중소기업에서 소중한 디지털 자산을 보호하기 위해서는 디바이스 관리가 필요합니다. 오늘날 기업에서는 업무 시 노트북, 컴퓨터, 태블릿, 스마트폰 등 다양한 디바이스를 활용하여 폭넓은 업무들을 수행하고 있습니다. 팬데믹 기간을 거쳐 모던 워크 플레이스(Modern Works Place)가 본격적으로 시행되고 자리잡게 되면서 오래전부터 우려되어 온 BYOD(Bring Your Own Device) 환경 속 보안 문제들이 수면위로 드러나면서 많은 기업들의 직원들의 모바일 기기에 대한 보안에 대한 관심이 높아졌습니다.

회사에 입사하게 되면 지급 받는 PC와 노트북은 회사의 소유물이기에 조직의 중요 자산을 보호하기 위한 보안 정책 실행 및 조치가 가능하나 개인 모바일 기기의 경우 개인 장비이기 때문에 개인 기기에 보안을 적용하기란 현실적으로 어려운 일입니다.

​모던 워크 플레이스 환경에서 원격 근무가 필수적인 업무 방식으로 자리하게 되면서 더 이상 노트북과 PC만으로 회사 업무를 수행할 수 없게 되었고, 많은 직원들은 기업 소유의 모바일 디바이스 뿐 아니라 개인 소유의 모바일 디바이스로 업무를 수행하고 있습니다. 그러나 개인과 기업 소유의 모바일 디바이스는 업무 목적 뿐 아니라 개인 용도로도 사용될 수 있기 때문에 애플리케이션 버전에 따른 업무 오류 발생이나 악성코드 감염 등을 통해 내부 업무 시스템의 공격 경로로 악용될 수 있다는 우려가 있습니다. 또한 모바일 디바이스로 기업의 중요 비즈니스 데이터에 액세스 하는 것이 용이해짐에 따라 모바일 디바이스를 분실 또는 도난 당하거나 해킹 이슈가 있을 경우 보안에 심각한 위협을 야기할 수 있습니다.

​이처럼 모바일 디바이스 관리의 중요성이 날로 증가함에 따라 대표적인 모바일 보안 솔루션으로 “MDM(Mobile Device Management)“이 가장 많이 언급되며 활용되고 있는데요. 그렇다면 여기서 잠깐, “MDM”이란 무엇일까요?

​

오늘 포스트에서는 모바일 디바이스 관리 정책 도입을 위한 절차에 대해 안내드리고 나아가 현재 고우아이티에서 실행중인 정책에 대해 함께 소개해드릴 예정입니다. 소개해드리기 전에 MDM이란 무엇인지 잠시 살펴보고 가실까요. ^^

MDM이란 스마트폰, 태블릿 등 개인과 기업 소유의 모바일 기기와 기기내에 작동하는 앱을 중앙에서 통합적으로 관리하고 보안 공격으로부터 보호하여 기업의 정보 자산을 보호하기 위한 솔루션입니다.

좀더 쉽게 설명드리자면 사전에 디바이스(기기)를 등록하고, 등록된 디바이스(기기)에 대해서만 Microsoft 365 서비스에 접근할 수 있도록 설정하는 보안 정책 이라고 이해하시면 쉬울거 같습니다. ^^

​MDM 정책 적용 시, 디바이스 관리를 통해 등록된 기기를 이용함으로써 무단 접근을 방지할 수 있어 해킹이나 데이터 유출의 위험을 크게 줄일 수 있다는 장점이 있습니다. 또한 장치를 중앙에서 관리할 수 있어 일괄적으로 소프트웨어 업데이트, 보안 패치 적용, 설정 변경 등의 작업이 가능합니다. 만약 기기를 분실하거나 직원이 퇴사하는 상황이 발생하더라도 원격으로 기기내 데이터를 삭제할 수 있어 데이터 유출을 방지할 수 있습니다.

​물론 이러한 과정에서 모든 장치를 사전에 등록해야 하기 때문에 초기 시행 과정에서 다소 시간과 지원이 소모될 수 있습니다. 그리고 등록된 장치만을 사용해야 하는 것에 대한 제약이 다소 불편하게 느껴질 수 있지만 다양한 위협들로부터 기업의 중요 데이터 자산을 보호할 수 있는 방안으로 가장 많이 추천되고 있는 정책입니다.

​

​

디바이스 정책을 도입하기 위해서는 다음과 같은 절차 진행을 권장드리고 있습니다.

​

1. 등록 대상 조사와 장치 관리에 대한 정책 결정하기

• 장치 등록을 진행하기 전에 조직 내 장치 등록에 대한 정책을 먼저 수립해야 합니다. 장치 등록으로 어떤 이점을 얻을 수 있는지, 그 이점이 관리하는 비용을 넘어서 도입에 의미가 있는를 판단해야 합니다. 그리고 장치를 등록할 수 없는 대상은 무엇이고 이에 해당하는 대상은 어떻게 관리해야 하는지 등도 함께 고려되어야 합니다.

​

2. 대상이 되는 장치의 Windows 버전 조사

• 장치 등록 정책을 적용하기 위해서는 Windows Pro 이상의 버전이 요구됩니다. 이에 따라 모든 디바이스 환경을 조사하여 필요한 경우, 운영 체제 구비 및 업그레이드를 준비합니다.

​

3. 결정된 정책에 대한 사용자 공지

• 관리자는 사용자에게 도입이 결정된 정책을 공지하여 업무에 대한 혼선을 최소화할 수 있도록 합니다. 예를 들어 추가 인증 그리고 등록된 회사 장치 외의 장치에서는 접속 시 제한되는 등과 같이 정책 도입에 따라 발생할 수 있는 영향을 고지합니다.

​

4. 장치 등록

• ​관리자는 크게 두 가지 방법으로 장치 등록이 가능합니다.

​① 관리자 계정으로 진행 : 고우아이티는 제공하는 PowerShell 스크립트를 실행하여 HWID 추출부터 장치 등록까지 All in one 으로 진행합니다. 스크립트 실행 한 번에 장치 등록이 가능하다는 장점이 있지만 보안상 관리자의 계정을 노출할 수 없기 때문에 관리자가 사용자 개개인에게 찾아가 작업을 진행해야 합니다.

② 사용자 계정으로 진행 : 사용자는 고우아이티에서 제공하는 PowerShell 스크립트를 실행하여 HWID를 추출합니다. 해당 정보를 관리자에게 전달하면 관리자는 장치 등록하는 과정을 진행해야 합니다. HWID를 추출하고 등록하는 작업을 두번으로 나누어 진행해야 한다는 번거로움이 있지만 사용자 개인이 HWID 추출까지는 가능하므로 작업 속도가 향상될 수 있습니다.

​

5. 사후관리

정책 할당 이후 문제가 발생되는 디바이스가 있을경우 사후 지원합니다. 기술 지원을 통해 업무 환경을 정상화 합니다. 추가로 정책 예외가 필요한 사용자(해외에서 급히 접속이 필요함 등)는 관련 부서에 문의하여 조건부 액세스의 정책에서 해당 사용자를 예외로 등록하는 방식으로 운영 가능합니다.

​

​

고우아이티는 다음의 사항들을 고려하여 장치를 등록 관리하기로 결정하였으며 하기의 절차를 거쳐 시행중에 있습니다.

​

>> 디바이스 등록 범위

• 대상 : 업무용으로 사용되는 Windows 장치 및 테스트와 보조 용도로 사용하는 Windows 장치

• 비대상 : 개인용 핸드폰 장치

​

>> 장치 등록 관리의 이점

• 허가된 장치만 회사 자산에 접근할 수 있도록 통제함으로써 데이터 보안을 강화 시킬 수 있습니다.

• 중앙 집중식 관리를 통하여 강력한 보안 정책 적용, 데이터 보호, 앱 관리, 규정 준수 관리가 가능합니다.

• 자산 관리를 명확하게 통제할 수 있습니다.

​

>> 예외 사항

프리랜서 및 파트너사와 같이 장치를 강제로 등록할 수 없는 경우 하기의 정책을 적용합니다.

​

• 프리랜서

– 계약 종료 시 암호 변경, 로그인 차단, 조건부 액세스 차단(IP 제한 등)을 통해 접속을 관리한다

– 계정 서비스 권한은 필요한 서비스로 한정한다. (Office, Teams 등)

– Teams에서 프로젝트 혹은 팀 단위로 프리랜서와 공유할 공간을 생성하여 해당 공간에 위치한 데이터만 공유한다.

– 나머지 영역은 기본적으로 차단한다.​

• 협력업체

– 게스트 권한으로 초대하여 Teams를 통한 협업을 진행한다.

​

지금까지 모바일 기기관리(MDM)에 대해 살펴봤습니다.

모바일 디바이스 관리의 중요성이 날로 증가함에 따라 기업내 IT 및 보안 부서의 리더들은 각 기업환경 내에서 모바일 디바이스를 관리하고 보안을 철저하게 유지해야 하는 막중한 과제를 안고 계시리라 생각됩니다. 우리 조직에 어떻게 적용하고 운영/관리해야 할지 고민들이 많으실텐데요. 앞서 안내드렸던 보안가이드와 더불어 오늘 소개해드린 모바일 기기 관리 관련 정책이 조직에 고려된다면 악성 프로그램 및 기타 여러 보안 위협들로부터 기업내 소중한 데이터와 디바이스를 안전하게 보호할 수 있습니다.​

• [ 포스트 보러가기 >> [중소기업 보안의 모든것 1탄] 보안 첫 걸음, 어디서부터 시작해야 할까? – 고클라우드 (gowit.co.kr) ]

• [포스트 보러가기 [기업 이메일 보안가이드 1탄]이메일 보호 설정하기 : 안전한 링크편 – 고클라우드 (gowit.co.kr)]

.

기업 내에 IT 관리자, 보안 전담팀이 없어 너무 어렵고 막막하시다구요? 그렇다면 고민하지 마시고 고우아이티로 편하게 문의주시기 바랍니다. 기업내에 IT 관리자, 보안 전담팀이 없더라도 기업의 소중한 자산을 안전하게 보호하고 관리할 수 있도록 다양한 경험을 보유한 IT 엔지니어로 구성된 기술 전담팀을 통해 각 기업의 특성과 상황에 맞는 다양한 Microsoft 365 보안 팁과 가이드를 제안해드리고 있습니다.

​중소/중견 기업이 디지털 트랜스포메이션으로 전환부터 보안에 이르기까지 긴 여정을 안전하게 하실 수 있도록, 준비되어 있는 Microsoft 365 no.1 CSP 파트너 고우아이티와 함께하시기 바랍니다. 감사합니다.

​

​