모바일 기기가 우리 삶에 깊숙이 관여하면서 보안 관리가 점점 더 까다로와지고 있다. 스마트폰, 태블릿 등의 모바일 기기는 해커가 개인정보를 훔칠 수 있도록 하는 새로운 통로이기도 하다. 그리고 이러한 추세는 더욱 가속화될 전망이다. 이에 따라 모바일 기기를 적절히 보호하는 작업이 점점 더 중요해지고 있다. 아바스트 소프트웨어의 부사장이자 아바스트 모바일 엔터프라이즈의 제너럴 매니저인 시난 에렌이 모바일 기기를 보호할 수 있는 7가지 예방책을 소개한다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
공공 와이파이 네트워크 접속 시 주의하기
공공 와이파이 네트워크는 해커들이 개인정보에 접근을 시도하기 쉬운, 보편적인 공격 경로이기 때문에 가능하면 VPN 연결을 해야 한다. 아바스트 소프트웨어는 올 MWC가 열리기 전에 바르셀로나 공항에서 와이파이 해킹 실험을 진행한 바 있다. 실험 결과 수천 명의 참석자들이 편리함의 위험성을 간과하고 회사의 데이터를 기기에서 위험하게 방치하고 있었음이 드러났다.
기기에는 데이터 저장하지 않기
기기에 데이터를 보관하지 않으면 잃어버리거나 도둑맞거나 잘못 관리될 가능성도 적다. 1세대 모바일 보안 솔루션에서는 기기를 잠그는 방식으로 데이터를 보호했다. 그러나 이제는 기기 관리만으로는 데이터를 보호하기에 충분하지 않다는 사실을 모두가 알고 있다. 모바일 기기와 OS는 각기 이질적인 존재이며 이를 한꺼번에 관리하려는 관점은 IT 부서의 발목을 잡을 수 있다.
세션 관련 정보를 퍼시스턴트 쿠키로 보관하지 않기
해커를 저지하는 또 다른 방법으로는 공격 가능 영역을 축소하는 방법이 있다. 해커로서는 IP 해킹에만 무한정 시간을 쏟을 수 없다. 즉 세션 관련 정보를 퍼시스턴트 쿠키로 보관하지 않는다면, 조직 침투 경로를 짜는 해커들을 방해할 수 있다.
앱 접근성에 대한 강제성 있는 정책
모바일 앱을 통제할 수 있는 가장 빠르고도 손쉬운 방법 중 하나는 바로 정책이다. 모든 조직은 쉽게 강제할 수 있는 정책을 펼쳐 직원들의 모바일 앱 접근성과 기본 앱에 대한 접근성을 관리할 수 있다. 예를 들면 기간제 및 임시 근로자의 경우 전체 네트워크가 아닌 업무와 관련된 특정 앱에만 접근할 수 있으면 된다. 써드파티 앱에 필요 이상의 접근을 승인하지 않도록 IT부서가 직접 관리해야 할 것이다.
데이터 암호화 시 보안 SDK 사용하기
보안 SDK는 데이터 보안에 활용되는 암호화키뿐 아니라 실제 데이터를 보호할 때에도 좋은 방법이다. 정보 보호 차원에서 하나라도 더 보안 조치를 취하면 취할수록 해커가 해당 정보에 접근하기 더 어려워진다. 당연한 말 같지만 많은 이들이 아직도 따르지 않아서 피해를 입고 있다.
전체 개발 과정에서 보안 다루기
앱 개발 과정에서 보안은 여전히 간과되고 있다. 사실 보안은 테스트 및 품질 확인 단계부터 앱 스토어에 승인서를 제출하기 직전의 마무리 단계까지 전체 앱 개발 과정에서 다뤄져야만 한다. 보안을 전체적인 관점으로 바라보지 않는다면 문제가 발생할 가능성이 많아질 뿐이다.
써드파티 컴포넌트 관리
개발자들은 대개 파일 포맷 파싱, 네트워킹, 컴프레션 라이브러리 등의 써드파티 컴포넌트를 자기 프로그램에 삽입한다. 이 모듈식 컴포넌트는 대부분의 프로그램에 잘 맞는 편이라서 개발자로서는 프로그램을 개발할 때마다 새로운 컴포넌트를 만들 필요가 없다. 컴포넌트를 적당히 골라서 삽입하는 개발자라면 사용 중인 모든 컴포넌트가 최신형인지 별도의 시간을 들여 확인해야 하고, 프로그램 발표 후에도 컴포넌트 관리를 지속해야 할 것이다.