아이폰용 ‘모바일 기기 관리(MDM)’ 제품에 대한 ‘국가용 보안요구사항’이 올해 잠정 확정됨으로써 해당 보안기준을 만족하는 경우 애플사의 아이폰 제품군이 국가ㆍ공공기관 업무용 스마트폰으로 사용할 수 있게 되었다.
MDM은 인터넷ㆍ녹음ㆍ카메라 기능 차단 등 모바일 기기의 보안을 향상시켜 업무용으로 사용하기 적합하게 만드는 소프트웨어다.
이번 보안요구사항에는 아이폰용 단말 보안관리의 주요 기능으로 △사용자·단말 관리 △하드웨어·네트워크 접근통제 △앱 설치통제 △원격잠금·삭제 △운영체제 보호 기능 등이 있다고 밝히고 있다.
또 제품은 단말에게 보안정책을 전송하는 관리서버로 구성되며, 관리서버는 S/W 또는 H/W 일체형 등 다양한 형태로 구현될 수 있다. 단말의 통제는 관리서버가 전송한 MDM 보안정책과 단말에 배포된 MDM 프로 파일에 따르므로, 제품 구성요소에 단말의 하드웨어·앱을 통제하기 위한 MDM 에이전트는 포함되지 않는다.다만, 제품은 보안기능을 제공하기 위해 단말에 설치되는 MDM 에이전트가 아닌 앱을 포함할 수 있다고 규정하고 있다.
이어 ▲관리서버의 식별 및 인증 기능 ▲관리서버의 보안관리 기능 ▲관리서버의 감사기록 기능 ▲단말에 설치되는 앱에 대한 보안관리 기능 ▲운영체제 보호 등에 대해 상세한 내용들이 포함돼 있다.
특히 관리서버에서 생성된 감사기록에는 최소한 사건 발생 일시, 사건 유형, 사건을 발생시킨 주체의 신원, 사건의 결과가 포함되어야 하며, 관리서버는 일반 사용자의 제공 요청이 있을 경우, 생성된 감사기록중 요청한 사용자에 해당하는 감사기록을 제공할 수 있는 기능을 구현해야 한다고 규정하고 있다.
이 부분은 아이폰을 사용하는 개인 사용자가 자신과 관련된 로그기록 열람을 요청할 경우 이를 제공할 수 있도록 규정한 것이다. 이는 MDM을 사용하는 이용자라면 누구나 자기 폰에 있는 데이터를 관리자가 맘대로 가져가지는 않을까 하는불안감이 있을 수 있기 때문에 이런 불안감을 덜어주기 위한 항목으로 판단된다.
국가정보원은 11일 아이폰이 국가ㆍ공공기관에 도입될 경우 보안적합성 검증기준으로 활용되는 ‘iOSㆍiPadOS 모바일 단말 보안관리제품’의 ‘국가용 보안요구사항’을 국정원 홈페이지와 국가사이버안보센터 홈페이지에 공개했다.
이에 따르면, 국가ㆍ공공기관 보안관리자는 업무 목적으로 아이폰 제품군 도입시 카메라ㆍ마이크 등 하드웨어 자원을 효과적으로 제어할 수 있고 사용자가 아이폰을 분실했을 경우 원격잠금 또는 초기화 등의 긴급 조치를 취할 수 있다.
국정원은 이번에 공개한 ‘국가용 보안요구사항’에 대해 오는 20일까지 추가 의견을 접수한 뒤 최종안을 확정해 2월1일부터 적용할 계획이다.
국정원은 앞서 지난해 6월 ‘IT 보안제품 보안적합성 검증정책’ 설명회에서 아이폰용 ‘국가용 보안요구사항’ 개발 방침을 밝히고 업계 의견을 수렴하는 등 관련 작업을 진행해 왔는데 “그동안 안드로이드폰뿐만 아니라 아이폰도 공공분야 업무용으로 사용할 수 있도록 해야 한다는 요청이 많았고, 최근 애플사에서 아이폰 MDM의 기능을 보완하여 우리 정부의 요구사항을 충족함에 따라 개발이 가능하다고 판단했다”고 설명했다.
국정원은 당초 기관 소유의 아이폰만 허용할 방침이었으나, 국가ㆍ공공기관이 아이폰을 일괄 구매하는데 따르는 예산ㆍ행정 부담과 사용자의 편의 제고ㆍ업계 의견 등을 고려해 개인 소유 아이폰도 소정의 절차를 거치면 업무용으로 등록할 수 있도록 한다고 덧붙였다. 또한 업무용으로 안드로이드폰을 사용하느냐 아이폰을 사용하느냐의 선택은 해당 기관에서 결정할 사항이라고 밝혔다.
한편, 국정원은 “보안적합성 검증은 소스코드 공개 여부와 무관하며 아이폰용 MDM이 보안적합성 검증필 제품목록에 등재되려면 이번 배포된 ‘국가용 보안요구사항’을 준수해야 한다”고 설명했다.
국정원 관계자는 “아이폰용 MDM 제품에 대한 보안기준이 마련되면서 국가ㆍ공공기관은 보안성을 갖추면서도 보다 다양한 모바일 업무환경을 구축할 수 있게 됐다”면서 “국정원은 앞으로도 사이버안보 수호기관으로서 업계 의견을 지속적으로 수렴하며 관련 정책을 계속 개선해 나가겠다”고 말했다.
★정보보안 대표 미디어 데일리시큐!
