2017.01.18

글로벌 칼럼 | 모바일이 데이터를 보관하기에 가장 “안전한” 장소인 이유

Galen Gruman | InfoWorld
IT 관리자들과 이야기를 할 때면, 항상 모바일 디바이스를 민감한 기업 데이터가 전달되는 통로로 여겨 두려워하는 것을 알 수 있다. 필자는 이 이야기를 계속 듣게 되는지 알 수 없다. 이 두려움을 뒷받침하는 증거가 전혀 없기 때문이다. 사실, 모바일 디바이스가 중요한, 심지어 일반적인 수준의 위협 요소가 아니라는 강력한 증거는 있다.

매년 필자는 신원 확인 정보 유출에 관한 ITRC(Identity Theft Resource Center)의 데이터베이스를 검토한다. 각 주와 연방 단위의 법을 확인할 수 있는 자료다. 많은 데이터 유출 사고가 신고되지 않으며, 이 데이터베이스는 신원 확인 정보가 포함되지 않은 기업 정보에 대한 내용은 없다는 점은 잘 안다. 하지만 만일 모바일 디바이스가 데이터 유출의 통로라면, 이 데이터베이스에 나타나야만 한다.

지난 몇 년간 모바일과 관련된 유출 사고는 이 데이터베이스에 존재하지 않았으며, 2016년도 변화가 없었다. 오늘날 거의 모든 사람들이 스마트폰을 사용한다는 사실만이 변했을 뿐이다.

ITRC 데이터베이스에서 무엇을 확인할 수 있을까? 종이 서류, USB 드라이브, 외장 하드 드라이브, 노트북, 데이터베이스 및 스토리지 시스템 해킹, 피싱 공격 성공 등이다. 신고된 유출 사고중 상당수는 데이터 도둑이 관련없는 서류, 드라이브, 노트북 분실 등이다. 하지만 데이터 도둑과 관련있는 IT 시스템 해킹 사례도 있으며, 내부자(계약직과 전 직원)가 스스로 사용하거나 새로운 고용주를 찾거나, 빈도는 적지만 판매를 위해 데이터를 훔치는 경우도 있다.

하지만 분실, 도난, 디바이스 감염 등의 이같은 사례에는 스마트폰이나 태블릿과 관련된 것이 없다. 아마도 암호화된 디바이스는 신고되지 않았기 때문일 수도 있지만, 안전하다고도 해석할 수 있다. 아이폰과 아이패드는 오랫동안 콘텐츠를 암호화했으며, 전문가 수준의 안드로이드 디바이스 역시 최근 몇 년간 콘텐츠를 암호화해왔다. iOS와 안드로이드 모두, 간단한 IT 정책으로 이 암호화를 강제할 수 있다. 멋진 모바일 보안 도구가 필요없다. 마이크로소프트 익스체인지만으로도 가능하다.

사실, 스마트폰과 관련된 데이터 유출 사고가 한 건 있었다. 전 병원 관리자가 사임한 이후에 환자의 신원 정보를 환자 목록같은 문서를 스마트폰의 이메일 앱을 통해 개인 이메일 이메일 계정으로 전달해 유출시켰다. 개인 스마트폰에 업무 이메일을 설정하는 것은 흔한 BYOD 시나리오며, 핵심은 업무 이메일을 개인 이메일 계정으로 전달한 것이다. 같은 작업을 업무용 컴퓨터나 개인 컴퓨터로도 할 수 있기 때문에, 모바일관련 사고라고 보긴 어렵다.

이런 사례에 대한 IT 부서의 대응은 이메일 앱을 실행하는 어떤 디바이스에 대한 것이라도 같다. 이런 이상한 이메일 사용을 방지할 수 있는 DLP(data loss prevention) 도구를 이용할 수 있는 디바이스에서만 제한되게 이메일 계정을 사용하도록 하는 것이다. 또한, 신원 확인 정보나 기타 민감한 정보를 애초부터 일상적인 문서에 남기지 않는 것이다.

이 밖에, IT 관리자들이 모바일 디바이스 다음으로 걱정하고 있는 애플 아이클라우드 드라이브, 박스(Box), 드롭박스, 구글 드라이브, 마이크로소프트 원드라이브 등 클라우드 스토리지 서비스의 유출 사고도 ITRC 데이터베이스에는 없다.

그러나 암호화되지 않은 노트북에는 흔히 이런 서비스에 대한 엑세스 크리덴셜이 저장되어 있어, 데이터 도둑들이 로컬에 저장된 데이터처럼 클라우드에 저장된 데이터에도 접근할 수 있다는 점은 기억해야 한다. ITRC의 데이터베이스에는 각 사례에 대한 상세 정보가 빠져 있지만, 도난 당한 노트북을 통한 데이터 유출이 클라우드 엑세스 데이터를 포함해서 로컬 이외에 저장된 데이터 유출로 확대되었을 가능성은 충분하다.

그러나 아직까지도 IT 담당자들이 우려하는 것에 비해 이러한 인기 클라우드 스토리지 서비스에서 직접적인 데이터 유출 사고가 없었던 것은 사실이다.

오늘날 IT 전문가들은 처리해야 할 보안 위협이 상당히 많다. 물론 해킹이 가장 큰 위협이며, 리소스 분배도 생각해야 한다.

클라이언트에 대해서는 문제를 해결해야 하지만 집착하진 말아야 한다. 사용되고 있는 클라이언트 중 모바일은 위험이 가장 적다. 실제로는 노트북 보안부터 시작해서, 사람들이 기업 클라우드 스토리지 서비스에 접근하지 못할 때 사용하는 외장 드라이브로 확대해야 한다. 이런 디바이스의 감염이 가장 큰 클라이언트 위협이다. 암호화는 이런 디바이스를 방어하는 주요 수단이며, 클라우드 스토리지 방어도 마찬가지다. 위험이 훨씬 낮은 모바일 디바이스 측면에서는 모바일 관리 도구가 계속 발전하고 효율이 높아지고 있다. editor@itworld.co.kr


2017.01.18

글로벌 칼럼 | 모바일이 데이터를 보관하기에 가장 “안전한” 장소인 이유

Galen Gruman | InfoWorld
IT 관리자들과 이야기를 할 때면, 항상 모바일 디바이스를 민감한 기업 데이터가 전달되는 통로로 여겨 두려워하는 것을 알 수 있다. 필자는 이 이야기를 계속 듣게 되는지 알 수 없다. 이 두려움을 뒷받침하는 증거가 전혀 없기 때문이다. 사실, 모바일 디바이스가 중요한, 심지어 일반적인 수준의 위협 요소가 아니라는 강력한 증거는 있다.

매년 필자는 신원 확인 정보 유출에 관한 ITRC(Identity Theft Resource Center)의 데이터베이스를 검토한다. 각 주와 연방 단위의 법을 확인할 수 있는 자료다. 많은 데이터 유출 사고가 신고되지 않으며, 이 데이터베이스는 신원 확인 정보가 포함되지 않은 기업 정보에 대한 내용은 없다는 점은 잘 안다. 하지만 만일 모바일 디바이스가 데이터 유출의 통로라면, 이 데이터베이스에 나타나야만 한다.

지난 몇 년간 모바일과 관련된 유출 사고는 이 데이터베이스에 존재하지 않았으며, 2016년도 변화가 없었다. 오늘날 거의 모든 사람들이 스마트폰을 사용한다는 사실만이 변했을 뿐이다.

ITRC 데이터베이스에서 무엇을 확인할 수 있을까? 종이 서류, USB 드라이브, 외장 하드 드라이브, 노트북, 데이터베이스 및 스토리지 시스템 해킹, 피싱 공격 성공 등이다. 신고된 유출 사고중 상당수는 데이터 도둑이 관련없는 서류, 드라이브, 노트북 분실 등이다. 하지만 데이터 도둑과 관련있는 IT 시스템 해킹 사례도 있으며, 내부자(계약직과 전 직원)가 스스로 사용하거나 새로운 고용주를 찾거나, 빈도는 적지만 판매를 위해 데이터를 훔치는 경우도 있다.

하지만 분실, 도난, 디바이스 감염 등의 이같은 사례에는 스마트폰이나 태블릿과 관련된 것이 없다. 아마도 암호화된 디바이스는 신고되지 않았기 때문일 수도 있지만, 안전하다고도 해석할 수 있다. 아이폰과 아이패드는 오랫동안 콘텐츠를 암호화했으며, 전문가 수준의 안드로이드 디바이스 역시 최근 몇 년간 콘텐츠를 암호화해왔다. iOS와 안드로이드 모두, 간단한 IT 정책으로 이 암호화를 강제할 수 있다. 멋진 모바일 보안 도구가 필요없다. 마이크로소프트 익스체인지만으로도 가능하다.

사실, 스마트폰과 관련된 데이터 유출 사고가 한 건 있었다. 전 병원 관리자가 사임한 이후에 환자의 신원 정보를 환자 목록같은 문서를 스마트폰의 이메일 앱을 통해 개인 이메일 이메일 계정으로 전달해 유출시켰다. 개인 스마트폰에 업무 이메일을 설정하는 것은 흔한 BYOD 시나리오며, 핵심은 업무 이메일을 개인 이메일 계정으로 전달한 것이다. 같은 작업을 업무용 컴퓨터나 개인 컴퓨터로도 할 수 있기 때문에, 모바일관련 사고라고 보긴 어렵다.

이런 사례에 대한 IT 부서의 대응은 이메일 앱을 실행하는 어떤 디바이스에 대한 것이라도 같다. 이런 이상한 이메일 사용을 방지할 수 있는 DLP(data loss prevention) 도구를 이용할 수 있는 디바이스에서만 제한되게 이메일 계정을 사용하도록 하는 것이다. 또한, 신원 확인 정보나 기타 민감한 정보를 애초부터 일상적인 문서에 남기지 않는 것이다.

이 밖에, IT 관리자들이 모바일 디바이스 다음으로 걱정하고 있는 애플 아이클라우드 드라이브, 박스(Box), 드롭박스, 구글 드라이브, 마이크로소프트 원드라이브 등 클라우드 스토리지 서비스의 유출 사고도 ITRC 데이터베이스에는 없다.

그러나 암호화되지 않은 노트북에는 흔히 이런 서비스에 대한 엑세스 크리덴셜이 저장되어 있어, 데이터 도둑들이 로컬에 저장된 데이터처럼 클라우드에 저장된 데이터에도 접근할 수 있다는 점은 기억해야 한다. ITRC의 데이터베이스에는 각 사례에 대한 상세 정보가 빠져 있지만, 도난 당한 노트북을 통한 데이터 유출이 클라우드 엑세스 데이터를 포함해서 로컬 이외에 저장된 데이터 유출로 확대되었을 가능성은 충분하다.

그러나 아직까지도 IT 담당자들이 우려하는 것에 비해 이러한 인기 클라우드 스토리지 서비스에서 직접적인 데이터 유출 사고가 없었던 것은 사실이다.

오늘날 IT 전문가들은 처리해야 할 보안 위협이 상당히 많다. 물론 해킹이 가장 큰 위협이며, 리소스 분배도 생각해야 한다.

클라이언트에 대해서는 문제를 해결해야 하지만 집착하진 말아야 한다. 사용되고 있는 클라이언트 중 모바일은 위험이 가장 적다. 실제로는 노트북 보안부터 시작해서, 사람들이 기업 클라우드 스토리지 서비스에 접근하지 못할 때 사용하는 외장 드라이브로 확대해야 한다. 이런 디바이스의 감염이 가장 큰 클라이언트 위협이다. 암호화는 이런 디바이스를 방어하는 주요 수단이며, 클라우드 스토리지 방어도 마찬가지다. 위험이 훨씬 낮은 모바일 디바이스 측면에서는 모바일 관리 도구가 계속 발전하고 효율이 높아지고 있다. editor@itworld.co.kr


X