MIS(경영정보시스템)의 고도화를 하면서 모바일 그룹웨어를 도입하는 고객사가 늘어나고 있다. 이유는 간단하다. 코로나(covid19)로 인해서 비대면업무의 필요성이 등장했고, 재택근무 등에서도 원할하게 업무를 수행하기 위해서다. 그리고 지사들이 있거나 외부에 파견등을 나간 직원들이 있는 경우에도 필요성이 증가하나보다.
대부분 공공기관의 경우에는 SSL VPN으로 접속을 하고 그룹웨어를 접속한다. 그런데 원격지에서 접속을 하는 정규직, 계약직 직원들이 다루는 업무가 민감한 개인정보등을 다루는 직업이라면 담당자 및 기관장들의 고민이 깊어지게 된다. 예를 들어서 콜센터의 계약직들이 몇 백명이 있는데 이 사람들이 다루는 정보가 거의 개인정보다. 연예인이라도 발견하게 되면 그 전화번호라도 저장하고싶은 욕심이 생기지 않을까? ^^ 그런데 업무 PC로는 불가능하게 되면 가장 먼저 유혹을 받는 것이 폰의 사진을 이용해서 찍는것일거다.
이렇게 모바일 그룹웨어를 사용하거나 폰으로 업무를 수행하게 될 때 카메라의 작동을 막고, 캡쳐 등을 작업을 못하도록 강제적으로 막는 솔루션이 MDM(Mobile Device Management)이다. 물론 MDM은 다양한 기능들이 더 있다. 사원증을 대체할 수도 있고, 근퇴관리 기능도 넣을 수 있으며, 노조분들이 아주 싫어하는 동선체크기능도 넣을 수 있다. 동선체크는 관리자들이 사용자를 감시할려고 만든게 아니고, 군대나 경찰, 기간산업 등 보안이 아주 민감한 곳에서 사용한다.
서두가 많이 길었는데 저희 고객사 중에서 모바일 그룹웨어를 도입하고 거기에 MDM을 도입해서 연동을 하고 싶어 하셨다. 그런데 모바일 그룹웨어가 전용앱으로 만들어진게 아니고 그냥 반응형 웹으로 만들어져서 브라우져로 접속을 하는 방식이다. 이런 웹방식의 모바일 그룹웨어를 실행하면 MDM이 자동으로 연동이 되어서 동작하게 하고 싶으셨다.
MDM벤더사의 입장은 불가능하다. 전용앱이면 MDM과 연동이 가능하지만 단순 브라우져로 접속을 하게 되면 브라우져 실행시 MDM을 연동하게 하는것은 폰의 브라우져 앱을 커스텀하거나 해야하는데 이게 불가능하다는 의미다.
고객사는 MDM을 구매해서 연동을 해야하는데, MDM벤더사는 불가능하단다. 하지만 IT는 불가능은 없지않나 ^^ 중국에 “북경은 정책이 있고, 지방은 대책이 있다.”라는 말을 들어본적이 있는데 딱 지금 필요한 말이다.
그래서 와이드플러스원에서 고민고민을 해서 추가 비용은 최소화 하면서 고객사를 만족할 방법을 찾아봤다. 그게 아래와 같은 방법이다.
1. 모바일 그룹웨어로 접속을 하게 될 때는 Native App (모바일그룹웨어 접속용 Launcher)을 제작해서 접속을 시킨다.
2. Launcher가 동작 시 자동으로 MDM앱이 실행되면서, 모바일 브라우져 앱을 통해서 보안이 적용된(알려지지않은) 웹페이지로 접속을 1차로 시킨 후 redirect를 통해서 모바일그룹웨어 로그인 페이지로 접속을 시킨다.
3. Launcher를 통해서 로그인 페이지로 접속을 하게 되면 보안이 적용된(알려지지 않은) 웹페이지를 거쳐서 로그인 페이지로 접속을 하게 되므로 접속패킷의 헤더에 referer에 보안이 적용된(알려지지 않은)웹페이지의 정보가 parent로 들어가있다.
4. 이 헤더에 referer의 parent값은 항상 동일한 string값이므로 이 값을 가지고 있는 경우에만 모바일 그룹웨어에서 접속을 허용한다.
5. 사용자가 악의적이거나 까먹고 MDM을 실행시키지 않고 브라우져앱을 통해서 모바일 그룹웨어의 로그인페이지 URL 주소를 직접 치고 접속을 시도하게 되면 패킷헤더의 referer의 parent값이 null이므로 모바일 그룹웨어 서버에서 접속차단을 한다.
MDM과 그룹웨어 연동 방법
MDM과 그룹웨어 연동이 안되는 경우
와이드플러스원은 항상 고객의 입장에서 고민을 하고 제안을 해드립니다. 어떤것이든 문의주시면 성심성의껏 답변 드리겠습니다. 감사합니다.
