http://resources.infosecinstitute.com/사이트에서는 다양한 해킹 공격 시연 문서 및 방어들이 정기적으로 배포되고 있습니다. 입문자들대상으로 설명한 문서들이 많아서 연구 목적으로 번역을 시작하였습니다. 앞으로도 좋은 컨텐츠에 대해서는정기적으로 번역을 해서 배포하도록 하겠습니다. 번역에 참여해주신 이승준님(에디) 께 감사합니다. |
개요:
BYOD(Bring Your Own Device)현상은 믿기지 않는 속도로 퍼져나가고 있다. 크고 작은 모든 업무에 영향을 끼치고 있는 것이다. 각 기업은 어떻게 완전한 무관심으로부터 비즈니스 위험을 최소화 하면서 직원의 생산성을 극대화 할 수 있는 정교한 프로세스와 컨트롤을 전체 수용할 지에 대해 다뤄야 한다.
이 글의 목적은 어떻게 직원들이 그들의 업무에 관련해서 사용하는 기업이 가지고 있는 정보에 대해 소통하고 저장하며 접근할 수 있는 개개인의 장비에 대해 제어를 할 수 있는지 정보를 주기 위한 것이다.
이 전에 BYOD에 대해 전혀 듣지 못해봤더라도, 아마도 알고 있을 것이다.
몇 년전만 해도, 대부분의 기업들은 직원들에게 회사 자원에 대해 이메일과 같이 접근 할 수 있도록 블랙베리와 같은 모바일 장비를 지급 하는 것이 매우 인기 있었다. 이 것은 그들의 강력한 중앙 관리 능력이 있었기 때문이다. 장비들이 회사에 속한 물건이기 때문에 회사는 설정, 사용, 장비의 보안에 있어서 완전히 제어 할 수 있었다.
최근에 모바일 장비들이 소비자들에게 출시되고, 이 것은 개인용으로 사용되거나 이메일을 하고 네트워크를 통해 문서들에 접근하고 웹을 기반으로 한 인트라넷 앱들을 사용는 등의 수준 높은 능력을 지니고 있다. 직원들은 이미 그러한 장비들을 개인용으로 사용하기 위해 샀고, 회사에서 지급한 장비를 따로 가지고 다니는 것보다는 개인장비로 업무를 다루는 것을 훨씬 선호한다.
BYOD를 신경쓰고 다뤄야 하는 이유는 개인장비를 쓰고 지지하는 직원들의 압력은 계속 증가할 것이기 때문이다. 만약 회사에서 지급하고 소유하는 장비만을 허락하고 개인 장비의 사용을 막으며 BYOD를 완전히 억압한다면, 결국 직원들의 좌절에 의해 사이가 틀어지는 것을 피하지 못 할 것이다. 대부분의 직원들은 그들의 고용인의 목적에 헌신하고 최고의 의도와 가능한 가장 효율적인 방법으로 그들의 일을 하길 원한다. 만약 그들의 효율성을 높이기 위해 인기있는 방법을 멀리 하게 된다면, 그들은 결국 덜 제한적인 다른 회사들로 등을 돌리게 될 것이다.
하지만 직원의 생산성과 좋은 사기를 위해서 BYOD를 수용하는 것이 단순히 문을 완전히 열어 개방한다는 것과 같다는 것은 아니다. 회사에 보안 위험들을 최소화 하면서 직원들이 생산적이게 될 수 있도록 개인 장비 사용을 허용하기 위해서는 몇 가지 거쳐야 할 단계가 있다. 그 것은 프로세스의 요소들에 적용할 도구들과 프로세스들을 제대로 취할 수 있도록 하는 단계들이다.
팁:
첫번째. 누가 네트워크와 데이터에 접속하는지 알아야한다
당연한 말이지만, 집고 넘어가야할 필요가 있다. 일반적으로, 이메일 서비스와 VPN그리고 사용자 데이터베이스를 소유한 인트라넷 어플리케이션들에 어떤 계정들이 활성화 되어있는지 살펴봐야 한다. 접근 권한이 없어야만 하는 사람들중(예전 직원, 계약자 등등) 계정이 활성화 된 것이 있는가? 상당한 횟수의 실패한 로그인과 같은 일반적이지 않은 활동을 하는 계정이 있는가? 어떠한 인증도 필요없이 비즈니스 데이터에 접속 할 수 있도록 열려있는 접근이 있는가?
이 것은 단지 모바일 장치에 특정된 것은 아니다. 네트워크에서 열려있는 모든 것에 대해 의식하고 있어야 한다. 누군가가 회사 데이터에 접근해 가져갈 수 있는 모든 장소가 이 경우에 포함되며, 접속이 이루어지는 모든 종류의 엔드포인트를 모니터링 해야만한다.
두번째. 어떤 데이터가 무선으로 접속 되는지 알아야 한다
직원들이 업무용으로 사용하는 회사가 가지고 있는 몇몇 정보들은 외부 손에 거쳐 수정되어도 특별한 가치가 없기 때문에 손실 위험이 없다. 다른 정보들은 극도로 가치가 있기 때문에 단단히 지켜야만 한다.
외부에서 접근할 수 있는 상대적 위험이 있는 데이터에 우선순위를 매기는 것이 도움이 된다. 물론 매우 민감한 데이터를 가지고 있는 곳에 접속하는 것을 제어하는데 더 많은 노력을 들이고 싶고, 위험이 적은 데이터가 있는 곳에는 노력을 덜 하고 싶어하거나 아예 노력을 하지 않길 원할 수도 있다.
세번째. 직원들의 장비가 어떻게 설정되어있는지 알아야 한다
모바일 장비들은 높은 민감도를 가지고 있는 기업 데이터가 물리적 손실로 이어지기 때문에 특히 관심을 가지게 된다. 직원이 일을 하기 위해 올바른 접근을 필요로 하는 모든 데이터가 있는 장치가 다른 사람의 손에 넘어갈 경우 법적 책임이 있다. 그들의 폼 팩터 위험 뿐만 아니라, 전자수단을 통해서도 데이터 손실의 추가 위험이 있다. 취약점들은 모든 종류의 인기있는 모바일 장치 플랫폼에 존재한다.
가장 즉각적이고 효율적인 방어 방법은 적어도 네트워크에 접속하기 위해 사용되는 각각의 장치가 장치로부터 데이터 손실의 위험을 최소화 할 수 있도록 제대로 설정이 되어있는지에 대해 확인하는 것이다. 부록에는 확인 해야만 하는 몇몇 특정 설정들을 제시하고 안전한 설정을 위해 세부사항을 제공하는 몇몇의 다른 소스들이 있다. 하지만 가장 중요한 부분은 직원이 직접 그들의 장비들을 안전하게 설정하는지 확인하는 방법을 사용하는 것이다.
이 부분은 다음 팁으로 넘어간다.
네번째, 관리 그리고/또는 감사 툴
직원들이 스스로 장비들을 안전하게 설정하는지 확인하는 가장 기본적인 방법은 그들에게 어떻게 이 작업을 하고 정책 준수까지 하는지 직접 구두나 서면 설명을 제공하는 것이다. 하지만 여기에는 잠재적인 문제들이 있다.
엄격한 교육을 통해 설명지침을 기본 소양처럼 만들지 않는 이상 직원들을 심지어 부지런할지라도 설명지침에 대해 잊어버리는 경향이 있다.
처음에는 그들이 설명지침을 잘 따라올 수 있지만, 시간이 지날 수록 잊어버리게 되고 장비들을 더 위험한 설정에 노출시키게 된다.
단순히 설명지침을 믿는 것보다는 사람들이 그 안내를 잘 따라오는지를 확실히 아는 마음가짐을 지녀야만 한다.
가장 좋은 접근은 자동으로 장비들 설정에 대해 보고하고 직원들이 제대로 안전한게 설정했는지 도와주거나 강제적으로 할 수 있는 도구를 사용하는 것이다. 이러한 도구들의 좋은 점은 어떻게 직원들 장비들을 구성해야 하는지에 대한 좋은 통찰력을 주고 이전에 올바르게 구성한 정책에서 어느 부분에서 이탈을 했는지 알려준다. 또한 직원들을 위해 자체적으로 올바른 설정을 가이드 해주거나 원하는 설정으로 미리 구성을 해준다.
일반적으로 가장 권장되는 도구는 MDM(Mobile Device Management)이다. 그러나 MDM도구들은 다소 무거운 솔루션이고 많은 소규모의 조직들이 필요로 하는 것보다 더 많은 것을 지니고 있을 수 있다.
직원들의 장비를 직접 제어하지 않기 때문에 BYOD에 더 적합한 대체 방법이 있다. 새로운 툴은 현재 장비에 대한 설정을 보고하는Mobile Device Auditing을 제공하지만, 장비에 대해 완전히 제어하지는 않는다. 이러한 도구들은 BYOD장비들을 다루기에 더 가벼운 접근이 될 수 있고 직원들에게 더 인기가 많을 것이다.
다섯번째, 직원들과 제대로 소통을 해야한다.
BYOD를 사용하는 고용된 직원들과 그들의 장비에 대해 어떠한 종류의 모니터링을 하고 제어하는지 명확히 말하는 것이 중요하다. 예를 들어,
어떤 데이터가 모니터링 되는가?
어떤 설정이 자동으로 수정될 것인가?
그들의 장비에 대한 정보가 회사에 어떻게 사용될 것인가?
데이터 보존 기간은 어느 정도인가?
Etc.
어떤 방법으로 직원 장비들을 감사 또는 제어한다면, 그 장치에 대해 어떤 것을 볼 수 있고 수정할 수 있는지에 대한 정보를 명확히 써놓은 서면 계약이 필요할 것이다.
직원들이 어떠한 책임을 가지고 있는지 깨닫게 하는 것 또 중요하다. 예를 들어,
장비에 안전한 설정을 유지한다.
모든 수상한 행동에 대해 즉시 보고한다.
장비를 잃어버리거나 데이터 유출이 의심된다면 즉시 보고해야한다.
회사 감사에 사용되는 모든 대리인들은 작업 순서에 의해 보관되도 확실히 해야한다.
Etc.
여섯번째, 어떠한 도구를 사용해도 사용자 장비의 개인정보를 침해해서는 안된다.
BYOD 장비들이 기업 데이터에 접속하는데 사용되어져도 그 장비는 여전히 직원들 소유라는 것을 기억해야 한다.
양쪽 당사자들의 요구를 충족시키는 균형을 맞추는 것이 중요하다. 회사 정보의 위험 손실을 줄이기 위한 안전한 방법이 장비에서 사용되고 설정되도록 편한 방법이 필요하다. 그것은 장비들이 기업 데이터의 보안을 직접적으로 손상시키지 않도록 어떠한 경우든 개인 용도로 사용될 수 있어야 한다.
고용주들이 필요로 하지 않는 내용이나 정보에 대해 접근권한이 없다는 것을 직원들이 안다면 더 좋아 할 것이다. 이 것은 GPS위치와 문자 또는 기업과 관련없는 계정의 이메일과 같은 사적인 통신 내용을 포함한다.
대부분의 MDM시스템들은 장비들을 제어할 것이다. 그것들은 현재 설정 상태에 대해 알고 보안 정책에 의해 알려진 설정에 맞게 장비를 강제적으로 변경한다. 이와 같은 결과는 고용주들이 기본 구성 설정만 알기를 원하고 장비에 대해 강제적 수정을 원하지 않는 직원들에 의해 반발이 일어날 수 있다. 만약 이와 관련해 걱정한다면, 기존의 일반적인 MDM시스템 보다는 Mobile Device Auditing 도구를 사용하는 것을 고려해야 한다.
일곱번째, 손실된 데이터에 대해 어떻게 다룰지 계획을 세워야 한다.
데이터 손실 위험을 줄이기 위한 최고의 접근방법은 위험을 완전히 제거하는 것이 아니라 줄이기 위한 것임을 깨닫는 것이다. 어떠한 데이터 손실의 위험이든 이것을 완전히 제거하는 것은 불가능 할 뿐만 아니라 비용 감당도 안 될 것이다. 앞에서 언급한 팁들은 위험이 가장 큰 곳을 파악하고 위험이 가장 큰 곳에 최대한 노력을 기울일 수 있도록 구성되있다.
위험이 감소되고 완전히 제거되지 않는 한, 데이터가 손실 될 경우 무엇을 해야할지 준비할 필요가 있다. 누가 알림을 받아야 하는지, 영향을 받은 시스템에 즉시 어떠한 구성 변경을 할지, 어떠한 포렌식 행동을 취할지 등등에 대해 생각해야 한다. 스트레스가 심한 시간이 될 수 있기 때문에 서면으로 계획을 작성해서 효율적으로 계획을 따를 수 있도록 해야한다.
하지만 이것에 대해 너무 스트레스를 받지 않아야 하기 때문에 다음에 나올 팁들은 가능한 최대로 비용 문제의 위험을 줄일 수 있는 방법을 소개 할 것이다.
여덟번째, 정기적으로 감사를 진행해야 한다.
위의 팁에서 간략히 제시된 조항 모두가 앞으로 정기적으로 재점검되어야 하는 것은 중요하다. IT 시스템들은 시간이 지남에 따라 변경해야 하고 프로세스들과 도구들을 기업 정보 시스템들의 현재 상황에 맞춰 최신으로 유지 하도록 확실히 해야 한다.
아홉번째, 최종적으로 정책들을 준수할 수 있도록 증명하는 계획을 세워야 한다.
아마 기존의 서버와 데스크탑 엔드포인트에서 이 일을 이미 했을 수도 있다. HIPAA,PCI, Sarbanes Oxley 등 과 같은 규정 준수에 따라 외부 기관에 보고해야 할 수도 있다. 또한 IT 보안에 특정 수준을 보장 받는 것을 원한다면 회사 내부의 감사들에게 보고할 필요도 있다.
이러한 활동은 현재의 기존 시스템들에 적용되는 것과 같이 필연적으로 모바일 장치들을 충당 할 수 있도록 확대될 것이다. 이 규정이 모바일 장치에서 네트워크에 접속해 제어를 요구하는 것까지 확대 되기 전까진 단지 시간 문제일 뿐이다. 만약 부지런하게 이미 여기에서 주어진 팁들중 하나라도 진행을 했다면 자연스럽게 이 규정을 다루는데 잘 준비가 되어 있을 것이다.
열번째, 마음을 크게 쓰는 노력을 통해 직원들의 행복지수를 높여라
여기서 언급한 여러 절차들을 실행하기 위해서는 계획, 노력, 그리고 자원 지출이 요구될 것이다. 그러나 이 모든 것이 결국 결실을 맺을 것이라는 것에 위안을 가져야 한다. 회사 경영진들을 체계적으로 데이터 손실 위험을 감소시킨 것만으로도 행복해 할 것이고, 고용주들은 그들의 성공에 장애물이 된다고 생각치 않고 오히려 같이 일해서 생산적이라는 것에 대해 신날 것이다.
부록: 위험 완화를 위한 최고의 구성 설정들
모바일 장치들을 안전하게 구성하는 방법에는 몇 가지 자료들이 있다. 안드로이드를 위한 방법이 다음 링크에 있다.
http://resources.infosecinstitute.com/android-tips-and-settings/
http://www.cio.com/article/675129/Android_Security_Six_Tips_to_Protect_Your_Google_Phone
보안 전문가들이 세부 구성에 대한 것을 발표하기 전까지 다음의 짧은 리스트가 BYOD 장치들을 확인하는데 좋은 시작이 될 수 있을 것이다.
1. 장치에 스크린 락이 설정 되있어야 한다
만약 아무 대응책이 없다면, 직원이 기업 데이터에 접근 할 수 있는 모든 장치들이 스크린 락과 같은 설정이 되어 있는 것을 확실히 해야 한다. 장치들은 잃어버리기가 쉽고 스크린 락이 없다면 장치를 발견 하는 사람은 누구든지 모든 것에 접근해 열람할 수 있을 것이다.
안드로이드와 같은 플랫폼은 다양하고 서로 다른 스크린 락들을 제공한다. 만약 지문인식과 같은 생체측정의 락이 있다면 가장 최선의 방법이다(하지만 아이스크림 샘드위치에 있는 얼굴 인식은 몇몇 취약점이 있다는 것을 알고 있어야 한다). 4개 이상의 숫자를 쓰는 PIN락이 그 다음 차선책이다. 패턴 인식은 아무 것도 안하는 것보다는 낫지만 자국이 남는 문제가 있다는 것을 알아야 한다.
또한 스크린이 꺼지고 짧은 시간이내에 스크린 락이 설정 되도록 시간을 설정해야 한다.
2. 루팅된 장치들을 허용하면 안된다
루팅이 된 모든 장치들은 여러 방법으로 취약하다. 이러한 장치들은 BYOD를 위해 사용되어서는 안된다.
3. 모든 앱들이 최신 버전을 유지해야 한다
기존의 데스크탑과 같이 보안 헛점은 다양한 어플리케이션에서 항상 발견되고 대부분의 판매자는 취약점을 발견하자마자 패치하는 부지런함을 보여준다. 장치에 설치된 모든 앱은 최신 버전으로 유지되야만 한다.
4. 마켓에 없는 앱은 허용하면 안된다
iOS에서는 마켓에 없는 앱은 설치할 방법이 없고 모든 앱들은 애플에 의해 분석된다. 하지만 몇몇 안드로이드 장치들은 안드로이드 마켓에 없는 앱들을 USB테더를 사용하여 장치를 디버거로 연결하면 설치 할 수 있다. 구글이 애플과 같이 안드로이드 마켓에 있는 앱들을 분석하지는 않더라고, 문제가 있는 앱이나 악성코드가 있는 앱들은 다 삭제 된다. 공식적인 마켓을 사용하는 것이 다른 소스를 통한 앱보다 훨씬 낫다.
5. 개인정보는 평문으로 저장되서는 안된다
모바일 장치는 휴대성때문에 완벽한 PIM(Personal Information Management) 환경을 가지고 있다. 그 것은 일반적으로 접속하는 다양한 웹사이트들과 시스템들을 위해 여러 로그인 정보들을 모두 저장하는 장소가 된다. 장치가 유출된다면 이 것은 특별히 더욱 민감한 정보들이 될 것이다. OI Safe와 같이 암호화된 양식으로 데이터를 저장하는 어플리케이션을 사용해야 한다.
6. 전용 네트워크가 아닌 다른 Wi-Fi연결을 허용하면 안된다
공개 Wi-Fi는 스니핑에 취약하고 다른 공격들에도 역시 취약하다. 일반적으로 공개 Wi-Fi네트워크는 사용하지 않는 것이 최선이다. 이상적으로, 장치들은 오직 회사 접속을 위해서라면 회사 Wi-Fi네트워크만을 사용해야 한다.
7. 개발 설정을 비활성화해야한다
안드로이드 장치에서는 정보조작을 막기 위해 USB디버깅과 모의 위치와 같은 개발 설정을 꺼야 한다.
원본 문서 : http://resources.infosecinstitute.com/tips-managing-byod-security/
'Infosecinstitute 번역' 카테고리의 다른 글
[번역문서] 직장에서 소셜 미디어 제한하기 (0) | 2013.01.29 |
---|---|
[번역] 초보자를 위한 8가지 보안툴 (0) | 2013.01.20 |
[번역문서배포] (Infosecinstitute) THE EASIER FORM OF HACKING SOCIAL ENGINEERING (0) | 2012.12.31 |
[번역문서배포] (Infosecinstitute) Web Vulnerabilities Explained (0) | 2012.12.31 |
[번역문서배포] (Infosecinstitute) INSIDE ANDROID APPLICATIONS (0) | 2012.12.31 |