보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

BYOD 환경에서의 보안 위협과 대응 방안

2015.08.25

5,407

 

 

이글루시큐리티 컨설팅사업본부 최원호 컨설턴트

(wonho.choi@igloosec.com)

 

 

 

모바일 기기 증가에 따라 개인의 모바일 기기를 회사 업무에 사용하는 BYOD(Bring Your Own Device) 도입 속도가 빨라지고 있다. 사무실에 설치된 데스크톱 PC 로 주로 업무를 처리했던 과거와는 달리 까페나 지하철에서 회사 메일을 확인하고 문서를 작성하는 모습은 이미 익숙한 풍경이 되었다. KT경제경영연구소가 올해 초 발표한 ‘2015년 모바일 트렌드 전망’ 보고서에 따르면, 지난 해 세계 인구 당 스마트폰 보급률은 PC 보급률(20.0%)를 훨씬 앞지른 24.5%를 기록했으며, 2018년에는 26.5%까지 증가하는 등 모바일 기기를 활용한 업무 처리가 한층 일반화될 것으로 전망되고 있다. 특히, 개인의 스마트폰 보급률이 92.4% 에 달하는 한국의 스마트 화 속도를 볼 때, 국내 기업의 BYOD 활용은 더욱 증가할 것으로 예상된다.  

 

하지만, BYOD 사용 확산에 따라, 기업의 중요 정보가 유출되거나 손실될 가능성도 한층 높아지고 있다. 많은 임직원들이 업무용 데이터를 개인의 모바일 기기에 저장, 생성하고 이를 다른 임직원들에게 전달하고 있어 이를 노린 위협이 증가하고 있기 때문이다. 위협은 ▷분실되거나 도난 된 디바이스의 자동 로그인 기능을 악용해 개인 정보를 빼내는 것부터 ▷디바이스의 모든 권한을 공격자에게 넘겨주고(디바이스 루팅), 탈옥한 iOS를 타깃으로 확인되지 않은 애플리케이션을 디바이스에 다운로드 하도록 위장해 원격 조정으로 데이터를 빼내며(디바이스 탈옥) ▷네트워크 상에 흘러다니는 모든 트래픽을 수집하고 가로채는 등(네트워크 스니핑) 더욱 정교하고 다양한 형태로 나타나고 있다.


 

 

 이슈사항

 내용

 다양한 디바이스 관리 /
사용자 식별의 어려움

 ㆍ 다양한 단말기 및 사용자에 의해 변경되는 디바이스의 변화
 ㆍ 인증되지 않은 사용자의 접근

 기업 내부 데이터 유출 위협

 ㆍ 장치 손실 및 도난에 의한 기밀정보 누출
 ㆍ 신뢰할 수 없는 네트워크를 통한 기업 내부 인프라 접근
 ㆍ 악성코드 감염 및 안전하지 않은 디바이스 사용
 ㆍ 접근 권한 남용을 통한 기업 내부 인프라의 비 정상적인 접근​

 

<표1. BYOD 보안 위협>

 

 애플리케이션

 플랫폼

 단말기

 네트워크

 - 어플리케이션 위·변조
 - 사용자 인증 우회
 - 악성코드
 - 비 인가 권한 획득​

 - 루팅·탈옥
 - OS자체 취약점

 - 분실·도난

 - 네트워크 스니핑
 - 네트워크 패킷 변조

 

<표2. BYOD환경에서 가장 많이 사용되는 모바일 디바이스에 대한 보안 위협>

 

 

이에, 모바일 기기를 통한 업무의 효율성을 유지하는 동시에 보안성을 높일 수 있는 방향으로 기업의 IT 정책이 변화해야 한다는 목소리가 높아지고 있다. 자칫 개인 신상, 금융 정보는 물론 재무정보, 지적 자산 등 기업의 기밀 정보가 유출되는 막대한 피해를 야기할 수 있기 때문이다. 실제로 오라클이 작년 11월 전 세계 직장인 1,500명을 대상으로 진행한 설문조사 결과에 따르면, 16~24세 연령대의 젊은 직원들 중 71%가 모바일을 통해 업무 데이터와 애플리케이션에 접속하고 있었는데, 이 중 73%가 한 번 이상 모바일 기기를 분실한 적이 있고, 52%는 도난을 당한 경험이 있는 것으로 나타나 기업 보안에 위협을 받는 것으로 나타났다. 또한, 미국의 보안 컨설팅 업체 포네몬(Ponemon)이 11개국 350여개 기업을 대상으로 조사하여 최근 발표한 보고서에 따르면, 올해 데이터 유출에 따른 평균 총 비용은 지난해 대비 23% 증가한 379만 달러까지 증가했으며, 기밀 정보 1건 유출에 따른 평균 총 비용은 154불에 달하는 등 데이터 유출로 인한 금전적 피해가 점점 증가하는 것으로 나타났다.

 

그러나, 모바일 기기를 통한 정보 유출 위협에도 아직 효과적인 대응 방안을 마련하지 못하고 있는 기업들이 상당수인 것이 사실이다. 가장 큰 어려움은 오늘날의 기업 조직 구조, 임직원의 역할이 과거에 비해 한층 복잡해졌다는 데서 기인한다. 임직원의 업무가 다변화되고 있는 만큼 이들이 사용하는 디바이스와 OS 역시 매우 다양한데, 모든 임직원들의 업무 환경을 충족하고자 수백, 수천 가지의 세부 정책을 구현하는 것은 관리의 복잡성을 유발할 수 있다.  또한, 기업 여건과 수준에 대한 이해와 명확한 기준이 없이 무작정 규제를 할 경우에는 느린 부팅 시간과 동작 속도로 인해 업무의 효율성이 떨어지거나 자칫 개인정보파일이 다른 임직원에 의해 송수신, 열람되는 등 개인의 사생활이 침해 당할 수도 있다.

 

 

 이슈사항

 내용

 복잡한 보안 정책

 ㆍ 다양한 디바이스 및 운영체제에 의한 보안 정책 관리의 어려움
 ㆍ 기존 보안 솔루션의 보안 정책과 중복되는 보안 설정의 어려움
 ㆍ 유선 및 무선, 원격 및 로컬 등에 대한 접근 조건​

 

<표3. BYOD 환경 구축을 고민하게 만드는 보안 정책 >

 

 

업무 환경에 따른 다양한 요구 조건을 충족시켜 효율성을 높이는 동시에 정보 유출에 대한 안정성이 보장되는 모빌리티 환경을 구현하기 위해서 기업은 어떠한 정책을 수립해야 할까? 이에 안전한 BYOD 환경 구축을 위해 기업에서 많이 적용하고 있는 대표 방안들을 알아보고자 한다.

 

1) 가상 데스크톱 (Virtual Device Interface, 이하 VDI)

디바이스를 이용해 가상환경의 데스크톱에 접속하여 업무를 진행하는 것을 의미한다. VDI는 기존 클라이언트 환경 대비, 디바이스 분실·도난에서 기업 기밀 자산을 보호할 수 있으며, 악성코드 감염에 대한 위협이 극도로 감소하게 된다는 장점을 가지고 있다. 또한, 파일관리 서버에 의한 데이터 일괄관리로 업무 효율성을 높일 수 있고 대량의 PC 및 소프트웨어 구매 비용과 유지보수 비용이 감소하게 된다.

 

2) 모바일 단말 관리 (Mobile Devices Management, 이하 MDM)

MDM은 무선 전송기술인 OTA (Over The Air)를 이용하여 언제 어디서나 원격으로 임직원들의 디바이스를 관리할 수 있는 솔루션이다. 애플리케이션 배포, 데이터 및 환경설정, 디바이스 잠금, 데이터 삭제 등의 기능을 제공하기 때문에 기업 입장에서는 관리하기 용이하나, 사용자 입장에서는 자신의 디바이스를 통제 받아야 하기 때문에 꺼려하게 될 뿐만 아니라 사생활 침해에 대한 우려도 빗 받칠 수 있다. 그렇기 때문에 MDM솔루션을 적용할 때에는 기업에서 먼저 투명성을 밝히고 어떠한 기능과 정보를 수집하는지에 대한 이해와 동의를 구하는 것이 중요하다.

 

3) 업무용 애플리케이션에 대한 보안과 관리(Mobile Application Management, 이하 MAM)

MDM의 한계를 보완하기 위해 등장한 솔루션으로써, 디바이스에 설치된 애플리케이션과 데이터를 선택적으로 관리하기 때문에 기업이 개인이 소유한 디바이스 전체를 중앙에서 제어하는 MDM과는 달리 개인의 영역과 기업의 영역을 나눠서 관리한다. 기업 자체가 애플리케이션 스토어를 만들어 직원들에게 자신이 필요로 하는 업무용 애플리케이션을 내려 받을 수 있도록 하는 것이 특징이다.

지금까지 BYOD 보안 위협과 대표적인 대응방안에 대해 알아보았다. 미국의 벤처투자기관 ‘클라이너 퍼킨스 코필드 앤 바이어스(KPCB)’가 최근 발표한 ‘2015년 인터넷 트렌드’ 연구에 따르면, 2015년 기준 미국의 성인 1명이 하루에 인터넷에 접속하는 시간은 5.6시간으로 2008년 2.7시간 대비 2배 이상 늘었으며, 5.6 시간 중 모바일을 통한 접속 시간은 2.8 시간에 달했다. 이와 같이 모바일 디바이스에 대한 의존도가 지속적으로 증가할 것으로 예상되는 가운데, BYOD 보안 위협은 한층 빠르게 늘어날 것으로 예상되고 있다.

기업은 많은 고민과 사례 분석을 통해 다양한 위협으로부터 기업과 임직원의 정보를 보호하는 동시에 사용자의 편의성과 업무 효율성을 높일 수 있는 안정적인 보안 정책을 수립해야 할 것이다. 모바일 디바이스 사용자 역시 비밀번호 등 잠금 기능을 설치해 주기적으로 변경하고, 백신 및 악성코드 제거 프로그램을 설치하며 신뢰할 수 있는 무선망만을 사용하는 등 보다 주체적인 자세로 정보 유출에 대비해야 할 것이다.