MDM을 방문객용 보안 솔루션으로 활용할 때의 고민

 

어달쯤 전에 MDM을 방문객용 보안솔루션으로 활용하는 방안에 대해 포스팅을 했었지요. 그 결과로 GateIn이라는 서비스를 만들었다고 말씀드렸습니다.

이번에는 이렇게 MDM의 기능을 활용하여 방문객용 보안 솔루션을 만들었을 때의 고민에 대해 얘기해볼까 합니다. 지난번 글에서는 방문객들이 가진 단말기가 스마트폰이어야 한다는 한계에 대해서만 언급했었지요.

실제로 MDM 앱을 방문객용 보안솔루션으로 적용하는 데에는 다른 문제가 없을까요?

이러한 주제는 기술적인 측면과 함께 사용자 인터페이스 측면에서 살펴보아야 할 거 같습니다. 기능구현이 가능한가에 대한 측면보다는 스마트폰의 주인이 편하게 받아들일 수 있느냐의 문제를 보다 심도있게 들여다봐야 한다는 것이죠.

일반적으로 MDM은 업무용 기기(개인소유든 아니든 상관없이)에 도입되는 것이 일반적입니다. MDM 앱을 설치하고 사용하는 대부분의 사람들은 특정한 조직에 소속되어 업무를 하는 사람들입니다. 그래서 업무상의 보안을 위한 절차에 협조할 수 있는 마음의 준비(?)가 이미 되어있다고 할 수 있습니다. 이 말은 사용자들이 어느 정도의 불편함을 감수할 수 있을 거라는 기대가 있다는 것이죠.

하지만 일반 방문객들은 그렇지 않습니다. 일 때문에 방문한 경우가 많겠지만 그곳에 소속된 것도 아니고, 무엇보다도 가지고 있는 스마트폰은 개인 소유의 기기인 데다가 업무용으로 사용하지도 않으니까요. 결국 이러한 기기에 보안 앱을 설치해 달라고 부탁하는 입장이 되는 것입니다. (물론, 이와는 반대인 경우도 있겠습니다만…)

 

게이트인 (1)

[그림  :  GateIn 관리화면의 일부]

 

래서 처음에 생각했던 핵심은, 쉽고 빠르게 설치했다가 용무가 끝나면 역시 쉽고 빠르게 제거할 수 있어야 한다는 점이었습니다.. 보안 앱을 설치하는 사용자들이 부담없이 적용할 수 있어야 한다고 생각했지요.

하지만 솔직히 말씀드려서 쉽고 빠르게 설치하는 건 간단할 수 있는데, 쉽고 빠르게 제거하는 것은 간단하지 않습니다. 설치는 일반적인 모바일앱과 마찬가지 방법으로 설치하면 되지만, 제거는 그렇게 간단하게 만들면 안되기 때문입니다. 사용자가 방문중에 임의로 보안앱을 제거해버리면 안되니까요. 특정한 상황이 되었을 때에만 앱이 제거되도록 해야 하고, 그 때 제거가 쉽고 빠르게 되어야 한다는 게 요건이었습니다. 조금 고민스러운 상황이라고 할 수 있었죠.

일단은 웹으로 만들어진 관리화면에서 보안앱을 제거할 수 있도록 조치를 취해주면 사용자가 앱을 쉽게 삭제할 수 있도록 최단 경로를 구현했습니다. 일반적인 앱이 아니다보니 절차가 하나 생기긴 했지만 그래도 불편을 줄이는 데는 어느 정도 성과가 있었다고 생각합니다.

그러던 중에 다른 아이디어가 나오게 되었습니다. 굳이 삭제를 해야 할까 하는 생각이 들었던 거지요. 보안앱의 기능에 On-Off 기능을 넣어서 필요할 때 기능을 켜고, 방문이 끝나서 돌아갈 때 기능을 모두 꺼버리면 삭제하지 않아도 되겠다는 의견이었습니다. 매번 설치하거나 삭제하지 않아도 되니까 정기적으로 방문을 하는 사람들의 경우에 적용하기 쉬워진다는 장점도 있구요.

물론 기본적으로 기존에 만든 삭제방식은 그대로 유지하고 있습니다. 보안앱의 기능을 제거하기위해 이렇게 두가지 방식을 사용하는 쪽으로 프로세스를 정리하고 그에 따라 필요한 기능을 만들어 넣으면서 점점 체계가 만들어지게 되었죠.

다음 포스팅에서는 이렇게 정리된 GateIn의 기능을 소개해볼까 합니다.

 

BYOD 도입 후에 생길 수 있는 어려움

 

(오랜만에 올리는 포스팅이네요. 그동안의 게으름에 대해 반성하고 있습니다….좀 더 노력해서 꾸준함을 유지하겠습니다)

 

난주에 어느 고객사를 방문할 일이 있었습니다. 이름만 대면 누구나 알 정도로 규모가 있는 회사이니만큼 보안체계도 잘 갖춰져 있지요. 당연히 모바일 쪽도 그랬구요.

이 회사는 BYOD(Bring Your Own Device) 정책을 도입하고 있었습니다. 수천명에 달하는 모든 직원들은 모바일 그룹웨어 등 업무용 앱을 개인 스마트폰에 설치해서 사용하고 있고, 보안과 관련해서는 각 업무용 앱과 연동되는 MDM 모듈이 설치되는 방식이었습니다. 임직원들이 업무용 앱을 구동시키면 해당 스마트폰에 MDM 모듈이 설치되어 있는지 확인하고, 설치되어있지 않으면 자동으로 설치화면으로 이동해서 사용자가 MDM을 설치할 수 있도록 합니다.

그런데 처음에 기획된 MDM의 역할이 독특했습니다. 일종의 인증 프로그램 역할을 하도록 해서, 사용자가 MDM을 통해 인증을 받지 못하면 각종 업무용 앱을 사용할 수 없도록 하는 방식으로 만들어진 겁니다. 모든 업무용 앱들이 MDM을 통해 사용자 인증을 하도록 한 거죠. 물론 기본적인 MDM, MAM, MCM 기능도 가지고 있구요.

이를 위해 수개월 간의 프로젝트를 통해 이른바 통합 모바일 보안솔루션을 구축했었다고 합니다. 이렇게 프로젝트를 통해 완성된 시스템은 테스트를 거쳐 오픈되었겠지요.

로부터 2~3년이 지난 지금은 어떨까요? 기본적인 MDM 기능은 정상적으로 운영되고 있습니다. 다만 이를 유지 및 관리하는 운영팀의 업무부하는 상당한 수준으로 올라갔다고 합니다. 임직원들이 사용하는 모바일 기기의 종류 및 OS에 따라 여러가지 다양한 문제들이 수시로 발생하고 있기 때문이죠. 보통의 전산시스템은 시간이 갈수록 안정되는 게 일반적이지만, 여기서는 문제가 줄어들지 않고 점점 종류가 다양해지고 있다는 것이었습니다. 새로운 모바일 기기가 계속 출시되고 OS가 업데이트됨에 따라 임직원들의 사용환경도 엄청나게 다양해지면서 수시로 바뀌고 있기 때문에, 이로부터 파생되는 문제점을 커버하는 일이 쉽지 않게 되어버린 겁니다.

결국 앞서 언급했던 사용자 인증 같은 기능을 업무용 앱으로부터 모두 분리하고 지금은 MDM 기능으로만 충실하게 사용하고 있다는 얘기였습니다. 사용자 인증은 각 업무용 앱별로 처리하는 방식으로 사용하구요.

 

 

 

 

런 이야기를 들으면서 BYOD 보안에 대해 다시 한번 생각하게 되었습니다. BYOD는 단순하게 생각하면 아주 효율적인 모바일 정책입니다만, 보안체계를 어떻게 디자인하느냐에 따라 엄청난 파급효과가 생길 수 있다는 점을 뼈저리게 느낄 수 있었죠.

다른 한편으로 저는 이 사례가 우리나라에만 있는 전형적인 문제점이라고 생각합니다. 우리나라에서는 특이하게도 MDM을 도입하는 과정이 통합 모바일 보안시스템을 구축하는 프로젝트로 변질되는 상황이 줄곧 이어져 왔습니다. 모바일 백신, 악성코드 방지솔루션, MDM, 암호화 등의 기능을 모두 하나의 솔루션에 집어넣어서 한번에 모두 해결하려고 하는 방식입니다. 당연히 일은 복잡해지고 별도의 구축 프로젝트를 몇 개월씩 진행해야 하지요. 고객 입장에서는 일을 복잡하게 만들지 않고 여러가지 니즈를 한번에 충족할 수 있어서 좋을 수도 있겠습니다만, 그나마 이게 문제가 없는 경우는 사용자들의 모바일 기기종류를 통제할 수 있을 때까지만입니다.

BYOD가 도입되면서 보안에 대한 이러한 복합구축방식은 여러 문제를 일으키기 시작합니다. 가장 큰 문제는 다양한 사용자 특징을 반영하지 못해 유지보수 비용이 엄청나게 증가하기 시작한다는 점일 겁니다. 유지보수 비용이 늘어나도 운영에 문제가 없으면 그나마 나은데, 온갖 문제는 계속 발생하고 있다는 점이 난감한 상황입니다. 결국 이를 해결하기 위해 처음에 기획했던 복잡한 기능을 덜어내고 시스템 기능을 단순화해서 운영하는 방법을 선택하게 되는 것입니다.

BYOD 정책을 도입하려면 이와 관련한 여러 사례를 살펴보고 신중하게 접근해야 할 것입니다. 중요한 점은 한번에 모든 것을 다 하려고 욕심내지 말고, 기능을 분리하여 단순하고 명확한 체계를 만드는 것이겠지요.