우키의 보안이야기

원문링크: http://www.boannews.com/media/view.asp?idx=21522&kind=1

   스마트폰의 활성화와 더불어 스마트폰 보안에 대한 우려가 나타나고 있는 가운데 스마트폰 보안을 노트북이나 PC보안과는 다른 관점에서 봐야한다는 의견이 제기됐다. 

  스마트폰 블랙베리의 제조사인 리서치 인 모션(RIM)의 샌 모이(Zane Moi) 리서치 인 모션 아태지역 이사는 15일 서울 웨스틴조선 호텔에서 개최된 스마트폰 보안 간담회에서 “스마트폰은 노트북과 달리 제품의 특성과 활용도가 달라 모바일의 특징을 고려한 보다 섬세한 보안 장치와 정책을 수립할 필요가 있다”고 말했다.

최근 스마트폰에서 나타나는 보안위협
1. 스마트폰 분실에 따른 위협
2. 스마트폰에 탈장착 가능한 플래시 메모리 도난,
3. 탈옥폰(Jail Breaking)에 대한 보안 위협
4. 앱스토어에 올려 진 어플리케이션에 삽입된 악성코드
5. 설치된 어플리케이션 업데이트 푸시에 삽입된 악성코드  

샌 모이 이사는 “아직까지는 공격자들이 수많은 스마트폰OS에서 어떤 플랫폼을 해킹할지에 대한 고민이 많아 공격의 수와 파워가 크지는 않지만, 앞으로 스마트폰 공급이 점차 늘어나면서 결국 각 OS에 대한 전문적인 해킹 공격이 나타날 것”이라며 “앞으로는 PC보다 스마트폰의 출하량이 많아지고 스마트폰에 담긴 정보가 개인적이고 기밀정보라는 점을 파악한 공격자들은 점차 스마트폰을 공격대상으로 여길 것”이라고 경고했다.

 특히 사용자들이 애플리케이션 다운로드에 대한 불감증이 점차 늘어나 무분별하게 다운받는 애플리케이션도 늘어나게 되면, 공격자들은 이 점을 노리고 악성코드를 심게 될 것이라고 우려를 나타냈다. 그보다 더 큰 위협은 초기에는 정상적인 애플리케이션으로 제조사나 사용자에게 신뢰를 얻은 후, 업데이트 푸시(업데이트를 알려 다운받도록 하는 기능)을 통해 악성코드를 심을 수 있다고 지적했다.  그리고 스마트폰은 노트북은 같은 이동형 디바이스지만 사용에 있어 배터리 외에 전원확보가 쉽지 않고 통화와 연락을 위해 끄지 않고 있어야 하는 특성이 있기 때문에, 광범위한 영역에서 사용이 가능하지만 보안적인 관점에서는 노트북과 다른 형태를 가지고 있어야 한다는 주장을 펼쳤다.  샌모이 이사는 “가령 노트북의 경우 안티바이러스 프로그램을 이용한 실시간 악성코드 감시와 감염 여부를 확인하기 위해 전체 검사가 가능하지만, 스마트폰의 경우 배터리의 한계로 실시간 감시가 쉽지 않고 통화 등 대기 작업 때문에 전체검사를 하기 힘들다”면서 “만약 스마트폰으로 전체검사를  몇 번 할 경우 배터리가 다 소모될 수 있다”고 말했다.  

  결국 이런 복잡한 환경을 감안해 스마트폰보안은  ‘사용성’과 ‘보안 이슈’ 간의 균형이 이뤄야 한다고 주장했다. 즉, 스마트폰 사용자는 교육을 통해 패스워드 설정이나 위험한 애플리케이션 다운을 지양하는 등 노력이 필요하다는 지적이다.  특히 기밀정보를 가지고 있는 기업에서 스마트폰을 도입하려는 경우에는 반드시 모바일 보안 정책을 수립해야한다고 설명한다.  그는 “기본적으로는 기업내에서 와이파이 같은 무선통신 암호화와 스마트폰 자체에도 암호화를 해야 하며, 스마트폰의 특징과 성능에 있어서 중앙 집중적 통제와 관리가 가능할 수 이도록 기술과 환경을 구축해야한다”면서 “어플리케이션 다운로드 및 설치에 대한 제어가 가능한 모바일 보안 장치를 도입해야한다”고 말했다

  감사받을때 제일먼저 질문받는 것 중에 하나가  “귀사에는 보안관리규정이 있습니까?”라는 것입니다.  문서가 있다는 것이 일단 출발점입니다. 문서조차도 없다면 이 회사는 아예 관리노력을 하고있지않고 또 관리되지도 않는다고 인식되어 지고 맙니다.  보안관리규정 문서들을 제출할수 없다면   그 결과는 ‘신뢰할수없음’ 판정을 받게 되겠죠..  일단 문서는 모두 갖추어 놓고 보아야 합니다.

  먼저 문서화된 규정들이 있는지 확인하고  그 다음에 그 문서대로 규정이 실제로 지켜지고 있는지 점검하는 작업을 하게 됩니다. 실제로 보안규정을 직원이 알고있는지,,   규정이 현장에서 제대로 지켜지는 설치된 시스템및  운영 기록물을 찾게 됩니다.   보안 관리 규정을 잘 만들어 놓는 다는 것은  회사가 신뢰할수있다고 평가받을 수 있는 첫걸음임을 인식해야 할 것 같습니다.

  보안관리 규정은 기업의 정보자산을 보호하기위해 가장 기본이 되는 것입니다.

  ▶ 보안관리규정 작성 원칙
   1. 내용이 모호해서는 안되며, 표현이 정확해야 함
   2. 이해하기 쉬워야 함
   3. 선언적이기보다는 구체적인 실행이 가능해야 함
   4. 내용이 자세하게 언급되어 있어야 함

  ▶ 보안관리규정에 포함되어야 할 사항
 
1. 보안업무의 분류
   2. 보안업무의 조직및  기능
   3. 자산의 분류와 관리
   4. 인적 자원관리
   5. 시설관리및 침입방지
   6. IT 보안관리
   7. 보안규정 위반자 조치사항
      위 사항들이 포함되어 있어야 합니다.

  ▶ 보안관리규정의 개정과 공지
 
1. 보안관리규정은 주기적으로 개정해야 함.
  2. 보안관리규정이 개정되었을때 모든 임직원에게  그 내용을 공지해야함.
   3. 보안규정을 적용함에 있어서 만들어지는 지침, 절차들도 임직원들이 그 내용을 인지할수있게 조치해야함

실재로 보안관리규정을 만들려고 하면 쉽지않다는 것을 많이 느낍니다. 뭔가 많이 정리해야할 것 같기는 한데 막상 정리하려면  정리가 잘 안됩니다.  어디엔가 좋은 템플릿이 있다면 하고 인터넷을 뒤지게 되죠..    최근 중소기업청 주관으로 교육받은 내용중에 좋은 보안관리규정 샘플이 있어서 여기 소개합니다.

1506970389.doc
 

중소기업 기술유출 대응매뉴얼에 수록된 보안관리규정 샘플을 Microsoft Word버전으로 작성했습니다.