본문 바로가기

IT/IT일반

BYOD의 핵심은 기기가 아닌 사람


 지난해 기업 시장의 최대 화두는 'BYOD'였습니다. 그러나 BYOD를 단기간에 도입하려 한 기업들은 비용만 썼으며, 효과를 보지 못했고, 정책이 아닌 시스템이나 기기에서 해답을 찾으려 한 탓에 빛을 보지 못했습니다. 직원들의 BYOD 요구는 늘어나는데, 제대로 대처하는 관리자가 많지 않았던 겁니다. 달리 말하면 BYOD에 대한 관심 부족이 가장 큰 문제였습니다.
 


BYOD의 핵심은 기기가 아닌 사람
 
 그래서 '그럼 BYOD를 굳이 도입하지 않으면 되지 않을까?'하는 질문이 던져졌고, 올해는 대체 개념으로 CYOD(Choose Your Own Device)가 등장했습니다. 그러나 기업이 추려낸 기기 중 선택하여 개인 기기로 삼는다는 점에서 기존 정책과 다르지 않고, 완벽히 BYOD 요구를 수용하지 못한다는 평가에 BYOD는 다시 2013년 전으로 돌아갔습니다.
 
 

via_Coredigitalworks


 가령 화재 위험을 빌미로 도시가스 사용에 제한 시간을 두면 어떨까요? 오후 7시부터 오전 6시까지 가스레인지를 사용할 수 없는 겁니다. 전기레인지를 사용하는 가정도 생기겠지만, 전기레인지로 대체할 수 없는 부분은 어떻게 처리하게 될까요? 가스레인지의 등장 전에 아궁이나 화로를 썼던 걸 생각해보면 비슷한 제품들이 보급될 것입니다. 본래 목적이었던 화재 위험은 가스레인지를 벗어나 다른 것이 돼버리겠죠.
 
 본래 BYOD가 그랬습니다. 회사에 개인 기기의 네트워크 연결을 막자 휴대용 라우터, 혹은 핫스팟을 이용해서 따로 네트워크를 구성하여 개인 기기로 업무를 보거나 개인 기기로 문서를 작성한 후 업무용 기기로 옮기는 등이 만연해집니다. 덕분에 보안 사고가 늘어났죠.
 
 체크 포인트(Check Point)의 2013년 6월, 미국, 캐나다, 영국, 독일, 일본의 800명을 대상으로 조사한 보고서를 보면, 79%의 기업이 모바일 보안 사고를 경험했으며, 52%의 대기업이 50만 달러 이상의 피해를 입은 것으로 나타났습니다. 보안 사고라는 것이 어려운 게 아니라 직원이 회사 신제품을 보고서 작성을 위해 자신의 스마트폰으로 촬영했는데, 클라우드를 통해 유출되는 등을 의미합니다. 그래서 아예 사내 스마트폰 반입을 금지하는 기업도 생겼지만, 스마트폰뿐만 아니라 노트북이나 태블릿, 그리고 작년에 급증한 웨어러블 기기의 증가까지 모두 금지하기에는 업무 효율 하락과 직원들의 불만도 보안 사고와 함께 늘었습니다.
 
 무엇보다 직원들의 기기 사용이 증가하고, 익숙해지면서 기기를 사용하지 않는 비효율적인 업무에 피로감을 느끼거나 정책을 무시한 채 개인 기기를 사용하기도 한다는 것이고, 특히 기기 활용에 적극적인 Y세대의 채용이 늘면서 비중도 빠르게 늘고 있다는 겁니다.
 
 

via_Touch Base With Touchbase


 가트너는 보고서를 통해 미국 직장인 4,200명을 조사한 결과, 응답자의 40%가 개인 기기를 업무에 쓰고 있다고 밝혔는데, 중요한 건 이들 중 45%가 고용주의 허가 없이 사용한다는 것이었습니다. 각 기업의 개인 기기 사용 정책이 어떤지 파악할 수 없기에 정책을 어긴다고 할 순 없지만, 허가 없이 개인 기기를 사용하는 비중이 상당히 높은 것입니다. 그럼 이것이 미국만의 문제일까요?
 
 포티넷(Fortinet)이 한국을 포함한 20개국 3,200면의 Y세대 직장인을 대상으로 조사한 2014년 보고서를 보면, 전 세계 51%가 개인 기기 사용 금지 정책을 어길 것이라고 말했고, 한국인의 57%가 정책을 어길 것이라고 답하여 세계 평균보다 6%나 높게 나타났습니다. 또한, 한국인의 39%는 퍼블릭 클라우드 사용 금지 정책도 어길 것이라고 밝혔는데, 개인 기기 사용을 금지하는 것이 능사가 아님을 방증하며, Y세대 채용이 늘어날수록 심각한 문제가 될 것임을 예고하고 있습니다.
 
 지난해, 기업들은 BYOD에 대응하기 위해 온갖 네트워크 솔루션을 비교해보거나 어떤 기기를 정책에 도입해야 하는지 고민했습니다. 그러나 중요한 건 정책을 마련하든, 마련하지 않든 직원들은 개인 기기를 업무에 사용한다는 것이고, BYOD 정책도 막을 수 없는 BYOD 동향에 대응하는 방안이 되어야지 기술적으로 통제하려는 정책을 만들어야 한다고 주장한 매체는 어느 곳도 없습니다. 심지어 BYOD를 성공적으로 도입한 IBM이나 VM웨어도 그런 식으로 BYOD를 도입한 게 아니었습니다.
 
 그럼에도 BYOD 동향이 주목받자 도입하려 한 기업들은 BYOD에 대한 본질적인, 그러니까 사람을 관리하는 방법에 대한 고민 없이 개인 기기를 관리하는 것에만 집중했습니다. 보안 업체들이 내놓은 MDM, MAM, NAC, MEM만 들여다보고, 그걸 도입하면 BYOD가 해결되리라 믿었습니다.
 
 기술 지원이 필요한 건 맞습니다. 하지만 회사 내 직원들의 개인 기기 사용 현황이나 기술 활용 수준, BYOD 요구 범위도 모른 채 기술을 도입하니 비용 낭비로 이어지거나 BYOD 요구를 만족하지 못하여 도입 전과 후가 다르지 않은 사례만 늘었습니다. 그래서 컨슈머라이제이션이라는 개념이 등장하여 고민을 위한 접근을 수월하게 했음에도 BYOD 자체에 문제를 제기하면서 CYOD 같은 개념을 새로 내놓거나 한 겁니다.
 
 가장 중요했던 건 화재 예방을 위한 가스 밸브 같은 최소한의 장치와 화재 예방 교육 같은 기본적인 보안 의식 교육, 그리고 스마트폰과 태블릿 이후 증가할 웨어러블 기기나 IoT 기기의 대비였고, 매체들이 주장한 것도 이런 것이었습니다.
 
 개인 기기 사용을 통제하는 데 필요한 건 과도한 금지 정책이 아니라 BYOD를 허용하는 것, 그리고 BYOD 도입을 빙자한 개인 기기에 대한 간섭이 아닌 개인 환경과 업무 환경의 분리를 통한 명확한 경계 마련과 경계에 대한 활용, 정책, 교육 이행으로 보안 대책을 구축하는 것입니다.
 
 

via_Acronis Blog


 애초부터 BYOD는 정책이 아니라 동향이었습니다. BYOD 정책을 마련하든, 하지 않든 결국, 직장인들은 BYOD 동향에 맞춰 개인 기기를 쓰게 된다는 게 본래 의미입니다.
 
 BYOD를 도입한다는 건 개인 기기 사용을 허가하는 것이 아니라 '이미 쓰고 있는 개인 기기를 지원한다.'는 의미이며, 어차피 막을 수 없으므로 BYOD를 금지한다는 쪽으로 방향을 잡기보단 보안 교육을 통해 자제하도록 하는 쪽이 탁월합니다. 업무용 메신저로 카카오톡 등을 일상용과 병행해서 사용한다는 것부터 보안 위협을 올리는 것임을 이해할 필요가 있죠.
 
 그럼 중요한 건 카카오톡의 사용은 막을 것인가, 아니면 대체할 수 있는 업무용 메신저를 제공할 것인가, 당근인가, 채찍인가 결정할 수 있어야 합니다. 그리고 따로 업무용 메신저를 제공한다면 카카오톡보다 업무 활용에서 어떤 점이 우수한지, 제품의 관점에서 고민해야 하고, 직원들의 사용을 유도하여, 즉, 화로가 아닌 가스레인지 사용을 가스 밸브를 통해 유도하는 것처럼 기기를 통제하기보다 사람을 통제할 수 있는 정책을 마련하는 것이 밀려드는 BYOD 동향에 대한 제대로 된 대처입니다.