마이클 키슬리는 헐리우드의 인재 관리 기업 크리에이티브 아티스트 에이전시(Creative Artists Agency)에서 약 25년 동안 근무해
키슬리는 크리에이티브 아티스트 에이전시의 전세계 기업망에 약 50여 종의 클라우드 서비스가 사용되고 있다고 판단했다. 그러나 더 정확히 파악해보기로 결정을 내렸다.
그는 스카이하이(Skyhigh)의 클라우드 보안 소프트웨어로 ‘음지의 IT (Shadow IT)를 조사했다. 그 결과 1,600 종 이상의 클라우드 서비스가 사용되고 있다는 놀라운 사실이 밝혀졌다.
특히 악성 사이트 중 일부는 러시아와 동유럽에 소재한 것들이었으며, 사용자를 속여 중요한 비밀 데이터를 빼내려는 곳이었다.
| ” 위험한 방법을 선택해 데이터 침해 사고가 발생하면, 나는 물론이고 당신도 이사회에 소환될 것이다.’ CIO는 현업 매니저들에게 이렇게 말할 수 있다.” — 라지브 굽타, 스카이하이(Rajiv Gupta, Skyhigh) |
키슬리는 “처음에는 숫자에 놀란다. 그리고 그 다음에는 서비스의 위험 수준을 보고 ‘충격’을 받았다”라고 말했다.
클라우드의 구현자(Enabler)인 CIO
악성 클라우드 서비스는 기업 보안 체계에 큰 구멍을 내면서 위험을 초래하고, CIO를 곤란하게 만든다. 하지만 동시에 기술에 정통한 컨설턴트나 클라우드 브로커을 채용하고, 컴플라이언스를 유지하고, 클라우드 계약을 협상하며, SLA(Service Level Agreement)를 실시하는 것이 중요하다는 점을 알려준다.
키슬리는 수 많은 악성 클라우드 서비스의 존재 사실을 확인하고, 본능적으로 이를 차단해야겠다는 생각을 했다. 그러나 ‘차단’이라는 방법으로는 문제를 해결할 수 없었다. 사실 음지의 악성 클라우드 서비스가 만연하게 된 첫 번째 이유가 차단 우선적 행동이었기 때문이다. 키슬리는 IT 부서의 평판을 ‘차단자’에서 ‘구현자’로 바꿀 필요가 있었다.
키슬리는 가장 먼저 가장 위험한 클라우드 서비스를 차단해야 하는 이유를 직원들에게 교육시키도록 회사 법률 고문에게 부탁했다. CIO가 아닌 변호사가 악역을 맡은 것이다.
또 중간 이하의 위험도를 가진 사이트의 경우, 더욱 장점이 많은 대안을 제시했다. 파일, 동기화, 공유 등의 서비스를 제공하는 음지의 클라우드 서비스가 약 60 종에 달했다. 이들 중 일부에서는 기업의 중요한 비밀 데이터가 전송되고 있을 수 있다는 의미이다.
키슬리는 RFP(제안 의뢰서)를 발송한 후, 최종적으로 박스(Box)를 선택해 기업용 라이선싱 계약을 체결했다. 그리고 박스에 SSO(Single Sign On)를 통합시켰다. 또 HR 시스템에 연동시켜, 신입 직원들이 자동으로 박스 계정을 갖도록 만들었다.
LOB(Line of Business) 매니저들을 설득
키슬리는 현업 매니저와 다른 주요 담당자들에게 음지의 클라우드 서비스 대신 박스를 활용하도록 설득했다. 그리고 매니저들이 이런 제안을 받아 들이면서, 키슬리는 클라우드 구현자가 됐다. CIO들은 자신의 역할이 변하고 있다는 사실을 인정할 필요가 있다. 그리고 폐기 처분되다시피 한, 과거의 CIO 역할에서 진화를 해야 한다.
물론 ‘행동’은 ‘말’처럼 쉽지 않다. 이 문제를 더욱 복잡하게 만드는 사실이 하나 있다. 클라우드 컨설턴트가 되기 위한 필수 조건인 비즈니스 지식이 CIO마다 제각각이라는 사실이다.
최근 레드햇(Red Hat)의 설문 조사 결과에 따르면, 78%에 달하는 기술 경영진들은 자신의 비즈니스 지식이 좋거나, 뛰어나다고 대답했다. 비즈니스 부서의 새로운 아이디어를 수용하는 정도가 좋거나, 뛰어나다고 대답한 비율도 66%에 달한다.
그러나 음지의 클라우드가 만연해 있다는 사실은 많은 현업 매니저들이 CIO에 대해 갖고 있는 생각을 시사한다. 비즈니스 프로세스를 차단하는 신뢰할 수 없는 사람들이기 때문에 소외시켜야 한다는 생각이다.
여기에 데이터 상실과 컴플라이언스 위배의 위험이 자리잡고 있다. 게다가 클라우드 서비스가 인기를 끌면서 그 확률이 천정부지로 치솟고 있는 실정이다. 얼마나 위험한 상황일까? 통계를 한 번 살펴보자.
830만 명의 사용자를 대상으로 하는 스카이하이의 데이터에 따르면, 기업들은 현재 평균 759 종의 클라우드 서비스를 사용하고 있다. 지난 분기의 경우 626 종이었다. 스카이하이의 데이터베이스에 기록된 클라우드 서비스는 3,571 종이지만, 이 가운데 기업용으로 활용될 수 있는 서비스의 비율은 7%에 불과하며, 위험도가 대단히 높은 서비스 비율은 5% 정도다. 결과적으로 클라우드 서비스 3 종 가운데 1 종이 위험에 아주 취약한 것들이었다.
더 악화될 수 있다
또 문 앞에는 ‘야만인’이 기다리고 있다. 맬웨어를 만드는 해커들은 기업의 중요한 비밀 데이터가 오가는 클라우드 서비스를 표적으로 삼고 있다.
스카이하이의 조사 결과에 따르면, 신용카드 번호, 의료 기록, 사회보장 번호 등의 데이터가 저장된 클라우드 서비스에서 비정상적 접속을 경험한 기업의 비중이 16%에 달한다. 세일즈포스(Saleforce)나 워크데이(Workday) 같은 비즈니스 서비스에 ‘악성’ 접속하는 데 맬웨어가 사용되고 있다는 의미다.
게다가 대부분의 경우 CIO가 할 수 있는 일이 없다. 크리에이티브 아티스트 에이전시만 하더라도 CIO 모르게 사용되고 있는 클라우드 서비스가 절대 다수였다. IT 부서는 평균적으로 기업에서 사용되는 클라우드 서비스 중 5~8%만 인식하고 있다.
스카이하이의 라지브 굽타 CEO는 “이는 어림짐작이나 과장이 아니다. 사실에 바탕을 둔 데이터다. 다른 CIO들이 현재 직면하고 있는 위험이기도 하다”라고 강조했다.
CIO들이 알고 있는 클라우드 서비스 중에서도 안전하지 않은 서비스가 있을 수 있다. 윈매직(WinMagic)의 보안 조사 결과에 따르면, IT 책임자 가운데 35%는 직원들이 직장에서 개인 클라우드 스토리지를 사용하도록 허락하고 있다. 태블릿과 휴대폰에서 암호화 기능을 사용하도록 규제하는 기업의 비율도 60%에 불과한 것으로 조사됐다.
이는 엄청난 손실을 초래할 수 있는 위험이다. 포네몬 인스터튜트(Ponemon Institute)는 미국 기업들의 데이터 침해에 따른 평균 손실액이 지난 해 540만 달러에서 올해에는 590만 달러로 증가했다고 분석하고 있다.
즉 CIO들은 보안에 만전을 기할 수 없는 클라우드 서비스와 심지어는 자신들이 알지도 못하는 음지의 클라우드 서비스에 대해 보안과 컴플라이언스를 집행해야 하는 곤란한 상황에 처해있다. 그러나 CIO들은 음지의 클라우드 서비스 중 상당수를 통제할 수 없다. 유일하게 할 수 있는 일은 현업 매니저들에게 위험을 충고하는 것이다.
누구에게도 도움이 되지 않는 상황이다. 그렇지 않은가?
협력이 필요하다
크리에이티브 아티스트 에이전시의 키슬리는 현업 매니저들에게 모두가 공동 책임을 진다는 점을 상기시키는 것이 중요하다고 강조했다. 그는 최근 대형 소매업체인 타겟(Target)에서 발생한 사고를 예로 제시했다. 12월 신문과 방송의 헤드라인을 장식한 타겟의 보안 참해 사고는 3개월 뒤 베스 제이콥 CIO의 사임을 불러왔다.
언론을 떠들석하게 만든 개인 정보 유출 사고 이후 기술 책임자가 해고되는 사례는 흔하다. 그러나 이번에는 CIO 혼자가 아니었다. 그렉 스타인하펠 회장 겸 CEO 또한 개인 정보 유출 사고의 책임을 지고 이번 달 자리에서 물러난 것이다.
이제 키슬리는 데이터 침해 사고가 발생할 경우, 모든 사람들이 대가를 치르게 된다고 현업 매니저들에게 강조하고 있다. 클라우드 서비스에서는 이와 관련된 위험이 더 높다. 특히 IT가 승인하지 않은 음지의 클라우드 서비스는 더욱 그렇다.
굽타는 “CIO들은 비즈니스 매니저들에게 ‘위험을 감수하고 싶다면 그렇게 하라. 그러나 보안 침해 사고, 데이터 유출 사고, 컴플라이언스 미준수 사고가 발생하면, 나는 물론이고 당신들도 이사회에 소환이 될 것이다’라고 경고할 수 있다”라고 말했다.
dl-ciokorea@foundryco.com
