Q. MDM 시스템과 출입통제 시스템의 연동개발이 가능한가요? 가능하다면 MDM 시스템과 출입통제 시스템 연동 개발은 어떤 형태로 해야 할까요? 예를 들어 출입통제 게이트를 통과하게 되면 적용되고, 나가게 되면 적용되지 않도록 하는 방안에 대해서 궁금합니다.


A-1. 최근 공공기관, 금융권에서 모바일단말관리(MDM) 솔루션 도입이 활발해지고 있는 가운데, ‘MDM+물리보안’을 연동시켜 운영하는 것이 하나의 트렌드로 떠오르고 있습니다. 과거에는 단순히 엔드포인트 보안과 데이터의 중앙집적화에만 초점을 잡았다면 이제는 기존 시스템과 결합하고자 하는 요구가 생겨난 것입니다. 하지만 MDM은 소프트웨어(SW) 형태의 솔루션이며, 출입통제 등은 하드웨어 형태의 솔루션입니다. 둘의 성격은 매우 상이해서 한 회사가 함께 보유하고 있는 사례가 거의 없을 것입니다.

그런 이유로 국내 보안업체들은 MDM 솔루션 구축 시, 네트워크 보안업체, 물리보안 업체들과 손을 잡기도 합니다. 만약 하나의 기업이 MDM 솔루션과 물리보안 솔루션을 모두 보유하고 있다면 어떻게 될까요? 프로젝트의 성격에 따라 차이는 있을 수 있지만, 기존에 비해 좀 더 저렴하고 고도화된 솔루션 구축이 가능할 것입니다. 모바일 기기에 대해 소홀히 했을 경우 발생 가능한 위협요소들은 크게 4가지로 나눌 수 있습니다.

첫째, 모바일 기기는 특성상 손에 쥐고 이동할 수 있는 ‘움직이는 또 다른 PC’이기 때문에 사용자의 부주의에 의한 분실/도난 등에 의해 개인이나 기업정보가 노출되거나 유출될 수 있습니다. 또한, 모바일 기기가 담고 있는 카메라, 녹음기 등 다양한 종류의 ‘스마트 장치(Smart Device)’를 통해 내부정보는 쉽게 외부로 유출될 가능성이 있습니다.

둘째, 모바일 운영체제는 사용자에 의해 쉽게 루팅 되거나 탈옥돼 OS 보안 취약점을 이용한 비정상적인 정보의 접근이나 유출 위험이 존재합니다.

셋째, 모바일 기기에서 사용되는 수많은 애플리케이션에는 PC에서와 마찬가지로 악성코드가 담겨 있을 수 있고, 모바일 오피스 App은 해커에 의해 위·변조되어 손쉽게 정보가 유출될 수도 있습니다.

마지막으로, 모바일 기기의 특성상 모든 네트워크는 무선을 사용하게 되면서 해커에 의한 Fake Wi-Fi AP를 통해 데이터가 스니핑(네트워크상의 데이터를 도청하는 행위)될 수 있고 사내에서 허용되지 않은 개인 무선 네트워크(테더링 등)를 통해 정보가 유출될 수 있습니다. 이와 같은 위협들이 존재하기 때문에 개인정보나 기업정보를 보호하기 위해서 모바일 디바이스에서도 보안을 적용해야 합니다.

모바일 디바이스에 대한 통제 방법은 크게 2가지로 물리보안 시스템과 연계하는 방식이 있습니다. 기업 내 연구시설이나 보안을 요구하는 시설 내에 있는 출입통제 시스템(Speed-Gate), X-Ray 검색대, 보안요원, 사원카드(IC, RFID) 등을 함께 활용하면 모바일 기기의 반입/반출의 빠른 검사가 가능하고 보안구역 내에 진입 시 자동으로 회사 보안 정책에 따라 기기를 통제할 수 있습니다.
다음으로는 출입통제 시스템을 구비하기 어려운 공장지역 등에서 활용할 수 있는 방안으로는 네트워크 GPS, 무선 AP 등을 감지해 설정된 보안구역 범위 내로 인지 됐을 때 자동으로 회사 보안정책에 따라 기기를 통제하는 무선 네트워크 연계 방식이 있습니다.
(왕재윤 한국산업기술보호협회 관제운영팀 연구원/jywang@kaits.or.kr)

A-2. MDM과 출입통제시스템과의 연동을 위해서는 IM기반의 무선 AP인증 및 NFC사용 병행이 필요하다고 보입니다. 즉 무선 AP인증을 IM을 통해 진행하며 사전에 등록된 시스템IMEI 등의 고유 식별정보를 이용해 NFC접촉 후 정해진 프로그램 실행 및 인증 프로세스 진행을 통해 MDM 사용이 가능합니다.

A-3. 먼저 기업의 보안정책을 수립해야 합니다. 스마트폰을 갖고 올 수 없도록 하거나 갖고 올 수 있다면 개인 스마트폰과 회사용 구분 없이 필수적으로 MDM Agent를 설치해야만 사용이 가능하도록 합니다. 그리고 출입게이트에 태깅이 되면 등록된 사용자의 스마트폰 단말기로 정보를 전송해서 카메라기능 차단 등 기능을 제한시킵니다. 그리고 반대쪽에서 태깅하는 경우 다시 정보를 전송하여 해제를 합니다. 제조기업의 경우 도입이 되어 활용되고 있습니다.
(민병현 한국CISSP협회/moongchiza@nate.com)
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>