[보안뉴스= 한승수 체크포인트코리아 부장] 이 글을 읽는 사람들은 아마도 프로젝트 관리의 삼각형 모델에 대해 들어 보았을 것이다. 이는 프로젝트의 제약요인을 표현하는 것으로 이 삼각형의 각 꼭짓점은 속도, 품질, 가격이다. 다시 말해 어떤 프로젝트라도 이 세 가지 요소 모두를 최적화 할 수는 없다는 것이다. 다른 두 속성을 극대화하기 위해서 한 가지 속성에 대해서는 어쩔 수 없이 타협을 해야만 한다. 즉 프로젝트의 품질을 향상시키면서 더 빠르게 완료하기 위해서는 당연히 더 높은 가격을 지불해야만 하는 것이다.

이는 전통적으로 IT 보안 분야에도 동일하게 적용돼 왔으며, 특히 이동성이 강조되고 있는 오늘날은 더욱 그렇다. 이 경우 삼각형의 각 꼭짓점은 보안성, 이동성, 생산성이 된다. 일반적으로 기업들은 이동성을 강화해 생산성을 향상시키는 반면, 보안성에 대해 타협하거나 강화된 모바일 보안을 추구하는 대신 생산성을 희생하는 두 가지 접근방식 중 하나를 선택하고 있다.

최근 조사에 의하면 대부분의 기업들은 이동성을 강화하면서 보안을 희생하는 첫 번째 접근방식을 주로 사용하고 있다. 체크포인트가 전 세계 700여 IT 종사자를 대상으로 기업 내에서의 이동성과 모바일 디바이스 사용에 대해 조사한 결과 72%의 응답자는 지난 2년 동안 기업 네트워크에 접속하는 개인용 모바일 디바이스의 숫자가 2배 이상 증가했다고 답했다. 또한, 82%의 응답자는 향후 12개월 간 모바일 보안사고가 증가할 것으로 예상하고 있으며, 이를 개선하기 위해 더욱 많은 비용이 필요할 것이라고 예상했다.

반면 56%의 응답자는 이메일, 연락처, 기업 일정 캘린더, 고객정보를 직원의 개인 디바이스에서 사용하고 있으며, 44%의 응답자만이 비즈니스 데이터를 개인 디바이스에서 전혀 취급하지 않는다고 응답했다.

감당할 수 없는 문제

거의 절반에 달하는 기업들이 직원의 개인 디바이스를 관리하거나 보안을 적용하지 않고 있다는 부분이 중요하다. 모바일 디바이스상의 데이터와 자산을 보호하기 위한 보안전략이 왜 뒤떨어져 있는 것일까? IT 부서가 모바일 보안에 투자할 충분한 시간과 자원을 확보하지 못하고 있다는 것이 하나의 원인일 것이다. IT 부서는 자원과 인력 투입을 위한 우선순위를 정해야 하지만 직원들의 개인 디바이스 활용은 이를 관리하기 위한 자원과 인력의 확보 속도보다 훨씬 빠르게 증가하고 있는 것이다.

이런 기업들은 직원들이 개인용 디바이스를 통해 기업 데이터를 사용할 때 각자 보안에 대해 주의해 주기를 바라고 있는지도 모른다. 그리고 대부분의 직원들은 이런 부분에 대해 책임의식을 보여줄 것이다. 하지만 직원들은 일반적으로 보안 리스크에 대한 고려보다 업무를 효율적으로 처리하고 완수하는 것에 더욱 큰 관심을 보인다. 대부분의 경우에는 리스크가 존재함에도 불구하고 별다른 일이 발생하지 않기 때문에 이런 경향은 더욱 심화된다. 그러나 우발적인 사고는 언제라도 발생할 수 있다. 체크포인트 조사에 의하면 IT 전문가의 87%는 사이버 범죄자들보다는 부주의한 내부 직원을 더욱 큰 보안 리스크로 여기고 있다.

수많은 디바이스, 수많은 문제들

기업이 디바이스의 분실 또는 도난 리스크로부터 민감한 데이터를 보호하기 위해 어떤 접근방식을 취해야 하는가? 중요한 포인트 중 하나는 모바일 보안이 단일 이슈가 아니라 ‘원격 액세스에 대한 보안’, ‘단말에 존재하는 데이터에 대한 보안’, ‘공유된 문서에 대한 보안’ 등 혼합된 형태를 띠고 있다는 것이다. 또한, 기업의 데이터 보안 정책과 데이터 분실로 인해 일어날 수 있는 결과에 대해서 교육을 통해 사용자들에게 이해시키는 것 역시 중요하다.

각기 다른 특징을 가진 다양한 솔루션이 이동성과 보안문제를 해결하기 위해 시도됐지만 완벽한 솔루션은 없다. EMM(Enterprise Mobile Management) 솔루션은 디바이스 컨피그레이션을 관리하지만 통제되지 않은 환경에서 비즈니스 데이터와 문서를 보호하지 못한다. 보안의 특정 분야에 초점을 맞춘 모바일 솔루션은 기업의 보안정책이나 보안 인프라스트럭처와 통합되지 않는다.

보안, 이동성, 생산성이라는 3대 핵심요소

기업 환경에서 진보된 모바일 보안을 실현하기 위해 필요한 것은 다음의 세 가지 주요 문제를 해결할 수 있는 통합된 접근방식이다.

1. 어느 네트워크에서 사용되더라도 외부 위협(Threat)에 대응할 수 있도록 보호 영역 확대

2. 비즈니스 데이터의 보호를 위해 보안된 작업영역(Secure Workspace) 설정

3. 기업 내부, 혹은 외부에서 비즈니스 문서에 대한 보호 기능 제공

첫번째 문제는 기업이 보호하고 있는 경계선 외부에서 디바이스가 사용돼 멀웨어에 감염됐을 때 발생한다. 이는 디바이스에 저장된 데이터를 위험에 노출시키며 감염된 디바이스가 다시 내부로 들어오면 기업 네트워크 전체에 이를 확산시킬 수 있다. 이 문제에 대한 효과적인 솔루션은 클라우드 기반의 VPN 서비스를 통해 디바이스에 보안을 제공하는 것이다. 이는 의심스러운 파일의 다운로드를 방지하고 유해한 웹사이트를 차단하며 피해가 발생하기 전에 봇(Bot)을 정지시켜 사용자, 네트워크, 비즈니스 데이터를 위협으로부터 보호한다. 이는 또한 기업의 보안정책을 모든 디바이스로 확대시키는 역할을 한다.

두 번째 이슈는 비즈니스용 데이터의 보호가 가능한 조건하의 개인 디바이스 활용이다. 이 경우의 솔루션은 비즈니스용과 개인용으로 데이터 및 애플리케이션을 상호 격리하는 안전한 비즈니스 환경을 만드는 것이다. 이는 디바이스 내부에 보안성이 담보된 암호화된 애플리케이션 작업 영역을 통해서만 기업의 이메일, 문서, 자산에 액세스할 수 있게 하는 것을 의미한다.

세 번째 모바일 보안 문제는 비즈니스 문서가 기업의 내·외부 네트워크 어디에 있더라도 이를 보호하는 것이다. 이를 가능하게 하는 가장 이상적인 솔루션은 문서 자체에 보안을 적용해 오로지 승인된 사용자만 워드, 엑셀, 파워포인트, PDF 같은 업무용 문서에 접근하고 읽을 수 있게 하는 것이다. 보안은 기업의 보안 가이드라인이 항상 적용될 수 있도록 문서가 처음 만들어질 때부터 같이 시작돼야 하며, 문서와 항상 함께 따라다녀야 한다.

이런 접근방법을 통해 기업은 보안 프로젝트의 삼각형 모델이 적절한 균형과 형태를 갖출 수 있도록 구성할 수 있다. 즉 기업들이 보안에 대한 타협 없이 진정한 이동성과 생산성을 제공할 수 있게 해 주는 것이다.

[글_한 승 수 체크포인트코리아 부장]  

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>