Q. 강 부장님께서 생각하시는 가장 큰 보안위협은 무엇인가요?

올해 초 카드사 사태의 개인정보 유출사고를 보면 USB를 통한 유출이었어요. 이 때문에 대부분의 기업은 내부정보 유출방지를 위한 시스템을 갖췄죠. 그러나 대부분 PC나 서버쪽에 초첨을 맞췄을 뿐 모바일기기에 대한 보안은 제대로 이뤄지지 않고 있습니다. 스마트폰의 경우 카메라 기능을 이용해 정보를 유출할 수 있고, 녹음기를 통해 회의내용을 녹취할 수 있습니다. 또한 블루투스나 USB 등을 통한 각종 데이터를 전송할 수 있죠. 이렇듯 모바일 보안위협에 대해서는 대응이 미흡한 실정입니다.

Q. 그렇다면 이번 ISEC 강연에서 초점을 맞춘 부분은 무엇인가요?

회사 내에서 모바일 기기의 보안위협을 차단할 수 있는 방법에 포커스를 맞췄어요. 특히 출입통제와 관련한 보안이야기를 쉽게 풀어보고자 했죠. 기존에는 출입통제 시 보안 스티커를 부착해 모바일기기 사용을 제한했어요. 그러나 보안 스티커는 허점이 많아요. 특히 모바일 기기에 부착된 스티커를 제거하게 되면 굉장히 위험해지죠. 이에 대응할 수 있는 보안방법에 대해 소개했습니다.

Q. 출입통제와 관련한 모바일 보안위협에 대해 좀더 구체적으로 말씀해 주신다면?

일반적으로 기업의 출입통제 시스템을 살펴보면 출퇴근 할 때 안내소에서 보안스티커를 부착해요. 이때 안내소에서 스티커 부착하는 작업을 하는데요. 그럴 경우 시간이 오래 걸리고, 생산성이 떨어져요. 게다가 모바일 기기 안의 블루투스 등의 차단은 어렵죠. 스티커 부착은 실제 외부 유출을 차단할 수 있는 데 한계가 있어 보안에 있어 극히 제한적이에요.

Q. 그렇다면 기업에서 모바일 보안위협을 효과적으로 대응하려면 어떻게 해야 하나요?

회사 내에 모바일 보안구역을 설정해야 합니다. 모바일 보안구역을 설정하면 단말기가 보안구역 안에 들어왔을 때 카메라, 녹음기, 블루투스, 테더링 등을 자동으로 차단할 수 있어요. 단 보안구역 외 지역에서는 모바일의 모든 기능이 정상적으로 작동되는 것을 보장해야 합니다.

Q. 마지막으로 모바일 출입통제 운영방식에 대해 설명해 주시다면? 

운영방식은 크게 무선신호에 의한 위치기반, 물리보안 시스템 연동, 혼용방식 등 3가지로 나뉘는데요. 무선신호에 의한 위치기반 방식의 경우 바깥에선 정상적으로 모바일 기기가 작동되다가 AP나 GPS 방식 등이 탐지되면 차단되는 형식이에요. 물리보안 시스템 연동 방식의 경우 스피드 게이트를 통과해 들어오면 출입자 정보를 통해 원격으로 모바일 기기를 차단하게 되요. 마지막으로 혼용방식의 경우 다중 무선네트워크 방식과 물리보안, 그리고 무선네트워크 방식을 더해 차단하는 방식이져. 만약 휴대폰에 내장된 카메라를 사용할 경우 보안정책에 따라 카메라 사용이 제한된다는 메시지 창이 뜨게 됩니다.

Q. ISEC 2014 강연을 통해 전하고 싶은 메시지는?

시스템 도입 담당자 입장에서 볼 때 BYOD 정책을 적용하려는 모바일 기기는 개인소유의 단말기인 경우가 대부분이에요. 이는 프라이버시 문제 발생으로 보안과는 상충될 수밖에 없어요. 이 부분을 먼저 해결해야 합니다. 이를 위해선 외부에서는 정상적으로 사용할 수 있도록 안정성을 구현해야 하고, 사내 보안구역 출입 시에만 보안이 적용되어야 하죠. 또한, 외부에서 자유롭게 사용될 수 있으려면 시스템 안정성이 무엇보다 중요합니다. 보안적용 측면에서도 각종 보안 홀에 대한 대응능력이 갖춰져야 하는 것이죠.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>