BYOD 도입 후에 생길 수 있는 어려움

 

(오랜만에 올리는 포스팅이네요. 그동안의 게으름에 대해 반성하고 있습니다….좀 더 노력해서 꾸준함을 유지하겠습니다)

 

난주에 어느 고객사를 방문할 일이 있었습니다. 이름만 대면 누구나 알 정도로 규모가 있는 회사이니만큼 보안체계도 잘 갖춰져 있지요. 당연히 모바일 쪽도 그랬구요.

이 회사는 BYOD(Bring Your Own Device) 정책을 도입하고 있었습니다. 수천명에 달하는 모든 직원들은 모바일 그룹웨어 등 업무용 앱을 개인 스마트폰에 설치해서 사용하고 있고, 보안과 관련해서는 각 업무용 앱과 연동되는 MDM 모듈이 설치되는 방식이었습니다. 임직원들이 업무용 앱을 구동시키면 해당 스마트폰에 MDM 모듈이 설치되어 있는지 확인하고, 설치되어있지 않으면 자동으로 설치화면으로 이동해서 사용자가 MDM을 설치할 수 있도록 합니다.

그런데 처음에 기획된 MDM의 역할이 독특했습니다. 일종의 인증 프로그램 역할을 하도록 해서, 사용자가 MDM을 통해 인증을 받지 못하면 각종 업무용 앱을 사용할 수 없도록 하는 방식으로 만들어진 겁니다. 모든 업무용 앱들이 MDM을 통해 사용자 인증을 하도록 한 거죠. 물론 기본적인 MDM, MAM, MCM 기능도 가지고 있구요.

이를 위해 수개월 간의 프로젝트를 통해 이른바 통합 모바일 보안솔루션을 구축했었다고 합니다. 이렇게 프로젝트를 통해 완성된 시스템은 테스트를 거쳐 오픈되었겠지요.

로부터 2~3년이 지난 지금은 어떨까요? 기본적인 MDM 기능은 정상적으로 운영되고 있습니다. 다만 이를 유지 및 관리하는 운영팀의 업무부하는 상당한 수준으로 올라갔다고 합니다. 임직원들이 사용하는 모바일 기기의 종류 및 OS에 따라 여러가지 다양한 문제들이 수시로 발생하고 있기 때문이죠. 보통의 전산시스템은 시간이 갈수록 안정되는 게 일반적이지만, 여기서는 문제가 줄어들지 않고 점점 종류가 다양해지고 있다는 것이었습니다. 새로운 모바일 기기가 계속 출시되고 OS가 업데이트됨에 따라 임직원들의 사용환경도 엄청나게 다양해지면서 수시로 바뀌고 있기 때문에, 이로부터 파생되는 문제점을 커버하는 일이 쉽지 않게 되어버린 겁니다.

결국 앞서 언급했던 사용자 인증 같은 기능을 업무용 앱으로부터 모두 분리하고 지금은 MDM 기능으로만 충실하게 사용하고 있다는 얘기였습니다. 사용자 인증은 각 업무용 앱별로 처리하는 방식으로 사용하구요.

 

 

 

 

런 이야기를 들으면서 BYOD 보안에 대해 다시 한번 생각하게 되었습니다. BYOD는 단순하게 생각하면 아주 효율적인 모바일 정책입니다만, 보안체계를 어떻게 디자인하느냐에 따라 엄청난 파급효과가 생길 수 있다는 점을 뼈저리게 느낄 수 있었죠.

다른 한편으로 저는 이 사례가 우리나라에만 있는 전형적인 문제점이라고 생각합니다. 우리나라에서는 특이하게도 MDM을 도입하는 과정이 통합 모바일 보안시스템을 구축하는 프로젝트로 변질되는 상황이 줄곧 이어져 왔습니다. 모바일 백신, 악성코드 방지솔루션, MDM, 암호화 등의 기능을 모두 하나의 솔루션에 집어넣어서 한번에 모두 해결하려고 하는 방식입니다. 당연히 일은 복잡해지고 별도의 구축 프로젝트를 몇 개월씩 진행해야 하지요. 고객 입장에서는 일을 복잡하게 만들지 않고 여러가지 니즈를 한번에 충족할 수 있어서 좋을 수도 있겠습니다만, 그나마 이게 문제가 없는 경우는 사용자들의 모바일 기기종류를 통제할 수 있을 때까지만입니다.

BYOD가 도입되면서 보안에 대한 이러한 복합구축방식은 여러 문제를 일으키기 시작합니다. 가장 큰 문제는 다양한 사용자 특징을 반영하지 못해 유지보수 비용이 엄청나게 증가하기 시작한다는 점일 겁니다. 유지보수 비용이 늘어나도 운영에 문제가 없으면 그나마 나은데, 온갖 문제는 계속 발생하고 있다는 점이 난감한 상황입니다. 결국 이를 해결하기 위해 처음에 기획했던 복잡한 기능을 덜어내고 시스템 기능을 단순화해서 운영하는 방법을 선택하게 되는 것입니다.

BYOD 정책을 도입하려면 이와 관련한 여러 사례를 살펴보고 신중하게 접근해야 할 것입니다. 중요한 점은 한번에 모든 것을 다 하려고 욕심내지 말고, 기능을 분리하여 단순하고 명확한 체계를 만드는 것이겠지요.