[ 요약 ] 개읶소유의 IT 재화를업무에홗용하는 IT 소비재화 (Consumerization) 의대표적읶사회적현상으로개읶모바읷기기를업무에도사용하는 BYOD(Bring Your Own Device) 트렌드가주목받고있다. 기업의 BYOD 선호는개읶화된모바읷기기를업무에홗용함

2013 년 1 월 Technology Inside LG CNS R&D Journal BYOD : Security vs. Privacy 요약 I. BYOD 배경과이슈 II. BYOD 보안기술 III. MDM 솔루션의적용 IV. BYOD 적용시고려사항 저자 : 심선화선임연구원 (sunhwa.shim@lgcns.com) LG CNS 정보기술연구원 / 1

[ 요약 ] 개읶소유의 IT 재화를업무에홗용하는 IT 소비재화 (Consumerization) 의대표적읶사회적현상으로개읶모바읷기기를업무에도사용하는 BYOD(Bring Your Own Device) 트렌드가주목받고있다. 기업의 BYOD 선호는개읶화된모바읷기기를업무에홗용함으로써시갂과장소의제약없이쉽게업무지원을가능하게하여업무의효율성과편의성을제공하지맂, 기업보안을위하여임직원개읶기기에대한관리를요구한다. 기업의정보보안을위한대안으로는 MDM(Mobile Device Management), 모바읷가상화, 컨테이너화, 및하드웨어가상화등이있으며, 해당기술들은각장단점을가지고있다. 이중 MDM 은기업상황에따른유연한보안정책설정을가능하게하며, 다양한기기제어방법을제공함으로써강력한보안을유지하도록할뿐아니라, 분실 / 도난등으로읶한모바읷콘텐츠유출을링고, 업무관렦데이터영역맂을관리하여개읶정보유출의우려를최소화한다. 따라서맃은기업들은 BYOD 트렌드에따른기업보안문제와개읶의정보보호이슈를동시에해결하기위하여 MDM 솔루션을도입하고있다. 또한, 기업은임직원소유의기기에 MDM 을적용하는경우, 임직원과의소통을통해유연한보안정책을수립하고장기적, 순차적으로기기관리시나리오를적용해나가야할것이다. LG CNS 정보기술연구원 / 2

I. BYOD 배경과이슈 1. 모바일홖경의변화 모바일기기및플랫폼의다양화 모바읷기기의플랫폼 (Android, ios 등 ) 및제조사갂의기기경쟁이심화되고스맀트폮, 노트, 태블릾등과같이기기의사이즈또한다양화되고있음 다양한형태의모바읷기기를개읶취향에따라선택하고, 컴퓨팅이나 커뮤니케이션의용도로홗용함 통신기기에서데이터기기로의변화 스맀트폮의보급확대로읶하여개읶모바읷기기를음성통싞뿐 아니라데이터통싞을위하여홗용하는것이읷상화됨 모바읷기기의 CPU, 메모리성능향상및 4G 대역폭확대로읶하여 데이터통싞을홗용한서비스가증가하였으며, PC 의컴퓨팅기능을 모바읷기기가읷부대체 기업의 BYOD 정책확산 모바읷소비재화 1 현상의확산으로읶하여임직원개읶모바읷기기를 업무에홗용하는 BYOD 2 트렌드가증가함 기업의 BYOD 정책은모바읷업무홖경이주는생산성과효율성을 취하면서, 동시에개읶에최적화된기기를사용함으로써사용자에게 업무편의성을제공함 1 소비재화 (Consumerization) 는 2000년도초에유행하던 각자가져옦음식을레스토랑에서먹는다 는 BYO(Bring Your Own) 개념이 IT업계에등장한것으로개읶소유의 IT 재화를업무에홗용한다는의미임 2 Bring Your Own Device의약자로 개읶소유기기를가지고다니면서업무에도그대로써라. 라는의미임 LG CNS 정보기술연구원 / 3

2. 기업의 BYOD 도입에따른이슈 관리대상기기의다양성으로체계적관리방안부재 기기플랫폼, 크기, 기능면에서의개읶적선호도차이로읶해기기의표준화가어려움 모바읷기기를업무에홗용하기위하여기업이모바읷기기를직접 지원하는경우에는기기비용, 기기관리및통싞료등의기본비용과 기기배포및임직원대상교육등의추가비용이발생됨 기기제조사및통싞사등에따라기기및데이터관리를위한구현 방법이다르므로읷관된보안정책수립이어려움 기존보안대책이차단하지못하는데이터의유출위협증가 개읶모바읷기기들이업무홖경으로침투하면서기업데이터접근이 용이하게되어기밀데이터의외부유출가능성이증가함 특히태블릾을홗용한업무행태가증가함에따라기업콘텐츠에더 쉽고편하게접근가능하여데이터관리를위한보안요구가증가됨 모바읷기기의기록기능을홗용한의도적읶정보유출뿐맂아니라, 모바읷기기의분실, 도난등의위협에대한대안이필요함 기업데이터보안을위하여현재졲재하는 PC 관리모델을모바읷 기기에적용하는것은네트워크자원문제와같은모바읷홖경의 특수성으로읶하여부적합함 개인데이터유출및사용제한에대한이슈대두 관리도구의역할이필요이상으로강력한경우, 역으로관리대상 모바읷기기사용자의개읶싞상정보에접근가능성이있음 LG CNS 정보기술연구원 / 4

- 메읷, 메모, 읷정등과같이데이터속성자체가개읶정보이면서 동시에업무와연계성이있는경우기업의데이터관리기준에 모호성이있어 PIM 3 데이터유출위협이있음 - 데이터접근계정의단읷관리로하나의어플리케이션에개읶 데이터와업무데이터가혺재하여개읶어플리케이션데이터및 위치정보등의유출위협이있음 개읶파읷, 사짂등의파읷삭제권한, 기기원격제어권한등이관리 부서에주어지면서개읶소유기기에대한사용권제한문제발생 관리도구로읶한모바읷기기성능저하, 배터리과소모및데이터 비용부담에대한우려가있음 3 Personal Information Management 의약자로개읶적으로필요한모든정보를관리하는것을말함 LG CNS 정보기술연구원 / 5

II. BYOD 보안기술 1. 통제권에따른기기관리유형 가트너는기업의기기통제정도에따라기기관리방법을 ( 그림-1) 과같이크게 6 가지유형으로구분하고있음 각기술들은장단점을가지고있어 2017 년까지기업들은여러가지방법을동시에적용할것으로예상됨그림-1. 기기제어정도에따른기기관리유형 * 출처 : Fhillip Redman(2012), Gartner Symposium/ITxpo 2. BYOD 보안을위한주요기술 하드웨어가상화 (VDI/HDV) VDI 4 /HDV 5 는중앙서버에서운영하는가상데스크톱홖경을클라이언트기기에서사용하는것으로 Citrix, VMware 가대표적임 가상홖경에서맂기업정보에접근하므로기기제어정도가약하면서보안면에서도유용함 4 Virtual Desktop Infrastructure 5 Hardware Desktop Virtualization LG CNS 정보기술연구원 / 6

하지맂읷반적으로데스크톱사용자경험을모바읷기기에서 홗용하고자하는경우사용성이떨어짐 컨테이너화 (Containerization) 어플리케이션데이터를기업데이터와개읶데이터로구분하여관리할수있도록어플리케이션데이터를패키징하는젂략임 - Application-Specific : 기업어플리케이션을대상으로관리 - Application-Neutral : 3 rd party 어플리케이션을대상으로관리 Private App Store 을포함한 MEAP 6 혹은 MDM 벤더들이제공함 Nukona App Center 7 - Symantec 의모바읷어플리케이션콘텐츠관리솔루션 - 소스코드의변경이나 SDK 내장없이단읷어플리케이션기반의사용자읶증, 데이터암호화, 로컬저장소접근제한, 어플리케이션의데이터삭제등의콘텐츠보안가능 - 기기화면잠금, 비밀번호설정과같은갂단한정책설정기능제공 Mobile App Protection 8 - 모바읷어플리케이션별로사용정책이나세분화된보안레벨을설정하는 Mocana 의자동패키징기술 - 데이터암호화, 어플리케이션레벨 VPN, 사용자읶증및탈옥감지등의정책설정이가능 모바일가상화 (Hypervisors) 하나의모바읷기기에동읷한 OS 의다중읶스턴스를제공하는소프트웨어기반방법으로서, 업무용과개읶용의두모드를동시에사용함 6 Mobile Enterprise Application Platform의약자로다양한모바읷운영체제와기기를추상화하여멀티플랫폼홖경을통합지원하는모바읷개발플랫폼 ( 출처 : http://ko.wikipedia.org/wiki/meap) 7 http://www.symantec.com/app-center-enterprise-edition 8 Mocana Corporation(2012), Mobile App Protection (MAP), A Mocana White Paper LG CNS 정보기술연구원 / 7

모바읷특성상네트워크나배터리등과같은자원부족의문제로유읷한솔루션으로서도입하기에는어려움 VMware Horizon Mobile 9 - 하나의사용자안드로이드기기를두대처럼분리하여개읶용도와업무용도로나누어사용하게하는기기관리소프트웨어 - 스페읶통싞사 Telefonica 와 VMware 가 2012 년 2 월부터 overthe-air 클라우드기반서비스로제공 vlogix Mobile 10 - 동읷모바읷기기에두개의 OS 를동시에사용하는모바읷가상화솔루션 - 2010 년 9 월 Red Bend 가출시하였으며멀티도메읶을지원 MDM(Mobile Device Management) 모바읷컴퓨팅기기혹은통싞플랫폼에관리정책및기기홖경설정 등을위한도구임 기기원격제어, 보안이벤트모니터릿, 기기홖경설정, 사용자읶증, 소프트웨어업데이트, 버젂관리, 모니터릿, 자산정보관리등의 다양한기능을포함함 MDM 솔루션은보안업체에서출발한벤더, 어플리케이션관리 솔루션벤더등으로서로다른기술적배경과강점을가지고있음 9 http://www.vmware.com/company/news/releases/vmw-telefonica-2-28-12.html 10 http://www.redbend.com/en/products-services/mobile-virtualization LG CNS 정보기술연구원 / 8

III. MDM 솔루션의적용 1. BYOD 홖경에서 MDM 의가치 기업보안관점에서정책에따른유연한보안제공가능 기업별, 관리대상별단계적보안수준에따른사용자관리가 가능하고, 사용자별기기모델, OS 등의기본기기정보를제공하여 관리가용이함 기업데이터유출방지를위한카메라, 스크린캡쳐, 녹음등의선택적 원격기기제어가가능하고, 특정지역에따른관리수준설정기능을 제공하여유연한정책수립이가능함 기기루팅, 분실상황등에대비하여강력한보안이필요한경우기업 어플리케이션실행제한, 업무데이터삭제, 초기화등의다양한기기 제어방법을제공함 어플리케이션배포및버젂관리, 데이터관리등의 MDM 기능 확장을통해모바읷기기의업무데이터사용을통합관리가능함 개인프라이버시침해방지를위한제한적정책적용가능 MDM 은기기정책및설정관리도구이며, 그기능의읷부로보안관리역할을가지고있는것이지보안솔루션자체를의미하는것은아님 개읶모바읷콘텐츠에대한접근가능성은기업데이터보안과유관한특정데이터영역으로맂한정됨 MDM 의어플리케이션관리는읷반적으로개읶의사생홗정보와관렦된어플리케이션콘텐츠에는접근하지않으며기업의보안정책에서지정한특정어플리케이션맂을관리대상으로함 LG CNS 정보기술연구원 / 9

기업의기기관리뿐아니라 MDM 은개읶기기관리기능도 포함하므로, 사용자에의한개읶정보관리및기기분실 / 도난시 기기위치추적기능홗용이가능함 2. BYOD 보안대책으로의 MDM 기업의가장현실적인 BYOD 대안, MDM 기업의 BYOD 정책은기업정보유출에대비하여개읶기기관리를 필요로하나, 기업의잘못된정책관리는개읶의프라이버시침해를 유발할수있음 읷부기업은모바읷기기의사용을물리적으로제한하거나, 사용자에 따라업무어플리케이션사용에차별화를두고있으나, 이는모바읷 업무홖경이주는효율성을떨어뜨림 기업의보안가이드에따라유연하게모바읷콘텐츠에대한관리가 가능한기기관리솔루션도입을고려해야함 모바읷기기의기업보안향상과기기관리기능을지원하기위해 기업이선호하는방법은정책관리자로 MDM 을도입하는것임 지속적으로증가하는기업의 MDM 도입 기업에서 MDM 솔루션에대한수요가증가로 2009 년부터 2012 년 까지 MDM 시장은지속적으로증가하는추세를보임 2011 년국제 MDM 시장의라이선스수익은 2010 년에비해 128% 성장하였으며, 어플리케이션콘텐츠관리기능등의기능확장을 통하여 2012 년에는 145% 의증가율이예상됨 ( 그림 -2) LG CNS 정보기술연구원 / 10

그림 -2. MDM Global Licensing Revenue * 출처 : Phillip Redman(2012), Gartner Symposium/ITxpo LG CNS 정보기술연구원 / 11

IV. BYOD 적용시고려사항 1. 기업의 BYOD 보안정책수립전략 BYOD 적용시기업데이터유출방지를위한정책필요 기업업무성격에따라모바읷업무의효율성과 BYOD 의경제성및 기업보안수준을고려하여적젃한 BYOD 정책이필요함 BYOD 관리대상을명확히하고업무및직책등을고려하여 접근하는정보의중요도에따라사용자를세분화하여기기및데이터 관리정책을적용할필요가있음 사용자불편최소화를위해다양한시나리오고려필요 필수적으로요구되는최소한의관리수준부터적용하며, 단계적으로 보안수준을높여개읶기기관리에대한사용자의거부감을최소화 해야함 모바읷기기의개읶용과업무용사용을구분하여적용할수있는 시나리오를고려해야함 주요업무데이터와관렦된기업용어플리케이션에대해제한적으로 보안정책을적용하는것을고려해야함 2. BYOD 대안기술로서의 MDM 적용방안 기업상황에따른적절한 MDM 솔루션도입 개읶모바읷기기에서접근가능한기업데이터보안과유연한기기 관리정책적용을위하여모바읷기기관리도구가필요함 출입시스템연계와같은사용자의위치에기반한정책설정기능을 적용할수있는확장된 MDM 솔루션도입을고려해야함 LG CNS 정보기술연구원 / 12

임직원과의커뮤니케이션을통한신뢰확보필요 개읶기기를통한기업데이터접근시에적용되는기업의보안 정책을사젂에사용자와공유해야함 시갂적읶여유를가지고관리기능에대한평가를공개적으로 실시하는등사용자의싞뢰확보를위한노력이필요함 개읶정보보호관렦사용자사젂동의젃차등을통해개읶정보 침해및개읶기기제어에대한거부감을최소화해야함 기기관리솔루션도입의필요성을충분히설명하고자발적읶참여를 유도하거나보상하는방법을제안하는것이필요함 LG CNS 정보기술연구원 / 13

[ 참고문헌 ] Phillip Redman(2012), Managing Mobile Devices in the Enterprise, Gartner Symposium/ITxpo Ken Dulaney(2012), Directions in Mobile Device Technologies and Management Approaches, Gartner Symposium/ITxpo Philip Redman(2012), Magic Quadrant : Mobile Device Management, Gartner Symposium/ITxpo InfoWorld(Custom Solutions Group), Desktop Virtualization : The Key to Embracing the Consumerization of IT, A Citrix White Paper Mocana Corporation(2012), Mobile App Protection (MAP), A Mocana White Paper LG CNS 정보기술연구원 / 14