직원이 50명 되는 중소기업입니다. 도면 등이 유출되는 경우가 있어서 직원들의 스마트폰에 MDM 솔루션을 도입하려고 하는데요. 직원들의 반발이 심합니다. MDM 솔루션 도입이 가능한 명분이나 법적 근거가 있는지 궁금합니다
[보안뉴스 원병철 기자] MDM 도입에 대한 명확한 법적 근거는 없다고 봅니다. MDM 도입은 직원들의 공감대가 형성되어야 합니다. 때문에 실제 적용단계에서 직원 불만을 최소화하기 위한 방안을 고민해야 합니다.
.jpg)
예를 들어, MDM을 도입하는 금융 및 공공기관의 사례를 보면, 회사업무 APP을 수행하는 경우에만 보안을 통제하는 MAM을 적용했고, 연구소나 군 관련 기관 등은 사내에서만 모바일 기기를 통제하는 방식을 적용하고 있습니다. 단순히 솔루션 설치 시 동의를 받아 설치하는 방식으로는 반발이 있을 수 있습니다.
MDM이 제어하고 수집하는 정보에 대해 명확히 고지하고 불필요한 정보는 수집하지 않는 등 보안통제를 하고자 하는 해당 분야에 한해서 적용하는 방안을 마련해야 할 것이라 생각됩니다.
이외로 금융권의 경우 금감원에서 ‘금융권 스마트워크 정보보호 가이드라인’을 제시한 바 있어 이를 기준으로 적용하기도 합니다.
[김형구 현대백화점그룹 IT실 차장(tetisnmepis@naver.com)]
MDM을 통제를 위한 수단이 아니라, 모바일 업무 시스템을 사용하기 위한 필요조건으로 도입하는 것이 어떨까요? 즉, 직원들에게 MDM 솔루션 설치에 대한 자율성을 제시하는 겁니다. MDM 솔루션 설치 시에는 모바일 업무 시스템에 접근 가능하지만, 그렇지 않다면 접근할 수 없도록 말이죠. 비즈니스 상 필요하다면 MDM 솔루션을 설치할 것이고, 그렇지 않다면 모바일로 비즈니스 업무 시스템에 접근하는 것을 차단하는 것이 보안 관점에서도 올바른 접근 방법이 아닐까요.
[박형근 IBM 실장]
개인정보보호법, 정보통신망법 등 주요 정보보안 컴플라이언스는 모든 기업에 해당되는 법률이며, 최근 컴플라이언스 강화로 정보유출 시, 기업의 책임을 강화하는 징벌적 손해배상제가 시행되고 있습니다. 이러한 정보보안 컴플라이언스 준수뿐만 아니라 기업의 도면, 연구자료 등 산업기밀의 정보 유출은 기업의 경제적 손실과 직결되기 때문에 기업 정보유출 방지를 위한 모바일 보안 솔루션(MDM) 도입은 필수입니다.
MDM 도입에 대한 임직원들의 반발이 심한 이유는 국내 모바일 트렌드가 BYOD로 개인 소유의 기기에 기업 보안을 적용하기 때문에 개인 프라이버시 침해, 사생활 정보 수집 등의 잘못된 오해들과 MDM 솔루션들의 영역 외 제어 기능 오작동 등 서비스 불안정으로 인한 불편함을 초래했기 때문입니다.
MDM 솔루션은 사용자 이름, 단말기 정보, OS 정보 등 모바일 보안을 위해 최소한의 필요한 개인정보만을 임직원들의 개인정보 취급 동의 후 수집하는 것을 명시하며, 업무 영역 특정 보안 구역 내에서만 정상 작동하고 그 외 개인영역은 절대 침범하지 않는다는 것을 알리는 사용자 인식 개선 캠페인 시행이 필요합니다.
MDM 솔루션 도입을 검토할 때에는 BYOD 환경에서 사용자별 단말기 종류와 사용 환경, OS 및 버전이 다양한 만큼 도입 이후 SW 업데이트, 단말기 추가 등 지속적인 운영 관리가 가능한지, 다양한 사용자 환경 변수에 의해 발생하는 모바일 보안 홀에 대응할 수 있는 기술력 및 운영 노하우를 갖춘 업체인지 신중하게 검토한 후 도입해야 합니다.
[지란지교시큐리티]
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] MDM 도입에 대한 명확한 법적 근거는 없다고 봅니다. MDM 도입은 직원들의 공감대가 형성되어야 합니다. 때문에 실제 적용단계에서 직원 불만을 최소화하기 위한 방안을 고민해야 합니다.
예를 들어, MDM을 도입하는 금융 및 공공기관의 사례를 보면, 회사업무 APP을 수행하는 경우에만 보안을 통제하는 MAM을 적용했고, 연구소나 군 관련 기관 등은 사내에서만 모바일 기기를 통제하는 방식을 적용하고 있습니다. 단순히 솔루션 설치 시 동의를 받아 설치하는 방식으로는 반발이 있을 수 있습니다.
MDM이 제어하고 수집하는 정보에 대해 명확히 고지하고 불필요한 정보는 수집하지 않는 등 보안통제를 하고자 하는 해당 분야에 한해서 적용하는 방안을 마련해야 할 것이라 생각됩니다.
이외로 금융권의 경우 금감원에서 ‘금융권 스마트워크 정보보호 가이드라인’을 제시한 바 있어 이를 기준으로 적용하기도 합니다.
[김형구 현대백화점그룹 IT실 차장(tetisnmepis@naver.com)]
MDM을 통제를 위한 수단이 아니라, 모바일 업무 시스템을 사용하기 위한 필요조건으로 도입하는 것이 어떨까요? 즉, 직원들에게 MDM 솔루션 설치에 대한 자율성을 제시하는 겁니다. MDM 솔루션 설치 시에는 모바일 업무 시스템에 접근 가능하지만, 그렇지 않다면 접근할 수 없도록 말이죠. 비즈니스 상 필요하다면 MDM 솔루션을 설치할 것이고, 그렇지 않다면 모바일로 비즈니스 업무 시스템에 접근하는 것을 차단하는 것이 보안 관점에서도 올바른 접근 방법이 아닐까요.
[박형근 IBM 실장]
개인정보보호법, 정보통신망법 등 주요 정보보안 컴플라이언스는 모든 기업에 해당되는 법률이며, 최근 컴플라이언스 강화로 정보유출 시, 기업의 책임을 강화하는 징벌적 손해배상제가 시행되고 있습니다. 이러한 정보보안 컴플라이언스 준수뿐만 아니라 기업의 도면, 연구자료 등 산업기밀의 정보 유출은 기업의 경제적 손실과 직결되기 때문에 기업 정보유출 방지를 위한 모바일 보안 솔루션(MDM) 도입은 필수입니다.
MDM 도입에 대한 임직원들의 반발이 심한 이유는 국내 모바일 트렌드가 BYOD로 개인 소유의 기기에 기업 보안을 적용하기 때문에 개인 프라이버시 침해, 사생활 정보 수집 등의 잘못된 오해들과 MDM 솔루션들의 영역 외 제어 기능 오작동 등 서비스 불안정으로 인한 불편함을 초래했기 때문입니다.
MDM 솔루션은 사용자 이름, 단말기 정보, OS 정보 등 모바일 보안을 위해 최소한의 필요한 개인정보만을 임직원들의 개인정보 취급 동의 후 수집하는 것을 명시하며, 업무 영역 특정 보안 구역 내에서만 정상 작동하고 그 외 개인영역은 절대 침범하지 않는다는 것을 알리는 사용자 인식 개선 캠페인 시행이 필요합니다.
MDM 솔루션 도입을 검토할 때에는 BYOD 환경에서 사용자별 단말기 종류와 사용 환경, OS 및 버전이 다양한 만큼 도입 이후 SW 업데이트, 단말기 추가 등 지속적인 운영 관리가 가능한지, 다양한 사용자 환경 변수에 의해 발생하는 모바일 보안 홀에 대응할 수 있는 기술력 및 운영 노하우를 갖춘 업체인지 신중하게 검토한 후 도입해야 합니다.
[지란지교시큐리티]
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
