작성일 : 13-01-03 09:15
[데이터넷] BYOD 확산으로 모바일 보안 위협 현실화
 글쓴이 : 최고관리자
조회 : 2,399  
   http://www.datanet.co.kr/news/articleView.html?idxno=64487 [1016]
스마트폰은 소비자의 디지털 라이프 바꿨을 뿐 아니라 기업의 업무 문화, IT 생태계까지 단번에 뒤엎었다. 스마트폰은 PC, 인터넷에 이은 제3의 IT혁명으로 불린다. 스마트폰과 태블릿PC 등 모바일 기기의 발달은 기업들이 그토록 바랐던 엔터프라이즈 모빌리티 구현이 현실화 될 수 있도록 만들었다.
 
무선 네트워크와 3G/4G 통신망을 이용해 언제 어디서나 네트워크에 접속할 수 있으므로, 시간과 공간의 제약 없이 스마트워크가 가능하다. 또한 모바일 기기의 저장공간 문제를 해결하기 위해 클라우드 서비스가 제안되면서 클라우드 시장의 성장도 가속화되고 있다.
불법 크랙 앱 100% 취약점 발견

그러나 스마트폰의 부작용도 만만치 않다. 가장 대표적인 것은 모바일 앱의 취약성을 이용한 공격이 심화되고 있다는 것이다. 보안에 취약한 안드로이드 기반 앱은 물론이고, 애플의 강력한 정책을 적용받는 iOS 기반 앱에서도 심각한 보안 취약점이 보고된다.
 
애플리케이션 취약성 분석 솔루션 전문기업 악샌이 8월 한달간 분석한 결과 안드로이드 기반 애플리케이션은 100%, iOS 기반 앱은 92%가 취약성이 발견됐다. 개인정보 유출 등 심각한 피해 우려가 있는 악성코드는 주로 불법 크랙된 앱에서 발견됐으며, 모바일 뱅킹 정보, ID/PW 정보 등을 빼내가는 것으로 분석됐다.
 
정상적으로 앱스토어에 등재된 앱에서도 심각한 취약점이 발견된다. 잉카인터넷 조사에 따르면 올해 3분기에만 51종, 4500여개의 안드로이드 악성 앱이 새로 발견됐다. 2분기보다 절반 가까이 줄어들었지만, 새로운 유형의 악성 앱이 등장한다는 것은 악성 앱 유포 범위가 점점 확산되는 추세에 있다는 것으로 해석될 수 있다.
 
또 다른 문제는 모바일 단말기 관리다. BYOD 트렌드가 확산되면서 모바일 기기를 이용해 회사 업무를 수행하는데, 개인이 사용하는 모바일 기기의 종류와 OS, 애플리케이션의 종류가 다양하다는 문제 뿐 아니라, 분실시 단말기 내에 저장된 정보에 대한 문제도 있다.
 
개인 소유 디바이스를 중앙에서 관리하다보면 사생활 침해 문제가 생길 수 있다. 예를 들어 회사에서 모바일 기기를 통한 내부정보 유출방지를 위해 개인 소유 디바이스의 콘텐츠를 중앙에 저장시키도록 한다면, 사적인 사진이나 메일, 메시지, 콘텐츠 등도 회사 시스템에 저장된다는 문제가 있다. 개인에게 자율적으로 업무 정보는 사내 시스템에만 저장하도록 정책을 마련한다 해도 자율성만 의지할 수는 없는 일이다.
 
모바일 웹으로 내부정보 유출 방지

모바일 환경에 대한 보안 취약성을 해결하는 방법은 다양하게 제안된다. 모바일 앱 취약성은 애플리케이션 취약성 분석 솔루션이나 시큐어코딩 솔루션이 해법으로 제시된다. 앱 개발시 시큐어코딩을 이용하면 애플리케이션 취약성을 크게 낮출 수 있는데, 시큐어코딩은 정부 규제에 의해 단계별로 의무화가 적용되고 있다.
 
모바일 디바이스에 대한 관리는 MDM으로 해결할 수 있다. MDM은 모바일 기기를 분실했을 때 단말기를 원격에서 잠그거나 저장된 데이터를 삭제할 수 있다. 업무 시스템에 대한 일괄적인 보안패치, 소프트웨어·OS 업그레이드가 가능하다. 최근 모바일 환경을 지원하는 NAC가 등장해 BYOD 환경에서도 단말기 무결성을 지킬 수 있다.
 
개인 소유 디바이스를 업무에 사용할 때 사생활 침해 문제가 발생할 수 있다는 점은 아직까지 이렇다 할 대책이 나온 것은 아니다. 다만 업무를 수행할 때 시스템 접속 순간부터 로그기록이 남아 향후 감사에 활용하거나, 문서중앙화 시스템을 구축해 단말기에 데이터가 저장되지 않도록 하는 등의 방법은 제안될 수 있다.
 
최근 VM웨어 등 가상화 솔루션 벤더나 임베디드 소프트웨어를 개발하는 기업들이 가상화 기술을 이용해 모바일 디바이스에서 별도로 분리된 복수의 OS를 구동하는 기술을 소개하고 있다. PC의 망분리와 마찬가지로 모바일에서도 가상영역에서만 업무를 수행하고, 그 결과는 모두 중앙 시스템에 저장시키는 방법이 제안될 수 있다. 가상화 벤더들은 VDI 환경에서 스마트폰을 가상PC에 접속하는 씬클라이언트로 사용하는 방법을 제안한다.
 
모바일 웹이나 하이브리드 웹 환경에서 이 문제를 쉽게 해결할 수 있다. 모든 업무를 웹을 통해 수행하도록 해 단말기에 데이터가 저장되지 않도록 하며, 가벼운 에이전트를 설치해 모바일 웹 시스템에 접속할 때 단말기 무결성이나 패치·SW 버전 등을 검사한 후 업무를 할 수 있도록 정책을 마련하면 된다.
 
모바일 업무에서 등장하는 새로운 문제는 무선 네트워크를 이용한 보안 위협 확산이다. 와이파이를 이용한 무선 네트워크 접근제어는 무선침입방지시스템(WIPS)을 이용할 수 있지만, 3G/4G 등 이동통신망을 이용하거나 이동통신사에서 자체적으로 제공하는 와이파이존에서의 네트워크 접근은 제어하기 어려운 상황이다.