2012.10.02

미 국방부가 전하는 5가지 모바일 보안 교훈

Jason Bloomberg | CIO

'돈'에 제한이 없다고 가정하면, 침투가 불가능한 탄탄한 보안 통신 역량을 개발하고자 할 것이다.   그러나 실제로는 다른 회사의 기술에 기반을 둔 장치를 사용해야만 하는 것이 현실이다. 하지만 그렇다 하더라도 해커가 중요한 통신을 공격하지 못할 것이라고 확신할 수 있어야 안심할 수 있다.

당연한 소리로 들릴지 모르겠다. 그러나 이런 방식에는 3가지 치명적인 단점이 있다.

MBA 과정의 가상 비즈니스 사례처럼 생각되는가? 불행히도 그렇지 않다. 세금으로 운영되는 기관에서 실제 일어나고 있는 시나리오이다. 몇 년 전, 미국 국가안전보장국(NSA)은 정보와 방위 활동을 위해 안전한 모바일 통신을 개발하기로 계획을 세웠다. 그리고 5년 동안 수백만 달러를 투자해 SME-PED(Secure Mobile Environment Portable Electronic Device)를 개발했다. SME-PED에는 하드웨어 중심의 서킷 스위치 보안 기술이 사용됐다. 그러나 4G 이상의 모바일 기술이 등장한 현재로서는 시대에 뒤떨어진 기술이다.

따라서 SME-PED를 교체해야 하는 실정이다. 자본이 충분하니 또 5년간 기술을 개발해야 할까? 너무 느리다. NSA와 국방부(DoD ; Department of Defense)는 SME-PED에서 모바일 보안과 관련된 중요한 교훈 몇 가지를 터득한 듯 보인다.

새로 발표한 국방부 모빌리티 전략 메모(DoD Mobility Strategy Memo)는 기존과는 완전히 다른 방법을 제시하고 있다. 이 메모는 SME-PED 당시의 문제 해결에 돈을 쏟아 붓는 전통적인 방법 대신, 또 통신을 제한하기보다는 인적자원에 권한을 부여하는데 더 중점을 둔 모빌리티 전략을 규정하고 있다.

DoD의 전략적 조언
DoD가 전략적 조언을 전해줄 대상으로 보이지 을지도 모르겠다. 그러나 어떤 조직이건 귀담아 들을만한 가치가 있는 몇 가지 중요한 교훈이 있다. 이 가운데 5가지를 소개한다.

1. 하드웨어가 아닌 소프트웨어에 초점을 맞춘다. DoD는 오랜 기간 하드웨어에 기반을 둔 암호화 기술을 이용하는 정책을 유지해왔다. 그러나 이번 모빌리티 전략은 소프트웨어 기반 보안을 중시하고 있는 것이 특징이다. 이러다 보니 사용하고 있는 장치들도 상용제품(COTS: Commercial Off The Shelf)이다. 이는 DoD 직원들의 희망을 반영한 것이다. 또 미래 전략 경쟁력 강화에도 도움이 된다. DoD는 모바일 기술 개발에 전력을 기울여야 하기 때문이다.

실제 DoD는 지난 2010년 애플과 회의를 가졌다. 당시 회의에 참석한 한 장성에 따르면, 애플에 아이폰을 조금 수정해 납품해줄 것을 요청한 것으로 전해지고 있다. 그러나 애플이 이를 강하게 거부했다. 이유가 뭘까? 국방부가 거만한 고객이라서가 아니라 경제적인 현실 때문에 거부를 했다. DoD가 제 아무리 많은 아이폰을 주문하더라도, 이는 하루 또는 이틀 생산 분량에 불과하다. 아무리 국방부가 최대 고객이 된다 하더라도 하드웨어를 바꾸는 수고를 감수할 정도는 못 된다.

2. 상호운영성을 장려한다. DoD 모빌리티 전략은 '구성이 가능한' 솔루션을 지향하고 있다. 다른 말로 설명하면, 모바일 장치에서 상호 운용이 가능한 앱, 모바일과 클라우드, 전통적인 하드웨어 장치에서 상호운용이 가능한 앱을 기대 및 장려하고 있다.

원래 폐쇄된 기술이 더 안전하다고 생각들을 해왔다. 그러나 현대에 들어와 개방성을 포용하면서, 개방적이며 역동적인 환경에서 기능을 하는 보안 기술을 개발하고 있는 추세다. 그리고 이런 앱이 있다면, 여기에 맞는 보안 방법도 확보되어야만 한다.




2012.10.02

미 국방부가 전하는 5가지 모바일 보안 교훈

Jason Bloomberg | CIO

'돈'에 제한이 없다고 가정하면, 침투가 불가능한 탄탄한 보안 통신 역량을 개발하고자 할 것이다.   그러나 실제로는 다른 회사의 기술에 기반을 둔 장치를 사용해야만 하는 것이 현실이다. 하지만 그렇다 하더라도 해커가 중요한 통신을 공격하지 못할 것이라고 확신할 수 있어야 안심할 수 있다.

당연한 소리로 들릴지 모르겠다. 그러나 이런 방식에는 3가지 치명적인 단점이 있다.

MBA 과정의 가상 비즈니스 사례처럼 생각되는가? 불행히도 그렇지 않다. 세금으로 운영되는 기관에서 실제 일어나고 있는 시나리오이다. 몇 년 전, 미국 국가안전보장국(NSA)은 정보와 방위 활동을 위해 안전한 모바일 통신을 개발하기로 계획을 세웠다. 그리고 5년 동안 수백만 달러를 투자해 SME-PED(Secure Mobile Environment Portable Electronic Device)를 개발했다. SME-PED에는 하드웨어 중심의 서킷 스위치 보안 기술이 사용됐다. 그러나 4G 이상의 모바일 기술이 등장한 현재로서는 시대에 뒤떨어진 기술이다.

따라서 SME-PED를 교체해야 하는 실정이다. 자본이 충분하니 또 5년간 기술을 개발해야 할까? 너무 느리다. NSA와 국방부(DoD ; Department of Defense)는 SME-PED에서 모바일 보안과 관련된 중요한 교훈 몇 가지를 터득한 듯 보인다.

새로 발표한 국방부 모빌리티 전략 메모(DoD Mobility Strategy Memo)는 기존과는 완전히 다른 방법을 제시하고 있다. 이 메모는 SME-PED 당시의 문제 해결에 돈을 쏟아 붓는 전통적인 방법 대신, 또 통신을 제한하기보다는 인적자원에 권한을 부여하는데 더 중점을 둔 모빌리티 전략을 규정하고 있다.

DoD의 전략적 조언
DoD가 전략적 조언을 전해줄 대상으로 보이지 을지도 모르겠다. 그러나 어떤 조직이건 귀담아 들을만한 가치가 있는 몇 가지 중요한 교훈이 있다. 이 가운데 5가지를 소개한다.

1. 하드웨어가 아닌 소프트웨어에 초점을 맞춘다. DoD는 오랜 기간 하드웨어에 기반을 둔 암호화 기술을 이용하는 정책을 유지해왔다. 그러나 이번 모빌리티 전략은 소프트웨어 기반 보안을 중시하고 있는 것이 특징이다. 이러다 보니 사용하고 있는 장치들도 상용제품(COTS: Commercial Off The Shelf)이다. 이는 DoD 직원들의 희망을 반영한 것이다. 또 미래 전략 경쟁력 강화에도 도움이 된다. DoD는 모바일 기술 개발에 전력을 기울여야 하기 때문이다.

실제 DoD는 지난 2010년 애플과 회의를 가졌다. 당시 회의에 참석한 한 장성에 따르면, 애플에 아이폰을 조금 수정해 납품해줄 것을 요청한 것으로 전해지고 있다. 그러나 애플이 이를 강하게 거부했다. 이유가 뭘까? 국방부가 거만한 고객이라서가 아니라 경제적인 현실 때문에 거부를 했다. DoD가 제 아무리 많은 아이폰을 주문하더라도, 이는 하루 또는 이틀 생산 분량에 불과하다. 아무리 국방부가 최대 고객이 된다 하더라도 하드웨어를 바꾸는 수고를 감수할 정도는 못 된다.

2. 상호운영성을 장려한다. DoD 모빌리티 전략은 '구성이 가능한' 솔루션을 지향하고 있다. 다른 말로 설명하면, 모바일 장치에서 상호 운용이 가능한 앱, 모바일과 클라우드, 전통적인 하드웨어 장치에서 상호운용이 가능한 앱을 기대 및 장려하고 있다.

원래 폐쇄된 기술이 더 안전하다고 생각들을 해왔다. 그러나 현대에 들어와 개방성을 포용하면서, 개방적이며 역동적인 환경에서 기능을 하는 보안 기술을 개발하고 있는 추세다. 그리고 이런 앱이 있다면, 여기에 맞는 보안 방법도 확보되어야만 한다.


X