| 스마트폰 보안 전화 아닌 PC라는 인식이 출발점 | 2010.07.21 |
요즘 스마트폰의 인기는 참으로 대단하다. 일부 보도에 따르면 국내 스마트폰 가입자 수는 5월 말에 200만 명에 이르렀고, 올해 판매량이 400만 대에 육박할 것으로 예상된다. 이러한 스마트폰 열풍은 개인뿐만 아니라 국내 각 기업들에게도 불고 있어 많은 기업에서 스마트폰 도입을 통해 사무실 밖에서도 회사 업무를 볼 수 있는 ‘모바일 오피스’를 앞 다퉈 추진하고 있다. 그러나 각 기업의 보안담당자들은 스마트 폰을 활용한 업무 효율성과 보안문제 사이에서 고민을 하고 있는 실정이다. 최근 스마트폰 보안문제를 다루는 기사를 보면 대부분이 악성코드 유입에 따른 스마트폰 내부에 있는 개인정보, 금융정보 등의 자료 유출에 대한 문제를 지적하고 있으나 기업의 서버, PC에 있는 내부 보안자료가 스마트폰을 통해 유출될 수 있는 문제가 기업의 보안담당자 입장에서는 훨씬 심각한 문제이기에 이번 연구에서는 스마트폰이 자료를 유출하는 도구로 쓰여 기업의 보안자료가 유출될 수 있는 문제점을 경로별로 정리하고 이에 대한 보안대책을 살펴보고자 한다. \r\n스마트폰이란? \r\n스마트폰을 통한 내부정보 유출 보안대책을 논하기 전에 먼저 스마트폰의 의미에 대한 고찰이 필요하다. 스마트폰은 기존의 휴대전화가 가지고 있는 음성과 텍스트 중심의 기능 이외에 인터넷 정보검색, 유·무선 통신을 통한 자료 송·수신, 일정관리, 팩스 송수신 등의 개인휴대 단말기의 장점이 합쳐진 기기다. 뿐만 아니라 일반 PC와 같이 스마트폰에는 운영체제(OS)가 탑재되어 있으며 대표적인 운영체제로는 노키아 스마트폰에 탑재된 심비안, RIM의 블랙베리 OS, 애플의 아이폰 OS, 마이크로소프트의 윈도우모바일, 구글의 안드로이드 등이 있다. \r\n이러한 OS의 운영으로 스마트폰에서도 PC처럼 애플리케이션(프로그램)을 설치하고 이용할 수 있으며 다양한 애플리케이션을 다운받아 사용할 수 있기 때문에 사용자들 또한 스마트폰을 선호하는 것으로 생각된다. 따라서 스마트폰은 ‘여러 가지 기능이 복합된 전화’가 아니라 ‘전화가 되는 휴대용 PC’라는 인식의 전환이 필요하고 보안대책 또한 스마트폰의 다양한 기능과 휴대성을 고려하여 최소 PC 수준 이상의 보안대책이 필요하다. \r\n스마트폰 보안 문제 및 대책 \r\n그럼 이제부터 스마트폰의 보안문제에 대해 본격적으로 논의하고자 한다. 필자가 생각하기에 자료 유출의 관점에서 스마트폰과 관련된 보안문제는 크게 두 가지로 나누어 생각할 수 있다. \r\n첫째는 해커의 공격에 의해 스마트폰에 악성코드가 심어져 스마트폰 안에 있는 개인정보, 금융정보 등 각종 자료가 해커의 손에 넘어가게 되는 문제, DDoS(Distribute Denial of Service) 문제 등이 PC에서와 유사한 형태로 발생될 수 있다. 이에 대한 대응 방안은 최근 각종 기사에 많이 언급되고 있는 바와 같이 백신 프로그램 설치와 스마트폰 보안수칙을 준수하는 것이 가장 효과적인 대응책이라고 본다. \r\n기술유출 도구로 활용되는 스마트폰 문제 \r\n두 번째로 생각할 수 있는 문제점은 스마트폰이 자료유출의 도구로 활용되어 기업의 서버, PC에 있는 보안자료를 유출시킬 수 있다는 것이다. 사실 보안담당자 입장에서는 첫 번째 문제보다 지금 언급하고 있는 문제가 훨씬 중요하기 때문에 두 번째 언급한 문제점에 대해 조사한 내용을 설명하는데 지면을 많이 할애하고자 한다. \r\n스마트폰이 기술유출의 도구로 사용되는 사례는 크게 3가지로 나누어 생각해 볼 수 있으며 각각 문제점 위주로 설명하고, 그 대책은 기업마다 처한 상황이 다르므로 개괄적으로 제시하고자 한다. \r\n업무 시스템에 접속해 기술을 유출시키는 경우 \r\n
효율적인 보안대책으로는 DRM을 통한 데이터 암호화, 스마트폰 분실시 원격 데이터 삭제, 네트워크 접근제어 시스템(NAC)을 통한 미인가 AP의 네트워크 접근 차단, 불법 무선랜 탐지/차단 시스템(WIDPS)을 통한 불법 AP 전파 차단 등이 효율적인 대책이라 생각된다. \r\n유·무선 연결을 통해 기술을 유출시키는 경우 \r\n
효율적인 보안대책으로는 DRM을 통한 암호화, 이동저장장치 통제 시스템 적용, 네트워크 접근제어 시스템(NAC)을 통한 미인가 AP의 네트워크 접근 차단, 불법 무선랜 탐지/차단 시스템(WIDPS)을 통한 불법 AP 전파 차단 등이 있으나 각 시스템별 차단방식을 파악하여 어떠한 경우에도 완벽하게 차단될 수 있는지 추가적인 검토가 필요할 것으로 보인다. \r\n\r\n 3G 및 Wibro 통신망을 이용해 기술을 유출시키는 경우 \r\n
3G나 Wibro 통신망을 통해 외부로 전송하는 것에 대해서는 사내보안 시스템으로 통제할 수 없는 영역이므로 테더링 기능을 갖춘 스마트폰이 사내 PC에 연결되지 못하도록 하는 보안대책이 필요하며 DRM을 통한 암호화 또한 효율적인 보안대책이라 생각한다. \r\n지금까지 스마트폰 보안문제에 대해 각 유출경로별로 설명했으며, 보안대책 또한 유출경로별로 제시했다. \r\n기술적인 보안 측면에서 검토했을 때, 필자가 생각하기에 유출경로를 차단·제어하는 방식은 현실적인 어려움이 있기 때문에 데이터 생성 시점에 원천 암호화하여 혹 외부로 유출되더라도 암호화된 데이터를 조회·사용할 수 없도록 하는 방법이 가장 효과적이라 생각한다. 그러나 각 기업에 구축된 보안 시스템 환경이 다르므로 보안담당자들은 기업의 상황에 맞는 보안대책을 수립하여 임직원들의 땀이 배어 있는 소중한 영업비밀을 효과적으로 보호할 수 있기를 바란다. \r\n임직원의 보안의식 향상이 최우선 과제 \r\n전문가들이 언급한 많은 기사들을 보면 스마트폰이 가져온 열풍은 새로운 IT 기술로 인한 변화와 혁신의 시발점이라고 이야기하고 있다. 클라우드 컴퓨팅, 웹3.0, 소셜네트워크서비스, 유비쿼터스 환경 등 IT 신기술과 커뮤니케이션 환경 변화가 스마트폰이 그랬듯이 곧 개인과 기업에게 휘몰아칠 것이고 이러한 급속한 환경변화는 새로운 정보보호 위협요소들을 등장시키게 될 것이다. \r\n따라서 기업의 보안담당자들은 새로운 IT 기술과 커뮤니케이션 환경변화가 자신이 속한 기업의 업무환경을 어떻게 바꿀 것인지, 그로 인한 보안위협에는 어떤 것이 있고, 또 대응책은 어떻게 수립해야 하는지, 끊임없이 연구하고 고민해야 할 것으로 생각된다. 또한, IT 신기술에 대한 보안대책을 세울 때 무조건 차단하는 방식으로 대책을 수립하는 것이 아니라 업무 생산성과 보안성 이 두 가지를 적절히 고려하여 효과적인 대안을 제시해야 한다. \r\n마지막으로 이러한 보안대책을 수립할 때 가장 중요한 것은 역시 사람에 대한 보안대책인 것 같다. 신기술이 도입되어 급격한 환경변화가 있어도 그것을 활용하는 것은 결국 사람이기 때문에 보안교육, 점검, 평가, 합리적 보안정책 및 운영 등으로 임직원의 보안의식을 높이는 것이 가장 효율적인 보안대책이라고 할 수 있다. \r\n<글 : 박 상 준 | 현대자동차 기술연구소 보안팀 기술파트장(PSJOB@hyundai.com)> \r\n |
|
 |
.gif)
첫 번째, 인터넷망 또는 사내망에서 스마트폰으로 업무 시스템에 접속하여 서버에 있는 보안자료를 다운받아 유출시킬 수 있는 문제가 있다. 특히, 사내망에서 업무 시스템에 접속할 때 미인가 AP를 통해 무선으로도 스마트폰에서 업무 시스템에 접속하여 보안자료를 다운 받을 수 있기 때문에 이에 대한 보안대책이 필요하다..gif)
두 번째, 스마트폰에서 유선 또는 무선으로 PC에 접속하여 PC내 보안자료를 스마트폰에 다운받아 자료를 유출시킬 수 있는 문제가 있다. 지난해 국내 굴지의 기업에서는 액티브 싱크 기능을 이용하여 사내 보안자료를 휴대폰에 다운받아 유출한 사고가 발생하기도 했다..gif)
세 번째, 테더링 기술을 이용하여 3G 및 Wibro 통신망을 이용한 인터넷에 PC를 접속하게 하여 PC내에 있는 보안자료를 외부로 전송할 수 있는 문제가 있다. 테더링(Tethering)이란 인터넷 접속이 가능한 기기를 이용하여 다른 기기를 인터넷에 접속할 수 있게 해주는 기술로 스마트폰, 일반 휴대폰 모두 가능하다.