BYOD 정책은 일반적으로 CIO(최고 정보 책임자) 및 기타 고위 IT 의사 결정권자가 제정하며 직원 소유 디바이스를 직장에서 사용할 수 있는 조건과 최종 사용자가 디바이스를 사용하는 동안 준수해야 하는 보안 정책을 정의합니다.

BYOD 정책의 세부 사항은 조직의 BYOD 전략 목표에 따라 다르지만 대부분의 디바이스 정책에서는 다음과 같은 몇 가지 주제의 변형을 정의합니다.

이용 목적 제한: BYOD 정책은 일반적으로 직원이 업무 관련 작업에 개인 디바이스를 사용할 수 있는 방법과 시기를 간략하게 규정합니다. 예를 들어 VPN(가상 사설망)을 통해 기업 리소스에 안전하게 연결하는 방법에 대한 정보와 사용이 허가된 업무 관련 앱 목록이 포함된 이용 목적 제한 지침을 만들 수 있습니다.

이용 목적 제한 정책은 직원 소유 디바이스를 사용하여 중요한 기업 데이터를 처리, 저장 및 전송하는 방법을 지정하는 경우가 많습니다. 해당되는 경우, 건강 보험 양도 및 책임에 관한 법률(HIPAA), 사베인즈-옥슬리법(Sarbanes-Oxley Act), 일반 데이터 보호 규정(GDPR) 등의 규정에 따른 데이터 보안 및 보존 정책도 BYOD 정책에 포함될 수 있습니다.

허용되는 디바이스: 직원이 업무용으로 사용할 수 있는 개인 디바이스의 유형과 최소한의 운영 체제 버전 등 관련 디바이스 사양이 BYOD 정책에 명시될 수 있습니다.

보안 조치: BYOD 정책에는 일반적으로 직원 디바이스에 대한 보안 표준을 설정합니다. 여기에는 최소한의 비밀번호 요구 사항 및 2단계 인증 정책, 중요한 정보를 백업하기 위한 프로토콜, 디바이스를 분실하거나 도난당한 경우 따라야 할 절차가 포함될 수 있습니다. 모바일 디바이스 관리(MDM) 또는 모바일 애플리케이션 관리(MAM) 도구와 같이 직원이 디바이스에 설치해야 하는 보안 소프트웨어도 보안 조치에 지정할 수 있습니다. 이러한 BYOD 보안 솔루션에 대해서는 아래에서 자세히 설명합니다.

개인정보 보호 및 권한: BYOD 정책은 일반적으로 조직이 직원의 개인 데이터와 기업 데이터를 분리하는 방법을 포함하여 직원의 디바이스에서 개인정보를 보호하기 위해 IT 부서가 취하는 단계를 간략하게 설명합니다. 또한 특정 설치 대상 소프트웨어와 제어 대상 앱을 비롯해 IT 부서가 직원의 디바이스에서 보유해야 하는 특정 권한도 정책에 자세히 설명할 수 있습니다.

환급: 직원에게 디바이스 구매 비용을 지급하거나 인터넷 또는 모바일 데이터 요금제에 보조금을 지급하는 등 기업이 개인용 디바이스 사용 비용을 환급하는 경우, BYOD 정책에는 환급 처리 방법과 직원이 받을 수 있는 금액이 요약됩니다.

IT 지원: BYOD 정책은 개인 디바이스가 고장 나거나 제대로 작동하지 않을 경우 기업의 IT 부서에서 문제 해결을 지원할 수 있는 범위(또는 지원 불가능한 범위)를 지정할 수 있습니다.

오프보딩: 마지막으로, BYOD 정책은 직원이 퇴사하거나 BYOD 프로그램에서 디바이스 등록을 취소하는 경우 따라야 할 단계를 간략하게 설명합니다. 이러한 종료 절차에는 디바이스에서 중요한 기업 데이터를 제거하고 네트워크 리소스를 이용하는 디바이스의 액세스 권한을 취소하고 사용자 또는 디바이스 계정을 해제하기 위한 계획이 주로 포함됩니다. 

BYOD 프로그램은 회사에서 발급한 디바이스에서 자주 발생하지 않거나 낮은 빈도로 발생하는 문제에 대해 디바이스 보안 우려사항을 제기합니다. 직원 디바이스의 하드웨어 또는 시스템 취약성은 회사의 공격 표면을 확장하여 해커가 회사 네트워크를 침해하고 민감한 데이터에 액세스할 수 있는 새로운 방법을 제공할 수 있습니다. 직원은 회사에서 발급한 디바이스보다 개인 디바이스를 사용할 때 훨씬 더 위험한 탐색을 수행하거나 이메일 또는 메시지를 보낼 수 있습니다. 개인 용도의 사용으로 인해 직원의 컴퓨터를 감염시키는 멀웨어는 기업 네트워크로 손쉽게 퍼질 수 있습니다.

IT는 회사에서 발급한 디바이스를 사용해 디바이스 설정, 구성, 애플리케이션 소프트웨어 및 권한을 직접 모니터링하고 관리하여 이러한 문제와 유사한 문제를 피할 수 있습니다. 그러나 IT 보안 팀은 직원의 개인 디바이스를 동일하게 제어할 수 없고, 반면 직원들은 개인 디바이스의 통제에 대해 불만을 가질 수 있습니다. 시간이 지남에 따라 기업들은 BYOD 보안 위험을 완화할 수 있는 다른 다양한 기술로 눈을 돌렸습니다.

가상 데스크탑

가상 데스크탑 인프라(VDI) 또는 DaaS(Desktop as a Service)라고도 하는 가상 데스크탑은 원격 서버에서 호스팅되는 가상 머신에서 실행되는 완전히 프로비저닝된 데스크탑 컴퓨팅 인스턴스입니다. 직원들은 이러한 데스크탑에 액세스하고 기본적으로 개인 디바이스에서 암호화된 연결 또는 VPN을 통해 이를 원격으로 실행합니다.

가상 데스크탑을 사용하면 연결된 반대쪽에서 모든 일이 발생합니다. 개인 디바이스에 애플리케이션을 설치하지 않고, 개인 디바이스에서 회사 데이터를 처리하거나 저장하지 않으므로 개인 디바이스와 관련된 대부분의 보안 문제가 효과적으로 제거됩니다. 그러나 가상 데스크탑은 배포 및 관리 비용이 많이 들 수 있는데, 이는 인터넷 연결이 필요하고 직원들이 오프라인에서 업무를 할 수 없기 때문입니다.

클라우드 기반 SaaS(Software-as-a-Service)는 최소한의 관리 오버헤드로 유사한 보안 이점을 제공하지만 최종 사용자 행동을 완전히 제어할 수 없습니다.

디바이스 관리 솔루션

BYOD 이전에 조직은 모바일 디바이스 관리(MDM) 소프트웨어를 사용하여 회사에서 발급한 모바일 디바이스를 관리했습니다. MDM 도구를 사용하여 관리자는 디바이스를 완벽하게 제어할 수 있었습니다. 예를 들어 관리자는 로그온 및 데이터 암호화 정책을 시행하고, 엔터프라이즈 앱을 설치하고, 앱 업데이트를 푸시하고, 디바이스 위치를 추적하고, 분실, 도난 또는 손상된 디바이스를 잠그거나 초기화할 수 있었습니다.

하지만 MDM은 직원들이 직장에서 자신의 스마트폰을 사용하기 시작하고 개인 디바이스, 앱 및 데이터에 대한 제어 권한을 IT 팀에 부여하는 데 불만을 갖기 전까지만 사용할 수 있는 모바일 관리 솔루션이었습니다. 그 이후 개인 디바이스 사용자와 직원의 업무 방식이 변화하면서 새로운 디바이스 관리 솔루션이 등장했습니다.

모바일 애플리케이션 관리(MAM): MAM은 디바이스 자체를 제어하기 보다는 앱 관리에 중점을 두고, IT 관리자에게 기업 앱과 데이터에 대한 제어 권한만 부여합니다. 이를 실현하기 위해 MAM은 개인 디바이스에 비즈니스 데이터 및 애플리케이션을 위한 보안 엔클레이브를 생성하는데, 이를 컨테이너화라고 합니다. 컨테이너화를 통해 IT는 컨테이너 내의 애플리케이션, 데이터 및 디바이스 기능을 완벽하게 제어할 수 있지만 컨테이너 외부에서는 직원의 개인 데이터 또는 디바이스 활동에 액세스하거나 이를 볼 수도 없습니다.

엔터프라이즈 모바일 관리(EMM): BYOD 참여가 증가하고 스마트폰을 넘어 태블릿으로, Blackberry OS 및 Apple iOS를 넘어 Android까지 확장되면서 MAM은 기업 네트워크에 도입되는 직원 소유의 모든 새로운 디바이스에 대응하기 위해 고군분투했습니다. 그리고 이 문제를 해결하기 위해 엔터프라이즈 모바일 관리(EMM) 도구가 곧 등장했습니다. EMM 도구는 MDM, MAM 및 IAM(ID 및 액세스 관리)의 기능을 결합하여 IT 부서가 한 곳에서 네트워크의 전반의 모든 개인 및 회사 소유 모바일 디바이스를 관리할 수 있는 단일 플랫폼, 단일 창을 제공합니다.

통합 엔드포인트 관리(UEM). EMM의 한 가지 단점은 Microsoft Windows, Apple MacOS 및 Google Chromebook 컴퓨터를 관리할 수 없다는 것이었습니다. 이것이 문제인 이유는 개인 PC를 사용해 원격으로 근무하는 직원과 제3자를 포함하도록 BYOD를 확장해야 했기 때문입니다. 이러한 격차를 해소하기 위해 UEM 플랫폼이 등장했고, 모바일, 노트북 및 데스크탑 디바이스 관리를 단일 플랫폼으로 통합했습니다. UEM을 사용하여 IT 부서는 연결 위치와 실행하는 운영 체제에 관계없이 모든 유형의 디바이스에 대한 IT 보안 도구, 정책 및 워크플로우를 관리할 수 있게 되었습니다.

조직에서 얻는 BYOD의 이점으로 가장 자주 언급되는 것은 다음과 같습니다.

• 비용 절감 및 IT 관리 부담 감소: 고용주가 더 이상 모든 직원의 디바이스를 구매 및 프로비저닝하지 않아도 됩니다. 대부분의 직원 또는 모든 직원에 대해 BYOD를 구현하고 성공적으로 관리할 수 있는 기업은 이를 통해 상당한 비용 절감 효과를 실현할 수 있습니다.
  
  
• 신규 입사의 온보딩 시간 단축: 직원들이 회사에서 지급한 디바이스를 기다리지 않은 채 직무 관련 작업을 시작할 수 있습니다. 최근 칩 부족 및 기타 공급망 차질로 인해 기업이 직원들에게 업무를 시작하는 데 필요한 컴퓨터를 제때 제공할 수 없었던 상황에서 이는 특히 중요한 의미를 갖습니다.
  
  
• 직원 만족도 및 생산성 향상: 일부 직원은 회사에서 지급한 장비보다 더 익숙하거나 기능이 뛰어난 자신의 디바이스로 작업하는 것을 선호합니다.

BYOD의 이러한 다양한 이점은 직원과 고용주가 겪는 과제와 문제로 인해 상쇄되기도 합니다.

• 직원 개인정보 보호 문제: 직원들은 자신의 개인 데이터 및 활동이 노출되는 것에 대해 우려할 수 있습니다. IT 부서에서 요구하는 필수 소프트웨어를 개인 디바이스에 설치하는 것에도 불편을 느낄 수 있습니다.
  
  
• 제한적인 후보자 풀, 포용성 문제: BYOD가 필수적으로 적용되면, 적절한 개인 디바이스를 구입할 여유가 없거나 소유하지 않은 사람은 채용 고려 대상에서 제외될 수 있습니다. 또한 고용주가 해당 비용을 환급하는지 여부와 관계없이 개인 컴퓨터를 사용해야 하는 조직에서는 근무하지 않으려 하는 사람도 있을 수 있습니다.
  
  
• 남아 있는 보안 위험: BYOD 보안 및 디바이스 관리 솔루션을 갖추고 있더라도, 직원들이 강력한 비밀번호 관리 및 물리적 디바이스 보안과 같은 사이버 보안 모범 사례를 개인 디바이스에서 항상 준수하는 것은 아니므로 해커, 멀웨어 및 데이터 유출에 노출될 수 있습니다.
  
  
• 규정 준수 문제: 의료, 금융, 정부 및 기타 규제 대상 산업에 종사하는 고용주는 민감한 정보 취급과 관련된 엄격한 규정과 고액의 벌금으로 인해 BYOD를 일부 직원에게만 구현하거나 전혀 구현하지 못할 수 있습니다.