BYOD 보안에 대한 가장 큰 오해는? 기업보안과 무관하다?  BYOD 보안정책...기업 전체 IT 보안 관점에서 통합 관리·진화돼야

[보안뉴스= 이기혁 SK텔레콤 박사] 스마트폰과 모바일 네트워크의 진화에 따라 기업의 스마트워크 환경은 계획이 아닌 현실로 진화하고 있다. 기업의 BYOD(Bring Your Own Device) 사용자들이 메일 확인, 통화, 문서 리뷰 등 업무 용도로 활용하고 있으며 업무시스템의 생산성 및 효율성 증대를 위해 BYOD를 이용한 스마트워크 솔루션을 도입하는 기업과 공공기관도 늘고 있다.

BYOD(Bring Your Own Device)는 개인 소유의 스마트기기 또는 모바일 장비를 가지고 와서 회사 데이터베이스와 애플리케이션 등, 회사내 IT 리소스(Resource)에 액세스(Access)해서 업무를 처리하는 것을 의미한다.

우리나라에서는 공공기관 및 대기업을 중심으로 많은 곳에서 BYOD를 이용한 스마트워크를 도입했거나 추진하고 있으며 사내메일 체크, 인트라넷 접속 등 다양한 기업 업무를 BYOD 기기들로 처리하고 있다.

또한, 많은 기업에서 창의성 발휘와 이에 기반한 기업혁신의 중요한 도구로 BYOD(스마트폰, 태블릿 등)가 활용되길 기대하고 있다. 특히, 기업들은 BYOD 환경 구축은 시기의 문제이며 거스를 수 없는 트렌드라고 인식하고 있다. 그러나 구성원들의 BYOD를 이용한 스마트워크 환경 구축을 추진하려는 많은 기업들이 가장 많이 우려하는 것이 바로 보안문제이다.

최근 해킹을 통한 고객정보 유출 등 다양한 보안사고가 일어남에 따라, 모바일 디바이스의 보안 위협에 대한 우려도 커지고 있으며 그 중심에는 BYOD의 보안 문제가 가장 중요하다고 인식하고 있다.

특히, BYOD기기의 이동성과 개방성으로 인해 유선 및 PC 환경에 비해 훨씬 다양한 위험 요소에 대비해야 함에 따라 많은 기업이 Enterprise Mobility 도입에 앞서 위험요소 분석 및 대응책 마련에 집중하고 있다.

BYOD 보안에 대한 오해와 진실
BYOD 보안에 있어 가장 큰 오해는 BYOD는 개인적인 용도의 디바이스이기 때문에 기업 보안과는 무관하다는 것이다. 그러나 실제로 디바이스의 성능이 향상됨에 따라 PC에서만 가능했던 이메일이나 문서작업 등의 업무처리가 스마트폰, 태블릿PC 등 BYOD에서도 활발히 이루어지고 있으며 다양한 기업정보가 디바이스에 저장되고 있다.

특히, 최근에는 사용자의 통화목록, 문자내역, 웹사이트 방문기록 등을 탈취하거나 사용자 모르게 루팅(Rooting)을 수행하는 악성코드 등 다양한 형태의 악성코드가 증가함으로써, 여러 경로를 통해 사용자도 모르는 사이 개인정보 뿐만 아니라 업무관련 정보까지 유출될 수 있다.

또한, 최근 아시아에서도 BYOD 추세가 확산됨에 따라 개인용 디바이스를 업무 용도로 사용하는 사례가 많아지고 있으며, 특히 우리나라에서는 기업에서 스마트워크 환경 구축을 위해 도입하는 기업 단말이 개인 및 업무용도로 함께 사용되거나 특정 금액 이상의 휴대폰 비용을 지원 받는 것이 일반적이다. 이러한 특성은 기업이 보안정책과 대책을 수립할 때 고려해야 할 중요한 사항 중 하나이다.

두 번째 오해는 모바일 디바이스가 새로운 디바이스(relatively new)로써 기존 PC나 유선 보안과는 전혀 다른 새로운 것이라는 생각이다. 모바일 보안의 위협 요소는 다양할 수 있으나 취약점의 근본 원인이 되는 기반 기술은 기존 IT 시스템 보안과 통합적인 관점에서 봐야 하며, 일부 기존 IT 시스템의 보안 방안을 함께 적용할 수 있다.

따라서 기업 업무용 모바일 환경에서는 초기 단계부터 모바일 디바이스와 기존 IT 시스템의 연동이 중요시되어야 하며, 모바일 업무환경의 목적과 범위에 따라 통합적 보안 시스템 구축과 보안정책 수립·운영이 필수적이다.

BYOD 보안정책 수립방안
기업의 BYOD 보안사고 방지를 위해서는 Device, Network, Contents, 사용자인증의 4가지 영역에서의 보안을 강화해야 한다.

첫째, BYOD Device대한 보안에 있어 가장 큰 위협이 될 수 있는 모바일 기기의 분실 및 도난에 대해 [신고] → [잠금]→ [백업] → [삭제] → [회수] → [해제] → [복원]의 프로세스 구축이 필요하다.

특히, USB, SD카드, Bluetooth, 카메라 등 매체에 대한 제어 기능과 보안 프로그램 보호 기능을 통해 사용자 임의로 보안기능을 무력화하는 행위를 방지할 수 있으며 안드로이드의 루팅(Rooting) 및 iOS의 탈옥(Jailbreak) 여부의 탐지를 통해 보안사고를 예방할 수 있다.


둘째, BYOD Network에 대한 보안으로써 Wi-Fi 사용시, 사내에 설치된 AP에 대한 불법 사용자의 접근 및 Rouge AP를 통한 정보 가로채기 등의 위협도 Wireless IPS를 모듈화해 운용해야 한다.

셋째, BYOD에 오픈된 컨텐츠(Contents)에 대한 보안으로 기업 구성원이 스마트기기에 설치했거나 실행 중인 Application 및 Contents를 정기적으로 확인하는 과정이 필요하다. 또한, 기업에서는 기업용 Anti-Malware 제품을 모듈화해 악의적인 앱 발생 시 해당 앱을 Black List화 하고 악의적인 앱이 설치된 모바일 기기에 대해 원격에서 관리해 주는 다각적인 대응을 할 수 있다.

마지막으로 BYOD 기기 인증 시 일정 횟수 이상 실패하면, 화면 잠금 등의 보안조치가 바로 실행될 수 있도록 강력한 비밀번호 설정 통제, 화면 잠금 제어 정책 등을 시행해야 한다. 이를 통해 기기를 분실하거나 도난당해도 무차별적인 비밀번호 입력을 통한 정보 유출을 차단할 수 있도록 해야 한다는 것. 

결론적으로 이제 기업에서는 BYOD를 이용한 스마트워크 도입 시, 보안 위협요소를 지속적으로 분석하고, 기존 IT 시스템과의 연관성 및 정책 등을 함께 고려해야 한다. 이렇게 구축된 BYOD용 보안 시스템은 기업 전체의 IT 보안의 관점에서 통합적으로 관리되고 함께 진화하고 발전시켜야 한다.

이와 더불어 기업 구성원 개개인의 BYOD 사용에 따른 BYOD 보안에 대한 관심 증대 및 보안의식 고취 역시 매우 중요하다. 그리고 기업뿐만 아니라 개인고객을 위한 보안 솔루션도 많이 출시되고 있으므로, 가장 기본적인 백신 다운로드 등 개인 및 기업 정보를 보호하려는 개인의 의지와 노력이 무엇보다 선행되어야 한다. 
[글_이 기 혁 SK텔레콤 박사(kevin-lee@sk.com)]



      <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>