2017.02.24

"미인가 네트웍 장비 200대"··· 美 교통부 '섀도우 IT' 현주소

Kenneth Corbin | CIO
미국 교통부(DOT) CIO 리차드 맥키니는 마이크로소프트 오피스 365를 도입하면서 '섀도우 IT(Shadow IT)'에 대한 값진 교훈을 얻었다. 시스템 업그레이드와 통합을 추진하는 다른 정부기관 리더도 참고할 만한 것이다.



맥키니는 교통부에 합류한 후 조직 변화 프로젝트를 진두지휘했다(현재는 CIO에서 물러났다). 그러나 오피스 365를 도입하면서 당시 네트워크 상황이 얼마나 혼란스러운지 확인할 수 있었다. 광활한 네트워크에 수많은 허가되지 않은 장치가 붙어 있었던 것이다.

그는 최근 CIO닷컴(CIO.com)과의 인터뷰에서 "교통부 네트워크는 계획적으로 설계된 네트워크가 아니었다. 필요에 따라 네트워킹 장치를 추가한 '얼기설기' 구조였다. 네트워크 현황을 한 눈에 볼 수 있는 청사진도 없었다"라고 말했다.

결국 맥키니는 직접 이런 청사진을 만들기로 했다. 교통부 네트워크를 철저히 조사하고, 널리 퍼진 환경에서 운영되는 미인가 장치를 파악하기로 했다. 이를 위해 '디사이시브 커뮤니케이션스(Decisive Communications)'의 도움을 받았다. 이 업체는 리버베드(Riverbed)의 기술을 이용해 네트워크를 분석했고, 그동안 파악하지 못했던 200여 개의 네트워킹 기기를 발견했다. 이 중 상당수가 공장에서 기본 설정된 비밀번호를 그대로 사용하고 있었다.

이들 장비가 들어온 경로를 조사해 보니 교통부 산하의 다양한 기관 소속 공무원이 현지 사무실의 네트워킹 성능과 용량을 직접 업그레이드 한 것이 다반사였다. 예를 들어 직원 수가 늘어나는데 16포트 스위치 용량으로 힘들어지면 베스트바이에 들러 새 스위치를 구입해 그냥 붙여서 사용하는 식이었다.

맥키니는 "그동안 셀프 서비스 방식으로 문제를 해결하다보니 소비자용 장비가 많았다. IT 팀이었다면 기업용 장비로 구입했을 것이다. 디사이시브는 교체해야 할 구체적인 장치 목록을 제공했다"라고 말했다.


가장 취약한 연결 고리
미인가 네트워크 장비가 많다는 것은 그만큼 교통부 시스템의 보안이 위태롭다는 의미이기도 하다. 중앙에서 확인해 관리할 수 없는 네트워크의 진입점으로, 악당이 시스템에 침입할 수 있는 통로가 될 수 있기 때문이다. 네트워크의 '평평한' 구조는 더 큰 문제였다. 기반이 되는 아키텍처 없이 필요에 따라 장치를 추가했기 때문에 작은 보안 취약점을 통해서도 더 중요한 네트워크에 접근할 수 있었다.

맥키니는 "전혀 분리되지 않아 일단 네트워크에 진입하면 여러 곳에 침입할 수 있는 구조였다. 이런 상황을 확인하고 나니 모두가 힘을 합쳐 문제를 해결해야 한다는 생각이 들었다. 가장 취약한 연결 고리가 전체 보안 수준을 결정하기 때문이다"라고 말했다.

사실 이것은 단순한 IT 문제가 아니다. 그래서 맥키니는 해킹 여부를 철저하게 조사했다. 다행히 교통부 데이터나 시스템이 침해 당했음을 보여주는 증거는 없었다. 그러나 '쿠키'의 흔적조차 남기지 않는 실력 있는 해커도 수두룩하다. 그는 "조사 내용을 상부에 보고했다. 보안 취약점이 분명했고 이를 상부에 알리는 것이 내 역할이기도 하다. 결국 이러한 정보는 IT 팀은 물론 상부에서 사태의 심각성을 인식하는 계기가 됐다"라고 말했다.

섀도우 IT와 관련된 이 문제는 결국 미국 교통부 네트워크 아키텍처를 완전히 새롭게 정비하는 신규 프로젝트로 이어졌다. 부처 내 여러 조직과 부서 시스템에 경계를 만들고 중앙화된 관리 체계를 도입하는 것으로 현재도 진행중이다.

새 네트워킹 기기를 도입하는 내부 프로세스도 바꿨다. 교통부 산하 여러 조직과 부서에 이제는 임의로 네트워킹 장치를 추가해 확장할 수 있는 시절이 지나갔음을 알리는 정책 명령을 발행했다. 또 정식 변경 관리 프로세스를 거치지 않은 채 네트워크에 장치를 추가할 수 없다는 것도 분명해 했다. 그 전에도 이런 정책이 있었지만 직원이 사실상 무시하고 있었다.

맥키니는 연방 정부도 네트워크 가시성과 중앙화된 관리에 만전을 기해야 한다고 조언했다. 그는 "인프라와 네트워크, 서비스, 인터넷 연결부를 명확하면서도 철저하게 파악해 청사진을 만드는 것이 좋은 출발점이 될 수 있다. 이런 과정을 통해 무엇을 갖고 있는지 파악한 후에는 잘 알고 있는 이들을 엄격하게 관리해야 한다"라고 말했다. ciokr@idg.co.kr



2017.02.24

"미인가 네트웍 장비 200대"··· 美 교통부 '섀도우 IT' 현주소

Kenneth Corbin | CIO
미국 교통부(DOT) CIO 리차드 맥키니는 마이크로소프트 오피스 365를 도입하면서 '섀도우 IT(Shadow IT)'에 대한 값진 교훈을 얻었다. 시스템 업그레이드와 통합을 추진하는 다른 정부기관 리더도 참고할 만한 것이다.



맥키니는 교통부에 합류한 후 조직 변화 프로젝트를 진두지휘했다(현재는 CIO에서 물러났다). 그러나 오피스 365를 도입하면서 당시 네트워크 상황이 얼마나 혼란스러운지 확인할 수 있었다. 광활한 네트워크에 수많은 허가되지 않은 장치가 붙어 있었던 것이다.

그는 최근 CIO닷컴(CIO.com)과의 인터뷰에서 "교통부 네트워크는 계획적으로 설계된 네트워크가 아니었다. 필요에 따라 네트워킹 장치를 추가한 '얼기설기' 구조였다. 네트워크 현황을 한 눈에 볼 수 있는 청사진도 없었다"라고 말했다.

결국 맥키니는 직접 이런 청사진을 만들기로 했다. 교통부 네트워크를 철저히 조사하고, 널리 퍼진 환경에서 운영되는 미인가 장치를 파악하기로 했다. 이를 위해 '디사이시브 커뮤니케이션스(Decisive Communications)'의 도움을 받았다. 이 업체는 리버베드(Riverbed)의 기술을 이용해 네트워크를 분석했고, 그동안 파악하지 못했던 200여 개의 네트워킹 기기를 발견했다. 이 중 상당수가 공장에서 기본 설정된 비밀번호를 그대로 사용하고 있었다.

이들 장비가 들어온 경로를 조사해 보니 교통부 산하의 다양한 기관 소속 공무원이 현지 사무실의 네트워킹 성능과 용량을 직접 업그레이드 한 것이 다반사였다. 예를 들어 직원 수가 늘어나는데 16포트 스위치 용량으로 힘들어지면 베스트바이에 들러 새 스위치를 구입해 그냥 붙여서 사용하는 식이었다.

맥키니는 "그동안 셀프 서비스 방식으로 문제를 해결하다보니 소비자용 장비가 많았다. IT 팀이었다면 기업용 장비로 구입했을 것이다. 디사이시브는 교체해야 할 구체적인 장치 목록을 제공했다"라고 말했다.


가장 취약한 연결 고리
미인가 네트워크 장비가 많다는 것은 그만큼 교통부 시스템의 보안이 위태롭다는 의미이기도 하다. 중앙에서 확인해 관리할 수 없는 네트워크의 진입점으로, 악당이 시스템에 침입할 수 있는 통로가 될 수 있기 때문이다. 네트워크의 '평평한' 구조는 더 큰 문제였다. 기반이 되는 아키텍처 없이 필요에 따라 장치를 추가했기 때문에 작은 보안 취약점을 통해서도 더 중요한 네트워크에 접근할 수 있었다.

맥키니는 "전혀 분리되지 않아 일단 네트워크에 진입하면 여러 곳에 침입할 수 있는 구조였다. 이런 상황을 확인하고 나니 모두가 힘을 합쳐 문제를 해결해야 한다는 생각이 들었다. 가장 취약한 연결 고리가 전체 보안 수준을 결정하기 때문이다"라고 말했다.

사실 이것은 단순한 IT 문제가 아니다. 그래서 맥키니는 해킹 여부를 철저하게 조사했다. 다행히 교통부 데이터나 시스템이 침해 당했음을 보여주는 증거는 없었다. 그러나 '쿠키'의 흔적조차 남기지 않는 실력 있는 해커도 수두룩하다. 그는 "조사 내용을 상부에 보고했다. 보안 취약점이 분명했고 이를 상부에 알리는 것이 내 역할이기도 하다. 결국 이러한 정보는 IT 팀은 물론 상부에서 사태의 심각성을 인식하는 계기가 됐다"라고 말했다.

섀도우 IT와 관련된 이 문제는 결국 미국 교통부 네트워크 아키텍처를 완전히 새롭게 정비하는 신규 프로젝트로 이어졌다. 부처 내 여러 조직과 부서 시스템에 경계를 만들고 중앙화된 관리 체계를 도입하는 것으로 현재도 진행중이다.

새 네트워킹 기기를 도입하는 내부 프로세스도 바꿨다. 교통부 산하 여러 조직과 부서에 이제는 임의로 네트워킹 장치를 추가해 확장할 수 있는 시절이 지나갔음을 알리는 정책 명령을 발행했다. 또 정식 변경 관리 프로세스를 거치지 않은 채 네트워크에 장치를 추가할 수 없다는 것도 분명해 했다. 그 전에도 이런 정책이 있었지만 직원이 사실상 무시하고 있었다.

맥키니는 연방 정부도 네트워크 가시성과 중앙화된 관리에 만전을 기해야 한다고 조언했다. 그는 "인프라와 네트워크, 서비스, 인터넷 연결부를 명확하면서도 철저하게 파악해 청사진을 만드는 것이 좋은 출발점이 될 수 있다. 이런 과정을 통해 무엇을 갖고 있는지 파악한 후에는 잘 알고 있는 이들을 엄격하게 관리해야 한다"라고 말했다. ciokr@idg.co.kr

X