이 회사 김대선 이사(사진)는 “기업 보안 리스크는 사용자 인구 구성, 업종, 지역과 밀접한 관계가 있다. 따라서 효과적인 보안 전략을 수립하기 위해서는 기술 뿐만 아니라 이러한 모든 요소를 복합적으로 고려해 능동적으로 대처할 수 있도록 진화해야 한다”며 “모바일 보안은 컨텍스트 정보를 사용해 정책을 실행하는 Adaptive Trust 모델로 진화해야 한다”고 강조했다. 즉 기존 포트 중심의 보안에서 사용자 중심의 보안으로 보안 경계의 변화가 필요하다는 것이다.
김 이사는 이어 한국 기업 근로자들의 모바일 활용에 대해 “회사 데이터 베이스에 정기적으로 액세스 할 때는 주로 집, 대중교통, 원격지 사무실로 나타났으며, 대 부분의 근로자들이 회사 이외에서도 회사 리소스에 액세스 하고 있다. 또한 응답자의 54% 만이 IT(보안) 부서를 신뢰한다고 답했으며 이 수치는 글로벌 83% 대비 현저히 낮은 수치”라며 “특히 한국의 금융권은 모바일 기기 오용으로 인한 기업 데이터 분실율이 글로벌 39% 대비 20% 수준으로 낮은 수치가 나왔지만, 제도적 환경을 고려하면, 결코 무시할 수 있는 수치다. 모바일 사용이 계속 증가하는 상황에 한국의 금융권도 모바일 보안에 대한 지속적인 관심을 보이고 있다”고 설명했다.
한편 보안 리스크를 낮추기 위해 반드시 해야 할 일에 대해 제안했다. 우선 핵심 보안 컨트롤 및 직원들의 기술 사용에 대한 지침을 제공하는 기본 보안 정책 마련과 역할, 기기, 위치 및 기타 컨텍스트 정보 요소들이 포함되어야 한다는 것.
또 애플리케이션에서부터 기기, 네트워크까지 확대되는 시행 규칙을 마련하고 실행해야 하며 이러한 규칙들이 MDM, 방화벽, IPS, 정책 엔진 전반의 서비스에 통합되어 모든 민감한 정보에 대해 공통된 정책 적용을 제공해야 한다고 강조했다.
IT팀은 사용자 행동을 측정하고 모니터해 보안 정책들이 비즈니스 목적에 부합되도록 보장해야 하고 직원 교육을 통해 안전한 보안을 위한 행위가 왜 중요하며 어떻게 기업 보안 증진을 지원할 수 있는지에 대해 이해시켜야 한다. 더불어 IT팀이 직원들의 의견 및 요청에 대응할 수 있도록 직원 피드백 및 SLA(service level agreement) 메커니즘을 마련해야 한다고 제안했다.
또한 김세진 지사장은 “연결된 세상에서 기업은 창의성을 증진시키는 동시에 데이터 및 정보 유출의 위험성을 감소시켜야 하는 과제를 떠안고 있다. 따라서 기업은 무선 네트워크 연결 및 데이터 보안에 대한 보안 인프라를 구축하기 위해, 맥락적 정보의 여러 단계를 고려하여 개별 직원의 선호를 구별하는 적응형 신뢰(adaptive trust) 접근법을 취해야 할 것”이라고 강조했다.
이어 아루바 네트웍스의 엔드-투-엔드 모빌리티 컨트롤 장비인 ‘ClearPass’를 통한 네트워크 정책을 수립해야 한다고 제안했다.
김 이사는 “ClearPass는 차세대 방화벽과 연계해 사용자 및 기기 데이터를 고려한 정교한 트래픽 컨트롤, MDM, EMM과 연계돼 실시간 기기 데이터를 사용한 네트워크 컨트롤, 사용자 위치 및 시간대에 대한 가시성과 정교한 컨트롤이 가능하다. 즉 종합적인 엔드 투 엔드 보호가 가능하다”고 설명했다.
아루바가 이번에 발표한 ‘GenMobile 보안, 준비 되셨습니까? : 리스크를 수반하는 모바일 공유 시대의 기업 보안 관리’ 보안 위협 보고서는 전세계 23개국의 11,500여명의 직원을 대상으로 진행된 조사 결과를 담았다. 보고서의 상세 내용은 아래 링크를 통해 다운로드 가능하다.
-www-stage2.arubanetworks.com/mobileriskindex/
한편 아루바 네트웍스는 오늘 리츠칼튼에서 200여 명의 보안담당자가 참석한 가운데 ‘2015 아루바 모빌리티 세미나’를 개최하고 모바일 시대의 도래에 따른 새로운 모바일 보안 위협에 관한 보고서와 한국 주요 조사 결과를 발표했다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
