섀도 IT란 무엇인가요?

개인 클라우드 스토리지 계정에서 작업 파일을 공유하거나, 회사에서 승인한 화상 회의 플랫폼 서비스가 있어도 허가되지 않은 다른 플랫폼을 통해 회의를 개최하거나, IT 승인 없이 비공식 그룹 채팅을 만드는 것을 섀도우 IT의 예로 들 수 있습니다.

해커가 심어놓은 멀웨어 또는 기타 악성 자산은 섀도우 IT에 포함되지 않습니다. 네트워크 이용 권한이 있는 최종 사용자가 배포한 승인되지 않은 자산만 여기에 포함됩니다.

최종 사용자와 팀이 섀도우 IT를 사용하는 주된 이유는 IT 승인을 기다릴 필요 없이 바로 사용할 수 있고 의도한 용도에 다른 IT 서비스보다 더 나은 기능을 제공한다고 생각하기 때문입니다. 그러나 이러한 이점에도 불구하고 섀도우 IT는 심각한 보안 위험을 초래할 수 있습니다. IT 팀은 섀도우 IT를 인지하지 못하기 때문에 이러한 자산을 모니터링하거나 취약점을 해결하지 못합니다. 섀도우 IT는 특히 해커에 의해 악용되기 쉽습니다. 

Cisco에 따르면 회사 직원의 80%가 섀도우 IT를 사용하고 있습니다. 개별 직원은 자신의 편의와 생산성을 위해 섀도우 IT를 채택하는 경우가 많으며, 회사에서 승인한 IT 리소스 대신 개인 디바이스와 선호하는 소프트웨어를 사용하여 더 효율적이고 효과적으로 업무를 수행할 수 있다고 생각합니다. IBM 기업가치연구소(IBV)가 인용한 또 다른 연구에 따르면 직원의 41%는 IT/IS 팀이 모르는 사이에 기술을 획득, 수정, 생성한다고 합니다. 

IT의 소비자화와 최근의 원격 근무 증가로 인해 이러한 현상은 더 심해졌습니다. 서비스형 소프트웨어(SaaS)를 사용하면 신용카드와 최소한의 기술 지식만으로도 누구나 협업, 프로젝트 관리, 콘텐츠 제작 등을 위한 정교한 IT 시스템을 배포할 수 있습니다. 조직의 BYOD(Bring Your Own Device) 정책에 따라 직원은 기업 네트워크에서 자신의 컴퓨터와 모바일 디바이스를 사용할 수 있습니다. 그러나 공식적인 BYOD 프로그램이 도입되어 있어도 IT 팀은 BYOD 하드웨어에서 직원이 사용하는 소프트웨어와 서비스를 완전히 파악하기 어렵고, 개인 디바이스에 IT 보안 정책을 적용하기도 쉽지 않습니다.

그러나 섀도우 IT가 항상 개별 직원의 행동만으로 초래되지는 않습니다. 팀에서 섀도우 IT 애플리케이션을 도입하는 경우도 있습니다. Gartner에 따르면 기술 구매의 38%는 IT 리더가 아닌 비즈니스 리더가 관리, 정의, 통제합니다. 새로운 클라우드 서비스, SaaS 애플리케이션 등의 정보 기술을 도입하고 싶지만 IT 부서와 CIO의 조달 절차가 너무 느리고 번거롭다고 생각할 때 IT 부서를 우회해서 원하는 신기술을 확보하는 것입니다. 예를 들어, 공식 승인 프로세스를 따르면 개발이 지연되고 회사가 시장 기회를 놓치게 되기 때문에 소프트웨어 개발 팀이 IT 부서와 상의하지 않고 새로운 통합 개발 환경을 도입하는 경우가 있을 수 있습니다.

승인되지 않은 타사 소프트웨어, 앱 및 서비스가 가장 흔히 볼 수 있는 형태의 섀도우 IT입니다. 일반적인 예는 다음과 같습니다.

• 생산성 앱(예: Trello, Asana)
   

• 클라우드 스토리지, 파일 공유 및 문서 편집 애플리케이션(예: Dropbox, Google Docs, Google Drive, Microsoft OneDrive)
   

• 커뮤니케이션 및 메시징 앱(예: Slack, WhatsApp, Zoom, Signal, Telegram)과 개인 이메일 계정

이러한 클라우드 서비스 및 SaaS 제품은 대개 접근이 쉽고 직관적으로 사용할 수 있으며 무료 또는 매우 저렴한 비용으로 제공되므로 팀에서 필요에 따라 신속하게 배포할 수 있습니다. 직원들은 개인 생활에서 이미 사용하고 있기 때문에 이러한 섀도우 IT 애플리케이션을 종종 업무용으로 가져옵니다. 고객, 파트너 또는 서비스 제공업체로부터 이러한 서비스 사용을 요청받기도 합니다. 예를 들어, 직원들이 프로젝트 협업을 위해 고객의 생산성 앱에 가입하는 것은 흔한 일입니다.

직원의 개인 디바이스(스마트폰, 노트북, USB 드라이브 및 외장 하드 드라이브와 같은 스토리지 장치)도 섀도우 IT의 또 다른 일반적인 원인입니다. 직원들은 자신의 디바이스를 사용해 네트워크 리소스에 원격으로 액세스하여 저장 또는 전송하기도 하고, 공식 BYOD 프로그램의 일환으로 온프레미스에서 이러한 디바이스를 사용하기도 합니다. 어떤 경우든 IT 부서가 기존 자산 관리 시스템으로는 이러한 디바이스를 검색, 모니터링 및 관리하기가 어렵습니다.

직원들은 이점을 기대하고 섀도우 IT를 사용하지만, 섀도우 IT 자산은 조직에 잠재적인 보안 위험을 초래합니다. 다음과 같은 위험이 있습니다.

IT 팀에서는 대체로 섀도우 IT 자산을 인식할 수 없기 때문에 이러한 자산의 보안 취약점이 해결되지 않은 채 간과됩니다. 최종 사용자 또는 부서별 팀은 이러한 자산에 적용되는 업데이트, 패치, 구성, 권한, 중요한 보안 및 규제 제어의 중요성을 이해하지 못할 수 있으며, 이로 인해 조직의 노출이 더욱 악화될 수 있습니다.

보안이 적용되지 않은 섀도우 IT 디바이스 및 앱을 이용해 민감한 데이터가 저장, 액세스, 전송될 수 있으며, 이로 인해 기업은 데이터 유출 또는 누출 위험에 처할 수 있습니다. 섀도우 IT 애플리케이션에 저장된 데이터는 공식적으로 승인된 IT 리소스를 백업하는 과정에서 포착되지 않으므로 데이터 손실 후 정보를 복구하기가 어렵습니다. 또한 섀도우 IT는 데이터 불일치의 원인이 될 수 있습니다. 데이터가 중앙 집중식 관리 없이 여러 섀도우 IT 자산에 분산되어 있으면, 직원들이 비공식적이거나 유효하지 않거나 오래된 정보를 업무에 사용하게 될 수 있습니다.

건강 보험 양도 및 책임에 관한 법률(HIPAA), 지불 카드 산업 데이터 보안 표준, 일반 데이터 보호 규정과 같은 여러 규정에는 개인 식별 정보 처리에 대한 엄격한 요구 사항이 포함되어 있습니다. 규정 준수 전문 지식이 없는 직원과 부서에서 만든 섀도우 IT 솔루션은 이러한 데이터 보안 표준을 충족하지 못해 조직에 벌금이나 법적 조치를 초래할 수 있습니다.

섀도우 IT 애플리케이션은 승인된 IT 인프라와 쉽게 통합되지 않아 공유 정보 또는 자산을 이용하는 워크플로우를 방해할 수 있습니다. IT 팀이 승인된 자산을 새로 도입하거나 특정 부서를 위한 IT 인프라를 프로비저닝할 때 섀도우 IT 리소스를 고려할 가능성은 낮습니다. 결과적으로 IT 부서는 팀에서 이용 중인 섀도우 IT 자산의 기능을 방해하는 방식으로 네트워크 또는 네트워크 리소스를 변경할 수 있습니다.

과거에는 조직에서 섀도우 IT를 완전히 금지하여 이러한 위험을 완화하려는 경우가 많았습니다. 그러나 IT 리더들은 점점 섀도우 IT를 불가피한 것으로 받아들이고 있으며, 많은 리더들이 섀도우 IT의 비즈니스 이점을 수용하게 되었습니다. 다음과 같은 이점이 있습니다.

• 팀이 비즈니스 환경 변화와 새로운 기술 발전에 보다 민첩하게 대응할 수 있도록 지원
   

• 직원이 업무에 가장 적합한 도구를 사용할 수 있도록 지원
   

• 새로운 IT 자산을 조달하는 데 필요한 비용과 리소스를 줄여 IT 운영 간소화

이러한 이점을 저하시키지 않으면서 섀도우 IT의 위험을 완화하기 위해 많은 조직은 이제 섀도우 IT를 완전히 금지하기보다는 표준 IT 보안 프로토콜과 조화시키는 것을 목표로 합니다. 이를 위해 IT 팀은 종종 공격 표면 관리 도구 같은 사이버 보안 기술을 구현하여 조직의 인터넷 연결 IT 자산을 지속적으로 모니터링하고 섀도우 IT가 도입되는 즉시 이를 발견 및 식별합니다. 그런 다음 이러한 섀도우 자산의 취약점을 평가하고 교정합니다. 

또한 클라우드 자산 보안 브로커(CASB) 소프트웨어를 사용하여 확인된 자산이든 그렇지 않은 자산이든 상관없이 직원과 모든 클라우드 자산 간에 보안 연결이 이루어지도록 할 수 있습니다. CASB는 섀도우 클라우드 서비스를 찾아 암호화, 액세스 제어 정책 및 멀웨어 탐지 등의 보안 조치를 적용할 수 있습니다.