지난달 21일 미국 올랜도에서 열린 가트너 심포지엄에서 데이비드 설리 가트너 부사장은 모바일 기기, HTML5, 퍼스널 클라우드, 전략적 빅데이터, 인메모리 컴퓨팅 등을 내년도 IT시장의 핵심으로 꼽았습니다.

그는 모바일 기기의 폭발적인 성장과 이와 함께 벌어진 다양한 일들을 분석해 향후 모바일 시장과 보안 시장의 흐름을 짚기도 했는데, 핵심은 ‘BYOE(Bring Your Own Everything)’였습니다.

이는 개인이 소유한 모든 것(기기, 애플리케이션, 데이터 등)들이 기업 비즈니스에 적용되는 날이 곧 올 것이라는 의미로 해석할 수 있습니다.

그러나 BYOE는 다소 생소한 단어입니다. BYOE를 이해하기 위해서는 그 기저에 있는 BYOD(Bring Your Own Device)를 먼저 알아야합니다.

과거 미국의 IT기업들은 직원들이 업무에 사용하는 PDA단말기나 휴대전화를 회사 공금으로 구입해 지급했습니다. 비즈니스를 위한 것이기 때문에 기업차원에서 제공, 관리하는 것이 당연했기 때문입니다.

그러나 스마트폰, 태블릿PC 등 새로운 모바일 디바이스가 등장하자 직원들은 자신들의 업무를 좀 더 효율적으로 수행하기 위해 새로운 기기를 개인비용으로 구입, 업무에 활용하기 시작합니다. 이것이 BYOD의 시작입니다.

이는 군인이 사제물품을 구입해 군부대 내에서 사용하는 것과 같은 상황이라고 생각할 수 있습니다. 군에서 지급하는 보급물품이 있지만, 품질이 떨어지고 사용하기 불편하므로, 자신이 투자해서 더 좋은 환경에서 군복무를 하겠다는 것과 동일한 이야기입니다.

데이비드 설리 부사장은 BYOD 이슈가 더 확대될 것이라고 강조했습니다. 실제 최근 모바일 보안 시장에서는 BYOA(Bring Your Own Application) 이슈도 떠오르고 있습니다.

시만텍, 사이베이스 등 글로벌 IT업체들이 개개인의 모바일 기기에 설치된 엔터프라이즈 애플리케이션만 관리할 수 있는 솔루션(Mobile Application Management)을 내놓고 있는 것이 그 증거라고 할 수 있습니다.

개인이 소유한 기기, 앱, 데이터 등이 기업 내부로 들어오는 것을 막을 수 없다면, 기업이 해야할 일은 하나밖에 없습니다. 그것은 바로 기업의 자산이 외부로 유출되지 않도록 보호해야합니다.

BYOD 이슈가 발생하기 전과 후는 보안의 접근방식이 아예 다르다고 볼 수 있습니다. BYOD 이전에는 ‘집’의 ‘대문’ 만을 지켰습니다. 집안 도처에 널려있는 귀중품들을 따로 관리할 필요가 없습니다. 대문만 제대로 막고 있으면 도둑이 들 염려가 없기 때문입니다.

그러나 지금은 상황이 바뀌었습니다. 대문은 언제나 열려있기 때문에 누구나 집에 들어올 수 있고, 나갈 수 있습니다. 이 상황에서 보석을 지키기 위해서는 대문을 지킨다고 해결될 수 있는 문제가 아닙니다. 귀중품이 있는 각개 영역을 지켜야한다는 의미입니다.

이런 측면에서 데이비드 설리 부사장은 BYOD 이슈가 확산됨에 따라 모바일 보안이 매우 중요해질 것이라고 역설했는데, 이는 결국 모바일 기기관리, 앱 관리를 비롯해 계정관리로 귀결됩니다.

더군다나 가트너는 2013년에 모바일 기기가 PC를 넘어설 것이라고 예측했습니다. 2015년에 이르면 선진국 시장에서 판매된 핸드셋의 80% 이상을 스마트폰이 차지하게 될 것으로 내다봤습니다.

이는 PC에서 업무를 보는 것이 아니라 모바일 기기로 하는 날이 머지 않았다는 뜻이겠지요. 이런 이유로 가트너에서 이야기 하는 ‘모바일 기기 전쟁’은 바꿔 말한다면 ‘모바일 보안 전쟁’으로 볼 수 있다고 생각합니다.

BYOE 시대가 도래한다면 보안시장은 크게 요동칠 것으로 예측됩니다. 여러분들은 어떻게 생각하십니까?

2012/11/02 09:05 2012/11/02 09:05
TAG ,

보안업계 관계자들은 올해 상반기의 보안시장을 평가하며 대형보안사고가 일어나지 않았다는 점에서 우선 안도의 한숨을 쉬었다.

그러나 위협은 더욱 증가했다고 평가했다. 상반기 보안업계를 떠들썩하게 만든 키워드에 대해 잉카인터넷, 안랩, 시만텍코리아, 이글루시큐리티 등 주요 보안업체들의 관계자는 지난해와 큰 차이를 보이지 않았다고 답했다.

최근 보안이슈와 관련 문종현 잉카인터넷 ISARC 대응팀장은 “눈에 보이는, 언론에 보도되는 사고가 없었을 뿐이지 사실 지난해에 비해 보안위협은 더욱 높아졌다”고 전했다. 문 팀장은 최근 국내 사용자들을 타깃으로 한 공격이 더욱 거세지고, 은밀해지고 있다고 강조했다.

그는 “상황실에서 특정 악성코드가 기업들을 공격하는 모습을 종종 탐지하곤 한다. 대부분이 알려진 악성코드를 사용한 공격으로 별 무리가 없지만 신종 악성코드가 포착되기도 한다”며 “한글파일(.hwp) 형태로 배포되는 악성코드가 증가했다는 것이 가장 두드러진 현상”이라고 덧붙였다.

◆APT, 누구를 노리는가=2012년 상반기 중에도 다수의 HWP 문서 취약점을 악용한 악성파일이 다수 발견돼 한컴오피스를 이용하고 있는 사용자들에게 새로운 위협요소로 떠올랐다.

근래에는 국내 유명기업이나 정부기관, 정치권 등을 겨냥하는 지능형지속가능위협(APT) 공격이 지속적으로 탐지된 바 있다.

한컴오피스의 사용자들이 대부분 우리나라 사람이란 점에서 이러한 트렌드는 의미가 있다. pdf, doc 파일들은 전세계적으로 통용되는 파일이기에 특정 국가의 사용자를 노린다고 판단하긴 힘들다.

그러나 hwp 파일의 유통은 대부분 한국에서만 이뤄지므로 hwp 취약점을 악용한 악성코드의 등장은 우리나라 사용자만을 노린다고 볼 수 있다. 최근 북한과 관련된 hwp 파일이 다수 유통된 것도 이와 같은 맥락으로 유추된다.

얼마전에는 ‘국방융합기술.hwp’라는 파일이 유통되기도 했을뿐더러 올해 상반기부터 꾸준히 등장하고 있어 주의가 요망된다.


◆개인정보보호법, 새로운 시장을 만들다=지난해 하반기부터 꾸준히 보안업계에서 화제가 되고 있는 키워드는 개인정보보호법이다. 개인정보보호법은 지난해 9월 30일을 시작으로, 6개월간의 계도기간을 거쳐 지난 3월 30일부로 본격 시행됐다.

올해 상반기까지만 하더라도 개인정보보호법 관련 보안솔루션 시장은 눈에 띄게 증가하는 추세는 아니었다. 데이터유출방지(DLP), 디지털콘텐츠보안(DRM) 솔루션만이 다소 인기를 끌었다.

이는 개인정보보호법에 대한 사업자들의 이해가 떨어지고, 컴플라이언스적인 이슈를 모두 해결할 수 있는 제품이 많지 않았기 때문이다. 그러나 최근 개인정보보호 솔루션을 가지고 있는 보안업체들이 컴플라이언스적인 이슈를 모두 해결할 수 있는 패키지 상품을 출시해 인기를 끌고 있다.

행정안전부, 방송통신위원히 등 정부를 비롯해 개인정보보호협회, 개인정보보호협의회 등의 기관에서도 다양한 캠페인과 행사로 개인정보보호 관련 솔루션 시장을 크게 성장시켰다.


◆모바일과 BYOD, 새로운 흐름으로=스마트워크 구축 본격화로 함께 모바일단말관리, 무선침입방지시스템 등이 주목을 받고 있다. 상반기에 구축된 사례만 해도 각각 10건이 넘는다. 구축사례 대부분이 금융기관이지만 하반기에는 이와 관련된 시장이 급증할 것으로 업계관계자들은 예상하고 있다.

모바일단말관리(MDM) 솔루션은 모바일오피스 내부에 구축돼 모바일 디바이스를 통제할 수 있는 기능을 갖추고 있다. 불법 애플리케이션(앱) 구동금지, 특정상황에서 카메라, 캡쳐기능 무력화를 비롯해 안티바이러스의 기능도 갖추고 있다.

스마트워크를 구축하며 함께 고려되는 사안이 바로 무선네트워크다. 통합커뮤니케이션(UC) 인프라를 모바일에 적용하기 위해서는 체계적인 무선네트워크가 필요하다. 외부에서 침입할 수 없도록 만듦과 동시에 내부의 취약점도 잡아낼 수 있어야 한다.

금융권과 공공기관에서 도입이 증가하고 있는 WIPS는 기업의 무선 네트워크 안팎에서 발생하는 침입을 탐지, 차단할 수 있는 무선 보안 솔루션이다.

최근에는 WIPS의 개념과 유사한 WNAC(Wireless Network Access Control) 솔루션이 출시돼 또 한번 무선네트워크 보안의 활성화가 예상된다.

올해 하반기에는 위에서 언급한 내용들을 중심으로 다양한 교집합, 합집합에 대한 키워드가 등장할 것으로 보인다. 특정 기관을 노리는 APT 공격, 안드로이드 취약점, 모바일오피스 보안, 온라인게임 계정 탈취 공격 등 좀 더 고도화된 공격이 예상된다.
2012/07/06 08:17 2012/07/06 08:17


최근‘BYOD(Bring Your Own Device)’에 대한 시장의 관심이 뜨겁다. 비용절감과 업무효율성 제고라는 두 마리 토끼를 한꺼번에 잡을 수 있다는 기대감 때문이다.

과거 미국 IT기업들은 직원들이 업무에 사용하는 PDA단말기나 휴대전화를 회사 공금으로 구입해 지급했다. 회사의 과업을 수행하기 위한 것이므로 물론 이를 기업이 제공해줘야 하는 것은 당연하다는 분위기다.

그러나 스마트폰, 태블릿PC 등 새로운 모바일 디바이스가 등장하자 직원들은 자신들의 업무를 좀 더 효율적으로 수행하기 위해 회사 업무용이 아닌 자신의 모바일 디바이스를 업무에도 활용하기 시작했다.

국내 기업들 사이에서도 BYOD 도입이 구체화되면서 새로운 키워드가 등장하고 있다. 모바일단말관리(MDM)와 무선침입방지시스템(WIPS)이 바로 그것이다.

BYOD의 기저에는 스마트워크(Smart Work)가 깔려있다. 스마트워크는 PC뿐 아니라 스마트폰, 태블릿PC 등 모바일 디바이스를 사용해 과업을 수행하는 플랫폼이다. 스마트워크는 기업 내부 PC에서만 열람할 수 있었던 정보를 스마트폰이나 태블릿PC에서도 가능케 한다.

스마트워크를 도입한 기관과 기업들은 하나같이 업무효율성이 높아졌다고 이야기한다. 그러나 업무효율성 증대와 함께 부상한 이슈가 있었으니 바로 내부정보 유출, 남용이다. 실제 해외에서는 스마트폰으로 사내 기밀정보를 열람한 뒤 이를 캡쳐해서 외부로 빼돌리는 일이 발생하기도 했다.

이러한 이유 때문에 최근에는 금융권을 중심으로 MDM솔루션에 대한 니즈가 크게 증가했다. 특히 고객과 접점이 상대적으로 많은 보험사, 증권사의 문의가 늘어나는 추세다.

MDM 솔루션은 모바일오피스 내부에 구축돼 모바일 디바이스를 통제할 수 있는 기능을 갖추고 있다. 불법 애플리케이션(앱) 구동금지, 특정상황에서 카메라, 캡쳐기능 무력화를 비롯해 안티바이러스의 기능도 갖추고 있다.

스마트워크를 구축하며 함께 고려되는 사안이 바로 무선네트워크다. 통합커뮤니케이션(UC) 인프라를 모바일에 적용하기 위해서는 체계적인 무선네트워크가 필요하다. 외부에서 침입할 수 없도록 만듦과 동시에 내부의 취약점도 잡아낼 수 있어야 한다.

금융권과 공공기관에서 도입이 진행중인 WIPS는 기업의 무선 네트워크 안팎에서 발생하는 침입을 탐지, 차단할 수 있는 무선 보안 솔루션이다.

그간 무선 보안 기술은 사용자인증과 데이터암호화가 주를 이루고 있었다. 그러나 최근 비 인가된 액세스포인트(AP)나 사용자 단말기를 이용한 침입 시도와 애드혹(Ad-Hoc) 연결, AP의 MAC 변조 등의 위협이 증가하면서 이에 대응하기 위한 솔루션에 대한 요구가 커진 것.

기업 내부 네트워크에서 가장 취약한 부분이 바로 비인가된 AP다. AP앞단에 있는 방화벽, 침입방지시스템 등이 무효화되기 때문이다. 자칫하면 해커가 비인가된 AP로 접근해 사내 네트워크까지 침입할 수 있다.

무선 네트워크 인프라를 구축하지 않은 기업들도 WIPS 솔루션을 구축해야한다. 최근 출시된 공유기, 라우터 등은 크기가 매우작고 강력하기 때문에, 직원들이 임의로 설치하기가 수월해졌기 때문이다. 또한 스마트폰을 통한 테더링 연결도 염두해야 한다.

BYOD는 기업의 업무환경을 변화시켜 결과적으로 비용절감과 업무효율성을 높이는 것은 사실이지만, 이를 제대로 자리잡기 위해서는 보안에 대한 이슈를 해결하는 것이 우선이다.



2012/05/30 08:11 2012/05/30 08:11