기업 보안 인증 체계에 모바일 포함시켜야
모바일 오피스를 구축하는 기업들은 흔히 보안 문제에 부딪치게 된다. 스마트폰이 손 안의 PC라고 불리지만 PC는 아니기 때문에 기존의 보안 인프라로는 해결할 수 없는 부분들이 많기 때문이다.
◇안전한 인증방식 구현과 무단열람 제한=스마트폰은 아직 PC처럼 다양한 인증방식을 적용하기가 어렵다.
PC와 동일한 인증방식을 사용해 싱글사인온을 구현한다면 훨씬 편리하고 안전하게 모바일 오피스를 이용할 수 있겠지만, 아직은 PC와 스마트폰 환경을 모두 지원하는 싱글사인온 제품은 없다. PC와 달리 스마트폰은 인증정보 등을 내부 메모리에 자유롭게 저장할 수 없는 만큼 기능을 구현하는 데 한계가 있다.
보다 안전한 인증을 위해서는 ID와 비밀번호 외에 MAC 어드레스, IMSI, MIN, MDN 등 단말기 정보를 포함해 인증체계를 구현하는 것이 바람직하다. 엿보기 및 무단열람을 제한하기 위해서는 세션 종료 시간, 화면 보호, 애플리케이션 실행시 비밀번호를 확인하는 `앱 실행인증` 등의 기능을 구현하는 것이 좋다.
로그인에 필요한 인증정보는 암호화되거나 최소한 해시(Hash)처리 돼야 하며 인증 값을 임시로 저장하는 경우에는 SD카드 등 외부 매체가 아닌 내부 메모리 등에 암호화해 처리돼야 한다.
◇기업 네트워크 접속에 따른 보안 위협=모바일 오피스를 도입하는 많은 기업들이 기업 내부에서는 보안을 이유로 3G망을 이용한 접속만을 허용하는 경우가 많다.
기업의 보안 관리자들이 가장 우려하는 보안위협이 테더링(tethering)과 애드혹(Ad-Hoc) 서비스다. 이 두 가지를 통해 침입차단시스템이나 침입탐지시스템, 정보유출방지시스템 등을 우회한 네트워크 접속 경로가 만들어지고 이를 통해 정보가 유출되거나 비인가된 네트워크 연결이 가능해진다.
또한 와이즈(Wyse)와 같은 원격접속 앱을 이용할 경우 스마트폰을 이용해 PC나 서버를 원격으로 접속해 작업할 수 있다. 봇넷(Botnet) 앱에 의해 감염된 좀비 단말기 역시 특정 사이트에 트래픽을 유발하거나 특정 단말기에 문자메시지(SMS)를 전송함으로써 부정과금 및 웹 사이트 마비, 단말이용 불능 등 PC보다 더 큰 모바일 분산서비스거부(DDoS) 공격을 일으킬 수 있다.
◇엔드 투 엔드 보안과 문서 보안=기존 유선 환경에서와 같이 스마트폰을 통해 처리 · 전송되는 중요 데이터와 이를 이용한 서비스는 안전하게 처리 · 전송돼야 한다. 이를 위해 필요한 것이 엔드-투-엔드 보안으로 비화통신(음성과 VoIP)과 시큐어 이메일, 시큐어 MMS 등이다.
애플리케이션에서는 ID와 비밀번호 등 인증정보 및 중요 정보 전송시 SSL(Secure Socket Layer)과 TLS(Transport Layer Security)를 적용할 수 있으며, VPN을 이용한 가상사설망을 구성해 사용자 인증 및 안전한 데이터 처리를 해야 한다. 물론 공개키기반구조(PKI)나 암호프로그램을 이용해 중요 정보만 암호화해 전송할 수도 있다.
현재 스마트폰의 문서보안은 PC에서 작성한 보안문서를 이미지로 변환 암호화해 중계서버에 두고, 이 중계서버에 접속해 스트리밍 형태로 문서를 읽는 방식이 주를 이루고 있다.
이 방식은 중계서버에서 모든 보안 문서를 복호화하기 위해 관리자 키가 필요하다는 것과 중요 문서가 집중화된다는 이슈가 있다. 첨부문서 열람 시마다 중계서버에 접속하기 위해 3G망을 이용해야 하는 경우 요금이 발생한다는 부담도 있다. 또 네트워크 장애시 문서 열람이 불가능하고, 스마트폰에서 작성한 문서는 암호화 등 보안이 적용되지 않는다는 문제가 있다.
최근에는 PC와 동일하게 문서보안(DRM) 모듈을 스마트폰에 설치해 스마트폰에서 생성한 문서를 암호화하고 여기에 문서보안 정책에 따른 권한정보를 부여해 열람 및 복사, 화면캡처, 출력통제 등의 기능을 제공하는 모바일DRM 개발이 한창이다.
그러나 스마트폰이 PC에 비해 성능이 많이 떨어진다. 속도가 느리고, 메모리 등 스마트폰의 자원을 과다하게 사용하는 문제가 있다.
◇단말관리 및 중앙집중식 보안관리=스마트폰은 PC와 달리 스마트 업데이트 및 설치 유도, 원격 접속을 통한 유지보수 등 자동화된 배포 및 버전관리, 장애대응이 어렵다.
모바일 오피스를 도입하는 많은 기업들이 이러한 문제를 해결하기 위해 모바일디바이스관리(MDM) 솔루션 도입을 검토하고 있다. 최근에는 보안 솔루션에서 MDM 기능을 제공하는 통합관리 솔루션도 등장하고 있다.
스마트폰은 PC보다 분실 및 도난 위험도 훨씬 높아 원격에서 △단말잠금 △데이터 삭제 △위치조회 △USIM변경통제 △통화내역조회 등을 실행할 수 있는 원격잠금 및 정보삭제(Remote Lock&Wipe) 기능이 필수다.
많은 스마트폰 보안솔루션들이 제공하는 기능 중 하나가 잠금 및 정보삭제 기능인데, 단순히 비밀번호만을 사용해 원격통제가 가능하다면 오〃남용될 위험이 높다. 통신사의 고객센터에 전화해 처리하는 경우에는 기업정보 유출 및 별도 비용이 발생하고, 심야에는 처리되지 않는 제약이 따른다.
따라서 원격제어 전화지정과 비밀번호 등 2중 안전장치를 지원해야 하고 기업보안담당자에 의한 원격제어 등 보다 안전하고 기업 특성에 맞는 솔루션을 적용해야 한다.
이외에 필요한 기능 중 하나가 중앙집중식 보안 관리다. 관리자가 지속적으로 최적화된 정책을 업데이트할 수 있어야 하며, 스마트폰에서 발생한 로그 및 이벤트를 수집 · 분석해 할 수 있는 모바일 보안관제 시스템이 필요하다.
유효선 SK C&C 보안사업TF 부장 yhscnc@sk.com
<표> 기업 모바일 오피스 보안 요구사항
<기사 목차 박스>
`모바일 오피스와 스마트폰 보안` 연재 기사
①악성코드보다 위험한 모바일 앱
②기업 모바일 오피스 구축시 고려사항
③기업의 모바일 보안 인프라
>>①, ②번 기사는 CIO BIZ+ 온라인(www.ciobiz.co.kr)에서 보실 수 있습니다.
