2021.07.28

글로벌 칼럼 | 이제 모바일 보안 규칙을 강제할 때다

Evan Schuman | Computerworld
필자는 최근 포브스에서 모든 iOS 와이파이에 적용해야 할 보안 설정에 대한 기사를 봤다. 이 기사는 ‘IT 및 보안 관리자는 모든 기업 사용자에게 iOS와 안드로이드 기기와 관련된 보안 설정 및 구성 변경 목록을 제공하는 것이 어떨까?’라는 논쟁적인 질문을 낳았다.
 
ⓒ Getty Images Bank

물론 몇몇 기업은 기사 조언대로 기기 구성 설정을 했지만, 많은 CIO 및 CISO는 크게 신경 쓰지 않는다. 필자는 오히려 한발 더 나아가, 이러한 설정 목록 작성을 기업에 의무화해야 한다고 생각한다. 거의 모든 기업이 승인된, 다운로드 가능한 VPN 사용을 의무화하므로, 보안 위협에 대응하기 위해 다른 설정을 강제해서 안될 것도 없다.

구체적인 설정은 기업뿐만 아니라 사용자별로 다양할 것이다. 다만, 재택근무 종료 후 와이파이 끄기, 블루투스 미사용 시 비활성화는 기본적으로 누구나 지켜야한다.

이런 설정을 강제했을 때 사용자의 반발이 거셀 수 있지만, 당황할 필요 없다. 재택 근무자는 집에서 편하게 네트워크를 사용하는 것에 이미 익숙해졌기 때문이다. 그러나 공항, 기차역, 또는 호텔 로비 주변에서는 매우 위험할 것이다. 맨하튼이나 샌프란시스코 거리를 걸을 때도 마찬가지다.

이제 블루투스를 살펴보자. 공격자가 공격 대상에게 가까이 접근할 수 있는 한, 블루투스는 가장 쉽게 악용되는 공격 수단이다. 블루투스는 설치된 보안 소프트웨어에 의존하는 전통적인 방어 시스템을 우회한다. 그래서 필요시 외에는 블루투스를 항시 꺼두는 것을 권고한다.

오늘날, 사용자는 출장 및 여행 시 블루투스 기기를 이용해 언제든 통화할 수 있다. 이런 상황에서 이 규칙을 적용해 사용자가 출장 및 여행 시 블루투스 이어폰은 집에 두고, 대신 유선 이어폰만 가지고 다니라고 해야 할까? 그렇게 나쁜 의견은 아니지만 과연 유선 이어폰을 항상 가지고 다니는 것이 가능할까?

필자는 포브스 기사를 보면서, 미확인 네트워크에는 기본적으로 연결하지 못하도록 막는 것에 대해 생각하게 됐다. 매우 합리적인 예방책이다. 또한, 포브스 기사는 사용자가 미 확인된 네트워크를 사용해야 하는 경우, 믿고 사용할 수 있는 모바일 VPN을 먼저 켜야 한다고 주장했다.

‘인증된 모바일 VPN을 지정하는 것은 물론, 한 가지 VPN을 쓰도록 강제하는 IT팀이 얼마나 될까?’에 대해서도 생각해보자. 많은 사용자가 생각하는 것과 다르게, VPN은 실제로 보안 기능을 제공하지 않는다. 사용자가 민감 정보가 포함된 이메일을 확인하거나 은행 계좌에 로그인할 때, 블루투스를 통해 사용자 행동을 관찰하던 공격자는 계속 조용히 지켜만 본다. 키스트로크 해킹 툴이 설치된 사용자의 경우, 계정 정보를 빼앗겼을 가능성이 크다.

관리자는 와이파이, 비밀번호, 애플리케이션 다운로드 시 적용되는 룰과 동일하게 모바일 기기를 잠그고 데이터를 안전하게 보호하기 위한 모든 방식을 취해야 한다. 또한, 책임자는 반드시 기업 내 모든 개개인이 무엇을, 왜 해야 하는지를 명확하게 알도록 해야 한다. 그렇지 않으면, 공격 및 도난에 취약해질 수밖에 없을 것이다.

BYOD(Bring Your Own device) 환경에서 IT 및 보안 관리자는 기업의 모든 자산을 보호할 의무가 있다. 자산 비율을 살펴보면, 모바일 기기 사용이 급증하고 있음을 알 수 있다. 그러니 이제 엄격한 룰을 만드는 것이 좋겠다.

어떤 룰도 직원에게 피해를 끼치지 않고, 개인용 애플리케이션 및 데이터 사용을 막지 않는다. 다만, 감수해야 할 것은 약간의 불편함 뿐이다.

직원이 개인 기기를 업무용으로 사용하지 않고 기업에 모바일 기기 제공을 요청할 경우, 개인 기기를 별다른 보안 규칙 없이 사용하게 해달라고 요구할 권리가 있다. 물론 기업이 이를 승인할지는 또 다른 문제지만 말이다.

직원의 요구가 받아들여지면, 그는 개인 기기를 보안 툴 제약 없이, 자유롭게 다룰 수 있다. 하지만 사용자가 개인 기기를 사용해 기업 소유 데이터 자산 접근 및 생성할 때는, 보안 설정 규칙을 적용하는 것이 더할 나위 없이 합리적이다. 물론 이런 규칙을 적용하면 IT 및 보안 관리자는 사용자에게 인기를 얻지 못할 것이다. 그러니 옳은 일을 하면 된다. editor@itworld.co.kr


2021.07.28

글로벌 칼럼 | 이제 모바일 보안 규칙을 강제할 때다

Evan Schuman | Computerworld
필자는 최근 포브스에서 모든 iOS 와이파이에 적용해야 할 보안 설정에 대한 기사를 봤다. 이 기사는 ‘IT 및 보안 관리자는 모든 기업 사용자에게 iOS와 안드로이드 기기와 관련된 보안 설정 및 구성 변경 목록을 제공하는 것이 어떨까?’라는 논쟁적인 질문을 낳았다.
 
ⓒ Getty Images Bank

물론 몇몇 기업은 기사 조언대로 기기 구성 설정을 했지만, 많은 CIO 및 CISO는 크게 신경 쓰지 않는다. 필자는 오히려 한발 더 나아가, 이러한 설정 목록 작성을 기업에 의무화해야 한다고 생각한다. 거의 모든 기업이 승인된, 다운로드 가능한 VPN 사용을 의무화하므로, 보안 위협에 대응하기 위해 다른 설정을 강제해서 안될 것도 없다.

구체적인 설정은 기업뿐만 아니라 사용자별로 다양할 것이다. 다만, 재택근무 종료 후 와이파이 끄기, 블루투스 미사용 시 비활성화는 기본적으로 누구나 지켜야한다.

이런 설정을 강제했을 때 사용자의 반발이 거셀 수 있지만, 당황할 필요 없다. 재택 근무자는 집에서 편하게 네트워크를 사용하는 것에 이미 익숙해졌기 때문이다. 그러나 공항, 기차역, 또는 호텔 로비 주변에서는 매우 위험할 것이다. 맨하튼이나 샌프란시스코 거리를 걸을 때도 마찬가지다.

이제 블루투스를 살펴보자. 공격자가 공격 대상에게 가까이 접근할 수 있는 한, 블루투스는 가장 쉽게 악용되는 공격 수단이다. 블루투스는 설치된 보안 소프트웨어에 의존하는 전통적인 방어 시스템을 우회한다. 그래서 필요시 외에는 블루투스를 항시 꺼두는 것을 권고한다.

오늘날, 사용자는 출장 및 여행 시 블루투스 기기를 이용해 언제든 통화할 수 있다. 이런 상황에서 이 규칙을 적용해 사용자가 출장 및 여행 시 블루투스 이어폰은 집에 두고, 대신 유선 이어폰만 가지고 다니라고 해야 할까? 그렇게 나쁜 의견은 아니지만 과연 유선 이어폰을 항상 가지고 다니는 것이 가능할까?

필자는 포브스 기사를 보면서, 미확인 네트워크에는 기본적으로 연결하지 못하도록 막는 것에 대해 생각하게 됐다. 매우 합리적인 예방책이다. 또한, 포브스 기사는 사용자가 미 확인된 네트워크를 사용해야 하는 경우, 믿고 사용할 수 있는 모바일 VPN을 먼저 켜야 한다고 주장했다.

‘인증된 모바일 VPN을 지정하는 것은 물론, 한 가지 VPN을 쓰도록 강제하는 IT팀이 얼마나 될까?’에 대해서도 생각해보자. 많은 사용자가 생각하는 것과 다르게, VPN은 실제로 보안 기능을 제공하지 않는다. 사용자가 민감 정보가 포함된 이메일을 확인하거나 은행 계좌에 로그인할 때, 블루투스를 통해 사용자 행동을 관찰하던 공격자는 계속 조용히 지켜만 본다. 키스트로크 해킹 툴이 설치된 사용자의 경우, 계정 정보를 빼앗겼을 가능성이 크다.

관리자는 와이파이, 비밀번호, 애플리케이션 다운로드 시 적용되는 룰과 동일하게 모바일 기기를 잠그고 데이터를 안전하게 보호하기 위한 모든 방식을 취해야 한다. 또한, 책임자는 반드시 기업 내 모든 개개인이 무엇을, 왜 해야 하는지를 명확하게 알도록 해야 한다. 그렇지 않으면, 공격 및 도난에 취약해질 수밖에 없을 것이다.

BYOD(Bring Your Own device) 환경에서 IT 및 보안 관리자는 기업의 모든 자산을 보호할 의무가 있다. 자산 비율을 살펴보면, 모바일 기기 사용이 급증하고 있음을 알 수 있다. 그러니 이제 엄격한 룰을 만드는 것이 좋겠다.

어떤 룰도 직원에게 피해를 끼치지 않고, 개인용 애플리케이션 및 데이터 사용을 막지 않는다. 다만, 감수해야 할 것은 약간의 불편함 뿐이다.

직원이 개인 기기를 업무용으로 사용하지 않고 기업에 모바일 기기 제공을 요청할 경우, 개인 기기를 별다른 보안 규칙 없이 사용하게 해달라고 요구할 권리가 있다. 물론 기업이 이를 승인할지는 또 다른 문제지만 말이다.

직원의 요구가 받아들여지면, 그는 개인 기기를 보안 툴 제약 없이, 자유롭게 다룰 수 있다. 하지만 사용자가 개인 기기를 사용해 기업 소유 데이터 자산 접근 및 생성할 때는, 보안 설정 규칙을 적용하는 것이 더할 나위 없이 합리적이다. 물론 이런 규칙을 적용하면 IT 및 보안 관리자는 사용자에게 인기를 얻지 못할 것이다. 그러니 옳은 일을 하면 된다. editor@itworld.co.kr


X