Q. 정보유출이 이루어지는 디바이스가 PC에서 태블릿 PC와 스마트폰 등 모바일 기기로 변하고 있는데 PC와 모바일 기기를 모두 커버할 수 있는 솔루션이 나와 있는가? 어떤 원리로 구현 가능한지도 알고 싶다.



A. 최근 개인 모바일 단말기를 통한 주요 정보유출 사례가 늘고 있어 모바일 정보유출 방지솔루션의 도입 필요성이 점차 증가하는 추세이다. PC에 저장된 동영상을 휴대폰/태블릿PC로 옮기기 위해서, 외부에서 테더링 기능을 이용해 인터넷에 접속하기 위해서, 휴대폰을 USB 메모리 대신 사용하기 위해서, 배터리 충전을 위해서 등 매우 다양한 이유로 개인 모바일 단말기를 PC에 연결하는 경우가 증가하고 있기 때문에 정보보안의 공백이 생길 가능성도 그만큼 커졌다.

이에 따라 다양한 기업들이 DLP 솔루션에 모바일 기기에 대한 통제/제어 기능을 추가하고 있다. 대표적인 DLP & MDM 통합 솔루션이 코소시스코리아의 EndPoint Protector이다. EndPoint Protector의 가장 큰 특징이자 장점은 별도의 라이선스 구매를 할 필요없이 단일 어플라이언스 장비로 손쉽게 PC와 모바일 단말기를 모두 관리하는 정보유출 방지솔루션을 구축할 수 있다는 점이다. 모바일 단말기 주요 기능별 솔루션 구현 원리에 대해서 설명하면 다음과 같다.

① USB 저장 장치로서의 기능
대부분의 스마트폰은 PC나 Mac에 연결하면 즉시 USB 저장장치로 사용이 가능하다. 하지만, 스마트폰 OS의 종류에 따라 저장장치의 접근 방법은 상이하다. Blackberry를 컴퓨터에 연결하면 SD Card Memory로 인식하는 반면, 안드로이드 단말기의 경우 MTP/PTP 프로토콜을 이용하여 파일을 전송한다. 그리고 iOS에서는 iTunes의 파일 저장 어플리케이션 또는, 카메라 소프트웨어를 이용하는 등 접근방법이 다양하기 때문에 통제 또한 쉽지 않다. Endpoint Protector에서는 안드로이드, iOS를 사용하는 모든 스마트폰에 대해 구동 드라이버의 동작을 추적해 USB 저장장치로의 컴퓨터 접속을 통제할 수 있다.

MTP/PTP: 안드로이드 허니콤 이후 버전부터 새롭게 지원하는 안드로이드 폰과 컴퓨터와의 파일 전송 규격으로, 이전 버전의 안드로이드까지 쓰여졌던 UMS(USB Mass Storage) 방식의 단점인 파일관리의 비 효율성을 개선하기 위해 새롭게 나온 전송 방식이다. MTP(Multimedia Transfer Protocol)는 Microsoft에 의해 만들어진 전송 규약으로 윈도우 PC와의 연결에 주로 쓰이며, PTP(사진 전송 프로토콜)는 Mac과 안드로이드 스마트 폰의 연결에 주로 이용된다.

② Mobile Sync 기능
갤럭시 시리즈의 Kies, 애플의 iTunes와 같은 어플리케이션을 통해서 컴퓨터와 스마트폰/태블릿의 데이터를 동기화하고 공유가 가능하다. Mobile Sync는 각 휴대폰 제조사별로 독립적인 어플리케이션 형태로 제작되는 것이 일반적이기 때문에, 신규 출시 단말기에 대한 지속적인 업데이트가 뒷받침되어야 안전한 보안을 유지할 수 있다.

Endpoint Protector는 단말기와 컴퓨터의 Sync에 이용되는 주요 어플리케이션과 스마트폰의 연결 시 실행되는 드라이버의 동작을 모니터링하여 모든 Sync 시도를 통제하거나 콘텐츠 인식 보호 기능을 통한 파일 필터링 및 보고가 가능하다.

③ 테더링 기능
대부분의 스마트폰이 제공하는 테더링 기능을 이용하면 스마트폰을 인터넷 모뎀처럼 활용할 수 있다. 이 경우 PC나, Mac에서 3G, LTE와 같은 외부망을 통해 보안에 취약한 네트워크에 접속할 수 있게 되기 때문에 기업에게 위협요소로 작용한다. 기존의 테더링 통제 방식의 경우, Wi-Fi와 Bluetooth를 액세스 거부시킴으로서 동작했다. 하지만 최근의 스마트폰은 테더링 선택 시 기존의 MTP 장치가 PC의 드라이버 목록에서 사라지고 새로운 PID(장치 고유 번호)를 가지는 유선 랜카드가 장착된 것처럼 동작하여 Wi-Fi 차단만으로 통제가 어렵게 되었다. 이 경우 ‘Remote NDIS based Internet Sharing Device’ 라고 하는 드라이버가 PC에서 동작하게 되며, 테더링 차단을 위해서는 이 드라이버의 프로세스를 추적하는 기능이 필요하다.

Endpoint Protector의 테더링 관리 기능은 Microsoft가 제공하는 표준 NDIS 드라이버 및 삼성, LG, 팬텍 등 주요 업체에서 사용되는 비 표준 드라이버까지 모두 테스트를 완료하여 지원 중이며, 신규 출시되는 스마트 기기들의 정보를 지속적으로 추가함으로서, 모든 스마트 기기의 테더링을 효과적으로 통제할 수 있다.


<EndPoint Protector의 모바일기기 정보유출 방지 솔루션 구현원리 요약>
① USB 저장소 형태의 연결 제어
USB 저장소, SD Reader 형태의 연결 차단, MTP/PTP 형태의 접속 차단(Android OS 기반), Windows Portable Device 형태의 접속 차단, iTunes를 통한 파일 저장 어플리케이션 차단 (iOS)

② Mobile Sync 제어
iTunes, 삼성 Kies, HTC Sync 등 Sync 어플리케이션 차단, 콘텐츠 인식 보호를 통한 파일 필터링, 어플리케이션/사용자/기기별로 상세한 권한 설정가능

③ 테더링 차단 기능
Wi-Fi 드라이버 인식을 통한 완전 차단 기능, Bluetooth 테더링 차단, 무선 모뎀 드라이버 인식을 통한 USB 테더링 차단

④ 지속적인 업데이트
신규 단말기 출시에 즉각적으로 대응 가능, 조직 내 모든 사용자에게 푸쉬 업데이트 가능, 폐쇄망을 위한 오프라인 패치 업로더를 통한 업데이트 제공
(강영호 코소시스코리아 대표/gabriel.kang@cososys.co.kr)

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>