휴대용 IT 기기를 활용해 시간과 장소에 대한 제약 없이 실시간으로 업무를 수행하는 ‘스마트워크’에 대한 관심이 높아지고 있다. 기업의 스마트워크 환경구축은 선택이 아닌 필수가 되었으며, 실제로 스마트 기기의 이용자 수가 폭발적으로 증가하면서 개인 IT 단말기를 이용해 단순 업무를 보는 사람이 많아지고 있다.
스마트워크에 대한 관심이 높아지면서 최대의 화두로 떠오르고 있는 이슈는 바로 ‘BYOD’이다. BYOD는 ‘Bring Your Own Device’의 줄인말로, 말 그대로 개인이 소유한 노트북, 스마트폰 및 태블릿 등과 같은 디바이스를 직장에서 업무용으로 사용하는 것이다.
BYOD는 기업의 입장에서 비용절감과 업무의 효율화를 실현할 수 있다는 장점이 있지만, 동시에 보안이 담보되지 않을 때 기업의 주요 불안요소가 될 수 있다는 단점도 있다. 많은 기업이 보안상의 문제로, 회사 내에서 개인 디바이스의 사용을 금지하고있다. 하지만, BYOD는 이미 IT 관리자들이 생각하는 것 이상으로 비즈니스 환경에서 깊이 자리잡고 있다.
IDC에 따르면 직원들이 개인 소유의 디바이스로 기업 정보에 접근하도록 허용하는 IT 의사결정자는 40%에 불과하다. 반면, 이와 같은 방법으로 기업 데이터에 접근하고 있는 직원은 이미 70%에 이르고있다.
현 시점에서 BYOD 트렌드를 부정하는 것은 의미가 없다. BYOD는 이미 빠르게 확산되고 있으며, IT 관리자가 갖고 있던 대부분의 우려는 현실이 되었다. 승인되지 않은 디바이스로 인한 보안 위협 가능성 증가, 데이터 손실 및 규정 위반, 그리고 인프라 통제력 상실과 같은 리스크들이 기업의 보안을 위협하고 있기 때문이다.
이런 상황에서 IT 관리자로서의 임무는 무엇일까? BYOD를 받아들이고 그에 따른 기업의 전반적인 모빌리티 및 보안 정책을 수립함으로써, BYOD가 효율적으로 업무에 활용될 수 있도록 하는 것이다.
■‘Yes’라는 답을 얻는 방법
우선, 직원들이 왜 자신이 소유한 디바이스를 직장에서 활용하려 하는지에 대해서 생각해보자. 그들은 편하고, 또 그 기기가 마음에 들기 때문이다. 직원들은 개인활동과 업무를 병행하기를 원하며, 이제 더 이상 둘 사이의 경계는 존재하지 않는다.
어떤 사람들에게는, 최신 기술을 소유하게 됨으로써 따라오는 지위와 스타일이 이유가 되기도 한다. 이유가 무엇이든, BYOD가 그들의 생산성과 업무 만족도를 향상시킨다는 것은 사실이다.
하지만, ‘어떻게’ Yes라는 답을 얻어 내는가가 중요하다. 그 핵심은 디바이스에 초점을 맞추기 보다는 기업의 정보를 보호하는데 있다. 이와 더불어, 노트북과 태블릿 및 스마트폰 간의, 또는 개인 소유와 회사 소유의 디바이스 간의 보안정책에서 연속성을 확립해야 한다. 다시 말해, 디바이스에 관한 정책이 아닌 기업 보안 정책이 중요하다는 것이다.
직원들에게 보안에 관해 교육하는 것은 필수적이다. 절차와 정책에 대해 교육을 받지 못한 직원이 올바른 일을 시도하려고 노력하다가 결국 회사의 정보가 노출되는 경우가 대부분이기 때문이다.
어떤 정책이 왜 수립되었는지, 그것이 기업이 데이터를 보호하는데 얼마나 중요한지에 대해 설명하는 것은 그리 많은 시간을 요하지 않는다. 직원들이 정책의 근거를 이해한다면, 기업과 기업의 자산에 해를 끼칠 수 있는 잠재적인 행동을 멀리 할 가능성이 높아질 것이다.
■성공적인 BYOD 정책 수립을 위한 8가지 조언
1. 직원 소유의 모든 디바이스를 통제하기는 불가능하므로, 엔드포인트와 네트워크가 만나는 지점인 게이트웨이를 통제할 수 밖에 없다. 이를 위한 최선의 방법은 중요한 데이터를 암호화하고, 사용자 확인을 위한 강력한 인증 시스템을 도입하는 것이다.
2. 직원들의 동의를 얻고 이를 준수하게 하기 위해서는 정책과 그 이유에 대해 충분히 설명해야 한다.
3. 패스워드를 포함한 강력한 인증 정책을 시행해야 한다.
4. 관리자가 정책을 수립하고 다양한 디바이스 플랫폼에 걸쳐 이를 적용할 수 있도록 하는 모바일 디바이스 관리 시스템을 이용해야 한다.
5. 직원들이 디바이스를 분실 또는 폐기 하거나 도난 당했을 경우에 이를 원격으로 삭제한다는 서면 동의를 구해야 하며, 회사 이메일 및 일반 공유 파일에 엑세스 하기 위해서는 패스워드가 요구 된다는 데 대해서도 동의를 얻어야 한다.
6. 데이터를 잘 관리해야 한다. 데이터를 사용자에 맞게 단계별로 분류하여 관리해야 한다. 상업적으로 민감한 데이터는 암호화 할 필요가 있으며, 위협을 감지하고 그 상황을 파악하기 위해 네트워크 트래픽을 24시간 모니터링 해야 한다.
7. 직원이 조직을 떠날 때 기업의 게이트웨이에 대한 엑세스를 철회하도록 하는 명확하고 의무적인 절차를 마련해야 한다.
관련기사
- 중소기업을 위한 BYOD 가이드2012.09.13
- BT, ‘탈통신’에서 찾은 답은...2012.09.13
- BT, 의료 IT 공략 본격화…“아태지역 선도”2012.09.13
- BYOD, 자유로운 휴가의 종말2012.09.13
8. BYOD 정책에 대한 지속적인 검토를 통해, 항상 소비화 흐름을 미리 반영하고 실행에 도움이 되도록 해야한다.
BYOD를 통해 직원들을 제한하려 하면 할수록, 그들은 그들의 목적을 달성하기 위한 다른 방법을 찾으며 더 적극적으로 이에 맞서려 할 것이다. BYOD를 받아들이고, 이를 IT 정책 이슈가 아닌 비즈니스 리크스 관리 사안으로 간주한다면, 보안과 관련된 악몽에서 점차 벗어나 좀 더 효율적으로 BYOD를 업무에 활용할 수 있을 것이다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.
