'림'에 해당되는 글 1

  1. 2010/06/21 RIM이 바라보는 스마트폰 보안위협과 대책

전세계 4100만명의 블랙베리 스마트폰 사용자를 보유하고 있는 리서치인모션(RIM, 림)이 최근 국내 기자들을 초청해 ‘스마트폰 보안’을 주제로 워크숍을 개최했습니다.

이날 관련기사(RIM “‘보안’은 블랙베리의 DNA”)에 언급하긴 했지만, 림이 제공하는 보안 솔루션에 더 무게를 두다보니 이들이 바라보는 보안위협과 대책을 자세하게 쓰지 못해 영 아쉬웠습니다.

워크숍 때 샌 모이 RIM의 아태지역 이사가 발표한 내용을 주축으로 스마트폰 보안위협과 고려해야 할 방안을 정리해 보겠습니다.

3대 스마트폰 위협요소

1. 분실이나 도난된 기기 안에 있는 데이터를 누군가가 가져간 경우 - 고객정보 유출

2. 탈착 가능한 플래시메모리를 빼내 스마트폰 안의 기업 데이터를 훔쳐가는 경우

3. 해커가 일반 애플리케이션에 악성코드를 집어 넣는 것 - 애플리케이션 스토어를 통한 사용자 악성코드(멀웨어) 다운로드

이같은 보안위협을 최소화하기 위한 방안으로는 가장 먼저 모바일 보안 정책을 수립해야 한다는 점을 강조했습니다.

1. 모바일 보안 정책 수립

스마트폰 사용에서 안전성을 확보하기 위해서는 반드시 모바일 보안 정책을 수립해야 한다. 기존에 데스크톱에 적용했던 보안 정책을 블랙베리와 같은 스마트폰에도 확장 적용해 사용하는 것이 그 출발점이다.

예를 들어, 데스크톱에 비밀번호 사용을 의무화하는 것처럼 스마트폰에도 비밀번호 사용을 의무화하고, 30일마다 변경하도록 하는 것이다. 또 비밀번호를 설정할 때에는 특수문자 등의 조합을 사용해야 한다.

2. 엔드투엔드 데이터 암호화

전송데이터를 암호화하는 것뿐 아니라 스마트폰 내에 저장된 데이터까지 모두 암호화해야 한다.

사용자는 스마트폰에서 인터넷뱅킹 거래 데이터만 암호화하길 원할 수 있지만 기업은 모든 데이터를 암호화하는 것이 중요하다.

3. 악성코드 방지 대책

PC에서 쓰는 안티바이러스 등 악성코드 방지 프로그램을 스마트폰에서 구동하는 것이 힘들다. 악성코드를 방지하기 위해서는 악성코드를 기기에 다운로드 하지 않도록 하는 방안을 다르게 접근해야 한다. 바로 애플리케이션 자체를 통제하는 것이다. 허가/불허된 애플리케이션을 리스트로 정의해 스마트폰에서 불허된 애플리케이션에 접속하는 것을 제한해야 한다.

만일 애플리케이션을 다운받아 설치한 후 나중에 업데이트를 통해 악성코드에 들어오는 경우는 애플리케이션이 액세스하는 수준에 제한을 두면 된다.

사전에 악성코드 감염을 예방할 수 있는 조치다.

4. 기업의 경우- 스마트폰 조달정책 필요

기업이 모바일 오피스 구현 등을 위해 스마트폰을 도입할 때에는 한 두가지 표준모델을 선정해야 보안관리하기 쉽다. 만일 사내에 이기종 스마트폰 모델을 5개 이상, 10여개 이상 사용한다면 보안관리가 어렵다.

기업은 스마트폰 SMS, MMS 및 전화에 대한 로그 감사를 수행하는 것이 중요하다.

애플리케이션 표준화도 중요하다. 최종 사용자가 모든 애플리케이션 사용을 허용할 것이 아니라 표준화되고 승인된 애플리케이션 사용을 허용하고, 다운로드 가능한 애플리케이션 수를 제한하는 것도 고려해볼만 하다.

5. DLP(Data Loss Prevention) 프로그램 필요

기업의 경우엔 직원에 의한 회사정보유출이나 스마트폰 분실시 정보유출을 막기 위해 DLP 프로그램을 반드시 고려해야 한다.

스마트폰에는 개인정보뿐 아니라 회사 정보를 담고있을 수 있다. 직원이 퇴사할 경우 스마트폰 안에 담긴 정보가 유출될 수 있다는 점을 반드시 생각해야 한다. 또 DLP를 적용할 때에는 직원마다 적용 수준을 다르게 둬야 한다.
 

2010/06/21 15:58 2010/06/21 15:58