• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

모바일을 대하는 기업들의 자세 : 보안 딜레마 2014.06.27

휴대 기기 발전으로 보안 위협 늘어나

회사 입장에선 직원들 자유에 제한을 둘 수밖에 없는 상황


[보안뉴스 문가용] 휴대용 기기까지 직원들에게 지원해주는 회사는 그리 많지 않다. IT를 전문으로 하는 업체도 마찬가지이다. 새로운 모바일 기기가 등장했을 때 이를 적극 공략해도 모자를 기업들의 반응은 퀴블러 로스가 창안한 죽음의 5단계를 그대로 따를 때가 많다. 바로 부인, 분노, 타협, 우울, 수용이다.

모바일 시장의 성장속도와 가능성을 생각해봤을 때 이는 이상한 일이다. 가상화나 대용량 등 다른 IT 기술은 적극 받아들였으면서 왜 유독 모바일에는 이렇게 약한 모습일까?


그런데 이상한 건 이것만이 아니다. 직원들의 모바일 기기에는 알레르기 반응을 보인 기업들이 고객의 모바일 기기 지원에는 양팔을 다 걷어붙인다. 같은 모바일 기기인데 고객의 손에 있으면 이보다 더 푸르고 영롱한 블루오션이 또 없는 것처럼 군다. 스마트폰과 태블릿 PC는 찬란한 미래를 보장하고 회사의 운명을 좌지우지할 전지전능의 심판자이며 자애로운 절대자다. 도대체 이 차이는 무엇인가?


직원들의 모바일 사용을 지원하는 것과 고객들의 모바일 사용을 지원하는 것은 일단 소위 말하는 ‘마찰 없는 IT’를 이룩하는 데에 있어서는 둘 다 필수요소이다. 마찰 없는 IT란 회사들이 새로운 기기나 현상을 신속하게 반응할 수 있도록 하는 IT 전략을 말한다.


‘네 기기는 네가 알아서 마련하라’는 BYOD 정책에 아직 기업체들이 적응하지 못한다고 해서 무작정 손가락질 할 수는 없다. BYOD가 전혀 적용되지 않는 곳이 아직도 태반이라는 걸 감안하면 말이다. 예전엔 회사에서 직원들에게 랩탑을 지급하는 경우, 온갖 보안 및 관리 소프트웨어가 잔뜩 깔린 것만 허락했다. 아주 예외적으로 블랙베리 핸드폰을 지급하는 곳도 있었다. 블랙베리 핸드폰은 원래 튼튼한 보안으로 유명했고 게다가 검색기능이 굉장히 제한되어 있어 사용자 입장에선 답답했을지 몰라도 회사 입장에선 아주 편리한 기기였다.


그런데 아이폰과 안드로이드가 등장하면서 이 모든 게 한 순간에 바뀌었다. 서너 개에 그쳤던 엔드유저 시스템이 대여섯 개로 확 늘어났고, 각종 탈옥 수법 등 경우에 따라 십수 가지가 되기도 했다. IT의 관점에서 기업이 이련 변화에 일일이 발맞춰봤자 그 수고에 비해 돌아오는 이익은 거의 없었다. 게다가 자기 입맛에 따라 다양한 기기를 골라대는 직원들의 자유를 제한할 수도 없어 회사 차원에서 모든 가능성을 고려하기란 불가능했다.


한 2014년 보고서에 의하면 미국 전체 기업의 2/3가 BYOD 정책을 차용하고 있다. 사정은 작년에도 마찬가지였다. 이중 46%는 회사가 직원들이 선택할 수 있는 기기의 종류를 제한하고 있으며 43%는 기기에 제한을 두지는 않되 모바일 기기와 관련된 규칙을 강조하고 있는 것으로 조사됐다. 현재는 직원들이 회사 내에서 보유할 수 있는 기기에 제한을 두는 방향으로 옮겨가고 있다.


또한 같은 보고서에 따르면 보안정책 자체도 ‘개인 소유 기기’와 ‘회사 소유 기기’에 대해 전혀 다르게 설정된 경우가 많다. 회사가 소유하고 있는 기기의 경우 86%의 응답자가 ‘데이터를 저장해도 된다’고 했고 41%는 최소한 암호화시킬 필요가 있다고 했다. 개인 소유 기기의 경우 53%가 ‘데이터를 저장해도 된다’고 했고 33%가 최소한 암호화시킬 필요가 있다고 응답했다.


데이터 저장 여부를 묻는 질문에 대한 답이 개인 소유 기기와 회사 소유 기기에 따라 크게 갈렸다는 걸 알 수 있는데, 이는 고개를 갸우뚱하게 만든다. IT 기업 입장에서 모바일 기기가 제일 걱정스러운 면은 기기 분실 및 도난, 혹은 사용자가 드롭박스나 구글 드라이브와 같은 대중 클라우드에 자료를 업로드하는 경우인데, 회사 기기라고 해서 분실 위험이 줄어드는 것도 아니고 클라우드 업로드가 불가능한 것도 아니기 때문이다. 보안정책은 기기 소유주에 따라 달라지는 게 아니라 데이터의 종류나 중요도에 따라 달라져야 할 것이다. 이런 인식의 개선이 먼저다.


암호화와 공유 허용에 관한 정책을 수립할 때 제일 중요한 건 데이터의 중요도와 성질이다. 그리고 그 데이터가 기업에게 얼마큼의 가치를 가지고 있느냐이다. IT 기업은 데이터 접근이란 것에 있어서 보안을 항상 먼저 생각해야 하는데 이는 보안 정책을 세울 때 굉장히 좋은 마음가짐이긴 하지만, 안타깝게도 모바일 기기를 새로 만드는 사람들의 생각은 조금 다른 듯 하다.

그들이라고 기기에 보안성을 더하지 않는 건 아니지만 독창성 문제 때문인지 판매 문제 때문인지 제각각의 보안 시스템을 장착하고 시장에 나온다. 이렇게 되면 기업 입장에서 골치가 아플 수밖에 없다. 현재 기업들에게 필요한 건 어느 모바일 기기에서나 작동하는 모바일 관리 소프트웨어다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]