엔터프라이즈 모빌리티 환경에서 BYOD(Bring Your Own Demand) 정책이 확산됨에 따라 기업들은 이전보다 좀 더 심층적인 수준에서 모바일 단말기 상의 기업 데이터와 앱을 관리할 필요가 있다. 이러한 기업들에게 가트너는 모바일 앱 컨테이너 기술을 고려하라고 적극 권하고 있다.
가트너는 올해 2월 ‘기업 데이터 관리 및 보안을 위한 모바일 애플리케이션 컨테이너 기술 개요(Technology Overview of Mobile Application Containers for Enterprise Data Management and Security)’라는 보고서를 발표했으며 가트너의 협조를 얻어 아래에 전문을 소개한다.
모바일 단말기와 네트워크 기술 발전에 따라 사용자들은 기업의 소유가 아닌 단말기로 더욱 복잡한 데이터에 액세스할 필요가 늘고 있다. IT와 네트워크 책임자들은 컨테이너화(containerization)가 기업 내외부 애플리케이션과 데이터에 대해 어떻게 보안과 관리를 개선시킬 수 있는지 이해해야 한다.
중요 발견(Key Findings)
·새로운 플랫폼과 앱을 지원하는 컨테이너들은 모바일 단말기 상에서 기업 데이터를 안전하게 관리할 수 있도록 지원하는 신기술이다. 모바일 단말기는 PC와 달리 폐쇄적인 파일 시스템을 갖고 있다.
·기업 및 기관들은 어떤 모바일 OS 플랫폼을 지원할지, 또 자사에 어떤 기술이 가장 적절할지 등을 기준으로 다양한 컨테이너 업체들과 컨테이너 기술들 중 선택할 수 있다. 다만 기업이 요구하는 보안 수준과 기타 정책들에 기반을 두고 결정을 내려야 한다.
·모바일 컨테이너 시장은 이제 막 형성되었다. 아직 표준도 없으며 뚜렷한 기술 리더도 없다. 하지만 이 시장은 중요한 기술을 내포하고 있다. 모바일OS 업체 고유의 모바일 단말 파일 시스템은 독특한 아키텍처를 갖고 있으며 시스템 전반에 걸친 관리 및 보안 제어를 어렵게 만들기 때문이다.
·버추얼 컨테이너들은 신기술이며, 데스크톱 가상화(VDI) 시스템들과 분리되어 독자적으로는 판매되지 않는 경우가 더러 있다.
권고안(Recommendations)
·모바일 단말기에서 지원되는 민감한 기업 데이터와 콘텐츠에 컨테이너 사용을 평가하고 임직원 프로파일에 기반을 둔 사용 예(use case)를 만들어라
·적용하기에 앞서 사용자와 데이터 요구 사항을 개발하라. 그리고 모바일 버추얼 컨테이너를 고려할 때 데스크톱 및 모바일 가상화에 대한 전략도 평가하라.
·컨테이너 기술(솔루션) 기업의 기술적, 재무적, 그리고 조직적 실행 가능성을 평가하라. 컨테이너가 신생 기술이기 때문이다.
·듀얼 페르소나(dual-persona) 방식 컨테이너를 사용했을 때 사용자 경험(UX)에 미치는 영향을 테스트하라.
전략 계획 전망
2017년경이면 기업들의 70% 가량이 최소한 동일 벤더의 컨테이너 두 가지 방식을 지원할 것이다.
기업들이 알아야 할 것
스마트폰과 태블릿PC가 기업 클라이언트 컴퓨팅 단말기의 주류가 되기 일보 직전이다. 또 Kbps에서 Mbps로 네트워크 전송 속도가 계속 빨라지면서 사용자들은 이메일 이상의 데이터를 모바일 환경에서 액세스하길 바란다. 기업들은 임직원들의 단말기에 있는 업무 데이터를 안전하게 관리할 수 있는 솔루션을 원한다.
기업들은 모바일 전략을 평가해야 한다. 또 그 전략에는 윈도 x86 환경이 아닌 모바일 플랫폼에 저장되는 기업 내외부 애플리케이션과 데이터에 대해 발전된 보안 및 관리를 제공할 수 있도록 컨테이너화 신기술 사용이 포함되어야 한다.
분석
모바일 단말기와 네트워크 기술이 발전함에 따라 사용자들은 단지 이메일이 아닌 그 이상의 복합적인 데이터들에 액세스하길 원한다. 기업들은 임직원 단말기에 있는 회사 정보를 관리하고 보호할 수 있는 솔루션을 모색해야 한다. 이는 BYOD(Bring Your Own Device) 트렌드로 유발되는 현상이다. 이제 막 등장한 기술이긴 하지만 컨테이너화는 모바일 기기에 있는 기업 내외부 애플리케이션과 데이터에 대해 향상된 관리 및 보안을 제공할 수 있다. 이 보고서는 폐쇄형 파일 시스템 단말기, 즉 iOS, 안드로이드, 윈도폰8과 윈도RT용 컨테이너 전략을 다룬다.
기술 설명
오늘날 모바일 플랫폼은 두 개의 기본 파일 시스템 철학으로 이뤄진다. 개방형 파일 시스템(x86의 윈도)과 폐쇄형 파일 시스템(iOS, 안드로이드, 윈도폰8, 윈도RT, 블랙베리10)이 그것이다.
폐쇄형 파일 시스템에서 한 애플리케이션은 다른 애플리케이션들의 파일에 쓰기가 허용되지 않는다. 전체 단말 이미지를 관리하거나 백업하려는 애플리케이션은 폐쇄형 아키텍처에 위반된다. 전통적인 PC 관리 툴들이 폐쇄형 아키텍처에 사용될 수 없기 때문에 이러한 폐쇄형 모바일 플랫폼을 관리하기 위해 두 가지 방식의 솔루션이 등장했다. MDM(모바일 단말 관리)이라는 정책 관리자와 컨테이너가 그것이다.
MDM은 사용자 행동을 제어하고 기업 정책을 따르도록 한다. 컨테이너는 기업 및 외부(서드파티) 애플리케이션에 대해 보다 심층적인 정책들을 추가할 수 있도록 해준다. 또 기업 데이터를 위해 영역을 분리하는 것도 가능하며 이는 종종 세컨드 페르소나, 듀얼 페르소나로 불린다.
모바일 컨테이너화는 단말기 내의 로컬 혹은 버추얼 데이터에 대해 파티션을 적용해 관리 및 보안을 제공한다. 모바일 단말기에서 앱이 컨테이닝되면 안전한 업무 영역이 생성된다. 이 업무 영역에 기업의 관리 툴이 지정하는 정책들이 적용된다. 모바일 컨테이너 기술의 1차적 효과는 모바일 단말기에서 기업 데이터 유출을 막는 것이지만 확대된 관리 및 원격 지원 기능으로 기업 모바일 오피스의 운영 효율성을 촉진시킬 수 있다.
모바일 앱 컨테이너 정책들은 계속 개발되고 있으며 이미 다양한 옵션을 제공한다. 각각의 앱에 대해 동일한 정책을 추가하거나 각 앱마다 별도의 정책을 적용할 수 있다. 또 싱글사인온(SSO) 또는 데이터 공유를 위해 앱들 간 커뮤니케이션 기능도 가능해졌다. 궁극적으로 모바일 앱 컨테이너 기술은 이동통신 서비스 업체가 한 단말기에 대해 개인용과 업무용 과금을 각각 분리해 청구할 수 있도록 해줄 것이다.
모바일 컨테이너 정책은 컨테이너 벤더와 방식에 따라 다양하게 제공된다. 표1은 모바일 컨테이너들에 의해 수행될 수 있는 정책들의 리스트다.
기술 정의
모바일 컨테이너에 대해서는 여러 가지 기술을 고려할 수 있다. 앱 개발 관점에서 아래와 같이 크게 세 가지 방식의 모바일 컨테이너 기술이 있다.
◇애플리케이션 중립적(Application-Neutral) 컨테이너=일명 애플리케이션 래핑(application wrapping)으로 불린다. 이는 애플리케이션 로직 외부에서 정책을 추가하는 것이다.
애플리케이션 2진 파일(바이너리)에 코드가 추가되는데, 이 코드는 모바일 정책들을 관리하고 강제할 수 있게 해준다. 이 코드는 앱이 구동될 때 삽입된다. 자동으로 바이너리와 캡슐화되어 정책을 적용하는데 일반적으로 2분 이내 수행된다. 정책들은 중앙 서버(MDM)와의 커뮤니케이션을 통해 동적 제어가 가능하다. 앱이 네트워크에 연결되어 있지 않을 경우 정책들은 변경 및 업데이트되지 않는다. 네트워크에 재연결되면 정책의 업데이트나 변경이 수행된다.
◇앱 특화(application-specific) 컨테이너=특정한 컨테이너 애플리케이션을 생성하는 것으로, 이 컨테이너 앱은 데이터를 호스팅하거나 SW 개발키트(SDK)를 제공한다. 모바일 정책을 시행하고 관리하는 네이티브 애플리케이션에 모바일 플랫폼 업체들의 API(proprietary API)를 구축함으로써 해당 애플리케이션 로직 내에 정책들을 로드할 수 있다. 이후 정책들은 대부분 MDM 시스템에 해당되는 운영 관리 툴에 의해 관리된다.
◇버추얼=버추얼 컨테이너 기술은 다시 세 가지 방식으로 나뉜다. 첫 번째는 데스크톱 가상화(VDI)에 기반을 둔다. 데스크톱 가상화 기능을 모바일 단말기로 확장한 것이다. 두 번째 및 세 번째 방식은 타입1 하이퍼바이저와 타입2 하이퍼바이저다.
△모바일 VDI/하이브리드 모바일VDI=서버에서 호스팅하는 데스크톱 가상화 기술처럼 모바일 단말기에서 가상화를 지원한다. 애플리케이션 구동과 데이터 저장은 원격에 있는 서버에서 수행하지, 엔드포인트(모바일 단말기)가 아니다. 하이브리드(온라인 및 오프라인 콘텐츠를 뜻함) VDI 시스템은 안전한 컨테이너 내에 콘텐츠 데이터의 오프라인 저장을 허용한다.
△타입1 하이퍼바이저= 이는 모바일 단말기 내에 가상머신(VM)을 운영하는 것이다. 특히 호스트(모바일 단말기) 하드웨어에 직접 작용하는 것으로, 한 단말기가 동시에 여러 종류의 OS를 구동할 수 있도록 해주는 기술이다. 따라서 타입1 하이퍼바이저는 단말기 제조업체에 의해 사전 설치되어야 하며, 이 때문에 모든 모바일 단말기 플랫폼을 대상으로 적용하기에는 한계가 있다. 타입1 하이퍼바이저를 채택한 단말기 모델은 제한적이며 대부분의 산업계에서 이 정도로 높은 수준의 보안을 요구하진 않는다.
△타입2 하이퍼바이저 = 모바일 단말기에 가상머신(VM)을 구동한다는 점에서는 타입1 하이퍼바이저와 같지만 타입2 하이퍼바이저는 OS 최상단에서 구동된다. 소프트웨어 VM이라고 할 수 있다. 모바일OS 업체, 플랫폼, 버전에 구애받으며 단말기에 사후 설치할 수 있다. 타입1 하이퍼바이저보다 적용하기 쉽다.
운영 요구사항
모바일 단말기 내 애플리케이션 혹은 서비스에 관한 난관 중 하나는 표준이 없다는 것이다. 상이한 플랫폼들(모바일OS들)이 다수 존재하며, 각 플랫폼마다 애플리케이션을 지원하고 관련 정책을 수행하는 데 고유한 기능을 갖고 있다. 애플, MS 등 일부 모바일OS 업체들은 일반 소비자들에게 최상의 사용자 경험(UX)을 제공하는 데 주력하고 있기 때문에 기업 환경의 정책을 지원하는 데 제한적이다. 따라서 기업에는 iOS가 최상의 솔루션이 아닐 수도 있다.
예를 들면 iOS는 실시간 에이전트와 외부(서드파티) 애플리케이션에 대해서는 백그라운드 프로세싱(멀티태스킹)을 허용하지 않는데, 이는 기업이 임직원들의 iOS 단말기에 대해 백그라운드로 모바일 관리 및 보안 정책을 수행할 수 없게 만든다.
또한 애플은 네이티브 애플리케이션이 다른 네이티브 애플리케이션 내부에서 구동되는 것을 허락하지 않는다. 한 장소에 있는 여러 애플리케이션들을 한 번에 컨테이닝하는 대신 iOS 앱마다 각각 보안 규칙을 내장해야 한다. 따라서 iOS 단말기에서는 듀얼 페르소나(개인 영역과 업무 영역을 분리하는 기능)를 구현할 수 없다. 그러나 iOS에 있는 컨테이너 앱 내부에서 웹 기반 앱들을 실행할 수 있다. 이는 듀얼 페르소나 기능을 설계하는 방법 중 하나다. 이 경우 iOS 단말기에서 컨테이너들은 구동되지만 영역 구분은 현재로선 불가능하다.
iOS 단말기에서 이 같은 문제들은 안드로이드 기반 단말기들과 대조된다. 안드로이드 기반 단말기들은 멀티태스킹과 듀얼 페르소나를 지원한다. 그러나 안드로이드 환경의 문제점은 너무도 많은 OS 버전들이 있다는 것이다. 안드로이드 4.0 이하 버전은 네이티브 암호화 및 정책 강제에서 보안과 기능상 제약이 있다. 가트너는 컨테이너 옵션을 고려하는 기업이라면 안드로이드 4.0 이상 단말기를 사용하도록 제한시킬 것을 권한다.
RIM(현 블랙베리)는 블랙베리10 단말기에서 RIM 고유의 컨테이너를 지원한다. `블랙베리 밸런스` 기능들을 업데이트한 것이다. MS 윈도폰8은 현재 모바일VDI 컨테이너만 지원`하며, 다른 컨테이너 기술은 올 하반기 이후 지원할 계획이다.
모바일 하이퍼바이저는 모바일OS에 따라 제약 받는다. 애플은 자사 단말기에서 하이퍼바이저를 허용하지 않고 있기 때문에 하이퍼바이저 기반 컨테이너 기술 또한 iOS 단말기에 적용할 수 없다. 가까운 시일 내 애플이 방침을 변경할 것으로 생각되진 않는다. 안드로이드 환경에서는 모바일 하이퍼바이저를 적용할 수 있다. 궁극적으로 4.0 버전 이상 안드로이드 단말기 대부분에서 타입2 하이퍼바이저를 사용할 것이다.
사용
업종에 상관없이 기업들은 모바일 데이터 관리와 보안 전략의 일환으로서 컨테이너 기술 사용을 평가해야 한다. 모바일 단말기 관리에 적극적인 기업들도 80% 이상이 컨테이너 기술을 사용하지 않고 있지만 셰어포인트나 기타 파일 시스템 등 기업 데이터 저장이 복잡해질수록 컨테이너 기술은 중요해진다.
기업은 회사의 데이터가 존재하는 모든 곳에 대해 제어권을 확보해야 하며 이메일에 첨부된 데이터에 대해서는 특히 그렇다. 모바일 단말기에서 회사 이메일 사용을 지원하는 기업들은 민감한 기업 데이터의 유출을 막기 위해 컨테이너 기술을 사용해야 한다.
하지만 이 경우 iOS의 네이티브 이메일 앱은 사용할 수 없게 된다. 애플이 기업의 이메일 보안에 요구되는 심층적인 정책 통합을 허용하지 않기 때문이다. 기업들은 모바일 단말기에서 회사 이메일 보안을 강화해야 하지만, 임직원들의 개인적인 네이티브 이메일 앱 사용도 허용해야 한다.
iOS 환경에서 컨테이너 기술은 래핑 또는 SDK를 통해 애플리케이션에 의한 데이터 분리를 지원할 수 있다. 그러나 개인 영역과 업무 영역 분리 혹은 듀얼 페르소나는 지원하지 못한다. 안드로이드 단말기는 둘 다 지원한다.
모든 기업 콘텐츠를 개인 콘텐츠와 분리하자는 듀얼 페르소나 시스템의 아이디어는 안드로이드 환경에서는 가능해졌다. 가트너는 기업이 업무 데이터를 임직원 개인 데이터와 구분하기 위해 듀얼 페르소나 시스템을 사용하길 권한다. 보안을 더욱 강화하고 관리 용이성을 높여줄 수 있는 방법이다. 듀얼 페르소나 사용으로 임직원 사용자 경험은 약화될 수 있지만 기업 IT에 의한 관리 및 보안에는 최선이다.
선택 가이드라인
현재 다양한 컨테이너 기술들이 출시되었으며 기업이 지원하는 모바일 단말기, 요구하는 보안 수준 그리고 시행에 필요한 정책들이 제품 선택의 근거다. 기업들이 다양한 모바일 단말기를 지원할 것으로 예상됨에 따라 2017년경이면 기업의 70% 이상이 최소한 두 가지 방식의 컨테이너 기술을 적용할 것으로 예상한다. 일부 컨테이너 제품들은 폭넓은 기능을 제공하기 위해 다중 컨테이너 방식을 지원하고 있다. 예를 들면 버추얼 컨테이너들은 오프라인 데이터 액세스를 지원하기 위해 때로 앱 중립적 방식과 앱 특화적 방식을 둘 다 포함한다.
애플리케이션 로직 외부에 정책을 구현하는 애플리케이션 중립적 컨테이너 기술은, 애플리케이션 로직 내에 정책을 구현하는 애플리케이션 특화적 기술보다 빠르게 구현할 수 있고 정책을 다이내믹하게 적용할 수 있다는 이점이 있다. 또 대부분의 모바일 플랫폼에서 사용할 수 있으며 기업 전용 앱이나 외부(서드파티) 앱을 둘 다 지원한다. 보안과 다른 요구사항에 따라 애플리케이션별 정책 변경도 가능하다.
애플리케이션 특화적 컨테이너 기술 또한 플랫폼들 간 다양한 정책들을 적용할 수 있지만 애플리케이션을 새롭게 개발할 때 안성맞춤이다. 기존 애플리케이션에 적용할 경우 재컴파일이 필요하며 심지어 재작성이 요구될 수 있다. 외부(서드파티) 앱일 경우 앱 제공업체가 애플리케이션 특화적 컨테이너 기술을 지원해야 한다. 이 때문에 애플리케이션 특화적 컨테이너 지원이 지연되거나 지원하는 앱이 제한적일 수 있다. 기업은 서드파티 앱 업체와 라이선스를 체결하고 직접 앱들을 래핑할 수도 있다.
외부 앱과 자체 앱을 둘 다 관리하기 원하는 기업들은 애플리케이션 중립적 컨테이너 기술을 선택하는 것이 좋다. 유연성이 뛰어나기 때문이다. 그러나 기업들은 외부 앱을 래핑할 경우의 한계를 인지하고, 앱 개발자와 저장에 대한 법적 가이드라인을 준수해야 한다.
가상데스크톱(VDI) 전략을 가진 기업들은 모바일VDI 벤더들을 평가해야 한다. 전형적인 VDI는 온라인 액세스만으로 제한하고 있지만 모바일VDI 벤더들은 모바일 사용자가 항상 네트워크 접속 가능 지역에 있진 않으며 오프라인 상태에서도 콘텐츠 열람과 수정을 위해 액세스하길 원한다는 것을 알고 있다.
많은 벤더들은 오프라인 액세스를 위해 하이브리드 버추얼 이니셔티브를 고려하고 있다. VDI가 사용되는 안전한 컨테이너 안에서 래핑된 네이티브 애플리케이션을 사용하는 것이다. 지난해 발표된 시트릭스시스템즈의 클라우드 게이트웨이2 서버에서 이를 구현했다. 그러나 모바일VDI가 지원하는 앱 숫자는 제한적이며 서드파티 앱만 지원한다.
컨테이너 기술을 사용할 경우 관련 정책들을 구현하고 관리할 수 있는 툴이 필요하다. 컨테이너 제품의 일부로서 특정 관리 툴이 제공될 수 있으며 또는 MDM이 컨테이너를 제공할 경우 MDM 시스템에서 관리 기능을 제공할 수 있다. 컨테이너 기술들은 MDM 제품의 표준 기능으로 자리잡을 것이다.
MDM은 기업 애플리케이션과 콘텐츠를 관리하는 데 더욱 통합적인 어프로치를 제공할 것으로 전망된다. MDM 제품들은 PC 관리 툴, 모바일 단말기 OS들, 보안 제품 그리고 애플리케이션 개발 제품들과 합쳐질 것이다. 이러한 트렌드 때문에 독자적인 컨테이너 제품들에 대해서는 2~3년 투자 전략 차원에서 고려해야 한다.
기술 제공업체
컨테이너화 기술은 모바일 영역 안팎에 다양한 제공업체들이 있다. 가장 활발한 곳이 MDM 업체다. 이 분야 많은 벤더들이 단순 정책 관리 이상으로 MDM을 확대해 심층적인 애플리케이션과 콘텐츠 관리 및 보안 지원을 모색하고 있다. MDM이 폭넓게 적용되고 MDM과 컨테이너 기술이 상호 보완하면서 MDM 업체들의 컨테이너 기술 제공은 성공적일 것으로 기대된다.
그러나 기업들은 MDM 제공업체들의 운영 관리 툴 내에 적절히 배치되는 컨테이너 정책을 수립, 관리할 필요가 있다. MDM의 부분 집합이라고 할 수 있는 MAM(모바일 앱 관리) 제공업체들 중 일부는 모바일 앱 개발 플랫폼(MADP)을 제공한다. 또 자사의 컨테이너 기술에서 일부 MDM 기능들을 제공하는 곳도 있다. MAM은 MDM 혹은 다른 기술 제공업체들에 의해 수용될 수 있다.
모바일 시장에 들어오려 하는 기타 기술 업체들로는 데스크톱 가상화(VDI) 업체들이 있다. 많은 사용자들이 PC를 모바일 단말기로 대체하려 하고 있어 VDI 벤더들이 솔루션의 기능을 모바일 단말기로 확대하려는 것은 자연스러운 현상이다.
모바일 VDI는 대단히 새로운 제품이지만 지난 1년 동안 많은 기술들이 시장에 등장했으며 또 구현되었다. VDI 벤더들에는 강력한 시장 기회가 있는데, 이는 그들이 어떤 플랫폼(PC 혹은 매킨토시)에나 데이터를 구동할 수 있도록 해온 경험이 있기 때문이다.
또 VDI 업체는 고객에게 단말기를 쉽게 관리할 수 있다는 강점을 제공했으며 무선 네트워크에서 지연(레이턴시)을 줄이고 속도를 향상시킬 수 있도록 해주는 자사만의 프로토콜을 갖고 있다. VDI 업체들은 모바일 단말기에서 속도를 높이기 위해 데스크톱 애플리케이션 최적화의 과제에 부딪칠 것이다.
표2는 주요 컨테이너 벤더들과 그들이 지원하는 핵심 기능이다.
전자신문인터넷 테크트렌드팀
박현선기자 hspark@etnews.com
