아이클라우드 폴더 공유 서비스와 기업 섀도우 IT의 상관 관계

오랜 기다림 끝에 애플이 아이클라우드 폴더 공유(iCloud Folder Sharing)가 맥과 iOS 플랫폼에서 출시를 앞두고 있다. 협업에 아주 유용해 보이는 이 새 기능이 과연 안전도 보장할까?
 

아이클라우드 폴더 공유란?

아이클라우드 폴더 공유는 WWDC 2019에서 처음 발표되었지만 출시가 늦어진 기능이다. 현재로서는 여전히 발표가 지연되고 있으며 아주 최근에 와서야 최신 iOS와 맥OS에 개발자 베타가 공개된 상태다. 현재 준비 중이며 빠른 시일 안에 공개된다는 의미이기는 하다. 아마도 말이다.

폴더 공유라는 새 기능은 아이클라우드의 파일 공유와 비슷한데, 다만 공유 파일처럼 폴더 단계에서도 공유 설정을 할 수 있다는 점이 다르다. 사용할 때는 특정 링크가 있는 사람과 폴더를 공유하거나 사전에 구성된 그룹만 접근하도록 설정할 수도 있다. 공유한 폴더의 편집 권한을 줄 수도 있고 열람만 가능하게 할 수도 있다. 

아이템이나 폴더 공유 기능이 윈도우용 아이클라우드를 대상으로 한다고 추론하는 것이 합리적이다. 다른 플랫폼의 모바일 기기 지원도 최근 이루어졌다. 아주 약간이지만 말이다.

이론적으로 아이클라우드 폴더 공유는 이제 애플이 프로젝트에 따라 어느 부서가 공유하고 협업할 수 있는 일종의 크로스 플랫폼 도구를 제공한다는 것을 의미한다. 비록 매끄럽거나 기능이 풍부하지 않고, 드롭박스나 박스(Box)처럼 플랫폼을 넘나들어 호환되는 제품이 아닐지라도 말이다.
 

조직 안에서는 이미 아이클라우드가 사용되고 있다

문제는 이미 조직 내에 수많은 아이폰, 맥 사용자가 있고 이들 중 대다수가 아이클라우드를 사용하고 있다는 점이다. 아이클라우드 폴더 공유 기능이 출시되면 아이클라우드 기존 사용자가 아이클라우드를 더욱 많이 쓸 것이고, 프로젝트에서 협업할 때도 쓰게 될 것이다. 결국 가장 큰 장점은 다른 애플 제품처럼 사용하기 편리하고 쉽다는 점에 있다. 그리고 사용 편의성은 곧 섀도우 IT를 가져오는 가장 큰 이유가 된다.

바로 그래서 아이클라우드가 직원들이 승인되지 않은 모바일 앱이나 기술을 사용하는 문제를 풀어야 하는 기업의 CSO에게 있어 더욱 큰 골칫거리가 될 수 있다.
 

아이클라우드와 암호화

물론 아이클라우드는 상대적으로 보안이 우수한 시스템이다. 맥과 iOS 기기는 다른 플랫폼보다 훨씬 보안이 뛰어날 뿐 아니라(물론 완벽한 플랫폼은 없다) 아이클라우드의 이중 인증(2FA), 긴밀한 플랫폼 통합, 암호화로 서비스와 주고받는 개인 정보를 보호하는 방식은 모두 훌륭한 보호 수단이다.

시스템은 괜찮다. 아이클라우드의 문제는 항상 사용자였다.

숫자와 문자를 복잡하게 섞은 비밀번호로 아이클라우드를 보호할 수 있음에도 대다수 사용자가 그렇게 하지 않는다. 사실 필자는 최근 아이클라우드 사용자 1/3이 이중 인증을 설정하지 않았다는 보고서를 읽은 적도 있다.

물론 사용자 개인이 결정할 일이다. 하지만 보안을 매우 신경 쓰는 아이클라우드 사용자가 복잡한 비밀번호와 이중 인증을 설정하고, 아주 중요한 기업의 기밀 문서가 든 폴더를 다른 사용자와 공유할 때, 그 공유 받는 상대방의 보안 상태를 어떻게 장담할 수 있을까?

장담할 수 없다.

바로 이것이 아이클라우드 폴더 공유 서비스 출시를 목전에 둔 지금, 기업 보안 부서가 빠르게 인지하고 대응해야 할 문제다.
 

기업 보안 정책을 업데이트하라

일반 사용자가 흔히 쓰는 클라우드 기반 문서 공유 서비스와 마찬가지로 기업 내 아이클라우드 사용을 금지하는 조직이 점차 늘고 있다. 하지만 금지 자체가 해답이 될 수는 없다. 금지는 그저 사건이 터졌을 때, 직원이 협조를 반기지 않는 문화에 일조할 뿐이다.

아마 조직의 최고 관리 책임자도 개인적으로 사용하고 있을 흔하고 평범한 서비스의 사용을 엄격히 단속하는 것보다, 파일 공유 서비스가 일반적으로 사용된다는 점을 인정하고 단계적으로 관리해 나가는 것이 훨씬 합리적일 것이다.

이때 효과가 있는 것이 바로 정책이다.

이 경우 조직의 CSO가 아이클라우드를 업무용으로 쓰기로 결정한 직원에게 숫자와 문자를 섞은 복잡한 비밀번호를 사용하라고 권고하는 것은 합리적인 방법일 것이다.

복잡한 비밀번호 생성과 사용만이 유일한 보호책은 아니다. 이중 인증을 설정하는 것도 권고해야 하고, 직원 개인이 기기를 최신으로 유지해야 한다는 점도 안내해야 할 것이다(아니면 조직의 MDM 솔루션이 제어하는 방법이 있다).;

그 이유는 애플 보안 안내문에서 찾을 수 있다. 애플은 “아이클라우드가 전송 중 정보를 암호화하고, 아이클라우드에 정보를 암호화된 형식으로 저장하며, 인증 시에는 보안 토큰으로 정보를 보호한다. 민감한 특정 정보에는 엔드 투 엔드 암호화를 사용한다. 즉, 아이클라우드에 로그인한 기기에서만 정보에 접근할 수 있고, 애플을 포함해 누구도 엔드 투 엔드 암호화 정보에 접근할 수 없다”고 안내하고 있다.

여기서의 핵심은 엔드 투 엔드 암호화가 작동하려면 애플 ID의 이중 인증을 필수적으로 설정해야만 한다는 점이다. 아주 중요한 문제다.

애플이 아이클라우드와 기기에서 사용자 정보를 보호하는 방식의 차이는 암호화다. 아이클라우드 드라이브 데이터는 애플에 따르면 최소 128비트 AES 암호화로 보호되고 있다. 

상당히 강력한 보호책이지만 조직의 보안 정책에서 정의하는 것은 훨씬 더 강력해야 한다. 아이클라우드 드라이브 안에 저장된 데이터는 전송 단계에서는 엔드 투 엔드 암호화로 보호되지만, 보관 중인 동안에는 그렇지 않다는 점을 꼭 알아 두어야 한다. 

따라서 직원 개인의 드라이브 안에서 데이터가 안전하게 보관되기를 바란다면 업로드하기 전에 정보를 암호화해야 한다. 물론 공유와 협업 단계에서는 불편과 마찰을 초래하겠지만, 기업과 개인의 기밀 데이터가 더욱 안전하게 보호될 수 있다.

잼프(Jamf) 같은 아이클라우드와 데이터 액세스 관리용 MDM 솔루션을 조직에서 사용할 수도 있을 것이다. 하지만 가장 좋은 보호책은 조직이 승인한, 아이클라우드만큼 안전하고 사용하기 쉬운 협업 공간과 도구를 직원에게 제공하는 것이다.
 

결론

조직이 정책, 승인된 협업 도구, 말단 기기의 보안까지 모두 확보했다고 해도, 아이클라우드 같은 개인용 서비스를 안전하지 않게 쓰는 직원이 존재하며 보안 문제가 생겨날 것이라는 점은 일종의 ‘불편한 진실’이다.

그래서 보안 사고가 일어날 때 IT 부서가 문제의 원인을 파악하느라 시간을 허비하지 않고 조직의 모든 구성원이 안전에 유의할 수 있도록 방비하는 것이 매우 중요하다. 문제가 존재한다는 것을 모르는 것은 간혹 문제 그 자체보다 더욱 큰 재앙이 될 수 있기 때문이다.

요약해 보자. 직원들은 아이클라우드 드라이브를 쓰게 될 것이며 이미 쓰고 있고, 또 협업에도 사용할 것이다. 그러므로 다음 사항을 권고하자.

-    이중 인증을 설정하라.
-    숫자와 문자를 모두 포함한 복잡한 비밀번호를 설정하라.
-    소프트웨어를 항상 최신으로 유지하라.
-    파일을 공유받는 상대방도 똑같이 보안에 유의하는지 확인하라.
-    개인용 클라우드 서비스에 데이터를 업로드하기 전에 암호화하라.
-    문제가 생기면 바로 관련 부서에 문의하라. editor@itworld.co.kr