2014.05.13

'음지의 클라우드'에 대한 두려운 진실... 한 CIO의 경험담

Tom Kaneshige | CIO
마이클 키슬리는 헐리우드의 인재 관리 기업 크리에이티브 아티스트 에이전시(Creative Artists Agency)에서 약 25년 동안 근무해온 CIO다. 이 회사에서 기술과 관련된 사항이라면 무엇이든 알고 있을 것이라고 생각하기 쉽다. 그 자신 또한 그렇게 생각했다.

키슬리는 크리에이티브 아티스트 에이전시의 전세계 기업망에 약 50여 종의 클라우드 서비스가 사용되고 있다고 판단했다. 그러나 더 정확히 파악해보기로 결정을 내렸다.

그는 스카이하이(Skyhigh)의 클라우드 보안 소프트웨어로 '음지의 IT (Shadow IT)를 조사했다. 그 결과 1,600 종 이상의 클라우드 서비스가 사용되고 있다는 놀라운 사실이 밝혀졌다.

특히 악성 사이트 중 일부는 러시아와 동유럽에 소재한 것들이었으며, 사용자를 속여 중요한 비밀 데이터를 빼내려는 곳이었다.
 

" 위험한 방법을 선택해 데이터 침해 사고가 발생하면, 나는 물론이고 당신도 이사회에 소환될 것이다.' CIO는 현업 매니저들에게 이렇게 말할 수 있다." -- 라지브 굽타, 스카이하이(Rajiv Gupta, Skyhigh)


키슬리는 "처음에는 숫자에 놀란다. 그리고 그 다음에는 서비스의 위험 수준을 보고 '충격'을 받았다"라고 말했다.

클라우드의 구현자(Enabler)인 CIO
악성 클라우드 서비스는 기업 보안 체계에 큰 구멍을 내면서 위험을 초래하고, CIO를 곤란하게 만든다. 하지만 동시에 기술에 정통한 컨설턴트나 클라우드 브로커을 채용하고, 컴플라이언스를 유지하고, 클라우드 계약을 협상하며, SLA(Service Level Agreement)를 실시하는 것이 중요하다는 점을 알려준다.

키슬리는 수 많은 악성 클라우드 서비스의 존재 사실을 확인하고, 본능적으로 이를 차단해야겠다는 생각을 했다. 그러나 '차단'이라는 방법으로는 문제를 해결할 수 없었다. 사실 음지의 악성 클라우드 서비스가 만연하게 된 첫 번째 이유가 차단 우선적 행동이었기 때문이다. 키슬리는 IT 부서의 평판을 '차단자'에서 '구현자'로 바꿀 필요가 있었다.

키슬리는 가장 먼저 가장 위험한 클라우드 서비스를 차단해야 하는 이유를 직원들에게 교육시키도록 회사 법률 고문에게 부탁했다. CIO가 아닌 변호사가 악역을 맡은 것이다.

또 중간 이하의 위험도를 가진 사이트의 경우, 더욱 장점이 많은 대안을 제시했다. 파일, 동기화, 공유 등의 서비스를 제공하는 음지의 클라우드 서비스가 약 60 종에 달했다. 이들 중 일부에서는 기업의 중요한 비밀 데이터가 전송되고 있을 수 있다는 의미이다.

키슬리는 RFP(제안 의뢰서)를 발송한 후, 최종적으로 박스(Box)를 선택해 기업용 라이선싱 계약을 체결했다. 그리고 박스에 SSO(Single Sign On)를 통합시켰다. 또 HR 시스템에 연동시켜, 신입 직원들이 자동으로 박스 계정을 갖도록 만들었다.

LOB(Line of Business) 매니저들을 설득
키슬리는 현업 매니저와 다른 주요 담당자들에게 음지의 클라우드 서비스 대신 박스를 활용하도록 설득했다. 그리고 매니저들이 이런 제안을 받아 들이면서, 키슬리는 클라우드 구현자가 됐다. CIO들은 자신의 역할이 변하고 있다는 사실을 인정할 필요가 있다. 그리고 폐기 처분되다시피 한, 과거의 CIO 역할에서 진화를 해야 한다.

물론 '행동'은 '말'처럼 쉽지 않다. 이 문제를 더욱 복잡하게 만드는 사실이 하나 있다. 클라우드 컨설턴트가 되기 위한 필수 조건인 비즈니스 지식이 CIO마다 제각각이라는 사실이다.

최근 레드햇(Red Hat)의 설문 조사 결과에 따르면, 78%에 달하는 기술 경영진들은 자신의 비즈니스 지식이 좋거나, 뛰어나다고 대답했다. 비즈니스 부서의 새로운 아이디어를 수용하는 정도가 좋거나, 뛰어나다고 대답한 비율도 66%에 달한다.

그러나 음지의 클라우드가 만연해 있다는 사실은 많은 현업 매니저들이 CIO에 대해 갖고 있는 생각을 시사한다. 비즈니스 프로세스를 차단하는 신뢰할 수 없는 사람들이기 때문에 소외시켜야 한다는 생각이다.

여기에 데이터 상실과 컴플라이언스 위배의 위험이 자리잡고 있다. 게다가 클라우드 서비스가 인기를 끌면서 그 확률이 천정부지로 치솟고 있는 실정이다. 얼마나 위험한 상황일까? 통계를 한 번 살펴보자.




2014.05.13

'음지의 클라우드'에 대한 두려운 진실... 한 CIO의 경험담

Tom Kaneshige | CIO
마이클 키슬리는 헐리우드의 인재 관리 기업 크리에이티브 아티스트 에이전시(Creative Artists Agency)에서 약 25년 동안 근무해온 CIO다. 이 회사에서 기술과 관련된 사항이라면 무엇이든 알고 있을 것이라고 생각하기 쉽다. 그 자신 또한 그렇게 생각했다.

키슬리는 크리에이티브 아티스트 에이전시의 전세계 기업망에 약 50여 종의 클라우드 서비스가 사용되고 있다고 판단했다. 그러나 더 정확히 파악해보기로 결정을 내렸다.

그는 스카이하이(Skyhigh)의 클라우드 보안 소프트웨어로 '음지의 IT (Shadow IT)를 조사했다. 그 결과 1,600 종 이상의 클라우드 서비스가 사용되고 있다는 놀라운 사실이 밝혀졌다.

특히 악성 사이트 중 일부는 러시아와 동유럽에 소재한 것들이었으며, 사용자를 속여 중요한 비밀 데이터를 빼내려는 곳이었다.
 

" 위험한 방법을 선택해 데이터 침해 사고가 발생하면, 나는 물론이고 당신도 이사회에 소환될 것이다.' CIO는 현업 매니저들에게 이렇게 말할 수 있다." -- 라지브 굽타, 스카이하이(Rajiv Gupta, Skyhigh)


키슬리는 "처음에는 숫자에 놀란다. 그리고 그 다음에는 서비스의 위험 수준을 보고 '충격'을 받았다"라고 말했다.

클라우드의 구현자(Enabler)인 CIO
악성 클라우드 서비스는 기업 보안 체계에 큰 구멍을 내면서 위험을 초래하고, CIO를 곤란하게 만든다. 하지만 동시에 기술에 정통한 컨설턴트나 클라우드 브로커을 채용하고, 컴플라이언스를 유지하고, 클라우드 계약을 협상하며, SLA(Service Level Agreement)를 실시하는 것이 중요하다는 점을 알려준다.

키슬리는 수 많은 악성 클라우드 서비스의 존재 사실을 확인하고, 본능적으로 이를 차단해야겠다는 생각을 했다. 그러나 '차단'이라는 방법으로는 문제를 해결할 수 없었다. 사실 음지의 악성 클라우드 서비스가 만연하게 된 첫 번째 이유가 차단 우선적 행동이었기 때문이다. 키슬리는 IT 부서의 평판을 '차단자'에서 '구현자'로 바꿀 필요가 있었다.

키슬리는 가장 먼저 가장 위험한 클라우드 서비스를 차단해야 하는 이유를 직원들에게 교육시키도록 회사 법률 고문에게 부탁했다. CIO가 아닌 변호사가 악역을 맡은 것이다.

또 중간 이하의 위험도를 가진 사이트의 경우, 더욱 장점이 많은 대안을 제시했다. 파일, 동기화, 공유 등의 서비스를 제공하는 음지의 클라우드 서비스가 약 60 종에 달했다. 이들 중 일부에서는 기업의 중요한 비밀 데이터가 전송되고 있을 수 있다는 의미이다.

키슬리는 RFP(제안 의뢰서)를 발송한 후, 최종적으로 박스(Box)를 선택해 기업용 라이선싱 계약을 체결했다. 그리고 박스에 SSO(Single Sign On)를 통합시켰다. 또 HR 시스템에 연동시켜, 신입 직원들이 자동으로 박스 계정을 갖도록 만들었다.

LOB(Line of Business) 매니저들을 설득
키슬리는 현업 매니저와 다른 주요 담당자들에게 음지의 클라우드 서비스 대신 박스를 활용하도록 설득했다. 그리고 매니저들이 이런 제안을 받아 들이면서, 키슬리는 클라우드 구현자가 됐다. CIO들은 자신의 역할이 변하고 있다는 사실을 인정할 필요가 있다. 그리고 폐기 처분되다시피 한, 과거의 CIO 역할에서 진화를 해야 한다.

물론 '행동'은 '말'처럼 쉽지 않다. 이 문제를 더욱 복잡하게 만드는 사실이 하나 있다. 클라우드 컨설턴트가 되기 위한 필수 조건인 비즈니스 지식이 CIO마다 제각각이라는 사실이다.

최근 레드햇(Red Hat)의 설문 조사 결과에 따르면, 78%에 달하는 기술 경영진들은 자신의 비즈니스 지식이 좋거나, 뛰어나다고 대답했다. 비즈니스 부서의 새로운 아이디어를 수용하는 정도가 좋거나, 뛰어나다고 대답한 비율도 66%에 달한다.

그러나 음지의 클라우드가 만연해 있다는 사실은 많은 현업 매니저들이 CIO에 대해 갖고 있는 생각을 시사한다. 비즈니스 프로세스를 차단하는 신뢰할 수 없는 사람들이기 때문에 소외시켜야 한다는 생각이다.

여기에 데이터 상실과 컴플라이언스 위배의 위험이 자리잡고 있다. 게다가 클라우드 서비스가 인기를 끌면서 그 확률이 천정부지로 치솟고 있는 실정이다. 얼마나 위험한 상황일까? 통계를 한 번 살펴보자.


X