6가지 셰도우 IT 관리 팁··· 감지, 통제, 설득은 이렇게

일단의 IT, 모바일, 보안 전문가가 비공식 앱과 서비스, 직장 내 개인 기기의 사용으로 인한 위험성을 어떻게 최소화할 수 있는지에 대해 조언을 제시했다.

IT 부서에서 직장 내 모든 소프트웨어와 하드웨어를 일관적으로 관리하기가 어려줘지고 있다. 직장에서 클라우드 컴퓨팅 및 BYOD 사용이 증가함에 따른 것이다. 그리고 이는 안전한 환경을 유지하기가 그만큼 어려워지고 있는 것이다.

그렇다면, CIO나 IT 부서에서 이런 셰도우 IT(IT 부서의 통제 밖에 있는 소프트웨어 및 하드웨어)를 효과적으로 관리하고, 잠재적 리스크를 줄일 수 있는 방법은 뭐가 있을까? 10여 명의 IT, 모바일, 사이버 보안 전문가들에게 그 답을 물었다. 이들 전문가가 제시한 6가지 기업 셰도우 IT 관리 비결을 살펴보자.

1. 지속적으로 네트워크를 모니터링하라
“직원들이 쓰는 게 회사에서 나눠준 하드웨어이든, 아니면 개인 기기이든(BYOD의 경우) 상관 없이 기업에서는 자사의 모든 데이터가 정확히 어디에 담겨 있는지 알고 있어야 한다. 데이터 센터에 있을 수도 있고, 클라우드에 담겨 있을 수도 있다”라고 데이터 및 정보 관리 소프트웨어 공급업체 컴볼트(CommVault)의 제품 마케팅 담당자 그렉 화이트는 말했다.

네트워크 보안 업체 트립와이어(Tripwire)의 CTO 드웨인 멜랑컨은 “셰도우 IT 정황을 빠르게 파악하기 위해서는 지속적인 네트워크 모니터링을 통해 새로운 기기나 파악되지 않은 기기가 있는 것은 아닌지 계속 확인해야 한다”라고 조언했다.

멜랑컨은 이어 “보안 목적으로 많은 기업에서 주기적으로 실시하고 있는 취약성 점검 테스트(vulnerability scanning)에 이 과정을 통합시킬 수도 있다. 이렇게 하면 네트워크 상에서 새로운 기기의 위치를 파악하고 기기의 종류에 대한 구체적 정보도 얻을 수 있다”라고 덧붙였다.

클라우드 액세스 보안 업체 스카이하이 네트웍스(Skyhigh Networks)의 CEO 라지브 굽타도 유사한 조언을 남겼다. 그는 “최근 방화벽, 프록시, SIEMS 및 MDM 제품의 로그 데이터 처리를 통해 IT 부서의 감시망 밖에서 클라우드 서비스를 사용한 적이 있는지 알아볼 수 있다. 또, 이 데이터를 통해 누가 어떤 서비스를 얼마나 자주 이용하고 있는지, 그리고 얼마만큼의 데이터를 업로드 및 다운로드 하는지 등을 알 수도 있다”라고 설명했다.

2. 리스크에 우선순위를 매겨라
굽타는 “단순히 IT 통제범위 밖에 있다고 해서 그 소프트웨어나 서비스가 나쁜 것은 아니다. 기업 목표와 포괄적 클라우드 서비스 레지스트리를 통해 가장 리스크가 높은 서비스를 선정하고 그 문제부터 해결해야 한다”라고 강조했다.

그에 따르면 기존 인프라스트럭처(방화벽, 프록시, MDM 솔루션 등)를 이용하거나 사용자를 파악해 서비스 이용 중단을 권장하는 등의 방법을 통해 이들 고위험군 서비스로부터의 접근를 방지할 수 있다.

3. BYOD 및 앱/클라우드 서비스 관련 가이드라인을 세워라
“다양한 비즈니스 부문의 니즈를 충족하기 위해 기존의 소프트웨어 외에도 IT 부서의 승인을 받은 안전한 소프트웨어/애플리케이션 목록을 작성해 다른 부서들과 공유하는 것도 한 방법이다”라고 IT 모니터링 및 관리 솔루션 공급업체 제노스(Zenoss)의 CMO 크리스 스미스는 조언했다.

그는 “이런 노력을 통해 각 비즈니스 부처에서 구매 결정을 내릴 때 기기의 호환성 문제나 보안 관련 문제에 대해 안심할 수 있게 된다. 더불어 IT 부서에서는 비즈니스 부서들에서 적극적으로 사용하는 새로운 애플리케이션을 빠르게 승인 및 불허할 수 있는 프로세스를 확립하는 것이 좋다”라고 설명했다.

미국, 캐나다 및 CPG BT 글로벌 서비스(BT Globla Services)의 최고 아키텍트(chief architect) 제이슨 쿡도 가이드라인의 중요성을 강조했다.

그는 “BT에서는 BYOD 전략의 구체적 사항을 전 직원들과 공유해 어떤 측면에서 지원을 제공할 수 있고 어떤 분야가 비즈니스 리스크가 큰 지 등을 투명하게 밝히자고 제안했다”라며, 이를 통해 직원들도 어떤 것이 승인을 받았고 승인되지 않은 앱 및 기기 사용의 리스크를 줄일 수 있는 방법은 무엇인지, 보안 리스크는 어느 정도인지 등을 확실히 알 수 있다고 덧붙였다.

4. 대안을 제시하라
화이트는 “오늘날 직원들은 자신의 데이터를 어디에서건, 어떤 기기를 통해서건 검색, 열람, 이용하고 싶어한다. 이런 상황에서 만일 기업이 기업 데이터에 대한 원격 접속을 지원할 안전한 솔루션을 제시하지 못한다면, 직원들은 독자적인 대안을 모색할 것이다. 직원들을 유혹하는 소비자 상품은 효율적 정보 관리를 가능케 하긴 하지만, 기업의 보안 전략에는 위협이 될 수 있다”고 말했다.

화이트는 이어 “IT의 전방위적, 안정적 통제가 가능한 솔루션을 모색해 직원들에게 제시함으로써 기업의 통제권에서 벗어난 외부 상품들이 가져올 수 있는 위협을 경감시킬 수 있다”라고 덧붙였다.

EMC 싱크플리시티(EMC Syncplicity)의 총괄 매니저 지투 파텔은 “직원들이 이미 iOS, 안드로이드 기반 기기를 통해 원격으로 업무 콘텐트에 액세스하고 있다. 이제 기존의 모바일 관리 플랫폼과의 호환이 가능한, 또는 기기 분실 혹은 도난 상황에서 데이터를 보호할 보안 및 정책 관리를 제공하는 대안적 사용자 모바일 정책을 세우는 것은 거스를 수 없는 대세”라고 진단했다.

모바일 기기 소프트웨어 업체 픽스모(Fixmo)의 최고 마케팅 및 제품 책임자(CMPO, Chief Marketing and Product Officer) 타일러 레사드는 “BYOD를 무시해선 안 된다. 오히려 직원들이 보다 안전하게 개인 기기를 활용할 환경과 솔루션을 한 발 먼저 제시해주는 것이 그들이 나아가야 할 올바른 방향이라 할 수 있다”라고 강조했다.

레사드는 “기업이 이 과정을 소홀히 한다면, 이미 모바일 환경에 적응한 사용자들은 자체적으로 정책을 우회해 기업 데이터에 접근할 방법을 찾아낼 것이다. 그리고 이는 기업에게 적지 않은 위협으로 작용할 것이다. 직원들이 우회로를 찾아 나서기 전에 (셰도우 IT에 대응할) 선행적이고 전략적인 방안을 모색하고 직원들이 안전하게 BYOD 환경을 누릴 적절한 방법론을 제시해야 한다”라고 강조했다.

5. 서드파티 앱 액세스를 제한하라
“드롭박스나 셰어포인트, 스카이 드라이브 등의 애플리케이션 액세스를 제한해야 한다. 대부분 기업 IT 정책에서는 이미 개인 사용자의 애플리케이션 선택권을 제한하고 있다. 더불어 이들 어플리케이션을 허용하지 않음을 회사 IT 정책에 분명히 밝히고 직원들에게도 충분한 교육을 통해 이 점을 숙지시켜야 한다”고 아키타 IT 서비스(Akita IT Services)의 상무 이사 크리스토프 부데트는 조언했다.

그는 이어 “그렇다고 무조건 액세스를 차단만 하는 것이 최선은 아니다. 경우에 따라서는 사용자를 파악하고 애플리케이션 이용의 리스크를 이해시킨 후 비슷한 기능에 리스크는 낮은 애플리케이션으로 옮겨가도록 유도하는 것이 더 효과적일 수 있다. 사람들은 이유 없이 특정 사이트나 서비스에의 액세스가 차단되었다고 느끼면 어떻게든 그 사이트에 접속할 방법을 찾아내곤 하기 때문이다”라고 주장했다.

6. 셰도우 IT에 ‘사면권’을 주자
“셰도우 IT의 위험 요소를 파악할 때 두 가지 선택권이 있다. 첫 번째는 IT 부서에서 스카이프나 박스, 드롭박스 등 셰도우 IT에 속하는 써드파티 클라우드 솔루션을 오가는 트래픽을 파악하는 것이다”라고 이메일 관리, 컴플라이언스 및 아카이브 솔루션 공급 업체엔 마임캐스트(Mimecast)의 메시징, 보안 및 컴플라이언스 책임자 올란도 스캇-코울리는 설명했다.

그는 “하지만 이 방법은 시간이 오래 걸리고 부정확하며 액세스를 완전히 차단하는 것이 불가능하다는 단점이 있다. 어쩌면 셰도우 IT에 ‘사면권’을 부여하는 것이 더 좋은 방법이다. 특별한 처벌 없이 ‘자수하여 광명 찾자’는 전략으로, 직원들이 두려움 없이 써드파티 앱이 왜 필요한지에 대해 자백할 수 있는 기회를 주는 것이다. 그리고 회사 플랫폼에서는 왜 그 앱을 사용할 수 없는지도 함께 설명한다”라고 말했다.

셰도우 IT, 받아들여야 할까? 자문해 봐야 할 4가지
한편 아키타 IT 서비스의 상무이사 크리스토프 부데트는 CIO가 셰도우 IT를 받아들일 지에 대한 결정을 내리기에 앞서 다음의 네 가지를 자문해 보라고 권고한다.

1. 특정 솔루션이 기업에 부적절한 이유가 있는가?

2. 현업 사용자가 문서 공유온라인 서비스/하드웨어 솔루션이 필요하다고 느낀다면, 기업 IT 정책에 포함시킬 수는 없는가?

3. 컴플라이언스를 충족시킬 수 있는 섀도우 IT 선택권이 있는가?

4. 섀도우 IT를 기업 IT 자산과 통합하고 적절한 보안 도구를 배치할 수 있는가? ciokr@idg.co.kr