기기에 초점을 맞추면 정보의 등급을 같은 선상에 놓기 일쑤

접근에 제한을 두기보다 안전하게 접근하도록 환경을 조성해야

※ 1편은 여기서 볼 수 있습니다.

※ 2편은 여기서 볼 수 있습니다.

[보안뉴스 문가용] 보안 정책을 수립할 사람들을 선택했다면 다음 고민으로 넘어갈 차례다. 바로 회사 입장과 직원 입장의 절충점을 찾는 것이다. 회사로서는 정보 유출 방지가 가장 큰 주안점이고 직원들은 보다 편리하게 일을 하고 싶을 것이다. 이 둘을 완벽하게 맞출 수는 없다. 그리고 이는 회사의 특성에 좌지우지된다. 은행이나 금융 관련 기관의 BYOD 정책과 기술개발 업체의 BYOD 정책은 확연히 다를 것이다.

그런데 이렇게 절충점을 찾을 때의 가장 중요한 기준은 ‘기기’가 아니라 ‘기기의 사용’ 혹은 그 안에 담겨 있는 ‘정보’여야 한다. “기기 자체를 기준으로 보면 모든 정보와 앱을 똑같이 취급하는 오류를 범하게 됩니다. 분명히 정보마다 등급과 중요도가 다른데 말이죠. 기기가 무엇이든 간에 정보의 등급을 정하고, 그에 따른 보호 장치를 마련하는 게 훨씬 본질에 가까운 일입니다.” 보안 솔루션 개발업체인 NetIQ의 보안전략 책임자인 죠프 웹(Geoff Webb)의 설명이다.

그러므로 BYOD 정책이 가지는 효력이란 기기의 종류나 소유주를 막론하고 어떤 정보를 저장해도 되는지를 정하고 걸러주는 것이어야 한다. 혹은 민감한 정보를 보호할 수 있는 환경을 직원들 각자의 기기에 마련하는 것도 좋은 방법이다. 그래서 회사에 따라 직원들의 접근을 아예 막는 곳도 있고 회사에서 개발하거나 사용하는 인증 프로그램을 설치한 직원들만 정보에 접근할 수 있도록 하는 곳도 있다.

결국 어떤 것이 민감한 정보이며, 민감하다고 분류된 정보를 어떤 식으로 다루게 할 것인지를 결정하는 게 BYOD 정책의 핵심이라고 봐도 무방하다. 직원들이 개인기기를 통해 이런 민감한 정보에 접근하려고 할 때 그 직원의 위치 정보나 시간, 기기의 종류 등을 확인한 후에 접근허가 여부를 결정하는 시스템을 마련하는 것도 중요하다.

“결국 정보를 어떤 식으로든 소비를 해야만 사업이 굴러갑니다. 그렇다면 소비자인 직원들이 보다 쉽고 안전하게 장치를 마련해주는 게 좋겠죠. ‘막자’보다는 ‘잘 쓰게 하자’가 더 나은 시각이 아닐까 합니다.” 아이오닉 시큐리티(Ionic Security) 게티 씨의 의견이다.

“그러나 이 경우 소비자가 정보의 주인이 되지는 못합니다. 주인은 어디까지나 회사가 되는 것이죠. 그러니 ‘소비자가 잘 사용하도록’ 하려면 주인이 ‘언제, 어디서, 어떻게, 왜 이 정보를 사용하려고 하는지’를 파악할 권리도 있습니다. 소비자를 좌지우지하는 게 아니라 내 소유인 정보를 효과적으로 통제하려는 것이죠. 두 입장은 같은 듯 하지만 많이 다릅니다.”

게다가 이런 식의 시각이 정책을 실제 마련하는 작업을 훨씬 쉽게 한다. 기기를 위주로 정책을 마련하다보면 본질에 다가가지 못하고 ‘가지치기’만 계속 반복하게 되며, 한번 제대로 BYOD 정책을 마련하면 모바일 기기뿐만 아니라 웹, 네트워크 직접 연결 등 사람들이 민감한 정보에 접근하는 여러 방법들까지도 다룰 수 있기 때문이다. “BYOD라고 하면 모바일을 주로 떠올리는데, 모바일 기기는 BYOD의 한 단면일 뿐 전부가 될 수는 없습니다. 모바일 기기가 아니라 정보 자체를 중심으로 생각함으로써 BYOD의 더 넓은 부분을 커버하는 게 가능해집니다.”

(다음 기사에서는 BYOD 정책을 마련할 때 흔히 저지르는 실수에 대해 알아보겠습니다.)

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>