Communications

Windows Mobile 6의 보안 향상

Matt Fontaine

한 눈에 보기:

• 장치 보안
• Exchange Server 보안
• 네트워크 보안

모바일 장치는 사무실 밖의 다른 곳에서도 회사 정보에 액세스하고 연결을 유지할 수 있도록 함으로써 전 세계 작업자들의 생산성을 높이고 있습니다.

즉, 단지 모바일 장치를 켜고 업무에 착수하는 것만으로 생산성이 실로 향상됩니다.

이와 같은 눈부신 발전의 이면에는 가상 사무실의 보안을 안정적으로 유지하기 위해 고군 분투하고 있는 IT 전문가들이 있습니다. IT 전문가의 견해에서 볼 때 모든 모바일 장치는 네트워크에 연결되어 있을 경우 잠재적인 보안 유출 및 데이터 도난의 위험을 갖고 있습니다. 효율적이고 사용이 편리한 사용자 환경을 제공하는 것과 모바일 장치를 더욱 안전하게 배포하는 것 사이에서 균형을 유지하는 것이 매우 중요합니다.

Microsoft® Windows Mobile® 6 및 이전 버전인 Windows Mobile 5.0 MSFP(메시지 및 보안 기능 팩)에는 사용자의 불편을 최소화하면서 회사 인프라를 안전하게 유지하는 데 유용한 다양한 기능이 포함되어 있습니다. Microsoft Exchange Server를 메시징 플랫폼으로 구현하면 더 많은 보안 옵션을 사용할 수 있습니다. 이번 기사에서는 회사의 모바일 장치를 보호하기 위한 기반으로 Windows Mobile, Exchange Server 및 몇 가지 유용한 네트워크 보안 사례를 적용하는 방법에 대해 살펴보겠습니다.

모바일 통신 아키텍처

모바일 배포를 계획하고 있거나 업그레이드할 때는 장치, 메시지 서버 및 네트워크의 세 가지 계층을 고려해야 합니다(그림 1 참조). 장치 수준에서는 장치에 대해 허용된 응용 프로그램만 액세스할 수 있도록 하여 무단 액세스를 차단하는 것이 중요합니다. Windows Mobile에서는 PIN 인증 및 암호 보호, 장치 시간 제한 잠금, 장치가 손상되거나 도난된 경우 로컬 또는 원격으로 장치 메모리를 지우거나 삭제하는 기능 등을 통해 장치 자체에 대해 무단으로 액세스하는 것을 차단합니다. 또한 통신 채널 및 이동식 저장소의 데이터 암호화도 지원됩니다. 바이러스 또는 스파이웨어와 같이 허가되지 않은 응용 프로그램이 설치되거나 장치의 핵심 부분에 액세스하는 것을 차단하는 것도 필수적입니다. 관리 역할 정의, 응용 프로그램 액세스 계층, 코드 서명 설정, 보안 설정 및 보안 인증서를 결합하여 장치 수준의 보호를 구현할 수 있습니다.

그림 1** 모바일 통신 계층 **

그 다음 보안 계층은 Exchange Server 2003 SP2(서비스 팩) 또는 Exchange Server 2007과 같은 메시징 서버입니다. 이 계층에는 장치에서의 안전한 메시지 송수신에 사용되는 기술인 메시지 보안을 비롯하여 Exchange ActiveSync®를 통한 메시지 서버 및 모바일 장치 간의 상호 작용도 포함되어 있습니다. Exchange Server에서 Windows Mobile 장치를 반드시 사용할 필요는 없지만 Exchange를 사용하면 비용, 확장성, 성능 및 관리 측면에서 이점을 얻을 수 있습니다.

훌륭한 장치 수준 및 메시징 서버 보안을 구현하는 것도 중요한 일이지만 네트워크 계층을 보호하는 것 역시 중요합니다. 최선의 방법에 따라 회사 네트워크를 구성하고 강력한 보안 프로토콜을 구현함으로써 하나 이상의 모바일 장치가 손상된 경우에도 네트워크에 문제가 발생하지 않도록 할 수 있습니다.

장치 보안 정책

보안 위반에 대한 첫 번째 방어는 Windows Mobile 기반 장치 자체에 있습니다. Windows Mobile 운영 체제에서는 인증, 저장소 카드 암호화, VPN(가상 사설망), Wi-Fi 암호화 및 SSL(Secure Sockets Layer) 서비스를 지원하는 광범위한 장치 수준의 보안 서비스를 제공합니다. 장치 수준의 보안에는 장치 및 해당 데이터에 액세스하는 사용자 관리, 장치에서 실행할 수 있는 응용 프로그램 제어 및 장치에서 데이터가 송수신되는 방법 설정 등의 작업이 수반됩니다. 일반적으로 관리자는 Windows Mobile 5.0 MSFP 및 Windows Mobile 6 모두에 보안 정책을 설정하고 적용하는 데 상당한 융통성을 발휘할 수 있습니다.

사용자 액세스는 PIN 또는 암호 인증을 통해 관리됩니다. 일정 시간 비활성 상태에 있거나 전원이 꺼진 장치는 자동으로 잠기도록 설정할 수 있습니다. 이 경우 사용자가 장치를 다시 사용하려면 먼저 잠금을 해제해야 합니다(그림 2 참조). 사용자 액세스 제어의 구체적인 사항은 관리자의 보안 역할에 따라 변경될 수 있는 보안 정책으로 설정됩니다.

그림 2** 암호 정책 설정 **

암호 정책은 모바일 장치의 전반적인 보안 수준을 정의합니다(그림 3 참조). 보안 역할에 따라 이 보안 정책을 설정 및 변경할 수 있는 사용자가 결정됩니다. 일반적으로 모바일 운영자에게 부여되는 관리자 역할은 보안 정책 설정에 대한 완벽한 제어 권한을 제공합니다. Exchange에서 엔터프라이즈 역할은 Exchange 관리자가 구성한 일부 장치 정책을 관리하는 데 사용됩니다. 장치 공급자와의 계약에 따라 회사의 보안 정책을 사용자 지정할 수도 있습니다.

Figure 3 모바일 장치의 보안 정책

Windows Mobile에 사용되는 사용자 지정 인증 방법은 LASS(로컬 인증 하위 시스템)와 상호 작용하는 LAP(로컬 인증 플러그 인)에 의해 제어됩니다. Exchange Server에서는 이 기술을 통해 암호 길이 및 강도 요구 사항을 구현하거나 단순한 PIN 인증을 사용하는 등의 방법으로 세부적인 수준에서 장치 구성을 제어할 수 있습니다.

Windows Mobile 6에는 Exchange Server 2007을 통해 구성된 확장된 LAP 기능 집합이 포함되어 있습니다. "1111" 또는 "1234"와 같이 단순한 패턴 사용을 거부하는 PIN 패턴 인식을 사용하거나, 암호 또는 PIN 만료 기간을 구성하여 사용자가 특정 조건에 따라 PIN 재설정을 요청할 수 있도록 하거나, PIN/암호 기록을 보관하여 사용자가 새 PIN 또는 암호를 만들 때 기존 PIN 또는 암호를 다시 사용하지 못하도록 할 수 있습니다.

장치 내 데이터 보호

관리자가 설정한 제한 횟수를 초과하여 잘못된 PIN 또는 암호를 입력한 경우 로컬 장치의 지우기 기능에 따라 장치가 하드 리셋되며 사용자 인증 자격 증명을 포함한 메모리의 모든 내용은 삭제됩니다. 입력 제한 횟수는 Exchange Server의 보안 정책의 일부로 설정됩니다. 장치에서 잘못된 PIN 또는 암호를 연속으로 두 번 입력할 때마다 계속 진행하려면 구조화된 키 문자열을 입력하라는 메시지가 사용자에게 표시됩니다(그림 4 참조). 이렇게 하면 임의의 키를 눌러 장치의 내용이 삭제되는 실수를 방지할 수 있습니다. Windows Mobile 6과 Exchange Server 2007을 사용하면 저장소 카드의 내용을 원격으로 지울 수도 있습니다.

그림 4** PIN 및 암호 사용 방법 적용 **

중요한 회사 데이터가 담긴 2GB의 저장소 카드를 택시에 두고 내린 경우 장치를 잠그는 것만으로는 충분한 해결책이 되지 않습니다. 다행히 Windows Mobile 6을 사용하면 이러한 문제를 해결할 수 있습니다. 저장소 카드에 데이터를 쓴 장치에서만 해당 카드를 읽을 수 있도록 저장소 카드 데이터를 암호화할 수 있습니다. Windows Mobile 6의 다른 여러 향상된 보안 기능과 마찬가지로 이 보안 기능을 무선으로 제공하는 데 Exchange Server 2007을 사용할 수 있습니다. 저장소 카드 암호화의 대부분은 사용자에게 투명합니다. Exchange Server 2007에서 관리자는 사용자가 저장소 카드 암호화 설정을 변경할 수 있을지 여부를 선택할 수 있습니다.

응용 프로그램이 Windows Mobile 장치에서 실행될 수 있는지 여부는 권한 있음, 보통 및 차단됨의 세 가지 사용 권한 수준에 따라 결정됩니다. 권한 있음 수준의 응용 프로그램(권한 있는 인증서 저장소의 인증서로 서명됨)은 레지스트리 및 시스템 파일에 쓸 수 있으며 인증서를 설치할 수도 있습니다. 데스크톱 PC 또는 서버의 경우와 마찬가지로 운영 체제 환경을 변경할 수 있는 응용 프로그램 수가 많을수록 해당 환경이 손상될 가능성은 더욱 커집니다. 따라서 대개의 경우 액세스 권한이 있는 응용 프로그램의 수를 줄이는 것이 좋습니다. 대부분의 응용 프로그램(권한 없는 인증서 저장소의 인증서로 서명된 응용 프로그램 또는 사용자가 실행에 동의한 서명되지 않은 응용 프로그램)은 보통 수준에서만 실행됩니다. 이 수준에서 응용 프로그램은 실행될 수는 있지만 시스템 파일에는 액세스할 수 없습니다. 차단된 응용 프로그램은 잘못된 서명 또는 사용자 작업으로 인해 차단되어 실행될 수 없는 응용 프로그램입니다.

장치는 1계층 또는 2계층의 보안 액세스로 구성될 수 있습니다. 1계층 액세스 구성의 경우 서명되지 않은 응용 프로그램은 부여된 액세스 권한을 통해 실행되거나 차단되어 실행되지 못합니다. 2계층 액세스 구성에서는 정책이 성공적으로 확인되거나 사용자가 응용 프로그램 실행을 허용한 경우 서명되지 않은 응용 프로그램이 보통 수준에서 실행됩니다. 장치 설정에 따라 서명되지 않은 응용 프로그램을 실행할지 여부를 묻는 메시지가 사용자에게 표시될 수 있습니다.

사용자, 장치 및 응용 프로그램에 대해 가장 많이 사용되는 인증 형식 중 하나인 디지털 인증서는 장치, 서버 및 네트워크 수준의 Windows Mobile 보안에서 중요한 요소입니다. Windows Mobile 운영 체제에서는 장치의 서로 다른 인증서 저장소에 몇 가지 유형의 인증서를 저장합니다. 인증서는 어떤 응용 프로그램이 설치 및 실행될 수 있는지 결정합니다. Windows Mobile 기반 장치에서 사용자에게 확인 메시지를 표시하지 않고 실행되는 응용 프로그램의 경우 Microsoft Mobile2Mobile 프로그램에서 승인되었음을 나타내는 인증서로 서명되어야 합니다. 응용 프로그램에는 해당 응용 프로그램에 연결된 인증서를 기준으로 사용 권한 수준이 부여됩니다.

네트워크 인증의 경우 각 모바일 장치에는 그림 5와 같이 CA(인증 기관)에서 발급한 여러 개의 신뢰할 수 있는 상용 루트 인증서가 제공됩니다. Exchange Server와 같은 메시징 서버에서는 장치와의 SSL 연결을 설정하기 전에 해당 장치의 루트 인증서에 대해 신뢰성을 확인합니다. 회사에서 사용자 지정 인증서를 사용하는 경우 구입한 Windows Mobile 기반 장치에 인증서를 설치할 수도 있으며 새 인증서를 만들어야 할 수도 있습니다. 자세한 내용은 이 기사의 네트워크 보안 섹션에서 다루겠습니다.

그림 5** 디지털 인증서 관리 **

ActiveSync 및 Internet Explorer® Mobile은 SSL을 사용하여 장치 및 회사 웹 서버 간의 데이터 전송을 보호합니다. 이러한 방식은 Microsoft Exchange 데이터 동기화, 장치 구성 또는 응용 프로그램 다운로드를 위한 연결에도 적용됩니다. SSL은 128비트 RC4 또는 3DES 암호화를 통해 통신 채널을 암호화하므로 당사자 외에는 데이터를 읽을 수 없습니다. Windows Mobile에서는 인터넷을 통해 서버에 액세스하면서 패킷 암호화를 사용하여 전용 회선과 유사한 보안을 제공하는 VPN도 지원합니다.

Exchange Server 보안

Windows Mobile 기반 장치에 Exchange Server가 반드시 필요한 것은 아니지만 두 시스템은 긴밀하게 연동하여 강력한 종단 간 모바일 메시징 및 생산성 솔루션을 제공하도록 설계되었습니다. Windows Mobile 5.0 MSFP가 릴리스된 이후 ActiveSync는 Windows Mobile 장치 설정을 원격으로 관리할 수 있도록 향상되었습니다. ActiveSync는 대부분의 Windows Mobile 장치에 전반적인 보안 설정을 전파하고 적용하는 데 매우 효과적이며 사용이 편리한 도구를 제공합니다.

ActiveSync는 Microsoft Windows Server 2003의 응용 프로그램/웹 서버 구성 요소인 IIS에서 실행됩니다. IIS는 네트워크를 통한 공격으로부터 ActiveSync를 보호하는 데 유용한 기본 보안 기능을 제공합니다. Microsoft Office Outlook® Web Access(OWA)도 IIS를 기반으로 하므로 ActiveSync 및 OWA 모두에 대해 동일한 보안 인증서를 사용할 수 있습니다.

ActiveSync를 사용하여 엔터프라이즈 정책을 전파하는 경우 다음 번에 장치를 Exchange Server와 동기화할 때 해당 정책이 장치에 전달됩니다. 사용자는 정책 변경 내용에 동의해야 합니다. 그렇지 않을 경우 서버에 연결할 수 없습니다. 많은 수의 네트워크에서 상세한 보안 정책을 적용할 수 없는 레거시 하드웨어를 비롯하여 다양한 종류의 장치가 사용되고 있습니다. 필요한 경우 보안 정책 요구 사항에서 레거시 하드웨어와 같은 특정 장치에 예외를 두어 해당 하드웨어가 계속 연결되도록 허용할 수 있습니다.

Exchange Server 2003 SP2와 Exchange Server 2007은 보안 정책 제어 기능에 약간의 차이가 있습니다. Exchange Server 2003 SP2에서는 최소 암호 길이를 4-18자로 지정하고, 암호에 문자 및 숫자 모두를 사용하도록 하며, 장치를 잠그기 전까지 허용되는 비활성 상태 기간을 설정할 수 있습니다. 또한 Exchange Server 2003 SP2에서는 앞서 설명한 것처럼 레거시 장치에 대해 예외를 둘 수 있으며 보안 설정을 장치에 전파하는 횟수도 설정할 수도 있습니다.

Exchange Server 2007이 릴리스된 이후 다음과 같은 기능을 비롯하여 Exchange Server 2003 SP2의 모든 기능을 포함하도록 ActiveSync 모바일 장치 관리 기능이 향상되었습니다.

• "1234" 또는 "1111"과 같은 단순한 암호 허용 또는 금지
• 첨부 파일 다운로드 사용 또는 사용 안 함
• 저장소 카드 암호화 요구
• 최대 첨부 파일 크기 설정
• OWA를 통한 사용자의 장치 암호 복구 허용
• UNC(Universal Naming Convention) 및 Microsoft Windows SharePoint® Services(WSS) 파일에 대한 액세스 허용

Exchange Server 2007을 통해 IT 전문가는 각 사용자 또는 장치에 맞게 정책을 설정하고 보안 정책에서 특정 사용자에 대한 예외를 둘 뿐만 아니라 사용자 그룹의 정책 관리 작업을 융통성 있게 수행할 수 있습니다.

원격 액세스 지우기

앞서 살펴본 로컬 장치 지우기 외에도 Exchange Server 2003 SP2, Exchange Server 2007 또는 OWA를 사용하여 Windows Mobile 기반 장치의 데이터를 원격으로 지울 수 있습니다. 동기화할 때 실행되는 원격 지우기는 ActiveSync 보안 정책을 사용하지 않는 경우에도 수행할 수 있습니다. 원격 지우기 하드 리셋은 장치에서 중지할 수 없습니다. 0을 반복 사용하여 데이터, 설정 및 보안 키를 덮어쓰므로 핵심 운영 체제의 일부가 아닌 데이터의 경우 거의 복구할 수 없습니다.

네트워크 보안

네트워크 보안은 장치 및 메시징 서버 구성 요소만큼 모바일 보안에 중요하며, 사용자가 충분히 제어할 수 있는 모바일 인프라의 일부이기도 합니다. 하나 이상의 모바일 장치가 손상된 경우에도 유용한 구현 모델에 따라 회사 네트워크를 구성하고 올바른 보안 프로토콜을 구현함으로써 네트워크에 문제가 발생하지 않도록 할 수 있습니다.

Windows Mobile은 다양한 유형의 네트워크에서 올바르게 작동합니다. 표준 인터넷 보안 프로토콜과 방화벽을 사용하여 성능, 안정성 및 보안 요구 사항에 부합하는 솔루션을 설계할 수 있습니다.

회사 네트워크 내에서 메시징 서버를 운용하는 경우 인터넷과 회사 서버 간에 완충 역할을 하는 경계면 방화벽으로 메시징 서버를 보호할 수 있습니다. 이러한 용도에 맞게 특별히 설계된 기능을 제공하는 Microsoft Internet Security and Acceleration(ISA) Server 2004 또는 ISA Server 2006에서는 들어오는 모든 패킷을 검사하여 유효성을 확인한 후에 해당 패킷을 Exchange Server로 전달합니다. 그런 다음 인터넷을 통해 아웃바운드 정보를 클라이언트에 보냅니다.

ISA Server를 구성하려면 SSL 암호화를 사용하도록 설정하고 포트 443을 Exchange Server 트래픽용 SSL 웹 수신 포트로 지정해야 합니다. 이와 같이 단일 포트로 수신을 제한하여 인터넷에 대한 노출을 최소화합니다. 또한 모든 클라이언트는 ActiveSync를 통해 연결하기 전에 먼저 SSL 링크를 설정해야 합니다.

ISA Server는 OWA와 같은 웹 응용 프로그램의 사용자를 미리 인증하여 인증되지 않은 사용자가 응용 프로그램 서버에 액세스하는 것을 차단할 수 있습니다. ISA Server 2006은 Windows Mobile 기반 장치의 SSL 종료 지점의 역할을 하여 ISA Server 2004의 SSL 브리징 모델을 향상시킵니다. 이를 통해 Windows Mobile 기반 장치는 Exchange Server와 직접 연결하지 않고도 ISA Server 2006을 통해 트래픽을 앞뒤로 전달하여 Exchange Server 인증을 수행할 수 있습니다. ISA Server 2006은 경계 네트워크에 위치하는 것이 좋습니다. 따라서 공용 인터넷 및 Exchange Server 프런트 엔드 간에 추가 보안 계층을 구현할 수 있습니다.

인증

인증에는 기본 인증 및 인증서 기반 인증의 두 가지 옵션이 있습니다. 기본 인증은 Windows Mobile 클라이언트 및 Exchange 프런트 엔드 서버 간의 표준 이름 및 암호 사용 SSL 기반 연결을 의미합니다. 기본 인증의 경우에도 Exchange Server에서 장치를 인증하기 전에 해당 루트 인증서가 일치하는지 확인하므로 인증서가 필요합니다. Windows Mobile 및 IIS를 사용하면 SSL과 연관된 다양한 암호화 방법을 사용할 수 있습니다.

Windows Mobile 5.0 MSFP 및 Windows Mobile 6에서 사용할 수 있는 인증서 기반 인증에는 SSL 기본 인증 대신 TLS(전송 계층 보안)가 사용됩니다. TLS의 경우 각 사용자는 루트 인증서 외에도 공개 키 및 개인 키가 포함된 인증서가 필요합니다. TLS에서는 암호 대신 암호화 키(최대 2,048비트)를 사용하므로 보다 강력한 인증을 제공합니다.

Windows Mobile 6에서 데스크톱 등록을 사용하는 사용자 인증서를 등록하려면 해당 장치가 인증서 등록 서버와 동일한 도메인에 있는 데스크톱에 연결되어야 합니다. 사용자는 암호, 스마트 카드 또는 다른 방법을 사용하여 등록을 인증한 다음 데스크톱 PC에 장치를 연결합니다. 그런 다음 사용자가 데스크톱을 통해 인증서 시스템에 액세스하면 모바일 장치에 인증서가 설치됩니다. 데스크톱 등록은 ActiveSync 인증 인증서, SSL/TLS 인증 인증서, 802.1x Wi-Fi 인증서 또는 S/MIME 디지털 서명 인증서의 배포뿐만 아니라 인증서 갱신을 포함한 다양한 Windows Mobile 보안 용도로 사용할 수 있습니다.

SSL과 같은 보안 프로토콜은 전송 도중 메시지 데이터를 보호하지만 데이터가 Windows Mobile 장치 또는 Exchange Server에 도달하면 이를 암호화하지 않습니다. S/MIME는 디지털 서명 또는 암호화된 전자 메일을 지원하는 MIME 전자 메일 표준과 유사한 형식의 보안 알고리즘입니다. S/MIME는 SSL 전송 계층 암호화를 보완하는 추가 보호 계층을 제공합니다.

요약

인프라 보안 솔루션을 구성하는 여러 계층 각각에 대해 각별한 주의가 필요합니다. Windows Mobile, Exchange Server 및 ISA Server와 같은 Microsoft 네트워크 보안 제품을 함께 사용하면 모바일 인프라를 관리하는 데 따른 부담을 상당히 해소할 수 있습니다. 이러한 제품을 사용하여 IT 부서의 업무 부담을 줄이고 모바일 장치로 인해 발생하는 보안 관련 문제에서 벗어나 모바일 장치가 제공하는 생산성 향상에 더욱 주력할 수 있습니다.

이 기사를 작성하는 데 도움을 주신 Kathy Esser, Katharine Holdsworth, Sarah Norton, Chip Vollers에게 감사의 뜻을 전합니다.

Matt Fontaine은 BuzzBee의 기술 전문 저술가입니다.

© 2008 Microsoft Corporation 및 CMP Media, LLC. All rights reserved. 이 문서의 전부 또는 일부를 무단으로 복제하는 행위는 금지됩니다..