섀도우IT는 CIO에게 골칫거리다. 섀도우IT를 완전히 없앨 수 없다면, 잠재적으로 유용하고 생산적인 기술로 바꾸는 것은 어떨까? 사용자의 요구를 안정적이고 안전하게 충족시키는 7가지 방법을 소개한다.
섀도우IT를 두려워 말라! 소프트웨어와 서비스 담당 직원들은 조직으로부터 명시적인 승인을 받지 않고 비밀리에 이를 이용하고 있다.
지난 수십 년간 CIO와 IT 관리자는 ‘무허가’ 도구가 보안, 컴플라이언스 위험, 워크플로 취약점을 초래할 수 있다는 점을 잘 알고 있었으며, 섀도우 기술을 찾아 없애는 믿을만한 방법을 모색해 왔다.
그러나 아직 그 수는 적지만, 섀도우IT를 새롭게 조명하기 시작한 IT리더들이 조금씩 늘어나기 시작했다. 이들은 섀도우IT를 조사해 최종 사용자의 요구와 기호를 파악할 수 있다는 점을 깨닫기 시작했다. 이를 통해 직원들의 성과와 만족도를 높이는 소프트웨어와 서비스를 공식 승인, 개발, 배포할 수 있다.
다음은 조직 내부에 잠복한 섀도우IT 도구를 이익이 되도록 활용하는 7가지 방법이다.
1. 섀도우IT를 사용하는 이유를 이해한다
기술 활용이 능숙한 직원들이 많다. 이들은 장치와 소프트웨어, 앱을 사용해 업무 효율성을 높인다. HPE 산하 아루바(Aruba)의 VP 겸 최고 보안 기술자(Chief Technologist for Security) 존 그린은 “이들은 개인적인 용도로 소비자용 플랫폼을 능숙하게 사용하고 있으며, 이런 플랫폼의 단순함과 간편함이라는 장점을 직장으로도 가져오고 싶어 한다. 기업이 강요하는 IT 시스템은 업무 처리 속도를 늦추고, 원하는 장소에서 매일 24시간 업무를 보고 싶어 하는 직원들을 방해한다. 이에 직원들은 ‘우회로’를 찾으려 한다”고 지적했다.
인프라 관리 소프트웨어 공급업체인 솔라윈즈(SolarWinds)의 기술 책임자 레온 아다토에 따르면, 직원들은 업무를 더 원활히 효율적으로 처리하기 위해 하나 이상의 섀도우IT 기술을 사용한다. 그는 “기존 프로세스나 팀이 자신의 필요사항에 부합할 때 제2의 해결책을 찾는 사람들은 없다. 그러나 속도나 비용 등의 문제가 되는 경우, 팀은 물론 개인까지 성과를 올릴 다른 방법을 찾기 시작한다”고 말했다. 아다토에 따르면, 결국 직원들은 기준 준수 여부가 아닌 결과로 평가를 받는다. 그래서 특히 기준이 목표 달성에 큰 도움을 주지 못하는 경우를 중심으로 다른 방법을 찾게 된다.
2. 직원들이 섀도우IT 도구를 사용하는 방식을 연구한다
사용자에게 섀도우 기술이 전달하는 가치와 해결에 도움을 주는 문제를 물으면 섀도우IT에 가장 효과적으로 대처하는 방법에 대한 단서를 찾을 수 있다. 클라우드 보안 플랫폼 공급업체인 넷스포크(Netspoke)의 클라우드 전략 책임자 숀 코데로는 “섀도우IT라는 새 기술이 이미 비즈니스 워크플로의 일부가 됐다는 점을 제외하면, IT팀이 새 기술을 평가할 때 하는 일과 비슷하다. 팀이 필요한 기능과 역량을 전달하지 못한다면, 활용사례를 더 자세히 조사하고, 비즈니스 요건을 충족하는 솔루션을 찾아야 한다”고 강조했다.
대표적인 섀도우IT는 은밀히 퍼블릭 클라우드 서비스를 사용하는 것이다. 직원들이 드롭박스와 구글 독스 같은 서비스를 이용해 파일을 공유하거나, 여러 사용자에게 문서 접근 권한을 주거나, 중요한 파일을 백업하는 경우가 많다. 그린은 “인기가 높고 사용이 간편하지만, 요주의 데이터에 위험을 초래할 수 있는 플랫폼들이다”고 경고했다. 그린에 따르면, 기업용 클라우드 플랫폼이 더 강력한 보안, 더 효과적인 사용 통제 기능을 제공한다. 관련된 사람만 파일에 접근할 수 있는 파일 암호화 기능을 예로 들 수 있다. 그린은 “대기업은 독자적인 보안 파일 공유 플랫폼을 도입해 사용하거나, 기업에 가장 큰 가치가 창출되도록 기능을 맞춤화하는 경우가 아주 많다”고 설명했다.
3. 섀도우 기술이 보안 위협을 초래하는지 판단한다
컨설팅 서비스 회사인 그랜트 쏜튼(Grant Thorton)의 사장 로이 니콜슨은 “가장 먼저 조직에 섀도우IT가 있는지 파악해야 한다. 여러 방법으로 섀도우IT를 파악할 수 있다. 예를 들면, 많은 섀도우IT가 소프트웨어나 IaaS 기능이 있기 때문에 네트워크의 아웃바운드 트래픽을 감시할 수 있다. 이를 출발점으로 철저히 보안을 평가할 수 있다”고 말했다.
주니퍼 네트웍스 산하 주니퍼 위협 연구소 책임자인 무니르 하하드는 다른 소프트웨어와 서비스와 동일한 방식으로 섀도우IT 보안을 평가해야 한다고 강조했다. 그는 “섀도우IT는 본질적으로 여러 다양한 평가 프로세스를 요구하지 않지만, 존재하는 보안 위험을 확인해 경감할 수 있도록 철저히 보안을 평가해야 한다”고 설명했다.
기업 네트워크에 연결된 모르는 사용자나 장비가 보안 취약점을 초래하면서 위험이 커질 수 있다. 그린은 “섀도우IT 기술을 효율적으로 감지할 수 있는 방법 중 하나는 기업 인프라에 연결된 사람, 시스템, 장치에 대한 정보를 실시간 제공하는 네트워크 액세스 컨트롤 시스템을 사용하는 것이다”고 이야기했다. 또 UEBA(User and Entity Behavior Analytics) 도구는 경계선 방어 체계를 뚫은 후 은닉해 있는 사이버 위협을 찾고, 이로 인해 피해가 초래되는 것을 막는 데 도움을 준다. 그는 “이런 도구들은 기업 자산 보호에 아주 큰 도움을 준다”고 강조했다.
4. 섀도우IT 기술이 생산성 도구의 가치가 있는지 평가한다
가장 쉽고 간단하게 섀도우 도구의 가치를 평가하는 방법은 사용자와 기술에 대해 대화를 나누는 것이다. 뉴욕에서 프리랜서 보안 아키텍트로 일하고 있는 피터 반이페렌은 “IT업체나 영업 담당자, 보안 전문가, 인프라팀보다 효율성과 업무 생산성을 높이는 방법을 더 잘 알고 있는 사람들은 직원이다. 직원들을 고객이나 소비자처럼 대접해야 한다. 이들에게 좋은 업무 환경과 경험을 제공해야 한다. 그러면 업무 생산성과 성과가 높아지고, 섀도우IT를 찾지 않는다”고 언급했다.
직원들은 이유가 있어서 섀도우 도구를 사용한다. 그는 “직원들이 섀도우 도구를 이용하는 이유와 부족한 부분을 찾아야 한다”고 말했다. 더 좋은 방법은 새 도구에 대한 설문조사를 실시하고, 여러 도구를 시험 삼아 이용할 수 있도록 지원하는 것이다. 그는 “너무 복잡하고 어려운 도구를 선택하지 않아야 한다”고 덧붙였다.
5. 섀도우 기술 업체와 협력해 기업용 버전을 개발한다
IT부서가 섀도우IT 기술을 공식 비즈니스 도구로 도입할 이유가 충분하다고 판단하는 경우, 기업은 섀도우IT 기술 개발사에 연락해 구체적인 필요사항과 목적에 대해 논의해야 한다. 인프라 및 서비스 공급업체인 로지칼리스(Logicalis)의 보안 솔루션 VP인 론 템스케는 “여러 버전의 제품을 공급하고 있으며, 자신의 제품이 특정 기업의 요구사항에 부합하도록 협력할 의지를 가진 소프트웨어 업체가 많다”고 밝혔다.
10~15년 전에는 섀도우IT로 기업에 침입한 소비자 도구 대부분은 엔터프라이즈급 보안이나 컴플라이언스 기준에 미달했었다. IT 소프트웨어 및 서비스 리뷰 웹사이트인 G2 크라우드(G2 Crowd)의 최고 조사 책임자 마이클 포세트는 “현재 보안이나 컴플라이언스 기준을 충족하는 툴이 많다. 물론 충족하지 못하는 툴도 있다. 이 경우, IT가 섀도우IT 툴을 대체할 수 있는 적절한 도구를 제공하거나, IT업체와 협력해 문제를 개선하거나 해결할 수 있다”고 언급했다.
6. 원래 장점을 보존한 상태에서 섀도우 도구를 배포한다
공식적으로 도입을 하기로 결정을 내렸으면, IT는 섀도우 기술의 유용성과 보안을 완벽하게 보존하고 유지하는 데 초점을 맞춰야 한다. 반이페렌은 “핵심 활용사례가 포함돼야 한다. 그렇지 않으면 소용없다. 필요로 했던 도구가 기대했던 기능을 제공하지 않으면 섀도우IT가 늘어날 뿐이다”고 지적했다.
섀도우 도구를 원래의 유용성을 유지한 채 안전하게 기업 환경으로 도입하는 가장 빠른 방법은 공급자와 대화를 하고, 조직의 필요사항을 구체적으로 설명하고, 공급업체가 테스트와 파일럿을 통해 약속을 이행하도록 만드는 방법이다. 그렇지만 기업용 버전이 구현될 수 없는 섀도우IT 도구도 일부 존재한다는 점을 유념해야 한다. 코데로는 “전통적인 IT의 ‘상식’에 부합하도록 지원을 하는 것이 거의 불가능한 도구들도 있다”고 말했다.
7. 항상 경계한다
IT는 직원들이 도입해 이용하고 있는 섀도우 기술, 새로운 섀도우 기술을 항상 경계해야 한다. 그렇지만 수많은 섀도우IT 도구가 도입되어 사용되고 있다면, IT가 비용 효과적으로 빠르게 믿을 수 있는 솔루션을 전달하는 능력에 문제가 있는지 생각해봐야 한다. 아다토는 “커뮤니케이션과 신뢰가 부족해 이런 문제가 발생할 수 있다. 이런 근본적인 문제가 존재하는 경우, 어떤 직원과 팀, 부서, 사업 부문도 성과를 일궈낼 수 없다”고 강조했다.
마지막으로 직원들의 요구 때문에 문제의 소지가 있는 섀도우 도구를 승인하는 일이 있어서는 안 된다. 경영 컨설팅 회사인 프로젝트 매니지먼트 에센셜스(Project Management Essentials)의 대표인 알란 주커는 “도입에 관여했는지와 상관없이, 섀도우IT 때문에 발생한 보안 침해 사고나 서비스 중단 사고의 책임은 결국 CIO나 CTO가 진다. IT는 기업의 ‘완전성’과 ‘무결성’을 보호하기 위해 섀도우IT 기술이 사용되고 있는지 파악하고, 기업의 기준을 준수하도록 만들어야 한다”고 강조했다.dl-ciokorea@foundryco.com
