기업의 스마트폰 도입, “똑똑한 보안이 필요하다”

윈저 푸드(Windsor Foods)의 IT 부문 부회장으로써 스테픈 헨즈는 최신 IT 트렌드보다 한 발자국 앞서 있어야 한다. 최근 그가 전사적인 스마트폰 도입과 보안에 대해 생각하면서 많은 시간을 보내는 이유다. 이 회사는 바로 얼마 전까지만 해도 12개 정도의 스마트폰만 도입했었지만, 이제 IT 부서는 약 100개 정도를 관리하고 있고, 가까운 시일 내에 더 늘어날 것으로 예상하고 있다.

헨즈는 회사의 휴대폰으로 자동 SMS 알림을 받을 필요가 있는 유지관련 엔지니어가 있는 IT 부서를 비롯해 전사적으로 모바일 커뮤니케이션의 필요성은 점점 높아지고 있는 반면, 스마트폰을 안전하게 지키기 위한 작업이 점점 더 어려워지고 있다고 지적했다.

그는 회사가 윈도우 모바일 기반의 기기만 지원하는 정책을 계속 유지할 수 있을지에 대해 확신하지 못했으나, 비표준화된 기기는 보안을 혼란스럽게 만들 수 있다고 말했다. 그는 어떤 사람들에게는 스마트폰이 패션 아이템이라는 것을 잘 알고 있다면서, “PC는 직원들에게 맥 환경을 지원하지 않는다고 말할 수 있었지만, 휴대폰에서도 그렇게 할 수 있을지는 모르겠다”라고 전했다.

헨즈는 최근 인기를 얻고 있는 이런 기기들에 대한 보안에 직면한 IT 및 보안 리더 중 하나이다. 물론 가장 큰 걱정은 만일 휴대폰이나 이동형 메모리 카드를 잃어버렸거나 도난 당했을 때 데이터 유출이다. 또한 데이터를 삭제하지 않고 중고로 판매하거나 수리를 맡겼을 때 역시 문제가 된다.

VPN 연결 가능한 기기의 경우 기업 네트워크가 해커에게 노출되어 악성 코드에 감염될 위험도 있다. 그리고 SMS 해킹이나 다른 취약점을 이용한 잠재적인 바이러스 공격도 있을 수 있다. 스트레터지 애널리틱스(Stragegy Analytics Inc.)의 분석가인 필립 윈드롭은 “만일 다른 사람이 휴대폰을 가져가서 놀다가 VPN이 설정된다면, 지금으로써는 제어가 되지 않는 큰 위험에 직면할 수 있다”라고 지적했다.

사용자들이 스마트폰을 IT 부서가 제어할 필요가 없는 개인용 전자제품으로 본다는 것은 복잡한 문제이다. 가트너의 분석가 존 지라드는 “현재 ‘이것은 내 휴대폰이야’라는 개념이 깊게 뿌리 박혀 있다”라면서, “사용자들은 종종 스마트폰을 보안이 필요하지 않은 음악 재생기로 보고 있다”라고 말했다.

지라드에 따르면, 스마트폰의 멀티미디어 기능은 또 다른 우려를 낳고 있다. 예를 들어, 회사가 기업 문서를 외부 미디어로 옮기지 못하는 정책을 가지고 있다고 하더라도, 스마트폰으로 사무실 안에서 사진을 찍지 못하거나 회의 녹화를 못하도록 규제할 수 있겠는가?

많은 회사들은 하나의 운영체제만 지원할 수 있도록 직원들에게 표준화된 휴대폰 구매를 권하고 있다. 그러나 버튼 그룹의 분석가 폴 드비시는 “회사에서 나눠준 휴대폰을 사용하는 사람이라도 다른 주머니에는 개인 휴대폰이 들어있는 경우를 많이 봐 왔다”라고 지적했다.

게다가 최근 미국과 유럽의 300개 기업을 대상으로 모바일 보안 업체인 굿 테크놀로지(Good Technology)가 설문조사를 벌인 결과, 거의 80% 응답자가 지난 6~12개월간 직장에 자신의 휴대폰을 가지고 오고 싶어하는 직원이 늘었다고 대답했으며, 허가되지 않은 기기 때문에 데이터 유출사고를 경험했다는 응답자도 28%에 이르렀다.

윈드롭은 “이런 모든 보안 위험에도 불구하고, 기업 3곳 중에 2곳은 모바일과 관련된 IT 및 비즈니스 정책을 정의하고 규제하는데 골머리를 앓고 있다”고 말했다.

지라드는 휴대폰과 관련된 데이터 유출에 대해 느리게 깨달은 것도 동시에 작용했다고 지적했다. 그는 “만일 고객이 전화를 걸어서 휴대폰에 대해 물어본다면, 그들은 나에게 보안을 향상시키는 방법이 아니라 직원들의 스마트폰 사용에 대한 회사의 책임을 줄이는 것에 대한 의견을 묻는다”라면서, “모바일 보안에 관련된 생각이 지금의 PC와 비슷한 수준으로 올라가기까지 기다리고 있다”라고 말했다.

그리고 그래야만 한다. 윈드롭은 회사가 직원들에게 스마트폰을 사주던, 아니면 그냥 사용하도록 하던지 상관없이 데이터가 유출된다면 회사에게 책임이 있다고 지적했다.

현재 시중에는 서드파티 플랫폼을 이용하거나 스마트폰 업체에서 나온 것을 이용해서 스마트폰을 중앙에서 보호하고 관리하는 기술이 존재한다. 스마트폰 업체 중에서 블랙베리 제조업체인 RIM과 윈도우 모바일 최신버전을 선보인 마이크로소프트는 최고의 관리 플랫폼을 제공하고 있다.

다른 기기나 여러 업체에서 나온 휴대폰을 지원하는 회사들은 크레던트 테크놀로지(Credant Technologies), 굿 테크놀로지(Good Technology), 사이베이스(Sybase), 트러스트 디지털(Trust Digital), 트렌드 마이크로(Trend Micro), 모빌러론(Mobilelron) 등에서 제공하는 다양한 관리 소프트웨어를 이용할 수 있다. 이런 플랫폼들이 제공하는 핵심 기능은 다음과 같다.

◆ 중앙 제어

◆ 비밀번호 관리

◆ 인증 관리

◆ 강력한 암호화

◆ 활동이 없을 시 사용중단: 특정한 기간 이후 활동이 없는 경우 로그아웃을 하거나 재시작을 위한 비밀번호를 입력하도록 한다.

◆ 원격 메모리 삭제: 기기가 도난 당한 경우 사용자가 주어진 시간 동안 인증을 통과하지 못하면 원격으로 메모리를 삭제한다.

중앙제어

로빈슨 래러 앤 몽고메리 (Robinson Lerer & Montgomery LLC)의 CIO읜 제프 세이퍼는 전 직원들에게 블랙베리를 제공해 표준화를 통한 보안강화를 시도했다. 세이퍼는 블랙베리 엔터프라이즈 서버(BlackBerry Enterprise Server)가 제공하는 450개의 무선 IT 정책 및 규정을 사용하고 있다. 이 회사는 또한 굿 테크놀로지(Good Technology)의 플랫폼을 이용해서 팜(Palm)과 트레오(Treo) 기기를 제어하고 있는데, 하나의 플랫폼으로 유지하기로 결정하면서, 블랙베리를 독점적으로 사용하기 시작했다.

여기에는 10분간 사용하지 않을 때 비활성화 시키는 것과 기기를 도난 당하거나 잃어버렸을 때, 혹은 비밀번호를 10회 이상 잘못 입력했을 때 원격으로 데이터를 삭제하는 것 등의 보안 기능이 포함되어 있다. 세이퍼는 “심지어 누군가 비밀번호를 해킹했다 하더라도 안전하다”라고 말했다.

여기서 가장 중요한 것은 사용자가 보안 기능을 비활성화 시킬 수 없다는 것이다.

세이퍼는 원격 데이터 삭제 시에는 블랙베리 서버에 데이터를 백업해두고 나중에 복구할 수 있도록 하는 것이 핵심이라고 말했다. 이 서버가 마이크로소프트 익스체인지(Microsoft Exchange) 서버와 연동되기 때문에 지난 메시지까지 모두 복구할 수 있다. 이런 백업기능은 어떤 데이터가 기기에 들어가 있는지, 또 휴대폰이 도난 당했을 때 어떤 데이터가 취약한지 알려줄 수 있다.

지라드는 다른 플랫폼 역시 원격 데이터 삭제가 가능하지만, 블랙베리 서버는 데이터 삭제가 완료 확인도 가능해서, 스마트폰의 데이터 유출과 관련해 법정까지 가게 됐을 경우 회사에 유리하게 작용할 수 있다고 지적했다. 만일 데이터가 삭제됐다는 것을 증명하지 못한다면, 불리하게 될 것이다.

또한 지라드는 일정한 기간 동안 휴대폰이 사용되지 않으면 비활성화 할 수 있도록 하는 설정도 중요하다고 지적했다. 그는 매우 중요한 정보가 있는 기기일 경우에는 5분, 조금 덜 중요한 정보가 담겨있는 경우는 10분, 중요하지 않은 정보가 들어있는 경우에는 15분 정도로 설정해 놓는 것을 권한다. 이 경우, 다시 휴대폰을 사용하기 위해서는 강력한 비밀번호를 입력해서 재인증을 받아야만 한다.

그는 “휴대폰이기 때문에 쉬워야 한다고 생각해서, 7개에서 12개 사이의 코드를 입력하는 것을 꺼려할 수도 있다”라면서도, “하지만 4자리 비밀번호로 설정해놓으면 다른 사람이 비밀번호를 알아낼 가능성이 매우 높다”고 지적했다.

더불어 지라드는 비밀번호를 10번 이상 정확히 입력하지 못하면 기기를 사용하지 못하도록 하는 정책을 가진 고객사가 있다고 언급하면서, “아무리 사용자가 술에 취했다 하더라도, 이렇게 많이 시도한 후에는 정확히 입력 해야만 한다”라고 말했다.

샌 디마스(San Dimas)의 CIO인 크리스토버 바버는 회사차원에서 블랙베리와 애플의 아이폰 3G를 지원하고 있다. 아이폰은 영업사원들이 이메일과 관계 관리 애플리케이션을 이용하는데 쓰고 있다. 아이폰의 보안을 위해서 바버는 마이크로소프트 익스체인지 서버(Microsoft Exchange Server)와 동기화 해서 그가 원하는 모든 종류의 안전장치를 표준화해서 설정해 놓았다.

또 그는 블랙베리용으로는 RIM의 엔터프라이즈 서버를 사용하고 있다. 여기에는 강력한 비밀번호 보호, 암호화, 원격 불능화 기능 등이 포함되어 있다.

외부에 노출되어 있는 데이터

바버는 “스마트폰 사용에 대한 우리의 가장 큰 걱정은 스토리지 디바이스처럼 사용되는 것”이라면서, “사용자들은 이것을 USB 포트에 꼽아서 회사 파일을 다운로드 받아 문 밖으로 나갈 수 있다”라고 말했다. 그러나 강력한 비밀번호와 암호화 처리를 통해서, 사용자가 민감한 데이터를 스마트폰에 담아서 밖으로 나간다 하더라도, 누군가 이 휴대폰을 훔쳐가더라도 파일에 접속하기 힘들다.

지라드는 암호화에 대한 중앙집중적인 접근을 취하는 것이 핵심이라고 말했다. 유명한 모든 업체들은 휴대폰에 암호화 기능을 넣어놨지만, 회사가 기업적인 제어를 하지 않으면 겨우 선택사항에 불과할 뿐이라는 설명이다.

그러나 바버는 스마트폰의 안전을 위해서는 위험 관리가 문제라고 지적했다. 비밀번호로 보호되어 있고 암호화가 되어있는 아이폰을 해킹하는 방법이 담긴 유튜브 동영상도 돌고 있을 정도. 또한, 아이폰의 제거 가능한 SIM 카드는 취약하다. 왜냐하면 만일 도둑이 SIM 카드를 제거하면, 기업 네트워크에 연결이 되지 않아서 원격 조정을 할 수 없기 때문이다.

이런 위험을 없애기 위해서 바버는 정책과 교육을 겸하고 있다.

바버는 “모든 사람들에게 아이폰에 민감한 데이터를 넣지 않도록 교육하고 있다”라고 말했는데, 그는 미래에는 이메일 첨부파일이나 USB 드라이브 등으로 데이터가 옮겨지는지 모니터할 수 있는 데이터 유실 방지 기술로 이 부분이 보강되길 바랬다.

윈저 푸드에서 헨즈는 또한 모바일아이런(MobileIron)의 가상 스마트폰 플랫폼(Virtual Smartphone Platform)을 통해 관리 과정을 중앙 집중화 하고 있다. 이런 결정은 단순히 하나의 플랫폼에서 보안을 관리하는 것이 아니라 통신사 계약 및 도입도 관리하고자 함에 따른 것이다. 더불어 그는 윈도우 모바일 기기를 중심으로 표준화 했지만 여기에 한정시키고 싶지 않았다. 모바일아이런은 블랙베리와 아이폰을 지원하고 앞으로 심비안과 안드로이드 기기도 지원할 계획이다.

헨즈는 비밀번호 관리, 자동 불능화 원격 데이터 삭제 등 기본적인 것부터 시작했지만, 여기에 중앙 암호화 기능도 추가했다. 또한 이 플랫폼은 휴대폰의 애플리케이션과 데이터를 백업하고 구성과 메모리 이용 상황을 보고해준다. 뿐만 아니라, 휴대폰에 저장된 애플리케이션 인벤토리를 보고 인증되지 않은 것은 불능화 시킬 수도 있다.

모바일아이런이 제공하는 포털에서는 사용자들이 자신 휴대폰의 사용현황을 확인하고 심지어 원격 데이터 삭제나 배치 같은 작업도 가능하게 한다. 헨즈는 “모바일아이런 어플라이언스는 IT 관점에서 모든 것을 쉽게 만든다”고 덧붙였다.

헨즈에게 있어서 스마트폰 보안은 이제 막 시작단계이다. 예를 들어, 그는 디지털 인증 관리를 스마트폰 관리 플랫폼에 통합시키는 것을 고려하고 있다.

그는 “기밀 정보로 가득한 노트북으로 일하는 사람이 있다고 가정해보자. 디지털 인증 관리를 하면 인증 서버를 통해서 그가 여전히 유효한 사용자가 맞는지 확인하고, 만일 아니라면 더 이상 이런 파일들을 읽지 못하게 할 수 있다”라고 설명했다. 이러한 방법은 파일을 삭제할 방법이 없는 이동형 카드에 저장하는 것 보다 더 안전하다는 이야기이다.

일부 사용자들은 IT 부서가 자신의 휴대폰을 감시하는 것이 일종의 빅브라더(Big Brother)라는 우려를 하고 있다. 그러나 이런 우려보다 신형 휴대폰을 이용하거나 문제가 생겼을 때 IT 부서가 제공하는 서비스의 장점이 더 크다.

마지막으로 점점 더 많은 스마트폰이 보급되면서, 이것이 개인이 구매한 것이던 회사가 제공한 것이건 간에 상관 없이 한 가지 방법으로 보안을 유지할 수는 없다. 그러나 윈드롭은 분명히 직원들에게 완전한 자유를 줄 수는 없다고 강조했다. IT 부서가 직원들이 각자의 기기에 대해 책임을 지도록 하는 것은 흔치 않은 일이며, 심지어 이런 생각을 갖고 있지도 않다. 데이터가 유출되는 것은 결국엔 회사 책임이다.

윈드롭은 “여기서 흥미로운 이슈가 있다. 직원들은 회사가 지급하는 노트북을 어느 것을 선택할 지에 대해서 그리 오래 심각하게 생각하지 않는다. 하지만 스마트폰에 있어서 만큼은 ‘왜 블랙베리를 주지 않지?’ ‘왜 아이폰을 못 가지고 다녀야 하지?’ 혹은 ‘팜 프리를 가지고 다니면 안되나?’라는 생각을 한다”라고 지적했다. 그러나 기업이 직원들의 모든 바램을 들어주기 위해서는 기기와 그 속에 저장되어 전해지는 정보에 대한 관리에 책임을 질 필요가 있다.

윈드롭은 사실 스마트폰은 단순한 휴대폰이라기 보다는 전화를 걸 수 있는 PC로 보는 것이 맞다고 덧붙였다.

헨즈에 따르면, 이런 개념이 세상을 바꾸고 있다. 그는 “오래 전에는 인터넷, 인트라넷, 내부 협력 네트워크가 있었으며, 각각은 서로 다른 것으로 분리됐다. 하지만 이제는 작고 강력한 모바일 기기로 사람이 가는 곳이라면 어디던지 데이터가 갈 수 있게 됐다”라면서, “전부 뒤섞이면서 데이터가 어디에 있던 이것보다 앞서나가기는 힘들어 졌다”라고 지적했다. marybrandel@verizon.net