섀도우 IT란?
섀도우 IT는 IT 부서의 승인 또는 감독을 받지 않고 직원 또는 최종 사용자가 사용하는 모든 IT 리소스를 말합니다.
Young student in eyeglasses typing information for course work on keyboard of modern laptop device using wireless internet in stylish flat, attractive woman chatting online via netbook at home; Shutterstock ID 1315235795; Job Number: 1727; Purchaser Name: drury; Project Name + Sub-project details: comp; Task Number:
섀도우 IT란?

섀도우 IT는 IT 부서의 승인을 받지 않고 흔히 IT 부서가 이를 모르거나 감독하지 않는 상태에서 엔터프라이즈 네트워크에서 사용되는 모든 소프트웨어, 하드웨어 또는 IT 리소스를 말합니다. 개인 Dropbox 계정 또는 썸 드라이브에서 작업 파일 공유하기, 회사가 WebEx를 사용하는 경우 Skype로 회의하기, IT 팀의 승인 없이 그룹 Slack 시작하기 등이 섀도우 IT의 예입니다.

 멀웨어 또는 해커가 심어놓은 기타 악의적 자산은 섀도우 IT가 아닙니다. 섀도우 IT는 네트워크의 승인된 최종 사용자에 의해 배치된 허가받지 않은 자산만을 의미합니다.

최종 사용자와 팀이 일반적으로 섀도우 IT를 사용하는 이유는 IT의 승인을 기다리지 않고 사용을 시작할 수 있기 때문이거나 대안적인 IT가 제공하는 기능이 무엇이든 그보다 섀도우 IT가 본인의 목적에 맞는 더 나은 기능을 제공한다고 생각하기 때문입니다. 그러나 이러한 이점에도 불구하고 섀도우 IT는 상당한 보안 리스크를 제기할 수 있습니다. IT 팀은 섀도우 IT가 사용된다는 것을 알지 못하므로 이러한 자산을 모니터링하지 않고 이들의 취약성을 해결하지 않습니다. 섀도우 IT는 특히 해커가 악용하기 쉽습니다. Randori의 State of Attack Surface Management 2022 보고서에 따르면 작년에 조직 10개 중 거의 7개가 섀도우 IT로 인한 침해를 입었다고 합니다.

섀도우 IT의 원인

Cisco에 따르면, 회사 직원 중 80%가 섀도우 IT를 사용한다고 합니다. 직원 개인은 편의성과 생산성 때문에 섀도우 IT를 사용하는 경우가 많습니다. 이들은 회사의 허가된 IT 리소스 대신 개인용 디바이스와 선호하는 소프트웨어를 사용하여 더 효율적이고 효과적으로 일할 수 있다고 생각합니다.

IT의 소비자화, 그리고 더 최근에는 원격 근무 증가로 인해 섀도우 IT 사용이 증가했습니다. SaaS(Software-as-a-Service) 덕분에 신용 카드를 가지고 있고 최소한의 기술적 지식만 있다면 누구나 협업, 프로젝트 관리, 콘텐츠 생성 등을 위해 정교한 IT 시스템을 배치할 수 있습니다. 조직의 BYOD(Bring Your Own Device) 정책은 직원들이 자신의 컴퓨터와 모바일 디바이스를 기업 네트워크에서 사용할 수 있도록 허용합니다. 그러나 공식적인 BYOD 프로그램을 시행 중인 경우에도 IT 팀은 직원이 BYOD 하드웨어에서 사용하는 소프트웨어와 서비스를 파악하지 못하는 경우가 많고, 직원의 개인용 디바이스에 IT 보안 정책을 적용하기가 어려울 수 있습니다.

그러나 섀도우 IT는 직원 혼자 취한 행동의 결과가 아닌 경우도 있습니다. 즉, 섀도우 IT 애플리케이션은 팀 단위로도 사용됩니다. Gartner에 따르면, 구입된 기술의 38%가 IT가 아닌 비즈니스 리더에 의해 관리, 정의 및 제어된다고 합니다. 팀은 새로운 클라우드 서비스, SaaS 애플리케이션, 기타 정보 기술을 도입하고 싶어 하지만 IT 부서와 CIO가 실행하는 조달 프로세스가 너무 부담스럽거나 느리다고 생각하는 경우가 많습니다. 그래서 이들은 IT를 우회하여 원하는 새로운 기술을 사용합니다. 예를 들어, 소프트웨어 개발 팀은 공식 승인 프로세스를 따를 경우 개발이 지연되고 회사가 시장 기회를 놓칠 수 있기 때문에 IT 부서와 상의하지 않고 새로운 통합 개발 환경(IDE)을 도입할 수 있습니다.

섀도우 IT의 예

허가받지 않은 타사 소프트웨어, 앱, 서비스는 아마도 가장 만연한 형태의 섀도우 IT일 것입니다. 섀도우 IT의 일반적인 예는 다음과 같습니다.

  • Trello 및 Asana와 같은 생산성 앱

  • Dropbox, Google Docs, Google Drive 및 Microsoft OneDrive와 같은 클라우드 스토리지, 파일 공유 및 문서 편집 애플리케이션

  • Skype, Slack, WhatsApp, Zoom, Signal, Telegram 및 개인용 이메일 계정 등 커뮤니케이션 및 메시징 앱

이러한 클라우드 서비스와 SaaS 오퍼링은 액세스하기 쉽고 직관적으로 사용할 수 있으며 무료이거나 매우 저렴한 경우가 많으므로 팀이 필요에 따라 간편하게 이러한 오퍼링을 배치할 수 있습니다. 직원들은 이러한 섀도우 IT 애플리케이션을 이미 개인적으로 사용하고 있기 때문에 종종 직장에도 가져옵니다. 또한 직원들은 고객, 파트너 또는 서비스 제공업체로부터 이러한 서비스를 사용하도록 초대를 받을 수도 있습니다. 예를 들면, 직원들이 프로젝트를 함께 진행하기 위해 고객사의 생산성 앱을 사용하게 되는 것은 드문 일이 아닙니다.

스마트폰, 노트북, USB 드라이브 및 외장 하드와 같은 스토리지 디바이스 등 직원의 개인용 디바이스는 섀도우 IT의 또 다른 흔한 소스입니다. 직원은 원격으로 네트워크 리소스를 액세스, 저장 또는 전송하기 위해 자신의 디바이스를 사용하거나 공식 BYOD 프로그램에 따라 온프레미스로 이러한 디바이스를 사용할 수 있습니다. 어느 쪽이든 IT 부서가 기존의 자산 관리 시스템으로 이러한 디바이스를 발견하고 모니터링하며 관리하기가 어려운 경우가 많습니다.

섀도우 IT의 리스크

직원들은 일반적으로 이점이 있다고 생각하고 섀도우 IT를 사용하지만 섀도우 IT 자산은 조직에 잠재적 보안 리스크를 제기합니다. 이러한 리스크의 예는 다음과 같습니다.

  • IT의 가시성 및 제어력 상실: IT 팀은 일반적으로 특정 섀도우 IT 자산이 사용된다는 것을 모르기 때문에 이러한 자산의 보안 취약성에 대처하지 못합니다. Randori의 State of Attack Surface Management 2022 보고서에 따르면, 일반적인 조직은 자산 관리 프로그램이 파악한 것보다 노출된 자산이 30% 더 많다고 합니다. 최종 사용자 또는 부서 팀은 이러한 자산에 대한 업데이트, 패치 적용, 구성, 권한 부여, 중요한 보안 및 규제 제어의 중요성을 이해하지 못할 수 있으므로 조직의 노출 리스크가 더욱 악화될 수 있습니다.
  • 데이터 보안 리스크 증가: 민감한 데이터가 보안이 적용되지 않은 섀도우 IT에 저장되거나, 섀도우 IT에 의해 액세스되거나, 이러한 섀도우 IT를 통해 전송될 수 있어 회사의 데이터 침해 또는 유출 리스크가 커집니다. 섀도우 IT 애플리케이션에 저장된 데이터는 공식적으로 허가된 IT 리소스 백업 시 포착되지 않으므로 데이터 손실 발생 시 정보를 복구하기가 어렵습니다. 또한 섀도우 IT는 데이터 일관성 유지 실패를 초래할 수도 있습니다. 데이터가 중앙 집중식으로 관리되지 않고 여러 섀도우 IT 자산에 분산될 경우, 직원은 공식적이지 않거나 유효하지 않거나 오래된 정보를 활용하게 될 수 있습니다.
  • 규제 준수 문제: HIPAA(Health Insurance Portability and Accountability Act), PCI DSS(Payment Card Industry Data Security Standard) 및 일반 개인정보 보호법(GDPR)과 같은 규정에는 개인 식별 정보(PII) 처리에 대한 엄격한 요구사항이 있습니다. 규제 준수에 대한 전문 지식이 없는 직원과 부서에서 만든 섀도우 IT 솔루션은 이러한 데이터 보안 표준을 충족하지 못할 수 있으며 이로 인해 조직은 벌금 또는 법적 소송에 직면할 수 있습니다.

  • 비즈니스 효율성 저하: 섀도우 IT 애플리케이션은 허가된 IT 인프라와 쉽게 통합되지 않을 수 있으며, 이로 인해 공유된 정보 또는 자산에 의존하는 워크플로우를 방해할 수 있습니다. IT 팀은 특정 부서를 위해 허가된 새로운 자산을 도입하거나 IT 인프라를 프로비저닝할 때 섀도우 IT 리소스를 고려하지 않을 가능성이 큽니다. 따라서 IT 부서는 팀이 의존하는 섀도우 IT 자산의 기능을 방해하는 방식으로 네트워크 또는 네트워크 리소스를 변경할 수 있습니다.

섀도우 IT의 이점

과거에는 조직에서 섀도우 IT를 완전히 금지하여 이러한 리스크를 완화하려고 하는 경우가 많았습니다. 그러나 IT 리더들은 점점 더 섀도우 IT를 불가피한 것으로 받아들이고 있으며, 많은 이들이 섀도우 IT의 비즈니스 이점을 수용하게 되었습니다. 이러한 이점의 예는 아래와 같습니다.

  • 팀이 비즈니스 환경의 변화와 새로운 기술의 진화에 더 민첩하게 대응할 수 있도록 지원

  • 직원이 직무에 가장 적합한 툴을 사용할 수 있도록 허용

  • 새로운 IT 자산 조달에 필요한 비용과 리소스를 줄여 IT 운영을 효율화

이제 많은 조직에서는 이러한 이점을 희생하지 않으면서 섀도우 IT의 리스크를 완화하기 위해 섀도우 IT를 완전히 금지하기보다는 표준 IT 보안 프로토콜에 맞게 섀도우 IT를 조정하는 것을 목표로 삼고 있습니다. 이를 위해 IT 팀은 공격 표면 관리(ASM) 툴과 같은 사이버 보안 기술을 실행하는 경우가 많습니다. 이 툴은 조직의 인터넷 사용 IT 자산을 지속적으로 모니터링하여 섀도우 IT가 사용될 때 이를 찾아내고 식별합니다. 이를 통해 이러한 섀도우 자산의 취약성을 평가하고 이를 해결할 수 있습니다. 

또한 조직은 알려진 자산과 알려지지 않은 자산을 포함하여 직원과 사용 중인 모든 클라우드 자산 사이의 안전한 연결을 보장하는 클라우드 자산 보안 브로커(CASB)를 사용할 수 있습니다. CASB는 섀도우 클라우드 서비스를 찾아내서 암호화, 자산 제어 정책, 멀웨어 감지 등의 보안 조치를 적용할 수 있습니다. 

IBM 솔루션
사이버 보안 솔루션

IBM Security®는 불확실성 속에서도 성공하도록 지원하는 엔터프라이즈 사이버 보안 솔루션을 제공합니다.

사이버 보안 솔루션 살펴보기
데이터 보안 솔루션

여러 환경의 엔터프라이즈 데이터를 보호하고, 개인정보 보호 규정을 준수하며, 운영상의 복잡성을 간소화합니다.

데이터 보안 살펴보기
클라우드 보안 솔루션

응집형 하이브리드, 멀티클라우드 보안 프로그램을 관리하려면 가시성과 통제성을 셋팅해야 합니다. IBM Security 제품과 전문가들은 적절한 제어를 통합하고 워크로드 배치를 알맞게 조정하며 효과적인 위협 관리를 셋팅할 수 있도록 지원할 수 있습니다.

클라우드 보안 솔루션 살펴보기
리소스 사이버 보안이란?

사이버 보안 기술 및 우수 사례는 날로 진화하고 늘어가는 위협으로부터 중요한 시스템과 민감한 정보를 보호합니다.

공격 표면 관리란?

공격 표면 관리는 조직이 사이버 공격에 대한 취약성을 발견하고 우선 순위를 지정하며 해결하도록 돕습니다.

IT 자산 관리(ITAM)란?

ITAM은 모든 자산이 적절하게 사용, 유지보수 및 업그레이드되고 라이프사이클 종료 시 적절하게 폐기되도록 합니다.