직원들이 조직의 명시적인 승인 없이 몰래 친숙한 소프트웨어 및 서비스를 사용하는 현상이 셰도우 IT다. CIO와 IT 관리자들은 이러한 미승인
하지만 점차 많은 IT 책임자들이 셰도우 IT를 새로운 시각으로 바라보고 있다. 이 비밀스러운 활동에 대한 연구가 최종 사용자 필요와 선호도에 대한 실마리와 통찰을 얻는데 도움이 되며, 나아가 직원 성과와 만족도를 높일 수 있는 승인된 소프트웨어와 서비스 개발 및 배치로 이어질 수 있다는 사실을 깨닫고 있는 것이다.
조직 내에 숨어 있는 셰도우 IT 툴을 정복할 수 있는 7가지 방법에 대해 살펴본다.
1. 셰도우 IT 툴을 사용하는 이유를 파악하라
많은 직원들이 기술에 능하고 장치, 소프트웨어, 앱을 이용해 업무를 효율적으로 처리하는데 익숙하다.
HPE(Hewlett Packard Enterprise)의 자회사 아루바(Aruba)의 부사장 겸 수석 보안 기술 전문가 존 그린은 “일상 생활에서 소비자용 플랫폼을 이용하는데 익숙한 다수의 직원들이 편의성과 간소함을 근무에서도 누리고 싶어한다”라며 “프로세스의 속도를 늦추거나 업무 장벽을 생성하는 기업에서 IT 시스템이 우회될 가능성이 높다”라고 말했다.
솔라윈즈(SolarWinds)의 인프라 관리 소프트웨어 제공 기업의 책임자 레온 아다토는 1개 이상의 셰도우 IT 기술을 이용하는 직원들이 원하는 것은 명확하다는 입장이다. 그저 업무를 원활하고 효율적으로 처리하고 싶어하는 것이다.
그는 “프로세스나 팀이 필요를 충족시킨다면 이를 마다할 사람이 없다. 하지만 속도 또는 비용 등의 이유로 그렇지 못한 경우에 팀과 개인이 성공을 위해 다른 방법을 강구하기 시작한다”라고 말했다.
2. 직원들의 셰도우 IT 툴을 어떻게 사용하고 있는지 파악하라
사용자들에게 셰도우 기술이 그들에게 제공하는 가치 그리고 문제 해결에 대한 논의를 요청함으로써 현실을 잘 파악할 수 있다.
클라우드 보안 플랫폼 제공 기업 넷스코프(Netskope)의 클라우드 전략 책임자 진 코데로는 “IT팀이 새로운 기술을 평가할 때 하는 것과 유사하지만 이 새로운 기술이 이미 비즈니스 워크플로에 포함되어 있다는 점이 다를 뿐이다”라며 “사용례를 자세히 살펴보고 기업의 필요를 충족할 수 있는 솔루션을 파악하는 것이 좋다”라고 말했다.
흔한 셰도우 IT 사례는 은밀한 퍼블릭 클라우드 서비스 이용이다. 직원들은 파일을 공유하거나 다양한 사용자 문서 액세스를 제공하기 위해 이를 이용한다. 또는 단순히 드롭박스나 구글 독스 등의 서비스로 중요한 파일을 백업하는 경우도 잦다.
그린은 “그러나 이런 플랫폼이 흔하고 사용이 간편하기는 하지만 민감한 데이터가 위험해질 수 있다”라며, 기업용 클라우드 플랫폼이 더욱 탄탄한 보안 및 활용 통제와 함께 파일을 암호화하여 의도한 당사자만 액세스할 수 있는 옵션을 제공한다고 언급했다.
그는 이어 “규모가 큰 조직들은 일반적으로 자체적으로 안전한 파일 공유 플랫폼을 채택하거나 그들이 기업에 가장 중요한 것을 제공하는 기능을 사용자 정의할 수 있는 화이트 라벨 제품을 사용한다”라고 말했다.
3. 셰도우 IT 기술이 보안 위협을 가하는지 판단하라
그랜트 썬튼(Grant Thornton)의 자문 서비스 활동 수석 로이 니콜슨은 “우선은 조직에 어떤 셰도우 IT가 존재하는지 파악해야 한다”라고 권고했다.
그는 이어 “이런 [목표를] 달성하는 방법은 많다. 네트워크에서 유출 트래픽을 모니터링하는 것도 하나의 방법이다. 기업들은 거기에서부터 보안 평가를 시작할 수 있다”라고 말했다.
기업들은 다른 종류의 소프트웨어 및 서비스와 마찬가지로 셰도우 IT 보안을 평가해야 한다고 주니퍼 네트웍스(Juniper Networks)의 JTL(Juniper Threat Labs) 책임자 모우너 하하드가 조언했다.
그는 “셰도우 IT 기술에 반드시 다양한 평가 절차가 필요한 것은 아니지만 분명 보안 위험을 관찰하고 완화할 수 있도록 평가해야 한다”라고 말했다.
기업의 네트워크에서 알려지지 않은 사용자와 장치는 보안 공백을 만들고 위험을 높일 수 있다. 그린은 “기업 인프라에 연결된 모든 사람, 시스템, 장치에 대한 실시간 정보를 제공하는 네트워크 액세스 관리 시스템을 사용하는 것은 셰도우 IT 기술을 감지하는 효과적이 방법이다”라고 말했다.
또한 UEBA(User and Entity Behavior Analytics) 툴은 경계 방어책을 뚫고 침투한 숨겨진 사이버 위협으로 인한 피해를 감지하고 방지하는데 도움이 될 수 있다고 그는 덧붙였다.
4. 셰도우 IT 기술의 잠재적인 가치를 평가하라
셰도우 IT 툴의 가치를 평가하는 가장 단순하고 쉬운 방법은 사용자들과 해당 기술에 관해 논의하는 것이다.
뉴욕의 독립적인 보안 설계자 피터 배니페런은 “직원들 스스로가 업무의 효율성과 생산성을 높이는 방법에 대해 잘 알고 있다. 벤더, 판매 직원, 보안 전문가, 인프라팀보다 더 잘 알 수 있다. 고객/소비자를 대하듯이 직원을 대하고 건전한 업무 경험을 제공하면 목표를 달성하고 어두운 곳에 숨을 필요로 없어질 것이다”라고 말했다.
그에 따르면 직원들이 셰도우 툴을 사용하고 있다면 그럴 만한 이유가 있을 가능성이 높다. 배니페런은 “이런 사용자들이 셰도우 IT로 돌아선 이유와 어떤 공백이 존재하는지 파악하라”라고 조언했다.
그는 나아가 직원들을 대상으로 잠재적인 새로운 툴에 대해 조사하고 그들이 다양한 옵션을 시도해 볼 수 있도록 하라고 말했다. “단 과도하게 복잡한 툴을 확보하지 않도록 주의할 필요가 있다”라고 그는 덧붙였다.
5. 셰도우 기술 벤더와 협력하여 기업용 버전을 개발하라
IT 부서에서 셰도우 IT 기술을 비즈니스 툴로써 승인할 이유가 있다고 판단할 수 있다. 이 때 조직은 해당 개발자와 구체적인 필요와 목표에 관해 논의해야 한다고 인프라 및 서비스 제공 기업 로지컬리스(Logicalis)의 보안 솔루션 부사장 론 템스크가 조언했다.
그는 “벤더에 따라 기업용 제품을 제공하는 경우가 있다. 또는 제품이 조직의 필요를 충족하도록 협업할 의지가 있을 것이다”라고 말했다.
10-15년 전만 하더라도 셰도우 IT 형태로 기업에 침투한 대부분의 소비자용 툴은 기업 수준의 보안과 준수성 기준을 충족하지 못했다. IT 소프트웨어 및 서비스 리뷰 웹사이트 G2 크라우드의 최고 연구 책임자 마이클 포세트는 “하지만 지금은 그렇지가 않다. 예외적인 경우라도 IT는 이를 대체할 적절한 [조사한] 툴을 제공하거나 벤더와 협력하여 문제가 되는 영역에서 솔루션을 개선할 수 있다”라고 말했다.
6. 셰도우 버전의 이점을 보존하는 방식으로 기술을 배치하라
공식적인 도입이 가능하다고 판단되면 IT는 셰도우 기술을 사용 가능하고 안전한 상태로 도입하는데 초점을 맞추어야 한다.
배니페런은 “핵심 혜택이 적용되도록 해야 하며, 그렇지 않으면 안하느니만 못하다. 원하는 툴이 제대로 작동하지 않으면 셰도우 IT가 증가할 뿐이다”라고 말했다.
IT가 셰도우 IT 툴을 본래의 유용성을 유지하는 안전한 형태로 통제하는 가장 빠른 방법은 제공 기업과 논의하여 조직의 구체적인 필요를 설명한 후 제공 기업이 시험 및 시범 배치를 통해 약속을 지키도록 하는 것이다.
7. 경계를 늦추지 말라
IT는 직원 배치 툴에 적절히 대응할 수 있도록 항상 새로운 셰도우 기술이 있는지 예의주시해야 한다. 또 셰도우 IT가 발생한 조직은 IT가 신뢰할 수 이는 솔루션을 신속하고 비용 효율적으로 제공하지 못했음을 성찰해야 한다.
아다토는 “의사소통 그리고 신뢰의 부재를 의미한다. 이런 기저 원인이 존재할 때 개인, 팀, 부서, 기업의 성공은 지속될 수 없다”라고 말했다.
기업 경영 컨설팅 기업 PME(Project Management Essentials)의 설립 수석 앨런 주커는 IT 부문이 그저 직원의 요구를 충족시키기 위해 의심스러운 셰도우 툴을 승인해서는 안 된다고 강조했다.
그는 “보안 위반 또는 고장 정지가 발생할 때 사고의 책임은 셰도우 IT 제공 기업과 계약을 체결하지 않았더라도 궁극적으로 CIO 또는 CTO가 지게 된다”라며 “기업의 무결성을 유지하기 위해 IT 조직은 기업의 기준을 충족하는지 확인해야 한다”라고 말했다.
dl-ciokorea@foundryco.com
