[보안뉴스 호애진] 세계적인 리서치 자문기관 가트너(Gartner, Inc.)가 최근 실시한 조사에 따르면, 응답자 중 70%가 ‘BYOD(Bring Your Own Device)’ 정책을 이미 채택했거나 향후 12개월 내에 채택함으로써 개인 모바일 기기를 기업 애플리케이션에 연결할 수 있도록 할 계획이라고 밝혔다.

조사 대상 조직 중 33%는 이미 스마트폰과 태블릿 같은 모바일 기기에 대한 BYOD 정책을 수립한 것으로 나타났다.

가트너의 책임 연구원(principal research analyst)인 디오니시오 주멜레(Dionisio Zumerle)는 “기업 소유의 모바일 기기들이 직원들의 개인 기기로 대체되는 추세는 모바일 보안에 대한 기존의 사고 방식과 처리 방식에 크게 영향을 미치고 있다”며, “당초 개인 사용자 수준의 보안을 제공하는 모바일 기기를 위해 규정된 정책 및 툴은 조직이 아니라 궁극적으로 개인 사용자의 기기에 적용되도록 개정돼야 한다”고 지적했다.

가트너는 조직들이 BYOD 정책으로 전환할 때 3가지 주요 영향을 고려하고 조치를 취해야 한다고 판단한다.

1. 개인 소유 기기를 활용하려는 사용자의 권리가 기업 모바일 보안 정책과 충돌하며, 데이터 누출 및 취약점 악용의 위험이 높아지고 있다.

회사 건물 외부에서 직원들은 개인 기기에 대한 자체적인 활용 정책을 정의할 수 있다. 기업들이 기업 소유 기기의 애플리케이션 설치 및 웹 액세스를 제한할 수 있는 반면, 개인 사용자들은 자신이 선택한 앱을 설치하고 웹사이트를 방문할 수 있으며 개인 소유 기기의 보호 수준을 결정할 수 있다.

기업 데이터를 개인 기기상에서 사용하는 것이 허용되면, 모바일 악성프로그램이 증가할 수 있을 뿐만 아니라 합법적이지만 기업에서 지원하지 않는 앱이 불가피하게 조직의 보안 위험을 발생시킬 수 있으며, 특히 기기 분실 등으로 기업이 보안 위험이 증가할 수 있다.

MDM(Mobile Device Management) 소프트웨어를 이용하는 것은 모바일 기기 정책을 실행하는 방법 중 하나다. 사용자들은 자신의 개인 기기상에 MDM 에이전트를 설치하도록 승인한 이후에야 기업 정보에 접근하는 권한을 얻게 되며, 클라우드 기반 SWG(Secure Web Gateway) 서비스와 같은 URL 필터링 툴을 통해 인터넷 트래픽에 관한 기업 정책을 적용하고 보호해야 한다.

기업들은 애플리케이션 화이트리스트(whitelisting), 블랙리스트(blacklisting) 및 컨테이너화(containerization) 기법의 이용과 함께 지원하는 앱을 위한 엔터프라이즈 앱 스토어 또는 앱 카탈로그의 구축을 고려해야 한다.

2. 기기 선택에 대한 사용자의 자유나 보안이 적절히 구현되지 않은 기기가 확산됨에 따라 특정 기기를 적절하게 보호하는 것은 물론, 취약점과 업데이트를 추적하는 것이 어려워지고 있다.

사용자들이 OS(Operating System)와 모바일 기기 버전을 선택할 수 있게 되면서 보안이 취약해질 수 있다는 가능성이 제기되고 있다.

필수적인 보안 기준에서는 한층 강화된 보안 통제, 잠금 기간 적용, 암호 재시도 횟수가 한도를 초과한 경우 기기 잠금, 원격 잠금이나 삭제 기능 등을 요구한다. 기업 이동성 기준은 또한, OS 버전뿐만 아니라 하드웨어에 대한 최소 요구 사항을 기술해야만 한다.

모바일 보안 정책과 함께 네트워크 접근 제어 정책이 사용돼야 하는데 보안 기준을 지원할 수 없는 기기의 이메일이나 앱이 기업 리소스에 접근하는 것을 거부하는 것이 예가 될 수 있다. 기준을 준수하지 않는 기기를 금지하거나 MDM 소프트웨어를 이용해 경보를 생성하는 등의 예방 조치가 취해져야 한다.

그렇지만 허용 기기 유형을 명시적으로 제한하는 것은 사용자에게 돌아가는 BYOD의 이점을 상쇄시키는 결과를 초래할 수 있다. 기기의 다양성 때문에 보안이 훼손되어서는 안되지만, 새로운 기기 모델을 관리하고 보호할 수 있다면, BYOD를 수행해야 한다. 적용되는 정책들은 조직의 위험 성향과 기기에 저장하도록 허용된 데이터의 민감도에 따라 달라질 수 있다.

3. 사용자의 기기 및 데이터 소유권으로 인해 개인정보보호 문제가 부상하고 있으며 공격 받은 기기에 대한 수정 조치 방법에 걸림돌이 되고 있다.

대부분의 사람들은 자신의 기기에 저장된 데이터를 개인 자산이라고 생각하며 명시적인 동의를 구하지 않고 조직이 이를 조작하는 데 대해 강력하게 반대한다. 기업 소유 기기에서 개인 소유 기기로 전환하는 경우, 모바일 보안 정책 중 기본적인 보안 기능인 ‘원격 삭제(remote wipe)’ 기능은 법적 및 문화적인 관점에서 더욱 복잡해진다.

따라서 반발을 피하기 위해서는 이 이슈에 대해 충분한 관심을 기울여야 한다. 실제로 ‘선택적 삭제(selective wipe)’는 모든 업무 데이터를 삭제하는 것뿐만 아니라 오직 업무 데이터만 기기에서 삭제하도록 보장하는 것 또한 어렵다는 것이 확인되고 있다.

이와 같은 상황에서는 기기 데이터 삭제와 관련한 법적 영향이 있을 수 있기 때문에 법무팀에 연락해 조언을 구하는 것이 권장된다. 사용자가 원격 삭제를 거부하는 경우, 문제가 발생할 수 있다. 이와 같은 작업을 수행할 때 시간이 매우 중요하며 원격 삭제가 필수적이라고 생각되는 경우, 보안이 훼손된 이후 사용자에게 승인을 요청하는 것은 메시지 교환 지연의 영향을 받을 수 있으며 이는 치명적인 결과를 초래할 수 있다.

따라서 사용자가 BYOD 프로그램에 가입하는 시점에 보안이 훼손됐거나 기기의 분실 또는 도난 발생 시 데이터를 삭제하는 데 대한 사용자의 명시적인 서면 동의를 확보하는 것이 권장된다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>