Mobile Device Management
모바일 기기의 보안을 향상시켜 업무 용도로 사용하기 적합하게 하는 애플리케이션 및 그 체계를 말한다.
- BYOD(Bring Your Own Device)라고 하는 개인소유의 단말기를 업무에 활용하는 정책과 맞물려서 사용되곤 한다.
- 휴대폰 전체를 모니터링할 수 있는 강력한 권한으로, 프라이버시 침해 이슈가 있다.
기능
다양한 기능이 있지만 주로 아래와 같다.
- 특정 애플리케이션 이용 제한
- 카메라 마이크 제한
- 공유 기능 제한
- 분실시 원격 삭제
- VPN을 통한 사내망 접속
그 외에도 추가적인 보안 향상 기능을 포함하는 경우가 많다. 회사 내의 업무용 메신저, 그룹웨어 등을 포함하기도 하지만, 이는 MDM의 고유 기능은 아니다. MDM을 깔았기 때문에 비로소 메신저와 그룹웨어를 사용할 수 있게 해주는 것이라고 봐야 한다. MDM이 설치되어야지만 이용 가능하므로, 아예 MDM과 같이 설치하는 것이다.
상세
휴대전화에는 카메라나 마이크, USB 파일 전송 기능 등이 기본으로 들어가는데, 이런 기능을 악용하면 중요 보안정보를 사외로 유출할수 있다. 그래서 사내에서 모바일 기기의 기능을 통제할 방법을 마련해서 나온 것이 MDM(Mobile Device Management)이다.
이를 위해서는 다음 기능이 필요하게 된다.
- 스마트폰의 운영 체제가 기기의 기능을 활성화/비활성화 할 수 있는 API를 제공해야 한다.
- 이 API를 사용하여 기기를 제어할 수 있는 애플리케이션과, 이것을 제어하는 서버와 시스템이 개발되어야 한다.
- 기기에 설치되는 제어 애플리케이션이 삭제되는 등 기기의 보안이 침해되는 상황이 없어야 한다.
문제점
단말기가 공장 초기화되어 제어용 앱이 삭제되는 등의 불가피한 경우는 단말기 내 데이터 유출이 불가능하도록 조치할 수 있어야 하지만 이것이 스마트폰을 중고 판매할때 공장 초기화를 하는 경우에도 사용이 차단되어 문제가 생기기도 한다.
구글락 해제처럼 루팅 후 흔적을 찾아 삭제하거나 펌웨어를 조작해 기능을 제한하는 부분을 무력화 시킬 수도 있지만 보안을 해제하는 것이 매우 어렵고 성공하더라도 운영 체제를 다시 정식으로 교체하면 이걸 또 뚫어줘야 한다.
이런 경우에는 해당 기업의 보안 담당에게 전화하여 조치하는 것이 낫다.
MDM을 통해 직원의 개인정보가 사측으로 새어나가기도 한다. 스마트폰의 각종 기능을 제어하기 위해 주어진 접근 권한을 악용해서 기기의 데이터를 훔치거나 위치를 추적하는 행위를 할 수 있다. MDM의 경우 마음대로 삭제하거나 권한을 회수하는 것도 불가능하므로 업무용 폰과 개인용 폰을 분리하는 방법밖에 없다. 실제로도 한국미래기술의 양진호 회장이 업무용 애플리케이션에 탑재된 해킹툴을 통해 직원들에게 갑질을 했다는 논란이 있다.
모바일 OS별 특징 및 현황
안드로이드 (삼성폰 등)
안드로이드는 기본적으로 기기 관리자 기능을 제공하나, 매우 기초적인 기능만 존재하기 때문에 제조사의 플랫폼 없이 이것만으로 본격적인 MDM으로 사용하기는 어렵다. 당장 루팅만 해도 다 뚫리고, 구글 정책으로 인해 삭제도 매우 쉽다.
iOS (아이폰)
iOS 및 iPadOS에서는 기기 관리 프로파일을 설치해야 한다. 설정 - 일반 - VPN 및 기기 관리에서 직장 ID에 로그인하거나 인터넷에서 다운로드한 프로파일을 설치 및 삭제할 수 있다.
블랙베리
현재는 거의 사용하지 않지만, 블랙베리는 강력한 MDM 기능을 제공하는 것으로 유명했다. 미국 정부에서도 이 때문에 블랙베리를 즐겨 사용했을 정도.
구 블랙베리 엔터프라이즈 서버를 개승한 블랙베리의 MDM 애플리케이션으로 블랙베리 UEM이 있다.