[칼럼]모바일 디바이스의 보안 및 관리

백승주입력 :2012/01/16 11:43

백승주
백승주

얼마 전 한 TV 개그 프로에서 ‘아저씨와 오빠의 차이점’이라는 내용을 보면서 고개를 끄덕였던 순간이 있었다. 그 내용 중 많은 부분이 스마트폰에 대한 이야기로, 암호에 대한 부분은 웃고 넘길 수 있었지만 IT 종사자로서 많은 생각을 하게 만들었다.

지난해 스마트폰 대중화로 인해, 주변에 일반 피쳐폰을 찾아볼 수 없을 정도로 스마트폰 사용은 일상이 됐다. 컴퓨터를 대신할 수 있는 작은 디바이스 하나가 우리의 삶을 윤택하게 만들어 준 것이다. 여러 디바이스들 및 타 트렌드 기술과의 결합을 통한 활용 시나리오라던가, 디바이스간 디스플레이에 대한 사용자경험(UX) 논의 등 기술을 통해 삶을 가치 있게 할 수 있다는 진심 어린 방향성에 대해서도 흐뭇한 웃음도 지어볼 수 있다.

많은 숫자의 모바일 디바이스와 다양한 활용 시나리오는 기술의 긍정적 방향이라는 순기능과 함께, 보안 및 개인 정보 유출이라는 역기능도 예상해 볼 수 있다. 이러한 역기능을 뒷짐만 지고 지켜보다가 어떠한 일이 발생할 지 한번쯤 상상해본 IT 전문가라면, 오늘 필자가 풀어놓을 이야기를 짐작할 수 있을 거라 믿는다.

■업무용-개인용 구분 없는 단말기, 조직이 관리해야…

기업은 더 이상 표준 모델이라는 미명하에, 업무에 활용할 수 있는 디바이스를 제한할 수 없는 지경에 이르렀다. 지난해 여러 곳에서 보여왔던, 그리고 이 순간에도 쉽게 접할 수 있는 소비자화(Consumerization) 트렌드는 개인의 삶과 업무에 있어 디바이스 활용의 구분을 모호하게 한다. 어떤 면에서는 너무나 강력하게 연결해 놓았기에 업무용-개인용이라는 구분을 무색하게 만들었다.

그렇다면 다양한 모바일 디바이스들을 통해 업무를 처리하는 것은, 이제 거스를 수 없는 비즈니스 트렌드이기에, 해당 디바이스들이 잘못된 방향으로 향하는 확률을 줄여주거나 아예 없애야 할 것이다. 이것이 인프라를 책임지고 이 인프라를 통해 비즈니스를 향유하는 조직에게 꼭 필요한 길이다.

모바일 디바이스에서 활용하는 다양한 업무 시나리오 중 가장 일반적인 것은 바로 전자메일 확인이다. 전자메일에는 많은 비즈니스 정보가 담겨 있다. 이 전자메일이 담겨 있는 디바이스가 분실돼 내용이 공개됐을 때 미칠 비즈니스 영향은 금전적으로나 이미지에 피해가 클 수 밖에 없다.

디바이스와 전자 메일을 동기화하는 기술은 이미 여러 메시징 기술에 포함돼 있기에 어렵지 않게 구현할 수 있다. 그러나 이 구현이 빠뜨리지 말아야 할 기술이 바로 보안의 기본인 ‘암호 설정’이다. 암호 설정은 단순히 암호의 지정 및 지정된 길이만을 요청하는 것이 아니라 정기적인 변경, 그리고 조직의 보안 레벨에 따라 암호를 복잡하게 설정(반복적 숫자의 지정 가능 여부)할 수 있어야 한다.

마지막으로 잘못된 암호를 몇 회 이상 시도했을 때 자동으로 초기화되는 형태 등을 포함해야 한다. 물론 강화된 보안 정책이 처음 조직에 반영되면 사용자들의 불만을 야기할 수 있다. 그러나 이러한 정책이 왜 필요한지 생각해보고 서로가 추구하고 있는 업무상의 목적이 무엇인지를 생각해보면, 우리가 당연하다고 생각하지만 놓치고 있는 최소한의 자물쇠를 강화할 수 있다고 본다.

■응용 프로그램 관리도 필요

두 번째는 모바일 디바이스에서 사용하는 응용 프로그램(애플리케이션, 이하 앱)에 대한 관리이다. 데스크톱 수준의 관리까지는 아직 무리가 있다. 국내 IT 인프라에서 모바일 디바이스에 대한 관리 방안을 체계적으로 만들고 이를 기술적으로 구현한 사례를 찾기는 쉽지 않다. 여러 종류의 모바일 운영체제(OS)가 존재하고, 이를 활용하는 디바이스도 다양하기에 어디서부터 관리를 시작해야 할지에 대해 IT 관리자는 혼란스러울 수 밖에 없다.

다행스러운 점은 관리 인프라 기술에 대한 소프트웨어 벤더들의 방향이다. 현존하는 모든 관리 인프라가 모바일 디바이스에 대한 관리 기술을 탑재하고 있는 상황은 아니지만, 관리 기술의 리더 격에 해당되는 벤더들은 2012년 기술 로드맵에 IT 인프라의 관리 주체를 단순한 서버와 데스크톱만을 담고 있지 않다. 즉 태블릿이나 스마트폰과 같이 모든 업무용 디바이스를 고려하고 있다.

앞서 언급한 바와 같이, 모바일 OS나 디바이스에 따라 관리 방법론이 틀릴 수 있지만 공통된 활용 시나리오(예를 들어 전자메일과 같은)에 보안 정책을 함께 적용할 수 있는 통합적인 솔루션 형태를 제시한다.

모바일 디바이스를 통해 전자 메일을 동기화하고자 할 경우, 조직 내 보안 정책을 따르지 않으면 동기화할 수 없게 구성할 수 있다. 이 보안 정책에 개별 모바일 OS에 최적화해 적용할 수 있는 최소한의 보안 규칙을 제공한다는 것이다. 모바일 OS에 대한 적용 방안은 관리 소프트웨어에서 고민할 부분이고, 이렇게 고민되어 만들어진 기술을 활용해 IT 전문가는 강제적인 정책 반영을 할 수 있다.

이 보안 정책에는 앞서 살펴본 암호에 대한 부분은 물론이고 서명되지 않은 앱에 대한 사용 여부, 각종 디바이스의 기능에 대한 사용 가부, 추가적인 메모리 카드 사용 여부 등이 해당된다.

■사용자 업데이트 관심 가져야…

마지막으로 언급하고 싶은 부분은 사용자들의 업데이트에 대한 관심이다. 스마트폰의 백미는 여러 앱을 통해 본인만의 모바일 환경을 만들어 간다는 것이다. 적게는 몇 개 많게는 몇 십 개의 앱을 설치해서 사용하고 있고, 이러한 앱은 데스크톱용 응용 프로그램과 마찬가지로 정기적인 업데이트가 이루어진다.

이러한 업데이트는 기술, 기능에 대한 개선과 더불어 보안적인 측면의 개선도 포함된다. 앱을 동작하는 모바일 OS 역시 빠른 트렌드 만큼 지속적으로 차기 버전으로 업그레이드되고 있다. 이러한 OS와 앱에 대해서 업데이트를 소홀히 한다면 무슨 일이 발생할까?

관련기사

너무 허황된 상상일 수 있지만, 우리가 업데이트에 대해서 그리 큰 관심을 데스크톱 환경에서 갖지 않았던 2000년도 초반에 웜을 통한 네트워크 마비를 경험한 적이 있다. 이런 형태의 모습이 통신망에서도 발생할 수 있지 않을까라는 생각도 종종 들고 있다. 단순히 망에 대한 공격만을 할 것이라는 상상을 넘어서, 이를 통해 저장된 개인 정보들을 어딘가로 빼간다면? 생각만 해도 소름 끼치는 시나리오가 아닐까? 개인 정보나 디바이스에 대한 최소한의 보호를 하고 있다는 생각으로 주기적인 업데이트에 대한 관심도 잊지 말아야 한다.

2012년의 여러 트렌드를 살펴보면 언제나 빠지지 않고 각광받고 있는 시나리오가 모바일 디바이스와 관련된 이야기들이다. 모바일 결제를 위한 NFC(Near-Field Communication)나 사물 통신을 의미하는 M2M(Machine to Machine Communication), 그리고 다양한 센서와 결합된 상황인지 컴퓨팅(Context-Aware Computing) 등 더욱더 스마트해지고 있는 디바이스들과 함께 더 가치 있고 윤택한 삶을 영위할 수 있는 모습에 반해, 암적인 존재로 다가올 수 있는 보안 및 개인 정보에 대한 우려가 기우에 그쳤으면 하는 바램이다.

*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.

백승주 IT컬럼니스트

IT 칼럼니스트, Microsoft 기술 전도사(Evangelist), IT 트렌드 및 주요 키워드를 다루는 꼬알라의 하얀집(http://www.koalra.com)을 운영하고 있습니다.