[CIO BIZ+/CIO 체크리스트]BYOD 시대, CIO가 주목해야 할 점

관련 통계자료 다운로드 삼성SDS BYOD 대응 사례

모바일 환경 발달로 BYOD(Bring Your Own Device) 시대가 열리면서 최고정보책임자(CIO)가 신경 써야 할 부분이 하나 더 늘었다. 보안성을 높이면서 직원이 사용하는 다양한 장비를 업무에 접목하도록 지원할 필요가 생겼다. `모바일=편의성=업무 생산성 향상`이라는 시대적 흐름을 좌시할 수 없는 상황이다.

최근엔 장비가 다양해지면서 일정 수량 이하로 장비를 제한하는 CYOD(Choose Your Own Device) 개념도 생겼다. 회사는 제한된 종류의 장비만 지원하고 직원은 그 안에서 사용할 기기를 선택하도록 하는 전략이다. 장비를 무한대로 지원하기는 쉽지 않기 때문이다.

새로운 기술이 그러하듯 BYOD 역시 다양한 위험 요소를 안고 있다. 이에 따라 BYOD 환경 도입 시 여러 사항을 고려해야 한다. 우선 BYOD의 기술적 타당성을 검토해야 한다. 임직원이 직접 장비를 구매하더라도 지원 환경을 마련하고 운영하는 데는 적지 않은 비용이 든다. 따라서 기술적으로 제대로 된 지원이 가능한지 검토해야 한다.

관련 규정도 살펴봐야 한다. 노동명 SK C&C 컨설턴트는 “고객 정보에 접근할 수 있는 직원 단말의 분실 시 기업과 개인 간 책임소재를 명확히 할 수 있는 규정이 필요하다”며 “규정을 만든 후 동의서명을 받아 추후 발생할 문제에 대비해야 한다”고 말했다.

BYOD에 맞는 최적의 업무를 발굴해야한다. 모든 업무를 모바일화할 필요는 없기 때문이다. 사용자를 대상으로 한 사전 조사가 반드시 선행돼야 한다.

프라이버시 침해 여부도 고려 항목이다. 업무용으로 기기를 사용하는 경우에만 보안 정책을 적용해야 한다. 이에 대해 직원과 사전 합의가 이뤄져야 한다.

장동고 LG CNS 책임연구원은 “솔루션은 체계를 효과적으로 관리하는 도구일 뿐”이라며 “프라이버시를 지키기 위해 보안조직과 IT조직이 회사 차원의 치밀한 보안정책을 수립하고 적용해야 할 것”이라고 충고했다.

CYOD 정책을 도입하려는 곳이라면 어떤 모바일 기기들을 허용할지 정해야 한다. iOS 기반 스마트폰과 스마트패드부터 안드로이드 기기, 윈도8 기기 등 많은 선택이 필요하다. 안드로이드 기기는 제조사에 따라 성능과 기능 차이가 있어 세부적 정책 수립이 요구된다.

엄격한 보안 기준은 필수다. BYOD 대상 기기는 시스템으로 관리해야 한다. 누가 어떤 애플리케이션에 접근하고 어떤 데이터를 사용하는지 효과적으로 모니터링할 수 있어야 한다. 출입 시 제한할 기능(카메라·와이파이(WiFi)·블루투스·화면캡처 등)을 명확하게 해야 한다.

기존 방식으로는 직원 프라이버시를 보장하면서 보안성을 강화하기가 쉽지 않다. 따라서 개인과 업무 영역을 분리할 필요가 있다. 두 영역을 분리 후 업무용 앱과 데이터만 기업에서 관리하는 정책이 필요하다.

삼성SDS EMS팀 관계자는 “업무 영역을 분리하면 기업 리소스 접근 관리를 위한 사용자 인증과 암호화가 가능해져 기존 MDM 솔루션의 한계를 극복할 수 있다”고 말했다.

안호천기자 hcan@etnews.com