Security. unlimited possibilities

클라우드 컴퓨팅을 외치는 기업에서 막상 클라우드 서비스를 이용하지 말라고 기업 내부 보안 지침을 마련했다면 믿겨지겠는가. IBM이 그런 행보를 보이고 있다. 말로는 ‘BYOD 프로그램’을 도입해 사내 직원들이 자신의 기기로 근무할 수 있는 환경을 적극 장려해놓고는 막상 직원들에겐 IBM만의 클라우드 스토리지 서비스와 웹메일 서비스를 쓸 것을 강요하고 있다.

자네트 호란 IBM 최고정보책임자가 최근 공개한 사내 보안 정책에 따르면, IBM은 사내 직원들이 드롭박스나 애플 아이클라우드 같은 경쟁 클라우드 스토리지 서비스를 사용하지 못하게 해당 서비스들의 내부 인트라넷 접속을 차단했다. 더레지스터는 “최근에는 여기에 더해 아이폰4S의 ‘시리’ 기능도 IBM 사내에서 사용할 수 없게 조치를 취한 것으로 알려지고 있다”라고 전했다.

첨단 정보기술과 서비스를 고객에게 선보이는 IBM이 사내에서는 발전하는 기술에 적응하지 못하고 후퇴하는 듯한 모양새를 연출한 것이다. IBM이 왜 이런 조치를 취했는지 배경은 충분히 짐작 간다.

더버지에 따르면, 최근 IBM이 내부 직원들을 대상으로 실시한 설문조사에서 상당수 직원들이 개인 웹메일 계정을 통해 사내에서 외부로 e메일을 보내는 것으로 나타났다. 문제가 된 건 그 다음이다. 이들 직원들이 자신들의 행위가 회사 내 보안 위협이 되지 않는다고 판단했다. IBM으로서는 직원들이 업무용으로 지급받은 기기 외 자신의 기기로 근무하는 일이 많아지면서 사내 기밀이 스마트폰과 태블릿 같은 스마트 기기로 유출될 가능성이 높아진 셈이다.

호란 최고정보책임자는 “IBM 내 40만명 직원 중 4만명은 회사에서 지급한 블랙베리를 사용하고 있지만, 다른 8만명은 다른 장비를 구입해 일하고 있다”라며 “자신의 기기를 통해 사내 인트라넷에 접속을 요구하는 직원들이 점차 늘어나고 있어 이에 대비한 조치가 필요한 상황”이라고 설명했다. BYOD 근무 환경을 맞아 IBM에 내부에서도 과거와는 다른 변화된 보안정책이 필요해진 것이다.

결국 IBM은 보안 앞에 BYOD 정책을 한수 접었다. 사내 기밀 유출 방지가 클라우드 서비스 도입보다 더 시급하다고 판단했다. 이를 위해 IBM은 경쟁사 클라우드 스토리지보다 IBM 자사 클라우드 스토리지 서비스인 ‘마일 모바일 허브’를 사용하도록 인트라넷 환경을 바꿨다. 사내 네트워크에 접속하려면 직원 기기 인증 과정을 거쳐야만 접속할 수 있게 만들었다. 이 때 인증 받은 기기들은 원격으로 제어해 정보 유출 가능성을 막았다.

IBM은 사내 직원들이 애플의 음성 제어 검색엔진을 사용하면서 직원들 몰래 기밀이 유출될 수 있다고 내다봤다. 시리를 쓰면서 작동하는 음성 쿼리가 사내 인트라넷에 접속해 텍스트로 저장된 정보를 음성으로 변환해 애플 서버에 저장할 수 있다는 생각에서다. 사내 직원들이 아이폰을 사용하면서 ‘시리’를 쓸 수 없는 건 이 때문이다.

“아주 보수적인 사내 보안 정책으로 비치겠지요. 하지만 어쩔 수 없습니다. 사업을 지키기 위해서는 이런 보안 정책을 유지해야 한다고 봅니다.” 호란 최고정보경영자는 ‘보수적인 보안 정책’이라는 점을 인정하면서도 ‘어쩔 수 없는 선택’이었음을 이해해 달라고 부탁했다.

호란 최고정보책임자는 지난 3월 BYOD는 단순한 모바일 기기를 활용해서 근무하는 게 아닌, 직원들이 원하는 형태로 근무를 지원하는 새로운 근무 환경이라며 효과적인 근무를 위해 어떤 기기와 솔루션이 가장 적합하게 작용할지를 판단하는게 CIO의 핵심 임무라고 말한 바 있다. 아마 IBM의 CIO는 보안을 유지하는 게 직원들이 효과적으로 근무할 수 있는 환경이라고 판단한 듯 하다.