• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

데이터 보안 : 이제 마주 앉아서 니꺼 내꺼 따져야 할 때 2014.06.30

개인정보와 기업정보의 확실한 구분 필요

보안의 초점은 기기가 아니라 정보 그 자체


[보안뉴스 문가용] IT 전문가라고 해서 스마트 휴대기기들을 물처럼 쓰고 버리는 건 아니다. 더 중요한 게 무엇인지 알고 있을 뿐이고, 그건 휴대기기 자체가 아니라 그 안에 들어있는 데이터다.

해외 IT 전문매체인 인포메이션위크(InformationWeek)에서 실시한 설문에 따르면 68%의 응답자가 ‘데이터를 안전하게 지키는 것’이 매우 중요하다고 답했으며 이는 ‘기기를 안전하게 지키는 것’이 중요하다는 응답자보다 21% 포인트 높은 결과였다. 또한 72%의 응답자가 기기 분실 및 도난으로 인한 데이터 손실을 가장 큰 적으로 꼽았다.

 

 

이 결과를 놓고 봤을 때 사람들의 인식이 틀린 것 같지는 않다. 중요한 건 데이터지 기기가 아니다. 그렇다면 필요한 것이 실제적인 정책과 모바일로 옮겨 다니는 데이터를 관리할 제어장치다. 위 설문에 응답한 사람 중 46%만이 모바일 보안이 안정적이며 믿을만하다고 했으며 40%는 모바일 기기 사용자가 기업정보를 클라우드에 업로드시키는 게 걱정된다고 했다. 아이러니하게도 대부분의 기업에선 직원들의 모바일 기기 사용에 별다른 조치를 취하고 있지 않다. 보안담당자들만 골머리를 앓고 있다는 의미다.


생각해야 할 사안들은 많다. 모바일 기기를 가지고 인트라넷 등에 접속하는 걸 허용해야 하는가? 기업 내에서만 열람해야 하는 정보를 직원이 원격으로도 열람하도록 허용해야 하는가? 직원들 개개인의 모바일 설정사항을 회사가 직접 조정할 수 있을까? 아니면 개개인이 써도 되는 모바일 기기를 회사가 정해두어야 하는가?


일단 현재 모바일 기기의 설정 툴과 콘텐츠 관리 툴만을 전문적으로 취급하는 업체들이 점점 늘어나고 있는 건 사실이다. 이쪽 동네에서 크다고 하는 IBM이나 VMWare와 같은 업체는 각각 파이버링크(Fiberlink)와 에어왓치(AirWatch)를 도입해 직원들을 관리하고 있다. 그러나 여기서 중요한 건 어떤 제품을 쓰느냐가 아니다. ‘데이터 보안’이 무엇인지에 대한 확실한 개념이 서야 하는 것이다.


데이터 보안은 데이터 보안이다. 직원의 개인 기기에 기업정보를 안전하게 보관하는 것과 회사 랩톱으로 공공 와이파이 네트워크에 접속해 업무를 보는 것이 데이터 보안이라는 문제에 있어서 다르게 취급되어야 할 이유가 하등 없다는 것이다. 즉 진짜로 보호해야 할 것이 무엇인가 잘 생각해야 한다. 그건 이런 기기 저런 기기가 아니라 ‘민감한 정보’이다. 그 지점부터 생각을 키워나가보라. 너무 빠른 기기의 보급이나 회사의 빡빡한 규정을 탓하는 건 전혀 도움이 되지 않는다. 그렇다고 이런 현상을 무시하는 건 더 무식한 짓이다.


다행히 그런 태도를 취하는 기업은 소수인 듯하다. 위 설문에서 응답자의 76%가 데이터 보안문제 때문에 회사 내규와 정책이 바뀐다고 답했으며, 이는 법령과 규정에 의거하여 회사 보안정책이 바뀐다고 응답한 사람의 두 배 가까이 되는 숫자다.


데이터 보호, 기기는 나중

보안의 중요성이 강조되면서 각 회사마다 모바일과 관련된 회사정책 마련에 땀을 쏟고 있다. 직원들의 모바일 기기와 앱들, 또 이미 저장되어 있는 콘텐츠들을 어떻게 다룰 것인가가 중요한 고민이 된 것이다. 위에 언급한 에어왓치와 같은 보안 시스템들은 기기 관리를 용이하게 해준다. 게다가 확장 애드온이 나오면서 기능이 훨씬 풍부해졌다.


초기 모바일 기기 관리 패키지들은 모바일 기기 자체에 중점을 두고 개발된 것이 사실이다. 그래서 데이터 관리라는 측면에선 부실한 점이 많았다. 직원의 개인정보와 애플리케이션이나 회사의 정보와 애플리케이션을 구분하는 경계가 부실했다. 그래서 실수나 고의로 기기를 포맷하기라도 하면 모든 정보가 한 번에 사라지는 대참사가 일어나기도 했다. 별 다른 조작 없이 기기(혹은 소프트웨어)가 스스로 정보를 지워버리는 일도 발생했다. 


그래서 정보의 세분화를 시작했다. 여러 가지 방을 마련해 그 방에 맞는 정보를 분산 배치했다. 이렇게 함으로써 실수로 데이터 전부를 지우는 일을 사전에 방지했다. 또한 여기에 암호화 기술이 더해졌다. 설문에서 응답자의 반 조금 안 되는 수의 사람들이 기업정보를 개인 휴대기기에 넣지 않는다고 답했다. 기업정보라도 개인 기기에 넣어서 다닌다는 사람들 중 33%는 대신 데이터를 분산 배치시키는 건 필수라고 했다. 앞으로 몇 년만 지나면 분산 배치를 원하는 사람들의 수가 늘어날 것으로 보인다.


도난과 분실이 휴대기기에 있어 가장 큰 적이라고는 하지만 다른 위험요소가 존재하지 않는 건 아니다. 매년 모바일을 대상으로 한 멀웨어의 수는 급격히 늘고 있으며 이는 대부분 앱스토어나 구글 플레이와 같은 사용자가 의심하기 힘든 곳에 숨어 있다가 사용자의 기기를 공략하는 경우가 대부분이다. 그런 다음에 사용자가 기기를 PC에 연결하면 그 PC 역시 감염된다.


그래서 많은 응답자가 앱을 깔 때 특히나 조심한다고 답을 한 것이라고 볼 수 있다. 회사에서 제공한 ‘회사 기기’에는 18%만이 이미 공인되었다는 전제 하에 개인 앱을 설치한다고 했으며 26%는 아무 거나 상관하지 않고 설치한다고 답했다. 그리고 대부분의 기업들은 개인 기기의 경우 앱 설치에 특별한 제한을 두지 않는다고 답했다. 개인 데이터와 회사의 데이터, 그걸 저장하는 회사 기기와 나의 기기 사이에 분명한 경계선 확립이 필요한 시기다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>