<전문가 기고> 스마트워크시대, 스마트한 모바일보안

강정구 지란지교소프트 보안사업팀장


이제 우리나라도 본격적인 스마트워크시대가 도래하고 있다.

그러나 그 속도가 느린 것은 ‘모바일보안’문제가 주요 원인 중 하나가 아닐까 생각해본다.

모바일보안의 필요성은 이미 알려졌고 스마트워크를 장려하는 정부기관에서는 다양한 보안정책과 가이드를 제시해왔다.

그러나 모바일 보안이 워낙 전문적이고 생소한데다가 관련된 명확한 규정이나 솔루션이 없었던 것이 문제였다.

우리가 이야기하는 모바일보안 위협요소는 크게 단말기, 애플리케이션, 플랫폼, 네트워크. 이렇게 4가지로 나눌 수 있다.

첫째, 모바일기기는 말그대로 ‘움직’이기 때문에 사용자 부주의로 분실, 도난되어 기업의 정보가 노출될 수 있다. 또한 모바일기기의 내장된 카메라. 녹음기능을 통해서도 내부정보가 쉽게 유출될 가능성이 있다.

둘째, 안드로이드를 겨냥한 모바일 악성코드가 1년 새 8배가 늘었다는 보안업체의 보도가 얼마 전에 있었다. 모바일악성코드는 앱을 위변조해 손쉽게 정보를 빼낼 수 있다.

셋째, 루팅·탈옥된 모바일 운영체제는 비정상적인 정보의 접근이나 유출 위험이 존재한다.

넷째, 모바일기기의 특성상 모든 네트워크는 무선을 사용하게 되면서 해커에 의한 속임수 와이파이 AP를 통해 데이터가 스니핑될 수 있고 사내에서 허용되지 않은 개인무선네트워크(테더링)을 통해 정보가 유출 될 수 있다.

결국 모바일도 PC처럼 기업의 상황에 맞는 다양한 보안을 적용해야 한다는 것이다.

따라서 위의 보안위협을 전반적으로 해결할 수 있는 여러 가지 모바일 솔루션을 함께 고려하는 것이 필요하나, 대부분의 위협요소는 모바일 단말관리(MDM)을 통해 80%이상 해결할 수 있으므로 가장 기본적으로 전문업체의 자문을 받는 것이 좋겠다.

이와 더불어 모바일보안은 PC기반의 보안과는 다르게 사용자 프라이버시에 대한 우려가 매우 높다. 개인디바이스던, 법인디바이스던 어쨌든 실사용자는 개인이기 때문에 ‘내가 혹시 추적을 당하고 있지는 않을까?’, ‘내가 사용하는 스마트폰 내용이 회사에 보고되지는 않을까?’하는 불편함과 불안감을 느낄 수 밖에 없다.

이에 대해 필자는 다음과 같은 해법을 제시한다.

첫째, ‘단말기 전체가 아닌 모바일오피스 사용에 대한 보안을 적용한다.’ 모바일 오피스를 BYOD(Bring your own device)에 적용하면서 사용자 단말기안의 회사 정보를 보호하기 위해 사용하는 동안에만 보안통제를 적용하고 평상시에는 기본 보안 외에 모든 사용이 자유롭다.

둘째, ‘모바일기기는 사내에서만 통제한다.’ 연구소, 지식기반산업체, 군 관련기관 등은 내부의 핵심정보에 대해 카메라, 녹음기, USB등을 통하여 외부에 유출되는 것을 방지하고자 한다.

기존에 비효율적인 스티커방식을 탈피. MDM솔루션을 통해 단말기가 사내에 들어왔을 때만 자동 차단하고 외부로 나갔을 때는 자동해지 하는 것이다. 참고로, 단말기 출입에 대한 제어방식은 회사환경에 따라 다양한 방식으로 적용될 수 있다.

현장에서 수많은 기업, 기관의 모바일보안분야 컨설팅을 하면서 가장 크게 느낀 부분은 기술적인 문제뿐 아니라 사용자의 입장, 회사의 문화까지도 함께 고려가 되어야 한다는 부분이었다.

지금까지 모바일보안을 적용한 기업 중에서 사내 홍보나 교육 등을 충분히 진행한 기업들은 사용자 불만이 거의 없다.

스마트하게 스마트워크를 도입하는 방법은 솔루션을 도입하는 IT부서뿐만아니라 임원진, 인사팀 등 여러 부서의 관심과 노력이다.