지난 번에는 모바일 오피스 도입 활성화에 따른 기업용 보안 솔루션의 발전에 대해 알아보았다. 이번 두 번째 연재에서는 기업이 도입하는 모바일 오피스에서 일반적으로 제공하는 기능이 어떤 것들이고 이에 동반되는 보안 이슈와 기존 PC기반에서는 어떻게 해결되어 왔는지를 살펴본다. 또한 향후 모바일 오피스 보안의 방향에 대해 알아본다.

기업의 모바일 오피스의 도입 시에 가장 중요한 문제는 보안 문제가 해결되어야 한다는 것이다. 아직까지 모바일(스마트폰) 기반 보안 정책 및 관련 솔루션들이 기존 PC기반 보다 미비한 것이 사실이기 때문이다. 본고에서는 기업이 도입하는 모바일 오피스에서 일반적으로 제공하는 기능이 어떤 것들이고 거기에 동반되는 보안 이슈, 그리고 해당 보안 이슈가 기존 PC기반에서는 어떻게 해결되어 왔는지를 알아보자. 또 모바일 오피스 보안이 앞으로 나아가야 할 방향에 대해서도 살펴보도록 하자.

모바일 오피스의 주요 기능

모바일 오피스 관련해서 우선 기업은 기존의 업무 중에서 어떤 업무를 기존 PC에서 모바일 기반으로 확장할 것인지를 판단하고 이에 따른 보안 정책 및 관련 보안 솔루션 도입을 고민하는 것이 맞을 것이다. 아직까지 모바일 오피스 도입에 대한 효율성도 기업 및 해당 업종에 따라 차이가 있고 더구나 모바일 오피스가 기존 PC기반 업무처리 보다 효율성, 보안성 및 안전성 측면에서 부정적 영향이 있는 경우도 적지 않은 상황이다.

     

예상 하건데 일반적인 기업들이 필요로 하는 모바일 오피스 적용 대상 업무영역을 생각해 보면 대부분의 복잡한 업무는 기존 PC기반으로 유지될 것이며 반대로 상대적으로 간단한 업무는 스마트폰 및 테블릿PC 기반으로 확장될 것으로 보인다. 기존 PC기반 업무 전체를 모바일 오피스로 전환하는 경우는 아주 특수한 상황에 머물 것이다. 그렇다면 모바일 오피스로 확장하기 적당한 업무는 어떤 업무영역일까? 아마도 특수 업종을 제외하고는 기업에서 가장 먼저 고민하고 있는 업무분야는 그룹웨어 분야일 것이다. 그룹웨어 분야는 스마트폰의 업무효율을 극대화할 수 있는 부분이고 그룹웨어 자체의 가장 큰 목적 역시 정보의 공유이기 때문에 언제 어디서나 정보가 공유될 수 있는 스마트폰 기반으로 확장되기가 가장 쉽다고 판단할 수 있다.

현재의 스마트폰을 가지고 기존 PC에서 하던 복잡·다단한 성격의 업무를 처리하도록 하는 것은 의미가 없다고 생각한다. 분명히 스마트폰과 PC에서 처리할 수 있는 업무나 사용자는 기업 자체의 정책으로 구분하도록 해야 하며 이런 정책 기준을 토대로 모바일 오피스 대상의 업무를 선정해야 한다. 그렇다면 그룹웨어를 모바일 오피스로 전환할 경우 어떤 보안 이슈가 있고 어떻게 해결해야 할지를 살펴보자.

모바일 오피스 그룹웨어 보안

그룹웨어의 보안은 크게 통신구간 암호화, 인증/입력 보안 그리고 데이터 유출 보안 등 3개 영역으로 나뉜다.

●통신구간 암호화

기존 그룹웨어에서 대부분 구현되어 있는 부분이며 HTTPS로 구현이 되어있다면 모바일 오피스에서도 역시 자연스럽게 해당 보안 수준을 유지할 수 있다. 만약 이렇게 구현되어 있지 않다면 통신구간 보안을 위해 PC에 별도 보안 프로그램이 설치되는 구조라면 스마트폰용 통신 암호화 보안 모듈이 구비되어야 할 것이다. 모바일 특성상 이동 중 접속한 무선 AP 보안이 안전하지 않은데다가 도청이나 해킹도 더 쉽기 때문에 해당 통신 구간에 대한 암호화는 반드시 필요하다.

통신구간 암호화는 다른 무엇보다 먼저 선행되어야 하는 필수 보안 영역이다. 단 이미 스마트폰에서 적용 가능한 보안 솔루션이 있고 SSL을 통해서도 구현이 가능하기 때문에 기업에서 적용할 때 별다른 어려움은 없을 것이다.

●인증/입력 보안

기존 ID / Password 기반의 인증을 포함해서 모바일 오피스로의 이동 역시 어렵지 않을 것이다. 또한 인증/입력 보안 역시 스마트폰에 적용 가능한 보안 솔루션이 존재한다. 결론적으로 ‘통신구간 암호화’나 ‘인증/입력 보안’ 모두 기업이 어렵지 않게 보안을 구축할 수 있을 것이라 예상한다.

(소)모바일 오피스 데이터 유출 보안

최근 미디어에서 모바일 오피스 보안을 화두로 다양한 보도가 있었다. 대부분 기사보도에서 소개한 보안 측면의 이슈들은 앞서 소개한 통신구간 암호화, 인증/입력 보안 보다는 데이터(데이터) 보안에 대한 내용들이었으며 해당 데이터 보안의 어려움으로 인해 국내 모바일 오피스 도입이 어렵거나 도입되더라도 시간이 많이 지체될 것으로 예상되어 왔다.

●데이터 유출 보안.

통신구간 암호화, 인증/입력 보안 등은 어떻게 보면 기업 외부 공격에 대한 보안이다. 만약 기업이 통신을 암호화하고 정상적으로 인증까지 거쳤다 하더라도 기업 내부정보에 대한 열람 및 수정과 같은 내부 사용자에 대한 보안이 중요해 진다. 앞서 기업의 모바일 오피스 도입에서 가장 큰 부담이 보안문제라 지적했는데 다양한 보안영역 중에서도 기업 내부자의 데이터 유출 보안이 가장 중요하다. 문제는 이 부분에 대한 기업의 우려 만큼 관련 보안정책이나 적용 가능한 보안 솔루션도 없는 상황이기 때문에 좀 더 이슈가 되고 있다.

어떻게 보면 데이터 유출 보안이 되지 않은 상황에서 스마트폰으로 외부에서 기업 내부정보를 열람하는 행위 자체가 데이터 유출과 동일하다고 볼 수 있다. 그렇다면 이와 같은 보안문제를 기존 PC기반에서는 어떻게 해결하고 있는지 살펴보자. 지난 호에서 기업 내 PC에 설치되는 보안 소프트웨어는 일반 사용자(개인 및 PC방)에 설치되는 보안 소프트웨어와 차이가 있다고 언급한 바 있다. 기업에서는 기업 내 중요 정보가 외부로 유출되는 것을 차단하는 보안 소프트웨어인 디지털저작권관리(Digital Rights Management: DRM), 정보유출방지(Data Loss Prevention: DLP) 등이 존재한다.

해당 보안 소프트웨어는 데이터를 자동으로 암호화하고 데이터에 대한 사용권한이 부여되며 데이터의 열람 회수 제한 및 수정 금지 등이 기업 자체의 서버정책으로 적용된다. 이밖에 기타 오프라인 미디어로 복사되는 행위도 제한되며 네트워크를 통해 외부로 전송되는 행위 역시 제한된다.

아래는 데이터 유출을 보안하는 대표적인 보안인 DRM시스템이 가진 주요 기능이다.

·PC에 설치되는 소프트웨어 형태로 시스템에 대한 전반적인 권한을 갖는다.

·사용자 인증/기기 인증을 수행한다.

·데이터 생성(저장 시) 자동으로 암호화 된다.

·암호화된 데이터는 보안 소프트웨어가 없이는(사용자 인증/기기 인증) 복호화 할 수 없다.

·암호화된 데이터는 세부적인 권한정보를 포함하고 있다.

-열람 가능한 사용자(또는 그룹) / 기기

-데이터에 대한 읽기만 가능, 열람 횟수를 제한한다.

·암호화 뷰어 제공한다.

·데이터에 대한 감사 로그를 생성한다.

모바일 오피스 데이터 유출 보안은 어떤 형태?

기업에서 모바일 오피스 도입을 고려할 때 기존 PC기반으로 적용된 다양한 보안 시스템을 긴밀히 살펴볼 필요가 있다. 하지만 기존 PC기반 보안 소프트웨어 등이 스마트폰 기반으로 확장되고 있지만 스마트폰 고유의 OS나 사양에 따라 구조적으로 보안적용이 불가능한 상황이 존재한다. 그러한 이유는 PC기반 보안 소프트웨어들은 시스템의 전반적인 권한을 갖고 이를 토대로 시스템을 제어하는데 스마트폰에서는 불가능하기 때문이다.

스마트폰에서의 데이터 유출 보안의 경우를 예로 들어 보자. 데이터 유출 보안에서 가장 중요한 부분을 차지하는 부분은 ‘암호화 뷰어’ 측면이다. 암호화된 데이터를 복호화하여 화면에 출력하는 것이 뷰어의 기본 기능인데 문제는 뷰어가 데이터가 고유형태(DOC, PPT, HWP 등)나 버전에 종속되어 각기 따로 개발되어야 상황이 나올 수 있는데 있다. 이 부분은 PC기반에서도 데이터 유출 보안을 완벽히 구현하는데 있어서 어려움으로 지적 받아 왔던 부분이다.

향후 데이터 유출을 방지하는 보안 애플리케이션이 나오기는 하겠지만 이는 데이터 하나 하나의 보안보다는 모바일 보안기기 전반에 대한 보안을 담당할 것으로 예상된다. 때문에 이미 출시된 모바일 디바이스 관리(MDM) 솔루션이 기기 전반에 대한 관리 및 보안정책 설정 등을 지원한다는 측면에서 주목 받고 있다. 따라서 모바일 오피스에서의 데이터 보안 기능은 많은 부분이 애플리케이션에 포함되어야 할 것이며 보안업체에서도 해당 애플리케이션 내에서 보안기능을 수행할 수 있는 모듈을 개발하는 것이 향후 시장 대응에 유리할 것으로 전망된다.

현재까지 상용화 된 스마트폰 기반 보안 제품은 거의 모두 애플리케이션을 토대로 구현되었다. 즉 기업의 서비스나 업무활동에 필요한 애플리케이션이 있고 해당 애플리케이션에 별도의 라이브러리(Library) 형태로 포함되었다. 이는 스마트폰 OS에서 애플리케이션 간의 샌드박스(SandBox) 기능 및 권한관리로 보호되고 있기 때문에 어떤 보안제품이라도 다른 애플리케이션의 정보를 수정할 수 없다.

이러한 특수성을 감안할 때 대부분의 보안 제품은 모바일 오피스 기본 애플리케이션 안에 포함되는 형태로 제공될 것이다. 위의 데이터 유출 보안(DRM)과 같은 수준의 보안기능이 모바일 오피스 안에 제대로 구현된다면 어느 정도의 데이터 유출에 대한 보안 리스크는 상쇄될 수 있다. 기본적으로 데이터 유출 보안과 함께 암호화된 데이터가 스마트폰을 통해 활용된다는 기본 구조만 잘 지켜진다면 많은 보안이슈가 해결될 수 있다.

모바일을 통한 데이터유출 보안 중요

다양한 모바일 오피스의 보안문제 중 유독 데이터 유출 보안이 이슈가 되는 이유는 데이터 유출 보안을 구현하기 위해선 단순히 제품 도입만으로 끝나는 것이 아니라 다양한 데이터에 대한 기업 내부의 정책을 세우고 유지하기가 어렵기 때문이다. 기술적으로도 암호화 기반의 데이터 유출 보안을 구현하기 위해 암호화 뷰어 개발에도 많은 시간과 노력이 필요하다. 효과적인 데이터 유출 보안 구현 및 정책설정을 위해서는 기존 PC기반으로 적용된 데이터 유출 보안 시스템을 면밀히 살펴볼 필요가 있다. 예를 들어

·기존 PC에서의 데이터 유출 보안은 하고 있는지

·데이터의 형태 포맷은 어떤 것들이 있는지

·중요 데이터와 그렇지 않은 부분을 어떻게 구분하는지

·데이터에 대한 상세 권한은 어떻게 부여되고 있는지

·모바일 오피스에서 역시 중요 정보를 열람할 것인지

·기존 데이터 유출 보안 시스템을 모바일 시스템에 적용할 것인지

-기존 시스템과 연계할 것인지

-별개의 시스템으로 Gateway로 제공할 것인지

-암호화 데이터에 대한 Viewer를 어떻게 구성할 것인지

데이터 유출 보안을 구축하는 가장 쉬운 방법은 별도의 G/W서버에서 암호화를 수행하고 인증된 사용자에게 배포하는 것이다. 기존 시스템과 연동도 쉬울 뿐 아니라, 새로운 암호화(가벼운) 규칙도 정할 수 있을 것이다. 암호화된 데이터가 스마트폰으로 내려가고 이를 열람할 수 있는 뷰어(모바일 오피스 내에서 제공)가 있다면 내부사용자에 대한 기본적인 보안이슈는 해결했다고 해도 과언은 아니다.

이처럼 간단하게 몇 가지 보안이슈 및 항목을 예시했지만 이를 실제 모바일 오피스 시스템에 적용하려면 기업 뿐 아니라 보안개발 업체도 많은 고민이 필요하다. 또한 모바일 오피스에서의 데이터 유출 보안을 위해 PC에서처럼 클라이언트 설치만으로 모든 것이 이루어질 것이란 기대는 버려야 한다. 아마도 보안 업체에서 제공할 수 있는 것은 기업의 다양한 보안정책을 커버할 수 있는 라이브러리 인터페이스(Library Interface)가 될 것이며 이를 운영하는 주체는 역시 모바일 오피스 자체가 될 것이기 때문이다.

[글 _ 박현우 소프트씨큐리티 개발2팀 팀장(hwpark@softsecurity.co.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>