[칼럼] 기업 보안, '분실 대처'와 '유입 통제'에서 시작된다

#MS #기업보안 #기획 #마이크로소프트 #보안
강일용 zero@itdonga.com

스마트폰과 태블릿PC가 대중화되면서 하나의 업무용 디바이스를 사용하는 것이 아니라, 위치와 장소에 맞게 적절한 디바이스를 선택적으로 활용해 업무를 처리하는 것이 일상이 됐다. 이렇게 개인용 디바이스가 많아진다는 사실은 개인 시간과 업무 시간의 경계가 모호해진다는 것을 의미한다. 비즈니스 조직에게 또 다른 전략이 필요하다는 것이다.

몇 년 전만 하더라도 개인용과 업무용 디바이스에 대한 명확한 구분을 통해 보안과 비즈니스를 통제할 수 있었다. 하지만 두 영역의 디바이스가 자연스럽게 연결되고 있는 흐름은 이제 거스를 수 없는 대세다. 우리는 이를 IT의 소비자화(Consumerization) 혹은 BYOD(Bring Your Own Device)라고 부른다. 이를 통한 유연한 업무 처리는 개인 삶에 대한 가치 및 업무 효율성 향상이라는 긍정적인 요소를 제공하지만, 기업에게는 또 다른 고민 거리를 숙제로 안겨준다.

한 조사 결과에 따르면 94%의 비즈니스 조직이 2013년내로 디바이스에 대한 조직 내 정책을 만들겠다는 의지를 밝혔다. 디바이스를 보안이나 규정이라는 사유로 마냥 막기에는 업무처리에 긍정적인 요소가 크기에, 더 이상 이를 수수방관하지 않고 적절한 프로세스와 지원 범위를 정하겠다는 것이다. 개인 디바이스 활용에 대한 순기능적인 측면이 많다는 것에는 동감하나, 수적으로 팽창하고 있는 디바이스는 보안이라는 중요한 포인트를 기업에게 안겨주고 있다. 앞서 언급한 94%의 비즈니스 조직 내 IT 팀의 85%가 보안 걱정을 하고 있다는 것이 이를 뒷받침하는 사실이다.

디바이스 분실에 대한 대책을 세워야 한다

사용자가 활용하고 있는 디바이스에 대한 보안 걱정 중 가장 큰 분야는 디바이스 분실 대책이다. 디바이스는 기본적으로 컴퓨터와 유사한 형태이기에, 분실 시 내부 데이터를 추출할 수 있다. 과거 분실된 노트북에서 하드 디스크를 추출해, 이를 다른 컴퓨터에 연결한 후 데이터를 보던 것과 동일하다. 디바이스를 분실했을 때 유출을 막으려면, 데이터 저장 디스크를 암호화하는 기본 정책을 시행해야 한다.

우리가 가장 많이 사용하는 윈도(Windows) 플랫폼에서는 윈도 비스타 이후부터 비트락커(Bitlocker)라는 기술을 제공하고 있다. 비트락커 기술은 하드웨어에 장착된 TPM(Trusted Platform Module, 신뢰할 수 있는 플랫폼 모듈)을 이용해 내장된 디스크를 암호화하므로, 해당 디바이스에서 하드 디스크를 추출하면 데이터 확인이 불가능해진다. 하드웨어를 분실하더라도, 안에 저장된 소프트웨어를 지킬 수 있게 하는 기술이란 의미다. TPM이 없는 경우 사용자가 지정해 입력한 암호를 통해 데이터를 암호화하므로, 해당 기술을 적용하지 않은 하드웨어에서도 이를 활용할 수 있다.

비트 로커
비트 로커

물론 보안 기술은 하드웨어와 소프트웨어가 동시에 지원하는 경우에 더 안전한 것이 사실이다. 지난 3월 언론사 공격에 이용된 악성 코드의 경우 최신 하드웨어 기술과 소프트웨어 기술을 함께 적용한 디바이스에서는 운영 체제의 부팅 영역이 파괴되는 것을 방어할 수 있었던 것이 이를 뒷받침한다. 요새 보안 기술의 형태를 보면 하드웨어와 소프트웨어의 기술이 적절하게 연계되는 형태가 눈에 많이 띈다.

데이터 소거 기술은 선택이 아닌 필수

디바이스 데이터 소거(Wipe) 기술도 디바이스 분실의 좋은 대처 방안이다. 많은 디바이스가 네트워크 접속을 기본 전제로 하기에, 주기적으로 데이터를 동기화해야 하는 애플리케이션(앱)을 통해 디바이스에 데이터 소거 명령을 내리는 것이다. 데이터를 동기화하는 주요 시나리오에는 이메일에 대한 동기화가 포함되어 있다. 메일은 비즈니스에 필수 기술인 만큼 데이터 소거 기술과 결합되면, 보다 많은 사용자가 혜택을 누릴 수 있다. 디바이스를 분실했을 경우 본인의 메일 서비스에서 디바이스 데이터 소거 명령을 내려, 누군가가 디바이스의 암호를 풀고 들어온 후 데이터를 확인하려 할 때 디바이스를 공장 초기화 모드로 자동 리셋시키는 형태로 활용할 수 있다.

WIPE
WIPE

디바이스가 내부에서 외부로 유출된 경우뿐만 아니라, 해당 디바이스가 다시 조직 내부로 들어왔을 때의 보안 전략도 필요하다. 예전에는 사내에서 사용하는 디바이스만이 사내 네트워크에 접속할 수 있었다. 그러나 이제는 사내 네트워크에 외부에서 가지고 온 디바이스도 접속할 수 있다는 가정도 고려해야 한다. 디바이스가 사내에만 있었다면, 안전한 네트워크에서 활용한 것을 의미하기에 조금 안심해도 된다(물론 사내가 완전히 안전하다는 것은 아니다). 하지만 외부에서 네트워크에 접속한 디바이스라면 신뢰할 수 없는 네트워크에 있었던 셈이므로, 어떤 공격이나 보안 위협에 직면했을지 모르는 일이다.

높은 보안 등급을 가진 조직에 방문했다고 가정해보자. 방문 신청을 하고 내방 시에 소지품에 대한 간단한 검사를 받게 된다. 이 검사 시에 보안 유출, 또는 내부 보안을 위협할 수 있는 소지를 모두 차단하는 절차를 진행한다. 하지만 검사 시에 발견되지 않은 문제나 해당 차단 프로세스를 무력화할 수 있는 방법이 있을 가능성도 배제할 수 없다.

대부분의 보안 공격, 데이터 유출 시도는 허가되지 않은 디바이스로 네트워크에 접속한 후 진행된다. 디바이스와 사내 네트워크가 연결될 때, 정해진 보안 정책을 확인한 후 이를 위배했을 경우 네트워크 접속을 차단하는 기술이 있다면 어떨까? 또한 확인 절차를 단순히 최초 접속 시 한번 진행하는 것이 아니라, 지속적으로 확인해 추후 보안 위배 사항 발견 시 이를 확인하고 격리할 수 있는 기술이 필요한 시점이다.

이러한 기술이 이미 있다. 조직은 이를 하드웨어적으로 구현할 것인지, 소프트웨어적으로 구현할 것인지만 결정하면 된다. 더 높은 보안이 필요하다면 하드웨어와 소프트웨어를 모두 사용하면 된다. 윈도의 경우 네트워크 액세스 보호(NAP, Network Access Protection) 기술을 제공하고 있다. 이를 통해 디바이스의 운영 체제의 설정이 중앙 서버에서 지정한 형태가 아니거나 혹은 임의 변경되었다면, 네트워크를 격리해 해당 디바이스가 사내의 시스템에 접속할 수 없게 만들 수 있다. 외부 저장 장치(USB 드라이브 등)가 연결된 경우나 필수적으로 실행되고 있어야 하는 프로그램(자동 업데이트 설정, 백신 등)을 강제로 종료했을 경우, 이를 운영 체제가 감지해 네트워크를 격리해 시스템을 보호하는 기능도 갖추고 있다.

NAP
NAP

운영 체제가 모든 보안을 담당하는 것은 아니다. 여러 조사 결과에서도 알 수 있듯이 대다수의 보안 사고는 운영 체제에서 발생하는 것이 아니라, 인가되지 않은 앱(응용 프로그램)을 통해 발생한다. 사용자가 인지하지 못하게 앱을 구동시키고, 해당 앱을 통해 보안을 위협하는 것이다.

다양한 디바이스를 사내에서 활용하고 있는 IT 조직에서 또 하나의 고민 거리가 디바이스에 설치된 앱 제어다. 스마트폰, 태블릿PC에서 구동되는 앱에 대한 체계적인 관리가 잘 되고 있지 않은 것이 현실이다. 이를 컴퓨터까지 확장하면 더 심각한 상황이 초래된다. 조직 내에서 사용할 수 있는 앱과 사용할 수 없는 앱을 결정한 후, 블랙 리스트 방식(일단 모두 허용하고 불필요한 앱을 차단), 혹은 화이트 리스트 방식(일단 모두 차단하고, 필요한 앱을 허용) 형태로 제어해야 한다. 이를 통해 앱 통제가 가능해지고, 보안은 자연스럽게 향상된다. 마이크로소프트 역시 윈도7(Windows 7)부터 앱 락커(AppLocker) 기술을 제공해 중앙 서버에서 작성된 보안 규정에 따라 필요한 앱과 불필요한 앱을 구분하고, 이를 단순히 모니터링하는 수준에서 벗어나 웹 브라우저에 내장되어 구동되는 앱(웹앱)마저 차단할 수 있는 높은 수준의 보안을 제공하고 있다.

앱 라커
앱 라커

우리가 사용하고 있는 윈도 플랫폼은 사용자를 위한 기술이 대부분이라고 생각할 수 있다. 하지만 전세계 비즈니스에 활용되고 있는 주요 운영 체제이기에, 기업을 위한 많은 보안 기술도 기본 탑재돼 있다. 데이터 보안, 앱 보안, 나아가 앞선 글에서 얘기한 운영 체제 보안까지 종류도 다양하다. 이를 통해 보다 안전한 조직을 만들 수 있다. 더불어 기업은 보안이라는 기술 자체가 하나의 기술만으로 완성되는 것이 아니라, 양파 껍질과 같이 계층적 기술이라는 점을 고려해야 한다. 하나의 기술이 무력화되면, 다른 기술로 방어할 수 있어야 한다. 다시 말해 여러 자물쇠 기술을 이용해 하나의 자물쇠가 뚫리더라도 다른 자물쇠가 방어할 수 있는 시간적 여유를 벌어야 한다는 의미다.

공격자와 방어자의 끝나지 않는 전쟁터, 보안이라는 분야는 이제 더 이상 한 사용자, 혹은 작은 규모의 팀에서만 책임질 수 없다. 기업은 보안을 전담할 수 있는 팀을 꾸리고, 한시적이 아닌 중장기적인 보안 전략을 세워야 한다. 소 잃고 외양간 고치는 식의 해결이 아니라, 보안 사고가 일어나지 않게 한다는 최우선 과제 속에 여러 분야에서 보안에 대한 고려 사항을 재고해야 한다. 이러한 전략의 시작이 운영 체제에서 기본 포함된 기술을 활용하는 것이 이러한 전략의 시작이다. 운영체제의 보안 기술을 활용하면 할 수록 비용도 절감할 수 있을 것이리라 생각한다.

1부: '컴퓨터'는 잊어라, 이제 '디바이스'를 논하는 시대 - http://it.donga.com/13022/

2부: MS의 고민… 윈도8은 왜 변화해야만 했는가? - http://it.donga.com/13286/

3부: 오피스의 변신은 현재 진행형 - http://it.donga.com/13535/

4부: '소통'은 '업무'마저 바꾼다 - http://it.donga.com/13741/

5부: 악성코드와 보안, 끝나지 않는 전쟁 - http://it.donga.com/14013/

글 / 한국마이크로소프트 백승주(koalra@hotmail.com)
편집 / IT동아 강일용(zero@itdonga.com)

IT칼럼니스트 백승주
한국마이크로소프트 기술전도사(Evangelist) 및 IT칼럼니스트로 활동하고 있으며, 최신 IT 동향을 다루는 '꼬알라의 하얀집(http://www.koalra.com)'을 운영하고 있다.

#MS #기업보안 #기획 #마이크로소프트 #보안
IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.
관련 기사
이전 위로 목록 다음
인기 뉴스
최신 기사
리뷰
강의
생성AI길라잡이