[박춘식 교수의 보안이야기] NSA의 정보보장담당 국장인 Debora Plunkett는 정부관계자를 대상으로 한 IT 컨퍼런스에서 행하여진 패널토의에서 BYOD라는 용어가 화제가 된 것만으로도 두드러기가 난다라는 농담을 내뱉었다.
 
그러나 민간 기업의 종업원이 개인소유의 ‘iOS’나 ‘Android OS’ 탑재 디바이스 등을 직장에 가지고 들어가는 것을 허가하도록 강하게 요구하고 있는 것과 같이 기밀정보를 취급하는 직원을 포함한 연방정부 직원도 동일한 요구를 하고 있다고 한다.
 
이 점에 대해서 Plunkett는 “정부 관계자가 BYOD도입을 희망하는 것은 자연스러운 일”이라고 하면서 “정부기관에서도 BYOD도입의 필연성은 높아지고 있다”는 것을 분명히 했다.  
 
Plunkett는 많은 CIO가 인정하고 있는 것처럼 매일 진화하는 디바이스를 비즈니스에서도 이용하는 것은 전 종업원의 생산성과 효율성을 향상시키는 데 연결된다는 것은 인정하고 있다. 그러나 동시에 그것에 의해서 내포되어 있는 과제도 크다고 지적한다.
 
그 과제는 비밀리에 액세스하려고 하는 강한 의지를 가진 적이다. 그는 “적은 정부의 직무를 수행하려는 능력을 혼란시키려는 강한 의지를 갖고 있다. 또한 우리들이 신뢰하는 정보시스템에 있는 정보에 대해서 우리들의 신용을 떨어뜨리려는 강한 의지를 갖고 있다. 따라서 우리들의 책무는 시큐리티 관점에서 이러한 적에 대한 대책을 강화하여 이것과 동시에 정부의 직무 수행, 게다가 우리들의 최첨단 기술이나 도구, 기법을 이용할 수 있는 형태로 직무를 수행할 수 있도록 하는 것이다. 그러나 어딘가에 적이 존재하려고 하는 진실에도 충분히 주의할 필요가 있다”고 밝혔다.
 
미국방부 DoD의 IT담당자도 동일한 마찰을 경험하고 있다. DoD의 CIO인 Robert Carey는 BYOD도입에 대해서, “사용하기 편리함과 시큐리티의 균형은 항상 동적이다. 시큐리티는 편리성의 반대편에 위치하고 있는 것이다.”라고 지적한다.
 
DoD는 그 규모만을 생각해볼 때도 다른 곳에는 보이지 않을 정도의 난이도가 높은 IT 환경이다. Carey가 지휘해 왔던 최근의 업무에는 국방부의 광범위한 컴퓨팅 환경의 통합/표준화를 시작으로 시큐리티 강화 등이 거론된다. 국방부는 현재, 약1만대의 개별 시스템을 실행하여 1500개 데이터 센터와 65000대 이상의 서버를 유지하고 있다. 그러나 모바일에 관해서 말한다면 선택도가 없다. DoD에 있는 디바이스의 종류는 적다. 대부분을 ‘BlackBerry’가 차지하고 있다.
 
◇정부기관에서 압도적으로 지지받는 Blackberry
Carey에 의하면 DoD는 현재, 복수의 파일럿 프로그램을 실시하여 BlackBerry 이외의 디바이스를 테스트하고 있으며 게다가 벤더와 협력해서 DoD의 시큐리티 요건을 만족하도록 모바일 OS를 강화하고 있는 단계라고 한다.
 
Carey는 최초부터 기업 레벨의 시큐리티에 주력해 온 BlackBerry 벤더인 캐나다 Research In Motion(RIM)에 대해서 다른 디바이스 벤더와는 별개의 존재라는 인식을 나타내고 있다. 미국 Apple의 iOS나 Android OS는 일반 고객을 타깃으로 출발하였다.
 
기업이나 정부 고객이 염려할 것 같은 강건한 시큐리티는 “요구가 있으면 강화한다”와 같은 입장이다. 이러한 점에 대해서 Carey는 “BlackBerry이외의 디바이스를 도입함에 따라 공격 대상 영역이 확대되지 않도록 주의하지 않으면 안 된다. 우리들이 단순한 BYOD환경에 대해 완전하게 도달할 수 있는지 어떤지 나는 알지 못한다”라고 말한다.
 
Plunkett도 ‘spillage(유출)’로써 알려진 문제에 관해서 NSA등의 부처가 대처하지 않으면 안 되는 현실적인 과제를 지적했다. Spillage는 일정의 레벨의 기밀 정보 취급 허가를 필요로 하는 일련의 정보가 그것보다도 낮은 레벨의 영역에서 액세스 가능하게 되어 버리는 것이다.
 
NSA의 통상의 대처법은 관련 디바이스를 네트워크로부터 배제하거나 때로는 그 디바이스를 물리적으로 파괴하는 경우도 있다. 만일 BYOD환경에서 spillage가 발생하면 어떻게 될 것인가. 종업원의 개인적인 휴대전화를 몰수하여 파괴하는 것도 있을 수 있을까. Plunkett는 “그것은 완전히 새로운 시나리오다”라고 말한다.
 
◇클라우드 서비스 제공업체와 함께 시큐리티 향상을
군사 및 첩보 커뮤니티의 IT 관리자도 클라우드 컴퓨팅에 대한 접근에 관해서 동일하게 신중한 입장을 취하고 있다. 오바마 정권은 정부내의 각부처에 대해서 클라우드를 기술 정책의 가장 중요한 과제로 하라는 지시를 내렸지만 극비 정보나 기밀 정보가 관련되어 있기 때문에 이 문제는 복잡하게 되어 있다.
 
Plunkett와 Carey는 어느 것도 무제한으로 공개되어 있는 정보를 제외하고는 Public Cloud 도입에는 부정적이다.
 
DoD는 현재, 국방부 가운데에서 구축하고 있는 Private 내부 클라우드에 주력하고 있어 엄격한 시큐리티 기준을 적용해서 민간 벤더와의 계약서 작성시에 발생하는 부담스러운 문제를 회피하고 있다.
 
Carey는 “최초에 행해야만 하는 것은 클라우드 환경에 보존할 정보를 취사선택하거나 그 정보가 Public Cloud와 Private Cloud의 어느 것에 보존하는 것이 바람직한 가를 판단하는 것이다”라고 말한다.
 
어떤 것이라도 부처가 클라우드 환경을 구축할 때, 연방정부직원은 벤더가 “시큐리티 요건을 명확하게 이해”하고 있는 지를 확인하지 않으면 안 된다.
 
Plunkett씨는 “정부의 FedRAMP프로그램에 명기되어 있는 구체적인 시큐리티 규정을 벤더와의 계약서에 포함시키는 것이 중요하다”라고 강조하고 있다.
 
또 “정부기관이 요구하는 정보 시큐리티의 장벽은 높다. 거꾸로 말하면, 우리들의 요구 수준을 이해하여 그것을 만족하게 된다면 서비스/제품의 견뢰성(환경내성)도 강화된다. 이러한 사이클은 제품의 품질 향상으로 연결될 것이다. 그래서 그것을 향유하는 것은 사용자 자신인 것이다”라고 덧붙였다. (Computerworld. 2012.10.31)
 
[글. 박춘식 서울여자대학교 정보보호학과 교수]