BYOD 정책, 모바일 기기 넘치는 시대에 꼭 필요한 보안 기본 뼈대

프라이버시와 정보보호 상충을 방지하려면 투명성이 보장되어야

▲ 잘못하면 이런 투명함이 고파질지도...

[보안뉴스 문가용] 직원들은 스마트폰을 좋아한다. 태블릿 PC도 좋아한다. 그래서 업무시간에도 뽐뿌를 들여다보고 어디서 최신 기기가 싼 가격에 풀렸다고 하면 서로 정보를 속닥거린다. 그러니 사실상 회사에서는 근무시간 동안만 이런 기기를 압수한다거나 회사에서 지정해주는 기기만 사용하도록 할 수가 없다. 거스를 수 없는 흐름이란 게 있는 거다. 이런 때에 회사가 할 수 있는 일은 이왕 사용하는 거 ‘잘 사용하도록’ 돕는 것뿐이다.

물론 기업들이 직원들의 기기 관리에 들어간 건 어제오늘 일이 아니다. 모바일 기기 관리와 모바일 애플리케이션 관리 툴에 투자하는 걸 아끼지 않는다. 문제는 노력에 비해 얻는 게 크지 않다는 것이다. 직원들이 개인기기를 소유하도록 허락하는 것, 이른바 BYOD를 도입한 회사가 ITIC의 통계에 의하면 65%에 달하지만 이 중 43%는 BYOD 보안정책 비슷한 것도 마련하지 못하고 있는 실정이다.

BYOD 정책이 수립되어 있지 않다면 아무리 최고의 모바일 기기 관리 소프트웨어를 구비하고 있어도 소용이 없다. 척추 없이 걷고 싶어 하는 것과 다름없다. BYOD 정책이란 단단한 보안 강화의 기본 골격이며 법적 보호라는 안전한 쿠션이다. 정책이 없다면 회사는 기기가 새로 나올 때마다, 혹은 새로운 모바일 기기 이슈가 발생할 때마다 그때그때 즉석에서 얄팍한 방안을 마련할 수밖에 없다.

정책이 없다면 회사가 불필요한 법정 싸움에 휘말릴 수도 있다. 회사로서는 정책을 세우고 투명하게 집행해서 직원들이 회사가 보안에 대해 어떻게 생각하고 어떤 방식으로 기업 문화로 적용하는지, 또 직원들의 데이터 사용을 어떤 식으로 주시하고 있는지를 알려줘야 한다. 투명해야 직원들의 쓸 데 없는 의심을 받지 않게 되고 프라이버시권을 침해하지 않을 수 있기 때문이다.

게다가 BYOD 정책을 수립하고 직원들을 교육함으로써 회사 자체의 리더십을 강하게 구축할 수 있고 직원들이 다루고 있는 파일이나 자료가 결국 누구에게 귀속되는지도 확실하게 정의할 수 있게 된다. 이는 개인의 기기로 접해도 되는 기업정보가 무엇인지, 안 되는 정보가 무엇인지 확실하게 구별해주며 반대로 기업이 열람해도 되는 정보가 무엇인지 그럴 수 없는 게 무엇인지도 구분해준다.

“BYOD 정책에 있어서 가장 중요한 건 투명성입니다.” 모바일 보안전문 회사인 모제이브 네트웍스(Mojave Networks)의 CEO인 가렛 라르슨(Garrett Larsson) 씨도 투명성을 강조한다. BYOD 정책을 담은 문서에는 직원들이 업무에 개인기기를 사용할 때 그 안에 담긴 정보에 대한 회사 측의 책임과 권한이 명시되어 있어야 한다. “그렇지 않으면 직원들 머리 위에 물음표가 둥둥 떠다니는 걸 볼 수 있을 겁니다.” 모바일 기기 관리 회사인 굿 테크놀로지스(Good Technologies)의 CTO인 니코 반 소메렌(Nicko van Someren) 씨가 말을 이었다.

(다음 기사에서는 BYOD 정책을 어떻게 만들기 시작해야 하는지에 대한 이야기가 계속됩니다.)

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>