“모바일 스마트폰을 지켜라”
정책과 기술 시행 조화 필수 … 보안 안전 불감증 벗어나야
모바일 장비를 통한 데이터 액세스를 다루는 보안 정책을 갖고 있는가? 지난 여름 독자들에게 이 질문을 했던 이래로 상황이 엄청나게 개선되지 않았다면 아마도 갖고 있지 않은 곳이 절반일 것이다. 문제는 보안팀이 관여를 하던 하지 않던 스마트폰이 업무에 사용되고 있다는 점이다.
스마트폰 소유자 대부분 기업 데이터 액세스
지난해 7월, 美 인포메이션위크지에서 조사한 바에 따르면 스마트폰 소유자의 82%가 비즈니스 이메일을 읽는 데 이 장비를 사용한다고 답했으며, 80%가 회사 웹 사이트를 서핑하고, 61%가 회사 데이터로 액세스를 하고 있었다.
그리고 비즈니스 매니저라고 해서 이런 추세를 눌러 줄 것이라고 기대하기는 힘들다. 사용자의 74%가 자신들의 휴대폰 요금을 내고 있으며, 65%는 장비도 직접 자신들의 주머니에서 충당하고 있었기 때문이다. 거의, 혹은 전혀 비용을 들이지 않고 비즈니스 생산성을 높일 수 있는데 회사에서 이 장비를 좋아하지 않을 이유가 무엇이 있겠는가?
하지만 실제로는 아주 많다. 직원을 모바일화하면 생산성이 향상되지만 IT의 개입이 없으면 보안 위험이 엄청나게 높아진다. 그러나 회사 IT에서 스마트폰과 PDA를 지원한다고 답한 독자는 31%에 불과했다.
이런 현상은 이해된다. 기업에서 이런 장비를 소유하고 있지 않을 때 사용자가 구입하는 것을 규제할 수는 없다. 시스템의 미스매시(mishmash)를 지원하는 것은 끔찍한 일이며, 이것이 바로 이런 동향에서 앞서 가라고 수년간 충고해온 이유이기도 하다.
충고를 따르지 않았던 사람들은 지금 유지하기 힘든 입장에 처해 있다는 사실을 깨닫고 있을 것이다. 회사에서는 물리적 자산을 소유하고 있지는 않겠지만 엔드유저가 여기에 저장을 하는 데이터는 회사 소유다. 회사 정보는 스마트폰에 자리를 잡는 그 즉시로 보안될 필요가 있는 비즈니스 자산이 된다.
CIO들에게는 두 가지 선택이 있다. 즉 액티브싱크(ActiveSync) 같은 동기화 프로그램 설치를 금지해 모바일 장비로부터 회사 서버로의 액세스를 허용하지 않음으로써 모바일 장비를 동결시키느냐, 아니면 회사 PC에 있는 USB 포트를 잠그느냐, 하는 것이다. 물론 직원들은 이런 장애물을 피해가기 위해 시간을 낭비할 것이다. 따라서 보다 나은 방법은 적절한 정책과 기술 시행을 잘 조화시켜 데이터를 안전하게 유지하면서 동시에 이동성의 혜택을 누리는 것이다.
모바일 암호화는 먼 길을 걸어왔지만 기술은 이야기의 절반에 불과하다. 이 시각 현재 이베이에 올라와 있는 블랙베리 중고 폰은 3천300개가 넘는다. 이들 중 하나에 민감한 데이터가 탑재돼 있다면 기술이 할 수 있는 일은 거의 없다.
정책이 최우선
장비 선택, 프로비저닝, 배치, 사용, 유지보수, 복구 및 처분에 대한 회사 정책을 만들어야 한다. 임원의 장비는 다르게 대우하고 싶은 유혹을 물리쳐라. 조직은 가장 취약한 링크의 보안 상태만큼만 보안되며, 스마트폰은 노트북PC보다 분실 가능성이 더 많다. 임원들이라고 해서 다른 사람보다 확률이 줄지는 않으며, 오히려 더 민감한 데이터를 갖고 다니기 때문에 위험성은 더 높다.
정책을 만들 때는 암호화나 파워온 패스워드 같이 기본적인 데이터 보호 방안들로 시작하고, 이 장비가 분실되거나 도난 당했을 때 원격으로 청소될 수 있도록 해야 한다. 대부분의 푸시 이메일, 장비 관리 및 보안 시스템이 이 기능을 제공하고 있다. 보다 세밀한 정책으로는 VPN을 요구하고, 사용자로 하여금 안티바이러스, 방화벽, 혹은 기타 보안 소프트웨어를 따르도록 강요하는 것들이 포함된다.
보안 정책은 정적이지 않다. 이들은 비즈니스의 변화하는 요구를 해결하기 위해, 그리고 새로운 기술이 이행되는 데 따라 정기적으로 업데이트돼야 한다. 또한 장비 분실이 단순히 물리적인 자산 비용만 날라가는 게 아니라는 사실을 사용자에게 반드시 주지시킬 필요가 있다.
사용 정책을 이행하려면 기업에서 장비 조달을 책임져야 할까? 아마도 그럴 것이다. 회사에서 물리적 자산을 소유하고 있으면 정책을 시행하고 보안 소프트웨어를 배치하기가 더 수월하다. 물론 IT에서 모바일 장비 발급을 피하고 싶은 이유는 있을 것이다.
스마트폰 시장은 소비자 주도식이며, 이는 곧 하드웨어 갱신 주기가 빠르다는 것을 의미한다. 모바일 보안 및 관리업체들은 가장 인기 있는 장비는 잘 지원하고 있지만, 카메라 락 다운(lock down)이나 SD 카드 슬롯 기능 정지와 같은 고급 하드웨어 보안 기능들은 지원이 일관되지 못한 형편이다. 직원들로 하여금 자신들의 장비에 데이터를 보관할 수 있게 허용할 경우 최고의 솔루션은 모바일 보안 업체에서 지원하는 하드웨어 메뉴를 지급하고 지속적으로 업데이트함으로써 타협하는 수밖에 없다.
그렇다면 이제 위험을 따라가 보자. 첫 번째 작업은 데이터 분실을 막는 것이며, 각각의 정보에 얼마나 많은 정보가 담겨 있는지를 안다면 아마도 깜짝 놀랄 것이다. 스마트폰은 셀룰러 접속을 지원함에도 불구하고 회사 데이터를 캐싱하는 경우가 많기 때문에, 사용자가 지원범위 밖에 있거나 비행기에서처럼 무선 전파가 없이 장비를 작동해야 할 필요가 있을 때조차도 액세스가 가능할 것이다.
일반적으로 이메일이 보관될 것이고, 웹 브라우저는 비즈니스 웹 사이트의 로컬 카피를 저장할 것이다. 회사 애플리케이션은 프리젠테이션 레이어같이 혼자 행동하는 것에서부터 액세스 데이터베이스 시스템, 그리고 양식 캐싱에 이르기까지, 혹은 애플리케이션이 엔지니어링된 방식에 따라 심지어 데이터베이스 전체 섹션까지, 모든 영역에서 가동된다.
바이러스 방어책 마련 필수
폴더든, 아니면 SD 카드 같은 착탈식 스토리지 등의 전체 장비든, 방어의 최전선은 암호화다. 여기에는 트레이드 오프가 있는데, 즉 모든 장비 스토리지를 암호화할 경우 어떤 데이터도 놓치지는 않겠지만 성능에 악영향을 미칠 수 있다. 선택 폴더를 암호화하면 성능은 그대로겠지만 정확한 데이터가 암호화되고 있는지를 확인하기 위해 지속적인 자산 등급분류 작업이 필요하다. 장비 속도가 빨라지고 있고 사용자가 암호화되지 않은 폴더에 우연히 민감한 데이터를 보관할 수 있다는 점을 감안하면, 전체 디스크 암호화가 최선이다.
모바일 장비에서의 바이러스 방어에 대한 필요성은 이미 많이 대두돼 왔다. 카스퍼스키랩(Kaspersky Lab), 맥아피(McAfee), 시만텍 및 트렌드마이크로 등 모든 주요 참가업체들은 자신들의 포트폴리오에 어떤 종류든 모바일 바이러스 방어책을 마련해 두고 있다. 하지만 약간의 윈도 모바일 익스플로이트(exploit)와 함께 아직까지 야생에 있는 대부분의 바이러스와 멀웨어는 심비안 플랫폼을 겨냥한 PoC(Proof of Concept)였다.
그러나 애플의 아이폰(iPhone)은 앞으로 다가올 것들을 예고하고 있다. 써드파티 애플리케이션을 설치하거나, 장비가 다른 반송파에서 작동되도록 하기 위해 아이폰을 ‘언락(unlock)’하고자 하는 노력의 상당수가 버퍼 범람(buffer overflow) 공격 같은 전통적인 익스플로이트를 통해 온다. 애플은 지금까지는 부지런히 패칭을 해왔지만 아이폰을 언락하는 데 사용된 것과 같은 방법이 장비를 전복시키는 데 어떻게 사용될 수 있는지를 보여주는 몇 가지 익스플로이트 사례들이 있었다.
기술 컨설턴트인 포사이스솔루션그룹(Forsysthe Solutions Group)의 데이비드 브라운은 “내가 염려되는 것은 모바일 장비로 멀웨어를 풀어놓기가 얼마나 쉬운가 하는 것이다. 블랙베리를 가지고 여기에 벨소리를 다운로드하기만 하면 잠재적인 벡터가 될 수 있을 만큼 이것은 너무도 간단한 일”이라며 우려를 표했다. 여기서 핵심 단어는 ‘잠재적’이라는 단어다.
지금까지는 브라운이 설명한 것 같은 익스플로이트가 없었으며, 모바일 플랫폼으로 투하된 블래스터나 코드 레드 웜만큼 큰 영향을 미친 것도 없었다. 어떻게 보면 모바일 장비는 모호함 속에서 보안을 누려 왔다고 할 수 있다.
분할된 OS 지형도 또한 도움이 됐을 것이다. 하지만 스마트폰이 기업 네트워크로 더 많이 연결되면서, 그리고 데스크톱의 보안이 강화되면서, 공격자들은 모바일 장비를 데이터로의 저항이 가장 덜한 경로로 주목할 것이다.
제품 분석
비즈니스의 모바일 보안 문제를 해결하는 데 초점을 둔 포인트 제품의 수가 압도적으로 많아 보일 수 있겠지만, 이 영역에는 많은 기존 업체들이 포진해 있다. 이런 스위트들이 할 수 있는 일이 무엇인지 알아보기 위해 랩에서 몇 가지 제품들을 살펴봤다.
美 GSA(General SErvices Administration)의 DARTT(Data At Rest Tiger Team)에서 노트북PC 보안을 인증받은 가디언에지(GuardianEdge)와 협력 관계를 맺고 몇 건의 정부 및 비공개 부문 계약을 따낸 트러스트디지털(Trust Digital)은 최신 스마트폰 보안 클라이언트를 보내왔으며, 트렌드마이크로는 곧 나올 모바일 보안 스위트의 카피를 보냈다.
트러스트디지털의 SSMS(Smartphone Security Management Software)와 트렌드마이크로의 모바일 시큐리티(Mobile Security)는 둘 다 모바일 장비를 보안할 수 있는 다양한 방안들로 무장시켰다.
가장 흥미로운 기능은 SSMS의 트러스티드 애플리케이션 모델이다. 무엇이 애플리케이션에서 돌아갈 수 있거나 돌아갈 수 없는지를 규정하는 단순한 화이트리스트나 블랙리스트가 아니라 트러스트 디지털은 어떤 애플리케이션이 특정 유형의 데이터와 작동할 것인지를 결정할 수 있다.
예를 들어 우리는 마이크로소프트 워드만 워드 문서에 액세스할 수 있다고 지정할 수 있었다. 이것은 멀웨어에 대해 보호할 때 유용할 수 있다. 트러스트 디지털과 트렌드마이크로 사이의 큰 차이점 가운데 하나로는 TMMS 5.0은 트렌드 마이크로의 데스크톱 보안 제품과 같은 콘솔에서 관리된다는 점을 꼽을 수 있다.
우리는 트렌드마이크로와 트러스트디지털의 암호화 모델이 모두 마음에 들었다. 기업에서는 개별적인 장비로 제한되는 암호화 키를 만들거나, 혹은 그룹 기반에서 만들어서 데이터 공유가 가능하게 할 수 있다.
유일한 문제는 장비당 단 한 가지 정책만 시행될 수 있기 때문에 사용자는 고유의 암호화 키로 암호화된 온보드 메모리를 가질 수 없다는 것이다. 즉 SD 카드는 공유 키로 암호화되기 때문에 다른 사용자에게 전달될 수도 있다.
트렌드마이크로와 트러스트디지털은 또한 하드웨어 락다운이나 원격 와이프(remote wipe) 같은 기본적인 기능들도 또한 포함돼 있다. 트러스트디지털은 소프트웨어 배포 능력도 집어 넣었지만, 아무래도 보안에 초점을 둔 제품이기 때문에 모바일 장비 관리 시스템에서와 같은 고급 인벤토리 및 보고 기능이 구비돼 있지는 못하다.
