2014.04.10

'예산 없지만 방치할 수도 없고…' 중소기업의 MDM 딜레마

Grant Hatchimonji | CSO
대기업은 대개 모바일 기기 관리(MDM: Mobile Device Management) 기술을 도입하곤 한다. 많은 직원들이 모바일 기기에 중요한 기밀 정보를 담아 다니거나, 이런 정보가 보관된 장소에 접속을 하기에 이를 관리할 방안이 필요하기 때문이다.

그러나 경제적 여력이 없고, 도입을 하더라도 이를 관리할 제대로 된 IT 부서가 없는 기업들은 어떨까? 이들 중소기업(SMB)은 모바일 기기를 중앙 통제할 방법이 없을 때 데이터를 어떻게 보호할 수 있을까?

일부 SMB는 MDM 없이도 위험을 줄이는 방안을 발굴해 이용하기도 한다. 그러나 어려움이 따를 때도 있다. 또 SMB들은 직원들에게 모바일 기기를 지급할 여력이 없어 BYOD를 도입하는 사례가 많다는 점을 감안하면 문제는 더 복잡해진다.

포레스터(Forrester)의 타일러 쉴드 모바일 담당 수석 애널리스트는 "분위기가 묘해지는 경우가 있다. 기업이 모바일 기기를 통제하려 할 때 사용자가 이를 허락하기 꺼리기 때문이다. 이럴 때는 '거래'를 해야 한다. 중요한 기업 정보를 이용하고 싶다면 MDM을 받아들여야 한다고 말하라. 그러면 사용자들은 더욱 편리하게 일하기 위해 MDM을 수용할 확률이 아주 높다"라고 말했다.

쉴드는 SMB 또한 BYOD를 도입할 때 엔드포인트 보안 대책을 마련하거나, 직원들에게 장치를 보안할 수 있는 방법을 찾아 적용해야 한다고 강조했다.

파이버링크(Fiberlink)의 정보 보안 담당 간부 중 한 명인 데이빗 린젠펠터도 SMB 가운데 BYOD를 도입한 회사가 대부분이라고 동의했다.

그는 "SMB는 회사 차원에서 장치를 구입해 직원들에게 지급하지 않으며 직원 개인 소유 장치를 일정 수준 관리하기 원한다. 장치 종류를 제한하거나, 특정 OS 버전을 요구하는 방법을 예로 들 수 있다"라고 말했다.

린젠펠터는 직원들이 새 장치를 구했을 때에 관한 대처가 부족한 경우가 많다고 지적했다. 그는 "사용하지 않게 된 오래된 장치에 기업 데이터가 저장되어 있지 않는지 확인해야 한다. 나는 장치를 교체하면, 옛날 장치는 아이들에게 준다. 하지만 그러기 전에 데이터를 지울 정도의 상식은 갖고 있다. 직원들도 그럴까? 확신할 수 있는가?"라고 반문했다.

위험 감수
모바일 기기를 중앙에서 관리하지 않을 때 (그리고 직원들이 사용하는 장치가 개인 장치일 때), SMB의 선택지는 무엇일까? 일부 규모가 작은 기업들은 MDM을 100% 포기하기도 한다. 그러나 이 때는 공격을 받을 위험이 아주 커진다.

중소기업들이 위험을 감수하는 이유는 이들이 공격자의 '표적'이 될 것인지 여부와 관련이 있다. 대다수는 자신들이 큰 가치가 없고, 값진 데이터도 많이 보유하고 있지 않기 때문에 공격의 표적이 될 확률이 높지 않다고 판단해 위험을 감수한다.

쉴드는 "위험이 낮기 때문에 지금 당장 투자를 할 가치가 없다고 말하는 사람들이 있다. 실제로 많은 중소기업들이 이런 제멋대로의 방식을 적용하고 있다"고 말했다. 사용자가 이들 장치를 아무렇게나 사용하도록 방치하곤 한다는 진단이다.

린젠펠터는 또 회사 내부에 IT 부서가 없어서, 또는 인프라스트럭처나 중앙화된 이메일 시스템이 없어 솔루션을 도입하지 않는다는 이야기를 들었다고 전했다. 작은 회사들은 일반적으로 직원들이 장치를 바르게 사용할 것이라고 믿고 이를 기대한다.

그러나 다른 협력사들이 이를 받아들이지 않는 경우도 있다. 린젠펠터는 "일부 중소기업들은 솔루션이나 보안 대책 도입을 전혀 고려하지 않았지만, 파트너들이 이를 요청한다. 특히 제약 산업에 이런 사례가 많다. 비즈니스의 성격 때문에 무언가 대책을 마련할 것을 요청하는 것이다"라고 말했다.

린젠펠터는 이어 최소한의 대책을 요구하는 외부 파트너의 생각에 동의를 한다고 강조했다.

그는 "장치를 전혀 관리하지 않으면 공격을 받거나 정보가 누출될 위험이 올라간다다. 후자를 우려하는 사람들을 예로 들어보자. 공격의 표적이 되지 않을 수는 있다. 그러나 최종 사용자로부터 데이터를 빼낼 수 있는 소프트웨어가 아주 많다"라며 장치를 잃어버리는 문제도 있다고 덧붙였다.

린젠펠터는 "장치를 관리하지 않으면 어떤 방법으로 정보를 지울 것인가? 애플과 구글 모두 원격 지우기를 옵션으로 지원한다. 그러나 문제는 사용자가 이 옵션을 선택했는가 하는 것이다. 선택을 하지 않았다면 문제가 될 수 있다"라고 설명했다.




2014.04.10

'예산 없지만 방치할 수도 없고…' 중소기업의 MDM 딜레마

Grant Hatchimonji | CSO
대기업은 대개 모바일 기기 관리(MDM: Mobile Device Management) 기술을 도입하곤 한다. 많은 직원들이 모바일 기기에 중요한 기밀 정보를 담아 다니거나, 이런 정보가 보관된 장소에 접속을 하기에 이를 관리할 방안이 필요하기 때문이다.

그러나 경제적 여력이 없고, 도입을 하더라도 이를 관리할 제대로 된 IT 부서가 없는 기업들은 어떨까? 이들 중소기업(SMB)은 모바일 기기를 중앙 통제할 방법이 없을 때 데이터를 어떻게 보호할 수 있을까?

일부 SMB는 MDM 없이도 위험을 줄이는 방안을 발굴해 이용하기도 한다. 그러나 어려움이 따를 때도 있다. 또 SMB들은 직원들에게 모바일 기기를 지급할 여력이 없어 BYOD를 도입하는 사례가 많다는 점을 감안하면 문제는 더 복잡해진다.

포레스터(Forrester)의 타일러 쉴드 모바일 담당 수석 애널리스트는 "분위기가 묘해지는 경우가 있다. 기업이 모바일 기기를 통제하려 할 때 사용자가 이를 허락하기 꺼리기 때문이다. 이럴 때는 '거래'를 해야 한다. 중요한 기업 정보를 이용하고 싶다면 MDM을 받아들여야 한다고 말하라. 그러면 사용자들은 더욱 편리하게 일하기 위해 MDM을 수용할 확률이 아주 높다"라고 말했다.

쉴드는 SMB 또한 BYOD를 도입할 때 엔드포인트 보안 대책을 마련하거나, 직원들에게 장치를 보안할 수 있는 방법을 찾아 적용해야 한다고 강조했다.

파이버링크(Fiberlink)의 정보 보안 담당 간부 중 한 명인 데이빗 린젠펠터도 SMB 가운데 BYOD를 도입한 회사가 대부분이라고 동의했다.

그는 "SMB는 회사 차원에서 장치를 구입해 직원들에게 지급하지 않으며 직원 개인 소유 장치를 일정 수준 관리하기 원한다. 장치 종류를 제한하거나, 특정 OS 버전을 요구하는 방법을 예로 들 수 있다"라고 말했다.

린젠펠터는 직원들이 새 장치를 구했을 때에 관한 대처가 부족한 경우가 많다고 지적했다. 그는 "사용하지 않게 된 오래된 장치에 기업 데이터가 저장되어 있지 않는지 확인해야 한다. 나는 장치를 교체하면, 옛날 장치는 아이들에게 준다. 하지만 그러기 전에 데이터를 지울 정도의 상식은 갖고 있다. 직원들도 그럴까? 확신할 수 있는가?"라고 반문했다.

위험 감수
모바일 기기를 중앙에서 관리하지 않을 때 (그리고 직원들이 사용하는 장치가 개인 장치일 때), SMB의 선택지는 무엇일까? 일부 규모가 작은 기업들은 MDM을 100% 포기하기도 한다. 그러나 이 때는 공격을 받을 위험이 아주 커진다.

중소기업들이 위험을 감수하는 이유는 이들이 공격자의 '표적'이 될 것인지 여부와 관련이 있다. 대다수는 자신들이 큰 가치가 없고, 값진 데이터도 많이 보유하고 있지 않기 때문에 공격의 표적이 될 확률이 높지 않다고 판단해 위험을 감수한다.

쉴드는 "위험이 낮기 때문에 지금 당장 투자를 할 가치가 없다고 말하는 사람들이 있다. 실제로 많은 중소기업들이 이런 제멋대로의 방식을 적용하고 있다"고 말했다. 사용자가 이들 장치를 아무렇게나 사용하도록 방치하곤 한다는 진단이다.

린젠펠터는 또 회사 내부에 IT 부서가 없어서, 또는 인프라스트럭처나 중앙화된 이메일 시스템이 없어 솔루션을 도입하지 않는다는 이야기를 들었다고 전했다. 작은 회사들은 일반적으로 직원들이 장치를 바르게 사용할 것이라고 믿고 이를 기대한다.

그러나 다른 협력사들이 이를 받아들이지 않는 경우도 있다. 린젠펠터는 "일부 중소기업들은 솔루션이나 보안 대책 도입을 전혀 고려하지 않았지만, 파트너들이 이를 요청한다. 특히 제약 산업에 이런 사례가 많다. 비즈니스의 성격 때문에 무언가 대책을 마련할 것을 요청하는 것이다"라고 말했다.

린젠펠터는 이어 최소한의 대책을 요구하는 외부 파트너의 생각에 동의를 한다고 강조했다.

그는 "장치를 전혀 관리하지 않으면 공격을 받거나 정보가 누출될 위험이 올라간다다. 후자를 우려하는 사람들을 예로 들어보자. 공격의 표적이 되지 않을 수는 있다. 그러나 최종 사용자로부터 데이터를 빼낼 수 있는 소프트웨어가 아주 많다"라며 장치를 잃어버리는 문제도 있다고 덧붙였다.

린젠펠터는 "장치를 관리하지 않으면 어떤 방법으로 정보를 지울 것인가? 애플과 구글 모두 원격 지우기를 옵션으로 지원한다. 그러나 문제는 사용자가 이 옵션을 선택했는가 하는 것이다. 선택을 하지 않았다면 문제가 될 수 있다"라고 설명했다.


X