-
문서를 모바일 단말기에 남기지 말라는 국정원의 업무용 스마트폰 보안 규격. 이제는 좀 바뀌어야 하지 않을까?Security 2013. 5. 9. 18:42반응형
최근 2~3년동안 꾸준히 화제가 되고 있는 주제가 있으니 다름아닌 스마트워크다. 직장인이 되었건 자영업자가 되었건 일을 좀 효과적으로 하자는 것이 스마트워크의 핵심 주제고 그 배경에는 무선 인터넷의 활성화와 동시에 스마트폰, 태블릿PC 등의 모바일 단말기 시장의 성장이 있었다. 스마트폰이나 태블릿PC, 혹은 휴대하기가 편한 울트라북 등의 모바일 단말기를 이용해서 사무실이 아닌 다른 곳에서 작업을 함으로 사무실로의 이동시간을 업무에 효과적으로 활용하고 물리적인 공간을 차지하는 사무실을 축소하거나 다른 용도로 전용함으로 공간 제약에 대한 부분도 효과적으로 대처하자는 것이 스마트워크를 하고자 하는 정부의 의지가 아니었나 싶다. 어찌되었던 지금도 스마트워크는 여전히 정부를 비롯하여 산업 전반에 화두가 되고 있음은 분명하다.
이렇듯 스마트워크를 진행하는데 있어서 핵심이 되는 키워드가 다름아닌 모바일 단말기이다보니 이 모바일 단말기를 이용하여 어떻게 업무에 활용하는가가 관건이 되고 있다. 요즘 BYOD(Bring your own device)라는 단어가 많이 쓰이고 있는데 자신이 갖고 있는 스마트폰이나 태블릿PC, 노트북 등의 모바일 단말기를 업무에 사용하는 경우가 많아지면서 스마트워크에 점점 많이 가까워지고 있는 것이 사실이다. 어찌되었던 모바일 단말기를 어떻게 업무에 활용하는가가 스마트워크의 핵심 주제이자 어떻게 보면 활성화 여부를 결정짓는 중요한 포인트로 작용하고 있다는 생각이 든다.
모바일 단말기가 업무에 활용되기 시작하게 된 이유로는 모바일 오피스슈트의 발전이 한몫하고 있다. 스마트폰이나 태블릿PC에서 설치된 모바일 오피스 어플리케이션의 성능이 과거에 비해 비약적으로 발전하여 PC에서 만든 문서를 100% 그대로는 아니지만 거의 100%에 가까운 수준으로 보여주고 편집할 수 있는 성능으로 발전했기 때문에 많은 사람들이 모바일 단말기에서 문서를 편집하고 만들어서 업무에 사용하는 경우가 많아지게 되었다. 또한 모바일 웹브라우저의 성능 향상 및 웹 오피스 어플리케이션의 활성화 역시 한몫하고 있는데 웹브라우저를 통해서 문서를 열람하고 편집하고 만드는 작업이 가능하게 되었기에 많은 사람들이 회사에서 만든 문서를 웹에 올려서 외부에서 확인함으로 업무에 활용하고 있으며 이것 역시 스마트워크를 가능케 하는데 한몫하고 있다고 보고 있다. 어찌되었던 핵심은 네이티브 어플리케이션이든 웹 어플리케이션이든 모바일 단말기에서 사용하는 오피스 어플리케이션의 수준이 과거에 비해서 비약적으로 성장해서 이제는 업무에 활용할 수준이 되었고 그것이 스마트워크의 완성에 많은 도움을 줄 수 있다는 것이다.
하지만 이런 스마트워크를 하기 위해서 가장 많이 걸리는 부분이 다름아닌 보안이다. 많은 기업들이 문서에 보안을 적용하여 외부에 유출할 수 없도록 방어하고 있다. 보안을 적용하는 이유는 간단하다. 문서 자체가 기업의 자산이며 기밀 문서의 경우 유출이 되면 기업 자체에 큰 타격을 줄 수 있기 때문이다. 경영진 입장에서는 당연히 보안에 대해서 신경을 쓸 수 밖에 없으며 대부분의 대기업들은 문서 DRM(Digital Rights Management)이라는 문서 보안 솔루션을 적용하고 있다. 마크애니, 파수닷컴 등 많은 직장인들이 들어봤을 법한 보안 회사의 솔루션들이 대기업이나 공공기관, 정부기관에 설치되어서 문서를 보호하고 있다(물론 실제로 일하는 직원들은 저 솔루션만 보면 치를 떠는 경우가 많다 ^^). 지금까지의 이런 문서 보안 솔루션은 PC 기반으로 만들어져있기 때문에 스마트워크의 핵심인 모바일 단말기에 적용하기가 어려웠던 것이 사실이다. 물론 위에서 언급한 회사들도 모바일 시대에 맞춰서 모바일 솔루션을 만들고는 있지만 여러가지 제약으로 인해 제대로 빛을 못보는 것이 사실이다. 그러다보니 스마트워크를 제대로 하고 싶어도 이런 보안으로 인해 제대로 안되는 경우가 더 많다.
최근에 기사 하나를 봤다. 인크로스라는 회사가 국정원으로부터 업무용 스마트폰 보안 규격 심의를 통과했다는 뉴스다. 이 뉴스의 핵심은 스마트폰에 문서를 저장하지 않고도 문서를 열람할 수 있도록 함으로 스마트폰을 분실한다고 하더라도 그 안에 있는 기업의 핵심문서들이 유출되지 않는다는 것이며 이런 가이드라인을 국정원에서 제시했는데 잘 따랐다는 것이다. 왜 이런 가이드라인이 나왔는가를 좀 살펴보면 위에서 스마트워크를 얘기하면서 보안 이야기를 했는데 모바일 단말기에서는 보안이 적용된 문서를 제대로 볼 수 없으니 외부에서 스마트폰이나 태블릿PC로 문서를 열람하기 위해서 보안이 적용된 문서의 보안을 풀어서 원본 상태 그대로 모바일 단말기에 넣고 다니는 경우가 많이 생기게 되었다. 그리고 그런 상태에서 해당 모바일 단말기를 분실하게 됨으로 그 안에 있던 회사의 기밀문서가 보안이 되지 않고 원본 자체로 유출이 되는 문제가 발생하게 되는 것이다. 그래서 국정원에서는 모바일 단말기에서 문서를 열람할 때에는 해당 문서 자체를 모바일 단말기에 남기지 않고 메모리에서만 처리해서 모바일 단말기를 분실하더라도 기밀 문서 유출이 되지 않도록 하라는 가이드라인을 제시하게 된다. 보안이 적용된 문서를 그대로 모바일 단말기에서 볼 수 있으면 그런 문제는 생기지 않겠지만 그렇지 못하기 때문에 저런 가이드라인을 만들게 된 것이다.
자.. 그럼 인크로스가 어떻게 국정원 가이드라인을 잘 따랐는지 살펴보면 문서를 서버에 저장하고 모바일 단말기에는 해당 문서를 이미지로 만들어서 보내고 모바일 단말기에서 어플리케이션을 통해서 보내진 이미지를 받아서 메모리상에서만 열어서 보여주고 저장하지 않고 문서 열람이 끝나면 이미지 자체를 날려버리는 방식이다. 서버에 있는 문서가 중간의 문서 변환를 통해서 이미지로 바뀌고 그 이미지가 모바일 단말기의 어플리케이션으로 전송이 되면 이미지 뷰어를 통해서 보여주고 따로 단말기에 저장하지 않고(심지어 캐시도 저장하지 않는다) 바로 날려버림으로 문서가 모바일 단말기에 남지 않기 때문에 유출되어도 문제가 되지 않는 그런 방식이다. 이미지를 사용하기 때문에 문서 수정은 되지 않지만 이미지로 만들어지는 과정에서 원본 문서의 모습을 100% 가까이 표현하기 때문에 문서 자체에 대한 열람 부분은 더 효과가 좋다는 얘기도 있다(모바일 단말기에서 사용하는 싱크프리 모바일이나 폴라리스 오피스 등의 모바일 오피스슈트는 PC에서 만들어진 문서를 100% 다 표현하지는 못한다). 분명 보안적으로는 확실하기 때문에 기업 입장에서는 모바일 그룹웨어 도입과 함께 많이 도입하려는 방식이기도 하다.
그런데 여기에 한가지 의문이 생긴다. 문서 자체가 아니라 문서를 이미지로 만들어서 열람하는 방식이다. 그래서 위에서 언급했듯 문서 보기는 가능할지 모르겠으나 문서를 편집하거나 새로 만드는 것은 불가능하다. 심지어 기안문서의 경우 결제를 해야 하는 경우가 있는데 그런 경우에는 또 다른 방식을 도입해서 결제를 진행해야 한다는 불편함도 있다. 즉, 국정원의 규약, 가이드라인대로 하게 된다면 스마트워킹을 하면서 문서 보기는 가능할지 모르지만 해당 문서를 편집해야 할 경우, 혹은 외부에서 문서를 만들어야 할 경우에는 아예 불가능하다는 얘기가 된다. 스마트워크를 통해서 업무를 볼 때 문서를 보기만 한다면 모를까 그 이상의 작업을 하는 경우에는 현재의 국정원 가이드라인은 제약사항이 많다는 얘기가 된다.
물론 가이드라인 자체가 스마트폰에 한정되어 있다고 말할 수도 있을 것이다. 그리고 스마트폰에서 문서를 만든다던지 편집한다던지 하는 것 자체가 더 불편하다고 말할 수도 있다. 스마트폰에 한정지어서 말한다면 그 말이 옳을 수 있다. 하지만 태블릿PC가 이제 스마트워크의 핵심으로 떠오르고 있는 상황에서 스마트폰의 5인치급 화면에 구애받지 않는 7인치급 이상의 화면으로 문서를 열람할 때 당연히 편집 및 생성에 대한 요구사항은 나오게 될 것이다. 현재의 국정원 가이드라인으로는 태블릿PC에서도 이미지를 통해서 문서를 봐야만 한다. 수정할 수 없다는 얘기다. 그렇다면 그 가이드라인을 시대에 맞춰서 바꿔야 할 필요가 있다.
한가지 함정이라고 생각되는 것은 국정원에서는 문서를 단말기에 남가지 말라고 했을 뿐이지 이미지로만 처리하라고 하지는 않았다는 것이다. 이미지 처리는 업체들이 국정원 가이드라인을 보고 현 시점에서 가장 적합한 방법을 찾다보니 나온 기술이다. 하지만 현재의 기술상태에서는 어떻게 보면 국정원 가이드라인을 맞출 수 있는 거의 유일한 방법으로 얘기되고 있는 것이 사실이다. 싱크프리 오피스나 폴라리스 오피스 등의 네이티브 모바일 오피스 어플리케이션을 사용한다면 서버를 통해서 문서를 받는다고 하더라도 속도나 여러가지 면으로 인해 모바일 단말기에 일정부분 내용을 캐싱하는 용도로 저장할 수 밖에 없는데 국정원 가이드라인은 그것조차 용납하지 않는 상황이다. 그렇게 되다보면 용량이 적은 문서는 메모리로 가져와서 작업하거나 하는 것이 가능할지 모르나 프리젠테이션 문서들은 대부분 1MB를 넘어 보통 10MB씩 되는데 메모리를 많이 사용할 수 있는 PC가 아닌 제약이 있는 모바일 단말기 입장에서는 용량이 큰 파일을 메모리에서 처리하는 것은 부담이 될 수 밖에 없다. 또한 서버에서 필요한 문서 부분을 가져와서 편집하는 기술을 쓴다고 하더라도 지속적인 네트워킹 작업이 일어나게 되면 그렇게 되면 네트워크 속도 이슈가 당연히 나오고 트래픽에 따른 요금 부담도 만만치 않게 된다. 방법이 아예 없는 것은 아니지만 현재의 상태에서는 부담이 커서 적용하기 힘들다는 얘기다.
그렇다면 국정원의 가이드라인을 바꿔주면 된다. 현재의 상황에 맞게 말이다. 보안된 문서를 보안된 상태로 볼 수 있는 기술을 도입하면 허용하는 방식이라면 어떨까? 회사에서 사용하고 있는 문서 보안 솔루션이 적용된 문서를 그상태 그대로 볼 수 있게 해준다면 말이다. 보안이 적용되어 있으니 유출이 되더라도 적용된 보안으로 인해 열람이 어려울 것이기 때문에 말이다. PC에서 적용된 보안 수준과 같은 수준의 보안성을 유지할 수 있으면 되지 않을까 하는 생각이 들어서 말이다. 그러면 모바일 오피스 어플리케이션을 통해서 수정이나 생성도 가능하게 되니 스마트워크에 더 적절하지 않을까 싶다.
말이 좀 주저리 길어지기는 했지만 하고자 하는 말은 이거다. 국정원 가이드라인 자체에 문제가 있는 것은 아니다. 위에서 언급했듯 현재의 가이드라인으로도 문서 열람 외에 편집이나 생성이 가능한 방법은 있다. 하지만 현 시점에서 여러가지 정황상(기술적인 측면까지 포함해서) 도입하기 어려운 것이 사실이며 그 때문에 어떻게 보면 스마트워크를 제대로 다 활용하지 못하는 상황이 연출되고 있는게 아닌가 하는 것이다. 그렇기 때문에 현 시점에서 충분히 활용할 수 있는 방식을 고려해서 가이드라인을 다시 내려주면 어떨까 하는 것이 내 생각이다.
반응형댓글