1. 개인의 단말을 업무에 활용하는 BYOD란 무엇인가
BYOD(Bring Your Own Device)란 직장에서 제공하는 단말기가 아닌 개인 소유의 장비(노트북, 스마트폰, 태블릿 등)를 직장에서 업무용으로 사용할 수 있도록 통제 및 관리하는 체계를 말합니다. 시간과 공간에 구애받지 않고 업무가 가능해지고 사용자는 익숙한 장치에서 업무를 수행하면서 업무 효율성이 향상된다는 장점이 있어 많은 기관에서 도입하고 이 체계를 도입하고 있습니다.
이 문서에서는 BYOD 도입 시 고려해야 할 사항과 도입 전략, BYOD를 구축했을 때의 보안 위협과 해결방안에 대해 기술되어 있습니다.
2. BYOD 도입 시 고려해야 할 사항과 도입 전략은 어떻게 해야 하는가
BYOD 체계에서는 일관된 단말이 아닌 다양한 하드웨어와 소프트웨어가 존재하므로 개발 시 확장성과 유연성이 중요하게 고려되어야 합니다. OS는 iOS, 윈도우, 안드로이드 등 다양하며 브라우저, 플랫폼도 기업에서 일괄적으로 제공할 때와는 다르게 다양해집니다. 소프트웨어뿐만 아니라 하드웨어 부분에서도 다양한 화면 해상도, 메모리 용량, 성능이 존재하므로 이러한 것들을 BYOD 체계를 구성하기 전에 이러한 부분을 반드시 고려해야 합니다.
또한 BYOD 체계를 운영할 때 다양한 모바일 기기를 지원, 관리하는 유지관리 시스템이 필요하게 되어 관리 포인트가 증가하며, 무료 와이파이 망을 통해 회사 네트워크에 접속하거나 장비를 타인에게 대여하는 등 보안 위협이 증가하는 부분에 대한 고려도 진행되어야 합니다. 잠금설정되지 않은 장비에 대한 통제방법이나 비 암호화된 민감데이터 외부 유출 가능성, 악성코드에 감염된 장비에 대한 통제방법 등의 정책을 마련한 후 BYOD 체계를 구축해야 성공적으로 운영이 가능합니다.
3. BYOD체계의 보안 위협과 해결방안에는 어떠한 것이 있는가
3-1. BYOD 체계의 보안위협
BYOD 체계에서는 기존의 IT 환경보다 기업의 IT 통제권이 약해질 수 있는 문제점이 있습니다. 개인 기기를 통한 애플리케이션과 콘텐츠로의 접속이 자유로워져 기업의 보안 정책이 통제력을 잃는 경우가 생길 수 있습니다. 또한 일관된 보안정책을 적용하는데 어려움이 있을 수 있는데, 스마트 기기나 하드웨어 플랫폼의 다양화로 수많은 운영체제가 사용되게 되어 동일한 정책을 적용하기 어렵게 됩니다. 악성코드에 감염된 개인용 디바이스가 내부 인트라넷에 접속하게 되어 기업의 IT 자산을 위협하는 경우가 생길수도 있으며 단말기 도난 또는 분실로 인한 데이터 유출의 가능성도 존재합니다.
3-2. BYOD 보안 위협의 해결방안
위에서 나열한 BYOD 보안 위협을 해결하기위해 다양한 기술이 도입될 수 있습니다. 네트워크 접근제어(NAC:Network Access & Control)를 도입하여 누가, 무엇을, 어디에서, 어떻게 네트워크에 접근하고 어느곳에서 나가는지 제어가 가능합니다. 또 모바일 기기관리(MDM:Mobile Device Management)로 탈옥한 기계 사용금지, 분실 또는 도난 모바일 기기의 원격 데이터 삭제 실행 등 모바일 기기의 중요한 인벤토리 관리 및 디바이스 관리 기능 수행해 보안 위협을 해결 가능합니다. 모바일 가상화 기술을 도입하면 개인 목적 이용시와 업무 목적 이용 시에 별개로 운영체계를 구동시킬 수 있게 되어 데이터 보안과 관리 문제를 해결할 수 있습니다. 모든 개인 단말을 허용하는 것이 아닌 기업에서 내부 보안 표준 및 정책을 준수하는 복수의 단말을 미리 선정하고, 직원이 사용할 기종을 선택하는 방법인 CYOD(Choose Your Own Device) 정첵을 도입하여 BYOD 보안 위협을 줄일 수도 있습니다.