‘킬 스위치’에 놓인 CIO의 손끝을 직원들은 마치 다모클레스의 검처럼 바라본다. 자신들이 보유한 BYOD 스마트폰과 태블
실제로 직원들이 회사의 보안 정책을 준수하지 않는다면, 사적으로 구입해 회사에 가져와 사용하는 스마트폰은 끔찍한 운명을 맞이할 수 있다.
거꾸로 CIO는 일종의 ‘보상’을 제시해 BYOD 직원들이 보안 정책을 더 철저히 준수하도록 유도할 수 있다.
예를 들어, 회사의 모바일 장치 정책을 준수하는 것을 조건으로 월 전화요금의 일부를 분담해주는 보상책 등을 활용할 수 있다.
CIO는 ‘당근’이든 ‘채찍’이든 BYOD 직원들이 보안을 중시하도록 만들 방법을 찾아야 한다. 모바일 보안 회사인 어댑티브모바일(AdaptiveMobile)이 500개 회사(직원들)를 대상으로 설문 조사한 결과에 따르면, 80%에 달하는 기업이 BYOD를 도입했다.
그러나 이 가운데 절반에 달하는 회사들이 지난 1년간 보안 침해 사고를 당한 것으로 조사됐다. 한 회사는 지난 해 모바일 장치를 통해 금융 데이터베이스가 해킹 당하면서 8만 달러의 손실이 발생했다고 밝혔다.
센트리파이(Centrify)가 500여 중견 기업과 대기업 직원들을 조사한 결과에 따르면, 43%가 기업 기밀 데이터에 접근을 했으며, 안전하지 않은 공공 네트워크를 이용한 경우에는 15%가 개인 계정이나 비밀번호와 관련된 보안 침해 사고를 겪은 것으로 밝혀졌다. 또 개인 기기에 저장된 데이터 보호에 있어 최소한의 책임도 수용하지 않는다고 대답한 비율은 15%였다. BYOD 보안 우려는 이미 현실 속에서 가시화되고 있는 것이다.
IT가 때때로 극단적인 조치를 취하는 이유
일부 CIO들은 BYOD 문제에 대처하기 위해 극단적인 조치를 취하고 있다. 예를 들어, BYOD 보안 정책을 준수하지 않았다는 이유로 직원들을 해고할 수도 있다. 어댑티브모바일의 조사 결과에 따르면, 킬 스위치와 장치 잠금 기능을 보유하고 있다고 대답한 비율은 60%가 넘었다. 그러나 대다수의 직원들은 이를 인식하지 못하고 있었다.
어댑티브 모바일은 현재 기업들이 킬 스위치에 대한 인식 수준을 높이려 하고 있다고 분석했다. 직원들이 BYOD에 있어 책임을 인식할 수 있도록 하기 위해서다.
스마트폰 킬 스위치는 최근 여러 ‘뉴스 거리’를 만들고 있다. 무선 산업 단체인 CTIA는 주요 스마트폰 제조업체와 통신 사업자가 킬 스위치 기능 구현을 위해 파트너십을 체결했다고 발표했다.
이는 스마트폰 도난에 대처하기 위한 대책이다. 이 파트너십의 중심에는 특정 횟수 이상 비밀번호를 잘못 입력했을 때 도난 장치를 사용할 수 없도록 만들고, 공장 초기화 기능을 차단하는 조항이 자리를 잡고 있다.
현재 많은 BYOD 정책들은 CIO에게 유사한 권한을 부여하고 있다. 장치를 잠그거나, 장치에 들어있는 앱과 데이터를 원격 지울 수 있도록 하는 권한이다.
BYOD 직원들은 부지불식간에 이러한 권리를 양도하는 경우가 많다. 통상 끝 부분에 ‘조건을 수락합니다’는 버튼을 클릭할 수 있게 만든, 장황한 한 페이지 분량의 문서로 보안 정책을 제시하는 경우가 대부분이다. 그리고 직원들은 이런 형식을 가진 문서의 경우 부지불식간에 페이지를 스크롤 다운해 클릭을 하는 데 익숙하다.
어댑티브모바일을 공동 창업한 가레스 맥클라클랜 CCO(Chief Commercial Officer)는 “조사 결과에 따르면, 기업들은 설치된 앱 감시에서 장치 잠금 및 재설정 등 생각보다 강력하게 장치를 확인 및 통제하고 있다”고 말했다.
즉 기업들은 더 적극적으로 보안을 통제하고 있다. 중대한 위협에 직면했다고 판단했을 경우 장치를 잠글 확률이 높다.
그러나 어댑티브모바일은 이번 조사 보고서에서 기업들이 10가지 보안 위협 가운데 8가지를 제대로 확인하지 못하고 있다고 분석했다. 10가지 위협이란 ‘맬웨어 감염’, ‘유해한 사이트 접속’, ‘의도하지 않은 앱 설치’, ‘스파이웨어나 다른 ‘정탐’용 앱 존재’, ‘승인되지 않은 파일 전송 사이트 이용’, ‘로밍 위협 방지’, ‘SMS나 MMS 스팸과 맬웨어 배포’, ‘개인적인 데이터나 메시징 지출’, ‘고객 데이터 침해 또는 상실’, ‘스팸봇이나 봇넷 감염’이었다.
‘킬링’이 해결책이 될까?
그렇다면 ‘킬 스위치’를 ‘채찍’으로 활용해 BYOD 보안 정책을 집행할 수 있을까? 여기에 동의하지 않는 사람들도 있다.
비치헤드 솔루션(Beachhead Solutions)의 제프 루빈 부사장은 “기업이 사용자 동의 아래 위협이 예상될 경우 관리자가 장치를 무력화할 수 있는 정책을 도입했다면, 이는 이른바 ‘킬 스위치’를 갖게 되는 것이다.
그러나 이런 방법은 BYOD 사용과 확대를 방해하는 ‘빅 브라더’식 방법이다. 자신이 소유한 장치의 운명은 자신이 결정해야 한다고 생각하는 것이 더 일반적이다”라고 말했다.
루빈은 BYOD 환경에서 사용자 본인이 하드웨어에 대한 ‘킬 스위치’를 갖고 있어야 한다고 주장했다. 정말 급박한 상황에서만 장치를 무력화하는 것이다. 하지만 이렇듯 사용자가 통제권을 갖고 있을 경우, 보안 정책을 준수해야 한다고 느끼는 ‘위협’도 사라진다.
이 밖에 어댑티브모바일의 조사 결과 또한 킬 스위치가 효과가 없을 수 있음을 보여주고 있다. 고용주가 킬 스위치를 갖고 있다는 사실을 알았을 때 개인 장치 사용을 그만두겠다고 대답한 직원들의 비율이 67%에 달한 것이 증거다.
모든 것을 바꾸는 ‘금전적 보상’
CIO들은 ‘채찍’ 대신 ‘회사 보조금’이라는 ‘당근’을 활용할 수 있다.
카스(Cass)의 비용관리 부문 조시 부크 세일즈 및 마케팅 부사장은 “금전적 보상으로 직원들의 관심을 유도할 수 있다”라고 말했다. 카스는 직원들이 등록을 하고, 기업 정책을 수용하고, 규정에 입각한 프로세스를 준수하고, 이에 따라 적절한 보상을 받을 수 있는 포털을 운영하면서 BYOD 프로그램을 촉진시키고 있다.
특히 비용 지출 보고서를 제출하지 않아도, 전화 요금을 기준으로 직접 보조금을 지급하는 ‘당근’을 제시하고 있는 것이 특징이다. 그러나 BYOD 정책을 지키지 않았을 경우 즉시 보조금을 취소할 수 있다.
물론 이런 ‘금전적 보상’의 미래는 불투명하다. 이미 직원들에게 특전을 제공할 필요가 적은 지역에서는 BYOD와 관련된 금전적 보상이 사라지기 시작한 상태이다. 일부 산업의 전문가들은 BYOD와 관련된 특전이 완전히 사라질 것으로 내다보고 있다.
그렇지만, 금전적 보상은 직원들이 회사의 기대에 재빨리 부응할 수 있도록 만드는 것도 사실이다. 금전적 손실을 입지 않기 위해서다. 부크는 “직원들이 정책을 더 잘 준수하기 시작했다”라고 말했다.
dl-ciokorea@foundryco.com
