지난해부터 스마트폰 보급이 급속도로 빨라지면서 모바일오피스 도입 역시 가속화되고 있습니다. 현재 행정안전부의 전자정부를 비롯해, 금융권이나 IT기업들도 속속 모바일오피스를 도입하고 있는 추세입니다.

그러나 모바일오피스를 구축하면서 새로운 문제점이 하나둘씩 발생하기 시작했습니다. 바로 기업 내 보안을 어떻게 지킬 것인지에 대한 문제입니다.

스마트폰은 사내에서 사용되는 PC와는 달리 늘 휴대하는 기기이며, 분실의 위험도 높습니다. 이러한 이유 때문에 모바일오피스 뿐만 아니라 모바일단말관리(Mobile Device Management, MDM) 솔루션의 도입도 필요하다는 목소리가 나오고 있는 것도 사실입니다.

업계 관계자는 “모바일오피스를 제대로 활용하려면 MDM 솔루션이 필요하다. 스마트폰은 회사 인트라넷에 접근해 정보를 취득할 수 있는 수단이다. 여기에 대한 보안을 무시한다면 정보유출의 가능성이 높아진다”고 설명합니다.

모바일과 관련된 실제 보안사고도 발생했습니다. 지난 4월 서울지방경찰청 사이버범죄수사대는 2억건이 넘는 스마트폰 사용자의 위치정보를 무단으로 수집·보관·활용한 혐의(위치정보보호·이용법 위반)로 광고대행업체 3곳과 김모(39)씨 등 업체 대표 3명을 불구속 입건했습니다.

이들이 개발한 앱(1451개)은 게임, 생활정보, 쇼핑 등으로 겉으로 보기에는 정상적인 애플리케이션(앱)이지만, 백그라운드에서 사용자의 정보를 계속해서 개발사의 서버로 전송하는 앱이었습니다.

모바일오피스를 도입한 기업의 직원이 위의 악질 앱 설치로 기업의 기밀정보를 유출시켰다면 이에 대한 책임은 누구에게 있는 것일까요?

악질 앱인지도 모르고 부주의하게 앱을 설치한 직원에게 1차적인 책임이 있겠지만 직원들의 단말을 관리하지 못한 회사측에게도 2차적인 책임이 있다고 생각됩니다.

또 만약 직원이 스마트폰을 분실했을 경우에 거기에 담긴 데이터는 어떻게 보호해야할까요?

이러한 이유 때문에 보안전문가들은 모바일오피스에 MDM 솔루션은 떼놓아선 안된다고 입을 모으고 있습니다.


우선 MDM 솔루션은 모바일단말에 대한 전체적인 통제와 유지·보수가 가능합니다.

현재 국내에는 약 20개의 MDM 솔루션이 유통되고 있습니다. 종류는 다양하지만 제공되는 기능은 유사합니다.

MDM 솔루션이 적용된 스마트폰에서는 문제가 되는 앱을 설치·구동할 수 없습니다. 구동하려고 하면 강제로 종료되고, 서버에서 삭제까지 합니다.

스마트폰에서 문서를 열람하고 이를 캡쳐하려고 해도 할 수 없습니다. 카메라 앱으로 문서를 촬영하려고 해도 할 수 없습니다. MDM 서버에서 스마트폰의 기능자체를 차단해버리기 때문입니다.

물론 이러한 기능은 특정 지역에 들어왔을때부터 적용됩니다. 모든 장소에서 기능을 차단한다면 프라이버시 문제가 불거지겠지요. 실제로 모바일오피스를 구축한 대부분의 기업들은 출근/퇴근으로 MDM 솔루션을 끄고 켭니다.

(모 전자의 경우 아이디태그를 찍고 사옥에 들어서면 카메라, 스크린캡처 등의 기능이 전면으로 차단되고, 사옥을 빠져나가면서 아이디태그를 찍으면 원상태로 복구된다고 합니다)

사내에서 사용되는 ERP 솔루션과 같은 것들도 중앙에서 직원 각각의 단말기로 전송, 설치할 수 있고, 모든 앱을 통제할 수 있다는 점도 MDM 솔루션의 강점입니다.

스마트폰을 분실했더라도 문제가 되지 않습니다. 물론 무조건 찾을 수 있다는 의미는 아니지만 정보유출을 최소화한 할 수 있다는 의미로 읽어주시면 좋을 것 같습니다.

직원이 스마트폰을 분실했다고 MDM 관리자에게 통보를 하면 그 즉시 스마트폰에 비밀번호가 걸리고 GPS센서가 작동, 대강의 위치를 전송합니다. 도저히 못찾을 것 같다는 판단이 들면 공장초기화를 통해 데이터 전체를 날려버릴 수도 있습니다.

이렇게 모바일오피스 구축에 MDM 솔루션 도입의 중요성이 부각되고 있지만 아직까지 MDM 솔루션을 도입한 기업은 많지 않다고 합니다. 아직까지 ‘모바일오피스+MDM 솔루션’을 구축한 선례가 많이 없어 MDM 솔루션 도입에 대해 회의적인 시각이 아직까지 많다는 것이죠.

그러나 가면 갈수록 고도화되는 보안위험을 대비하기 위해서는 MDM 솔루션에 대한 고민을 지금부터라도 하는 것이 어떨지 생각해봅니다.
2011/11/16 08:06 2011/11/16 08:06
[IT전문 미디어 블로그=딜라이트닷넷]


최근 연쇄적으로 발생한 개인정보유출 사건과 더불어 지난 9월 30일에는 개인정보보호법이 발효되면서 개인정보 관리에 대한 관심이 높아지고 있습니다.

아울러 개인정보 관리, 개인정보보호법과는 다소 거리가 있지만 수면위로 떠오른 문제가 있습니다. 바로 중소기업이 보유한 핵심기술이 외부로 유출되는 문제가 바로 그것입니다.

국민들의 개인정보와는 다른의미로 매우 중요한 중소기업의 핵심기술은 유출될 경우 기업의 이익에 대한 침해를 넘어 국가적으로도 큰 손실을 끼치게됩니다. 국가경쟁력을 제고할 수 있는 기회를 빼앗기기 때문입니다.

그러나 안타깝게도 중소기업 10곳 중 1곳 이상은 핵심기술이 유출된 경험이 있다고 합니다. 더더욱 안타까운 것은 이 중소기업들이 핵심기술이 유출되는 원인이 보안관제 시스템을 갖출 수 있는 여력이 부족해 체계적인 보안관리를 못하고 있다는 점입니다.

우리나라 산업의 특성상 ‘보안’보다는 ‘기술’에 초점이 잡혀있다 보니 우수한 기술을 개발하더라도 이를 지키는데 힘을 쏟기 어렵다는 말도 많습니다.

상황이 이렇다보니 정부에서 중소기업들의 핵심기술을 보호해주기 위한 다양한 서비스를 내놓기 시작했습니다.

중소기업 기술보호상담센터, 중소기업정책포털 등을 운영하면서 중소기업을 도와주기 위해 팔을 걷고 나섰습니다. 이어 지난 3일 중소기업청과 한국산업기술보호협회은 ‘중소기업기술지킴센터’를 개소하게 됩니다.

중소기업기술지킴센터는 중소기업의 기술유출을 방지하기 위해 운영하는 보안관제센터입니다. 24시간, 365일동안 운영되며 중소기업 사업자들의 부담을 줄여주기 위해 저렴하게 운영됩니다.


중소기업기술지킴센터는 통합보안관제서비스를 제공하는데요, 크게 ▲홈페이지 관제 ▲시스템 관제 ▲네트워크 관제 등으로 나눌 수 있습니다.

홈페이지 관제서비스는 웹페이지의 취약점 공격, 악성 트래픽, 악성코드 등을 실시간으로 탐지하고 차단하는 기능을 갖추고 있습니다.

시스템 관제, 네트워크 관제는 크래커가 시스템의 취약점을 발견하고 이를 통해 통제권한을 획득, 백도어나 해킹툴을 설치해 서버를 공격하는 것을 실시간으로 탐지하고 차단하는 역할을 합니다.


센터에 구축된 관제설비의 기능은 ▲개별 중소기업의 기술보호 수준을 진단하고 취약점을 분석해 주는 사전진단 ▲네트워크, 웜·바이러스, 시스템 장애 등에 대한 실시간보안 모니터링 ▲침해사고 발생 시 원인분석 및 대응 보안솔루션 지원 등이 갖춰져 있습니다.

또한, 내년부터는 시스템 보강을 통해 이메일 등에 의한 기술유출은 물론, 모바일 관제서비스, 포렌식 관제서비스 등 융합관제 서비스까지 지원영역을 확장하고, 대상기업도 2011년 250개를 시작으로, 2015년까지 국가핵심기술 또는 기업부설연구소 보유 중소기업을 중심으로 5000개까지 점진적으로 확대해 나갈 계획이라고 합니다.

이날 개소식에서는 내년에 도입되는 새로운 서비스를 시연하는 시간도 있었습니다.

이동식디스크(USB), 이메일 등을 이용한 내부 기밀자료 유출을 탐지하고 예방하는 기술이었습니다.

중소기업기술지킴센터 보안관제서비스를 받는 기업의 PC들은 24시간 모니터링됩니다. 파일명을 바꾼다거나, 특정파일을 메일로 보낸다거나, 악성코드, 웜과 같은 불법프로그램이 유입되거나 하는 것들을 모두 관찰, 차단할 수 있습니다.

실제 시연에서는 ‘내부기밀문서.txt’ 파일을 ‘안부인사.txt’로 변경해 포털 메일서비스로 전송하는 것까지 보여줬었는데, 그 과정이 그대로 상황모니터에 나타났고 경고 알림이 오더군요.

가까운 시일안에 모든 중소기업들이 지킴센터의 보안관제서비스를 받으며 기업과 국가의 경쟁력을 제고할 수 있었으면 좋겠습니다.


2011/11/09 08:05 2011/11/09 08:05


‘구글이 내 개인정보를 너무 많이 가지고 있다’

안드로이드폰을 사용하는 사람들이라면 한번쯤 고민해봐야 할 문제입니다. 안드로이드폰에 탑재되서 구동되는 업무용 제품들은 대부분 구굴 제품과 연동이 가능하고 많은 이들이 이를 활용하고 있기 때문입니다.

저 역시도 G메일, 캘린더, 주소록, 피카사, 구글플러스, 구글리더, 구글닥스, 구글뮤직 등 구글의 제품을 PC와 안드로이드에서 매일같이 사용하고 있습니다.

문제는 사용자들의 구글 계정과 비밀번호가 유출된 경우입니다. 업무상 비밀을 비롯해 개인신상이 모두 드러나기 때문입니다.

가 령 제 구글 계정이 털렸다고 생각해봅시다. 제가 사용하는 회사메일은 G메일과 연동돼 있으므로 회사업무가 타인에게 노출될 수 있습니다. 캘린더를 활용하고 있으므로 내가 어디서 누구와 만나는지도 알 수 있습니다. 구글닥스, 연락처의 경우도 마찬가지겠지요.

물론 최근 발생한 현대캐피털, 농협, SK컴즈 사례처럼 회사의 서버가 공격받았을 경우에는 개인이 막을 수 있는 사안은 아닙니다. 그러나 개인적으로 조치를 취할 수 있는 것들은 미리 준비해두는 것이 좋을 것이라 생각합니다.

그래서 이번 포스팅은 구글 사용자들을 위한 ‘구글의 개인정보보호 장치’를 소개할까 합니다.

구글은 올해 2월 사용자 계정을 보호하기 위한 새로운 로그인 방법을 추가로 제공한다고 발표합니다.


구글이 도입한 새로운 로그인 방법은 2단계 인증(2-step verification, 휴대전화 인증)과 애플리케이션(앱) 및 사이트 인증 방법입니다.

기본적인 설정으로는 사용자가 구글에 로그인하기 위해서 아이디와 비밀번호만 입력하면 로그인이 가능합니다. 그러나 2단계 인증을 활성화시키면 로그인을 할 때마다 인증코드를 입력해야합니다.

즉 사용자의 계정과 비밀번호가 유출되더라도 로그인을 위해서는 사용자의 휴대전화 인증이 필요하다는 의미입니다.

이 기능은 ‘구글-계정설정’에서 설정이 가능하며 SK텔레콤, KT, LG유플러스 사용자를 모두 지원합니다. 매번 로그인 할 때마다 인증번호를 넣도록 설정할 수도 있고, 한번 입력하면 동일 기기에 한해 30일간 해당 설정을 기억하도록 할 수 있습니다.

구글은 또 자사의 계정으로 다른 서비스를 이용할 수 있도록 하는 인증영역도 보호할 수 있도록 했습니다.

구글 계정을 사용하는 사람들은 야후, 에버노트, 플립보드, 페이스북과 같은 서비스에서 굳이 계정을 생성하지 않더라도 해당 서비스를 사용할 수 있습니다.

이는 구글이 구글 계정을 통한 타 서비스 사용이 가능하도록 API를 열어뒀기 때문입니다.


‘구글 계정에 대한 액세스 승인’이라고 불리는 이 기능은 구글 2단계 인증을 사용한 사람들에 한해 사용할 수 있는데, 이는 특정 서비스들이 구글의 2단계 인증을 지원하지 않기 때문입니다.

가령 구글 계정을 가진 사람이 2단계 인증을 설정해두고 안드로이드폰에 자신의 구글 계정을 설정한다고 가정합시다. 그 경우 아무리 구글 계정의 비밀번호를 입력해도 로그인이 되지 않습니다.

이 경우에는 구글 계정의 비밀번호를 1회성 비밀번호를 입력해야 가능합니다. 애플리케이션 비밀번호라고 불리죠.

이 역시 ‘구글-계정설정’에서 사용이 가능하며 각 기기마다 생성되는 비밀번호가 다릅니다. 비밀번호는 연관성없는 16바이트의 문자로 이뤄져 있으며 분실했을 경우에는 그냥 재생성하면 됩니다.

다소 불편할 수 있는 방법이지만 요즘처럼 개인정보 피해 사건이 터지고 있는 시점에서는 사용하는게 자신의 개인정보를 지키는데 도움이 될 것이라고 생각됩니다
.



2011/10/18 15:32 2011/10/18 15:32