정보센터

보안동향

게시물 상세
MDM(Mobile Device Management) 솔루션
작성자 : a3security  작성일 : 2009.07.01   조회수 : 18335

우리나라가 세계적 IT 분야에 강자로 군림하고 있는 분야 중에서 휴대폰 산업이 있다. 휴대폰 수출액 기준으로 삼성전자, LG전자 등 글로벌 1, 3위를 석권하고 있고 국가적 산업 기여도가 매우 높은 분야라고 할 수 있다. 하루에도 수백 가지 휴대폰 제품이 출시되고 있으며 최근에는 PC 운영체제와 유사한 기능을 가진 똑똑한 휴대폰 즉 스마트폰이 출시가 줄을 잇고 있다. 가트너, IDC 등 유수의 리서치 기관 조사에 따르면 향후 스마트폰은 매년 10~20%의 매우 높은 성장율을 유지하며 휴대폰의 주류가 될 것으로 예측하고 있다.

 

이런 스마트폰이주목을 받으면서 대두가 되고 있는 것 역시 바로 보안문제라고 할 수 있다. 모바일용 PC 운영체제가 휴대폰에 탑재되면서 발생하는 보안 문제가 최근 중요한 이슈가 되고 있으며 실제로 다양한 보안 위협이 나타나고 있다. 이에 금번 기고에서는 이런 휴대폰 기기의 보안 위협을 대처하기 다양한 보호대책의 필요성에 따라 모바일 기기의 관리 기술인 MDM(Moblie Device Management)에 대해서 소개하고자 한다.

 

1. MDM의 개념

 

MDM 개념은 OTA(휴대폰무선전송기술, Over The Air)을 이용하여 언제 어디서나 모바일기기가 Power On 상태로 있으면 원격에서 모바일 기기를 관리할 수 있는 시스템이다.

 

MDM(Mobile Device Management)의 원래 사용 목적은 원격에서 휴대폰 등 모바일 기기의 어플리케이션 배포, 데이터 및 환경설정 변경, 모바일 분실 및 장치 관리들을 통합적으로 관리해 주는 시스템으로 짧은 서비스 다운타임과 최소의 비용으로 모바일 보안과 기능을 최적화시켜주는 시스템이었으나 최근 보안 위협에 대한 강화대책으로 관리의 필요성이 대두되면서 모바일 보안의 핵심요소가 되고 있다.

 

모바일 VPN 통해을 안전하게 보안된 통신을 제공하여, 기업의 메시징 시스템 혹은 기간계 인트라 시스템에 접근하여 실 업무 환경에서 데이터가 유출될 수 있는 메일, 웹, 그룹웨어, USB 저장매체 등 다양한 통신 채널에 대해 포괄적 보호기능을 제공함과 동시에 중앙 관리 콘솔을 통해 전사적 모니터링 및 사용자 환경에 대한 통제를 수행할 수 있다.

 

주요 기능을 간단히 요약하면 다음과 같다.

 

• 디바이스 관리(Device Management)

- Mobile Device에 대한 정보 수집/배포 관리(모바일 기기 ID로 식별(IMEI 규격)

• 사용 등록 및 추적관리(Enrollment Management)

- 모바일 기기에 대한 등록/승인/회수 기능

- 분실/도난시 모바일 기기 사용중지 기능

• 조직 내부의 Active Directory 에 모바일 디바이스를 조인하여, 그룹정책을 이용한 보안정책 수립, 정책적용

• 디바이스 관리 서버를 통해 소프트웨어 배포

 

2. OMA(Open Mobile Alliance)

 

MDM 기술과 관련 솔루션을 이야기할 때 빠지지 않는 것이 바로 OMA라고 할 수 있다. 오픈 모바일 연합(OMA)으로 통칭되는 이 OMA는 모바일 데이터 서비스의 범세계적 활성화를 위해 기술 규격 개발 및 상호 운용성을 검증하기 위해 노키아사가 설립한 OMA(Open Mobile Architecture Initiative)와 마이크로소프트사가 구성원이었던 WAP(Wireless Architecture Protocol) 포럼이 주축이 되어 설립된 모바일 표준화 단체모바일 디바이스 표준 (OMA DM) 제정 단체로 최근에는 국내 삼성전자, SKT등 업체들도 참여하여 모바일 기기 표준 관리를 지원하는 각종 스택이나 규격을 만들고 있다. OMA는 모바일 기기 관리를 위한 다양한 표준 기술을 제시하고 있다.

 

몇 가지를 요약하면 다음과 같다.

 

• Device 설정 기능을 원격에서 작동, 미작동 전환 기능

• 모바일 기기의 셋팅과 파라미터들 변경 원격 지원 기능

• 버그가 고쳐지거나 새로운 device들에 대한 소프트웨어 업그레이드 원격 배포 설치

• Device의 오류 보고서나, 상태에 대한 요청 기능, 분실, 도난시 원격 모바일 기기 관리

 

현재 OMA 기구에 참여하고 있는 업체로는 AT&T, 마이크로소프트, 알카텔-루슨트, 인텔, IBM, 모토로라, 삼성, SK 텔레콤, 노키아, 필립스, 에릭슨, HP, 소니, KTF, ETRI, KISA, 마크애니, LGT 등 약 317개 업체들이 회원사로 활동하고 있다.

 

[표 1] MDM 개요 및 주요 기능

 

 

 

3. MDM(Moblie DeviceManagement) 구성

 

MDM 솔루션은 휴대폰 운영체제에 따라 다양한 제품이 있으며 2008년 마이크로소프트사는의 윈도우 모바일 6.1 운영체제를 지원하는 SCMDM 2008(Security Center Mobiel Device Manamgent)를 발표하였다.

 

[그림-1]은 마이크로소프트사의 SCMDM 구성도로서 DMZ 존 구역에 MDM 게이트웨이와 원격지 모바일 안에 있는 MDM 에이전트가 통신이 이루어 진다. SCMDM 구성은 MDM 에이전트, MDM 게이트웨이 서버, MDM 관리 서버, 모바일 등록서버(Mobile Enrollment Server) 등 4개로 구성된다.

 

 

 

[그림-1] MDM의 구성

 

MDM의 각 구성요소에 대한 설명은 다음과 같다.

 

- 게이트웨이(MDM Gateway) 서버 : 사내 네트워크의 모바일 관리서버와 모바일 기기 간의 통신 연결 및 인증 암호화/모바일 VPN 인증서 기반의 사용자 인증 및 통신 암호화

- 모바일 관리서버(MDM 서버) : 모바일 기기 관리 운영, 보안정책 및 소프트웨어 배포 기능

- MDM 등록 서버(Enrollment Server) : 모바일 기기 등록/승인/변경/회수 처리 및 보안 소프트웨어 배포 및 설치, 분실/도난시 원격 정보삭제기기 모니터링, 사용자 모바일 VPN 지원

- MDM 에이전트 : 모바일 기기 내부에 에이전트가 설치되어 MDM 서버와 통신

 

3.1 게이트웨이 서버

 

게이트웨이 서버는 모바일 에이전트와 통신 연결 관리를 담당하며 주로 모바일 VPN 및 공중 이동통신망을 통해서 접속을 하게 된다. 게이트웨이 서버는 모바일 기기와 사내 네트워크의 모바일 관리서버 간의 통신 연결/인증/ 암호화 및 통신 암호화 및 모바일 VPN(IPSec 통신 암호화)에 인증서 기반의 사용자 인증 기능을 담당한다. Gateway 주요 컴포넌트 구성에 대한 설명은 다음과 같다.

 

- 전자서명 저장소(Certificate store) : 전자서명 인증서 저장 모듈

- 모바일 VPN 정책엔진 : VPN 정책 설정

- MDM Alerter 에이전트 : OMA(Open Mobile Alliance) 디바이스 구동 에이전트

- MDM VPN 에이전트 : VPN 구동 에이전트

- 모바일 VPN 드라이버 :

- IIS(Internet Information Server) : Windows 운영체제 웹 서버

 

 

 

[그림-2] MDM 게이트웨이 컴포넌트 구성

 

3.2 MDM 서버

 

MDM 서버는 실제적으로 모바일 기기를 관리하는 핵심 서비스(Administration Services)로서 다음과 같은 주요 기능과 역할을 수행한다.

 

- MDM 시스템의 통합관리 및 관리자 도구

- 모바일 기기 및 기타 MDM 관련 시스템 환경설정 변경

- 모바일 기기 상태 관리(분실/도난, 모바일 작동여부, 밧데리 상태)

- 원격에서 모바일 기기의 등록여부/회수 등 변경작업 관리

- 모바일 소프트웨어 배포 현황관리

- 어플리케이션 소프트웨어 배포 관리

- 모바일 어플리케이션 및 소프트웨어 배포 및 설치관리

- 보안 소프트웨어 배포 및 패치적용

- 모바일 펌웨어 업그레이드

 

또한 사내 보안정책을 효율적인 관리를 위해서 액티브디렉터리를 구성하여 그룹 보안 정책 관리을 할 수도 있다.

 

- 모바일 기기를 그룹별(부서별, 업무별) 관리 기능

- 사내 AD 연동을 통한 그룹 보안정책을 이용한 수립과 적용

   예) 보안정책에 위배되는 기능 통제(카메라, 블루투스 기능 제한, 패스워드 설정 정책 적용 등)

- 사용자 동기화 및 모니터링(불법 소프트웨어 설치, 저장 파일 목록, 원격 저장 데이터 삭제)

 

 

 

[그림-3] MDM 관리서버 컴포넌트 구성

 

3.3 모바일 등록(Enrollment)서버

 

모바일 등록서버는 모바일 기기의 사용자및 기기 등록을 담당하는 구성요소로서 모바일 등록 서비스 과정은 다음과 같이 이루어진다. 모바일 등록 서비스 과정은 다음과 같다.

 

- 모바일 신규 등록 신청(모바일 기기에서 도메인 등록 신청)

- 모바일 기기- 등록 서버 간에 인증(One-time 등록 패스워드 생성)

- MDM 등록 서버가 Active Diretory에 모바일 기기 등록

 

 

[그림-4] MDM 등록서버 컴포넌트 구성

 

아래 그림은 실제 모바일 기기 등록을 위한 웹 UI 화면과 스마트폰 기기의 사용 모습이다.

 

 

[그림-5] MDM 등록 화면 및 도메인 등록화면 아이콘

 

3.4 MDM 에이전트

 

MDM 에이전트는 모바일 기기 운영체제 내부에 에이전트로 설치되어 언제든지 MDM 서버와 통신하여 기기의 위치 및 등록 여부를 확인할 수 있도록 해준다.

 

1) 모바일 등록 에이전트

 

- 모바일 등록(Enrollment) 서버와 통신하여 모바일 기기 등록 및 설정정보를 전송

- 모바일 기기 등록 및 상태 정보를 주기적으로 MDM 관리서버로 전송

 

2) 소프트웨어 다운로드

 

- 사내 보안정책에 따라 보안 소프트웨어 설치, 패치 다운로드 후 자동 설치 기능 지원

- 사내 업무용 비즈니스 어플리케이션 다운로드 및 설치 기능 지원

 

3) 모바일 VPN

 

- MDM 등록시 인증서 기반으로 모바일 VPN 암호화 통신을 통해 모바일 기기의 상태 정보 및 소프트웨어를 다운로드 받음

 

[그림-6] MDM Agenet(Windoiws Mobliel 6.1) 컴포넌트 구성

 

[표 2] MDM 솔루션 종류

 


 

4. 맺음말

 

위와 같이 MDM솔루션에 대해 간략하게 알아보았다. MDM은 기업내의 모바일을 이용한 비즈니스에 없어서는 안될 필수 보안 조건이 되고 있다. 스마트폰은 PC와 동일한 환경에서 일어나는 보안사고를 답습할 수 있는 외부의 해커들에게는 좋은 먹잇감인 셈이다. 따라서 보호대책 수립과 보안방안을 수립하기 전에 우선 기기에 대한 관리가 선행되어야 스마트폰 등 모바일 기기를 이용한 해킹이나 보안사고를 예방할 수 있다.

 

* 본 기고글은 지난 2009년 7월 에이쓰리시큐리티 뉴스레터를 통해 공개된 자료임.
이전글 통합계정관리 솔루션
다음글 DB(DataBase) 보안 솔루션
리스트
TOPTOP