모바일 단말 (Mobile Device, MD)
1. 모바일 단말 (Mobile Device, MD) · 13개 통제항목
정의
모바일 단말은 시스템에서 허용 및 금지할 모바일 코드와 모바일 코드 기술을 정의하고 허용할 모바일 코드와 모바일 코드 기술의 사용 제한 사항과 구현 가이드를 수립하여 내부 혹은 외부에서 모바일 단말의 사용 인가, 모니터링을 위한 통제항목이다.
보안통제 항목 (13)
| N2SF ID | 소항목 | 보안통제설명 | 분류 |
|---|---|---|---|
| N2SF-MD-1 | 모바일 코드 다운로드 및 실행 금지 | 허용되지 않은 모바일 코드 다운로드 및 실행을 금지한다. | C S O |
| N2SF-MD-2 | 자동 실행 금지 | 응용프로그램에서 모바일 코드의 자동 실행을 방지한다. | C S |
| N2SF-MD-3 | 제한된 환경에서의 실행 | 모바일 코드를 제한된 환경(가상머신 등)에서만 실행하도록 제한한다. | C S |
| N2SF-MD-4 | 민감정보 소통 제한 | 민감정보를 처리·저장·전송하는 경우 보안요건에 따른 기술적 조치가 적용되지 않은 일반적인 모바일 장비 사용을 제한한다. | C S |
| N2SF-MD-5 | 모바일 장치 암호화 기술 | 모바일 장비 저장공간 암호화 또는 컨테이너 기반 저장공간 분리 및 암호화를 적용한다. | C S |
| N2SF-MD-6 | 데이터 자동삭제 또는 초기화 | 특정 상황 또는 조건에 따라 단말 내부에 저장된 데이터를 자동 삭제하거나 초기화한다. | C S |
| N2SF-MD-7 | 탈옥·루팅 탐지 및 차단 | 특정 상황 또는 조건에 따라 단말 내부에 저장된 데이터를 자동 삭제하거나 초기화한다. | C S O |
| N2SF-MD-8 | 블루투스·USB 제어 설정 모바일 장치 암호화 기술 | 블루투스, USB 등 외부 입출력 통신 기능을 제어하고 정책에 따라 허용한다. | C S |
| N2SF-MD-9 | 비인가 앱 탐지 및 차단 | 관리자가 승인하지 않은 앱이 설치되거나 실행되면 알림 및 차단한다. | C S |
| N2SF-MD-10 | 위치 기반 보안 정책 | 단말의 물리적 위치(GPS)에 따라 특정 앱 실행 또는 네트워크 접근을 제한한다. | C S |
| N2SF-MD-11 | 네트워크 접근 제어 | 단말이 안전하지 않은 네트워크(예: 공용 Wi-Fi)에 연결될 경우 경고 또는 차단한다. | C |
| N2SF-MD-M1 | 장비 식별 및 사용자 연동 관리 | 모바일 장치 고유 ID와 사용자 계정을 연동하여 통합 식별 및 통제를 수행한다. | C S |
| N2SF-MD-M2 | 정책 위반 자동 조치 | 정책 위반 시 자동으로 앱 차단, 로그아웃, 초기화 등 사전 정의된 조치를 수행한다. | C |
구현 방법 예시
모바일 코드 실행 제한 및 무결성 보호
- 허용되지 않은 앱 또는 코드가 실행되지 않도록, 앱스토어 외 설치(Sideloading)를 차단하고, App Allowlist 기반 접근을 적용한다.
- iOS에서는 MDM을 통해 앱 설치 권한을 제한하고, Android에서는 Google Play Protect 또는 기업용 앱 허브를 활용한다.
- 코드 자동 실행 차단을 위해 앱 실행 시 관리자 승인 절차 또는 디지털 서명 검증을 수행한다.
모바일 실행 환경 격리
- 민감 데이터를 처리하는 앱은 가상 실행 환경(Work Profile, Knox, Android for Work 등)을 통해 사용자 앱과 분리된 공간에서 동작시킨다.
- 컨테이너 기반 앱 구동 방식이나 OS-level 가상화(VM 기반 모바일 OS) 환경을 활용해 코드 실행을 격리한다.
- 위험 탐지 시 Work Profile 전체를 초기화하거나 폐쇄 조치가 가능하도록 구성한다.
데이터 보안 및 암호화
- 모바일 저장소는 FDE(Full Disk Encryption), File-based Encryption을 통해 항상 암호화된 상태로 유지한다.
- 민감 데이터는 앱 단위 컨테이너에 저장하고, 키 관리는 OS 보안 모듈(Secure Enclave, Keystore, Keychain 등)과 연동한다.
- 보안이 요구되는 앱은 DLP 기능(화면 캡처 방지, 복사 방지, 클립보드 차단)을 통합 적용한다.
탈옥/루팅 탐지 및 대응
- Android/iOS 루팅 탐지 API, 서드파티 SDK 또는 MDM 보안 설정을 활용해 탈옥·루팅 여부를 검사한다.
- 탐지 시 앱 실행을 중지하거나 자동 로그아웃, 데이터 초기화, 관리자 알림 등 즉각적인 조치를 수행 한다.
외부 인터페이스 통제 (USB/블루투스)
- USB Debugging, OTG 기능, 블루투스 PAN 연결 등을 정책적으로 제한하거나 비활성화한다.
- 업무용 프로파일에서는 외부 저장장치 인식 차단, 블루투스 키보드·마우스만 허용 등으로 제한한다.
사용자 연동 및 식별 관리
- 모바일 디바이스의 고유 식별자(UDID, Android ID, IMEI 등)와 사용자 계정을 연동해 기기별 통제를 수행한다.
- 사용자 인증 정보(MDM 연동 계정, AD 기반 Single Sign-On을 통해 사용자-단말 간 연동을 자동화하고, 사용자 변경 시 기기 초기화를 수행한다.
- 통합 디바이스 관리 시스템과 IAM 시스템을 연계하여 단말 상태 기반 인증과 접근 통제를 구성한다.
적용 기술 요약
| 항목 | 적용 기술 또는 방식 |
|---|---|
| 코드 실행 제한 | Sideloading 차단, MDM 정책, App Allowlist, 코드 서명 검증 |
| 실행 환경 분리 | Knox, VM 기반 앱 격리, Container 앱 구동 |
| 저장 데이터 암호화 | FDE, File-based Encryption, Secure Enclave, Keystore |
| 탈옥/루팅 탐지 및 대응 | 루팅 탐지 SDK, 앱 실행 차단 |
| 외부 인터페이스 제어 | USB Debugging 차단, OTG 비활성화, Bluetooth 프로파일 제한 |
| 사용자 연동 관리 | 단말 고유 ID, AD 연동 SSO, 사용자-기기 연동, IAM 연계 |