조사에서 밝히기는) 어렵지 않았을까? 보안 전문가들은 데이터가 얼마나 쉽게 유출될 수 있는지 그 누구보다 잘 알고 있다. 따라서 현실은 버라이즌의 데이터보다 훨씬 더 심각할지도 모른다. 

더 ‘끔찍한’ 문제가 있다. 이런 상황이 발생한 지 약 13개월이나 지났지만 메워야 할 구멍이 여전히 많다는 것이다. CISO와 IT팀은 비즈니스 운영을 유지하고 새로운 보안 허점을 만들지 않기 위해 고군분투하느라 너무 바빴기 때문에(그리고 인력도 부족했기 때문에) 기존 취약점을 해결할 여유가 없었다. CFO, COO, CEO 등의 C-레벨 리더들이 이를 해결할 수 있도록 관심을 가지고 예산을 확보해야 한다. 

여기서는 코로나19 관련 보안 위험을 줄이기 위해 시작할 수 있는 몇 가지 간단한 방법을 살펴본다. 

홈 오피스에서의 듀얼 LAN
이 방법은 간단하고 비교적 저렴하다(최악의 경우 사이트마다 라우터를 하나 더 구매해야 할 수도 있다). 이를 사용하면 아이들의 게임기부터 가정용 IoT 기기, 노트북, 스마트폰까지 집에서 쓰는 소비자용 기기로부터 유입될 수 있는 위협에 관한 노출을 크게 줄일 수 있다. 

정책 규칙은 간단하다. 기업 전용 LAN이 필요하며, 모든 기업용 기기는 해당 LAN만 사용해야 한다. 즉 노트북을 오로지 업무용으로만 써야 한다는 의미다. 업무 전용 핸드폰의 경우도 마찬가지다. 

BYOD(Bring Your Own Device)를 재고하라
확실히 강조하고 싶다. 여기서 핵심은 BYOD 정책을 포기하라는 게 아니라 전체적으로 철저히 검토하라는 것이다. 

대부분의 기업이 BYOD로 전환했던 때는 (당연히 모든 기업은 아니다) 지금과는 전혀 다른 상황이었다. BYOD에 관한 통계적 위험 분석은 항상 존재했는데, 다음과 같았다. “BYOD로 전환한다고 해도 엔터프라이즈 커뮤니케이션의 90%가 개인용 모바일로 이뤄지지 않기 때문에 기업에서 이슈를 처리 및 관리하는 것에는 한계가 있을 수 있다.”
 
이는 코로나19 사태 이전에 홈 오피스에서 차선의 보안을 허용했던 것과 같은 논리다. 일반적인 기업에서 평균적으로 10% 미만의 직원들이 재택근무를 했다는 점을 감안한다면 이들을 보호하기 위해 많은 돈을 지출하는 게 불필요하거나 비용 효율적이지 않다고 본 기업들이 많았다. 

하지만 현재는 원격에서 그리고 모바일 기기를 통해서 훨씬 더 많은 작업이 이뤄지고 있기 때문에 BYOD를 재고해야 한다. 필자의 첫 번째 제안(듀얼 LAN)으로 돌아가서, 만약 직원이 업무용 스마트폰으로 고위험 사이트에 접속하고 의심스러운 앱을 실행하면 위험을 줄이기 힘들다. 기업 전용 LAN의 이점을 제대로 활용하려면 엄격해야 한다. 즉 다시 한번 말하지만 BYOD 정책을 재고해야 한다. 

이와 관련해 ‘분리(Partition)’ 접근법은 부분적인 성공만 거뒀다는 사실을 고려하자. 휴대폰에서 개인 데이터, 기업 데이터, 앱을 분리한다는 이 접근법은 기업 데이터가 누락되거나 도난당한 경우 제한적인 원격 삭제로 개인 데이터는 그대로 두고 기업 데이터는 보호할 수 있다고 말한다. 

하지만 좋고 나쁜 게 뒤섞인 결과가 나타났다. 이로 인해 IT 담당자들은 원격 삭제를 주저하게 됐다. 원격 삭제를 늦게 할수록 이를 시행하는 의미가 없어졌다(아마도 직원들이 기기를 찾아볼 시간을 연장해줄 수 있었겠지만 말이다). 

IT 및 보안 전문가는 분실된 휴대폰이 공격자의 손에 들어갔다고 가정해야 한다. 반대로 기업 소유의 기기는 개인정보를 손실할 위험이 없기 때문에 더 쉽게 삭제할 수 있다. 

2021년의 스마트폰은 점점 더 많은 그리고 더 나은 백업 옵션을 활용하고 있다는 점도 고려해야 한다. 원격 삭제만으로 모든 기업 데이터를 보호할 수 없다는 의미다. 직원이 퇴사하거나 해고된다고 가정해보자. 이러한 백업은 IT의 관리 영역을 벗어날 수밖에 없다. 

또 오늘날의 원격 삭제는 예전과 다르다. 이는 한때 말 그대로 휴대폰에서 모든 데이터를 삭제하는 것이었다. 기술적으로는 여전히 그러하지만 대부분의 경우는 (거의 항상 클라우드 기반인) 기업 자산과의 연결을 끊는 것에 가깝다. 이는 BYOD 기기에서도 작동한다.  
 
모바일 기기 관리를 재고하라
MDM(Mobile Device Management)을 사용해야 할지 재고하라는 게 아니다. 어떤 제공업체를 선택해야 하는지 그리고 구성을 업그레이드하거나 다시 검토할 시기인지 결정하라는 것이다. 모바일이 훨씬 더 일반적인 데이터 관리 메커니즘으로 자리 잡은 오늘날의 상황에서 2021년의 MDM을 재고하면 다른 결정을 내릴 수 있다. 

요컨대 현재 사용하고 있는 MDM 솔루션의 많은 비용을 합리화할 수 있다. 수치를 분석하고 회의를 하며 현재의 제품 옵션을 검토하고 확인하라. 

美 컨설팅 업체 쉘먼앤컴퍼니(Schellmen & Co.)의 수석 애널리스트 더그 바빈은 “MDM 기술이 발전했기 때문에 더 이상 모 아니면 도가 아니다. 모두에게 권한을 줬지만 사실 이 모든 액세스 권한이 필요한 것은 아니다”라면서, “IT 및 보안 관리자가 최소한의 권한 목표에 집중하지 않았다. 이들은 사용자에게 필요한 모든 것에 액세스 권한을 부여한 다음 줄이기 시작했다”라고 말했다. 이는 최소 권한과 반대되는 전형적인 예다. 

사용자 반발에 대응하라 
현재 팬데믹과 관련된 엔터프라이즈 보안에서 가장 큰 문제는 사용자(그리고 관리자)의 합리화가 만연하다는 점이다. ‘그저 일하려고 했을 뿐이다’라는 것이다! 

사실상 이런 합리화의 대부분은 ‘보안 요구사항이 시간과 리소스를 너무 많이 빼앗는다. 이를 교묘하게 회피하기 위해 적극적으로 노력하고 있다’라는 의미로 볼 수 있다. 

이는 코로나19로 인해 많은 사람이 VPN을 사용하면서 속도가 느려졌고, 사용자들은 업무를 하기 위해 이를 필사적으로 회피하려고 했던 데서 시작됐다. 여기에 칭찬을 하거나 혹은 이를 적극적으로 무시하는 현업 부문 관리자도 많았다. 

동시에 이는 기업 보안 및 IT 전문가가 보안 규칙 준수의 이점을 충분히 납득시키지 못했다는 증거이기도 하다. 이 부분도 재고해야 한다. 

기업들은 지난 13개월 동안 많은 교훈을 얻었다. 특히 보안과 관련해 이제는 과거에 일이 어떻게 처리됐는지 그리고 앞으로 어떤 모습이어야 하는지 다시 생각해 볼 때다. 

* Evan Schuman은 IT 전문 기자다. 리테일 기술 전문 사이트(StorefrontBacktalk)를 설립한 기자 중 한 명이기도 하며, 이 밖에 CBS뉴스닷컴, 리테일위크, 컴퓨터월드, e위크 등에서 칼럼니스트로 활동했다. ciork@idg.co.kr



2021.04.28

칼럼ㅣ알고도 쉬쉬··· '기업 모바일 보안' 재고해야 할 때

Evan Schuman | Computerworld
지난 2020년 3월 기업들이 팬데믹 위기에 대응하기 위해 황급히 서두르면서 ‘보안’을 대충 해치웠다는 사실을 알고 있는가? 이제 문제를 해결할 때다. 

기업 모바일 보안 세계에서는 때때로 ‘끔찍한’ 상황으로 인해 보안을 무시하면서까지 기업을 지키려 들 때가 있다. 코로나19 사태로 기업들이 사무실 건물을 비우고 모든 것(그리고 모든 직원)을 원격지와 클라우드에 옮기게 됐던 지난 2020년 3월이 그 전형적인 예다. 
 
ⓒGetty Images

보안을 간과하게 된 이유는 갑작스러운 재택근무로의 전환 때문이 아니라 기업들이 며칠 만에 혹은 하룻밤 만에 빠르게 전환해야 했기 때문이다. 이런 상황에서 IoT 보안 문제가 증가했다. 이를테면 집에 있는 IoT 기기가 VPN을 통해 글로벌 시스템에 액세스하고, 때로는 파이프라인을 통해 맬웨어를 퍼뜨렸다. 엉망진창이었다. 

최근 공개된 버라이즌(Verizon)의 모바일 보안 보고서(Mobile Security Index 2021 Report)는 이 문제와 관련해 “전체 응답자의 거의 절반이 회사에서 다 알고도 모바일 기기 보안을 무시했다고 시인했다”라고 단도직입적으로 언급했다. 해당 보고서에 따르면 이는 작년(46%)보다 증가한 수치다. 또한 38%는 그렇게 해야 한다는 압박을 받았다고 답했다. 

이 수치를 맥락적으로 해석해보자. 많은 보안 임원이 (보안을) 간과하고 있다는 걸 알고 있었지만 이를 서면으로 인정하기는(설문조사에서 밝히기는) 어렵지 않았을까? 보안 전문가들은 데이터가 얼마나 쉽게 유출될 수 있는지 그 누구보다 잘 알고 있다. 따라서 현실은 버라이즌의 데이터보다 훨씬 더 심각할지도 모른다. 

더 ‘끔찍한’ 문제가 있다. 이런 상황이 발생한 지 약 13개월이나 지났지만 메워야 할 구멍이 여전히 많다는 것이다. CISO와 IT팀은 비즈니스 운영을 유지하고 새로운 보안 허점을 만들지 않기 위해 고군분투하느라 너무 바빴기 때문에(그리고 인력도 부족했기 때문에) 기존 취약점을 해결할 여유가 없었다. CFO, COO, CEO 등의 C-레벨 리더들이 이를 해결할 수 있도록 관심을 가지고 예산을 확보해야 한다. 

여기서는 코로나19 관련 보안 위험을 줄이기 위해 시작할 수 있는 몇 가지 간단한 방법을 살펴본다. 

홈 오피스에서의 듀얼 LAN
이 방법은 간단하고 비교적 저렴하다(최악의 경우 사이트마다 라우터를 하나 더 구매해야 할 수도 있다). 이를 사용하면 아이들의 게임기부터 가정용 IoT 기기, 노트북, 스마트폰까지 집에서 쓰는 소비자용 기기로부터 유입될 수 있는 위협에 관한 노출을 크게 줄일 수 있다. 

정책 규칙은 간단하다. 기업 전용 LAN이 필요하며, 모든 기업용 기기는 해당 LAN만 사용해야 한다. 즉 노트북을 오로지 업무용으로만 써야 한다는 의미다. 업무 전용 핸드폰의 경우도 마찬가지다. 

BYOD(Bring Your Own Device)를 재고하라
확실히 강조하고 싶다. 여기서 핵심은 BYOD 정책을 포기하라는 게 아니라 전체적으로 철저히 검토하라는 것이다. 

대부분의 기업이 BYOD로 전환했던 때는 (당연히 모든 기업은 아니다) 지금과는 전혀 다른 상황이었다. BYOD에 관한 통계적 위험 분석은 항상 존재했는데, 다음과 같았다. “BYOD로 전환한다고 해도 엔터프라이즈 커뮤니케이션의 90%가 개인용 모바일로 이뤄지지 않기 때문에 기업에서 이슈를 처리 및 관리하는 것에는 한계가 있을 수 있다.”
 
이는 코로나19 사태 이전에 홈 오피스에서 차선의 보안을 허용했던 것과 같은 논리다. 일반적인 기업에서 평균적으로 10% 미만의 직원들이 재택근무를 했다는 점을 감안한다면 이들을 보호하기 위해 많은 돈을 지출하는 게 불필요하거나 비용 효율적이지 않다고 본 기업들이 많았다. 

하지만 현재는 원격에서 그리고 모바일 기기를 통해서 훨씬 더 많은 작업이 이뤄지고 있기 때문에 BYOD를 재고해야 한다. 필자의 첫 번째 제안(듀얼 LAN)으로 돌아가서, 만약 직원이 업무용 스마트폰으로 고위험 사이트에 접속하고 의심스러운 앱을 실행하면 위험을 줄이기 힘들다. 기업 전용 LAN의 이점을 제대로 활용하려면 엄격해야 한다. 즉 다시 한번 말하지만 BYOD 정책을 재고해야 한다. 

이와 관련해 ‘분리(Partition)’ 접근법은 부분적인 성공만 거뒀다는 사실을 고려하자. 휴대폰에서 개인 데이터, 기업 데이터, 앱을 분리한다는 이 접근법은 기업 데이터가 누락되거나 도난당한 경우 제한적인 원격 삭제로 개인 데이터는 그대로 두고 기업 데이터는 보호할 수 있다고 말한다. 

하지만 좋고 나쁜 게 뒤섞인 결과가 나타났다. 이로 인해 IT 담당자들은 원격 삭제를 주저하게 됐다. 원격 삭제를 늦게 할수록 이를 시행하는 의미가 없어졌다(아마도 직원들이 기기를 찾아볼 시간을 연장해줄 수 있었겠지만 말이다). 

IT 및 보안 전문가는 분실된 휴대폰이 공격자의 손에 들어갔다고 가정해야 한다. 반대로 기업 소유의 기기는 개인정보를 손실할 위험이 없기 때문에 더 쉽게 삭제할 수 있다. 

2021년의 스마트폰은 점점 더 많은 그리고 더 나은 백업 옵션을 활용하고 있다는 점도 고려해야 한다. 원격 삭제만으로 모든 기업 데이터를 보호할 수 없다는 의미다. 직원이 퇴사하거나 해고된다고 가정해보자. 이러한 백업은 IT의 관리 영역을 벗어날 수밖에 없다. 

또 오늘날의 원격 삭제는 예전과 다르다. 이는 한때 말 그대로 휴대폰에서 모든 데이터를 삭제하는 것이었다. 기술적으로는 여전히 그러하지만 대부분의 경우는 (거의 항상 클라우드 기반인) 기업 자산과의 연결을 끊는 것에 가깝다. 이는 BYOD 기기에서도 작동한다.  
 
모바일 기기 관리를 재고하라
MDM(Mobile Device Management)을 사용해야 할지 재고하라는 게 아니다. 어떤 제공업체를 선택해야 하는지 그리고 구성을 업그레이드하거나 다시 검토할 시기인지 결정하라는 것이다. 모바일이 훨씬 더 일반적인 데이터 관리 메커니즘으로 자리 잡은 오늘날의 상황에서 2021년의 MDM을 재고하면 다른 결정을 내릴 수 있다. 

요컨대 현재 사용하고 있는 MDM 솔루션의 많은 비용을 합리화할 수 있다. 수치를 분석하고 회의를 하며 현재의 제품 옵션을 검토하고 확인하라. 

美 컨설팅 업체 쉘먼앤컴퍼니(Schellmen & Co.)의 수석 애널리스트 더그 바빈은 “MDM 기술이 발전했기 때문에 더 이상 모 아니면 도가 아니다. 모두에게 권한을 줬지만 사실 이 모든 액세스 권한이 필요한 것은 아니다”라면서, “IT 및 보안 관리자가 최소한의 권한 목표에 집중하지 않았다. 이들은 사용자에게 필요한 모든 것에 액세스 권한을 부여한 다음 줄이기 시작했다”라고 말했다. 이는 최소 권한과 반대되는 전형적인 예다. 

사용자 반발에 대응하라 
현재 팬데믹과 관련된 엔터프라이즈 보안에서 가장 큰 문제는 사용자(그리고 관리자)의 합리화가 만연하다는 점이다. ‘그저 일하려고 했을 뿐이다’라는 것이다! 

사실상 이런 합리화의 대부분은 ‘보안 요구사항이 시간과 리소스를 너무 많이 빼앗는다. 이를 교묘하게 회피하기 위해 적극적으로 노력하고 있다’라는 의미로 볼 수 있다. 

이는 코로나19로 인해 많은 사람이 VPN을 사용하면서 속도가 느려졌고, 사용자들은 업무를 하기 위해 이를 필사적으로 회피하려고 했던 데서 시작됐다. 여기에 칭찬을 하거나 혹은 이를 적극적으로 무시하는 현업 부문 관리자도 많았다. 

동시에 이는 기업 보안 및 IT 전문가가 보안 규칙 준수의 이점을 충분히 납득시키지 못했다는 증거이기도 하다. 이 부분도 재고해야 한다. 

기업들은 지난 13개월 동안 많은 교훈을 얻었다. 특히 보안과 관련해 이제는 과거에 일이 어떻게 처리됐는지 그리고 앞으로 어떤 모습이어야 하는지 다시 생각해 볼 때다. 

* Evan Schuman은 IT 전문 기자다. 리테일 기술 전문 사이트(StorefrontBacktalk)를 설립한 기자 중 한 명이기도 하며, 이 밖에 CBS뉴스닷컴, 리테일위크, 컴퓨터월드, e위크 등에서 칼럼니스트로 활동했다. ciork@idg.co.kr

X