Mobile Access에 대한 오해 (1): 휴대폰 도난
액세스 제어 분야에서 가장 관련성이 높은 최신 기술 중 하나로 모바일 액세스 기능의 도입을 꼽을 수 있습니다. 이는 일반적인 모빌리티 트렌드로서 물리적 액세스 제어를 통해 사용자 경험을 강화하는 역할을 합니다. 기본으로 돌아가 이 기술은 무엇인지, 어떻게 작동하는지 알아보겠습니다.
모바일 액세스의 정의 및 작동 방식
모바일 액세스 기술을 활용하면 직원은 자신의 모바일 장치를 액세스 제어를 위한 자격 증명으로 이용하여 물리적 및 디지털 공간에 출입할 수 있습니다. 스마트폰이나 웨어러블 장치에는 유효한 물리적 액세스 제어 카드의 디지털 사본이 포함되어 있으며, HID Global의 경우 물리적 카드와 디지털 카드를 매우 안전한 암호화로 보호하여 모든 복제 시도를 차단합니다.
작동 원리 장치의 NFC 또는 BLE 기능을 통해 리더와 통신하고, HID Global의 경우 Seos® 기술을 이용하여 자격 증명(예: ID)을 안전하게 인증합니다. 그러면 시스템은 관리자가 정의한 규칙에 따라 물리적 장소나 디지털 위치, 사물, 시스템에 대한 액세스를 허용합니다.
모바일 액세스 기술의 도입이 확대되고 물리적 보안이 소비자 전자제품(스마트폰, 웨어러블 장치)과 결합되면서 전에 없던 문제가 나타나기 시작했습니다. 그 대상은 대부분 기술의 최종 사용자인 직원이었습니다.
이 글에서는 최근 대두하고 있는 신흥 시장의 잠재적 사용자들이 모바일 액세스의 사용과 관련하여 제기한 몇 가지 문제를 살펴보고자 합니다. 또한 보안 관리자로서 정확한 정보 제공을 통해 이러한 문제에 접근하는 방법도 알아보고자 합니다.
특히 이 블로그에서는 스마트폰 분실 및 도난과 관련하여 사람들이 흔히 가지고 있는 오해를 풀어드리고, 갑작스러운 일로 휴대폰의 정보를 통제할 수 없게 되었을 때 느끼는 불안감을 덜어드리고자 합니다.
모바일 액세스와 전통적인 잠금 시스템과 RFID 자격 증명의 비교
대부분의 사람들에게 휴대폰은 직장과 가족, 개인 정보가 담긴 일상의 생명줄과도 같습니다. 어떤 이유로든, 휴대폰이나 장치와 떨어지는 상황이 발생하면 바로 장치의 개인 정보에 대한 걱정을 떠올리게 됩니다. 또한 장치에 액세스 자격 증명이 로드되어 있는 경우 누군가가 연결된 모바일 액세스 시스템을 무단으로 사용할 가능성을 우려하게 됩니다.
요즘 업계에서는 직원들이 회사에 안전하고 편리하게 액세스할 수 있도록 실물 열쇠나 RFID 카드 자격 증명 대신 스마트폰을 액세스 도구로 활용하는 방안을 채택하는 것이 대세입니다.
수많은 기업이 직원들의 스마트폰에 설치된 모바일 액세스를 활용하여 업무 공간이나 주차 시설에 대한 액세스 권한을 부여하고 있습니다. 기업들은 열쇠나 RFID 카드에 비해 모바일 액세스가 제공하는 시스템 관리의 안전성과 단순성, 재정적 편익이 더 크다는 사실을 알게 되었습니다.
모든 직원에게 열쇠를 발급하는 것은 건물 출입 관리 측면에서 비용 대비 효율이 떨어집니다. 열쇠를 분실할 경우 건물 전체의 열쇠를 다시 발급해야 하기 때문입니다. 그 과정은 매우 복잡하고 많은 비용을 수반합니다. 게다가 모든 개인의 열쇠를 지속적으로 모니터링하고 발급하는 것은 보안 관리자에겐 악몽과 같은 일입니다.
RFID 카드는 실물 열쇠에 비해 장점이 있지만, 건물에 대한 단일 소스 액세스 시스템으로서 여전히 여러 가지 문제를 안고 있습니다. 출입 카드를 분실할 경우 시스템에서 해당 카드에 대한 액세스 권한을 삭제하여 분실된 카드를 사용할 수 없도록 할 수 있으며, 개인에게 새로운 카드를 신속하게 발급할 수도 있습니다.
그러나 RFID 카드는 소지자가 건물에 들어가기 위해 카드를 사용하는 시점까지는 카드가 분실되거나 도난당했다는 사실을 알지 못할 수도 있습니다. RFID 카드가 없다는 것을 깨닫는 데 며칠이 걸릴 수도 있습니다. 하지만 스마트폰을 분실한 경우에는 대부분 바로 깨닫게 되므로 이러한 문제가 없습니다!
앞서 말씀드린 바와 같이 휴대폰은 모든 사람의 일상 생활에서 매우 중요한 요소이므로 휴대폰을 분실할 경우 즉시 심각한 문제로 인식됩니다. 그러나 휴대폰을 분실하거나 도난당했다고 해서 권한이 없는 사람이 휴대폰의 모바일 액세스 시스템을 사용하거나 회사 또는 개인 정보에 액세스할 수 있는 것은 아님을 분명히 해 둘 필요가 있습니다.
휴대폰을 도난 또는 분실한 경우 모바일 액세스의 작동 방식
업계 전체를 대상으로 한 연구를 통해 사람들은 항상 RFID 카드나 열쇠보다 휴대폰을 더 안전하게 간수한다는 사실이 확인되었습니다. 사람들이 휴대폰을 활용하는 방식을 떠올려 보면, 휴대폰이 소유자와 멀리 떨어져 있는 순간은 거의 없음을 알 수 있습니다. 휴대폰을 분실하면 대부분은 즉시 알아챕니다.
휴대폰을 도난당했거나 분실했다는 사실을 알게 됐을 때, 사람들의 반응은 어떻습니까? 우선, 휴대폰을 습득한 사람은 모바일 액세스나 개인 정보에 액세스할 수 없습니다. 그러니 당황할 필요는 없습니다.
다음으로, 허가 받지 않는 사람이 휴대폰을 사용하여 회사 건물에 무단으로 액세스할 가능성에 대해 걱정할 수도 있습니다. 가장 먼저 할 일은 즉시 시스템 관리자에게 연락하여 모바일 액세스 자격 증명을 일시적으로 중지하는 것입니다.
또 사용자는 대부분 도둑이나 나쁜 의도로 이러한 기회를 노리는 사람들이 휴대폰의 인증 정보를 사용하지 못하도록 비밀번호나 PIN, 생체 인식으로 휴대폰을 보호합니다. BYOD(Bring Your Own Device) 휴대폰이라 하더라도 관리자는 휴대폰이 잠긴 상태에서, 또는 해제된 상태에서 모바일 자격 증명의 활용 여부를 제어할 수 있습니다.
휴대폰의 잠금이 해제되어 있다고 하더라도 액세스 자격 증명을 취소하여 일시 중지하면 액세스 제어 솔루션에서 해당 자격 증명은 유효하지 않은 것으로 인식됩니다. 휴대폰에서 모바일 액세스 자격 증명을 일시 중지하는 것은 RFID 카드나 실물 열쇠를 관리하는 것보다 훨씬 빠르며, 분실한 스마트폰을 새 스마트폰으로 교체하고 모바일 액세스 앱을 다운로드하면 회사 시스템 관리자가 자격 증명을 손쉽게 재발급할 수 있습니다. 또한 휴대폰이 없어 건물 출입에 불편함을 겪을 수도 있지만 대부분은 기업이 직원의 건물 출입을 위한 예비 솔루션을 구비하고 있습니다. 자격 증명 솔루션과 별도로 마련된 백업 시스템에는 보완적인 자격 증명(예: RFID 카드, 마스터 키, 관리자 암호)이나 직원(예: 보안 요원) 등이 포함될 수 있습니다.
모바일 액세스와 잘 어울리면서 많이 쓰이는 전략으로 PIN(개인 식별 번호)도 있습니다. PIN은 건물에 출입하는 대체 솔루션으로 이용할 수 있습니다. 직원이 휴대폰을 분실/도난당하거나 휴대폰 배터리가 방전됐을 때 승인된 다른 방법으로 건물에 출입할 수 있습니다. 이러한 점에서 휴대폰은 열쇠나 RFID 카드와 크게 다르지 않습니다.
사용자들은 대부분 기기를 충전한 상태로 유지하지만, 이 같은 백업 솔루션은 충분히 고려해 볼 만합니다. 또한 회사에서 모바일로 업무에 액세스하기 위해서는 우선 휴대폰의 잠금을 해제하게 하는 전략을 채택하기를 권장합니다. 이 경우 앱을 열어야만 시스템이 작동하기 때문에 편의성은 떨어지지만 보안은 강화됩니다. 이렇게 결정할 경우 휴대폰의 분실 또는 도난 가능성과 무단 액세스의 리스크를 모두 균형 있게 고려해야 합니다.
기업도, 개인도 건물 출입을 위한 백업 절차를 마련해둬야 한다는 점을 강조해야 합니다. 백업 시스템으로는 기존의 기계식 자물쇠/열쇠, 키패드(PIN), RFID 카드 등이 있습니다. 주된 출입 통제 방법이 무엇이든 백업을 마련해두는 것이 좋습니다.
스마트폰 분실은 곧 모바일 액세스의 끝?
위에서 설명했듯 스마트폰을 분실하거나 도난당했다고 해서 회사 건물에 출입할 수 없게 되거나 스마트폰에 있는 정보를 제어할 수 없게 되는 것은 아닙니다.
회사와 직원이 스마트폰의 모바일 액세스 관리 규칙을 몇 가지만 준수한다면 스마트폰 분실로 인한 문제를 최소화할 수 있습니다. 사용자는 '나쁜 사람'에게 회사 건물이나 스마트폰의 개인 정보에 액세스할 권한을 부여하지 않습니다.
보안, 개인정보 보호, 편의성의 균형을 조화롭게 유지하면서도 다단계 인증, 전사적 자격 증명 규칙과 같은 중요한 옵션과 선택권을 제공하는 모바일 액세스 시스템을 설치하는 것은 모바일 액세스 제어 시스템의 성공적인 활용에 필수적인 요소입니다.
다음 블로그에서는 개인 정보를 완벽하게 보호하고 스마트폰의 개인 정보 보호를 둘러싼 우려를 해소하기 위해 모바일 액세스 기업이 도입하는 운영 절차에 대해 알아보겠습니다. 다음 시간에 뵙겠습니다.
HID Mobile Access에 관해 궁금한 점이 더 있습니까?
관련 문서: Mobile Access에 대한 오해 (2): 개인 정보
Mobile Access에 대한 오해 (3): 성능 저하
Luc Merredew는 소방 및 보안 분야 OEM에서 20년 넘게 근무했으며 지금은 HID Global에서 PACS 제품 마케팅 담당 임원으로 남미, 미국, 캐나다를 담당하고 있습니다. 근무지는 캘리포니아 헌팅턴 비치이며 텍사스 오스틴 HID Global 본사에서 5년 동안 근무했습니다.