2019-10-18 00:39 (금)
스마트워크 환경의 등장과 기업의 정보보안 대책은
상태바
스마트워크 환경의 등장과 기업의 정보보안 대책은
  • 길민권
  • 승인 2011.07.22 17:31
이 기사를 공유합니다

Device, Network, Contents, 사용자인증 4영역 보안 강화해야
스마트 폰과 모바일 네트워크의 진화에 따라와 기업의 스마트 워크 환경은 계획이 아닌 현실로 진화하고 있다. 기업의 스마트폰 사용자들이 메일 확인, 통화, 문서 리뷰 등 업무 용도로 스마트 폰을 활용하고 있으며, 업무 시스템의 생산성 및 효율성 증대를 위해, 스마트 워크 솔루션을 도입하는 기업도 늘고 있다.(사진출처. www.flickr.com / by hansdorsch)
 
한국에서는 공공기관 및 대기업을 중심으로 많은 곳에서 스마트 워크를 도입했거나 추진하고 있으며, 사내메일 체크, 사내 인트라넷 접속 등 다양한 기업 업무를 스마트 기기들로 처리하고 있다.

또한 많은 기업에서 창의성 발휘와 이에 기반한 기업 혁신의 중요한 도구로 스마트 디바이스(스마트폰, 테블릿 등)가 활용되길 기대하고 있다. 특히 기업들은 스마트 워크 환경 구축은 시기의 문제이며, 거스를 수 없는 트렌드라고 인식하고 있다.
 
그러나 스마트 워크 환경 구축을 추진하려는 많은 기업들이 가장 많이 우려하는 것이 바로 보안 문제이다. 최근 해킹을 통한 고객정보유출 등 다양한 보안 사고가 일어남에 따라, 새로운 디바이스(모바일 디바이스)의 보안 위협 요소에 대한 우려도 커지고 있다. 특히, 스마트 기기의 이동성과 개방성으로 인해 유선 및 PC환경에 비해 훨씬 다양한 위험 요소를 대비해야 함에 따라, 많은 기업이 Enterprise Mobility 도입에 앞서 위험 요소 분석 및 대응책 마련에 집중하고 있다.
 
모바일 보안에 대한 오해와 진실
모바일 보안에 있어 가장 큰 오해는 스마트 기기는 개인적인 용도의 디바이스이기 때문에 기업 보안과는 무관하다는 것이다. 그러나 실제로 디바이스의 성능이 향상됨에 따라, PC에서만 가능했던 이메일 확인, 문서 작업 등의 업무 처리가 스마트폰 및 태블릿PC에서도 활발히 이루어지고 있으며, 다양한 기업 정보가 디바이스에 저장되고 있다.
 
특히, 최근에는 사용자의 통화 목록, 문자내역, 웹사이트 방문 기록 등을 탈취하거나 사용자 모르게 Rooting을 수행하는 악성코드 등 다양한 형태의 악성코드가 증가함으로써, 여러 경로를 통해 사용자도 모르는 사이 개인 정보 뿐만 아니라 업무 관련 정보까지 유출될 수 있다.
 
또한 최근 아시아에서도 BYOD (Bring Your Own Device) 추세가 확산됨에 따라 개인용 디바이스를 업무 용도로 사용하는 사례가 많아지고 있으며, 특히 한국에서는 기업에서 스마트 워크 환경 구축을 위해 도입하는 기업 단말이 개인 및 업무 용도로 함께 사용되거나, 특정 금액 이상의 휴대폰 비용을 지원 받는 것이 일반적이다. 이러한 특성은 기업이 보안 정책과 대책을 수립할 때 고려해야 할 중요한 사항 중 하나이다.
 
두번째 오해는 모바일 디바이스가 새로운 디바이스(relatively new)로써 기존 PC나 유선 보안과는 전혀 다른 새로운 것이라는 생각이다. 모바일 보안의 위협 요소는 다양할 수 있으나, 취약점의 근본 원인이 되는 기반 기술은 기존 IT시스템 보안과 통합적인 관점에서 보아야 하며, 일부 기존 IT시스템의 보안 방안을 함께 적용할 수 있다. 따라서 기업 업무용 모바일 환경에서는 초기 단계부터 모바일 디바이스와 기존 IT 시스템의 연동 및 모바일 업무 환경의 목적과 범위에 따라 통합적 보안 시스템 구축 및 보안 정책 수립/운영이 필수적이다.
 
기업 보안 사고를 방지하기 위한 대책은?
기업의 모바일 보안 사고 방지를 위해서는 Device, Network, Contents, 사용자인증의 4가지 영역에서의 보안을 강화해야 한다.
 
첫째, Device대한 보안에 있어 가장 큰 위협이 될 수 있는 모바일 기기의 분실 및 도난에 대해 [신고]->[잠금]->[백업]->[삭제]->[회수]->[해제]->[복원] 의 Process 구축이 필요하다. 특히 USB, SD카드, Bluetooth, 카메라 등 매체에 대한 제어 기능과 보안 프로그램 보호 기능을 통해 사용자 임의로 보안 기능을 무력화하는 행위를 방지할 수 있으며 안드로이드의 루팅(Rooting) 및 iOS의 탈옥(Jailbreak) 여부의 탐지를 통해 보안 사고를 예방할 수 있다.
 
둘째, Network에 대한 보안으로써 Wi-Fi 사용 시, 사내에 설치된 AP에 대한 불법 사용자의 접근 및 Rouge AP를 통한 정보 가로채기 등의 위협도 Wireless IPS를 모듈화하여 운용해야 한다.
셋째, Contents에 대한 보안으로 기업 구성원이 스마트 기기의 설치 및 실행 중이 Application 및 Contents를 정기적으로 확인하는 것이 필요하다.
 
또한, 기업에서는 기업용 Anti Malware 제품을 모듈화 하여, 악의적인 App. 발생 시 해당 App. 을 Black List화 하고 악의적인 App. 이 설치된 모바일 기기에 대해 원격에서 관리해 주는 다각적인 대응을 할 수 있다.
 
마지막으로 모바일 기기 인증 시 일정 횟수 이상 실패 후 화면 잠금, 강력한 비밀번호 설정 통제, 화면 잠금 정책 제어 등 기기를 분실하거나 도난 당해도 무차별적인 비밀번호 입력을 통한 정보 유출을 막을 수 있다.
 
기업에서는 스마트 워크 도입 시, 보안 위협 요소를 지속적으로 분석하고, 기존 IT시스템과의 연관성 및 정책 등을 함께 고려해야 한다. 이렇게 구축된 모바일 보안 시스템은 기업 전체의 IT보안의 관점에서 통합적으로 관리되고, 함께 진화/발전시켜야 한다.
 
이와 더불어, 기업 구성원 개개인의 모바일 보안에 대한 관심 증대 및 보안의식 고취 역시 매우 중요하다. 최근에는 기업뿐만 아니라 개인 고객을 위한 보안 Solution도 많이 출시되고 있으며, 가장 보편적인 모바일 백신 다운로드 등 개인 및 기업 정보를 보호하려는 개인의 노력이 더욱 중요해질 전망이다. [SK Telecom 이기혁 박사 kevin-lee@nate.com]