모바일 기기, 내 손 안에 잡아두는 4가지 보안 전략

업무용 스마트폰을 낯선 이에게 빌려준 경험이 있다면, 그건 그 사람에게 회사 데이터를 선물로 준 것이었을지도 모른다. 왜냐하면 그 사람이 CSI 스틱이라 불리는 소형 USB 디바이스를 손 안에 숨겼다가 스마트폰에 몰래 연결했을 수도 있기 때문이다. 이 기기는 휴대폰에서 순식간에 모든 데이터를 뽑아갈 수 있다는 것이 윈도우 모바일 전문 IT 서비스 회사인 엔터프라이즈 모바일의 이동성 설계자 패트릭 샐먼의 설명이다.

기업에서는 점차 이동 중이거나 현장에서 일하는 직원이 과거 데스크톱을 통해서만 접속할 수 있었던 중요한 기업 애플리케이션에 바로 접속할 수 있도록 만들고자 한다. 하지만 이런 환경을 구현하려면, 기존의 보안, 인증 및 관리 인프라는 확장 및 변경되어야 하며, 기업의 데이터 및 무선 연결성과 함께 모바일 기기가 데스크톱만큼이나 확실하고 완벽하게 관리되어야 한다.

하지만 오늘날 많은 기업의 모바일 환경은 그렇지 못한 경우가 많다. 모바일 전문 서비스 회사인 미션 크리티컬 와이어리스의 사장이자 CEO인 댄 크로프트는 “우리가 본 바로는 기기에 대한 정책이 명백하지 않다”라고 지적했다.

크로프트는 개인용 휴대기기는 일반 데스크톱 PC에는 없는 폭넓은 무선 접속 기능을 갖고 잇는데, 이로 인해 보안 취약, 관리상의 난제 및 기술 지원의 부담을 야기한다고 설명한다. 기업은 휴대기기의 분실, 도난 또는 고장에 대한 처리, 기기 안의 데이터 처리 방법에 대해 미리 준비를 하지 않는다. 크로프트는 “IT로 회사의 테두리 안에서 무선의 이동성을 확실히 관리해야 한다”고 강조했다.

모바일 컨설팅 회사인 제이 콜드 어소시에이츠의 대표인 잭 골드는 이런 모바일 디바이스의 확실한 관리는 크게 4가지 영역으로 나뉜다고 설명한다. 기기의 보안 및 관리, 모든 연결 관리, 데이터 보안, 사용자 교육이 바로 그것이다.

기기의 보안 및 관리

회사가 구입했든, 개인이 구입했든, 모바일 기기는 회사 네트워크와 회사 데이터에 접속한다. 따라서 기기의 보안과 이에 대한 관리는 밀접한 관계를 맺고 있는데, 정책을 시행하기 위해서는 기기를 확실하게 모니터할 수 있어야 하기 때문이다.

대부분의 경우 실무자는 2~3대의 모바일 기기 모델을 표준화해 지원, 보안 및 관리 문제를 최소화할 것을 권장한다. 엔터프라이즈 모바일의 샐먼은 “사용자가 가지고 들어온 다른 스마트폰은 회사의 특정 보안정책이나 관리 정책을 지원할 수 없을 수도 있다”고 지적했다.

모바일 기기의 비밀번호 또는 PIN 사용이 권고된다. 크로프트는 “기업에서 이들 기기에 비밀번호 정책을 시행하지 않는다면, 다른 어떤 보안 조치를 취했어도 그만 두는 것이 낫다”고 말한다. 샐먼은 접속시도의 횟수 제한과 함께 PIN을 선호한다. 제한횟수를 넘어 접속이 시도되면, 해당 기기를 자동으로 잠그거나 데이터를 삭제하는 것이다.

효과적인 비밀번호의 시행은 올란도 플로리다 병원의 필수 정책이다. 이 병원에서 무선 노트북은 이메일 사용을 위한 블랙베리 스마트폰과 함께 직원과 간호사에 의해 널리 사용되고 있다. 또한 외과의의 스마트폰으로 임상시스템에 접속할 수 있도록 하는 문제를 검토하고 있다.

이 병원의 부 CTO 토드 프란츠는 비밀번호의 정기적 변경(병원 전사적 통합사용자 계정관리 인프라 기능), 최신 바이러스퇴치 소프트웨어 및 이동성 있는 클라이언트의 데이터 원격 삭제 기능 등을 적용하고 있다고 전하며, “데스크톱 PC에서만큼이나 모바일 기기의 데이터를 보호해야 할 필요성이 있다”고 덧붙였다.

또한 선택적으로 노트북에 앱솔루트 소프트웨어의 컴퓨트레이스 서비스를 적용하고 있는데, 이 서비스는 도난 컴퓨터의 추적 및 철저한 조사가 가능하다. 프란쯔는 이제까지의 병원 노트북의 도난 빈도에 대해서는 밝히지 않았지만, 이런 방식으로 보호된 노트북의 복구율이 100%라고 전했다. 일부 통계에 따르면 전체 모바일 기기 가운데 10~15%가 행방불명된다.

한편, 사이베이스의 아프리카, 크레던트의 모바일 가디안, 노키아의 인텔리싱크, 마이크로소프트의 시스템 센터 모바일 디바이스 매니저, 체크포인트와 트러스트 디지털의 유사 제품과 같은 통합 기기 관리 애플리케이션 사용을 고려한다. 이러한 정책 기반 스위트는 모바일 클라이언트에 모니터링 및 시행 기능을 합쳐 보통 저장소 인증 및 기타 서버들과 연동된다.

또한 도난, 유실되거나 아니면 순식간에 행방이 묘연한 모든 모바일 기기의 경우, 특히 SD 카드를 장착하는 있는 경우에는 해당 기기를 삭제, 잠금 또는 없앨 수 있는 기능을 갖추는 것이 중요하다. 크로프트는 네트워크 관리자가 정확한 비밀번호가 사용되거나 기업 데이터 모두 또는 일부를 삭제하거나 아예 전체적으로 기기를 폐쇄할 때까지 기기의 잠금 명령을 발령할 수 있어야 한다고 강조했다.

모든 연결 관리

골드는 “이런 식의 관리가 제대로 이뤄지지 않으면, 모바일 기기의 접속은 매우 큰 위험에 노출된다”며, “따라서 이런 문제를 일반 사용자에게 맡겨둬서는 안된다”고 경고했다.

이 때문에 실무자들은 모바일 환경에 IPSec 기반의 VPN 연결을 적용하는 것을 선호한다. 엔터프라이즈 모바일의 샐먼은 “TCP 포트 443을 사용하는 SSL은 가장 쉽게 적용할 수 있는 방법이지만, 보안 성능은 약한 편이다”라며, “대상서버에는 인증서가 있어 믿을 수 있지만, SSL 클라이언트는 그렇지 않기 때문이다. IPSec는 포트가 명확하게 열려야 하고, 연결 양쪽 모두에 인증서가 있다”고 설명했다.

문제의 핵심은 모바일 기기가 이런 조건을 만족할 때에만 서버에 연결할 수 있도록 하는 것이다. 안티바이러스 소프트웨어는 최신인가? VPN은 작동하는가? 와이파이는 공공 핫스팟에서부터 연결되는가?

데이터의  철통 보안

선택적 데이터 암호화는 어떤 모바일 환경에서든 필수적인 항목이어야 한다.

관리되는 모바일 기기로 특정 데이터를 위한 암호화정책을 배포 및 시행할 수 있다. 골드는 “문서 폴더, 이메일 수신함, 사용자 데이터, 연락처, 인증서 등등 모두 암호화되어야 한다”고 설명한다. 또한 암호화되었거나 암호화할 수 있는 제거 가능한 스토리지 기기, 예컨대 고용량 SD카드 같은 것을 도입할 것으로 권했다.

크로프트는 “철통 보안이 가능한 환경이 아니라면, 인터넷에선 가장 높은 수준의 암호화가 암호화되지 않은 이메일 전송보다 훨씬 높은 보안수준을 제공할 것”이라고 덧붙였다.

사용자 교육

골드는 “기업의 자산을 지키기 위해 적절한 절차와 정책에 대해 일반 사용자를 교육하는 회사는 거의 없다”며, “사용자를 기업의 마음에 들게 만들라”고 강조했다.

엔터프라이즈 모바일의 샐먼은 “가장 취약한 건 인간”이라고 운을 떼면서 “모르는 사람이 주식 포트폴리오 좀 점검하겠다고 한 5분만 노트북을 빌려달라고 한다면, 딱 잘라 거절하라”고 조언한다. 샐먼은 이런 일의 위험에 대해 알게 된 이상, “낯선 사람에게 자신의 랩톱을 사용하게 하지 마라. 휴대폰도 마찬가지”라고 덧붙였다.

플로리다 병원의 경우 간호사를 대상으로 모바일 기술을 교육하기 위해 과거 혹은 현직 간호사를 트레이너로 고용한다. 프란츠는 “그 사람들은 일반 사용자와 같은 용어를 사용한다”며, “IT 전문가들은 이 교육에 전혀 개입하지 않는다. 왜냐하면 IT 전문가들은 사용자들과 사용하는 언어가 다르기 때문이다”라고 설명했다.

프란츠는 모바일 기술과 간호사에 대한 중요한 점을 짚어냈는데, “서기가 되기 위해 간호학교에 가는 사람은 없다. 그들은 사람들을 돕고 싶어서 간호학교에 가는 것이고, 그런 점에서 기술은 그들을 도울 수 있다”고 설명했다.

IT 서비스 회사인 제트로닉스의 모바일 담당 관리자인 알폰스 에버는 “사용 정책은 짧고 적절해야 한다. 그렇지 않으면 읽히지 않는다”며, “교육은 이 모든 요소, 즉 기기, 애플리케이션, 사용법 설명을 모두 포괄해야 한다”고 강조했다.

사용자를 교육한다는 것은 스스로를 교육하겠다는 의지라고 볼 수 있다. 프란쯔에 따르면 플로리다 병원에서 무선 노트북을 갖춘 간호사에겐 충전을 위해 전기가 들어오는 편리한 지표 공간을 찾고 사용하지 않을 때 노트북을 보관할 수 있는 잠금 기능이 가능한 락커나 서랍을 찾는 것이 매우 중대한 문제임을 알게 되었다. 이런 문제는 그동안 전혀 생각하지 못했던 모바일 환경의 또 다른 문제였다.