GateIn 소개 – 퇴실 절차

 

난번 말씀드렸던 GateIn 소개 – 입실 절차에 이어 이번에는 GateIn(게이트인)의 퇴실 절차에 대해 알아보도록 하겠습니다.

업무를 마친 방문객은 입실 절차와 같이 퇴실을 하기 위한 절차가 필요합니다. 퇴실 절차 또한 간소화하기 위해 많은 고민을 하였습니다. 하지만 MDM 기능을 활용하는 보안 앱의 경우 지난 포스팅 [GateIn – MDM을 방문객용 보안 솔루션으로 활용] 에서 언급했던 것과 같이 보안 기능을 해제하는 추가적인 절차가 필요합니다.

디바이스를 소지하지 않은 방문객이 퇴실할 경우 출입관리자의 단순한 확인절차만으로 퇴실할 수 있지만, 디바이스를 소지한 방문객이 퇴실할 경우에는 입실할 때 설치한 GateIn 앱의 보안 기능을 해제하기 위한 출입관리자의 승인 절차가 반드시 필요합니다.

그럼 아래 그림을 통해 방문객의 퇴실 절차를 좀 더 알아보겠습니다.  아래 그림은 방문객이 업무를 마치고 퇴실하는 절차를 설명하고 있습니다.

[그림. 방문객 관점]

1. 방문객은 업무를 마치고 입실시 설치한 GateIn 앱을 실행합니다.

2. 현재 방문객은 입실중 상태로 화면은 [퇴실요청] 버튼이 활성화되어 있습니다. [퇴실요청] 버튼을 통해 보안 기능 해체를 출입관리자에게 요청합니다.

3. 출입관리자는 방문객의 퇴실요청 정보를 확인 후 퇴실 승인을 합니다.

4. 방문객은 GateIn의 보안 기능을 해제하고 앱을 삭제할 수 있습니다.

퇴실-GateIn

[그림. 출입관리자 관점]

GateIn 소개 – 퇴실 절차 끝.

 

시 방문객의 경우 GateIn 앱을 삭제하지 않고 MDM 보안 기능만 해제하여 디바이스를 사용할 수 있습니다. 재방문했을 때에는 앱설치 절차를 생략하고 [입실요청] 버튼을 통해 다시 입실할 수 있게 됩니다.

재방문의 경우도 출입관리자의 확인 및 방문객 정보를 검색하거나 입력이 필요하지만, 가급적 상시 방문객의 입실 절차를 간소화 하기 위해서 노력했습니다. 매년 플랫폼 버전이 업데이트 되면서, 관리기능에 대한 제어가 사용자 위주로 변하고 있습니다. 그러한 변화에 맞게 저희는 지속적인 업데이트를 통해 보안기능을 강화하면서 절차를 간소화할 수 있도록 노력하겠습니다.

이상으로 GateIn의 입실 / 퇴실 절차에 대한 소개를 마치겠습니다.

감사합니다.

GateIn – MDM을 방문객용 보안 솔루션으로 활용

 

대폰이나 반도체 제조사처럼 유난히 보안에 예민한 곳을 방문해보신 분들이 계실 겁니다. 입구에 도착하면 보통은 안내데스크에서 방문객들의 스마트폰을 받아서 카메라 렌즈와 외부기기 접속단자에 보안 스티커를 붙입니다. 내부에 들어가서 카메라 촬영을 하거나 외부로 데이터를 유출하는 행위를 막기 위해서 하는 조치인 거죠.

그런데 방문을 끝나고 나오면서 이 보안 스티커를 떼어낼 때 보면, 스마트폰에 끈적거리는 자국이 남거나 액정보호필름이 떨어져서 흉하게 자국이 생기는 경우가 왕왕 있습니다. 방문한 사람이 인 경우는 현실적으로 많지 않기 때문에 이런 상황이 발생해도 대부분은 아무 말 못하고 그냥 돌아서게 되지요.

게이트인 표지

모바일 기기를 관리하는 솔루션인 MDM(Mobile Device Management)을 활용하고자 하는 아이디어는 여기에서 시작되었습니다. 원래 MDM에는 카메라 촬영을 비롯한 스마트폰의 여러가지 기능을 차단 및 관리하는 기능이 들어있었는데, 복잡한 제어기능을 빼고 방문객들의 스마트폰을 제어할 때 필요한 기능을 단순화하여 탑재한 것이죠. 물리적으로 보안 스티커를 부착했다 떼는 것보다, 모바일 앱을 하나 설치했다가 제거하는 것이 간편하기 때문에 적극적으로 검토되고 있습니다. 이렇게 해서 만들어진 GateIn(게이트인)은 MDM 서비스인 Mcare(엠케어)의 파생상품인 셈입니다.

사용방식은 이렇습니다. 방문객들은 들어갈 때 입구에 있는 안내데스크에서 보안앱을 설치하고 담당자에게 확인을 받습니다. 보안앱을 설치하기 위해서는 QR코드를 읽어들이거나 직접 주소를 입력하여 설치 사이트로 이동합니다. 일단 스마트폰에 앱이 설치되고 등록한 방문객의 고유번호를 입력하면 자동으로 서버와 통신하면서 제한 기능이 동작하게 됩니다. 안내데스크에 있는 담당자의 관리화면에도 방문객의 스마트폰 정보가 나타납니다.

방문이 끝나고 방문객이 나올 때 안내데스크의 담당자는 관리화면에서 보안앱을 삭제할 수 있도록 잠금을 해제시켜 줍니다. 안드로이드 스마트폰을 가진 방문객들은 디바이스 관리자 모드를 해제한 후에 보안앱을 삭제하면 됩니다. 애플의 OS를 사용하는 아이폰이나 아이패드의 경우에도 약간의 차이가 있긴 하지만 대체로 비슷한 절차를 거쳐서 설치 및 삭제가 이루어집니다. 이러한 솔루션을 도입했을 때 안내데스크의 모습은 대체로 다음과 같을 겁니다.

 

 

방문객들이 보안앱을 임의로 삭제하려고 시도하면 관리자 화면에 표시가 되면서 경보가 울리게 됩니다. 이 경보는 담당자가 관리화면에서 확인하고 이를 해제시켜줄 때까지 계속됩니다.

GateIn같은 보안앱을 활용하는 방식은 기능을 추가하여 다양한 방식으로 활용될 수 있습니다. 예를 들어 비콘(Beacon)등과 연동하게 되면 출입통제구역에 대한 방문객 접근여부를 확인할 수 있고 또한 가이드가 없어도 특정 위치나 시설 등에 대한 안내를 할 수 있습니다. 아무래도 컴퓨터 프로그램이다 보니 최근 주목을 받고 있는 사물인터넷 등과 연계하여 여러가지로 활용할 수 있는 아이디어가 나오고 있지요.

방문객들에게 보안앱을 설치하는 방식이 가지는 한가지 문제는, 방문객들의 휴대전화가 스마트폰이 아닌 경우에 발생합니다. 예를 들어 옛날 방식의 2G폰인 경우에는 보안 스티커 등을 사용할 수밖에 없다는 것이지요. 이런 이유로 인해 어떤 분들은 보안앱을 설치했다가 지우는 것보다 보안 스티커를 붙이는 것이 더 낫다고 생각하실 수도 있습니다. 하지만 우리나라의 스마트폰 보급률이 올해 3월 기준으로 83%를 넘어서고 있고 업무 담당자들은 대부분 스마트폰을 사용한다는 점을 생각할 때, 평상시에는 보안앱을 사용하고 특별한 경우에 한해서만 보안스티커를 보조수단으로 사용하는 것이 현실적일 것 같습니다. 실제로 2G폰을 만나는 경우가 요즘은 거의 없다시피 하니까요. 결국 앞으로 방문객들의 모바일 기기 보안을 위해서는 위와 같이 보안앱을 적용하는 방식이 계속 퍼져나갈 것으로 보입니다.

태블릿과 MDM의 활용

태블릿의 대명사인 애플의 ‘iPad’가 2010 년 국내에 상륙한 지 벌써 만으로 5 년이 되어가고 있고, 작년에 Microsoft 사에서 나온 Windows 태블릿 「Surface Pro3」, 최근에 삼성에서 나온 「Galaxy Tab A」등 태블릿 기기의 출시가 꾸준히 이어지고 있습니다. 태블릿 시장의 성장세가 주춤하고 있다는 얘기도 있습니다만, 기업에서 업무용도로 태블릿을 도입하는 것에 대한 관심은 계속 이어지고 있다고 보는 것이 맞을 것 같습니다.

스마트폰이나 태블릿같은 모바일 기기를 업무에 도입하는 것은 시간과 장소에 구애받지 않는 업무환경을 구축한다는 점에서 기업 입장에서는 외면하기 어려운 흐름이라고 할 수 있습니다.

태블릿의 기업 활용

태블릿 도입의 관심사로는 단말기의 도난 · 분실에 대비하기 위한 초기 보안설정 및 배포, 태블릿 도입 이후의 연락 등이 있습니다. 특히 IT 담당자가 가장 어려운 문제라고 생각하는 것이 보안입니다.

태블릿을 업무에 활용함으로써 생산성 향상을 기대할 수 있는 반면, 정보 유출 위험을 안고 있기 때문에 모바일 단말을 관리하는 “MDM (모바일 단말 관리) ‘솔루션의 검토는 필수적입니다.

iOS의 경우, 7버전부터 MDM 기능이 업데이트 되어 기업에서 iPad와 iPhone을 이용​​하는 것을 많이 고려하게 되었습니다. iPad는 애플이 제공하는 MD​​M 기능으로 제어할 수 있는 항목이 풍부하기 때문에 미국이나 일본에서는 많은 기업들이 업무용 태블릿으로 iPad를 선택하고 있습니다. 또한 기업 업무용 기기로 사용될 수 있도록 추가 기능이 부가되어 있습니다.

우리나라의 경우에는 안드로이드 OS가 상당수 모바일 기기의 운영체제로 쓰이고 있어서 안드로이드 태블릿 기기가 많이 쓰이고 있는 편입니다. 업무용이나 교육용으로 배포되는 태블릿은 거의 대부분 안드로이드 기기라고 봐도 무방할 것 같습니다. 이것은 모바일 앱을 만들어 배포하는 절차에 있어 안드로이드가 훨씬 간편하기 때문에 많은 업무용 앱들이 안드로이드로 만들어지고 있는 것과도 무관하지 않을 것입니다.

태블릿과 MDM

태블릿의 도입시 MDM 솔루션을 채택함으로써 얻을 수 있는 효과는 보안 측면만 있는것이 아니라 업무 효율의 측면에서도 찾아볼 수 있습니다.

앱 이용 제한
앱 이용 제한은 보안만을 위한 것이 아닙니다. 직장에서 태블릿을 업무와 관련이 없는 용도로 사용함으로써 헛되이 시간을 낭비하는 것을 방지할 수 있습니다.

또한 사용하고 싶지 않은 앱을 블랙리스트에 등록하거나 Game Center와 AppStore에 대한 접근을 차단함으로써 앱의 이용을 제한할 수 있습니다.

데이터 로밍 해제
데이터 로밍은 외국에서 통신할 수 있는 기능이지만, 상당한 비용이 발생할 수 있습니다. 데이터 로밍 기능을 차단하여 해외에서 3G 회선의 이용을 막으면서 Wi-Fi 만 이용하게 함으로써 비용 절감을 할 수 있습니다.

이용 상황 확인
설치한 앱 목록 등을 분석하여 배포한 태블릿이 어떻게 사용되고 있는지를 판단하는 데 도움이 됩니다. 또한 태블릿의 정상 구동여부를 확인할 수도 있습니다.

전자 카탈로그 배포
MDM MCare(엠케어)에는 문서를 배포하는 기능이 있습니다. 다양한 문서파일을 태블릿에 쉽게 배포 할 수 있기 때문에 USB 메모리나 별도의 PC를 사용하지 않더라도 장소에 구애받지 않고 문서를 참조할 수 있습니다.

관련 링크 :

업무용 Android 단말 관리

Android는 iPhone과 iPad에 비해 종류가 다양하고 크기도 다양하므로 선택 폭이 넓은편입니다. 업무에서 Android 단말을 활용하고자 한다면 확실하고 안심할 수 있는 단말 관리가 필요합니다. 개인 수준에서 예방할 수 있는 관리와 기업의 관리 책임자가 수행할 수 있는 Android 단말 관리에 대해 설명합니다.

Android 단말의 위험 요인

위조 앱

Android 앱은 apk 파일입니다. 그리고 이 apk 파일을 빼내는 것은 어렵지 않습니다.

예를 들어, 은행 앱이 있다고 합시다. 악의를 가진 사람이라면 이 은행 앱에서 apk 파일을 추출한 후 암호화 된 manifest 파일 (권한 설정 정보 파일)을 해독하면 권한을 바꿀 수 있습니다. 권한이 바뀐 위조된 은행 앱을 스토어에 공개한 사람은 그 때부터 사용자 암호 등 개인 정보를 빼내게 됩니다.

android-permission

GooglePlay에서 앱을 등록 할 때, 스토어 측의 심사가 없기 때문에 위조 된 것인지에 대한 여부를 판별하지 않습니다. 즉, 앱 이름 및 스크린샷, 설명 정보를 잘 꾸며놓으면 쉽게 사용자를 속일 수 있는 것입니다.

데이터 유출

악성 코드는 Android 단말의 루트 권한을 박탈합니다. Android 단말의 구조는 상단 Application, 그 아래 Application Framework, 더욱 그 아래 Native Library (OpenGL 등), 그리고 Android RunTime (Core Library)과 DalviK (VM 사용자) 아래에 Linux Kernel이 있습니다 .

Linux Kernel에서 앱을 실행, 하나의 앱에서 문제를 일으켜도 다른 앱에 악영향을 끼치지 않게 저지하는 Sandbox, Kernel의 버그나 보안의 허점을 이용하여 루트 권한을 획득 한 사람은 Kernel과 Core의 일부를 손에 넣을 수 있고, 보호 영역의 API (카메라, GPS, 전화, 네트워크, Bluetooth 등)의 제어가 가능합니다. 루트 권한 획득 > 보호되는 API에 접근이 가능 > 차트의 거래 내용과 통화 목록, 카메라, 위치 정보, 전화 번호부 데이터 등을 빼낼 수 있습니다.

Wi-Fi 환경에서 패킷 훔쳐내기

루트 권한을 취득하면 장치의 패킷을 캡처할 수 있는 프로그램을 설치할 수 있습니다. 패킷 정보는 이미지 칩 또는 바이너리 코드로 되어 있기 때문에, 암호화되지 않은 데이터는 정보를 빼낸 사람에 의해 이미지 칩 해독 코드 분석이 가능합니다.

또한, 허위 액세스 포인트를 열어 접속을 유도하는 수법도 있습니다.

개인 차원에서의 Android 단말 관리

앞에서 서술한 내용을 읽고나면 마음이 무거워지는 분도 있을지 모르겠지만, 개인 차원에서도 안전하게 관리하는 방법이 있습니다.

먼저 앱을 설치하면 앱 권한을 잘 확인하십시오. 저도 그렇습니다만, 대개의 사람들은 그다지 의식하지 않고 동의하고 설치하는 경우가 많다고 생각합니다. 돌다리도 두드리고 건너는 심정으로 개인 정보에 대한 접근 권한을 요구하는 내용이 있으면 중지하는 것이 좋습니다.

또한, 잘 알려져 있지 않은 프리 액세스 포인트 접속은 피해야 합니다. 그리고 안티 바이러스 앱을 사용해 정기 검사 및 업데이트를 자주해야 할 것입니다. 이 중에 바이러스 백신 앱으로 위장한 악성 앱도 있으므로 이 역시 주의해야 합니다.

마지막으로 추천하는 방법은 단말기의 암호화 + 암호 보안 설정입니다. Android OS 3.0 이상부터는 데이터 암호화 설정이 가능합니다. 단말기 암호를 설정하는데 1 시간 정도 걸리고, 설정 후에는 장치를 리셋하지 않으면 돌이킬 수 없게 되지만, 분실이나 도난시에 단말기의 데이터를 보호하는 최고의 방법입니다.

Blog_Android 장치에서 저장된 데이터를 암호화_01

기업 관리 책임자의 입장에서 취할 Android 단말 관리

개인 소유의 Android 단말을 업무에 활용하거나, 회사에 도입하여 메일이나 전화번호부 데이터 등을 넣어 사용하거나 한다면 반드시 대책을 생각해야 합니다. 직원 개개인이 위에 기술했던 것과 같은 조치를 취해 주면 최선이겠지만 실제로 거기까지 바랄 수 없는 것이 현실입니다.

많은 MDM 제품이 시장에서 경쟁하고 있는 이유가 여기에 있습니다. 관리자가 직원들의 단말을 관리하는 것이 MDM이지만, Android 관리는 제공하는 업체마다 제어 기능이 약간 다릅니다. 오히려 iOS의 경우 대부분의 MDM에서 동일한 관리 기능을 제공합니다. Apple에서는 단말 관리 제어 Payload가 정기적으로 업데이트되며, 이를 이용하면 충분히 안전하게 기업의 단말 관리를 할 수​​ 있습니다.

그런 의미에서 Android는 아직 충분하지 않습니다. 그래서 제조사별로 각자 고유의 코드 제어 기능도 다소 다르기도 합니다.

 

참조 링크

Jailbreak / Rooting 이란?

“탈옥”이라고 불리기도 하는 Jailbreak는 iPhone 펌웨어를 다시 설정할 수 있도록 하는 것을 말합니다.

iPhone 등 iOS 장치에는 보안체계가 있어서 Apple이 인정한 소프트웨어만 설치할 수 있습니다. 그러나 jailbreak (탈옥)하면 그 제한을 해제하고 원하는 소프트웨어를 설치할 수 있게 됩니다.

AppStore의 어플에서는 나타날 수 없는 소프트웨어를 사용할 수 있으므로 편리한 면도 있지만, iPhone에 직접 액세스 할 수 있게 되어 마치 일반 PC를 사용하듯이 자유 자재로 파일을 옮길 수 있기 때문에 보안 측면에서 매우 위험할 수 있습니다.

참고로 Android 기기에서는 이러한 것을 ‘Rooting (또는 루팅)’이라고 표현하고 있습니다.

“Jailbreak / Rooting 된 단말 감지”란 사내 업무용으로 사용되는 단말이 Jailbreak / Rooting된 단말인지 여부를 확인하는 기능을 의미하며 대부분의 MDM ( 모바일 장치 관리 ) 솔루션으로 제공되고 있습니다.

MDM Mcare에서 “Jailbreak / Rooting된 단말 감지”방법

Mcare에 등록 된 단말기가 Jailbreak / Rooting된 단말인지 여부를 한눈에 파악할 수 있도록 장치 정보 란에 표시됩니다.