Q. MDM을 도입하는 기업의 직원들이 가장 걱정하는 것은 기업에서 직원들의 개인단말기에 강제로 앱을 설치하여 위치정보, 문자·통화 내역 등 직원들의 모든 것을 감시하는 것 아니냐는 것이다. 안드로이드 폰의 경우 실제로 가능한 내용이고 한 대기업의 경우 강제 적용 방침에서 선택 적용 방침으로 임시로 운용 중에 있는 것으로 알고 있는데 이러한 딜레마를 해결할 수 있는 방안 등 MDM 도입 시 고려해야 할 사항은 무엇인가?

A-1. 실제로 MDM을 도입하게 되면, 개인의 프라이버시 침해에 대한 걱정이 있는 것이 사실이다. 그래서 MDM을 도입할 경우에는 상기 질문에서와 같은 업무영역과 개인영역을 분리할 수 있는 솔루션과 같이 도입되어야만 한다. 그래서 MDM은 업무영역에서만 설치되어야 할 것으로 생각된다.

(최두호 한국전자통신연구원 박사

/dhchoi@etri.re.kr)

A-2. 최근 기업내 BYOD 문화가 확산됨에 따라 MDM(Mobile Device Management) 솔루션 도입에 대한 기업 보안담당자들의 고민이 커졌다. 업무에 사용하는 모바일 기기의 종류가 다양해지면서 보안 공백 최소화를 위한 MDM 솔루션 도입의 당위성에 대해서는 다수가 공감하고 있지만, 지나친 통제를 지적하는 우려의 목소리 또한 일각에서 제기되고 있기 때문에 결정을 내리기가 쉽지 않은 것이다. 사실 MDM 솔루션 도입에 따른 지나친 감시에 대한 반발감과 우려는 관리자의 노력과 보안업체와의 공조를 통해 어느 정도 해결할 수 있다. 이에 대해서 코소시스의 MDM 솔루션을 예로 들어 설명하도록 한다.

MDM 솔루션을 최초 도입할 때에는 장기간의 로드맵을 바탕으로 한 단계적인 접근이 필요하다. 우선 테스트 형태로 시범운영을 하면서 도입이 시급한 부서에 먼저 적용을 시키고, 운영과정에 대한 분석을 통해 점차 전체 부서로 확대시켜 나가는 것이다. 이 때 고려해야 할 사항은 해당 부서가 모바일기기로 어느 정도의 회사 업무를 수행하는지 여부다. 회사 이메일 시스템에 접속하고 ERP 결제 시스템을 사용하는 부서라면 MDM 솔루션 적용대상이라고 봐야 한다. 또한, 취급하는 정보 권한에 대한 차등 구분도 의미가 있다. 아무래도 높은 직급의 관리자일수록 중요한 회사 내부 정보에 접속하는 빈도가 높기 때문이다.

또 한가지 기업 보안담당자가 고려해야 할 사항은 통제할 모바일기기에 대한 표준화 프로세스이다. MDM 솔루션을 도입한다고 하더라도 하루가 다르게 새롭게 출시되는 스마트폰 등 모바일기기에 대한 완벽한 관리는 사실상 불가능하다. 보안업체와의 따라서 공조를 통한 버전 업데이트를 진행하면서 업무에 사용할 수 있는 스마트폰의 종류를 지정하는 등의 관리 또한 필요하다. 개인용 모바일기기와 업무용 모바일기기를 분리하고 이에 대한 보안정책을 다르게 적용함으로써, 지나친 통제에 대한 직원들의 반발심리를 상당 부분 완화시킬 수 있을 것이다.

코소시스의 MDM 솔루션은 이러한 단계적인 도입과 선택적 보안정책 적용이 가능하게끔 고안됐다. 고객 입장에서는 단일 어플라이언스 장비 형태로 구매한 뒤, 적용 대상이 확장될 때마다 라이선스를 추가로 구매하기만 하면 된다. 또한 해당 동일 장비에 원할 경우 DLP 솔루션까지도 추가로 탑재가 가능하기 때문에 일정 기간을 두고 장기적 보안 전략을 수립하기가 용이하다. 이와 더불어 보안담당자의 판단에 따라 제어 범위 및 통제 수준에 대한 설정을 할 수 있기 때문에 기업 내부에서 충분한 협의를 거쳐 가면서 과잉 감시 여부에 대한 직원들의 불만을 누그러뜨릴 수 있을 것이다.

(강영호 코소시스코리아 대표/gabriel.kang@cososys.co.kr)

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>