본격화된 기업 모바일 장비 관리 논쟁···새로운 정책 수립 필요성 제기

Network World
직원들이 업무용으로 스마트폰이나 태블릿 같은 개인 모바일 장비를 사용할 수 있도록 해야 한다는 아이디어를 수용하는 기업들이 늘고 있다. 하지만 직원들이 보유한 이들 장비에 대해 기업이 보유한 장비와 똑같이 관리와 보안 대책을 수립해 적용해야 하느냐를 놓고는 논쟁이 격화되고 있다.
 
최근 쿠리온(Courion)이 988명의 IT 관리자를 대상으로 한 설문조사 결과를 발표했는데, 직원들이 각자의 모바일 장비를 이용해 기업 네트워크에 액세스할 수 있도록 허용하고 있는 기업은 전체의 69%에 달하는 것으로 나타났다. 하지만 25%는 이들 개인 장비를 이용해 애플리케이션에 액세스하는 방법에 대한 정책을 갖고 있지 않거나, 그 여부를 알지 못한다고 응답하고 있다.
 
애버딘 그룹(Aberdeen Group)의 애널리스트 앤드류 보그는 "직원들 각자의 책임 아래 있는 장비들을 무시할 수 없다는 의미이다. 다만 이들 직원 보유 장비 또한 정책을 준수하도록 만들어야만 한다는 점에는 의심의 여지가 없다"고 덧붙였다. 이는 최소한 직원들이 개인적으로 보유한 장비를 없애거나 통제할 수 있도록 해야 한다는 의미를 포함하고 있다. 
 
규제가 엄격한 산업들에서는 더 강한 통제가 필요할 수 있다. 장비 기반 암호화나 모바일 VPN 같은 것들이다. 이런 개인 및 기업 데이터의 혼재라는 상황을 해소할 수 있는 상품들이 있다. 스마트폰이나 태블릿을 대상으로 운영체제 단계에서 기업 사용과 개인 사용을 분리할 수 있는 구글 테크놀로지의 상품을 예로 들 수 있다. 또 VM웨어나 시트릭스의 가상 모바일 데스크톱도 이런 역량을 갖고 있다.
 
애버딘 그룹은 지난 3월 직장 내에서 업무에 사용되는 개인 보유 모바일 장비에 대한 설문 결과를 발표한 바 있다. 500개 기업을 대상으로 한 이 설문에 따르면, 72%에 달하는 기업들이 개인 보유 모바일 장비를 업무 목적으로 사용하도록 허용하고 있다. 불과 2년 전의 40%에서 크게 뛰어오른 수치이다. 2011년 3월 설문에서, 45%가 직원들이 가져오는 어떤 종류의 장비도 '허용할 것'이라고 답했다. 그리고 27%는 장비가 기업 정책을 준수해야만 한다고 답했다.
 
보그는 "직원들이 원하는 모바일 장비를 구매해 업무에 사용하는 것을 허락할 때 현명한 방법과 그렇지 못한 방법이 있다"고 지적했다. 일부 기업들은 장비 비용을 직원들에게 전가하고, IT 부서가 관리와 보안을 책임질 필요가 없다는 단순한 이유에서 이를 허용하고 있다. 하지만 보그에 따르면 이는 근시안적 관점이다. 전략적인 관점은 개인 모바일 장비라도 기업의 보안 및 관리 정책을 준수할 수 있도록 강제하는 것이다.
 
전문 관리 소프트웨어의 필요성 대두
일부 기업들은 이런 주장에 뜻을 같이 한다. 사회복지 서비스를 제공하고 있는 직원 4,800여명 규모의 비영리 단체인 리소스 포 휴먼 디벨롭먼트(Resources for Human Development, RHD)) 역시 직원들이 원할 경우 자신의 개인 장비를 업무에 사용할 수 있도록 허용하고 있다. 하지만 특정 모바일 장비 관리 소프트웨어를 사용하겠다고 동의해야만 아이폰과 안드로이드 같은 개인 장비를 사용할 수 있다. 또한 이를 위해 지난 5월 파이버링크(Fiberlink)의 관리 소프트웨어 MaaS360을 도입했다. 
 
파이버링크의 클라우드 기반 서비스를 통해 관리되는 MaaS360 에이전트 소프트웨어는 IT 부서가 패스워드 관리 정책을 유지하고, 잃어버리거나 도난 당한 장비를 제거할 수 있는 수단을 제공하고 있다. CTO인 앙드레 월스는 "우리는 이를 이미 두 번이나 사용했다"고 말했다.
 
아직 개인 보유 장비를 사용하지 않는 사람들에게 지급하고 있는 블랙베리에도 동일한 파이버링크 소프트웨어가 요구된다. 과거 RHD는 300대의 블랙베리를 구입했었다. 그러나 직원들이 개인 모바일 장비를 사용하는 빈도가 늘어 나면서 이 수치는 줄어들고 있는 중이다.
 
그러나 애널리스트들 모두가 직원 보유 모바일 장비 사용과 관련된 이슈에 동일한 시각을 견지하고 있지는 않다.
 
가트너의 애널리스트 켄 둘라니는 최근 가트너 IT 보안 서밋(Gartner IT Security Summit)에서 오늘날 모바일 장비 기술들은 일부 전통적인 베스트 프랙티스에 대한 관념들에 거부하고 있다고 지적했다. 사용해 본 적 없는 최신 아이폰과 안드로이드폰, 다른 장비들에 홀딱 반한 직원들이 이들 장비를 주요 업무 툴로 사용하기 원하기 때문이라는 것.
 
둘라니는 "이건 패션 사업이지 PC 사업이 아니다. 독재자가 되어서는 안된다. 그랬다가는 타도의 대상이 될 것이기 때문이다. IT 부서는 이 영역에서 통제권을 잃어버렸다. 대처해야 하는 영역이다. 새로운 '모태 디지털(digital natives)' 세대들이 직장에 들어오고 있다. 이들에게 오래된 책상 전화기는 휴대폰에 비하면 값만 비싼 라우터나 다름없다"고 강조했다. 둘라니는 이들이 선호하는 모바일 스마트폰과 태블릿과 관련된 문제에 직면했을 때, 만약 직원들이 이를 보유하고 있다면 일부 경우에는 이들 장비를 기업 이슈와 관련된 장비와 다르게 처리할 수 있을 것이라고 제안했다. 
 
예를 들어 기업 보유 장비처럼 네트워크에 무작위 액세스를 하지 못하도록 할 수도 있다. 이메일만 사용하도록 제한하는 식이다. 또 '개인 책임'을 규정한 '정책'이 있어야 한다. 둘라니는 "장비를 잃어버렸으면 이를 보고하도록 해야 한다. 또 IT 부서가 어떤 사유로든 내용을 지울 수 있도록 권리를 승인해야 한다"고 말했다. 직원들 각자가 개인 데이터를 백업할 필요가 있다는 의미이다.
 
또한 "여전히 PC나 노트북 컴퓨터를 보유하도록 요구할 필요가 있다"고 말했다. 스프레드시트같이 모바일 장비에서 변환이 잘되지 않는 것들을 읽어야 하는 등의 사유가 있기 때문이다. 
 
“데이터는 기업 소유”...기존 보안 정책 고수 
하지만 직원들이 기업이 지급한 모바일 장비를 사용하기로 선택했다면, IT 부서가 구매에서 수리까지 모든 책임을 져야 한다. 또 기업 사회에 자리잡고 있는 무시할 수 없는 현실도 있다. 바로 C 레벨 임원(CEO, CFO, CIO등)들과 영향력 있는 영업 책임자들은 어떤 식으로든 자신들이 원하는 것을 확보하는 경향이 있다는 것이다. 따라서 IT 부서는 일종의 'VIP' 서비스를 수립해야 할 필요도 있다. 특정 그룹의 경우 감사자의 승인을 충족할 수 있도록 제한된 네트워크에 액세스할 수 있도록 하기 위해서이다. 
 
하지만 듈라니느 마지막 분석에서 더 높은 수준의 보안이 필요하다면 전문업체들이 제공하는 박스톤(BoxTone), 모바일아이언(MobileIron), 에어워치(AirWatch) 같은 모바일 관리 소프트웨어 눈을 돌릴 필요가 있다고 덧붙였다.
 
파포인트 그룹(Farpoint Group)의 애널리스트 크레이그 마티아스는 한층 단순한 방법을 추천하고 있다. 마티아스는 "많은 다른 정책을 원하는 기업은 없다. 이는 재앙을 불러올 뿐이다. 어리석은 행동을 해서는 안된다"고 지적했다. 만약 직원들이 개인 모바일 장비를 가져와 기업 네트워크에서 사용하도록 허락하고 있다면, 모바일 장비 관리 소프트웨어를 도입해야 한다. 또 IT 부서는 장비에 대한 통제권을 자신들이 갖고 있음을 분명히 해야 한다.
 
마티아스는 "많은 기업들이 제대로 된 정책을 보유하고 있지 않다. 회사가 소유한 장비가 아니기 때문에 직원들 장비에 관리 및 보안 에이전트 소프트웨어를 집어 넣을 필요가 없다고 생각한다. 하지만 이는 큰 그림을 놓치고 있는 것이다. 전략적 가치는 정보에 있다. 그리고 기업은 장비에 들어있는 정보의 소유주다"라고 강조했다.  editor@itworld.co.kr