스마트폰과태블릿PC가 대중화되면서하나의 업무용 디바이스를 사용하는 것이 아니라,위치와 장소에 맞게 적절한 디바이스를 선택적으로 활용해 업무를 처리하는 것이 일상이 됐다.이렇게 개인용 디바이스가 많아진다는 사실은 개인 시간과 업무 시간의 경계가 모호해진다는 것을 의미한다. 비즈니스 조직에게 또 다른 전략이 필요하다는 것이다.
몇 년전만 하더라도개인용과 업무용 디바이스에 대한 명확한 구분을 통해 보안과 비즈니스를 통제할 수 있었다. 하지만두 영역의 디바이스가 자연스럽게 연결되고 있는 흐름은 이제 거스를 수 없는 대세다. 우리는 이를 IT의 소비자화(Consumerization) 혹은 BYOD(Bring Your Own Device)라고 부른다.이를 통한 유연한 업무 처리는 개인 삶에 대한 가치 및 업무 효율성 향상이라는 긍정적인 요소를 제공하지만,기업에게는 또다른 고민 거리를 숙제로 안겨준다.
한 조사 결과에 따르면 94%의 비즈니스 조직이 2013년내로 디바이스에 대한 조직내 정책을 만들겠다는 의지를 밝혔다.디바이스를 보안이나 규정이라는 사유로 마냥 막기에는 업무처리에 긍정적인 요소가 크기에,더 이상 이를 수수방관하지 않고 적절한 프로세스와 지원 범위를 정하겠다는 것이다.개인 디바이스 활용에 대한 순기능적인 측면이 많다는 것에는 동감하나,수적으로 팽창하고 있는 디바이스는 보안이라는 중요한 포인트를 기업에게 안겨주고 있다.앞서 언급한 94%의 비즈니스 조직내 IT 팀의 85%가 보안 걱정을 하고 있다는 것이 이를 뒷받침하는 사실이다.
디바이스 분실에 대한 대책을 세워야 한다
사용자가 활용하고 있는 디바이스에 대한 보안 걱정 중 가장 큰 분야는 디바이스 분실 대책이다.디바이스는 기본적으로 컴퓨터와 유사한 형태이기에,분실시 내부 데이터를 추출할 수 있다.과거 분실된 노트북에서 하드 디스크를 추출해, 이를 다른 컴퓨터에 연결한 후데이터를 보던 것과 동일하다.디바이스를 분실했을 때유출을 막으려면,데이터 저장 디스크를암호화하는 기본 정책을 시행해야 한다.
우리가 가장 많이 사용하는 윈도(Windows) 플랫폼에서는 윈도 비스타 이후부터 비트락커(Bitlocker)라는 기술을 제공하고 있다.비트락커 기술은 하드웨어에 장착된 TPM(Trusted Platform Module, 신뢰할 수 있는 플랫폼 모듈)을 이용해 내장된 디스크를 암호화하므로,해당 디바이스에서 하드 디스크를 추출하면 데이터 확인이 불가능해진다. 하드웨어를 분실하더라도,안에 저장된 소프트웨어를 지킬 수 있게 하는 기술이란 의미다. TPM이 없는 경우사용자가 지정해 입력한 암호를 통해데이터를 암호화하므로,해당 기술을 적용하지 않은 하드웨어에서도 이를 활용할 수 있다.
물론 보안 기술은 하드웨어와 소프트웨어가동시에 지원하는 경우에 더 안전한 것이 사실이다.지난 3월 언론사 공격에 이용된 악성 코드의 경우최신 하드웨어 기술과 소프트웨어 기술을 함께 적용한 디바이스에서는 운영 체제의 부팅 영역이 파괴되는 것을 방어할 수 있었던 것이 이를 뒷받침한다. 요새 보안 기술의 형태를 보면하드웨어와 소프트웨어의 기술이 적절하게 연계되는 형태가 눈에 많이 띈다.
데이터 소거 기술은 선택이 아닌 필수
디바이스 데이터 소거(Wipe) 기술도 디바이스 분실의 좋은 대처 방안이다.많은 디바이스가 네트워크 접속을 기본 전제로 하기에,주기적으로 데이터를 동기화해야 하는 애플리케이션(앱)을 통해 디바이스에 데이터 소거 명령을 내리는 것이다. 데이터를 동기화하는 주요 시나리오에는 이메일에 대한 동기화가 포함되어 있다.메일은 비즈니스에 필수 기술인 만큼데이터 소거 기술과 결합되면,보다 많은 사용자가 혜택을 누릴 수 있다. 디바이스를 분실했을 경우본인의 메일 서비스에서 디바이스 데이터 소거 명령을 내려,누군가가 디바이스의 암호를 풀고 들어온 후데이터를 확인하려 할 때디바이스를 공장 초기화 모드로 자동 리셋시키는형태로 활용할 수 있다.
디바이스가 내부에서 외부로 유출된 경우뿐만 아니라,해당 디바이스가 다시 조직 내부로 들어왔을 때의 보안 전략도 필요하다.예전에는 사내에서사용하는 디바이스만이 사내 네트워크에 접속할 수 있었다. 그러나이제는 사내 네트워크에 외부에서 가지고 온 디바이스도 접속할 수 있다는 가정도 고려해야 한다.디바이스가 사내에만 있었다면,안전한 네트워크에서 활용한 것을 의미하기에 조금 안심해도 된다(물론 사내가 완전히 안전하다는 것은 아니다).하지만 외부에서 네트워크에 접속한 디바이스라면신뢰할 수 없는 네트워크에 있었던 셈이므로,어떤 공격이나 보안 위협에 직면했을지 모르는 일이다.
높은 보안 등급을 가진 조직에 방문했다고 가정해보자.방문 신청을 하고내방시에 소지품에 대한 간단한 검사를 받게 된다.이 검사시에 보안 유출, 또는 내부 보안을 위협할 수 있는 소지를 모두 차단하는 절차를 진행한다.하지만 검사시에 발견되지 않은 문제나 해당 차단 프로세스를 무력화할 수 있는 방법이 있을 가능성도 배제할 수 없다.
대부분의 보안 공격, 데이터 유출 시도는 허가되지 않은 디바이스로네트워크에 접속한 후 진행된다. 디바이스와 사내 네트워크가 연결될 때,정해진 보안 정책을 확인한 후이를 위배했을 경우네트워크 접속을 차단하는 기술이 있다면 어떨까?또한 확인 절차를 단순히 최초 접속시 한번 진행하는 것이 아니라,지속적으로 확인해추후 보안 위배 사항 발견 시이를 확인하고 격리할 수 있는 기술이 필요한 시점이다.
이러한 기술이 이미 있다.조직은 이를 하드웨어적으로 구현할 것인지,소프트웨어적으로 구현할 것인지만 결정하면 된다.더 높은 보안이 필요하다면하드웨어와 소프트웨어를 모두 사용하면 된다.윈도의 경우 네트워크 액세스 보호(NAP, Network Access Protection) 기술을 제공하고 있다. 이를 통해디바이스의 운영 체제의 설정이 중앙 서버에서 지정한 형태가 아니거나혹은 임의 변경되었다면,네트워크를 격리해해당 디바이스가 사내의 시스템에 접속할 수 없게 만들 수 있다.외부 저장 장치(USB 드라이브 등)가 연결된 경우나 필수적으로 실행되고 있어야 하는 프로그램(자동 업데이트 설정,백신 등)을 강제로 종료했을 경우,이를 운영 체제가 감지해네트워크를 격리해시스템을 보호하는 기능도 갖추고 있다.
운영 체제가 모든 보안을 담당하는 것은 아니다.여러 조사 결과에서도 알 수 있듯이 대다수의 보안 사고는 운영 체제에서 발생하는 것이 아니라,인가되지 않은 앱(응용 프로그램)을 통해 발생한다. 사용자가 인지하지 못하게 앱을구동시키고,해당 앱을통해 보안을 위협하는 것이다.
다양한 디바이스를 사내에서 활용하고 있는 IT 조직에서 또하나의 고민 거리가 디바이스에 설치된앱 제어다.스마트폰, 태블릿PC에서 구동되는 앱에 대한 체계적인 관리가 잘 되고 있지 않은 것이 현실이다.이를 컴퓨터까지 확장하면더 심각한 상황이 초래된다.조직내에서 사용할 수 있는앱과 사용할 수 없는앱을결정한 후, 블랙 리스트 방식(일단 모두 허용하고 불필요한 앱을 차단), 혹은 화이트 리스트 방식(일단 모두 차단하고,필요한 앱을 허용) 형태로 제어해야 한다.이를 통해 앱 통제가 가능해지고,보안은 자연스럽게 향상된다.마이크로소프트 역시 윈도 7(Windows 7)부터 앱락커(AppLocker) 기술을 제공해 중앙 서버에서 작성된 보안 규정에 따라 필요한 앱과 불필요한 앱을 구분하고,이를 단순히 모니터링하는 수준에서 벗어나 웹 브라우저에 내장되어 구동되는 앱(웹 앱)마저 차단할 수 있는 높은 수준의 보안을 제공하고 있다.
우리가 사용하고 있는 윈도 플랫폼은 사용자를 위한 기술이 대부분이라고 생각할 수 있다. 하지만전세계 비즈니스에 활용되고 있는 주요 운영 체제이기에,기업을 위한 많은 보안 기술도 기본 탑재돼 있다.데이터 보안,앱 보안,나아가 앞선 글에서 얘기한 운영 체제 보안까지 종류도 다양하다. 이를 통해 보다 안전한 조직을 만들 수 있다.더불어 기업은 보안이라는 기술 자체가 하나의 기술만으로 완성되는 것이 아니라,양파 껍질과 같이 계층적 기술이라는 점을 고려해야 한다.하나의 기술이 무력화되면,다른 기술로 방어할 수 있어야 한다.다시 말해 여러 자물쇠 기술을 이용해하나의 자물쇠가 뚫리더라도다른 자물쇠가 방어할 수 있는 시간적 여유를 벌어야 한다는 의미다.
공격자와 방어자의 끝나지 않는 전쟁터,보안이라는 분야는 이제 더 이상 한 사용자,혹은 작은 규모의 팀에서만 책임질 수 없다.기업은 보안을 전담할 수 있는 팀을 꾸리고, 한시적이 아닌중장기적인 보안 전략을 세워야 한다.소 잃고 외양간 고치는 식의 해결이 아니라,보안 사고가 일어나지 않게 한다는 최우선 과제 속에 여러 분야에서 보안에 대한 고려 사항을 재고해야 한다. 이러한 전략의 시작이 운영 체제에서 기본 포함된 기술을 활용하는 것이 이러한 전략의 시작이다. 운영체제의보안 기술을 활용하면 할 수록 비용도 절감할 수 있을 것이리라 생각한다.
※ 포털 내 배포되는 기사는 사진과 기사 내용이 맞지 않을 수 있으며,
온전한 기사는 IT동아 사이트에서 보실 수 있습니다.
