가상화ㆍ컨테이너 / 모바일 / 보안 / 안드로이드

삼성의 안드로이드 보안 기술 ‘녹스’에 대한 불편한 진실

Galen Gruman | InfoWorld 2013.11.08
삼성은 지난 2월 삼성의 고가 안드로이드 기기용 컨테이너화 기술인 ‘녹스’(Knox)를 처음 발표했다. 녹스는 디바이드(Divide)같은 작은 회사들이 처음 개척을 했지만, 주류 기업들은 많이 사용하지 않는 안드로이드 기기용 가상 파티션 기술이다. 기업이 관리하는 앱과 데이터를 해킹으로부터 분리해 보호하는 데 목적을 두고 있는 기술이다.

그동안 기업들은 안드로이드 기기의 보안에 상당히 우려해왔고 녹스는 이를 개선하기 위해 삼성이 들인 노력의 결과다. 이를 통해 보안 측면에서 신뢰할 수 있는 기기라는 평가를 받는 블랙베리(BlackBerry)와 iOS와 비슷한 가치를 제공하려는 것이다. iOS는 애초부터 폐쇄적인 운영 시스템이기 때문에 다양한 악성코드로부터 데이터 유출을 막을 수 있도록 설계가 돼 있다. 블랙베리 10 OS는 여기에서 한발 더 나아가, 기업의 ‘재산 관리 서버’를 구현한 ‘밸런스’(Balance)라는 컨테이너화 기술을 제공한다.

녹스가 처음 공개되고 9개월이 지났다. 삼성은 계속해서 녹스를 홍보하고 있다. 미국 국방성이 정부 업무에 사용할 수 있도록 승인을 했고 몇몇 업체들도 이를 지원한다. 이밖에 기술 관련 미디어들에 지금 당장 녹스를 활용할 수 있다는 내용의 많은 기사가 쏟아지고 있다. 그러나 진실은 이와 좀 다르다. 올가을 공개되면 기업들은 달갑지 않은 새로운 사실을 알게 될 것이다. 모바일 기기 관리 업체가 부과하는 수수료에 더해, 녹스 사용 요금을 별도로 내야 하기 때문이다.

녹스를 실제 사용하는 데 필요한 것
녹스를 사용하려면 기기 하드웨어가 가상화 기술을 지원해야 한다. 이 때문에 녹스를 사용할 수 있는 삼성 기기는 패블릿인 갤럭시 노트 3, 갤럭시 S 3 스마트폰, 갤럭시 S 4 스마트폰, 2013년 나올 갤럭시 노트 10.1 태블릿 정도다. 지금 당장은 노트 3과 S4에서 녹스를 구동시킬 수 있다. 그러나 가입한 통신 사업자에 따라 제한이 있다. 프리미어 스위트(Premier Suite) 업데이트를 설치하면 AT&T와 버라이즌에서는 노트 3를, 스프린트와 버라이즌에서는 S4에서 녹스를 사용할 수 있다. 또 노트 10.1 와이파이 모델에서도 녹스를 사용할 수 있다.

삼성은 S 3과 다른 통신사의 S 4, 노트 3에서도 녹스가 실행되도록 업데이트를 배포할 계획이라고 밝혔다. 그러나 녹스의 기기 호환성 여부를 결정하는 것은 각 통신사라는 전제를 달았다. 따라서 현재까지는 녹스를 지원하는 기기가 극소수에 불과할뿐만 아니라 통신사별로 언제 어떤 기기를 지원할 지도 확실치 않은 상황이다. (사실 이런 불일치는 안드로이드의 고질적인 문제이다)

또한, 녹스를 실행시키기 위해서는 녹스 애플리케이션이 있어야 한다. 이메일 등 여러 클라이언트 앱으로 구성돼 있다. 아주 최근에야 구글 플레이(Google Play)에서 다운로드할 수 있게 등록이 됐다. 녹스와 호환이 되는 모바일 관리 서버도 필요하다. 안드로이드와 iOS 기기 관리를 위해 사용자 1명당 매월 사용료를 내야 하는 서버이다. 선택한 관리 기능에 따라 사용료는 차이가 있다. 또 마이크로소프트 익스체인지 서버에서는 녹스를 이용할 수 없다. 그러나 애플과 구글이 사용하는 MDM 프로토콜은 지원한다. ‘무료’(free) MDM 방식이라 할 수 있다.

마지막으로 사용하고 있는 기기에서 녹스 서비스를 활성화해야 한다. 좋은 소식은 MDM 공급자들이 서비스를 활성화 시킬 예정이라는 것이다. 그러나 나쁜 소식도 있다. 녹스를 사용하기 위해서는 삼성이 부과하는 수수료가 이전된 사용자 1명당 월 할증료를 MDM 업체에 지급해야 한다는 것이다.

앱솔루트(Absolute), 에어워치(AirWatch), 센트리파이(Centrify), 시트릭스, 픽스모(Fixmo), 모바일아이언(MobileIron), SAP, 소티(Soti) 등이 녹스를 지원할 계획이다. (일부 업체는 시험판을 제공하고 있고, 모바일아이언은 지난 6일 녹스 활성화를 지원하기 시작했다고 밝혔다. 다른 업체들도 곧 뒤따를 예정이다) 삼성은 녹스의 월 이용 요금을 공개하지 않았다. 따라서 관심 있는 기업들은 각 MDM 업체에 연락해 지원 시기와 요금을 확인해야 한다.

그러나 현재 녹스 활성화 계약을 체결한 MDM 업체는 단 한 곳도 없다. 따라서 대다수 기업은 호환되는 기기, 녹스 소프트웨어, 호환되는 MDM 서버를 보유하고 있다 할지라도 녹스를 이용할 수 없다. 몇몇 MDM 업체들은 곧 삼성과 라이선싱 계약을 체결해 녹스 서비스를 제공할 계획이다. 따라서 요금을 지급할 의사가 있고, 호환되는 기기를 보유하고 있다면 올해 중에 녹스를 이용할 수 있게 될 전망이다.

녹스와 삼성 세이프 보안 기술과의 관계
삼성은 녹스가 세이프(Samsung Approved for Enterprise) 기술의 기능 가운데 하나라고 광고하고 있다. 세이프는 구글 안드로이드 API를 보완하는 API이다. MDM 서버로 관리할 수 있는 보안 및 관리 기능을 강화한 것이 특징이다. 또한, 안드로이드는 128비트 암호화를 제공하지만, 세이프는 256비트 암호화를 제공한다.

삼성은 녹스를 세이프라는 이름 아래 마케팅하고 있다. 문제는 가장 최근 출시된 삼성 기기들은 세이프 API와 256비트 암호화를 지원하지만, 녹스 컨테이너 기능과 기타 추가 관리 API는 지원하지 않는다는 점이다. 녹스 호환 장비는 모두 세이프 기술을 지원하지만, 세이프 호환 기기는 녹스를 지원하지 않을 수도 있다는 의미이다.

따라서 삼성 기기를 구매할 때는 어떤 보안 기능을 지원하는지 주의 깊게 살펴야 한다. 또 녹스에 추가 비용을 투자할지 여부도 결정해야 한다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.