2017.02.10

NASA에서도 섀도우 IT는 '창궐' ··· 내부 감사서 미승인 서비스 28건 발견

Michael Cooney | Network World
기업에서 섀도우 IT 운영의 직접적인 증거를 발견하는 것은 그리 드문 일이 아니다. 하지만 최근 미국 NASA에서도 IT 영역에 대한 감사를 통해 28개의 미검증 클라우드 서비스를 사용하고 있는 것이 드러났다.

NASA 감찰실이 진행한 전반적인 클라우드 보안 감사에서 CIO 사무실이 8개, 그리고 감찰실이 20개의 미승인 클라우드 서비스를 발견했다.

감찰실은 보고서를 통해 다음과 같이 밝혔다. “NASA의 승인이나 인지없이 클라우드 서비스를 활용하는 것은 NASA의 데이터를 불필요한 위험에 방치하는 일이다. 예를 들어, 우리가 발견한 서비스 중 하나인 팀뷰어는 협업과 인터랙션을 더 쉽게 할 수 있도록 인접한 연락처와 디바이스에 대한 '자동 디스커버리' 기능을 제공한다. 파일 전송 기능은 크기와 관계없이 파일 관리자나 드래그 앤 드롭, 클라우드 스토리지 서비스 업체로의 링크 등 편리한 방법으로 파일을 공유할 수 있다."

"이런 기능으로 민감한 데이터에 허가 받지 않은 사람이 접근할 수도 있다. 마찬가지로 또 하나의 미승인 서비스인 허들(Huddle)은 팀 구성원 간의 협업 촉진 서비스로, 여러 디바이스와 위치에 걸쳐서 파일을 쉽게 공유할 수 있는데, NASA 파이어월 외부의 팀과도 공유할 수 있어 마찬가지의 위험성을 가진다.”

이런 섀도우 IT는 일반 기업은 물론, 정부와 공공기관에도 중요한 해결 과제 중 하나이다. 가트너는 최근 “최근 몇 년 동안 분명해진 것 중 하나는 섀도우 IT가 존재한다는 것이다. 디지털 비즈니스가 진화하면서 IT 부서가 내리는 기술 관련 의사결정이 적어지고 개별 사업부가 부서를 위한 기술을 고르기 시작했다. 가트너는 실제로 2017년에는 38%의 IT 구매가 현업 부서의 책임자에 의해 관리되고 정의되고 통제될 것이라고 예측한 바 있다”라고 밝혔다.

NASA의 경우 정부 구매 카드와 웹 브라우저를 이용해 직원들이 쉽게 저렴한 구독 라이선스를 구매해 클라우드 컴퓨팅 서비스를 이용할 수 있고, CIO나 CSO의 개입이나 승인없이 대량의 데이터를 전송하고 처리하고 저장할 수 있는 애플리케이션을 쉽게 확보할 수 있었다. 실제로 몇몇 클라우드 스토리지 서비스는 무료였다.

NASA는 과학 프로그램을 지원하기 위한 대규모 연산 서비스나 행성 표면 지도의 고해상도 이미지를 위한 대규모 데이터 세트 저장 등의 많은 중요 기능을 해결하는 데 클라우드 컴퓨팅을 이용한다. 감찰실은 “IT 하드웨어와 인프라에 상당한 초기 투자가 필요한 전통적인 데이터센터 모델과는 달리 클라우드 컴퓨팅은 NASA 과학자와 엔지니어가 특정 프로젝트나 기능을 완수하는 데 필요한 만큼의 자원만 사용할 수 있도록 한다”라고 설명했다.

NASA 감찰실은 2013년부터 미국 연방정부의 위험 및 인증 관리 프로그램인 FedRAMP의 승인을 받은 클라우드 컴퓨팅 서비스를 사용해 왔고, 약 1.2%의 데이터를 이들 환경으로 이전했다고 밝혔다. 하지만 NASA의 클라우드 컴퓨팅 관련 활동은 이런 FedRAMP 인증 서비스 외의 영역에서 더 많이 이루어졌다. 이처럼 클라우드 활용이 증가하면서 데이터 보호를 위한 위험 관리 및 거버넌스 프래틱스를 강화하는 것이 불가피해 보인다.

NASA CIO는 직원들이 NASA가 인증한 클라우드 서비스만 사용할 수 있도록 필요한 정책 각서와 과련 지침을 발행했으며, 인증된 클라우드 서비스의 등록소를 NASA 내부 웹사이트를 통해 이용할 수 있도록 했다. 하지만 직원들이 NASA 데이터를 미승인 클라우드 서비스에 저장하는 것을 방지하기 위한 통제가 없었다는 것이 감찰실의 평가이다.

감찰실은 또 “게다가 감사를 진행할 당시 NASA는 조직 내에서 사용되는 모든 클라우드 컴퓨팅 서비스를 확인할 수 있는 툴인 클라우드 액세스 시큐리티 브로커(Cloud Access Security Broker)를 사용하지 않았다고 지적했다. 2016년 9월 NASA는 이 툴의 구매를 승인했지만, 과연 이 툴의 기능을 100% 활용할 수 있도록 구현했는지는 확실하지 않다. 이 툴에는 미승인 클라우드 서비스에 대한 액세스를 통제하는 기능도 포함되어 있다.

한편, 감찰실에 따르면 NASA CIO는 조직 내에 필요한 서비스를 제공하는 엔터프라이즈 클라우드 컴퓨팅 솔루션을 구축하는 데 집중했다. 또한 사용자들은 NASA 내의 클라우드 문화가 좀 더 성숙하면 자연스럽게 승인 된 서비스에 적응할 것으로 생각하고 사소한 미승인 서비스에 대해 크게 우려하지 않은 것으로 알려졌다.  editor@itworld.co.kr



2017.02.10

NASA에서도 섀도우 IT는 '창궐' ··· 내부 감사서 미승인 서비스 28건 발견

Michael Cooney | Network World
기업에서 섀도우 IT 운영의 직접적인 증거를 발견하는 것은 그리 드문 일이 아니다. 하지만 최근 미국 NASA에서도 IT 영역에 대한 감사를 통해 28개의 미검증 클라우드 서비스를 사용하고 있는 것이 드러났다.

NASA 감찰실이 진행한 전반적인 클라우드 보안 감사에서 CIO 사무실이 8개, 그리고 감찰실이 20개의 미승인 클라우드 서비스를 발견했다.

감찰실은 보고서를 통해 다음과 같이 밝혔다. “NASA의 승인이나 인지없이 클라우드 서비스를 활용하는 것은 NASA의 데이터를 불필요한 위험에 방치하는 일이다. 예를 들어, 우리가 발견한 서비스 중 하나인 팀뷰어는 협업과 인터랙션을 더 쉽게 할 수 있도록 인접한 연락처와 디바이스에 대한 '자동 디스커버리' 기능을 제공한다. 파일 전송 기능은 크기와 관계없이 파일 관리자나 드래그 앤 드롭, 클라우드 스토리지 서비스 업체로의 링크 등 편리한 방법으로 파일을 공유할 수 있다."

"이런 기능으로 민감한 데이터에 허가 받지 않은 사람이 접근할 수도 있다. 마찬가지로 또 하나의 미승인 서비스인 허들(Huddle)은 팀 구성원 간의 협업 촉진 서비스로, 여러 디바이스와 위치에 걸쳐서 파일을 쉽게 공유할 수 있는데, NASA 파이어월 외부의 팀과도 공유할 수 있어 마찬가지의 위험성을 가진다.”

이런 섀도우 IT는 일반 기업은 물론, 정부와 공공기관에도 중요한 해결 과제 중 하나이다. 가트너는 최근 “최근 몇 년 동안 분명해진 것 중 하나는 섀도우 IT가 존재한다는 것이다. 디지털 비즈니스가 진화하면서 IT 부서가 내리는 기술 관련 의사결정이 적어지고 개별 사업부가 부서를 위한 기술을 고르기 시작했다. 가트너는 실제로 2017년에는 38%의 IT 구매가 현업 부서의 책임자에 의해 관리되고 정의되고 통제될 것이라고 예측한 바 있다”라고 밝혔다.

NASA의 경우 정부 구매 카드와 웹 브라우저를 이용해 직원들이 쉽게 저렴한 구독 라이선스를 구매해 클라우드 컴퓨팅 서비스를 이용할 수 있고, CIO나 CSO의 개입이나 승인없이 대량의 데이터를 전송하고 처리하고 저장할 수 있는 애플리케이션을 쉽게 확보할 수 있었다. 실제로 몇몇 클라우드 스토리지 서비스는 무료였다.

NASA는 과학 프로그램을 지원하기 위한 대규모 연산 서비스나 행성 표면 지도의 고해상도 이미지를 위한 대규모 데이터 세트 저장 등의 많은 중요 기능을 해결하는 데 클라우드 컴퓨팅을 이용한다. 감찰실은 “IT 하드웨어와 인프라에 상당한 초기 투자가 필요한 전통적인 데이터센터 모델과는 달리 클라우드 컴퓨팅은 NASA 과학자와 엔지니어가 특정 프로젝트나 기능을 완수하는 데 필요한 만큼의 자원만 사용할 수 있도록 한다”라고 설명했다.

NASA 감찰실은 2013년부터 미국 연방정부의 위험 및 인증 관리 프로그램인 FedRAMP의 승인을 받은 클라우드 컴퓨팅 서비스를 사용해 왔고, 약 1.2%의 데이터를 이들 환경으로 이전했다고 밝혔다. 하지만 NASA의 클라우드 컴퓨팅 관련 활동은 이런 FedRAMP 인증 서비스 외의 영역에서 더 많이 이루어졌다. 이처럼 클라우드 활용이 증가하면서 데이터 보호를 위한 위험 관리 및 거버넌스 프래틱스를 강화하는 것이 불가피해 보인다.

NASA CIO는 직원들이 NASA가 인증한 클라우드 서비스만 사용할 수 있도록 필요한 정책 각서와 과련 지침을 발행했으며, 인증된 클라우드 서비스의 등록소를 NASA 내부 웹사이트를 통해 이용할 수 있도록 했다. 하지만 직원들이 NASA 데이터를 미승인 클라우드 서비스에 저장하는 것을 방지하기 위한 통제가 없었다는 것이 감찰실의 평가이다.

감찰실은 또 “게다가 감사를 진행할 당시 NASA는 조직 내에서 사용되는 모든 클라우드 컴퓨팅 서비스를 확인할 수 있는 툴인 클라우드 액세스 시큐리티 브로커(Cloud Access Security Broker)를 사용하지 않았다고 지적했다. 2016년 9월 NASA는 이 툴의 구매를 승인했지만, 과연 이 툴의 기능을 100% 활용할 수 있도록 구현했는지는 확실하지 않다. 이 툴에는 미승인 클라우드 서비스에 대한 액세스를 통제하는 기능도 포함되어 있다.

한편, 감찰실에 따르면 NASA CIO는 조직 내에 필요한 서비스를 제공하는 엔터프라이즈 클라우드 컴퓨팅 솔루션을 구축하는 데 집중했다. 또한 사용자들은 NASA 내의 클라우드 문화가 좀 더 성숙하면 자연스럽게 승인 된 서비스에 적응할 것으로 생각하고 사소한 미승인 서비스에 대해 크게 우려하지 않은 것으로 알려졌다.  editor@itworld.co.kr

X