2011년부터 국내 개발사들이 MDM 솔루션을 출시하면서 국내 모바일 업무 환경에 대한 본격적인 보안 해법들이 제시되고 있다. 개인 소유 디바이스들의 적절한 통제 방법이 없던 가운데 BYOD 시대의 모바일 보안을 위한 MDM과 물리적 보안 시스템의 연동을 통한 적용 방법은 기존의 보안 스티커 부착 등으로 인한 불편은 물론, 불만을 해소할 수 있을 것으로 기대된다. \r\n
\r\n
이 강 현┃지란지교소프트 모바일보안부 부장(leon@jiran.com)
\r\n
\r\n\r\n\r\n\r\n |
최근 대부분의 사람들이 스마트폰 등 모바일 기기를 소유하게 되면서, 자연스럽게 회사 내부로 개인 소유의 디바이스들이 반입되고 있다. 이에 따라 보안에 대한 문제들이 제기되고 있지만 기존의 물리적 보안 시스템으로 이를 통제하기에는 많은 어려움이 따르고 있다. 때문에 대부분의 연구소, 공공기관, 군 관련기관, 지식기반 산업체 등에서는 보안구역 출입 시 보안요원이 모바일 기기의 카메라 USB 커넥터 등에 보안 스티커를 부착하고 있지만 이는 출퇴근 지연이나 잠재적 정보유출자로 취급을 받는 것으로 오인돼 많은 불만을 야기할 수 있다.
\r\n
\r\n
\r\n
MDM이란 무엇인가
\r\n
MDM의 개념은 OTA(휴대폰무선전송기술, Over The Air)을 이용해 언제 어디서나 모바일 기기가 Power On 상태로 있으면 원격에서 모바일 기기를 관리할 수 있는 시스템을 말한다. MDM의 원래 사용 목적은 원격에서 휴대폰 등 모바일 기기의 어플리케이션 배포, 데이터 및 환경설정 변경, 모바일 기기 분실 및 장치 관리들을 통합적으로 관리해 주는 시스템으로, 짧은 서비스 다운 타임과 최소의 비용으로 모바일 보안과 기능을 최적화시켜 주는 시스템이었으나, 최근 보안 위협에 대한 강화대책으로 관리의 필요성이 대두되면서 모바일 보안의 핵심요소가 되고 있다.
\r\n
이러한 MDM은 보안된 통신을 제공함으로써 기업의 업무환경에서 데이터가 유출될 수 있는 메일, 웹, 그룹웨어, USB 저장매체, 카메라, 녹음기 등 다양한 통신 채널에 대해 포괄적 보호기능을 제공함과 동시에 중앙 관리 콘솔을 통해 전사적 모니터링 및 사용자 환경에 대한 통제를 수행하고 있다.
\r\n
\r\n
모바일 보안, 과연 해야 할까?
\r\n
최근 3~4년 동안 모바일과 스마트워크에 대한 위협요소와 모바일 보안의 필요성에 대해 수많은 기고문이나 발표에서 언급돼 왔지만, 너무나 전문적이고 생소한 분야라 이해하기 쉽지 않았다. 모바일 기기에 대한 보안을 소홀히 했을 때 발생할 수 있는 위협상황들을 쉽게 설명하면 크게 4가지로 나눌 수 있다(그림 1).
\r\n
첫째, 모바일 기기는 특성상 손에 쥐고 이동할 수 있는 ‘움직이는 또 다른 PC’이기 때문에, 사용자의 부주의에 의한 분실/도난 등에 의해 개인이나 기업 정보가 노출되거나 유출 될 수 있다. 또한, 모바일 기기가 담고 있는 카메라, 녹음기 등 다양한 종류의 ‘스마트 장치(Smart Device)’를 통해 내부정보는 쉽게 외부로 유출될 가능성이 있다.
\r\n
둘째, 모바일 운영체제는 사용자에 의해 쉽게 루팅 되거나 탈옥돼 OS 보안 취약점을 이용한 비정상적인 정보의 접근이나 유출 위험이 존재한다.
\r\n
셋째, 모바일 기기에서 사용되는 수많은 Application에는 PC에서와 마찬가지로 악성코드가 담겨 있을 수있고 모바일오피스 App은 해커에 의해 위변조돼 손쉽게 정보가 유출될 수도 있다.
\r\n
마지막으로, 모바일 기기의 특성상 모든 네트워크는 무선을 사용하게 되면서 해커에 의한 Fake Wi-Fi AP를 통해 데이터가 스니핑(네트워크상의 데이터를 도청하는 행위)될 수 있고 사내에서 허용되지 않은 개인 무선 네트워크(테더링 등)를 통해 정보가 유출될 수 있다. 이와 같은 위협들이 존재하기 때문에 개인의 정보나 기업의 정보를 보호하기 위해서 PC 기반의 기간계 인프라에서 다양한 보안을 적용하듯이, 모바일 디바이스에서도 보안을 적용해야 한다.
\r\n
\r\n
MDM과 물리적 보안 시스템을 통한 모바일 기기 통제 방안
\r\n
연구소, 지식기반산업체, 군 관련 기관 등은 모두 회사 내부의 핵심정보에 대해 카메라, 녹음기, USB 등을 통해 외부에 유출되는 것을 방지하고자 한다. 이 때문에 모바일 기기의 사내 출입에 대한 엄격한 통제가 필요한데, 기존의 스티커 부착 방식, 보안요원의 저장매체/멀티미디어 개체(USB, 디지털카메라) 통제는 출퇴근 시간에 대기시간이 길어지고, 모바일 기기에 내장된 카메라, 녹음기 등 정보유출의 통로가 되는 앱을 통제하기에는 역부족이었다.
\r\n
이에, MDM을 통해 해당 디바이스를 차단하는데, 여기서 중요한 것은 해당 단말기가 사내(보안구역)에 들어왔을 때만 자동 차단되고 나갔을 때는 자동 해지한다는 것이다. 때문에 사용자는 외부에서는 언제든지 자유롭게 모든 디바이스를 사용할 수 있지만, 사내 보안 구역에서는 정보유출의 수단이 될 수 있는 각종 디바이스를 사용할 수 없다. 하지만 MDM 시스템을 적용했다고 완벽하게 모바일기기 통제를 해결 할 수는 없다. 물리적 보안 시스템과 연계를 통해 시큐리티 홀(Security Hole)을 최소화해야 한다.
\r\n
\r\n
모바일 출입통제 운영 시나리오
\r\n
(a) 물리보안 시스템 연계방식
\r\n
기업 내 연구시설이나 보안을 요구하는 시설 내에 있는 출입통제 시스템(Speed-Gate), X-Ray 검색대, 보안요원, 사원카드(IC, RFID) 등을 함께 활용하면 모바일 기기의 반입/반출의 빠른 검사가 가능하고 보안구역 내에 진입 시 자동으로 회사 보안 정책에 따라 기기를 통제할 수 있다.
\r\n
\r\n
(b) 무선네트워크 연계 방식
\r\n
출입통제 시스템을 구비하기 어려운 공장지역 등에서 활용 할 수 있는 방안으로는 네트워크 GPS, 무선 AP 등을 감지해 설정된 보안구역 범위 내로 인지 됐을 때 자동으로 회사 보안정책에 따라 기기를 통제하는 방식이다.
\r\n
\r\n
\r\n
효과적인 솔루션 운영방법
\r\n
현재 출시돼 있는 MDM 솔루션들은 기능적인 면에서 봤을 때 사실 대동소이하다. 그러므로 솔루션을 도입해 기대하는 효과를 보기 위해서는 노하우를 많이 보유한 개발사의 솔루션을 선택하는 것이 필요하다. 특히, BYOD(Bring Your Own Device, 개인 모바일 기기로 회사업무를 보는 것)라는 말처럼 개인이 사용하는 모바일 기기를 업무현장에 가져오기 때문에 프라이버시에 대한 우려가 매우 높아 솔루션을 도입하는 과정에서 거부감이 생길 수 있다. 따라서 MDM과 물리보안 시스템의 연동을 통한 실제 적용단계에서 사용자 불만을 최소화하는 것이 중요하며, 이것은 기술적인 방법 이외에도 사내홍보와 교육 등의 활동을 통해서도 이뤄질 수 있다. 실제로 현재까지 모바일 보안을 적용한 기업 중 사내 홍보나 교육 등을 충분히 제공한 기업들은 사용자 불만이 거의 없었다.
\r\n
끝으로 스마트폰 사용 인구가 3천만 명이 넘고 각종 모바일 위협이 존재하는 현 시점에서 개인과 기업의 정보를 지키기 위해 모바일보안은 반드시 필요한 사항이며 솔루션도입 시 개발사의 노하우와 IT부서뿐만 아니라 조직문화와 결부된 여러 부서의 관심과 노력이 잘 배합돼야 결실을 맺을 수 있을 것으로 보인다.
\r\n
\r\n
[월간 시큐리티월드 통권 제198호(sw@infothe.com)]
\r\n
\r\n
<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지>
