국가정보원이 '안드로이드 운영체제(OS) 모바일 단말 보안관리제품' 국가용 보안요구사항을 전면 개정한다. 'iOS·iPadOS용 보안요구사항 수립 후속작업으로 안드로이드 13 업데이트 등 보안 환경 변화를 반영한다.
국가정보원은 안드로이드용 모바일 기기 관리(MDM) 국가용 보안요구사항을 개정키로 하고 최근 관련 업계와 비공개 회의를 개최했다. 국가용 보안요구사항은 국가·공공기관에 도입하는 정보기술(IT)기기·장비의 보안 검증 기준이다. 국가·공공기관에서 스마트폰 등 기기를 업무용으로 사용하려면 국가용보안요구사항을 만족하는 MDM 제품을 탑재해야 한다.
이날 회의 내용에 따르면 국정원은 현 '스마트폰 보안관리제품 보안요구사항' 명칭을 '안드로이드용'으로 변경하고 세부 내용을 개정한다.
iOS용 MDM 보안요구사항이 제정됨에 따라 MDM 보안요구사항을 양대 운용체계에 맞춰 운영하려는 조치다.
안드로이드용 MDM 보안요구사항은 안드로이드 13 업데이트를 주로 반영한다.
보안업계 관계자는 “안드로이드 13에서 파일 암호화, DNS 서버 통신 방식 설정, 파일·와이파이 권한 등이 업데이트됐다”면서 “개정안에도 이러한 내용이 반영될 것으로 안다”고 말했다.
국정원은 이와 함께 구글 엔터프라이즈 시행을 염두에 두고 업계 의견수렴을 이어간다.
구글 엔터프라이즈는 '개인정보보호 강화를 위한 HW·SW 통합 정책' 일환이다. 구글은 다앙한 개인정보보호 기능을 엔터프라이즈모바일통합관리(EMM) 플랫폼 기반의 안드로이드 엔터프라이즈 프로그램을 통해 구현하도록 유도하고 있다.
애플의 '애플비즈니스매니저(ABM)' 처럼 구글 엔터프라이즈를 통해서만 업무용 기기를 사용할 수 있도록 의무화할 예정이다.
안드로이드 엔터프라이즈 플랫폼을 통해 MDM을 운영하면 디바이스 관리자(DA) 권한이 제한된다. 스마트폰 내부에 업무용, 개인용 공간이 가상화로 구분되고 기존처럼 에이전트를 심어 MDM으로 기기를 제어할 수 없다. MDM 개발업체는 새 제품을 개발해야 하고, 사용 기관도 기존 시스템을 전면 개편해야 한다.
국정원은 공공기관 업무용 스마트기기의 대다수가 안드로이드 기반으로 운영되고 있어 파급이 적지 않을 것으로 보고 사전 대응에 나선 것으로 보인다.
보안업계 관계자는 “구글의 엔터프라이즈 의무화 정책이 언제 시행될지 구체적 시기가 확정된 것은 아니다”라면서 “다만, 구글이 방향성을 명확히 했고 이에 따라 새로운 MDM 개발 때 필요한 보안요구사항도 이전보다 복잡해질 것”으로 예상했다.
최호기자 snoop@etnews.com