Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

섀도우IT

"기업 IT에겐 악몽 같은 섀도우 IT" 애플 아이클라우드 프라이빗 릴레이

아이폰과 앱 스토어가 도입되면서 섀도우 IT가 만들어졌다고 주장하는 사람도 있다. 관리자와 개인 사용자가 IT 부서를 통하지 않고, 개인적으로 비즈니스 소프트웨어와 서비스를 활용할 수 있게 되었기 때문이다. 기업 네트워크와 연결되지 않는 기기를 소싱하면서 이제 섀도우 IT가 구축된 것을 모르는 IT 부서도 생길 수 있다. 몇 년 뒤에 애플은 IT 부서가 조직의 장치를 일정 수준 통제∙관리할 수 있는 MDM 플랫폼을 제공하기 시작했다. 그러나 효과를 높이려면 비즈니스 부문 관리자나 개인 사용자의 협력이 필요했다. 사용자는 얼마든지 선택에 따라 MDM에 등록되지 않은 기기를 사용할 수 있기 때문이다. MDM 도입 10년 후, 애플은 다시 한번 아이클라우드 프라이빗 릴레이(iCloud Private Relay)라는 형태로 다시 한번 악몽 같은 섀도우 IT를 만들어내려고 한다.     아이클라우드 프라이빗 릴레이란? 아이클라우드 프라이빗 릴레이는 (현재 베타 버전인)iOS 15에서 등장한 새 프라이버시 기능이다. 아이클라우드플러스(iCloud+)라는 이름으로 아이클라우드 유료 계정 사용자에게 제공되는데, 전반적으로 품질이 좋은 일반용 프라이버시 보호 시스템이다. 프라이빗 릴레이를 활성화하면 DNS 쿼리 등 지원되는 모든 트래픽을 암호화한다(현재는 사파리 트랙픽을 지원하지만 더 확대될 예정). 그 후 애플 인그레스(ingress) 서버로 보낸다. 인그레스 서버는 사용자 정보를 지우고 서드파티 콘텐츠 공급자가 관리하는 이그레스(Egress) 서버로 요청을 보낸다. 이그레스 서버는 사용자나 정치에 대한 정보를 볼 수 없고, 오직 인그레스 서버가 보낸 요청만 볼 수 있다. 이그레스 서버는 인그레스 서버 정보를 없앤 후 대상으로 요청을 전달한다. 대상 서버는 사용자나 인그레스 서버에 대한 정보를 받지 않고, 이그레스 서버가 전달한 요청만 볼 수 있다. 대상 서버는 이그레스 서버에 응답하고, 이그레스 서버는 그것이 마치 원래 목적지인것처럼 인그레스 ...

섀도우IT 아이클라우드플러스 아이클라우드프라이빗릴레이 2021.11.01

숨어있는 IoT에 대응하는 5가지 기본 프랙티스

순진한 부서에서 구매한 수백 대의 냉장고가 네트워크에 연결되어 있는 병원을 생각해 보자. 이들 냉장고는 와이파이로 연결되어 다른 중요한 정보의 흐름을 방해한다. 와이파이로 전달되는 음성에 의존하는 의사는 더 이상 알림을 받지 못하며, 의료 모니터는 환자를 치료하는 데 필요한 최신 데이터를 보내지 않는다. 섀도우 IoT란 바로 이런 것이다. IoT 디바이스가 기업 환경으로 점점 확산되는 시점, 각 조직은 IT 부서가 이들 자원을 제대로 관리하고 보호하는지 확인해야 한다.   한때는 섀도우 IT가 대부분 기업의 골칫거리였다. 섀도우 IT는 IT 부서의 통제를 받지 않으면서 수많은 보안 문제를 유발했다. 하지만 기업 내에서 스마트폰의 사용이 증가하면서 기업의 대응 방식이 바뀌었다. 지금은 기업이 생산성을 얼마나 지원할 수 있는지, 다시 말해 혁신을 안전하게 사용하고 있는지를 나타내는 지표로 간주된다. 전통적인 IT 전술 지침서로 돌아가 새로운 기술에 무조건 반대하는 것이 더 쉬울 수도 있다. 실제로 1990년대 후반 와이파이와 10년 전의 아이폰은 이런 대접을 받았다. 하지만 새로운 IoT 디바이스는 실질적인 비즈니스 이점의 원천이 될 수도 있다. 네트워크로 연결된 냉장고 역시 제약산업 같은 분야에서 영업과 생산성을 높이는 성과를 보이기 전까지는 터무니없는 것으로 여겨질 수 있다. IP 카메라는 실시간 동영상을 조정실에 제공해 응급 상황에서 초기 대응 인력을 배치하고 현재 상황에 대한 충분한 정보를 제공할 수 있다. 디지털 미디어 플레이어는 유통 매장에서 소비자에게 관련 콘텐츠를 보여주는 것으로 몰입감 있는 경험을 전달할 수 있다.   이런 시나리오는 오늘날 사용되고 있는 실질적인 사례 중 일부에 불과하다. 따라서 IT 부서가 이런 IoT 디바이스에 압도되는 것은 시간 문제이다. 해결책은 올바른 빌딩 블록을 개발해 기업이 섀도우 IoT도 조건에 따라 “예스”라고 답할 수 있도록 만드는 것이다. 섀도우 IoT를 다루는 다섯 가지 지침을 소개한...

IoT 섀도우IT PKI 2021.08.24

글로벌 칼럼 | 최근 섀도우 IT 관련 사고에서 CISO가 알아야 할 교훈

직원이 승인되지 않은 애플리케이션과 서비스를 사용한 결과, 대대적인 데이터 손실과 유출이 발생했다. 섀도우 IT에 대처하려면 CISO는 먼저 섀도우 IT가 존재하는 이유부터 알아야 한다.   CISO 앞에서 '섀도우 IT(shadow IT)'라는 말을 꺼내면 얼굴을 찡그리는 경우가 많다. 최근 필자는 직장을 다니면서 대부분의 시간을 사무실보다 집에서 훨씬 더 다양한 기능의 가정용 IT 기능을 다루면서 보낸 만큼 그 느낌을 잘 안다. 고립된 시스템 내에서 작업한다는 것은 사용자가 워크스테이션에서 고급 기술에 직접 접근하지 않는다는 것을 의미한다. 일반 기업에서 고립된 환경은 현실성이 없는 이야기다. 기업이 안고 있는 과제는 직원들이 기업의 관리 역량을 훨씬 넘어서는 기능을 갖춘 기술과 애플리케이션을 사용한다는 점이다. 섀도우 IT에 대처하기가 쉬운지 어려운지를 물으면 대부분은 극히 어렵다고 대답한다.  섀도우 IT란 무엇인가? 섀도우 IT를 접해본 적이 없는 CISO라면 정말 운이 좋거나 있어도 모르는 상태일 것이다. CISO와 정보보안 팀은 인력이 효과적으로 업무를 수행하는 데 필요한 도구를 제공하기 위해 프로세스와 절차, 애플리케이션, 인프라를 구축한다. 섀도우 IT는 두 가지 상황에서 발생한다. 개별 사용자가 제공된 생태계를 벗어나 다른 방법을 사용해 작업을 수행하는 악의없는 시나리오가 있고, 사용자가 범죄 목적으로 제공된 생태계를 우회해 데이터를 옮기거나 취하는 악의적인 시나리오가 있다. 섀도우 IT, 사용자/경영진/정보보안 팀 누구의 책임인가? 정보보안 팀과 경영진은 그 책임의 대부분이 자신에게 있음을 인식해야 한다. 나머지 일부 책임은 회사에서 제공한 생태계를 벗어나기로 선택한 개인 및 내부/외부 팀에 있다. 필자는 최근 코드42(Code42) CEO 조 페인과 이야기를 나눴는데, 페인은 정보보안 팀이 데이터를 보호하고 데이터가 생태계 내에 있도록 해야 하지만 그럴수록 직원들이 업무를 수행하기가 더 어렵게 된다는 모순에 ...

섀도우IT 2021.08.17

코로나19 환경에서 섀도우IT와의 전투, 신뢰를 이용하라

직원이 비즈니스 문제를 해결하기 위해 때때로 제멋대로 노력하는 비승인 섀도우IT(Shadow IT)는 최상의 시기에도 기업에게 도전과제를 가져다줄 수 있다.  코로나19 위기가 여전히 이어지는 현재 상황은 기업에 최상의 시기는 아니다. 대부분의 직원과 경영진이 여전히 재택근무를 하고 있는 상황에서, 관리자와 IT 전문가에게 중요한 문제는 현 상황에서 어떻게 일을 처리할 것인가에 집중되어 있다. 모든 주요 플랫폼에는 IT팀이 사용할 수 있는 제어장치가 있는데, 일부는 망치처럼 둔탁하고 일부는 외과 수술적인 정밀도를 제공한다. 이 중심에는 2가지 일반적인 논제가 있다. 'IT가 얼마나 제한해야 하는가'와 '비즈니스 보안을 강화하면서도 직원에게 위험 영역을 완벽하게 소통할 수 있는 방법이 있는가'다. 사람이 어디서 일하든 간에 기업의 IT와 비즈니스가 성공적으로 이뤄지려면 의사소통이 중요하다. 그래서 필자는 일반적인 해결 방법으로 제시하는 모든 플랫폼에서 이용 가능한 다양한 EMM(Enterprise Mobility Management)과 UEM(Unified Endpoint Management) 기능을 설명하지는 않을 것이다. 대신, 필자는 성공의 열쇠인 비판적 신뢰 관계를 구축하는 데 초점을 맞추려고 한다. IT가 덜 가혹하게 보이려는 것도 아니다.  모바일 관리의 시대가 왔다 얼마 전까지만 해도, 엔터프라이즈 모빌리티는 여행에 그닥 필요하지 않은 것처럼 느껴졌지만 어쨌든 여행 가방에는 넣어두긴 해야 했다. 이는 그 자체로 구분되어, 중요하지만 잘 이해되지 않는 IT 인프라였다. 사용 가능한 도구와 API가 제품 전반에 걸쳐 제대로 제어할 수 있게 되면서 이런 인식이 바뀌기 시작했다. 제어 장치는 안드로이드폰에서 아이패드, PC에 이르는 모든 모바일 기기에서 동일한 방식으로 많은 기능을 제한한다. 이것이 가능해지고 상대적으로 구현하기 쉽다는 사실은 이 분야가 얼마나 성숙했는지를 보여준다. 10년 전, 애플이 모바일 관리의 첫 기반을...

코로나19 BYOD 섀도우IT 2020.05.26

코로나 시대의 섀도우 IT란? “IT 부서에게는 기회”

IT 부서가 직장에서 이용되는 기술의 조달, 라이선스, 구성, 관리를 모두 책임졌던 20년 전을 되돌아보자. 그 시대에는 승인한 앱과 기능만 사용할 수 있도록 PC를 제한해 안전하게 유지했고, 액티브 디렉토리 그룹 정책으로 PC를 세부 관리했다. PC에서는 IT 부서가 제공하고 관리하는 소프트웨어만 이용할 수 있었다. 웹을 이용할 때 액세스할 수 없는 장소도 많았다. 소셜 미디어 외에도 사용자는 직장에서 사용하는 PC에서 개인 이메일 계정 등 개인 데이터에 액세스할 수 없었다.  애플리케이션이나 하드웨어를 추가할 수 있는지 여부를 물을 때, IT 부서는 ‘노(No)’라는 말만 하는 부서로 간주되는 경우가 많았다. 무언가 설치해야 하는 경우, 통상 IT 직원이 직원 개인이 일하는 자리로 왔고, 설치가 진행되는 동안은 PC를 사용하지 못하고 기다려야 했다. 알림이나 설명 없이 밤중에 자동으로 무언가가 설치되기도 했다. 애플리케이션과 콘텐츠, 웹 액세스에 대한 통제력이 없는 대다수 직원은 무언가를 망치고 싶어도 그럴 능력이 없었고, 이런 시도를 하는 사람도 거의 없었다.    그러다가 아이폰이 기업 컴퓨팅의 규칙을 다시 쓰기 시작했다. 직원은 자신의 업무에 도움을 주는 앱이나 클라우드 서비스를 스스로 찾기 시작했고, IT 부서에 문의하지 않고 이들 앱을 모바일 기기에 설치했다. 이 시점부터 IT 부서는 개인 모바일 기기의 기업 와이파이 액세스를 차단하는 것 외에는 할 수 있는 일이 많지 않았다. 그러나 모바일 기기에 연결성 기술이 탑재되어 있기 때문에 큰 효과는 없었다. 동시에 직장과 집에서 클라우드 서비스의 영향력이 강화되었다. 개인 기기는 클라우드 서비스를 무료로 자유롭게 이용할 수 있었다. 이런 서비스는 임시로 만들어진 팀이나 전체 부서, 부문이 구입할 수도 있었다.  이것이 임직원이 업무에 개인 도구들을 사용하는 ‘섀도우 IT’ 현상이다.  그러면서 IT 부서는 마치 유틸리티처럼 변하기 시작했다. 현상...

섀도우IT 2020.05.15

아이클라우드 폴더 공유 서비스와 기업 섀도우 IT의 상관 관계

오랜 기다림 끝에 애플이 아이클라우드 폴더 공유(iCloud Folder Sharing)가 맥과 iOS 플랫폼에서 출시를 앞두고 있다. 협업에 아주 유용해 보이는 이 새 기능이 과연 안전도 보장할까?   아이클라우드 폴더 공유란? 아이클라우드 폴더 공유는 WWDC 2019에서 처음 발표되었지만 출시가 늦어진 기능이다. 현재로서는 여전히 발표가 지연되고 있으며 아주 최근에 와서야 최신 iOS와 맥OS에 개발자 베타가 공개된 상태다. 현재 준비 중이며 빠른 시일 안에 공개된다는 의미이기는 하다. 아마도 말이다. 폴더 공유라는 새 기능은 아이클라우드의 파일 공유와 비슷한데, 다만 공유 파일처럼 폴더 단계에서도 공유 설정을 할 수 있다는 점이 다르다. 사용할 때는 특정 링크가 있는 사람과 폴더를 공유하거나 사전에 구성된 그룹만 접근하도록 설정할 수도 있다. 공유한 폴더의 편집 권한을 줄 수도 있고 열람만 가능하게 할 수도 있다.  아이템이나 폴더 공유 기능이 윈도우용 아이클라우드를 대상으로 한다고 추론하는 것이 합리적이다. 다른 플랫폼의 모바일 기기 지원도 최근 이루어졌다. 아주 약간이지만 말이다. 이론적으로 아이클라우드 폴더 공유는 이제 애플이 프로젝트에 따라 어느 부서가 공유하고 협업할 수 있는 일종의 크로스 플랫폼 도구를 제공한다는 것을 의미한다. 비록 매끄럽거나 기능이 풍부하지 않고, 드롭박스나 박스(Box)처럼 플랫폼을 넘나들어 호환되는 제품이 아닐지라도 말이다.   조직 안에서는 이미 아이클라우드가 사용되고 있다 문제는 이미 조직 내에 수많은 아이폰, 맥 사용자가 있고 이들 중 대다수가 아이클라우드를 사용하고 있다는 점이다. 아이클라우드 폴더 공유 기능이 출시되면 아이클라우드 기존 사용자가 아이클라우드를 더욱 많이 쓸 것이고, 프로젝트에서 협업할 때도 쓰게 될 것이다. 결국 가장 큰 장점은 다른 애플 제품처럼 사용하기 편리하고 쉽다는 점에 있다. 그리고 사용 편의성은 곧 섀도우 IT를 가져오는 가장 큰 이유가 된다. 바로 ...

섀도우IT 아이클라우드폴더공유 2020.02.07

엔터프라이즈 데이터 클라우드로 여는 새로운 세상

데이터는 사용자 개개인의 삶의 방식은 물론, 기업의 경쟁 법칙까지 바꾸고 있다. 또, 데이터는 기업의 생존 전략 중심에 있으며, 데이터를 다루는 역량은 1등 기업과 그 외 다른 브랜드의 격차를 만드는 요인으로 꼽힌다. 그렇다면 데이터를 경쟁력으로 삼기 위해 어떤 도전 과제를 넘어야 할까? 클라우데라 세션에서 ‘엔터프라이즈 데이터 클라우드로 여는 세상’이라는 주제로 기조연설을 맡은 클라우데라 CMO 믹 홀리슨의 세션 내용에서 그 힌트를 찾았다.    세계 최초 5G 상용화 이후의 데이터 급증 믹 홀리슨은 매우 빠른 속도의 변화가 한국에서 일어나고 있다며 엄청난 속도로 쏟아지는 데이터를 서비스와 고객 경험 개선, 비용 절감 등에 활용하는 LG U+와 한국전력의 사례를 소개했다. LG U+가 처리하는 트랜잭션 데이터 양은 무려 40초에 10억 건에 달한다. 빛의 속도로 이동하는 데이터 안에서 인사이트를 끌어내기 위해 LG U+는 임팔라(Impala)와 쿠두(Kudu)로 데이터를 처리하여 고객 만족을 끌어낼 통찰력을 확보했다. 한국전력도 CDF(Cloudera DataFlow)와 머신러닝 기술을 이용한 실시간 데이터 분석을 바탕으로 전력 공급 효율을 높여 1,340만 가구에 더 저렴한 비용으로 전기를 제공하는 데 성공했다.      직선이 아닌 급커브 구간, 어떻게 선회할 것인가? 믹 홀리슨은 가트너 2020에서 CIO 의제로 제시된 의미 깊은 키워드를 청중에게 설명했다. 바로 ‘선회(旋回)’다. 기업에 요구되는 민첩성과 속도는 곧게 뻗은 길이 아니라 구불구불하고 어떤 장애물이 있는지 알 수 없는 코스를 달릴 때 발휘되는 역량이다. 한 치 앞을 알 수 없는 상황 속에서 빠르게 달리는 속도를 유지하면서 유연하게 선회를 할 수 있어야 한다는 것이다. 관련해 클라우데라는 기업이 속도를 잃지 않고 빠르게 급커브 구간을 선회해 나아갈 수 있도록 돕는 역할을 하고 있다고 믹 홀리슨은 강조했다.  &nbs...

데이터웨어하우스 멀티클라우드 섀도우IT 2020.02.03

IDG 블로그 | 엣지 컴퓨팅을 둘러싼 책임 분쟁의 서막

엣지 컴퓨팅이 클라우드에서 중요한 요소가 되었지만, 기업에서 누가 엣지 디바이스를 맡을 것인가를 놓고 싸움이 벌어지기 시작했다. 기업은 엣지 기반 디바이스를 구동하는 것이 어떤 것이지 과소평가하고 있다. 문제 중 하나는 수많은 설치 장소이다. 산업용 로봇 내부에 있는 작은 컴퓨터, 제트기 내의 시스템을 모니터링하는 컴퓨터, 심지어 유통 매장에서 고객의 움직임을 모니터링하는 센서까지 너무나 많은 곳에 엣지 디바이스가 있다.   더구나 엣지 컴퓨팅은 초이기종 환경이다. 즉 엣지 디바이스 대부분이 서로 다르고, 다른 방식으로 관리하고 다른 방식으로 보호하고 다른 방식으로 데이터를 저장해야 한다. 당연히 태생적인 운영체제도 다르다. 엣지 디바이스는 궁극의 복잡성을 가져오고 있다. 관리할 수 없는 것은 아니지만, 어떤 부서의 시간과 돈을 필요로 한다. 이 때문에 문제가 생기는 것이다. 과연 엣지는 누구의 책임인가? 영업팀이나 마케팅, 제조부서가 기업 IT 부서의 통제 밖에서 사용한 섀도우 클라우드나 미승인 클라우드를 생각해보자. 이들 SaaS나 PaaS, IaaS 퍼블릭 클라우드 서비스는 결국에는 기업 IT의 통제 하에 들어왔고, IT 부서는 원래 자신들이 구축하지 않은 시스템을 관리하고 유지하는 임무를 맡았다. 요즘에는 기업 여기저기서 튀어나오는 수백 수천의 엣지 컴퓨팅 시스템이 똑같은 문제를 일으키고 있다. 크든 작든 복잡하든 단순하든 소유부서는 엣지 기반 컴퓨터의 개발과 설치를 적극 지지한다. 각 부서에서 사용하던 섀도우 클라우드의 책임을 IT 부서로 넘기고자 하던 때와 같은 지점에 가까이 가고 있다. 불과 몇 년 전 IT 부서가 퍼블릭 클라우드로의 마이그레이션이란 임무를 맡은 것을 고려하면, 기시감이 들지 않을 수 없다. IT 부서는 비교적 복잡한 이들 시스템을 떠맡을 자원도 의지도 없을지 모른다. 이 때문에 일부 기업에서는 싸움이 서서히 벌어질 것이다. 필자도 이 상황의 딜레마를 이해할 수 있다. 숫자도 많을 뿐만 아니라 관리와 보안, ...

책임 섀도우IT 엣지컴퓨팅 2019.09.18

글로벌 칼럼 | 되돌아보는 6년의 기술 진화와 변화

필자는 6년 전인 2013년 9월 5일, Networkworld에 첫 글을 게재했다. 삼성 갤럭시 기어를 소개하고 스마트워치의 문제에 대해 논한 글이었다. 이후 필자는 망 중립성, 패블릿, 클라우드 컴퓨팅과 빅 데이터, 사물 인터넷(IoT)을 비롯해 어지러울 만큼 다양한 기술 주제에 관해 수백 개의 블로그 글을 썼다. 즐거운 시간이었고, Networkworld 편집자들과 시간을 들여 필자의 글을 읽어준 모든 이들에 대한 감사한 마음은 앞으로도 영원할 것이다. 그러나 좋은 일에도 끝은 오는 법이다. 이 글이 Networkworld에 싣는 마지막 글이다.   필자는 지난 5년 반 동안 기업 관측성(Enterprise Observability) 전문회사인 뉴 렐릭(New Relic)에서 편집장을 지냈고, 이번에 레디스(Redis) 데이터베이스를 개발하는 레디스 랩스(Redis Labs)의 콘텐츠 디렉터를 맡았다. 개인적으로는 이 기회에 무척 설레지만, 한 가지 문제가 있다. 레디스 랩스는 IoT 분야에서 여러 가지 제품을 보유했기 때문에 필자가 쓰는 많은 글에서 첨예한 이해 충돌 문제가 발생할 가능성이 있다는 것이다. 작별의 글로 지난 몇 년 동안, 특히 첫해에 다뤘던 주제 중 몇 가지를 돌아보며 이후 어디까지 왔는지 살펴보고, 앞으로는 또 무엇이 올지에 대해 생각해보려고 한다. 물론 시간과 지면의 제한으로 인해 모든 부분을 다시 돌아볼 수는 없으므로 6가지 중요한 주제를 선정했다.   1. 웨어러블 기술 필자가 삼성 갤럭시 기어에 대해 첫 글을 썼을 당시 웨어러블 기술은 당장 모든 것을 바꿔놓을 듯이 보였다. IT 업체들은 물론 스포츠용품 제조업체와 패션 브랜드, 고급 시계 회사까지 줄줄이 스마트워치와 피트니스 트래커를 내놨다. 구글 글래스가 전세계 사람들에게 겁을 줘 이 범주를 10년 후퇴시키기 전의 일이다. 지금은 상황이 크게 달라졌다. 애플 워치는 피트니스 및 헬스 트래킹 디바이스라는 제한적인 역할로 성공 가도를 달리는 중이고, 더 ...

웨어러블 BYOD 패블릿 2019.09.09

글로벌 칼럼 | 섀도우 IT보다 100배는 무서운 섀도우 IoT

수년 동안 IT 부서는 섀도우 IT와 BYOD의 위험성을 비난했다. 우려되는 점은 이들 승인받지 않은 프랙티스가 기업 시스템에 새로운 취약점을 가져오거나 공격 표면을 넓히는 등의 위험을 초래한다는 것이었다.   이런 IT 부서의 주장이 사실일 수도 있지만, 전부는 아니다. 필자가 오랫동안 주장해 온 것처럼 섀도우가 IT가 위험성을 높이기는 하지만, 비용을 절감하고 업무 생산성을 높이고 혁신을 가속화하는 긍정적인 면도 크다. 최종 사용자가 느리고 보수적인 IT 부서를 피해 더 강력하고 저렴한 일반 소비자 및 클라우드 기반 대안을 열망하는 것도 이 때문이다. 선도적인 IT 부서라면 이런 새로운 접근을 잘 활용해 더 민첩한 방법으로 내부 고객인 사용자에게 서비스를 제공해야 한다는 증거는 차고 넘친다. 지금까지는 그런대로 괜찮다. 하지만 이런 긍정적인 측면이 새로 떠오르는, 그래서 지난 해부터 우려가 커지고 있는 섀도우 IoT라는 프랙티스에는 전혀 적용되지 않는다. 기본적으로 문제가 되는 것은 조직 내의 사람들이 인터넷 연결 디바이스의 IT 부서 모르게 연결하는 것이다. 심지어 IoT 네트워크 전체를 연결하기도 한다. 이들 침입자는 섀도우 IT와 마찬가지의 속도와 유연성을 찾는다. 하지만 훨씬 더 적은 보상으로 훨씬 더 큰 위험을 가져온다. 섀도우 IoT는 섀도우 IT를 또 다른 수준으로 끌어올린다. 완전히 새로운 네트워크와 기술이 추가되는 것은 물론, 새로운 종류의 디바이스와 사용례, 너무나 많은 디바이스가 연결되기 때문이다.  802 시큐어(802 Secure Inc)의 2018년 보고서에 따르면, “IoT는 새로운 운영체제와 프로토콜, 무선주파수를 가져온다. 레거시 보안 기술에 의존하는 기업은 이런 걷잡을 수 없는 IoT 위협에 까막눈이다. 기업은 이런 악당 IoT 디바이스를 식별해 내기 위해 기존의 시야를 이런 보이지 않는 디바이스와 네트워크까지 넓혀야 하며, 섀도우 IoT 네트워크에 대한 가시성을 확보하고 드론이나 스파이 카메라 같...

섀도우IT 섀도우IoT 2019.08.23

"섀도우 IT를 지워라" 아이클라우드가 기업 솔루션으로 급부상하는 이유

미국의 스마트폰 보유율은 2011년 이후 2배 증가했다. 현재 직장인의 95%가 업무에 모바일 장치를 사용하고,  스마트폰에서 앱을 사용할 때처럼 쉽게 사용할 수 있는 기업용 시스템을 요구하고 있다. 만약 쉽게 사용할 수 없는 시스템이라면 사용을 중단해버리고 말 것이다.   엔터프라이즈 시장에 진입한 아이클라우드 기업에서의 iOS 사용이 증가하는 추세다. 아이폰과 iOS, 아이클라우드는 긴밀히 통합되어 있으며 애플 온라인 장치와 데이터 백업 서비스를 활용할 기회를 제공한다. 스파이스웍스에 따르면, 2019년 엔터프라이즈 소프트웨어에 투입되는 예산 가운데 7%가 백업 및 복구에 사용될 예정이다. FAO 슈워츠(FAO Schwarz)는 최근 조직 전체에 애플 솔루션을 도입했다. 세계 최대 베어링 및 실즈 생산 업체인 SKF도 제조 공정에 iOS와 SAP를 도입한 결과 생산 오류를 ‘0’수준으로 줄였다. 존스 홉킨스 메디슨(Hopkins Medicine), 메사추세츠 종합 병원(Massachusetts General Hospital), 스탠포드 헬스케어(Stanford Health Care), 세인트 주드 아동 병원(St. Jude Children’s Research Hospital) 모두 iOS를 배포하고 있다. 이그나이트(Egynte)는 실제 활용 측면에서 가장 많이 사용되는 10대 모바일 솔루션은 모두 다양한 아이패드와 아이폰 모델이라고 주장한다. 애플 서비스는 섀도우 IT를 줄이려는 기업에서 유용하게 활용될 수 있다. 사용과 접근이 더 쉽다면, 누구나 허가 받은 기업용 솔루션보다 허가 받지 않은 소프트웨어를 사용할 것이다. 그렇다면 직원들이 이미 사용하고 있는 안전한 소프트웨어를 활용할 방법을 찾는 것이 낫지 않을까?   아이클라우드, 얼마나 유용한가 예외가 있기는 하지만, 기업 보안 정책은 일반적으로 퍼블릭 문서 및 데이터 저장소, 공유 서비스 사용을 금지한다. 서버 위치와 데이터 보호, 데이터를 로컬 보관해야 한다는 규정 ...

기업솔루션 드롭박스 아이클라우드 2019.08.22

ITWorld 용어풀이 | 섀도우 IT

기업의 IT 예산이 조직 단위로 넘어가고 단기 성과에 따라 이합집산하는 프로젝트 부서가 늘어나면서 기업 내·외부에서의 데이터 저장과 공유 방식도 열거하기 어려울 정도로 다양해졌습니다. 특히 클라우드 컴퓨팅 기술이 발전하고 SaaS 애플리케이션의 영향력이 커지면서 드롭박스, 에버노트 등의 클라우드 기반 오피스 제품과 팀 내 협업 도구를 활용하는 경우가 많습니다. 그러나 이 중 대다수는 기업 IT 부서가 직접 개발하거나 관리하는 공식 서비스가 아닙니다. 직원들이 IT 부서에서 승인하지 않은 클라우드 애플리케이션이나 서비스를 구입하고, 이를IT 관리 부서나 책임자가 파악하지 못하는 현상을 가리켜 섀도우 IT(Shadow IT)라고 합니다. ZK 리서치는 2016년 보고서에서 96%의 기업이 IT 부서의 승인을 받지 않은 클라우드 애플리케이션을 사용한다고 발표했습니다. 또, 가트너의 조사 결과에 따르면 지난 2000년에는 CIO가 인지하는 IT 비용이 90%에 달했지만, 2020년에는 이 비율이 역전돼 기업 최고 관리자가 제어하지 못하는 IT 비용이 80%로 대폭 늘어난다고 합니다. 이렇게 섀도우 IT 현상이 만연한 데에는 여러 가지 이유가 있습니다. 우선 각 부서 실무자들이 중앙 IT 부서를 통하지 않고도 직접 컴퓨팅 자원과 서비스를 간편하게 사용할 수 있게 된 환경 변화가 큰 요인입니다. 또, 기업의 공식 앱이나 프로세스가 느리고 비효율적이며 원하는 기능을 제공하지 않기 때문이기도 합니다. 그냥 익숙하다는 이유로 개인적으로 애용하던 유명 앱을 선택하거나, 기업의 공식 SaaS 정책을 잘 모르는 직원도 많습니다. 그러나 섀도우 IT는 그 자체로 기업의 비용으로 작용합니다. 우선 정식 관리자가 아닌 직원들이 데이터를 다루고 재확인할 때 낭비되는 시간이 큽니다. 클라우드 문서가 수정되고 복사될 때, 관련 데이터가 제때 업데이트되지 않을 때도 데이터 일관성이 손상되고 오류가 일어날 수 있습니다. 섀도우 IT 자원이 기존 공식 인프라와 중복된 ...

Saas 협업 용어풀이 2017.06.15

CEO의 위험한 행동이 보안을 침해한다…코드42

비즈니스 의사결정권자가 보안 통제를 우회하려할 때, 그들은 일반적으로 조직을 위험에 빠뜨리지 않고 운영 효율성을 얻으려고 한다. 그러나 좋은 의도임에도 위험을 야기할 수 있다. 코드42(Code42)의 최근 연구에 따르면, CEO는 위험하다는 것을 알고 있음에도 불구하고 섀도우 IT의 최대 사용자임이 드러났다. 연구 결과에 따르면, CEO(75%)와 비즈니스 의사 결정권자(52%)의 절반 이상이 IT 부서에서 승인하지 않은 애플리케이션이나 프로그램을 사용하고 있음을 응답했다. 코드42 부사장이자 CSO인 릭 올로프는 "이것이 '견물생심'의 예라고 볼 수 있다"며, "그들은 단지 자신의 방식대로 일하고 싶을 뿐이다. 이렇게 행동이 가능한 것은 그들의 최고 보안 책임자가 그 조직내에서 충분히 높지 않다는 것을 의미한다"고 말했다. 올로프는 "최고 보안 책임자가 CEO나 COO에게 그들이 부적절한 도구를 사용함으로써 일어나는 상황에 대해 좀더 잘 이해시키거나 보안 의사 결정권자가 고위경영진에게 보고한다면 쉽게 피할 수 있는 문제"라고 말했다. 물론 고위 경영진만이 보안을 무시하는 행동을 하는 것은 아니다. 어떤 경우는 보안 전문가 스스로가 위험을 초래하는 경우도 있었다. 그들이 도구를 다운로드하면 도구에 있는 모든 종류의 위험 또한 따라온다. 예를 들면, 기업에서 비밀번호 난이도를 테스트하기 위해 비밀번호 크래킹 툴을 다운로드한 화이트햇 해커가 그 예다. 올로프는 "비밀번호 크래킹은 컴플라이언스 문제가 발생한다"며, "해킹 위험이 있는 작업을 수행할 때에는 매우 신중하게 생각해야 한다"고 덧붙였다. 예를 들어, 조직에서 암호의 난이도를 테스트하기 위해 암호 해독 도구를 다운로드 한 백 모자 해커가 그 예입니다. 올 로프는 "패스워드를 크래킹하면 규정 준수 문제가 발생한다"면서 "위험을 무릅 쓰지 않고이를 ...

CEO CSO 보안 2017.06.12

온프레미스부터 클라우드까지 모든 플랫폼에서 데이터를 보호하는 방법

 클라우드 서비스를 채택하면, 필연적으로 직접적인 통제에서 벗어나는 데이터가 생깁니다. 이제 비즈니스 프로세스 중 일부를 클라우드로 이전하는 것은 가능성이 아니라 시기의 문제가 되었습니다. 어떻게 하면 클라우드 컴퓨팅이 제공하는 모든 이점을 받아들이는 동시에 정보를 안전하게 유지할 수 있을까요? 엔터프라이즈가 프라이빗 클라우드와 가상화를 사용하고 있다 하더라도, 사용자의 데이터는 외부 서비스 공급업체가 소유하고 운영하는 인프라에 물리적으로 존재하게 됩니다. 통제권이 인프라와 컴퓨팅 자원을 소유, 운영, 그리고 관리하는 서드파티로 이관되면, 보안 전문가의 의무는 데이터의 안전을 유지하기 위해 조치를 취하는 것입니다. 즉, 조사와 실사를 하고, 위험에 대한 한계점을 알아내며, 모든 권한을 포기하지 않는 것으로 요약할 수 있습니다. 질문하고, 감사를 실시하십시오 시스템 엑스퍼트의 선임 컨설턴트인 폴 힐은 온프레미스 데이터센터 또는 클라우드의 활용 여부에 관계없이 회사의 데이터를 안전하게 유지할 수 있는 한 가지 방안이나 기법은 존재하지 않는다고 강조했습니다. “클라우드를 사용할 때, 조직은 어떤 책임이 클라우드 공급업체에 아웃소싱되고 어떤 책임이 조직의 몫인지를 알고 있어야만 합니다”고 덧붙였습니다. CSP(Cloud Service Provider: 클라우드 서비스 공급업체)를 평가할 때는 무엇보다 먼저, 자격부터 확인해야 합니다. 공급업체의 신뢰와 명성은 어떤 수준입니까? 공급업체는 소중한 데이터와 개인 정보를 어떻게 보호할 계획입니까? BT 클라우드 컴퓨트의 영업 전문가인 토마스 호건은 “이런 사항을 확인하고 CSP에 어떻게 특정 내부 위협을 규명하고 저지하는지, 또 보안 침해는 어떻게 처리하고 위협을 어떻게 해소하는지 등 보안 운영 통제에 대해 설명하도록 하는 것이 중요합니다”라고 조언하고 있습니다. 덧붙여, 조직은 클라우드에서 보안 인증서를 통제하고 누가 어떤 정보에 대한 액세스...

보안인증 클라우드 CSP 2017.05.31

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.