2017.12.12

셰도우 IT에 밤잠 설친다··· 미승인 기술에 대응한 CIO들의 이야기

Clint Boulton | CIO
민감한 데이터를 훔쳐 암시장에 내다 팔 궁리를 하는 지구 반대편의 해커가 기업에게 가장 큰 위협일까? 불만을 품은 채 비슷한 궁리를 하고 있는 직원은 어떨까? 해외 특정 국가의 후원을 받는 ‘스파이’ 해커를 가장 조심해야 할까? 모두 아니다. 오늘날 기업 보안에 가장 큰 위협은 셰도우 IT(음지의 IT)이다.



가트너의 사이먼 밍게이 애널리스트는 1월 보고서에서 “넓은 의미로 셰도우 IT란 기업의 공식적인 조직 구조를 통해 공식적으로 관리할 수 없는 IT 솔루션을 조달, 개발, 운영하는 데 투자하는 것”이라고 정의했다. 

클라우드와 모바일 기술이 광범위하게 보급되고, 이로 인해 IT가 ‘소비자화’ 되면서 셰도우 IT가 확대되고 있다. 직원들은 기업 네트워크에 연결된 개인 소유 아이폰과 안드로이드 스마트폰을 통해 외부 애플리케이션에 액세스 할 수 있게 되었다. 사적인 앱부터 업무를 위한 앱까지 다양한 앱을 이용한다. 사용이 금지된, 또는 승인되지 않은 앱들이 상당수다.

셰도우 IT의 종류도 다양해졌다. CIO들에게 기업에서 이용되고 있는 셰도우 IT에 대해 물으면, 마케팅 경영진이 구입한 세일즈포스닷컴 라이선스, 비즈니스 애널리스트가 어느 장소에서나 액세스하기 위해 드롭박스에 보관하고 있는 기업 문서 등을 언급할 것이다. 또는 개발자들이 법인 카드를 사용해 구입한 아마존 웹 서비스의 클라우드 인프라, 모바일 장치를 이용해 전세계 곳곳에서 프레젠테이션을 하는 영업 담당 직원들의 문제를 지적할 수도 있다.

이런 셰도우 IT에는 ‘공통 분모’가 존재한다. CIO가 승인하지 않았고, CIO가 모르고 있다는 것이다. 여러 CIO 컨퍼런스에서 패널들은 CIO들이 셰도우 IT에 맞서 싸우는 방법에 대해 대화를 했다. 다양한 산업에서 기술을 책임지고 있는 CIO들은 CIO닷컴에 셰도우 IT가 여전히 걱정거리라고 전한다. 지금부터 CIO들의 셰도우 IT에 대한 고민, 이를 해결하는 방법을 소개한다.

데브옵스(DevOps)가 아닌 셰도우 IT?
정부 기관에 IT 서비스를 공급하고 있는 50억 달러 규모의 회사인 SAIC의 경우에도 셰도우 IT가 아주 큰 문제이다. SAIC는 IT 솔루션 구축을 담당하고 있는 직원들의 수가 1만 명에 달한다. 이 회사의 밥 펙테우 CIO는 데브옵스가 사실상 셰도우 IT라고 말했다. 일부 그룹이 독자적인 IT 역량을 구축, 테스트, 운영하고 있다.는 설명이다.

CIO의 영역 밖에서 IT가 발생하지만, CIO는 기업의 IT 예산을 알아야 하고, 자신이 승인한 IT인지 아닌지 파악해야 한다. 펙테우는 “CIO와 관련되어 있다. 설명할 수 있어야 한다. 어느 정도의 예산이 투입되었는지 파악해야 한다. 비즈니스에 얼마나 큰 영향을 미치고 있는지 이해해야 한다. 그래야 내가 해야 할 일을 하고 있는 것이다”라고 말했다.

또한 균형을 잡는 역할을 해야 한다. 다시 말해, 직원들이 업무를 완수하는 데 필요한 역량을 확보하도록 지원하는 동시에 SAIC를 보호하기 위해 적절히 관리 및 통제를 해야 한다. 셰도우 IT에서 가장 힘든 부분은 셰도우 IT가 확대되기 시작한 후, 이를 지원하기 위해 엔터프라이즈급 라이선스를 조달하는 것이라고 펙테우는 전했다.

펙테우는 조심스럽게 셰도우 IT와 ‘악성 IT’(Rogue IT)를 구분하고 있다고 밝혔다. ‘악성 IT’란 직원들이 박스(Box) 같이 금지된 클라우드 애플리케이션으로 기업 파일과 데이터를 옮기는 것을 의미한다. 이는 기업 컴플라이언스(준수) 정책에 위반되기 때문에 중단시켜야 한다. 특히 SAIC의 고객들은 연방 정부 기관이기 때문에, 데이터가 다른 벤더에 유출되는 위험을 방치할 수 없다.

펙테우는 기업에서 운영되고 있는 기술을 파악하기 위해 지속적으로 SAIC의 ‘기술 소비 현황’을 조사하고 있다. 그는 “기술 유입과 유출을 비교적 양호하게 파악하고 있다”라고 강조했다.

그렇지만 CIO의 역할이 ‘모든 것을 책임지는 역할’에서 ‘모든 IT를 조율하는 역할’로 바뀌었다는 점도 인식하고 있고 그는 덧붙였다. 펙테우는 “IT 지출 전체를 파악할 책임이 있다. 내가 지출한 예산인지 아닌지는 상관 없다”라고 말했다.

레스토랑 운영업체의 셰도우 IT
셰도우 IT는 레스토랑 운영업체인 HM호스트(HMHost)의 CIO인 사라 나크비의 밤잠을 빼앗는 존재다. 이 회사에는 공항과 고속도로 휴게소 등에서 여행객에게 서비스를 제공하는 300여 레스토랑에 3만 5,000여 명의 직원들이 근무하고 있다. 신용카드 거래가 9억 5,000만에 달하기 때문에, 소매업체에게 적용되는 1등급 PCI 기준을 준수해야 한다. 나크비는 “운영이 분산되어 있는 것이 도전과제다”라고 말했다.

이 회사는 소속 직원 500명에게 지급한 노트북 컴퓨터와 스마트폰을 보호하기 위해, 장치에서 실행되는 앱을 ‘콘테이너’로 처리할 수 있는 모바일 장치 관리(MDM) 소프트웨어를 도입해 활용하고 있다. 버블스(Bubbles) 와인바 같은 HM호스트 브랜드의 서비스 담당 직원부터 전국 곳곳에 위치한 공항 커피숍의 바리스타까지 직원 대부분이 개인 스마트폰에서 일정과 시간 관리 소프트웨어 같은 HM호스트 기업 앱을 이용한다. 그러나 이들이 에버노트 같은 메모 앱, 박스, 인스타그램과 핀터레스트 같은 컨슈머 앱 등 미승인 앱을 설치해 사용할 위험도 있다.

이 회사는 임의 액세스에 강경한 보안 및 컴플라이언스 정책을 갖고 있으며, 나크비는 미승인 앱이 초래한 ‘무법천지’에 대응하기 위해 전력을 기울이고 있다. 그러나 이와 동시에, 비즈니스에 필요하고, 기술 소비자가 기대하는 적절한 기술을 구현하기 위해 노력하고 있다.

그는 HM호스트 직원들이 소비하는 솔루션을 감사하는 ‘보안 및 컴플라이언스 조정 위원회’를 만들었다. 직원들에게 미승인 기술을 사용했을 때 초래되는 위험을 알려주는 과정 등 교육에도 많은 투자를 하고 있다.

나크비는 “좋든 싫든, 어느 조직에나 셰도우 IT가 존재한다. 이런 셰도우 IT가 존재하지 않는다고 가정할 수 없다. 이를 다뤄야 한다”라고 말했다.

앱을 정리하고, 데스크톱을 잠근 내셔널 라이프 그룹
톰 안퓨소(Tom Anfuso)는 2014년 내셔널 라이프 그룹(National Life Group)의 CIO로 부임한 이후 최종 사용자들의 셰도우 IT를 ‘정리’하는 데 많은 시간을 투자했다.

80만 고객을 보유하고 있는, 프리미엄(보험료) 기준 25억 달러 규모의 생명보험 회사에 근무하고 있는 보험 계리인과 기타 지식 종사자들은 데이터 확인, 보고서 액세스, 고객 기록 유지에 마이크로소프트 셰어포인트 기반의 앱을 사용하고 있었다. 또한 엑셀 스프레드시트용으로 만든 VBA 매크로를 많이 사용하고 있었다.

안퓨소는 “IT가 지원을 하지 않으니 직접 처리하는 편이 낫다고 판단, 직접 솔루션을 구현한 것이다. 우리는 이 가운데 대부분을 셰도우 IT로 판단했다”라고 말했다.

안퓨소는 먼저 앱의 ‘재고’를 조사했다. 그리고 덜 중요한 앱부터 없애고, 중요한 앱은 세일즈포스닷컴, 태블루, 기타 플랫폼으로 이전했다. 몇 년이 지난 지금, 직원들은 자신의 데스크톱에서 필요한 일 거의 대부분을 처리할 수 있는 상태가 되었다. 안퓨소는 또한 데스크톱 환경을 가상화, 중앙에서 IT를 관리하기 시작했다. 안퓨소는 “직원들이 직접 소프트웨어를 구축, 다운로드, 설치하기 어렵게 만들었다. 셰도우 IT를 파악하기 위해 ‘재고’를 조사해야 한다. 그리고 이를 관리할 수 있어야 한다. 이것이 아주 중요하다”라고 말했다.

이런 대대적인 변화를 위해 경영진의 지지를 얻는 일은 어렵지 않았다. 보안과 위험을 경감하는 일이었기 때문이다. 그는 “여러 비즈니스 부서 책임자들이 수긍을 하고, 지지를 했다. 저항이나 반대는 거의 없었다. 대부분은 IT가 자신들이 하던 일을 책임지는 것을 반겼다”라고 말했다.

그는 기술을 바꾸는 것보다 변화를 관리하는 것이 가장 힘든 도전 과제였다고 설명했다. 그는 비즈니스 리더들과 협력, 변화를 도입할 최적의 시기를 결정했다.

결론: 커뮤니케이션과 투명성이 아주 중요하다. 가트너의 밍게이에 따르면, CIO들은 조직 내 셰도우 IT의 ‘범위’를 평가한 후, 경영진에게 이의 잠재적인 가치와 위험에 대해 설명해야 한다. 셰도우 IT를 없애고, 새로운 기술과 정책을 도입하기로 결정을 내렸다면, 비즈니스 부서에 계획과 계획을 실천할 시기를 알려야 한다. ciokr@idg.co.kr 
2017.12.12

셰도우 IT에 밤잠 설친다··· 미승인 기술에 대응한 CIO들의 이야기

Clint Boulton | CIO
민감한 데이터를 훔쳐 암시장에 내다 팔 궁리를 하는 지구 반대편의 해커가 기업에게 가장 큰 위협일까? 불만을 품은 채 비슷한 궁리를 하고 있는 직원은 어떨까? 해외 특정 국가의 후원을 받는 ‘스파이’ 해커를 가장 조심해야 할까? 모두 아니다. 오늘날 기업 보안에 가장 큰 위협은 셰도우 IT(음지의 IT)이다.



가트너의 사이먼 밍게이 애널리스트는 1월 보고서에서 “넓은 의미로 셰도우 IT란 기업의 공식적인 조직 구조를 통해 공식적으로 관리할 수 없는 IT 솔루션을 조달, 개발, 운영하는 데 투자하는 것”이라고 정의했다. 

클라우드와 모바일 기술이 광범위하게 보급되고, 이로 인해 IT가 ‘소비자화’ 되면서 셰도우 IT가 확대되고 있다. 직원들은 기업 네트워크에 연결된 개인 소유 아이폰과 안드로이드 스마트폰을 통해 외부 애플리케이션에 액세스 할 수 있게 되었다. 사적인 앱부터 업무를 위한 앱까지 다양한 앱을 이용한다. 사용이 금지된, 또는 승인되지 않은 앱들이 상당수다.

셰도우 IT의 종류도 다양해졌다. CIO들에게 기업에서 이용되고 있는 셰도우 IT에 대해 물으면, 마케팅 경영진이 구입한 세일즈포스닷컴 라이선스, 비즈니스 애널리스트가 어느 장소에서나 액세스하기 위해 드롭박스에 보관하고 있는 기업 문서 등을 언급할 것이다. 또는 개발자들이 법인 카드를 사용해 구입한 아마존 웹 서비스의 클라우드 인프라, 모바일 장치를 이용해 전세계 곳곳에서 프레젠테이션을 하는 영업 담당 직원들의 문제를 지적할 수도 있다.

이런 셰도우 IT에는 ‘공통 분모’가 존재한다. CIO가 승인하지 않았고, CIO가 모르고 있다는 것이다. 여러 CIO 컨퍼런스에서 패널들은 CIO들이 셰도우 IT에 맞서 싸우는 방법에 대해 대화를 했다. 다양한 산업에서 기술을 책임지고 있는 CIO들은 CIO닷컴에 셰도우 IT가 여전히 걱정거리라고 전한다. 지금부터 CIO들의 셰도우 IT에 대한 고민, 이를 해결하는 방법을 소개한다.

데브옵스(DevOps)가 아닌 셰도우 IT?
정부 기관에 IT 서비스를 공급하고 있는 50억 달러 규모의 회사인 SAIC의 경우에도 셰도우 IT가 아주 큰 문제이다. SAIC는 IT 솔루션 구축을 담당하고 있는 직원들의 수가 1만 명에 달한다. 이 회사의 밥 펙테우 CIO는 데브옵스가 사실상 셰도우 IT라고 말했다. 일부 그룹이 독자적인 IT 역량을 구축, 테스트, 운영하고 있다.는 설명이다.

CIO의 영역 밖에서 IT가 발생하지만, CIO는 기업의 IT 예산을 알아야 하고, 자신이 승인한 IT인지 아닌지 파악해야 한다. 펙테우는 “CIO와 관련되어 있다. 설명할 수 있어야 한다. 어느 정도의 예산이 투입되었는지 파악해야 한다. 비즈니스에 얼마나 큰 영향을 미치고 있는지 이해해야 한다. 그래야 내가 해야 할 일을 하고 있는 것이다”라고 말했다.

또한 균형을 잡는 역할을 해야 한다. 다시 말해, 직원들이 업무를 완수하는 데 필요한 역량을 확보하도록 지원하는 동시에 SAIC를 보호하기 위해 적절히 관리 및 통제를 해야 한다. 셰도우 IT에서 가장 힘든 부분은 셰도우 IT가 확대되기 시작한 후, 이를 지원하기 위해 엔터프라이즈급 라이선스를 조달하는 것이라고 펙테우는 전했다.

펙테우는 조심스럽게 셰도우 IT와 ‘악성 IT’(Rogue IT)를 구분하고 있다고 밝혔다. ‘악성 IT’란 직원들이 박스(Box) 같이 금지된 클라우드 애플리케이션으로 기업 파일과 데이터를 옮기는 것을 의미한다. 이는 기업 컴플라이언스(준수) 정책에 위반되기 때문에 중단시켜야 한다. 특히 SAIC의 고객들은 연방 정부 기관이기 때문에, 데이터가 다른 벤더에 유출되는 위험을 방치할 수 없다.

펙테우는 기업에서 운영되고 있는 기술을 파악하기 위해 지속적으로 SAIC의 ‘기술 소비 현황’을 조사하고 있다. 그는 “기술 유입과 유출을 비교적 양호하게 파악하고 있다”라고 강조했다.

그렇지만 CIO의 역할이 ‘모든 것을 책임지는 역할’에서 ‘모든 IT를 조율하는 역할’로 바뀌었다는 점도 인식하고 있고 그는 덧붙였다. 펙테우는 “IT 지출 전체를 파악할 책임이 있다. 내가 지출한 예산인지 아닌지는 상관 없다”라고 말했다.

레스토랑 운영업체의 셰도우 IT
셰도우 IT는 레스토랑 운영업체인 HM호스트(HMHost)의 CIO인 사라 나크비의 밤잠을 빼앗는 존재다. 이 회사에는 공항과 고속도로 휴게소 등에서 여행객에게 서비스를 제공하는 300여 레스토랑에 3만 5,000여 명의 직원들이 근무하고 있다. 신용카드 거래가 9억 5,000만에 달하기 때문에, 소매업체에게 적용되는 1등급 PCI 기준을 준수해야 한다. 나크비는 “운영이 분산되어 있는 것이 도전과제다”라고 말했다.

이 회사는 소속 직원 500명에게 지급한 노트북 컴퓨터와 스마트폰을 보호하기 위해, 장치에서 실행되는 앱을 ‘콘테이너’로 처리할 수 있는 모바일 장치 관리(MDM) 소프트웨어를 도입해 활용하고 있다. 버블스(Bubbles) 와인바 같은 HM호스트 브랜드의 서비스 담당 직원부터 전국 곳곳에 위치한 공항 커피숍의 바리스타까지 직원 대부분이 개인 스마트폰에서 일정과 시간 관리 소프트웨어 같은 HM호스트 기업 앱을 이용한다. 그러나 이들이 에버노트 같은 메모 앱, 박스, 인스타그램과 핀터레스트 같은 컨슈머 앱 등 미승인 앱을 설치해 사용할 위험도 있다.

이 회사는 임의 액세스에 강경한 보안 및 컴플라이언스 정책을 갖고 있으며, 나크비는 미승인 앱이 초래한 ‘무법천지’에 대응하기 위해 전력을 기울이고 있다. 그러나 이와 동시에, 비즈니스에 필요하고, 기술 소비자가 기대하는 적절한 기술을 구현하기 위해 노력하고 있다.

그는 HM호스트 직원들이 소비하는 솔루션을 감사하는 ‘보안 및 컴플라이언스 조정 위원회’를 만들었다. 직원들에게 미승인 기술을 사용했을 때 초래되는 위험을 알려주는 과정 등 교육에도 많은 투자를 하고 있다.

나크비는 “좋든 싫든, 어느 조직에나 셰도우 IT가 존재한다. 이런 셰도우 IT가 존재하지 않는다고 가정할 수 없다. 이를 다뤄야 한다”라고 말했다.

앱을 정리하고, 데스크톱을 잠근 내셔널 라이프 그룹
톰 안퓨소(Tom Anfuso)는 2014년 내셔널 라이프 그룹(National Life Group)의 CIO로 부임한 이후 최종 사용자들의 셰도우 IT를 ‘정리’하는 데 많은 시간을 투자했다.

80만 고객을 보유하고 있는, 프리미엄(보험료) 기준 25억 달러 규모의 생명보험 회사에 근무하고 있는 보험 계리인과 기타 지식 종사자들은 데이터 확인, 보고서 액세스, 고객 기록 유지에 마이크로소프트 셰어포인트 기반의 앱을 사용하고 있었다. 또한 엑셀 스프레드시트용으로 만든 VBA 매크로를 많이 사용하고 있었다.

안퓨소는 “IT가 지원을 하지 않으니 직접 처리하는 편이 낫다고 판단, 직접 솔루션을 구현한 것이다. 우리는 이 가운데 대부분을 셰도우 IT로 판단했다”라고 말했다.

안퓨소는 먼저 앱의 ‘재고’를 조사했다. 그리고 덜 중요한 앱부터 없애고, 중요한 앱은 세일즈포스닷컴, 태블루, 기타 플랫폼으로 이전했다. 몇 년이 지난 지금, 직원들은 자신의 데스크톱에서 필요한 일 거의 대부분을 처리할 수 있는 상태가 되었다. 안퓨소는 또한 데스크톱 환경을 가상화, 중앙에서 IT를 관리하기 시작했다. 안퓨소는 “직원들이 직접 소프트웨어를 구축, 다운로드, 설치하기 어렵게 만들었다. 셰도우 IT를 파악하기 위해 ‘재고’를 조사해야 한다. 그리고 이를 관리할 수 있어야 한다. 이것이 아주 중요하다”라고 말했다.

이런 대대적인 변화를 위해 경영진의 지지를 얻는 일은 어렵지 않았다. 보안과 위험을 경감하는 일이었기 때문이다. 그는 “여러 비즈니스 부서 책임자들이 수긍을 하고, 지지를 했다. 저항이나 반대는 거의 없었다. 대부분은 IT가 자신들이 하던 일을 책임지는 것을 반겼다”라고 말했다.

그는 기술을 바꾸는 것보다 변화를 관리하는 것이 가장 힘든 도전 과제였다고 설명했다. 그는 비즈니스 리더들과 협력, 변화를 도입할 최적의 시기를 결정했다.

결론: 커뮤니케이션과 투명성이 아주 중요하다. 가트너의 밍게이에 따르면, CIO들은 조직 내 셰도우 IT의 ‘범위’를 평가한 후, 경영진에게 이의 잠재적인 가치와 위험에 대해 설명해야 한다. 셰도우 IT를 없애고, 새로운 기술과 정책을 도입하기로 결정을 내렸다면, 비즈니스 부서에 계획과 계획을 실천할 시기를 알려야 한다. ciokr@idg.co.kr 
X