언제 어디에서나 업무의 처리를 가능케 하는 모바일 기기, 특히 스마트폰은 비즈니스 생산성 혁신의 문을 열었다. 그러나 우리에게 새로이 주어진 기술 진보와 편의성의 이면엔 보안 문제가 도사리고 있는 것이 현실이다. 여기 모바일 사용자들이 저지를 수 있는 최악의 실수들과, 그것을 예방하기 위한 조언을 소개한다. editor@itworld.co.kr
스마트폰 보안 실수들
오늘날 스마트폰은 만인의 소유물로 자리 잡았다. 하지만 이것을 올바르게 이용하지 못할 경우 사용자들은 자신의 프라이버시 및 보안에 뿐 아니라 기업의 주요 데이터에도 악영향을 미칠 수 있다. 여기 소개되는 조언에 귀 기울여 자신이 초래할 수 있는 위협은 무엇이며, 이를 예방해 모바일 보안을 향상시킬 방법은 무엇인지 살펴 보자.
기기 잠금 과정의 실수
기기를 잠그는 것 자체는 사실 그다지 효과적인 보안 방법은 아닌 것이 사실이다. 오히려 가장 약한 수준의 보안 방식이라 말하는 것이 옳다. 하지만 이는 기기 및 데이터 보호의 첫 단계라는데 의의가 있다.
아이폰 5S의 지문 스캐너와 같은 선진적 기술이든, 혹은 PIN 또는 암호를 이용한 간소화된 형태든, 이런 초기 잠금은 자신이 기기를 도난 당하거나 분실했을 경우 이를 추적하는, 또는 원격으로 데이터를 삭제하는 동안 일정 수준 타인의 데이터에 대한 접근을 막아줄 것이다.
앱 최신 보안 업데이트 소홀
스토어에는 많은 앱들이 취약점을 지닌 채 배포되고 있는 것이 오늘날의 현실이다. 이런 취약점은 수 차례의 업데이트를 거치고 나서야 비로소 해결되는 경우도 많다. 개발자들이 뒤늦게 문제를 해결하는 경우에도 취약점은 완전히 사라지지 않는다. 최근 공격자들의 프로필 정보 위장 문제가 대두됐던 iOS 용 링크드인 인트로(LinkedIn Intro)의 사례와 같이 말이다.
이는 많은 사용자들이 업데이트를 소홀히 해 여전히 구식 버전의 앱이 환경 속에 남아있기 때문이다. 최신 업데이트를 정기적으로 확인해 다운로드하는 작은 노력만으로도 보안 위험은 충분히 경감될 수 있음을 기억하자.
권한없는 기기에 저장되는 중요 업무 관련 데이터
자신의 기업이 직원들을 위한 BYOD 정책을 마련해 둔 경우 개인 기기에 기업의 데이터를 저장하는 것은 그리 큰 문제가 되지 않는다. 기기에 저장된 기존의 개인 데이터와 기업 데이터를 분리해 관리하는 것이 가능하기 때문이다.
하지만 BYOD 정책이 자리 잡지 않은 상황에서 기업 정보를 승인받지 않은 기기, 혹은 개인 기기에 저장하는 것은 공격자에게 배를 드러내 놓는 것과 다를 바 없는 행동이다. 특히 직원들이 기기 내 데이터를 클라우드 스토리지 등에 동기화하는 백업 방식을 선택하기라도 한다면, 문제는 더욱 심각해진다. 핵심은 간단하다. 어떤 상황에서라도 비즈니스 데이터와 개인 데이터는 분리되어 관리돼야 한다.
의심스런 콘텐츠 열람
모바일 기기 사용자들이 은밀한 콘텐츠에 접근할 수 있는 방법은 많다. 공격자들은 SMS의 형태로 사용자에게 위협을 가할 수도 있다. 이미 곳곳에서 위협을 내포한 사이트 링크를 포함한 스팸 메시지로 인한 피해 사례는 들려오고 있다. 사용자들은 알지 못하는 링크는 함부로 접속해서는 안 된다는 사실을 잊지 말아야 한다.
이와 함께 서드 파티 앱 스토어에서 앱을 다운로드하는 것도 주의해야 할 행동이다. 애플 앱 스토어나 구글 플레이 스토어가 완벽하게 문제있는 앱을 걸러내지 못하고 있는 것은 사실이지만, 적어도 이들은 일련의 검열 과정은 거치고 있다. 반면 구글 혹은 애플 등의 승인을 받지않은 신뢰할 수 없는 출처에서 무언가를 다운로드하는 경우에는, 자신을 보호해 줄 것은 그 아무것도 없음을 기억하라.
기업의 소셜 미디어 정책 위반
오늘날 대부분의 기업들은 소셜 채널을 통한 주요 정보 및 데이터 공개와 관련한 정책들을 수립하고 있다. 모바일 기기를 통해 소셜 미디어에 접속하는 사용자라면, 이 정책에서 최소한 일부라도 주의를 기울일 필요가 있다.
외부 정보 혹은 데이터를 노출하는 것과 같은 소셜 미디어 상에서의 실수들 일부는 비교적 명확히 문제 여부 확인이 가능한 것이 사실이지만, 또한 때로는 소셜 미디어 상에서 별 생각 없이 공유되는 정보들이 기업에 문제를 야기하는 경우도 있다. 간단한 예로 기업에서 갓 해고된 직원에 대해서는, 아무리 하고 싶은 말이 많더라도 절대 페이스북 상에 관련 내용을 포스팅하지 말라.
MDM 혹은 암호화가 갖춰지지 않는 직원 기기
이번 항목은 기업과 IT가 기억해야 할 조언이다. 모바일 기기 관리(Mobile Device Management, MDM)는 직원이나 사용자의 역할이 아니다. 이는 분명 IT 영역이다. 기업들은 반드시 자신들의 네트워크 및 데이터에 접근하는 모든 기기들에 대해 MDM과 암호화 방법론을 적용하고 있어야 한다.
BYOD 활동을 진행 중인 경우에는 이 과정이 더욱 중요해진다. 직원들이 어디에나 각자의 개인 기기를 가지고 다닐 경우, 이것을 분실하거나, 그 안에 담긴 민감한 데이터를 노출시킬 위험은 더욱 커진다는 사실을 기억하자.
공용, 비보안 와이파이 이용
휴대폰의 데이터 접속이 아닌 와이파이를 이용해 환경에 접속하는 경우라면, 최소한 일정 수준 이상의 보안 역량을 구현하는 WPA2 암호화 등의 기술을 이용하자. 공개, 비보안 네트워크는 그 위험성이 너무나 크다. 이것을 이용한다면 사용자는 언제나 기업의 주요 데이터를 누군가에게 노출할 위협을 안고 있는 것과 다를 바 없다.
공용 네트워크 환경 하에서는 네트워크를 공유하는 다른 이가 자신의 모바일 기기 내 정보에 접근하기도 매우 용이하며, 공격자들의 앱을 통한 하이재킹(hijacking)의 가능성 역시 열려 있다. 실제로 최근에는 공격자들이 앱과 공용 와이파이 서버 사이의 트래픽을 탈취하고 악성 링크 혹은 거짓 뉴스가 포함된 자체 개발 데이터를 피해자의 기기로 전송할 수 있는 취약점이 일부 iOS 앱에서 발견된 바 있다.