| 철통 사내 보안 마이크로소프트 “BYOD, 그까짓 거” | 2014.07.02 | |
회사 내 네트워크에만 34만 대가 넘는 기기 원칙 세우고 지켜 보안사고 사전에 막아 [보안뉴스 문가용] 회사 IT 환경의 보안성을 높이는 건 말처럼 간단한 일이 아니다. 또한 BYOD 현상이 갈수록 심화되면서 보안은 하루하루 더 어렵고 복잡해진다. 이 BYOD를 아무 탈없이 도입하려면 보안담당자들이 새로운 전략을 끌어들여야 한다.
마이크로소프트라는 기업 내 네트워크에는 34만 대의 기기가 연결되어 있고, 원격으로 연결된 것까지 합하면 매달 2백만 대가 넘는다. 하지만 이 많은 기기들 중 정보를 흘리고 다니는 건 한 개도 없다. 비결이 무엇일까? 1. BYOD 전략을 개발하라 보안은 정처 없이 떠도는 개념 덩어리가 아니라 구체적인 실천사항으로 이루어진 전략이어야 한다. 마이크로소프트에서는 다음과 같이 항목을 나눠 정리하고 있다.
- 위의 것을 이루기 위해 꼭 갖춰야 할 것들 - 보안에 구멍을 내지 않고 직원들의 개인 기기를 지원할 수 있는 방법 - 신뢰도 구축과 성취를 위한 전략 이것 역시 아직은 모호함을 벗어나지 않는 단계라고 볼 수 있다. 그래서 마이크로소프트에서는 첫 번째 항목에 대해서 다음과 같이 구체적으로 풀어 해석하고 있다. “직원들이 개인 기기를 통해 메시지를 주고받거나 협업을 촉진할 수 있도록 여건을 만들어주고 업무용 애플리케이션을 사용할 수 있도록 허가해 생산성을 높이면서 동시에 개인의 삶과 회사 생활의 균형을 맞출 수 있도록 한다.”
- 개인 모바일 전화로 이메일을 주고받을 때 보안을 위한 회사의 조치를 허용한다. - 개인 모바일 전화가 일정 시간 동안 사용되지 않으면 자동으로 잠기게 한다. - 분실 및 도난에 대비, 전화기에 저장된 회사의 정보를 원격으로 지울 수 있게 한다. 이런 구체적인 방침과 전략이 있기 때문에 마이크로소프트는 9만 여개의 개인 기기를 포함한 34만 개의 엔드유저 기기를 안전하게 운영할 수 있다. 2. 개인정보와 회사정보의 명확한 구분이 필요하다 개인정보와 회사정보 간의 정확한 구분을 개개인의 판단에만 맡겨서는 안 된다. 마이크로소프트에서는 업무용 이메일에 접속하려면 개인 기기든 아니든 다음과 같은 절차를 거쳐야만 한다. - 기기에서 정보를 암호화한다. - PIN 설정을 한다. - 회사의 애플리케이션과 정보를 보호하기 위해 원격으로 유지 관리가 가능하도록 설정한다. 이 표준 절차는 지금도 계속해서 변화하고 진화해 예견할 수 없는 현실을 반영할 수 있도록 한다. 또한 인튠(Intune) 등 이런 절차를 위한 소프트웨어도 개발해 개인 파일, 앱, 이미지 등을 전혀 건들이지 않고 개인 기기와 연결된 클라우드에서 회사 정보만 추출해 지운다. 3. 접속 권한을 유연하면서 엄격하게 설정한다 당연한 말이지만 마이크로소프트에서는 사용자마다 접속 권한을 다양하게 설정하고 있다. 사용자뿐 아니라 접속을 시도하려는 ID나 기기에 따라서도 접속권한이 다양하게 적용된다. 크게는 다음과 같은 문제에 따라 권한을 부여한다.
- 접속을 시도하고 있는 기기가 회사의 표준 보안절차를 거친 것인가? 아니면 개인 기기로서 보안 강화 처리가 안 된 것인가? - 접속을 시도하고 있는 위치가 어디인가? 과거에 접속이 이루어졌던 곳인가? 아니면 완전히 새로운 장소인가? 이에 따라 네트워크에는 접속이 가능하지만 데이터에는 일부만 접속이 가능하다든지, 아니면 아예 접속이 전부 불가능해진다든지 하는 권한이 부여된다. 근무지에서의 BYOD가 점점 민감한 주제가 되어감에 따라 보안담당자들의 노고가 하늘을 찌르고 있다. 빠르게 진화하는 IT 기기의 현실을 생각하면 그럴 수밖에 없을 것이다. 하지만 그렇다고 전면 금지를 선포하기에는 BYOD가 주는 생산성 향상이나 근무 사기 증대 등의 효과 역시 무시할 수가 없다. BYOD, 보안 부서를 넘어 회사 차원에서 고민해야 할 영역이 되어버렸다. ⓒDARKReading [국제부 문가용 기자(globoan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
