2019.02.08

셰도우 IT는 기회다··· 포용해 윈윈하는 7가지 방법

John Edwards | CIO
직원들이 조직의 명시적인 승인 없이 몰래 친숙한 소프트웨어 및 서비스를 사용하는 현상이 셰도우 IT다. CIO와 IT 관리자들은 이러한 미승인 툴로 인해 위험한 보안, 준수성, 워크플로 취약성이 발생한다는 사실을 깨닫고 수십 년 동안 셰도우 기술을 찾아서 없앨 수 있는 방법을 찾아 헤맸다.

하지만 점차 많은 IT 책임자들이 셰도우 IT를 새로운 시각으로 바라보고 있다. 이 비밀스러운 활동에 대한 연구가 최종 사용자 필요와 선호도에 대한 실마리와 통찰을 얻는데 도움이 되며, 나아가 직원 성과와 만족도를 높일 수 있는 승인된 소프트웨어와 서비스 개발 및 배치로 이어질 수 있다는 사실을 깨닫고 있는 것이다.

조직 내에 숨어 있는 셰도우 IT 툴을 정복할 수 있는 7가지 방법에 대해 살펴본다.
 
ⓒ Image Credit : Getty Images Bank



1. 셰도우 IT 툴을 사용하는 이유를 파악하라
많은 직원들이 기술에 능하고 장치, 소프트웨어, 앱을 이용해 업무를 효율적으로 처리하는데 익숙하다. 

HPE(Hewlett Packard Enterprise)의 자회사 아루바(Aruba)의 부사장 겸 수석 보안 기술 전문가 존 그린은 "일상 생활에서 소비자용 플랫폼을 이용하는데 익숙한 다수의 직원들이 편의성과 간소함을 근무에서도 누리고 싶어한다"라며 "프로세스의 속도를 늦추거나 업무 장벽을 생성하는 기업에서 IT 시스템이 우회될 가능성이 높다"라고 말했다.

솔라윈즈(SolarWinds)의 인프라 관리 소프트웨어 제공 기업의 책임자 레온 아다토는 1개 이상의 셰도우 IT 기술을 이용하는 직원들이 원하는 것은 명확하다는 입장이다. 그저 업무를 원활하고 효율적으로 처리하고 싶어하는 것이다.

그는 "프로세스나 팀이 필요를 충족시킨다면 이를 마다할 사람이 없다. 하지만 속도 또는 비용 등의 이유로 그렇지 못한 경우에 팀과 개인이 성공을 위해 다른 방법을 강구하기 시작한다”라고 말했다. 

2. 직원들의 셰도우 IT 툴을 어떻게 사용하고 있는지 파악하라
사용자들에게 셰도우 기술이 그들에게 제공하는 가치 그리고 문제 해결에 대한 논의를 요청함으로써 현실을 잘 파악할 수 있다. 

클라우드 보안 플랫폼 제공 기업 넷스코프(Netskope)의 클라우드 전략 책임자 진 코데로는 "IT팀이 새로운 기술을 평가할 때 하는 것과 유사하지만 이 새로운 기술이 이미 비즈니스 워크플로에 포함되어 있다는 점이 다를 뿐이다"라며 "사용례를 자세히 살펴보고 기업의 필요를 충족할 수 있는 솔루션을 파악하는 것이 좋다"라고 말했다.

흔한 셰도우 IT 사례는 은밀한 퍼블릭 클라우드 서비스 이용이다. 직원들은 파일을 공유하거나 다양한 사용자 문서 액세스를 제공하기 위해 이를 이용한다. 또는 단순히 드롭박스나 구글 독스 등의 서비스로 중요한 파일을 백업하는 경우도 잦다. 

그린은 "그러나 이런 플랫폼이 흔하고 사용이 간편하기는 하지만 민감한 데이터가 위험해질 수 있다”라며, 기업용 클라우드 플랫폼이 더욱 탄탄한 보안 및 활용 통제와 함께 파일을 암호화하여 의도한 당사자만 액세스할 수 있는 옵션을 제공한다고 언급했다. 

그는 이어 "규모가 큰 조직들은 일반적으로 자체적으로 안전한 파일 공유 플랫폼을 채택하거나 그들이 기업에 가장 중요한 것을 제공하는 기능을 사용자 정의할 수 있는 화이트 라벨 제품을 사용한다"라고 말했다.

3. 셰도우 IT 기술이 보안 위협을 가하는지 판단하라
그랜트 썬튼(Grant Thornton)의 자문 서비스 활동 수석 로이 니콜슨은 "우선은 조직에 어떤 셰도우 IT가 존재하는지 파악해야 한다"라고 권고했다. 

그는 이어 "이런 [목표를] 달성하는 방법은 많다. 네트워크에서 유출 트래픽을 모니터링하는 것도 하나의 방법이다. 기업들은 거기에서부터 보안 평가를 시작할 수 있다"라고 말했다.

기업들은 다른 종류의 소프트웨어 및 서비스와 마찬가지로 셰도우 IT 보안을 평가해야 한다고 주니퍼 네트웍스(Juniper Networks)의 JTL(Juniper Threat Labs) 책임자 모우너 하하드가 조언했다. 

그는 "셰도우 IT 기술에 반드시 다양한 평가 절차가 필요한 것은 아니지만 분명 보안 위험을 관찰하고 완화할 수 있도록 평가해야 한다"라고 말했다.

기업의 네트워크에서 알려지지 않은 사용자와 장치는 보안 공백을 만들고 위험을 높일 수 있다. 그린은 "기업 인프라에 연결된 모든 사람, 시스템, 장치에 대한 실시간 정보를 제공하는 네트워크 액세스 관리 시스템을 사용하는 것은 셰도우 IT 기술을 감지하는 효과적이 방법이다”라고 말했다.

또한 UEBA(User and Entity Behavior Analytics) 툴은 경계 방어책을 뚫고 침투한 숨겨진 사이버 위협으로 인한 피해를 감지하고 방지하는데 도움이 될 수 있다고 그는 덧붙였다.




2019.02.08

셰도우 IT는 기회다··· 포용해 윈윈하는 7가지 방법

John Edwards | CIO
직원들이 조직의 명시적인 승인 없이 몰래 친숙한 소프트웨어 및 서비스를 사용하는 현상이 셰도우 IT다. CIO와 IT 관리자들은 이러한 미승인 툴로 인해 위험한 보안, 준수성, 워크플로 취약성이 발생한다는 사실을 깨닫고 수십 년 동안 셰도우 기술을 찾아서 없앨 수 있는 방법을 찾아 헤맸다.

하지만 점차 많은 IT 책임자들이 셰도우 IT를 새로운 시각으로 바라보고 있다. 이 비밀스러운 활동에 대한 연구가 최종 사용자 필요와 선호도에 대한 실마리와 통찰을 얻는데 도움이 되며, 나아가 직원 성과와 만족도를 높일 수 있는 승인된 소프트웨어와 서비스 개발 및 배치로 이어질 수 있다는 사실을 깨닫고 있는 것이다.

조직 내에 숨어 있는 셰도우 IT 툴을 정복할 수 있는 7가지 방법에 대해 살펴본다.
 
ⓒ Image Credit : Getty Images Bank



1. 셰도우 IT 툴을 사용하는 이유를 파악하라
많은 직원들이 기술에 능하고 장치, 소프트웨어, 앱을 이용해 업무를 효율적으로 처리하는데 익숙하다. 

HPE(Hewlett Packard Enterprise)의 자회사 아루바(Aruba)의 부사장 겸 수석 보안 기술 전문가 존 그린은 "일상 생활에서 소비자용 플랫폼을 이용하는데 익숙한 다수의 직원들이 편의성과 간소함을 근무에서도 누리고 싶어한다"라며 "프로세스의 속도를 늦추거나 업무 장벽을 생성하는 기업에서 IT 시스템이 우회될 가능성이 높다"라고 말했다.

솔라윈즈(SolarWinds)의 인프라 관리 소프트웨어 제공 기업의 책임자 레온 아다토는 1개 이상의 셰도우 IT 기술을 이용하는 직원들이 원하는 것은 명확하다는 입장이다. 그저 업무를 원활하고 효율적으로 처리하고 싶어하는 것이다.

그는 "프로세스나 팀이 필요를 충족시킨다면 이를 마다할 사람이 없다. 하지만 속도 또는 비용 등의 이유로 그렇지 못한 경우에 팀과 개인이 성공을 위해 다른 방법을 강구하기 시작한다”라고 말했다. 

2. 직원들의 셰도우 IT 툴을 어떻게 사용하고 있는지 파악하라
사용자들에게 셰도우 기술이 그들에게 제공하는 가치 그리고 문제 해결에 대한 논의를 요청함으로써 현실을 잘 파악할 수 있다. 

클라우드 보안 플랫폼 제공 기업 넷스코프(Netskope)의 클라우드 전략 책임자 진 코데로는 "IT팀이 새로운 기술을 평가할 때 하는 것과 유사하지만 이 새로운 기술이 이미 비즈니스 워크플로에 포함되어 있다는 점이 다를 뿐이다"라며 "사용례를 자세히 살펴보고 기업의 필요를 충족할 수 있는 솔루션을 파악하는 것이 좋다"라고 말했다.

흔한 셰도우 IT 사례는 은밀한 퍼블릭 클라우드 서비스 이용이다. 직원들은 파일을 공유하거나 다양한 사용자 문서 액세스를 제공하기 위해 이를 이용한다. 또는 단순히 드롭박스나 구글 독스 등의 서비스로 중요한 파일을 백업하는 경우도 잦다. 

그린은 "그러나 이런 플랫폼이 흔하고 사용이 간편하기는 하지만 민감한 데이터가 위험해질 수 있다”라며, 기업용 클라우드 플랫폼이 더욱 탄탄한 보안 및 활용 통제와 함께 파일을 암호화하여 의도한 당사자만 액세스할 수 있는 옵션을 제공한다고 언급했다. 

그는 이어 "규모가 큰 조직들은 일반적으로 자체적으로 안전한 파일 공유 플랫폼을 채택하거나 그들이 기업에 가장 중요한 것을 제공하는 기능을 사용자 정의할 수 있는 화이트 라벨 제품을 사용한다"라고 말했다.

3. 셰도우 IT 기술이 보안 위협을 가하는지 판단하라
그랜트 썬튼(Grant Thornton)의 자문 서비스 활동 수석 로이 니콜슨은 "우선은 조직에 어떤 셰도우 IT가 존재하는지 파악해야 한다"라고 권고했다. 

그는 이어 "이런 [목표를] 달성하는 방법은 많다. 네트워크에서 유출 트래픽을 모니터링하는 것도 하나의 방법이다. 기업들은 거기에서부터 보안 평가를 시작할 수 있다"라고 말했다.

기업들은 다른 종류의 소프트웨어 및 서비스와 마찬가지로 셰도우 IT 보안을 평가해야 한다고 주니퍼 네트웍스(Juniper Networks)의 JTL(Juniper Threat Labs) 책임자 모우너 하하드가 조언했다. 

그는 "셰도우 IT 기술에 반드시 다양한 평가 절차가 필요한 것은 아니지만 분명 보안 위험을 관찰하고 완화할 수 있도록 평가해야 한다"라고 말했다.

기업의 네트워크에서 알려지지 않은 사용자와 장치는 보안 공백을 만들고 위험을 높일 수 있다. 그린은 "기업 인프라에 연결된 모든 사람, 시스템, 장치에 대한 실시간 정보를 제공하는 네트워크 액세스 관리 시스템을 사용하는 것은 셰도우 IT 기술을 감지하는 효과적이 방법이다”라고 말했다.

또한 UEBA(User and Entity Behavior Analytics) 툴은 경계 방어책을 뚫고 침투한 숨겨진 사이버 위협으로 인한 피해를 감지하고 방지하는데 도움이 될 수 있다고 그는 덧붙였다.


X