모바일 보안, MDM 둘러싼 두가지 관점

개인소유의 모바일 기기로 회사 업무를 보는 BYOD 시대가 눈 앞으로 다가오면서 모바일기기관리(MDM)을 바라보는 두 가지 관점이 엇갈렸다. MDM을 확장된 보안에서 접근해야 할지, 아니면 별도의 보안적인 접근이 필요한 것인지에 대해서다.

지난 7~8일 이틀 간 제주 서귀포시 샤인빌 럭셔리 호텔에서 열린 '제10회 한국침해대응팀협의회 워크숍'에서는 국내·외 기업들이 'MDM'을 보는 서로 다른 관점을 제시됐다.

MDM은 기기 전체를 통제할 수 있기 때문에 앱만 별도로 관리해야 한다는 입장과 모바일오피스에 적용될 수 있는 여러 가지 관리적인 기능들을 추가해 '한국형 MDM'을 만들어야 한다는 시각이다.

MDM은 모바일기기가 대중화되면서 나온 개념으로 기기를 분실했을 때 위치를 찾아주고, 회사 내에서는 탑재된 카메라를 사용하지 못하게 하는 등의 기능을 수행한다. BYOD 시대에 기본적인 기기 관리 수단으로 주목받는 분야다.

이를 두고 7일 주제발표자로 나선 윤광택 시만텍 코리아 이사는 개인이 사용하는 기기 중 일부를 업무용으로 쓴다고 해서 개인용 앱이나 데이터까지 모두 통제하는 것은 사생활 침해 문제가 생긴다고 말했다. 그는 또 시만텍을 포함한 미국 IT업계에서는 개인용과 기업용 데이터를 어떻게 효율적으로 구분할 수 있을까를 중요한 문제로 생각해왔다고 말했다.

이 같은 문제를 해결하기 위해 시만텍이 제시한 모바일 보안책은 '모바일애플리케이션매니지먼트(MAM)'이다. 기기에 대한 사용권한은 개인에게 주는 대신에 애플리케이션만 따로 관리하겠다는 것이다.

이외에 회사 업무에 필요한 보안기능들은 '시만텍 O3'라는 별도의 클라우드 보안솔루션을 통해 해결하겠다는 설명이다. 클라우드 서버를 통해 모바일 기기를 통한 파일 공유, 개인 사용자 인증 등의 업무를 수행토록 해 기기 자체에 대한 개인의 소유권을 보호하면서 보안성도 높이겠다는 전략이다.

국내 MDM 1위 기업인 지란지교소프트 강정구 팀장은 조금 다른 시각에서 MDM을 바라봤다. 한국형 MDM은 기존 MDM을 확장한 개념이라는 설명이다.

그가 국내 금융, 기업, 기관 등 고객사들과 만난 자리에서 가장 많이 듣는 이야기들은 모바일 보안을 하라는데 이것을 어디에 어떻게 적용해야 할지 모르겠다는 고민들이다.

금융감독원이 제시하는 가이드라인에 따라 국내 기업들이 모바일 오피스를 구축하기 위해서는 보안적합성심사를 통과해야 한다. 여기에는 사내 사용시 화면 캡처를 금지하고, 권한 탈취, 임의로 시스템을 수정한 일명 '탈옥폰'의 사내 사용 금지 등의 내용이 포함된다.

그러나 실제로 이를 구축하기 위한 방법이나 개념을 인지하고 있는 경우는 거의 없다고 그는 설명했다. 새로운 트렌드로 자리잡고 있는 모바일오피스에 대응은 해야겠으나 방법을 몰라 전전긍긍하는 일들이 벌어지고 있다는 말이다.

강 팀장은 이 때문에 기기관리는 물론 정부기관에서 제시하는 지침을 준수하면서 모바일오피스를 구현하기 위해 MDM이라는 개념 속에 업무용 앱의 보안, 배포관리, 모바일 기기 출입통제 등의 기능을 모두 포함하는 '한국형 MDM'을 만들어야 한다고 강조했다.

모바일 기기를 관리한다는 면에서 MDM이라는 용어를 사용하되 여기에 여러가지 보안기능들을 요구사항에 따라 추가하는 형태로 국내 모바일 보안 시장이 형성될 것이라는 주장이다.

지금까지는 클라우드 보안에 대한 신뢰가 낮고, 개념자체가 생소한 우리나라에서는 '한국형 MDM'에 무게가 실려있다.

이밖에도 이날 주제발표에서는 ▲악성코드 추적자(블루코트) ▲2012 NAC가 뿔났다(지니네트웍스) ▲꼼짝마라 APT 공격(IBM) ▲윈도8 메트로스타일(MS) 등 보안담당자들을 위한 유익한 정보가 소개됐다.

정태명 한국침해사고대응팀협의회 회장은 앞으로 보안은 소프트웨어(SW)를 넘어 자동차, 메디컬 등 핵심사업군을 아우르는 서포팅 조직으로 거듭나야 한다며 지식경제부, 방송통신위원회, 행정안전부 등은 물론 콘텐츠를 담당하는 문화체육관광부 등 관계부처를 아우르는 전담조직이 필요하다고 강조했다.