스마트폰과 클라우드는 사람들의 디지털 라이프를 혁신적으로 바꾸었으며, 엔터프라이즈 모빌리티를 구현할 수 있는 가장 중요한 환경을 갖출 수 있도록 했다. 클라우드에 중요한 정보를 집중시키고, 클라우드 자원을 활용해 저사양 모바일 기기를 이용해 업무를 수행함으로써 시간과 장소의 제약 없이 근무가 가능해 업무 효율성을 극대화 할 수 있게 됐다.
그러나 모바일과 클라우드는 ‘보안’이라는 높은 장벽에 부딪힌 상태다. APT와 같은 지능형 공격은 알려지지 않은 취약점을 찾아 은밀하게 시스템 내부로 파고드는데, 이 때 가장 유용하게 사용하는 것이 보안에 취약한 단말기다. 스마트폰의 보안 취약점을 악용해 시스템 사용자 권한을 탈취해 시스템 내부로 접속할 수 있게 되면, 클라우드를 통해 사내 시스템 어디에도 접근할 수 있게 된다.
공격자는 시스템 내부에서 지속적으로 목표로 하는 시스템의 사용자 혹은 관리자 권한을 탈취하면서 공격을 진행할 수 있으며, 서비스 변경에 따라 이동하는 VM을 타고 다른 시스템으로도 얼마든지 이동할 수 있다.
컨테이너·래핑 기술로 MAM 진화
2012년 말부터 스마트폰의 보안 취약점을 이용한 스미싱이 등장해 전 사회적인 문제가 되고 있다. 휴대전화 문자메시지를 교묘하게 이용해 사용자에게 악성앱을 설치하게 하고, 소액결제 시스템을 이용해 금전을 탈취하는 등의 전자금융사기를 진행한다.
악성앱에 봇을 심으면 사용자가 근무하는 조직의 시스템 내부로 드나들 수 있는 백도어를 만들 수 있으며, 대규모 DDoS를 일으키는 좀비스마트폰으로도 활용될 수 있다. 개인이 소유한 모바일 기기를 업무에도 사용하는 BYOD 환경에서는 사생활 데이터와 업무 데이터가 분리돼 있지 않기 때문에 보안 위협에 더욱 취약하다. 사용자들이 고의로 혹은 실수로 회사 데이터를 유출시킬 수 있으며, 기업이 직원들의 사생활 데이터를 몰래 훔쳐볼 수도 있다.
이러한 문제 때문에 모바일 보안 솔루션이 요구됐으며, 모바일 기기관리(MDM), 모바일 애플리케이션 관리(MAM), 모바일 콘텐츠 관리(MCM) 솔루션이 등장하게 됐다. 나아가 모바일 엔터프라이즈 관리(MEM) 솔루션으로 확장되면서 모바일 플랫폼으로 자리 잡고 있다.
모바일 관리 솔루션의 선두주자는 모바일아이언이다. MDM 기업으로 시작해 MAM, MCM, MEM으로 확장하고 있는 모바일아이언은 ‘모바일 퍼스트’라는 슬로건을 앞세워 모빌리티를 조직의 최우선 IT 플랫폼으로 활용할 수 있도록 한다.
모바일아이언은 총판인 코닉글로리의 TMS 솔루션과 WIPS 솔루션과 함께 사용되면서 모바일 환경의 보안을 더욱 강화시킬 수 있다. 모바일아이언의 MEM 기능과 코닉글로리의 ‘에어TMS’를 이용하면 어떠한 무선 통신 환경에서도 불법적인 침입을 방지할 수 있으며, TMS 솔루션을 연동시켜 유무선 네트워크에 대한 침입 정보를 공유해 기업 전반의 보안을 강화할 수 있다.
2013년 모바일 보안 시장의 가장 민감한 기술적인 이슈는 컨테이너 및 래핑 방식이다. 컨테이너는 모바일 기기 저장소의 일정부분을 가상화된 샌드박스로 만들고 중요한 데이터나 애플리케이션은 컨테이너 안에서만 구동할 수 있도록 하는 방식이다. 샌드박스 안에서 구동되는 콘텐츠나 앱은 컨테이너 밖으로 나올 수 없으며, 이메일 등을 통한 외부 공유시 철저한 인증을 거치는 등 콘텐츠의 외부 유출을 철저히 차단한다.
래핑 방식은 단일 애플리케이션에 암호화 기술을 적용시켜 애플리케이션 운영 환경과 데이터를 보호한다. 아이폰의 앱이 래핑기술이 적용된 대표적인 예로 볼 수 있으며, 앱 간 데이터 이동이 통제되며, 외부의 불법적인 접근도 차단할 수 있다.
컨테이너 방식은 2013년 초 삼성전자의 스마트폰에 탑재되는 기업용 보안 솔루션 ‘녹스(KNOX)’가 미 국방부의 보안승인을 받으면서 뜨거운 감자로 떠올랐다. 스페인에서 열린 ‘MWC 2013’에서 공개된 후 국내에서도 관심을 모았으며, LG전자에서도 컨테이너 기술을 이용한 ‘LG게이트’를 소개한 바 있다.
컨테이너 기술과 래핑 기술은 MAM 솔루션 기업에서 강조하는 기술이다. 시만텍은 컨테이너 기술을 엔터프라이즈 앱스토어로 이용해 단일 모바일 기기에서 기업용 앱스토어와 퍼블릭 앱스토어를 구분해 구동시킬 수 있도록 한다.
‘시만텍 앱센터’를 이용하면, 기업용 앱에 보안 기능을 설정해 앱에 포함된 데이터를 안전하게 보호할 수 있다. 기존에 개발된 기업용 앱이 소스코드 변경 없이 래핑 기술을 통해 보호될 수 있으며, 사적인 데이터와 업무용 데이터를 구분해 사생활 보호와 기업 데이터 보호를 만족시킬 수 있다. 모바일 앱과 데이터의 효율적인 배포와 애플리케이션 개발 효율 증대, 기업에서 일괄적인 모바일 기기 관리 등이 가능하다.
한편 시만텍은 안드로이드 기기를 위해 안티바이러스, 악성코드 차단, 기타 모바일 보안 기술을 하나로 통합한 ‘모바일 시큐리티’를 함께 제공한다. 이 솔루션을 이용하면 데스크톱과 같은 수준의 보안을 모바일 기기에서도 이용할 수 있다.
시트릭스도 ‘젠모바일’을 앞세워 MEM 시장을 적극 개척한다. 젠모바일의 MDM 기능으로 단말기 관리 기능을 제공하며, 앱 터널, 블랙리스트/화이트리스트, 다이내믹/상황인지 정책 등을 통한 보안 애플리케이션 액세스를 제공한다. 확인되지 않은 기기의 차단이나 권한 없는 사용자, 규정에 충족하지 않는 애플리케이션 등 내외부적으로 산재한 모바일 위협에 대한 보호 및 보안정보 및 이벤트 관리(SIEM) 시스템과의 통합에 있어 가시성을 제공해 네트워크 보안성을 확보할 수 있다. 결과적으로 IT팀은 규정 요구사항을 충족하면서 직원들이 원하는 기기를 자유롭게 선택할 수 있게 해주며 기기내에 있는 비즈니스 정보를 보다 안전하게 보호할 수 있게 된다.
토종 솔루션, MDM에서 정지
외산 솔루션 기업들이 앞선 기술을 경쟁적으로 소개하면서 모바일 보안 솔루션을 모바일 플랫폼으로 확장시키고 있지만, 국내에서는 아직 MDM 수준에 머무르고 있는 상황이다. MDM은 단말기를 분실했을 때 단말기 내의 정보를 원격에서 삭제하고, 위치추적 장치를 활용해 단말기의 위치를 찾아내며, 카메라·녹음기 등 단말기 자체에 탑재된 기능을 통제하는 등의 기능을 제공할 수 있다. 설치된 기업 애플리케이션의 패치 업데이트, 악성코드와 해킹위협 탐지·차단, 루팅·탈옥 방지 등의 기능을 갖고 있다.
국내 MDM 솔루션들도 MEM으로 전환되고 있지만, 아직은 기술이 충분히 성숙한 단계는 아니라고 할 수 있다. 기술 성숙도가 낮은 이유에 대해 여러 가지 분석이 가능하지만 BYOD 초기시장으로, 보편화되지 않았기 때문이라고 볼 수 있다. 우리나라에서 스마트폰을 업무에 활용하고자 하는 시도는 수 년 째이어지고 있지만, 그동안 많은 기업들이 ‘묻지마’ 방식의 모바일 오피스 사업을 추진해 실패한 전력이 있다. 이러한 선례 때문에 기업들이 선뜻 BYOD를 위한 기반기술을 마련하기 꺼리고 있으며, 최소한으로 필요한 기능만을 우선 적용해 사용하고 있는 상황이다.
2012년 말에는 BYOD 시장이 큰 폭으로 성장할 것이라는 전망이 지배적이었으며, 많은 기업들이 MDM 시장의 폭발적인 확대를 예상하면서 경쟁적으로 뛰어들었다. 그 결과 성숙도가 낮은 제품이 우후죽순 쏟아지면서 제품의 가격과 품질이 동시에 하락하는 부정적인 결과를 낳게 됐다.
특히 국산 모바일 소프트웨어 제품들이 낮은 가격과 유연한 커스터마이징을 적극적으로 설파하면서 무리하게 사업을 수주한 결과 모바일 오피스 사업이 제대로 진행되지 않으며, 많은 기업들이 수익성 악화로 MDM을 포기하기도 했다.
2013년 하반기 국정원이 CC 인증 기준을 마련해 시장 활성화에 기대감이 높아지고 있다. CC인증을 획득한 기업이 등장하면서 공공시장에 MDM 도입 사업이 활발해지면 민간 기관들도 MDM 도입에 적극적으로 나설 것이라는 전망 때문이다. 그러나 한편에서는 CC인증 기준으로 인해 MDM이 제한된 기능만 만족하는 포인트 솔루션으로 전락할 가능성이 있다고 지적한다.
지금까지 우리나라에서 보안 관련 규제가 발표되면 토종 기업들은 해당 규제를 준수하기 위한 솔루션을 개발해 내놓는데, 단지 규제준수만을 위한 제품을 급조해 저가로 공급하는 업체가 한 두곳 등장하면 사업 수주를 위해 다른 경쟁기업들도 같은 형태의 제품을 공급하게 된다. 결국 고객은 규제준수만을 위한 솔루션을 도입했다가 여러 장애나 지원 부족 등을 이유로 잘 사용하지 않거나 오히려 보안 취약점이 늘어나 치명적인 보안위협에 직면하게 될 수 있다.
국정원에서 진행하는 CC인증 기준은 국내에서만 통용되는 기준으로, 기존과 같이 기능 리스트를 중심으로 심사를 진행한다면 이 사항만 만족하는 제품이 공급돼 지능화되는 타깃공격에 대응하기 어려워 질 것이라는 지적이 제기된다. 외산 기업 뿐 아니라 국내 기업들도 이 점을 우려하는 목소리를 조심스럽게 내고 있다. 기존 관행대로라면, 규제가 발표되면 그 순간부터 시장은 축소·왜곡되기 시작한다는 지적이다.
우후죽순 MDM, 기술 수준은 대동소이
MDM 시장에 대한 우려에도 불구하고 많은 기업들이 모바일 보안 솔루션을 지속적으로 업데이트하고 있다. 가장 빠르게 모바일 보안시장에 대응하고 있는 라온시큐어는 MDM, 모바일 암호·인증, 모바일 백신, 가상 키보드 등 금융권에서 요구하는 모바일 보안 솔루션을 모두 갖고 있어 패키지 제공이 가능하다는 점을 강조한다.
라온시큐어와 함께 MDM 시장 선두주자로 달리고 있는 지란지교소프트의 ‘모바일키퍼’는 가장 많은 수의 고객사를 확보하고 있으며, 신규 고객 수요에 빠르게 대응할 수 있다는 점을 장점으로 내세운다. MDM, MAM 뿐 아니라 스마트워크 관리 및 보안이 가능하고, 모바일 출입통제도 지원해 다양한 업무에 사용될 수 있도록 한다.
익스트러스도 MDM 시장을 강력 드라이브하는 기업 중 하나이다. 모바일 솔루션 전문기업인 익스트러스는 ‘익세이프(EXAFE)’라는 프레임워크를 기반으로 컴포넌트화된 모바일 토털 보안 시스템을 구축한다. PKI, MDM, 위변조 방지, 보안 키패드, 백신, 방화벽, 통합인증 제품군을 갖추고 있다. MDM 솔루션인 ‘익세이프 MDM’은 모바일 기기 관리와 필수 모바일 앱 배포, 자산관리·도난 분실관리가 가능하다. 안드로이드, iOS 스마트폰과 태블릿을 지원한다.
DRM 기업 마크애니도 ‘이지스 세이퍼(Aegis SAFER)’ 제품으로 MDM 시장을 공략한다. 대법원 인터넷 등기소 등에 공급된 이지스 세이퍼는 스마트 기기의 다양한 기능을 모니터링하고, 보안이 적용된 저장공간을 마련해 데이터를 보호하며 기기 분실시 원격백업 및 삭제 기능을 제공한다.
국내 MDM 솔루션 기업들의 기술적인 차별점은 그리 많지 않다. 대체로 단말기 관리에 중점을 두고 있으며, 루팅·탈옥 방지, 악성코드 차단 등의 기능을 제공하면서 MAM 기능을 통합했다고 주장한다. 그러나 아직 MDM 시장이 충분히 성숙되지 않았으며, MAM, MEM으로 진화하기 위한 다양한 기술적인 발전이 필요하기 때문에 2014년 이후에도 역동적인 변화가 일어날 것으로 보인다.
가상화 기술 접목한 ‘듀얼 페르소나’ 상용화 성큼
모바일 보안 시장에서 주목해야 할 또 다른 기술은 가상화를 이용해 단일 단말기에서 두개의 OS를 사용하는 ‘타입1’ 방식의 하이퍼바이저(듀얼페르소나)이다. 이 기술은 휴대폰 제조사의 지원이 있어야 하기 때문에 일반화 되기는 상당한 시간이 걸릴 것으로 보이지만, 서로 분리된 두개의 OS를 사용해 업무용 데이터와 기업용 데이터를 분리해 사용할 수 있어 BYOD 진화를 더욱 촉진할 수 있을 것으로 기대된다.
외산 모바일 솔루션 벤더들은 대부분 듀얼 페르소나 기술을 제공하고 있지만, 상용화에 상당한 시간이 걸릴 것으로 예상하면서 적극적으로 소개하지는 않는다. 레드벤드소프트웨어는 세계적인 휴대전화 제조사와 협력하면서 듀얼 페르소나 기술을 적용한 ‘브이로직스 모바일’을 정착시키고자 한다.
이 제품은 ▲안전하게 분리된 다수의 완전한 스택을 지원하고 ▲각 스택이 충분한 물리 메모리를 가지고 있을 때 디바이스 성능을 거의 완벽하게 제공하며 ▲고급 FOTA 기술과 쉽게 통합할 수 있어 강력한 제품생명주기 관리가 가능하다.
김일선 레드벤드소프트웨어코리아 차장은 “높은 보안수준을 요구하는 정부·공공기관에서 이 기술 도입을 검토하고 있으며, 일반 기업에서는 임직원들의 사생활 노출을 꺼려하기 때문에 BYOD 도입에 어려움을 느끼고 있는 상황이다. 타입1 하이퍼바이저는 이러한 문제를 해결할 수 있는 기술로 아직 상용화된 사례가 없지만, 제조사와의 협력만으로 즉시 사용될 수 있기 때문에 시장이 열리는 것은 시간문제”라고 말했다.
레드벤드는 BYOD를 위한 ‘트루(TRUE)’ 솔루션도 함께 소개한다. 레드벤드의 모바일 소프트웨어 관리와 모바일 가상화를 위한 시장선두의 모든 제품이 포함될 수 있다. BYOD 관리 서비스 기업이나 SI 업체를 위한 ‘소프트웨어 매니지먼트 센터’도 함께 제안한다.
한편 MDM 시장의 전통적인 강자였던 아파리아는 사이베이스에 이어 SAP에 인수되면서 다소 주춤한 상황이었다. 그러나 SAP는 제품군을 다시 정비해 ‘모바일 시큐어’라는 제품으로 새롭게 제공하고 있으며, MAM도 지원하기 위해 모카나(Mocana)와 파트너십을 체결해 ‘모바일 앱 프로텍션’을 공급한다. 앱 래핑 기술을 제공해 코딩 없이 기존 애플리케이션을 안전하게 보호할 수 있다.
한편 SAP는 CA와 솔루션 라이선스 계약을 체결해 CA에서도 SAP 모바일 보안 제품군을 판매하게 됐으며, CA의 솔루션을 모바일화해 고객에게 제공할 때 보다 보안을 강화할 수 있도록 한다.
