KT 경제경영연구소는 2009년 처음으로 스마트폰이 보급된 이후 1%에 불과했던 스마트폰 보급률이 3년 만에 58.3%로 증가했다고 발표했다. 이런 스마트폰의 활성화는 일상생활의 변화를 주도함은 물론 오피스 환경도 변모시켰다.


스마트폰 시장의 폭발적인 성장으로 PC 기반의 업무에서 탈피한 모바일 오피스가 큰 이슈로 떠올랐다. 모바일 오피스는 스마트폰과 같은 모바일 단말기의 이동성과 개발성, 다양성을 기반으로 한 서비스다. 시간/공간적인 제약에서 벗어나 신속한 업무처리 및 효율성을 장점으로 기업에게 새로운 비즈니스를 창출하는 데 도움을 준다. 하지만 모바일 오피스가 장점만을 가진 것은 아니다. 개인정보 유출이나 불법 과금, 기업기밀 유출 등 다양한 형태의 보안사고도 발생하고 있다.

최근 방송통신위원회와 한국인터넷진흥원(KISA)은 기업의 모바일 오피스 도입/운영에 따른 보안 위협을 낮추기 위해 ‘안전한 모바일 오피스 도입과 운영을 위한 정보보호 수칙’을 발표했다. 방통위 관계자는 “모바일 오피스 보안수칙이 기업의 모바일 오피스 도입 및 운영에 큰 고민거리인 보안 문제를 해결하기 위한 출발점이 될 것”이며 “방통위는 모바일 오피스 환경과 기술 변화를 고려하여 모바일 오피스 보안 수칙을 주기적으로 수정/보완하고, 올해 상반기에는 모바일 오피스 정보보호 안내서를 개발 보급하는 등 모바일 오피스 보안을 지속적으로 강화할 계획”이라고 밝혔다.



개인의 문제가 아닌 모바일 분실

모바일 단말기 보안 위협 중 하나는 이용자의 부주의로 기기 및 메모리 카드 등을 도난/분실하는 것을 들 수 있다. 스마트폰은 일반적으로 통화 내역, 수신 메시지, 전화번호부, 일정, 위치정보, 금융 거래 정보 등과 같은 다량의 개인정보가 저장되고, 업무용으로 사용되는 경우 회사 기밀 정보 및 업무 정보가 저장되기 때문에 스마트폰이 도난/분실될 경우 개인이나 회사의 중요 정보가 외부로 유출될 가능성이 존재하기 때문이다.
특히, 악의적인 사용자는 도난 및 분실된 모바일 단말기로 회사의 업무용 서버에 불법 접속 후 업무 정보를 외부로 유출하거나 위변조할 수 있어 그 위험성이 더욱 높다.
모바일 응용 프로그램 보안 위협은 다양한 네트워크 인터페이스를 가진 ‘손안의 컴퓨터’로 일반 PC에서 발생할 수 있는 모든 보안 위협이 모바일 단말기 환경에도 동일하게 적용될 수 있다.
모바일 응용 프로그램은 오픈된 개발 환경에서 자유롭게 프로그램 개발 및 설치가 가능해 악성 코드 등의 악성 프로그램이 제작될 가능성이 높다. 구글의 안드로이드 마켓은 오픈 마켓으로써 누구나 스마트폰 응용 프로그램을 제작해 등록하는 것이 자유롭고 손쉽게 유통할 수 있어 언제든지 보안에 취약할 수 있다. 이밖에도 모바일 악성 코드로 인한 모바일 응용 프로그램 보안 위협은 정보 유출, 과금 피해, 단말기 사용 제한 및 불능, DDoS(Distribu-ted Denial of Service) 공격 등으로 나눠볼 수 있다.

모바일 응용 프로그램 보안 위협의 종류

- 정보유출: 모바일 단말기는 USIM
(Universal Subscribe Identity Module) 번호, 전화번호, 일정, SMS, 통화기록, 연락처, 사진 등 기존 휴대전화에 존재하는 개인정보뿐만 아니라 이메일, GPS, 회사 기밀 정보, 공인인증서, 인터넷 사이트 계정 등이 저장될 수 있다. 해커는 이러한 개인정보를 유출해 인터넷 뱅킹 해킹, 휴대전화 소액결제 유도, 불법 광고 유포, 위치 추적 등 추가적인 범죄 목적으로 악용할 수 있다.

- 과금 피해: 최근 해커는 금전적 이득을 노리고 악성 코드를 제작/유포하고 있다. 이런 경향은 모바일 침해 사고로 이어질 수 있으며, 스마트폰이 인터넷 뱅킹 등 금융 결제의 수단으로 활용됨에 따라 앞으로 많은 악성 코드가 출현할 것으로 예상된다. 2010년 4월, 국내 최초로 발생한 모바일 악성 코드(WinCE/TerDial)는 악성 코드를 인기 게임으로 위장해 원도우 모바일 스마트폰을 감염시키고, 해외 프리미엄 번호로 국제전화를 주기적으로 발신했다. 또한 2011년 8월에는 러시아에서 안드로이드 스마트폰 동영상 플레이어로 위장해 배포된 악성 코드(TrojanSMS, AndroidOS, FakePlayer.a)가 이용자 몰래 요금을 결제하고, 특정 번호로 SMS를 전송하는 등의 금전적 피해를 발생시켰다.

- 단말기 사용제한: 이용자가 정상적으로 모바일 단말기를 이용하지 못하는 일종의 DoS(Denial of Service)를 의미한다. 예를 들어 휴대전화의 배경화면을 바꾸거나 메뉴의 텍스트가 보이지 않게 함으로써 이용자의 불편을 초래한다.

- DDoS 공격: 모바일 침해사고로 대표되는 공격으로써, 일반 PC에서의 대용량 데이터를 유발시키는 공격과 다량의 전화를 발신하거나 SMS 문자 메시지를 전송하는 공격이다. 대용량 데이터 공격은 앱을 이용해 트래픽 용량은 작지만 많은 커넥션을 요청함으로써 특정 사이트를 공격할 수 있다.

전화 SMS 공격은 특정인의 휴대전화뿐만 아니라 콜센터 및 기업 대표전화 등으로 다수의 스마트폰이 전화를 걸거나, 다수의 SMS 문자 메시지를 전송함으로써 전화를 사용할 수 없게 한다.



무선 인터넷 환경, 해킹 공격에 취약
무선 네트워크 보안 위협은 모바일 단말기가 이동통신망, 무선 랜 및 블루투스 기능이 기본적으로 탑재되어 공중 무선 랜이나 사설 무선 랜의 이용 빈도가 높으며, 모바일 단말기 이용자들이 무선 데이터 요금을 절약하기 위해 무작위로 검색되는 무선 접속장치(AP: Access Point)를 이용하는 사례가 늘고 있다. 만약 해커가 악의적인 의도를 가지고 악성 코드를 심어놓은 무선 AP를 제공한다면, 모바일 단말기 사용자는 이러한 무선 AP에 접속하는 것만으로도 악성 코드에 감염될 수 있다. 따라서 모바일 단말기의 무선 인터넷 접속 환경은 유해한 사이트에 방문해야 악성 코드에 감염됐던 기존 PC 환경보다 악성 코드 유입이나 해킹 공격 등이 용이한 환경이라 할 수 있다. 스마트폰과 PC의 개인정보와 위치정보를 무선 랜의 취약점을 이용해 수집한 사례가 있으며, 가짜 무선 AP를 통한 개인정보 유출 가능성도 꾸준히 제기되고 있다.

BYOD의 등장
위와 같은 모바일의 보안 위협에도, 모바일 오피스는 다양한 분야에서 업무의 새로운 바람을 일으키고 있다. 특히 제조, 의료, 교육 등의 전문 분야에서 IT 기술을 접목한 모바일 오피스 환경은 생산성 및 서비스 향상 등의 기대효과를 주고 있다. 최근에는 스마트폰 시장과 처리능력이 향상됨에 따라 개인 소유의 모바일 장치가 증가하고 있으며, 이를 개인 용무 이외에도 업무에 활용하는 BYOD(Bring Your Own Device)가 나타나고 있다. BYOD는 사용자의 개인 단말기를 개인 용무 이외에 회사 업무에도 사용하는 정책으로써, 전 세계 기업들 중 약 3분의 2가 BYOD 정책을 갖고 있으며, 이들 중 20~22%의 기업은 직원들이 소유한 노트북, 태블릿, 스마트폰 등을 지원할 정도로 BYOD 기반의 모바일 오피스로 변모하고 있다.
또한 클라우드 서비스의 활성화로 메일, 전자 결재 등의 단순한 모바일 업무를 넘어 다자간 협업 및 실시간 IT 자원 확장 등 전문적이고 다양한 업무를 수행할 수 있는 환경이 형성되고 있다. 이러한 IT 기술의 발전과 더불어 모바일 오피스는 시공간의 제약에서 벗어나 효율적으로 업무를 처리할 수 있는 스마트워크의 대표적인 모델로 자리잡을 것으로 예상된다.  ES