• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

BYOD, 안전한 기업 적용 위한 ‘필살기’ 2013.11.29

기업의 모든 데이터 흐름 지도 생성·기업 데이터 분류 등 필요


[보안뉴스 김경애] 스마트기기를 회사 업무에 활용하기 위한 BYOD(Bring Your Own Device)가 여러 위험 요소들이 존재함에도 불구하고 기업 내 BYOD의 효용성은 높을 것으로 보인다.


가트너(Gartner, Inc)에 따르면 2017년까지 기업 50%가 개인기기를 업무에 활용할 것으로 전망하며, 2012년 초 기업 44%가 BYOD 관련 정책이 있었으나 2013년도에는 94%로 급증했다고 밝혔다. 또한, 시만텍 서베이(Symantec survey, ‘13.4)에서는 기업 70%가 BYOD가 제공하는 이동형 업무기회에 대한 이익이 위험성보다 크다고 발표한 바 있다.


그러나 이러한 BYOD는 환경의 특수성으로 인한 여러 취약점이 존재하고, 업무처리에 있어 모바일 기기 사용은 이동성이 증가하게 되면서 기존 모바일 기기 이용에 따른 취약점을 고스란히 안게 된다.


또한, 개인기기를 이용하게 되므로 기업 입장에서는 보안을 위한 통제에 대한 부담감이 생긴다. 즉 기업에서 BYOD 환경을 구축하려는 주목적은 업무의 효율성이지만 언제 어디서든 기업 데이터에 접근할 수 있게 되면서 발생하는 취약점이 존재한다는 것이다.


인터넷침해대응센터는 “보통 웹 기반 어플리케이션을 비롯해 클라이언트 어플리케이션, 서버 엔드포인트(Endpoint)가 공격의 타깃이지만 모바일 어플리케이션에 대한 공격은 Web에 대한 공격과 비슷하며, 모바일 기기의 플랫폼이나 어플리케이션의 목적에 따라 다르다”고 밝혔다.


그렇다면 기업 내 BYOD 환경을 구축하기 위해 어떻게 해야 할까? 이와 관련 포브스는 필수적으로 제공해야 하는 서비스를 파악하고, 이에 따른 보안이슈를 고려해 보안 방법을 수립해야 한다고 밝혔다.


이에 따라 인터넷침해대응센터는 보호해야 할 기업 데이터 및 서비스에 대한 분석이 이루어진 후 새로운 솔루션 도입 등을 추진하는 기술적 측면의 방안이 필요하다며 대응방안으로 △기업의 모든 데이터 흐름 지도 생성 △기업 데이터 분류 △MDM 솔루션 적용 △루팅 단말기기 금지 △사용자의 효율적 암호 설정 △모바일 정책 △개인기기 사용 관련 규칙 제정 △모바일 이용자 교육 △회사기기 사용 등을 제시했다.


기업의 모든 데이터 흐름 지도 생성은 기업 내 어디에 기업 데이터가 저장되고 어디에서 메시지가 전송되는지 파악해야한다. 이는 기업의 노출 정도를 파악하는 기본 단계로 적당한 솔루션을 선택할 수 있는 기초가 된다.


기업 데이터 분류는 기업 데이터 접근 통제를 위해 포함된 정보의 중요도에 따라 분류 작업이 필요하고, MDM 솔루션 적용은 모바일 단말 관리 솔루션을 이용하면 기기 분실이나 도난 시 기기 내 존재하는 데이터 삭제 등이 가능하므로 보안의 관점을 기기 자체의 보호에서 콘텐츠 보호로 변경하는 효과를 얻을 수 있다.


다음으로 안전한 BYOD 환경을 구축하려면 루팅 단말기기 사용하지 않도록 제한 해야 한다. 이는 임의로 OS를 조작한 루팅 스마트폰에서 최고관리자 권한을 획득할 수 있는 보안 취약점이 존재하기 때문이다.


이를테면 본지가 지난 1월에 보도한 루팅 스마트폰의 경우 권한 획득이 가능하도록 하는 취약점이 발견된 바 있다. 일반적으로 루팅 제어 앱을 설치하고, 이를 활성화 하는 경우에만 최고관리자 권한을 획득할 수 있는데 이를 비활성화 해도 조작을 통해서 권한 획득이 가능하도록 한 취약점이 발견되었던 것. 이는 공격자가 루팅 제어 앱에서 루팅 활성화 코드를 추출해 악성코드를 심어 유포하면 다른 사용자의 단말기에 이 악성 앱이 설치되고, 이를 이용해 사용자의 권한설정 앱을 조작할 수 있다.


다음으로 사용자의 효율적 암호 설정은 외부 위협에 대응하는 가장 간단하지만 효과적인 방안이다. 따라서 사용자의 효율적 암호 설정 등과 같이 규칙 제정 등 정책적 측면의 방안이 필요하다.


모바일 정책은 기본 사용, 데이터 소유권 이슈 등 기본적인 문제에 대한 처리 프로세스부터 분실이나 도난 기기에 대한 프로토콜 제정까지 전반적인 이슈를 모두 정책적으로 다뤄야 안전한 이용 환경 구축이 가능하다.


개인기기 사용 관련 규칙 제정은 자신의 개인기기 검색 허용을 동의하는 계약서 등에 서명한 직원에게만 기업 데이터에 접근할 수 있도록 하는 등의 명확한 규칙 제정은 필수사항이다. 통제 접점이 명확할 수 없는 BYOD 환경 특성상 위에 언급한 물리적, 직접적 방안 이외에 사업적 측면의 방안도 필요하다. 이와 함께 모바일 이용자 교육과 회사기기 사용으로 제한되어야 한다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>