2010년을 관통하는 화두는 바로 스마트폰이다. 자유로운 네트워크 접근으로 사회적 교류의 기회를 넓힐 수 있게 하며 커다란 관심을 받았다. 기업에서도 데스크톱 PC와 유사한 역할을 수행하면서 이동성을 높이는 스마트폰을 생산성 향상을 이룰 수 있는 툴로 주목하면서 스마트폰에 대한 관심은 더욱 뜨겁게 타올랐다. 스마트폰 확산으로 IT 인프라를 활용, 시공간의 제약없이 일할 수 있는 근무형태인 ‘스마트워크(Smart Work)’의 기초가 마련됐기 때문이다.
스마트워크의 핵심은 바로 ‘똑똑한’ 전화기인 스마트폰이다. 휴대폰에 인터넷 통신과 정보검색 등 컴퓨터 지원 기능을 추가, ‘손 안의 작은 PC’로 불리는 스마트폰은 여러 가지 브라우징 프로그램을 이용해 다양한 방법으로 인터넷에 직접 접속할 수 있을 뿐 아니라 원하는 애플리케이션을 직접 선택 혹은 제작해 사용할 수 있으며, 동일한 운영체제(OS)를 가진 기기에서 애플리케이션을 공유할 수 있게 해 시공간의 속박에서 벗어난 진정한 모바일 오피스에 한 발 더 가까워질 수 있게 하는 열쇠로 평가된다. 또 최근에는 더 대형의 디스플레이를 장착한 스마트패드 기기도 등장해 활용도를 높이고 있다.
스마트워크 환경, 보안이 전제조건
기업의 스마트폰(혹은 스마트패드) 도입, 이를 활용한 스마트워크 구축의 전제조건은 바로 ‘정보보안’이다. 스마트폰 환경에서 기업의 업무 수행이 가능하게 되려면 먼저 정보유출과 같은 보안 위협에 대해 안전하다는 신뢰성을 줄 수 있어야 하기 때문이다.
우선 가장 먼저 고려해야 할 것은 스마트폰의 자체의 보안으로 스마트폰 백신이 가장 먼저 떠오른다. PC보안이 악성코드의 등장에서 출발했던 것처럼 스마트폰이 부각되는 이 시점에서도 악성코드는 스마트폰 환경을 위협하는 위험요소가 될 것이기 때문이다.
과거 스마트폰이 아닌 단순한 휴대폰에서도 악성코드는 존재했다. 호기심에 만들어진 것으로 보이는 휴대폰 악성코드는 배터리 소모를 빠르게 하거나, 이유 없이 휴대폰 전원이 꺼지게 하는 등 버그와 유사한 정도에 그쳤을 뿐 아니라 범용성이 낮은 핸드폰 OS의 특성으로 특정 단말에서만 활동하는 등 확산성도 미약했다. 이에 휴대폰에도 악성코드가 발생했다는 점에서 주목됐을 뿐 커다란 문제로 대두되지는 않았다.
그러나 PC와 유사한 환경의 스마트폰이 등장하면서 이들 악성코드는 점차 등장속도를 가속화하고 있으며, 실질적인 피해를 발생시키는 등 위험성도 높여가고 있다. 2010년 4월 국내 첫 피해사례로 보고된 ‘트레드다이얼(TredDial)’은 스마트폰 악성코드의 위험성을 보여주는 사례다. 윈도우 모바일 기반 스마트폰용 악성코드인 트레드다이얼은 사용자 모르게 무단으로 50초마다 국제전화를 걸어 비싼 요금을 지불하게 했다. 이외에도 안드로이드폰의 정보를 수집, 스팸메시지 발송 등에 악용하는 악성코드가 발생하는 등 스마트폰을 겨냥한 공격은 점차 증가하고 있다.
원론적으로 PC 환경에서 일어나는 보안 이슈는 스마트폰 환경에서도 모두 발생할 수 있다는 것이 보안 전문가들의 견해로, 스마트폰이 일반화되고, 스마트워크가 확산될수록 스마트폰 악성코드도 더욱 증가할 것으로 예측된다. 데스크톱 PC 환경과 마찬가지로 스마트폰의 보안을 강화해 각종 정보유출을 방지하고, 네트워크 안정성이 저해되는 상황을 방지해야 하는 것이다.
다른 한편으로는 스마트폰 등 모바일 기기의 관리도 강화돼야 한다. 예를 들어 분실시 원격지에서 관리자에 의해 스마트폰을 초기화, 스마트폰 기기 내부의 기업 정보와 분실폰을 통한 내부 네트워크 접근을 차단하는 것은 스마트폰 초기 암호화처럼 가장 기초적인 보안 관리 방안이라고 말할 수 있다. 이에 더해 업무와 무관하거나 보안 취약성을 지닌 애플리케이션과 기기를 통제하는 등 중앙집중적 관리 시스템 마련으로 스마트폰의 보안 강화를 꾀해야 할 것으로 지적된다.
모바일 환경 지원 ‘속속’
스마트폰의 대두로 모바일 보안이 화두가 되면서 올해 수많은 보안 솔루션이 등장했다. 우선 시만텍, 맥아피, 트렌드마이크로 등 글로벌 백신기업이 해외시장에서 공급하던 모바일 백신을 국내 시장에서도 선보이기 시작했으며, 안연구소의 ‘V3모바일’을 비롯 쉬프트웍스, 잉카인터넷, 하우리 등의 국산 기업들도 속속 스마트폰 백신을 출시하면서 시장 경쟁에 뛰어들었다.
또한 중앙관리 기능은 물론 네트워크 접근제어(NAC), 분실 시 원격에서 스마트폰을 초기 상태로 만들어 정보유출을 방지하는 원격삭제 기능 등을 제공하는 모바일 보안 솔루션도 등장했으며, 맥아피EMM과 같이 스마트폰의 카메라나 애플리케이션의 기능을 차단하는 등 스마트폰에 대한 강력한 중앙집중적 관리를 구현하게 하는 솔루션도 시장에 등장했다.
금융권에서도 스마트폰 환경에 대응하기 위해 스마트폰뱅킹 등을 도입하면서 전자금융 거래의 안전성을 보장할 수 있는 인터넷뱅킹 보안 전용 솔루션도 등장했다. 안철수연구소가 스마트폰 환경에서 전자금융거래를 보호할 수 있는 특화된 솔루션인 ‘V3모바일플러스’, 최근 인프라웨어에 인수된 쉬프트웍스가 선보인 ‘브이가드’ 등이 대표적이다. 이들은 금융 애플리케이션을 방해할 수 있는 사전 프로세스 검사 등을 수행해 스마트폰 환경에서 전자금융 안전을 보장하는 기능을 수행하는 솔루션이다.
네트워크단에서도 기존 보안 기능에 스마트폰 및 모바일 보안 기능을 더하는 작업이 빠르게 진행됐다. 주니퍼는 네트워크 보안 장비인 ‘SRX 게이트웨이’에서 제공하는 ‘앱트랙’에 모바일 트래픽과 애플리케이션 분석 기능을 추가해 유선 네트워크와 마찬가지로 네트워크 가시성을 확보하게 했으며, ‘주노스 펄스’에서는 백신은 물론 분실/도난시 초기화 기능 등과 같은 스마트폰 보안까지 제공한다는 계획을 밝혔다.
시스코 또한 VPN 제공뿐 아니라 모바일 트래픽의 유해 트래픽을 차단하고, 악성코드 감염 등으로 인해 기밀정보나 개인정보가 유출되는 것을 방지하는 콘텐츠 보안 기능을 제공하는 ‘애니커넥트 시큐어 모빌리티’를 선보였으며, 포티넷과 라드웨어도 모바일 트래픽에서의 유해 공격을 차단하는 기능을 네트워크 보안 솔루션에 추가하는 등의 대응에 나섰다.
이외에도 지니네트웍스, 유넷시스템 등 NAC 기업도 스마트폰까지 보안 상황을 체크, 네트워크 접근제어가 가능한 기능을 추가했으며, 넥스지가 스마트폰 IPSec VPN 개발 진행에 나서는 등의 모습을 보였다. 소프트캠프, 파수닷컴, 마크애니 등 기업용 DRM 업체도 스마트폰 환경 지원에 나섰으며, SK C&C와 인포섹은 단말 보안을 포함해 애플리케이션 보안, 네트워크 보안, 통합관리 기능을 지원하는 9가지 솔루션으로 구성된 엠쉴드를 선보이는 등 스마트폰은 보안 업계의 화두가 됐다.
하지만 아직까지 스마트폰 보안 시장은 초기에 불과하다. 스마트뱅킹을 위한 보안 솔루션은 전자금융거래시 보안 사고 예방을 위한 금융권의 빠른 도입으로 활성화된 모습이지만, 그 외의 부분은 아직 시장 준비단계라고 할 수 있다. 물론 무선인증 시장은 스마트폰 확산의 후광효과로 성장세로 전환했지만, 스마트폰 보안 시장의 폭발적 성장을 예상하기에는 아직 풀어야 할 숙제가 존재한다.
우선 초기 도입이 시범적으로 진행될 뿐 아니라 업무 범위도 제한적이라는 것이다. 스마트폰과 관련한 위협은 수많은 시나리오가 존재하며, 또 이에 대응해 솔루션이 출시되고 기존 보안 솔루션의 업그레이드가 진행되고 있다. 그러나 위협이 아직 가시화되지 않은 상황에서 보안 솔루션의 성능을 입증하기는 쉽지 않은 일이다.
기업의 입장에서 스마트워크를 통한 효율성 향상은 욕심이 나는 부분이지만, 보안 위협을 간과하고 스마트워크를 무작정 확대할 수는 없는 일이다. PC 환경을 그대로 스마트워크로 옮긴다는 발상은 무척 위험한 것으로 초기에는 이동성이 필요한 분야에만 제한적으로 사용되다가 점차 확대될 것이며, 이에 발맞춰 위협도 가시화되고, 스마트워크 보안 시장의 본격 성장도 기대할 수 있을 것으로 전망된다.
