정체가 드러난 BYOD, 기술 아니라 보안의 문제

일 잘하고 싶은 직원 vs. 관리 잘 하고 싶은 기업

BYOD 증가로 기술력으로 논할 수 없는 각종 문제들 야기돼

[보안뉴스 문가용] 힐러리 클린턴의 이메일 사건 이후로 회사나 조직에서 정식으로 허가하지 않은 여러 클라우드 및 애플리케이션 서비스를 활용해 업무를 하는 ‘은둔의 IT’가 점점 더 큰 골칫거리로 떠오르고 있다. 힐러리 뿐만이 아니다. 주미 케냐 대사는 미국 정부가 제공하는 인터넷 망을 믿지 못해 화장실에다가 비밀 사무실을 차려놓고 지메일로 모든 업무를 처리한 사실도 발각되었다.

그런데도 놀란 건 대중들뿐이었다. 전문가들은 ‘뭘, 새삼스럽게...’라는 시큰둥한 반응만 보였을 뿐이다. 이미 정보보안 업계에서 일어나는 전쟁은 ‘보안인 vs. 해커’가 아니라 ‘보안인 vs. 자유를 달라는 사용자’가 되어버린지 오래이기 때문이다. 보안 전문가들에게 있어 힐러리나 케냐 대사나 그런 흔한 사용자들 중 하나였을 뿐이다. 게다가 이 싸움은 사용자들에게 점점 유리해지고 있다. IT의 상용화가 빠르게 이루어지면서 자유를 충분히 제공하는 IT 옵션이 늘어났기 때문이다. ‘보안 때문에 나에게 자유를 안 준다고? 그럼 다른 거 쓰면 되지’라는 선택지가 더 많이 늘고 있어서 사용자들은 아쉬울 게 없다.

기업과 직원 간 BYOD의 잘못된 이해

BYOD의 흐름이 일어난 지도 꽤나 시간이 지났고, 그래서 이제 BYOD를 도입한 기업들에서 슬슬 그에 대한 검토를 실시하고 있다. 그리고 여태까지 나온 결론은 “예상 외로 BYOD는 기술력이 아니라 보안력, 기업의 정책이 가진 유연성, 인간 심리학이 드러나는 분야”라는 것이다. BYOD 정책이랍시고 직원에게 랩탑을 제공해주는데, 거기엔 시동 시 자동으로 켜지는 백신이 스무 개씩 깔려 있고, 쓰지도 않는 이상한 기업용 소프트웨어가 잔뜩 설치돼 동작은 굼뜬데 정작 내가 해야 할 업무 성격에 맞는 건 하나도 없을 때 짜증이 날 뿐만 아니라 무시당한 것 같은 기분이 들 수밖에 없다. 이런 환경이 은둔의 IT를 배양하는 최적의 토양이 된다.

YOD는 이제 필수

왜 전부 같은 시대를 살아가는데 기업과 직원의 차이는 이토록 명백하게 갈리는 것일까? BYOD 중 YOD, 즉 ‘당신만의 기기’를 잘못 이해하고 있기 때문이다. 기업은 특히 정보를 비롯해 기업의 자산에 대한 관리를 철저히 하고 싶어 한다. 그것도 쉽고 효과적인 방법을 찾게 된다. 이는 사용자에게서도 찾을 수 있는 점인데, 사용자가 기업과 다른 건 ‘익숙하고 편한 것’을 찾는 데에 더 도가 터있다는 것이다. 작동원리를 생각하는 이는 드물다. 업무 결과만 나오면 된다.

새로운 모바일 기기의 등장은 1) 기업에게 있어 관리해야 할 대상이고 2) 사용자에게 있어 업무 수행 도구라는 것인데, 이 둘은 아직까지 평생선만을 긋고 있다. “내가 내 기기 가지고 일 한다는데 왜 회사가 막아서는가?”라는 입장과 “네가 값을 냈을지는 모르지만 일단 내 정보를 가지고 일을 하는 거면 그 기기를 나도 관리할 수 있다”는 입장이 첨예하게 부딪히는 것이다. 이 둘을 만나게 하려면 결국 정책이 필요하다. 이 정책이 현재 없는 건 아니다. 다만 지금까지 등장한 정책들은 정보보안을 대가로 삼고 있어서 문제다.

BYOD, 기술 문제가 아니다

BYOD가 주는 혼란은 이를 기술적으로 접근하려는 ‘흔한 오해’ 때문에 발생하기도 한다. BYOD 정책 사이로 쏙쏙 빠져나와 버젓이 기업 네트워크에 돌아다니는 각종 은둔의 IT를 보고 ‘기술적으로 다 쫓을 수가 없다’고 변명하는 곳이 많은데, 이것이 좋은 예다. 보안 담당부서에서 이런 현상이 일어남을 바르게 인지만하고 있다면 얼마든지 찾아낼 수 있다. 개인 소지 USB, 방문자용 와이파이망 등 아무리 발달한 앱이라고 해도 숨는 곳이 의외로 뻔하기 때문이다.

물론 은둔의 IT라고 해서 멀웨어와 비슷한 건 아니다. 업무 효율을 늘려주니 오히려 반가운 존재일 수도 있다. 애초에 은둔의 IT의 시작이 출퇴근 시간에 업무용 이메일 확인하려고 스마트폰과 태블릿을 사용한 것부터였다. 일을 더 잘 하고 싶은 개인과 일을 더 잘 시키고 싶은 조직의 필요는 전혀 부딪힐 필요가 없는 건데, 왜 BYOD 시대에 안전문제가 계속해서 불거지는가. 서로 한 발짝씩만 양보하면 된다. 이를 테면 계속해서 은둔의 IT 사용을 허하되 대신 보안 검사를 받은 후라거나 보안 툴을 설치하는 하는 조건을 거는 식으로 말이다. 기술로 해결할 수도, 그렇게 해서도 안 되는 문제다.

좋은 BYOD는 정책과 과정에서부터 해결 된다

당신의 조직에는 데이터 처리 과정에 대한 표준 절차가 있는가? 사용자 카테고리에 따라 데이터 관리 권한 및 처리 방법이 달라지도록 하고 있는가? 이 두 가지 질문에 ‘예’라고 답할 수 없다면 당신의 데이터는 지금 이 순간에도 위험에 처해있는 것이나 다름없다. 그런 상태에서 BYOD를 도입한다면? 결과는 더 뻔하다. 최종사용자 동의 항목이 적절한 정책을 기반으로 하고 있는가? 큰 밑바탕이 되는 정책이나 표준 없이 작성된 약정서나 동의서는 충돌과 더 큰 혼란만 야기할 뿐이다. BYOD를 해결하는 건, 모든 문제가 다 그렇겠지만, 밑바탕부터 충실하게 하나하나 절차를 밟아가면서 해야 한다. 그때 그때 상황만 해결한 걸 쭉 나열해서는 결코 정책이 될 수 없다.

BYOD에 대한 무시는 결국 ‘나만 손해’

가트너의 한 보고서에 의하면 2016년까지 38%의 기업에서 직원들에게 업무용 기기 지급을 하지 않을 것이라고 한다. BYOD의 결말은 결국 회사에까지 내 기기를 가지고 출근하는 것이고, 그것이 업무 수행의 유일한 툴이 된다는 의미다. 이 예견이 맞을 수도 틀릴 수도 있지만 아무튼 중요한 건 BYOD를 잘만 활용하면 많은 비용을 절감할 수 있다는 데에 기업들이 눈을 뜨기 시작했다는 것이다.

이는 현실이며 거대한 흐름이다. 보안 문제가 심각하게 발생될 것이니 이런 흐름을 애초부터 막아야 한다는 주장은 짧게 사람들에게 작용할 수 있을지 모르나 큰 영향을 미치지는 못할 것이다. 그렇다면 이런 현실을 직시하고 이에 대한 대처를 미리부터 마련하는 게 더 현명함은 지당하다. 보안 리스크가 커지는 것과 커다란 흐름을 쫓지 않아 아예 생존 자체에 문제가 생기는 것은 비교불가다. 보안은 시대의 흐름을 조력하고 뒷받침하는 것이지 거스르는 것이 아니라는 걸 우리 스스로부터 기억했으면 한다.

글 : 미쉘 슈비르카(Michele Chubirka)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)