2017.07.24

기고 | 클라우드를 맹신하는 CIO의 착각

David Hanrahan | CIO Australia
당신은 대기업의 CIO이다. 원숙한 IT전략을 갖추고 있으며 클라우드 서비스를 훤히 이해하고 있다고 생각한다. 어느 날 새로운 IT관리 소프트웨어가 불쑥 등장한다. 클라우드 안을 살펴봤더니 놀랍게도 기업 내부 곳곳에서 섀도우 IT(shadow IT)가 발견된다. 담당 부서가 아닌 곳에서 만든 수십 개의 클라우드가 모바일에서 데스크톱까지 모든 곳에서 사용되고 있다. 기업용 클라우드 서비스라면 다 알아서 해 주는 줄 알았건만!



이러한 오해는 흔하다. 많은 CIO가 자신들의 환경에 대한 명확한 시야를 확보하지 못하고 있다. 업무 부서에서 무엇을 구입했는지 투명하게 이해하지 못하고 있다.

이 문제는 최첨단 기술 조직에서도 예외가 아니다. 미항공우주국(NASA)은 2016 회계연도 중 임무 지원을 위해 업체로부터 클라우드 컴퓨팅 서비스를 구입하는 등 IT투자에 14억 달러를 썼다.

NASA 감사국(OIG)이 최근 실시한 감사 결과, 미승인 클라우드 서비스가 다수 발견되었다. NASA의 최고정보책임자사무실(OCIO)에서는 승인을 한 적이 없는 8개의 서비스를 파악했다. 뒤이어 감사국에서는 OCIO에서 승인한 적도 없고 인지하지도 못하고 있는 20개의 서비스를 추가로 파악했다.

더 가까운 예로, 필자의 고객 중 한 명은 자신의 회사는 클라우드를 전혀 사용하지 않는다고 자랑스럽게 말했지만 40개 이상의 서로 다른 클라우드 서비스가 발견되었다. 회사 내 사람들이 직접 등록한 것들이었다.

놀랍게도 그 고객은 CIO다.

보기보다 심각한 상황이다. 사람들은 스스로 클라우드 서비스를 하나만 사용한다고 믿는 경우가 없지 않다. 그러나 알고 보면 회사에 자신들이 클라우드로부터 공유해 온 프로젝트 관리 도구가 있으며 사람들은 마이크로소프트 원드라이브(Microsoft OneDrive)를 사용하고 있고 그 외에 다양한 서비스가 도입됐다. 데이터가 해외의 알 수 없는 곳으로 빠져나가기도 하다. 필자는 경영진의 개입이 전혀 없이 주요 서비스가 퍼블릭 클라우드로 이동됨에 따라 분명한 보안 위반이 있었지만 발각된 적이 없는 환경을 분석해 왔다.

이 문제가 더욱 심각해지는 것은 업체들이 나타났다가 사라지는 현실 때문이다. 기업이 어느 한 업체의 서비스와 제품을 인수했는데, 이 회사가 몇 주 만에 다른 기업에 인수되는 식이다. 이처럼 급속히 변화하는 환경에서는 X라는 제품을 구입했는데 업체가 사라지는 바람에 Y라는 제품을 써야 하는 일이 발생한다.

게다가 클라우드 업체가 기업에게 보안 기능을 효과적으로 배치하는 방법을 항상 명확히 알려주는 것은 아니다. 기업용이며 안전하다는 업체의 말만 믿고 제품/서비스를 이용하던 기업 사용자는 나중에 당황하게 된다.
 

분명 보안 기능이 있지만, 기업이 그 기능을 제대로 작동시키는 방법을 이해한 적은 없다. 이러한 상황이 보안 업체에는 그동안 이득이었다. 문제 평가와 개선만으로 돈을 벌고 있기 때문이다.

물론 그것이 항상 업체의 잘못은 아니다. 클라우드 서비스 구매 담당자 중에는 별생각 없이 관습에 따라 일을 처리하는 사람들이 있다. 방화벽 침투 감지, 관리 방식 보고, 권한 접근 관리 등과 같은 기능을 구입하지만, 꼼꼼하게 배치하지도 철저하게 평가하지도 않는다.

IDC의 최근 조사에 따르면 호주 업체의 경우 무려 67%나 클라우드로 옮겨가는 것으로 파악됐다. CIO는 자신들의 환경에 대한 시야를 빨리 확보하지 않는다면 이러한 전쟁과 같은 이야기가 더 많이 드러나게 될 것이다.

회사가 기술을 점점 더 많이 활용하면서 기술에 대한 상식이 늘어나고는 있지만, 잠재적인 보안 허점을 메우고 실시간 위협 관리를 가능하게 하는 업무는 여전히 CIO의 영역이다.

IT관리자와 CIO는 업무 진행 속도를 유지하면서 보안을 서비스로써 가능하게 하고 섀도우 IT를 통제하는 데 있어 그 어느 때보다 역할이 크다. 이를 위해 미봉책 이상의 접근 방식을 취하는 것이 필요하다. 이는 위험 관리 그 이상이다. 어떤 종류의 데이터가 어디로 가는지 미리 결정하고 현재 환경에 무엇이 있는지 파악하라는 요구다.

CIO의 해법은? 
CIO가 이를 해결할 방법은 두 가지다. 첫 번째는 전통적인 IT 제공 모델의 민첩성을 높이는 방법이다. 비슷한 수준의 주문형 서비스를 클라우드에 제공하되 어떤 데이터가 어디로 갈 수 있는지를 알고 비용 급증을 통제하는 하이브리드 제공 모델을 활용하는 것이다. 두 번째는 개발과 개념증명을 위해 제한 없는 클라우드 접근을 허용하되, 데이터 유출 위험 관리에 더 능한 생산 환경 관련 정책을 펴는 것이다. 예를 들면 퍼블릭 클라우드와 프라이빗 클라우드에 걸쳐 위험을 분산시키는 하이브리드 모델을 검토할 수도 있다.

섀도우 IT는 막을 수 없으며 회사에서도 기대하지 않는다. 미국 보안 회사 코드42(Code42)에서 1,200명의 IT 및 업무 결정권자를 대상으로 한 최근 설문조사 결과, CEO 중 75%는 IT부서에서 승인하지 않은 애플리케이션과 프로그램을 사용 중이라고 인정했다. 한편 91%는 그러한 행동이 보안상으로 위험하다고 인식했다.

클라우드 환경 관리란 직원의 프로그램 구입을 막는 것이 아니다. 그것은 어차피 불가능하다. 그 대신 환경에서 일어나고 있는 일과 어떤 변화가 있을 때 알려주는 기술을 배치하는 것은 가능하다.

다행인 점은 있는 그대로의 배치 대신 이러한 솔루션의 분석 기능에 대한 수요가 지난 8개월 동안 늘어났다는 것이다. CIO가 어떤 종류의 정보를 얻을 수 있는지, 이러한 도구를 어떻게 구성할 수 있는지 문의하고 있다.

이는 기업의 IT환경 내에 일어나고 있는 일을 실시간으로 분석하고 데이터 종류에 변화가 있을 때 이를 탐지하고 파악할 수 있는 가장 현실적인 방법 가운데 하나다. 보안 위반이 발생할 때까지 기다리지 말고 확인에 나서야 한다. 처음부터 시야를 확보해야만 클라우드까지 자신감을 가지고 날아오를 수 있다.

*David Hanrahan은 다이멘션데이타의 클라우드 서비스 사업 담당 제너럴 매니저다. ciokr@idg.co.kr
 



2017.07.24

기고 | 클라우드를 맹신하는 CIO의 착각

David Hanrahan | CIO Australia
당신은 대기업의 CIO이다. 원숙한 IT전략을 갖추고 있으며 클라우드 서비스를 훤히 이해하고 있다고 생각한다. 어느 날 새로운 IT관리 소프트웨어가 불쑥 등장한다. 클라우드 안을 살펴봤더니 놀랍게도 기업 내부 곳곳에서 섀도우 IT(shadow IT)가 발견된다. 담당 부서가 아닌 곳에서 만든 수십 개의 클라우드가 모바일에서 데스크톱까지 모든 곳에서 사용되고 있다. 기업용 클라우드 서비스라면 다 알아서 해 주는 줄 알았건만!



이러한 오해는 흔하다. 많은 CIO가 자신들의 환경에 대한 명확한 시야를 확보하지 못하고 있다. 업무 부서에서 무엇을 구입했는지 투명하게 이해하지 못하고 있다.

이 문제는 최첨단 기술 조직에서도 예외가 아니다. 미항공우주국(NASA)은 2016 회계연도 중 임무 지원을 위해 업체로부터 클라우드 컴퓨팅 서비스를 구입하는 등 IT투자에 14억 달러를 썼다.

NASA 감사국(OIG)이 최근 실시한 감사 결과, 미승인 클라우드 서비스가 다수 발견되었다. NASA의 최고정보책임자사무실(OCIO)에서는 승인을 한 적이 없는 8개의 서비스를 파악했다. 뒤이어 감사국에서는 OCIO에서 승인한 적도 없고 인지하지도 못하고 있는 20개의 서비스를 추가로 파악했다.

더 가까운 예로, 필자의 고객 중 한 명은 자신의 회사는 클라우드를 전혀 사용하지 않는다고 자랑스럽게 말했지만 40개 이상의 서로 다른 클라우드 서비스가 발견되었다. 회사 내 사람들이 직접 등록한 것들이었다.

놀랍게도 그 고객은 CIO다.

보기보다 심각한 상황이다. 사람들은 스스로 클라우드 서비스를 하나만 사용한다고 믿는 경우가 없지 않다. 그러나 알고 보면 회사에 자신들이 클라우드로부터 공유해 온 프로젝트 관리 도구가 있으며 사람들은 마이크로소프트 원드라이브(Microsoft OneDrive)를 사용하고 있고 그 외에 다양한 서비스가 도입됐다. 데이터가 해외의 알 수 없는 곳으로 빠져나가기도 하다. 필자는 경영진의 개입이 전혀 없이 주요 서비스가 퍼블릭 클라우드로 이동됨에 따라 분명한 보안 위반이 있었지만 발각된 적이 없는 환경을 분석해 왔다.

이 문제가 더욱 심각해지는 것은 업체들이 나타났다가 사라지는 현실 때문이다. 기업이 어느 한 업체의 서비스와 제품을 인수했는데, 이 회사가 몇 주 만에 다른 기업에 인수되는 식이다. 이처럼 급속히 변화하는 환경에서는 X라는 제품을 구입했는데 업체가 사라지는 바람에 Y라는 제품을 써야 하는 일이 발생한다.

게다가 클라우드 업체가 기업에게 보안 기능을 효과적으로 배치하는 방법을 항상 명확히 알려주는 것은 아니다. 기업용이며 안전하다는 업체의 말만 믿고 제품/서비스를 이용하던 기업 사용자는 나중에 당황하게 된다.
 

분명 보안 기능이 있지만, 기업이 그 기능을 제대로 작동시키는 방법을 이해한 적은 없다. 이러한 상황이 보안 업체에는 그동안 이득이었다. 문제 평가와 개선만으로 돈을 벌고 있기 때문이다.

물론 그것이 항상 업체의 잘못은 아니다. 클라우드 서비스 구매 담당자 중에는 별생각 없이 관습에 따라 일을 처리하는 사람들이 있다. 방화벽 침투 감지, 관리 방식 보고, 권한 접근 관리 등과 같은 기능을 구입하지만, 꼼꼼하게 배치하지도 철저하게 평가하지도 않는다.

IDC의 최근 조사에 따르면 호주 업체의 경우 무려 67%나 클라우드로 옮겨가는 것으로 파악됐다. CIO는 자신들의 환경에 대한 시야를 빨리 확보하지 않는다면 이러한 전쟁과 같은 이야기가 더 많이 드러나게 될 것이다.

회사가 기술을 점점 더 많이 활용하면서 기술에 대한 상식이 늘어나고는 있지만, 잠재적인 보안 허점을 메우고 실시간 위협 관리를 가능하게 하는 업무는 여전히 CIO의 영역이다.

IT관리자와 CIO는 업무 진행 속도를 유지하면서 보안을 서비스로써 가능하게 하고 섀도우 IT를 통제하는 데 있어 그 어느 때보다 역할이 크다. 이를 위해 미봉책 이상의 접근 방식을 취하는 것이 필요하다. 이는 위험 관리 그 이상이다. 어떤 종류의 데이터가 어디로 가는지 미리 결정하고 현재 환경에 무엇이 있는지 파악하라는 요구다.

CIO의 해법은? 
CIO가 이를 해결할 방법은 두 가지다. 첫 번째는 전통적인 IT 제공 모델의 민첩성을 높이는 방법이다. 비슷한 수준의 주문형 서비스를 클라우드에 제공하되 어떤 데이터가 어디로 갈 수 있는지를 알고 비용 급증을 통제하는 하이브리드 제공 모델을 활용하는 것이다. 두 번째는 개발과 개념증명을 위해 제한 없는 클라우드 접근을 허용하되, 데이터 유출 위험 관리에 더 능한 생산 환경 관련 정책을 펴는 것이다. 예를 들면 퍼블릭 클라우드와 프라이빗 클라우드에 걸쳐 위험을 분산시키는 하이브리드 모델을 검토할 수도 있다.

섀도우 IT는 막을 수 없으며 회사에서도 기대하지 않는다. 미국 보안 회사 코드42(Code42)에서 1,200명의 IT 및 업무 결정권자를 대상으로 한 최근 설문조사 결과, CEO 중 75%는 IT부서에서 승인하지 않은 애플리케이션과 프로그램을 사용 중이라고 인정했다. 한편 91%는 그러한 행동이 보안상으로 위험하다고 인식했다.

클라우드 환경 관리란 직원의 프로그램 구입을 막는 것이 아니다. 그것은 어차피 불가능하다. 그 대신 환경에서 일어나고 있는 일과 어떤 변화가 있을 때 알려주는 기술을 배치하는 것은 가능하다.

다행인 점은 있는 그대로의 배치 대신 이러한 솔루션의 분석 기능에 대한 수요가 지난 8개월 동안 늘어났다는 것이다. CIO가 어떤 종류의 정보를 얻을 수 있는지, 이러한 도구를 어떻게 구성할 수 있는지 문의하고 있다.

이는 기업의 IT환경 내에 일어나고 있는 일을 실시간으로 분석하고 데이터 종류에 변화가 있을 때 이를 탐지하고 파악할 수 있는 가장 현실적인 방법 가운데 하나다. 보안 위반이 발생할 때까지 기다리지 말고 확인에 나서야 한다. 처음부터 시야를 확보해야만 클라우드까지 자신감을 가지고 날아오를 수 있다.

*David Hanrahan은 다이멘션데이타의 클라우드 서비스 사업 담당 제너럴 매니저다. ciokr@idg.co.kr
 

X