2021.08.17

글로벌 칼럼 | 최근 섀도우 IT 관련 사고에서 CISO가 알아야 할 교훈

Christopher Burgess | CSO
직원이 승인되지 않은 애플리케이션과 서비스를 사용한 결과, 대대적인 데이터 손실과 유출이 발생했다. 섀도우 IT에 대처하려면 CISO는 먼저 섀도우 IT가 존재하는 이유부터 알아야 한다.
 
ⓒ Getty Images Bank

CISO 앞에서 '섀도우 IT(shadow IT)'라는 말을 꺼내면 얼굴을 찡그리는 경우가 많다. 최근 필자는 직장을 다니면서 대부분의 시간을 사무실보다 집에서 훨씬 더 다양한 기능의 가정용 IT 기능을 다루면서 보낸 만큼 그 느낌을 잘 안다.

고립된 시스템 내에서 작업한다는 것은 사용자가 워크스테이션에서 고급 기술에 직접 접근하지 않는다는 것을 의미한다. 일반 기업에서 고립된 환경은 현실성이 없는 이야기다. 기업이 안고 있는 과제는 직원들이 기업의 관리 역량을 훨씬 넘어서는 기능을 갖춘 기술과 애플리케이션을 사용한다는 점이다.

섀도우 IT에 대처하기가 쉬운지 어려운지를 물으면 대부분은 극히 어렵다고 대답한다. 


섀도우 IT란 무엇인가?

섀도우 IT를 접해본 적이 없는 CISO라면 정말 운이 좋거나 있어도 모르는 상태일 것이다. CISO와 정보보안 팀은 인력이 효과적으로 업무를 수행하는 데 필요한 도구를 제공하기 위해 프로세스와 절차, 애플리케이션, 인프라를 구축한다.

섀도우 IT는 두 가지 상황에서 발생한다. 개별 사용자가 제공된 생태계를 벗어나 다른 방법을 사용해 작업을 수행하는 악의없는 시나리오가 있고, 사용자가 범죄 목적으로 제공된 생태계를 우회해 데이터를 옮기거나 취하는 악의적인 시나리오가 있다.


섀도우 IT, 사용자/경영진/정보보안 팀 누구의 책임인가?

정보보안 팀과 경영진은 그 책임의 대부분이 자신에게 있음을 인식해야 한다. 나머지 일부 책임은 회사에서 제공한 생태계를 벗어나기로 선택한 개인 및 내부/외부 팀에 있다. 필자는 최근 코드42(Code42) CEO 조 페인과 이야기를 나눴는데, 페인은 정보보안 팀이 데이터를 보호하고 데이터가 생태계 내에 있도록 해야 하지만 그럴수록 직원들이 업무를 수행하기가 더 어렵게 된다는 모순에 대해 언급했다. 데이터를 보호하는 데 사용되는 도구는 작업의 자연스러운 흐름을 느리게 한다.

페인은 직원과 그들의 행동을 언덕을 따라 아래로 흐르는 물에 비유했다. 흐름을 막으려 해도 업무 마감 시간에 맞춰야 하는 직원들은 길을 찾는다는 것이다. 페인은 데이터 이동이 발생하면 안 되는 곳에서의 데이터 이동을 모니터링한 다음 그 의도를 파악해야 한다고 말했다.


섀도우 IT, '나쁘거나, 모르거나, 의도적이거나' 

코로나바이러스로 인해 작업 환경이 급격히 바뀐 지금, 사용자와 기업은 정상 상태를 유지하고 인력을 안전하게 지키기 위해 변화를 겪을 수밖에 없었다. BYOD(Bring Your Own Device)에 관한 논의는 예전부터 있었지만, 특히 비즈니스 정보를 개인 정보와 혼합할 수 있는 기회가 있는 지금은 그 논의가 훨씬 더 중요해졌다. 지속적인 위험은 후설할 예시와 같이 직원 기기의 개인용 앱이 기기를 침해하고, 다시 네트워크 연결을 통해 회사를 침해할 수 있다는 점이다.

직원이 작업 환경에 접근하도록 하는 것은 까다로운 일이다. DTEX 시스템즈(DTEX Systems)의 보안 분석가이며 내부자 위협 전문가인 린지 울프가 공유한 한 사례에서는 엔지니어들이 팀뷰어(TeamViewr)라는 원격 지원 도구를 사용했다. 이 도구는 '상시' 접근을 허용하도록 구성됐다. 조사 결과 악의적인 의도는 없었고 코로나 격리 기간 동안 엔지니어들이 집에서 원격 접근을 위한 수단으로 사용한 것이었다. 그러나 설치가 불필요한 이런 도구를 탐지하고 제거하는 작업이 철저히 이뤄지지 않는 경우가 많고, 이는 플로리다 주 상수도 시설 해킹 사건과 같은 대규모 침해 사건으로 이어질 수 있다.

섀도우 IT 기능을 악의적으로 사용한 사례로 최근의 코카콜라 영업비밀 도난 사건이 있다. 한 엔지니어가 지적 재산을 훔치기 위해 흔한 상용 클라우드 서비스 가운데 하나인 구글 드라이브를 사용했다.

미네르바 랩스(Minerva Labs)의 CEO인 에디 보브리츠키가 제공한 예시에서 볼 수 있듯이, 최종적인 결과가 악의적이라 해도 모든 사례가 절도인 것은 아니다. 보브리츠키가 공유한 사례에서는 인프라 조직 소속 엔지니어가 업무 수행을 위해 한 애플리케이션을 다운로드했다. 해당 직원은 몰랐지만 이 앱에는 악성코드 페이로드가 포함되어 있었다. 물론 악성코드를 제거하는 데 든 비용이 이 무단 애플리케이션의 힘을 빌어 직원이 절약한 시간의 가치보다 훨씬 컸다.

페인은 코드42 내에서 발생한 악의없는 노출 사건을 공유했다. 새로 입사한 직원에게 노트북이 지급됐고 직원은 이 기기를 자신의 기기로 설정하는 등 정상적인 절차를 진행하던 중에 개인 애플 계정에 로그인했다. 직원이 예상치 못한 채 아이클라우드는 아이클라우드의 직원 백업에 연결해 파일을 다운로드하고 새 노트북을 업데이트했다. 아이클라우드 백업 애플리케이션은 이 직원이 이직했다는 사실을 알 길이 없다. 백업된 데이터가 이동되면서 다른 회사의 파일이 직원의 새 기기로 전송됐다. 직원은 이 일이 발생했다는 것조차 인지하지 못했다.

정보보안 팀은 다른 회사 데이터가 다운로드되었음을 탐지하고 조치에 나섰다. 일련의 이벤트를 조사하고 데이터의 원래 주인 회사에 연락해 데이터를 반환하고 조언도 했다. 데이터를 돌려받은 회사는 애플 사용자인 직원들의 기기(개인 데이터와 비즈니스 데이터가 포함됨)가 아이클라우드에 백업될 때 회사 데이터가 백업된다는 사실을 인지하지 못하고 있었다.

누군가 단순히 업무를 수행하려 한 것인지, 나쁜 의도가 있었던 것인지를 구분하기가 어려운 경우도 있다. 사빈트(Saviynt)의 제품 관리 책임자인 크리스 오웬이 공유한 사례가 여기에 해당된다. 한 직원이 민감한 회사 파일을 다른 사람들과 공유하기 위해 드롭박스 또는 원드라이드와 같은 서드파티 스토리지 애플리케이션에 업로드했다. 회사 이메일은 첨부파일 크기에 제한이 있고 민감한 정보를 공유하지도 못하기 때문이다.

페인이 말했듯이 직원은 필요하면 방법을 찾아낸다.


CISO가 섀도우 IT에 대응하는 방법 

기업은 직원들이 제공된 도구와 프로세스로 작업을 수행하려고 할 때 직면하는 장애물을 피하기 위한 '가장 쉬운 방법'으로 섀도우 IT를 선택하지 않도록 할 수 있다. 셀렉트 소프트웨어(Select Software)의 CEO인 필 스트라줄라는 데이터 이동 또는 애플리케이션 설치를 제한하는 규칙이 있는 '이유'가 무엇인지에 대해 대화를 나눌 것을 권장한다. 이 대화에서 '새 소프트웨어 요청의 처리 속도를 높일 수 있는 채널'을 만들어야 한다. 이 열린 대화가 궁극적으로는 직원의 무력감을 줄이고 책임감을 높여주게 된다.

경험으로 보면 직원들은 측정되고 모니터링되는 것에 관심을 갖는다. 페인이 말했듯이, 정보 모니터링 기능을 두고 아이클라우드 사례와 같이 데이터가 승인되지 않은 환경으로 이동되는 경우 회사가 알고 조사한다는 사실을 투명하게 밝히면 승인된 채널 외부로의 데이터 흐름이 최소화된다.

섀도우 IT는 어디에나 있고 앞으로도 사라지지 않을 것이다. CISO의 과제는 직원들이 원하거나 필요로 하는 기능을 도입하면서 섀도우 IT에 대처하고 이들의 의도가 다른 길로 새지 않도록 하는 것이다. editor@itworld.co.kr


2021.08.17

글로벌 칼럼 | 최근 섀도우 IT 관련 사고에서 CISO가 알아야 할 교훈

Christopher Burgess | CSO
직원이 승인되지 않은 애플리케이션과 서비스를 사용한 결과, 대대적인 데이터 손실과 유출이 발생했다. 섀도우 IT에 대처하려면 CISO는 먼저 섀도우 IT가 존재하는 이유부터 알아야 한다.
 
ⓒ Getty Images Bank

CISO 앞에서 '섀도우 IT(shadow IT)'라는 말을 꺼내면 얼굴을 찡그리는 경우가 많다. 최근 필자는 직장을 다니면서 대부분의 시간을 사무실보다 집에서 훨씬 더 다양한 기능의 가정용 IT 기능을 다루면서 보낸 만큼 그 느낌을 잘 안다.

고립된 시스템 내에서 작업한다는 것은 사용자가 워크스테이션에서 고급 기술에 직접 접근하지 않는다는 것을 의미한다. 일반 기업에서 고립된 환경은 현실성이 없는 이야기다. 기업이 안고 있는 과제는 직원들이 기업의 관리 역량을 훨씬 넘어서는 기능을 갖춘 기술과 애플리케이션을 사용한다는 점이다.

섀도우 IT에 대처하기가 쉬운지 어려운지를 물으면 대부분은 극히 어렵다고 대답한다. 


섀도우 IT란 무엇인가?

섀도우 IT를 접해본 적이 없는 CISO라면 정말 운이 좋거나 있어도 모르는 상태일 것이다. CISO와 정보보안 팀은 인력이 효과적으로 업무를 수행하는 데 필요한 도구를 제공하기 위해 프로세스와 절차, 애플리케이션, 인프라를 구축한다.

섀도우 IT는 두 가지 상황에서 발생한다. 개별 사용자가 제공된 생태계를 벗어나 다른 방법을 사용해 작업을 수행하는 악의없는 시나리오가 있고, 사용자가 범죄 목적으로 제공된 생태계를 우회해 데이터를 옮기거나 취하는 악의적인 시나리오가 있다.


섀도우 IT, 사용자/경영진/정보보안 팀 누구의 책임인가?

정보보안 팀과 경영진은 그 책임의 대부분이 자신에게 있음을 인식해야 한다. 나머지 일부 책임은 회사에서 제공한 생태계를 벗어나기로 선택한 개인 및 내부/외부 팀에 있다. 필자는 최근 코드42(Code42) CEO 조 페인과 이야기를 나눴는데, 페인은 정보보안 팀이 데이터를 보호하고 데이터가 생태계 내에 있도록 해야 하지만 그럴수록 직원들이 업무를 수행하기가 더 어렵게 된다는 모순에 대해 언급했다. 데이터를 보호하는 데 사용되는 도구는 작업의 자연스러운 흐름을 느리게 한다.

페인은 직원과 그들의 행동을 언덕을 따라 아래로 흐르는 물에 비유했다. 흐름을 막으려 해도 업무 마감 시간에 맞춰야 하는 직원들은 길을 찾는다는 것이다. 페인은 데이터 이동이 발생하면 안 되는 곳에서의 데이터 이동을 모니터링한 다음 그 의도를 파악해야 한다고 말했다.


섀도우 IT, '나쁘거나, 모르거나, 의도적이거나' 

코로나바이러스로 인해 작업 환경이 급격히 바뀐 지금, 사용자와 기업은 정상 상태를 유지하고 인력을 안전하게 지키기 위해 변화를 겪을 수밖에 없었다. BYOD(Bring Your Own Device)에 관한 논의는 예전부터 있었지만, 특히 비즈니스 정보를 개인 정보와 혼합할 수 있는 기회가 있는 지금은 그 논의가 훨씬 더 중요해졌다. 지속적인 위험은 후설할 예시와 같이 직원 기기의 개인용 앱이 기기를 침해하고, 다시 네트워크 연결을 통해 회사를 침해할 수 있다는 점이다.

직원이 작업 환경에 접근하도록 하는 것은 까다로운 일이다. DTEX 시스템즈(DTEX Systems)의 보안 분석가이며 내부자 위협 전문가인 린지 울프가 공유한 한 사례에서는 엔지니어들이 팀뷰어(TeamViewr)라는 원격 지원 도구를 사용했다. 이 도구는 '상시' 접근을 허용하도록 구성됐다. 조사 결과 악의적인 의도는 없었고 코로나 격리 기간 동안 엔지니어들이 집에서 원격 접근을 위한 수단으로 사용한 것이었다. 그러나 설치가 불필요한 이런 도구를 탐지하고 제거하는 작업이 철저히 이뤄지지 않는 경우가 많고, 이는 플로리다 주 상수도 시설 해킹 사건과 같은 대규모 침해 사건으로 이어질 수 있다.

섀도우 IT 기능을 악의적으로 사용한 사례로 최근의 코카콜라 영업비밀 도난 사건이 있다. 한 엔지니어가 지적 재산을 훔치기 위해 흔한 상용 클라우드 서비스 가운데 하나인 구글 드라이브를 사용했다.

미네르바 랩스(Minerva Labs)의 CEO인 에디 보브리츠키가 제공한 예시에서 볼 수 있듯이, 최종적인 결과가 악의적이라 해도 모든 사례가 절도인 것은 아니다. 보브리츠키가 공유한 사례에서는 인프라 조직 소속 엔지니어가 업무 수행을 위해 한 애플리케이션을 다운로드했다. 해당 직원은 몰랐지만 이 앱에는 악성코드 페이로드가 포함되어 있었다. 물론 악성코드를 제거하는 데 든 비용이 이 무단 애플리케이션의 힘을 빌어 직원이 절약한 시간의 가치보다 훨씬 컸다.

페인은 코드42 내에서 발생한 악의없는 노출 사건을 공유했다. 새로 입사한 직원에게 노트북이 지급됐고 직원은 이 기기를 자신의 기기로 설정하는 등 정상적인 절차를 진행하던 중에 개인 애플 계정에 로그인했다. 직원이 예상치 못한 채 아이클라우드는 아이클라우드의 직원 백업에 연결해 파일을 다운로드하고 새 노트북을 업데이트했다. 아이클라우드 백업 애플리케이션은 이 직원이 이직했다는 사실을 알 길이 없다. 백업된 데이터가 이동되면서 다른 회사의 파일이 직원의 새 기기로 전송됐다. 직원은 이 일이 발생했다는 것조차 인지하지 못했다.

정보보안 팀은 다른 회사 데이터가 다운로드되었음을 탐지하고 조치에 나섰다. 일련의 이벤트를 조사하고 데이터의 원래 주인 회사에 연락해 데이터를 반환하고 조언도 했다. 데이터를 돌려받은 회사는 애플 사용자인 직원들의 기기(개인 데이터와 비즈니스 데이터가 포함됨)가 아이클라우드에 백업될 때 회사 데이터가 백업된다는 사실을 인지하지 못하고 있었다.

누군가 단순히 업무를 수행하려 한 것인지, 나쁜 의도가 있었던 것인지를 구분하기가 어려운 경우도 있다. 사빈트(Saviynt)의 제품 관리 책임자인 크리스 오웬이 공유한 사례가 여기에 해당된다. 한 직원이 민감한 회사 파일을 다른 사람들과 공유하기 위해 드롭박스 또는 원드라이드와 같은 서드파티 스토리지 애플리케이션에 업로드했다. 회사 이메일은 첨부파일 크기에 제한이 있고 민감한 정보를 공유하지도 못하기 때문이다.

페인이 말했듯이 직원은 필요하면 방법을 찾아낸다.


CISO가 섀도우 IT에 대응하는 방법 

기업은 직원들이 제공된 도구와 프로세스로 작업을 수행하려고 할 때 직면하는 장애물을 피하기 위한 '가장 쉬운 방법'으로 섀도우 IT를 선택하지 않도록 할 수 있다. 셀렉트 소프트웨어(Select Software)의 CEO인 필 스트라줄라는 데이터 이동 또는 애플리케이션 설치를 제한하는 규칙이 있는 '이유'가 무엇인지에 대해 대화를 나눌 것을 권장한다. 이 대화에서 '새 소프트웨어 요청의 처리 속도를 높일 수 있는 채널'을 만들어야 한다. 이 열린 대화가 궁극적으로는 직원의 무력감을 줄이고 책임감을 높여주게 된다.

경험으로 보면 직원들은 측정되고 모니터링되는 것에 관심을 갖는다. 페인이 말했듯이, 정보 모니터링 기능을 두고 아이클라우드 사례와 같이 데이터가 승인되지 않은 환경으로 이동되는 경우 회사가 알고 조사한다는 사실을 투명하게 밝히면 승인된 채널 외부로의 데이터 흐름이 최소화된다.

섀도우 IT는 어디에나 있고 앞으로도 사라지지 않을 것이다. CISO의 과제는 직원들이 원하거나 필요로 하는 기능을 도입하면서 섀도우 IT에 대처하고 이들의 의도가 다른 길로 새지 않도록 하는 것이다. editor@itworld.co.kr


X