대기업은 대개 모바일 기기 관리(MDM: Mobile Device Management) 기술을 도입하곤 한다. 많은 직원들이 모바일 기기에 중요한 기밀 정보를 담아 다니거나, 이런 정보가 보관된 장소에 접속을 하기에 이를 관리할 방안이 필요하기 때문이다.
그러나 경제적 여력이 없고, 도입을 하더라도 이를 관리할 제대로 된 IT 부서가 없는 기업들은 어떨까? 이들 중소기업(SMB)은 모바일 기기를 중앙 통제할 방법이 없을 때 데이터를 어떻게 보호할 수 있을까?
일부 SMB는 MDM 없이도 위험을 줄이는 방안을 발굴해 이용하기도 한다. 그러나 어려움이 따를 때도 있다. 또 SMB들은 직원들에게 모바일 기기를 지급할 여력이 없어 BYOD를 도입하는 사례가 많다는 점을 감안하면 문제는 더 복잡해진다.
포레스터(Forrester)의 타일러 쉴드 모바일 담당 수석 애널리스트는 “분위기가 묘해지는 경우가 있다. 기업이 모바일 기기를 통제하려 할 때 사용자가 이를 허락하기 꺼리기 때문이다. 이럴 때는 ‘거래’를 해야 한다. 중요한 기업 정보를 이용하고 싶다면 MDM을 받아들여야 한다고 말하라. 그러면 사용자들은 더욱 편리하게 일하기 위해 MDM을 수용할 확률이 아주 높다”라고 말했다.
쉴드는 SMB 또한 BYOD를 도입할 때 엔드포인트 보안 대책을 마련하거나, 직원들에게 장치를 보안할 수 있는 방법을 찾아 적용해야 한다고 강조했다.
파이버링크(Fiberlink)의 정보 보안 담당 간부 중 한 명인 데이빗 린젠펠터도 SMB 가운데 BYOD를 도입한 회사가 대부분이라고 동의했다.
그는 “SMB는 회사 차원에서 장치를 구입해 직원들에게 지급하지 않으며 직원 개인 소유 장치를 일정 수준 관리하기 원한다. 장치 종류를 제한하거나, 특정 OS 버전을 요구하는 방법을 예로 들 수 있다”라고 말했다.
린젠펠터는 직원들이 새 장치를 구했을 때에 관한 대처가 부족한 경우가 많다고 지적했다. 그는 “사용하지 않게 된 오래된 장치에 기업 데이터가 저장되어 있지 않는지 확인해야 한다. 나는 장치를 교체하면, 옛날 장치는 아이들에게 준다. 하지만 그러기 전에 데이터를 지울 정도의 상식은 갖고 있다. 직원들도 그럴까? 확신할 수 있는가?”라고 반문했다.
위험 감수
모바일 기기를 중앙에서 관리하지 않을 때 (그리고 직원들이 사용하는 장치가 개인 장치일 때), SMB의 선택지는 무엇일까? 일부 규모가 작은 기업들은 MDM을 100% 포기하기도 한다. 그러나 이 때는 공격을 받을 위험이 아주 커진다.
중소기업들이 위험을 감수하는 이유는 이들이 공격자의 ‘표적’이 될 것인지 여부와 관련이 있다. 대다수는 자신들이 큰 가치가 없고, 값진 데이터도 많이 보유하고 있지 않기 때문에 공격의 표적이 될 확률이 높지 않다고 판단해 위험을 감수한다.
쉴드는 “위험이 낮기 때문에 지금 당장 투자를 할 가치가 없다고 말하는 사람들이 있다. 실제로 많은 중소기업들이 이런 제멋대로의 방식을 적용하고 있다”고 말했다. 사용자가 이들 장치를 아무렇게나 사용하도록 방치하곤 한다는 진단이다.
린젠펠터는 또 회사 내부에 IT 부서가 없어서, 또는 인프라스트럭처나 중앙화된 이메일 시스템이 없어 솔루션을 도입하지 않는다는 이야기를 들었다고 전했다. 작은 회사들은 일반적으로 직원들이 장치를 바르게 사용할 것이라고 믿고 이를 기대한다.
그러나 다른 협력사들이 이를 받아들이지 않는 경우도 있다. 린젠펠터는 “일부 중소기업들은 솔루션이나 보안 대책 도입을 전혀 고려하지 않았지만, 파트너들이 이를 요청한다. 특히 제약 산업에 이런 사례가 많다. 비즈니스의 성격 때문에 무언가 대책을 마련할 것을 요청하는 것이다”라고 말했다.
린젠펠터는 이어 최소한의 대책을 요구하는 외부 파트너의 생각에 동의를 한다고 강조했다.
그는 “장치를 전혀 관리하지 않으면 공격을 받거나 정보가 누출될 위험이 올라간다다. 후자를 우려하는 사람들을 예로 들어보자. 공격의 표적이 되지 않을 수는 있다. 그러나 최종 사용자로부터 데이터를 빼낼 수 있는 소프트웨어가 아주 많다”라며 장치를 잃어버리는 문제도 있다고 덧붙였다.
린젠펠터는 “장치를 관리하지 않으면 어떤 방법으로 정보를 지울 것인가? 애플과 구글 모두 원격 지우기를 옵션으로 지원한다. 그러나 문제는 사용자가 이 옵션을 선택했는가 하는 것이다. 선택을 하지 않았다면 문제가 될 수 있다”라고 설명했다.
관리를 하지 않는다면 개인 데이터와 기업 데이터가 섞이는 위험도 발생한다. 예를 들어, 장치에 개인 이메일 계정과 회사 이메일 계정이 함께 설치되어 있다고 가정하자. 개인 이메일 주소에 회사 업무와 관련된 파일을 첨부해 메일을 발송할 수도 있다. 린젠펠터는 솔루션이 전혀 없다면 많은 위험들이 발생한다고 주장했다.
그러나 쉴드은 다소 다르다. 그는 MDM이 없을 때 ‘아주 절망적인’ 상황이 초래된다는 주장에는 동의하지 않는다고 말했다. 그는 MDM이 없을 경우 일정 부분 위험이 있다고 인정하면서도 모든 중소기업이 이 일정 부분의 위험 때문에 반드시 MDM에 투자를 해야만 하는 것은 아니라고 덧붙였다.
그는 “MDM은 기본적으로 보안 툴이 아니다. 관리툴이다”라며 “MDM이 있으면 장치를 발견하거나 지울 수 있다. 그러나 MDM은 기본적으로 보안 기술이 아니다”라고 강조했다.
쉴드 역시 린젠펠터와 마찬가지로 맬웨어와 기기 분실이 문제가 될 수 있다고 동의했다. 또 관리 솔루션이 없으면 이메일 같이 중요한 영역들이 감염될 위험이 있다고 말했다. 그러나 중소기업이 반드시 MDM을 도입해야 한다는 의미는 아니라고 강조했다.
그는 “중소기업의 상당수는 위험과 MDM의 효과를 비교 평가해봐야 한다. 또 투자 가치가 없는 경우가 많다”라고 말했다.
대안
중소기업들이 어떤 형태이든 솔루션을 도입하기로 결정했지만, 전통적인 MDM 구현은 불가능하다고 판단을 내렸다고 가정하자. 이 경우에도 대안이 일부 있다. 린젠펠더는 적지 않은 중소기업들이 일정한 수준에서 이들 솔루션을 도입하고 있지만, 충분하지 못한 경우가 있을 뿐이라고 설명했다.
린젠펠터는 “두 종류의 고객이 있다. 진정한 관리 솔루션 없이 무언가를 구현하려 시도한 고객들이다. 액티브싱크(ActiveSync) 같은 메일 시스템, 무료 앱을 이용하는 방식을 예로 들 수 있다. 또 ‘모바일 관리는 너무 어렵다. 뭘 어떻게 해야 할지 모르겠다. 돈도 없고, IT 부서도 없다’고 말하는 고객들이 있다”고 말했다.
그러나 린젠펠터의 설명에 따르면, 중소기업들은 어느 쪽이든 일정 수준의 관리를 원한다. 또 사용자들이 대기업에서처럼, 그러나 작은 규모에서 책임감 있게 기업 데이터를 취급해주기 희망한다.
린젠펠터는 “쉽게 구성을 하고, 장치를 추가 및 제가하고, 로그 기록을 확인하기 원한다. 그러나 복잡한 관리와 맞춤화는 원하지 않는다. 이에 독자적으로 이를 시도하는 회사들이 있고, 이를 위한 기술을 이해하기에는 시간과 자원이 충분하지 않은 회사가 있다”고 전했다.
그렇다면 대안이 될 수 있는 솔루션은 무엇일까? 쉴드의 설명에 따르면, 적지 않은 MDM 벤더들이 클라우드 기반의 솔루션과 최대 20개의 장치를 지원하는 SMB 상품을 보유하고 있다. 쉴드는 “많은 SMB가 기업 내부에 복잡한 MDM을 도입하는 대신 클라우드 기반 솔루션을 추구하고 있다”고 말했다.
MDM이라는 개념 자체를 무시하는 회사들도 있다. 이들은 시만텍(Symantec)이나 노턴(Norton)의 엔드포인트 보안 소프트웨어 솔루션을 사용한다. 네트워크 게이트웨이와 애플리케이션 레퓨테이션 시스템을 대상으로 보안 솔루션을 도입하는 경향이 있는 회사들은 상대적으로 규모가 큰 중소기업들이다. 그러나 이들 대안은 사용자 경험을 해친다는 단점을 갖고 있다.
쉴드는 “사용자들은 이런 솔루션을 좋아하지 않는다. 사용을 하지 않는 사례가 더 많다. 대신 자신의 장치에서 사용할 수 있는 보안 대책을 찾아 적용한다”라고 말했다.
린젠펠터는 중소기업들은 액티브싱크나 오피스 365 같은 이메일 솔루션의 관리 기능과 이들 소프트웨어에 내장된 MDM 기능을 이용하기도 한다며, 하지만 이상적인 솔루션은 아니라고 덧붙였다.
린젠펠터는 “액티브싱크로 장치를 관리하고, 장치를 잠그기가 아주 까다로울 수 있다”고 지적했다.
린젠펠터는 무료 MDM 제품을 사용하거나 애플 장치만 사용하도록 허락하는 등의 불완전한 대안도 있다고 언급했다. 무료 MDM은 더 많은 장치가 추가될 때 문제가 발생할 수 있다. 또 지원을 받을 수도 없다. 기본적으로 ‘셀프 서비스’ 방식이기 때문이다. 사용자 스스로 방법을 찾아야 한다. 결국 시간만 낭비할 가능성도 있다. 일부 SMB는 특정 한 장치만 사용하도록 강요하는 것을 꺼린다. 직원들에게 무언가를 강제로 요구하고 싶어하지 않기 때문이다.
그는 “애플의 보안이 튼튼해 애플 장치만 사용하도록 만들고 싶지만, 직원들에게 이를 강제할 수 없다고 판단한다. 이는 하나의 선택지다. 그러나 관리 측면에서 비용이 초래된다. 이런 방법을 활용하고 싶다면, 애플 서버를 도입해 장치를 관리할 수 있다. 그러나 여기에는 비용이 든다”고 말했다.
린젠펠터는 기업은 규모와 상관 없이 어떤 형태로든 솔루션을 도입해 활용해야 한다고 강조했다. 그는 “어떤 형태이든 MDM을 구현해야 안전하다”라고 말했다. dl-ciokorea@foundryco.com
