섀도 IT란 무엇인가요?
'그림자 IT'는 종종 조직의 정보 기술(IT) 부서에 대한 지식 없이 조직 내에서 승인되지 않은 소프트웨어, 하드웨어 또는 기타 시스템과 서비스를 사용하는 것을 말합니다. 표준 IT 인프라와 달리 섀도 IT는 조직에서 내부적으로 관리하지 않습니다.
섀도우 IT는 다양한 방식으로 조직에 진입할 수 있지만 일반적으로 다음 두 가지 작업 중 하나를 통해 발생합니다.
- 승인되지 않은 도구를 사용하여 회사 데이터에 액세스, 저장 또는 공유하는 행위. 예를 들어 조직에서 파일 공유를 위해 Google Workspace를 독점적으로 승인한 경우 직원은 Microsoft 365를 통해 파일을 공유하도록 선택하여 회사에 섀도 IT를 도입할 수 있습니다.
- 승인되지 않은 방식으로 승인된 도구에 액세스합니다.예시를 계속하기 위해, IT 부서에서 회사 관리 계정을 통해 Google Workspace 사용을 승인한 경우 직원은 대신에 관리되지 않는 개인 계정을 통해 Google Workspace에 액세스하도록 선택하여 회사에 섀도 IT를 도입할 수 있습니다.
섀도우 IT를 도입하면 의도적이든 아니든 간에 심각한 보안 문제와 비용이 발생합니다.이는 데이터 유출, 도난, 기타 사이버 공격의 위험을 증가시키며, IT 팀이 이로 인해 발생할 수 있는 피해를 최소화하기 위한 중요한 조치를 취하는 것에 방해가 됩니다.
사용자가 섀도우 IT를 채택하는 이유는?
섀도우 IT에 존재하는 수많은 보안 위험을 고려할 때 직원이 새로운 도구를 채택하면서 IT 승인을 우회하기로 선택하는 것은 놀라운 일처럼 보일 수 있습니다. 직원이 그렇게 하는 이유는 다음과 같습니다.
- 직원은 섀도우 IT에 내재된 보안 위험을 인식하지 못합니다.직원은 IT 부서에서 마련한 제어 수단을 의도적으로 우회하려고 하지 않을 수 있지만, 단순히 자신의 행동 때문에 민감한 기업 데이터를 손상시키고 데이터 유출 및 공격의 위험이 커질 수 있다는 사실을 모를 수 있습니다.
- 직원은 승인되지 않은 도구 사용의 이점에 더 중점을 둡니다.작업에 가장 적합한 도구가 조직의 IT 부서에서 명시적으로 승인한 도구가 아닐 수 있습니다.따라서 직원은 특정 비즈니스 요구 사항을 충족하고 시장에서 경쟁 우위를 확보하거나 보다 효율적으로 협업하는 데 도움이 되는 추가 서비스를 채택하게 되는 경우가 많습니다.
- 직원이 승인되지 않은 도구를 사용하여 악의적인 활동을 수행할 수 있습니다.대부분의 섀도우 IT는 악의적인 목적으로 채택되지 않습니다. 그러나 일부 직원은 승인되지 않은 애플리케이션 및 도구를 채택하여 데이터를 도용하거나 기밀 정보에 액세스하거나 조직에 기타 위험을 초래할 수 있습니다.
섀도우 IT의 위험은?
섀도우 IT는 일부 직원의 작업을 더 쉽게 만들 수 있지만, 그 단점이 이점보다 훨씬 큽니다. 조직 전체에서 도구와 서비스가 사용되는 방식을 IT 팀에서 추적할 수 없는 경우, 섀도우 IT가 만연한 정도를 인식하지 못하고, 기업 데이터가 어떻게 액세스, 저장, 전송되는지도 모를 수 있습니다.
또한 섀도우 IT를 사용하면 IT 팀이 데이터 관리 및 이동에 대한 통제력을 잃게 됩니다. 직원이 승인되지 않은 서비스를 구현하거나 승인되지 않은 방법을 통해 승인된 서비스 내에서 작업하는 경우 IT 부서의 적절한 감독 없이 중요한 데이터를 보고 이동할 수 있습니다. 이러한 가시성과 통제력 부족으로 인해 섀도우 IT는 다음을 포함한 추가 위험을 초래할 수 있습니다.
- 중요한 데이터가 손상되거나 도난당할 수 있습니다.공격자는 클라우드 호스팅 서비스 내의 구성 오류 및 취약성을 악용하여 데이터를 유출시키고 기타 사이버 공격을 위하여 틈새를 노릴 수 있습니다.이러한 공격은, 특히 승인되지 않은(및 보호되지 않은) 애플리케이션 및 도구를 대상으로 하는 경우, IT 부서에서 모르는 채로 실행될 수 있습니다.그리고 이러한 공격 후 복원하는 데는 비용이 많이 들 수 있습니다. 2020년에 수행한 연구에서 IBM은 클라우드 구성 오류로 인한 데이터 유출에 평균 441만 달러의 비용이 드는 것으로 추정했습니다.
- 조직에서는 모르는 사이에 데이터 규제 준수 법률을 위반할 수 있습니다. 데이터 보호 규정(예: GDPR)을 준수해야 하는 조직의 경우 데이터가 처리되고 공유되는 방식을 추적하고 제어할 수 있는 능력을 갖추는 것이 중요합니다. 직원이 승인되지 않은 도구를 사용하여 중요한 데이터를 처리하는 경우, 조직에서는 의도하지 않게 이러한 법률을 위반할 위험에 처할 수 있으며, 그 결과 엄중한 처벌을 받고 벌금이 부과될 수 있습니다.
조직에서는 섀도우 IT를 어떻게 감지하고 해결할 수 있을까요?
IT 팀이 조직 내에서 섀도우 IT의 영향을 최소화하기 위해 취할 수 있는 몇 가지 단계가 있습니다.
- 섀도우 IT 감지를 구현합니다.섀도우 IT 검색 도구를 사용하면 IT 팀에서 직원이 현재 사용하고 있는 승인 및 비승인 시스템과 서비스를 모두 검색, 추적, 분석하는 데 도움이 될 수 있습니다.그런 다음 IT 팀에서는 필요에 따라 이러한 도구의 사용을 허용하고 제한하며 차단하는 정책을 마련할 수 있습니다.
- 클라우드 액세스 보안 브로커(CASB)를 사용합니다.CASB는 섀도우 IT 검색, 액세스 제어, 데이터 손실 방지(DLP), 브라우저 격리 등을 포함하는 번들 보안 기술을 통해 클라우드 호스팅 애플리케이션과 서비스를 보호하는 데 도움이 됩니다.
- 직원에 대한 위험 관리 교육을 개선합니다.직원은 섀도우 IT의 보안 위험을 인식하지 못할 수 있습니다.개인 이메일을 사용하여 기업 리소스에 액세스하지 않는 것, 승인되지 않은 하드웨어 및 소프트웨어의 사용을 공개하는 것, 데이터 유출을 보고하는 것 등의 모범 사례에 대해 사용자를 교육하면 데이터 손상 또는 도난의 가능성을 없앨 수 있습니다.
- 직원에게 필요한 도구에 관하여 소통합니다.직원은 자신의 업무에 가장 적합한 도구를 알고 있지만, 예산 제약이나 기타 문제로 인해 IT 부서에 명시적으로 승인해달라고 요청하는 것이 불편할 수 있습니다.이러한 대화를 시작하고 '책임을 묻지 않음' 문화를 구현하면(이미 섀도우 IT를 채택했을 수 있는 사람들을 위해) 보다 개방적이고 안전한 작업 환경을 조성하는 데 도움이 될 수 있습니다.
섀도우 IT 정책이란?
섀도우 IT 정책은 조직 내에서 새로운 하드웨어 및 소프트웨어의 채택, 승인, 관리를 위한 프로토콜을 설정하는 데 도움이 됩니다. IT 부서에서는 이러한 정책을 마련하고 진화하는 보안 위험과 회사의 요구 사항에 따라 조정할 수 있습니다.
섀도우 IT 정책은 승인되지 않은 도구의 도입을 피하면서 조직 내 시스템 및 서비스를 제어하고 관리하는 데 필요한 몇 가지 단계 중 하나입니다. 그렇지만 많은 조직이 아직 표준화된 섀도우 IT 정책을 마련하지 않았습니다. Entrust에서 미국 IT 전문가 1,000명을 대상으로 실시한 설문 조사에서 응답자의 37%가 자신의 조직이 섀도우 IT를 사용하는 데 따른 결과가 명확하지 않다고 답한 것으로 나타났습니다.
Cloudflare는 섀도우 IT로부터 어떻게 보호할까요?
Cloudflare의 Zero Trust 보안 제품군은 IT 부서에서 조직 전체에 걸쳐 승인되지 않은 도구를 쉽게 검색, 분류, 관리하는 데 도움이 됩니다.Cloudflare가 섀도우 IT를 감지하는 방법을 자세히 알아보세요.