쉐도우 IT에 대처하는 방법

쉐도우 IT는 조직에서 정상적인 허가없이 사용하는 IT 프로젝트, 응용프로그램, 소프트웨어를 말합니다. 조직의 보안통제내에 존재하지않는 쉐도우 IT는 조직의 보안에 중대한 문제를 야기시킬 수 있습니다.

 

쉐도우 IT가 증가하는 이유는 업무 효율성과 성과를 높이기 위해, 직원들 스스로에 적합한 기기와 소프트웨어를 사용하기 때문입니다. 특히, 클라우드 환경에서는 파일공유 앱, 협업 툴 등 더욱 다양한 쉐도우 IT를 사용하게 되며, 스마트 폰이나 태블릿 등 BYD또한 그 범주에 속해 있습니다.

 

다루는 정보의 중요성과 회사의 보안정책에 대해 이해도가 낮은 직원들의 경우, 그들이 다루는 쉐도우 IT에 회사정보는 물론 고객정보를 저장하게 되고, 장비 분실 또는 악성코드 감염 등의 보안사고로 인해 회사의 보안에 중대한 영향을 끼칠 수도 있습니다.

 

팬데믹 기간 동안 재택 및 원격근무 등 업무환경변화에 따라, 협업 및 자료공유 등 업무방식의 변화는 약 65%의 쉐도우 IT를 증가시켰으며, VPN, 화상회의 서비스, 정보공유 서비스 등의 사용 증가는 IT팀과 보안팀에 부담을 가중 시키고 있습니다. 따라서, 쉐도우IT를 적절히 통제하고 다룰 필요가 있습니다.

 

  - 사용하고자 하는 적절한 이유를 검토합니다. 승인되지 않은 툴을 무조전적으로 차단하기 보다는, 합당한 이유를 들어보고 적절하게 통할할 수 있는 방법을 찾거나 기존 툴로 대체 가능한지를 검토합니다.

 

  - 전 임직원의 보안에 대한 인식을 제고 합니다. 회사의 보안정책을 이해하고, 쉐도우 IT로 인한 보안위협에 대해 주기적인 교육을 실시합니다. 또한, 일방적인 쉐도우 IT에 대한 통제가 아닌, 직원들과 함께 적절한 통제방법과 절차를 만들어 임직원의 직접적인 참여도를 높이도록 합니다.

 

  - 승인되지 않는 소프트웨어 및 서비스를 조사하고 통제합니다. 개인의 취향에 맞는 모든 솔루션 도입시 IT 비용이 증가하게 됩니다. 따라서, 임직원들과 충분한 소통을 통해 명확히 사용 가능한 소프트웨어와 서비스를 규정하고, 그 외에 대상에 대해서는 엄격하게 통제할 필요가 있습니다.

 

  - 쉐도우 IT를 빠르게 조사하고 사용성을 검토합니다. 쉐도우 IT의 사용현황을 파악하는 것은 조직의 데이터 유출을 최소화하는 첫번째 단계 입니다. 임직원에게 현재 조직에서 사용 가능한 소프트웨어와 서비스가 무엇인지를 알리고 사용성을 높이는 것 또한 쉐도우 IT의 사용을 줄일 수 있는 방법입니다. 생산성을 높이기 위한 방법이라면, 쉐도우 IT와 비교하여 현실에 맞는 제품으로 대체할 수도 있습니다.

 

※ 원문: Fix Shadow IT In Your Organization