BYOD(Bring Your Own Device)의 대중화로 인해 개인적으로 사용하는 스마트폰이나 태블릿 PC를 업무 용도로도 활용하는 경우가 대부분이다. 이는 기업 입장에서는 관리와 보안에 문제를 가져올 수 있기에 많은 기업들이 대응책 마련에 고심하고 있는 부분이기도 하다.
이미 10여년 전부터 휴대폰의 카메라를 통한 정보의 유출 가능성이 지적돼 왔었고, 이를 방지하기 위한 목적으로 보안 스티커(Void Label)이 활용돼 왔다. 보안 스티커는 스티커를 부착했다 제거할 때 VOID라는 표시가 드러나, 붙였다 떼었다는 것을 눈으로 확인할 수 있게 해 준다. 현재 보안 스티커는 접착면에 VOID 표시를 남기는 잔류형, 그리고 접착면에 VOID 표시를 남기지 않고 말끔하게 떼어지는 비잔류형이 있다. 일반적으로 휴대폰의 카메라를 가리는데 사용되는 보안 스티커는 비잔류형이다.
보안 스티커에 대한 관리 감독 부족
이 비잔류형의 경우 비교적 저렴한 비용으로 휴대폰의 카메라를 무력화할 수 있고, 스티커의 개봉 상태를 쉽게 육안으로 확인할 수 있다는 장점으로 인해 지금까지도 관공서나 기밀이 중시되는 기업을 중심으로 많이 사용되고 있다. 하지만 이 보안 스티커에는 몇가지 단점이 있어, 완벽한 보안 솔루션이라고 하기는 어렵다.
예를 들면 많은 직원들이 보안 스티커를 매번 붙였다 떼는 과정을 거치지 않기 위해, 출근시 붙인 스티커를 퇴근시 떼지 않고 지속적으로 계속 사용하는 경우가 많다. 이런 경우 보안 스티커의 모조품을 만들 수 있다. 완벽한 보안을 위해서는 보안 스티커의 외부 유출을 막아야 함에도 불구하고 이를 묵임함으로써 보안 위협을 자초할 수 있는 것이다.
또 다른 문제로는 스마트폰의 대부분이 코팅된 강화유리 표면을 가지고 있어, 스티커의 접착력이 약해져 접착이 어렵고, 접착이 됐다고 하더라도 VOID 마크가 표시되지 않는 상태로 떨어지는 경우까지 발생한다. 이런 경우 보안 스티커를 떼고 사진을 찍은 후 다시 붙인다고 해도 확인할 수 있는 방법이 없는 것이다. 물론 최근에는 강화유리용 보안 스티커가 별도로 제작되고 있지만, 이또한 완벽한 해결책은 아니라는 점이 문제다. 유리 표면에 남아있는 유분이나 화장품 등으로 인해 접착력이 저하될 수 있기 때문에 이 또한 완벽한 해결책이 될 수는 없다.
마지막으로 보안 스티커를 떼어냈을 때 나타나는 VOID 라는 표시를 원단과 같은 색의 펜으로 덧칠을 할 경우, 대충 봤을 때 확인하기 어렵다는 것도 문제다. 최근에는 은색 등 메탈릭 컬러도 사용되고 있지만, 많은 경우 보안 스티커는 검은색, 빨간색, 파란색 등이 주로 사용되기 때문에 비슷한 색의 펜으로 VOID 글자 부분을 덧칠해 감시의 눈길을 피할 수 있는 것이다.
MDM 또한 완벽한 해결책 될 수 없어
그렇다면 이렇게 문제가 많은 보안 스티커를 왜 아직도 계속 사용하고 있으며, 해결 방법은 없는 것일까?
이처럼 보안 스티커의 문제점은 이미 오래 전부터 지적돼 왔으며, 이를 대체하기 위한 MDM(Mobile Device Management)라는 솔루션도 이미 많은 업체들이 선보이고 있는 상태다. MDM은 스마트폰이나 태블릿, 심지어 노트북 PC 등의 모바일 단말을 보호, 감시, 관리, 지원하는 솔루션으로, 앱 배포나 특정 기능의 제한, 위치 추적, 원격 자료 삭제 등의 다양하고도 강력한 기능을 제공한다. 하지만 대기업들의 경우 이런 보안 관리를 협력업체에 일임하는 경우가 대부분이기 때문에, 정보보안과 물리보안의 운영 주체가 다른 경우가 많다. 정보보안에 해당하는 MDM과 물리보안에 해당하는 출입관리와 함께하는 보안 스티커는 관리 주체가 다르기 때문에 업무 협조가 잘 이뤄지지 않으며 기존 방식을 고수하려는 모양새를 보이고 있는 것이다.
또한 자금에 여유가 많은 대기업들 조차 보안 스티커를 사용하는 상황에서 보안 관련 예산이 빠듯한 중소기업이나 관공서들은 많은 초기 도입 비용이 필요하며, 별도의 관리 인력이 필요한 MDM에 비해 저렴하게 사용할 수 있는 보안 스티커를 선호하게 되는 것이다.
이외에도 MDM 자체도 몇가지 문제가 있다. 휴대폰에 앱 형태로 설치되는 MDM은 일반적인 안드로이드나 iOS의 경우는 지원하지만, 모든 모바일 운영체제를 지원하는 것은 아니기 때문에 예외적인 경우에 대처하기 힘들다. 또한 사용자들의 거부감도 해결해야 할 문제다. 자신의 스마트폰에 자신의 의사와 관계없이 보안 앱을 설치하는 것에 대한 거부감, 그리고 이 앱이 어떤 정보를 열람하고 어떤 기능에 제한을 두는 지 명확히 알지 못하기에 개인 정보의 유출에 대한 불안감 등을 보이기 때문이다. 특히 기업에 소속된 직원이라면 모를까, 방문객들까지 별도의 보안 앱을 설치하라고 강요하기 힘들다는 점도 문제다.
보안의 성패는 시스템과 프로세스의 도입이 문제가 아니라, 이를 얼마나 명확화하고 준수하도록 강제할 수 있느냐에 달려있다. 실제로 보안 스티커를 도입한 업체들도 대부분 확인 과정을 거치지 않는 것으로 알려져 있기 때문에 현재 보안 스티커는 유명무실한 보안 수단이라는 것이다.
