Cappuccino sapiens

- 본 글은 컬럼리스트인 Mike Elgan의 “How and Why to Take a Holistic Approach to Threat Modeling”을 기반으로 작성하였습니다. -

위협 모델링은 사이버보안 위협을 찾고 우선순위를 정하여 제거하는 체계적인 접근방식입니다. 위협 모델링을 더 폭넓게 확장성을 갖고자 한다면, 조직은 보단 큰 그림의 보안전략을 고려며 효율성을 높일 필요가 있습니다.

위협 모델링 수립방식에 대해서는 이미 많은 방법론들이 소개되었습니다. 여기서는 위협 모델링에 대한 기대효과를 알아보고, 보다 거시적인 관점에서 적용하기 위한 방안에 대해 알아보고자 합니다.

보안위협 모델링에 따른 기대효과는 다음과 같습니다.

1. 최적의 위협 모델링은 사이버 공격에 대한 취약성을 최소화 시킵니다. 이는 보안팀, 운영팀, 개발팀 등 보안과 관련된 모든 관계자에게 올바른 정보를 공유하며 교육·훈련의 효과를 가져옵니다.

2. 보안위협에 대한 대응기법 수립, 우선순위 가산화(Scoring), 비용예측은 보안예산 계획수립을 위한 정확하고 중요한 정보를 제공합니다.   

3. 유관부서와 함께 위협 모델링을 수립하는 과정에서 상호간 많은 정보와 지식을 서로 습득하게 되고 전사 조직에 대한 이해도를 높이게 되며, 실질적인 세부 실행계획을 도출하게 됩니다.

4. 보안위협과 위협대상이 수시로 변함에 따라 보안위협에 대한 대응방식 또한 적절한 변화가 필요합니다. 따라서, 위협 모델링 시스템은 끊임없이 재평가되고 갱신되어야 하는 “살아있는 문서”가 되어야 합니다. 이는 서비스 운영방식이 어떤 형태로 개편되어야 할지에 대한 방향성을 제시하는데 도움을 줍니다.

5. 위협모델링은 개발, 보안, 운영간에 끈끈하게 연결되어 있어, 문제해결을 위해 각 팀들은 유기적으로 협력하게 됨에 따라 DevSecOps의 사일로 현상이 사라지게 됩니다.

6. 때때로 심각한 보안취약점을 제거하는 과정에서 기존의 응용프로그램을 대신하여 보안이 고려된 새로운 응용프로그램을 개발하기도 합니다. 

7. 위협모델링이 정착함에 따라, 하드웨어, 소프트웨어, 서비스, 플랫폼 선정시에 보안은 필수적인 고려사항이 됩니다.

일반적으로 위협모델링은 가능한 많은 임직원이 참여함으로써 그 효과성을 높일 수 있습니다. 다음은 거시적 관점의 위협 모델링 수립을 위한 방안에 대해 알아보겠습니다.

1. 위협모델링 수립시에 IT 기술 리더 뿐만 아니라 사업, 운영 리더들을 참여시킵니다.

2. 소통창구 운영하여 위협모델링 과정의 정보를 임직원과 공유합니다. 임직원들의 참여는 보안에 대한 보다 나은 결정을 유도하고, 향후 위협 모델링 수행에 긍정적인 효과를 발휘합니다.

3. 위협 모델링 우선순위에 기반한 주요 목적을 명확하게 설정하고, 서비스 제공자, 컨설턴트, 파트너, 공급자 등 보안목표를 공유하는 관계자들과 공유합니다.

앞서 기술한 것처럼, 위협모델링은 보안에 있어 조직에 많은 장점을 수반하고 있습니다. 따라서, 조직에 적합한 위협 모델링 수립을 통해 보안을 강화해 보시기 바랍니다.

※ 원문: How and Why to Take a Holistic Approach to Threat Modeling

IBM Security는 조사 전문기관인 포네몬과 함께 연간 보고서인 ”2020 글로벌 기업 데이터 침해사고 보고서“를 발간하였습니다.  15번째로 발간된 이번 보고서는 2019년 8월 부터 2020년 4월까지 전세계에서 발생한 데이터 침해사고 524건을 분석하였습니다.

다음은 주요 침해사고 수치에 대해 올해 대비 전년도, 전세계 대비 국내와 비교한 수치를 보여 줍니다.

  ※ 국내 총 24개 기업 참여, 최근 3년간의 데이터 침해사고 자료 분석

    - 피해액 상위 분야: 금융, 서비스, 기술분야 순

    - 주요 공격 요인(피해액, 억원): 악의적 공격 50% (41.1), 시스템 오류 39%(36.1), 관리실수 21%(33.3)

올해는 COVID-19 펜데믹으로 인해 전세계적으로 많은 기업들이 어려움을 겪고 있으며, 재택근무 등 업무환경의 변화는 보안업무에도 많은 변화를 가져왔습니다. 재택근무를 선택한 기업 중 76%는 근무환경의 변화로 인해 침해사고를 인지하고 복구하는 시간이 길어질 것이라고 답했습니다.

침투 테스트 및 취약점 진단을 수행한 기업은 글로벌 평균 침해사고 비용보다 적은 비용을 지출했으며, 이는 평소의 침해사고 훈련이 효과적임을 나타내고 있습니다. 또한, 원격근무를 채택한 기업과 보안기술이 상대적으로 낮은 기업의 경우, 침해사고 비용이 평균보다 더 많이 지출한 것으로 나타났습니다.

주요 시사점은 다음과 같습니다.

1. 침해사고 훈련 및 대응 자동화는 침해사고 비용 감소에 효과적

  - 보안 자동화(인공지능, 머신러닝, SOAR 등)를 구현한 기업은 그렇지 않은 기업보다 3.58백만달러 적은 침해사고 비용 지출 (2.45백만달러 vs. 6.03백만달러)

  - 잘 준비된 침해사고대응팀을 갖춘 기업은 그렇지 않은 기업보다 2백만달러 적은 침해사고 비용 지출 (3.29백만달러 vs. 5.29 백만달러)

2. 개인정보의 증가는 기업의 피해액 증가

  - 데이터별 레코드당 평균 피해액: 고객 개인정보 150달러, 지적재산 147달러, 익명 고객정보 143달러, 직원 개인정보 141달러

  - 전체 데이터 침해사고의 80%가 고객 데이터 침해사고로 분류

3. 가장 큰 공격요인은 인증정보 탈취 및 클라우드 환경설정 오류

  - 침해사고중 가장 많은 비중을 차지하고 있는 악의적 공격 (Malicious attack)은 2019년 51%에서 2020년 52%로 다소 높아짐

  - 공격 비중 및 손실비용은 탈취된 인증정보 19% (4.77백만달러), 클라우드 환경설정 오류 19% (4.41백만달러), 타사 소프트웨어 취약점 16% (4.53 백만달러) 순

4. 악의적 공격 중 데이터 파괴 및 랜섬웨어 공격으로 인한 피해비용은 높게 나타남

  - 악의적 공격에 의한 평균 피해비용이 4.27 백만달러로, 데이터 파괴 4.52 백만달러, 랜섬웨어 4.44백만달러 보다 다소 높게 나타남

5. 국가지원 조직에 의한 침해사고는 많지 않으나, 피해금액은 제일 높게 나타남

  - 가장 흔한 공격동기는 금전적이 이유(53%) 였으며, 국가지원 및 정치적인 이유는 각각 13%로 낮음

  - 국가지원 조직에 의한 침해사고 비용은 4.43백만달러로, 정치적 목적4.28 백만달러, 금전적인 목적 4.23백만달러 보다는 높게 나타남

※ 원문: What’s New in the 2020 Cost of a Data Breach Report

※ 보고서 요약(국내): South_Korea_Cost of a Data Breach Report 2020.pdf

내부자 위협은 의도적이든 의도적이지 않든 회사의 자산에 불법적으로 접근하여 피해를 주는 것을 말합니다. 내부자는 현재 직원만을 의미하지 않으며, 퇴사자, 외주 인력, 파트너사 직원 등 회사의 시스템 또는 데이터에 접근할 수 있는 누구나를 의미합니다.

연구결과에 따르면, 내부자 위협은 기업의 데이터 침해사고의 약 60% 정도로 상당히 많은 부분을 차지하고 있으며, 그 비용 또한 외부자에 의한 피해비용 대비 높은 것으로 알려졌습니다. Ponemon의 ‘2018 Cost of Insider Threats’에 따르면, 연평균 내부자 위협의 비용은 $8.76백만달러로, 같은 기간 데이터 침해사고의 연평균 비용 $3.86백만 달러 대비 약 2.3배나 높게 나타났습니다.

내부자들은 이미 합법적인 내부 정보에 접근이 가능하며, 어디에 중요한 데이터가 있는지, 그리고 어떻게 권한상승을 하는지 등 오랜 기간의 관찰과 경험을 통해 잘 파악하고 있기 때문에, 내부자 위협을 사전에 발견하고 대응하는 일은 쉬운 일이 아닙니다. 보안전문가들에 따르면 내부자의 기본적인 행위에 대한 파악이 부족하고, 특권사용자에 대한 관리부족으로 인해 발생하고 있다고 말합니다. (2019, SANS report on advanced threats)

내부자 위협은 침해동기, 보안 인식, 접근 등급, 의도에 따라 분류될 수 있으며, 가트너는 위협을 제공하는 내부자를 졸개(Pawn), 저능아(Goof), 협력자(Collaborator), 단독범(lone wolf)으로 구분하였습니다.

  - 졸개: 스피어 피싱 또는 소셜 엔지니어링 등으로 인해 악성코드에 감염되어 내부 시스템 및 데이터로 침투경로를 제공하거나 인증정보인 크리덴셜을 탈취당해 2차적인 침해사고를 유발

  - 저능아: 조직의 보안정책에 관심이 없거나 종종 보안정책을 무시하여 편의적으로 시스템을 우회. 약 95%의 직원이 보안통제 우회를 시도하고, 내부자 침해사고의 90%가 이들에 의해 발생

  - 협력자: 경쟁사 또는 정부지원 해커 등 외부 공격자와 협력하여, 외부에서 내부로 접속 할 수 있도록 경로를 개방하여 데이터 유출을 도와 주며, 주로 산업기밀 정보나 고객정보를 탈취

  - 단독범: 외부와의 협업 또는 간섭없이, 조직에 악의적 감정을 가지고 피해를 주기 위해 단독으로 범행을 수행하며, 특히 시스템 또는 DB 관리자 등과 같은 높은 등급의 계정사용자로 변심이 크게 작용

내부자 위협을 방어하기 위해서는 SIEM (Security Information and Event Management) 및  UEBA(User and Entity Behavior Analytics) 등의 솔루션을 통해 데이터 접근기록과 사용자의 행위를  모니터링하고 분석하여 이상행위를 탐지하고 대응합니다. 특히, 멀티 클라우드 및 하이브리드 클라우드 등 시스템의 복잡성이 증가하고 데이터 및 관리포인트가 분산됨에 따라, 데이터 접근에 대한 특권 사용자(API, 응용 프로그램, 계정 등)의 효율적 관리를 위해 IAM (Identity and Access Management) 솔루션을 활용합니다. IAM을 SIEM과 연동할 경우, 내부 사용자의 이상행위를 실시간으로 모니터링하고 즉각적인 대응을 수행합니다.

※ 원문: What Are Insider Threats and How Can You Mitigate Them?

※ IBM Security solution

  - Qradar: 가장 심각한 위협에 대한 인사이트를 제공하는 지능형 보안 분석 플랫폼 - 데이터 위치와 상관없이 클라우드 환경에서 구매 및 배포 가능한 SIEM 솔루션

  - Security Verify Access: 증, 권한 부여된 액세스 관리, ID 거버넌스 및 액세스 관리, 액세스 권한 부여, 싱글 사인온 제공, 다단계 인증 등의 기능을 수행하는 IAM 솔루션

 - Resilient: 기 구현된 보안 및 IT 기술을 쉽고 빠르게 통합하며, 중요한 인텔리전스 및 인시던트 컨텍스트 제공을 통해 복잡한 공격을 민첩하고 정확하게 차단하는 SOAR 플랫폼

지난 7월 15일, 빌게이츠, 일론 머스크 등 미국의 유명한 트위터버스들으 계정이 한동안 장악당하는 사건이 발생하였습니다. 공격자는 계정을 장악한 후 비트코인을 보내주면 두배로 돌려주겠다는 내용을 포스트 하였으며, 이로 인해 375건의 거래, 12만 달러 상당의 비트코인이 특정 가상지갑으로 흘러 들어갔습니다.

트위터는 직원의 계정을 타깃으로 한 협동 사회공학적 공격 (Coordinated Social Engineering Attack)에 의한 것이라고 설명하고 있습니다. 물론, 아직 침해사고에 대한 경위가 조사중이긴 하지만, 이러한 트위터 측의 설명은 시스템 구조적으로 많은 문제점은 갖은 것으로 보입니다.

직원의 계정을 해킹한 후 트위터 사용자들의 계정으로 글을 올릴 수 있었다는 것은, 특정 권한을 갖은 직원의 경우, 트위터 사용자들의 계정 권한을 뛰어 넘는 어떠한 행위가 가능하다는 것을 의미합니다. 즉, 사용자의 계정으로 글을 작성하거나, 기존 글을 삭제 또는 수정할 수 있으며, 이메일 등의 계정정보 또한 수정이 가능함을 의미합니다.

트위터 사건으로 인해 그 이상의 피해를 입지 않은 것만으로도 천만다행이라고 봅니다. 우리는 이번 계기를 통해 펜데믹으로 인한 원격근무 환경에서 내부자에 대한 시스템 접근권한의 중요성과 위험성에 대해 인지하고 이에 대한 철저한 준비가 할 필요합니다.

내부자는 임직원을 포함한 외주인력을 포함하고 있으며, 시스템의 가시성을 높이고 내부자의 권한통제와 접근경로 통제를 통해 내부자 보안위협을 최소화 시킬 수 있습니다. 내부자 보안위협을 방지하기 위한 방법에 대해 알아보겠습니다.

  - 공격자 입장에서 공격 시뮬레이션을 실시하고 수정합니다. 시시 때대로 조직의 변화된 IT 환경에 따라, 어떠한 보안위협이 발생 가능한지를 점검하고 삭제합니다.

  - 내부자 행위에 대한 예측모델을 만들고, 이상행위에 대한 UBA(User Behavior Alerts)를 설정합니다.

  - 내부자의 접근권한에 대해 반드시 필요한지를 검토하고 적절한 접근권한을 재설정합니다.

  - 팬데믹으로 인해 느슨해진 재택근무 및 원격근무에 대한 보안정책을 검토하고 조정합니다.

  - 내부자는 다중인증(MFA, Multi-Factor Authentication)을 사용하도록 하고, 강력한 패스워드 규칙에 따라 주기적으로 패스워드를 변경하고 있는지 검토합니다.

  - 보안사고 또는 이상행위에 대해 사용자들이 신고할 수 있는 체계가 있는지 그리고 숙지하고 있는지를 점검합니다.

  - 주기적으로 사이버보안에 대한 교육을 수행하고, 교육받은 내용을 숙지하고 있는지 점검합니다.

  - 민감한 정보를 다룰 때는 허가된 응용프로그램을 사용하며, 소셜 미디어를 통해서는 민감한 정보에 대해 다루지 않도록 합니다.

 ※ 원문: #TwitterHack: Power, Privilege and Pandemic

제로 트러스트는 기본적으로 그 어떠한 접근에 대해서도 신뢰하지 않는 다는 개념에서 출발하며, 데이터에 접속을 원하는 어떤 것이든 적절한 인증절차를 통해 신원을 확인하는 것을 말합니다. 시스템의 복잡성 증가, (멀티)클라우드 사용증가, 재택근무 환경 등으로 인해 운영환경과 접근하려는 개체가 불명확해지는 상황에서 제로 트러스트는 보안위협을 줄일 수 있는 가장 합리적인 방안으로 대두되고 있습니다.  제로 트러스트를 통해 기본적으로 회사의 보안을 강화할 수 있으며, 추가적으로 다음과 같은 효과를 볼 수 있습니다.

- 트래픽 감소로 인해 네트워크 성능 향상

- 데이터 침해사고에 대한 탐지시간 단축

- 네트워크 오류 감지능력 향상

- 로깅 및 모니터링 절차 단순화

제로 트러스트를 구현하기 위해 가장 우선적으로 고려할 사항은 네트워크를 세분화하는 것입니다. 이는 민감한 정보를 다루는 호스트와 서비스를 일반 망으로부터 분리하는 것을 의미하기도 합니다. 마이크로 세그멘테이션 또한 네트워크들간의 수평적으로 전파될 수 있는 위협을 방어하는 수단이 되기도 합니다. 다음 단계는 시스템 경계를 정의하고, 네트워크의 모든 단일 포인트에 대한 모니터링을 실시하며, 최소한의 데이터 접근원칙에 따라 접근통제 정책을 수립하여 운영합니다.

기업의 보안강화를 위한 제로 트러스트에 대한 적정한 투자는 어느 정도이어야 할까요? 미국의 North Dakota 주는 70%의 제로 트러스트를 통해 가장 강력한 보안을 구현했다고 이야기 하고 있으며, Lexmark International 사는 제로 트러스트를 구현하기 위해 꼬박 2년이 소요되었다고 하기도 합니다.

현재와 같은 팬데믹 상황에서 가장 필요한 제로 트러스트를 전사에 100% 완벽하게 구현하는 것은 현실적으로 무일 수 있습니다. 하지만, 위험분석을 통해 데이터의 중요도에 따라 우선순위를 정하여 점차 이를 확대해 나간다면, 내부적인 기술역량 축적과 더불어 목적을 달성 할 수 있을 것입니다.   

※ 참고

 - Take a Data-Centric Approach to Zero Trust to Protect Your Most Critical Assets

 - Zero Trust in 2020: More Important Than Ever Before

 -  It’s Time to Take a Fresh Look at Zero Trust

빠르게 변하는 인터넷 속도와 IT환경으로 인해, IT시스템 또한 빠르게 교체되어 가고 있습니다. 그렇다고 모든 시스템을 일시에 교체할 수 만은 없는 실정이다 보니, 기존 시스템과 최첨단 시스템이 공존하게 되는 경우가 종종 발생하고 있습니다.

이러한 레거시 시스템은 보안정책의 통제에서 벗어난 쉐도우 IT가 되거나,  SSO, MFA 등 새로운 보안기술을 적용하기에 적합하지 않은 H/W 또는 S/W로 인해 개선된 보안정책 적용이 곤란한 경우도 있습니다. 이로 인한 보안헛점은 해킹 및 데이터 유출 등 조직의 보안위협의 요인이 되기도 합니다. 따라서, 레거시 시스템은 교체되기 전까지 최소한의 적절한 보안대책을 통해 관리될 필요가 있습니다.

모든 레거시 서버를 위한 보안관리

  1. 보안위협 분석 및 보안대책 마련을 위한 보안취약점 분석을 실시합니다.

  2. 레거시 시스템에 대한 위치와 운영환경을 조사합니다.

  3. 레거시 시스템이 관리하고 있는 데이터의 유형에 대해 조사합니다.

  4. 조사한 결과를 기반으로 레거시 시스템을 목록화 합니다.

  5. 데이터 및 시스템의 중요도에 따라 대체 가능한 우선순위를 정합니다.

  6. 각 서버와 응용서비스에 대한 담당자를 지정하여 관리합니다.

인터넷이 연결되지 않은 레거시 서버 보안관리

  1. 가능한 적용할 수 있는 최신의 보안패치를 진행합니다.

  2. 불필요한 응용프로그램 및 서비스 제거, 접근통제 정책 적용, 운영체제 업데이트 등을 통해 운영체제에 대한 보안을 강화합니다.

  3. 접근이 필요한 인원과 접근권한 및 등급을 주기적으로 점검하여 조정합니다.  

  4. 현재 시스템을 지원할 수 있는 컴퓨터 백신을 설치하여 운영합니다.

  5. 가능하면, 파일 무결성 보호 솔루션이나 호스트 기반 F/W 또는 IPS/IDS등을 설치하여 운영합니다.

  6. 주기적으로 데이터 백업을 실시합니다.

인터넷이 연결된 레거시 서버 보안관리

  1. 즉시, 서버를 교체 합니다. 단기적인 교체가 불가능한 경우, 아래의 보안조치를 이행합니다.    

  2. 웹서버인 경우, 서비스의 특성을 반영한 적합한 웹방화벽을 설치합니다.

  3. 보관중인 데이터 및 접근경로에 대한 위험관리 평가를 실시하고, 민감한 데이터가 있는 경우 이전을 계획합니다.

  4. 주기적으로 취약점 진단을 실시하고, 취약점을 제거합니다.

5. 운영을 최소화하여, 발생할 수 있는 트래픽을 제한 합니다.   

※ 원문: Updating Legacy Systems Amid Growing Cybersecurity Concerns

COVID-19과 향후 있을 이러한 팬데믹에 대비해, 기업은 비즈니스 영속성을 보장을 위해 클라우드 이전, 재택근무 등 다양한 업무변화를 시도하고 있습니다. 해커는 이러한 틈을 이용해 보안이 충분히 준비되기 전 기업의 보안헛점을 중점적으로 노리고 있습니다.

지난 1월, 매일 3,100건 이상의 피싱과 위조 웹사이트 생성, 3월에는 8,300개를 초과

커뮤니케이션 및 협업 피싱 사이트 역시 1월 대비 3월에는 50% 증가

해커는 회사의 보안환경 보다 상대적으로 약한 재택근무자의 단말기, 오픈 네트워크, 응용프로그램, 이메일 피싱 등의 근무환경을 공격 포인트로 설정하고, 이를 통해 회사의 망에 접근하는 방식을 사용하고 있습니다. 보안팀은 기존의 동일한 보안 리소스로 추가적인 업무에 대응함에 따라, 피로도가 쌓여가고 이는 조직의 보안을 약화시키게 됩니다.

팬데믹이 해제되고 기업이 정상적인 영업을 재개하게 되면, 빠르게 이러한 서비스를 정비하고 추가로 새로운 보안 솔루션을 도입하게 될 것입니다. 하지만, 기업은 여전히 또 다른 팬데믹에 대비한 언택트 환경을 유지하고, 이에 적합한 업무절차로 개선하려 할 것입니다.

따라서, 솔루션 도입시 기존과 같이 제안설명회, 제안발표, 제품시연 및 PoC, 기술전수 교육 등의 면대면의 방식은 지양하고 언택트 방식을 선호할 가능성이 큽니다. 이러한 언택트 시대에 어떻게 복잡한 보안 솔루션을 선별하고 도입할 수 있을까요? 적합한 솔루션 도입을 위한 고려할 사항에 대해 알아 보도록 하겠습니다.

정확성과 직관성을 핵심 기준으로 고려하여 솔루션을 평가합니다.  

회사의 IT환경을 충분히 고려하고 있으며, 그 가치를 보여주고 있는지 평가 합니다. 또한, 비용과 시간을 줄이기 위한 복잡성을 줄이고, 동작 및 운영이 직관적인지를 평가 합니다.

판매자와의 접촉을 최소화 할 수 있는 방안을 검토 합니다.

온라인 시연, 설치 및 운영 동영상, 디지털 교육 컨텐츠, 원격 교육·훈련, 클라우드 협업 툴 등을 이용함으로써 판매자와의 접촉을 최소화 합니다.

가상 실습환경을 제공하는지 검토 합니다.

조직환경에 적합한 가상의 운영환경을 제공하며, 원격에서도 현장감 있는 실습환경을 통해 충분히 기능을 다뤄 볼 수 있는지 검토합니다.

※ 원문: Cybersecurity software sales and training in a no-touch world

원문에서는 고객사의 언택트 환경을 고려하여, 보안 벤더사의 판매전략에 대한 변화에 대해 설명하고 있습니다. 고객사 입장에서 다시 풀어 서술하였습니다.  

쉐도우 IT는 조직에서 정상적인 허가없이 사용하는 IT 프로젝트, 응용프로그램, 소프트웨어를 말합니다. 조직의 보안통제내에 존재하지않는 쉐도우 IT는 조직의 보안에 중대한 문제를 야기시킬 수 있습니다.

쉐도우 IT가 증가하는 이유는 업무 효율성과 성과를 높이기 위해, 직원들 스스로에 적합한 기기와 소프트웨어를 사용하기 때문입니다. 특히, 클라우드 환경에서는 파일공유 앱, 협업 툴 등 더욱 다양한 쉐도우 IT를 사용하게 되며, 스마트 폰이나 태블릿 등 BYD또한 그 범주에 속해 있습니다.

다루는 정보의 중요성과 회사의 보안정책에 대해 이해도가 낮은 직원들의 경우, 그들이 다루는 쉐도우 IT에 회사정보는 물론 고객정보를 저장하게 되고, 장비 분실 또는 악성코드 감염 등의 보안사고로 인해 회사의 보안에 중대한 영향을 끼칠 수도 있습니다.

팬데믹 기간 동안 재택 및 원격근무 등 업무환경변화에 따라, 협업 및 자료공유 등 업무방식의 변화는 약 65%의 쉐도우 IT를 증가시켰으며, VPN, 화상회의 서비스, 정보공유 서비스 등의 사용 증가는 IT팀과 보안팀에 부담을 가중 시키고 있습니다. 따라서, 쉐도우IT를 적절히 통제하고 다룰 필요가 있습니다.

  - 사용하고자 하는 적절한 이유를 검토합니다. 승인되지 않은 툴을 무조전적으로 차단하기 보다는, 합당한 이유를 들어보고 적절하게 통할할 수 있는 방법을 찾거나 기존 툴로 대체 가능한지를 검토합니다.

  - 전 임직원의 보안에 대한 인식을 제고 합니다. 회사의 보안정책을 이해하고, 쉐도우 IT로 인한 보안위협에 대해 주기적인 교육을 실시합니다. 또한, 일방적인 쉐도우 IT에 대한 통제가 아닌, 직원들과 함께 적절한 통제방법과 절차를 만들어 임직원의 직접적인 참여도를 높이도록 합니다.

  - 승인되지 않는 소프트웨어 및 서비스를 조사하고 통제합니다. 개인의 취향에 맞는 모든 솔루션 도입시 IT 비용이 증가하게 됩니다. 따라서, 임직원들과 충분한 소통을 통해 명확히 사용 가능한 소프트웨어와 서비스를 규정하고, 그 외에 대상에 대해서는 엄격하게 통제할 필요가 있습니다.

  - 쉐도우 IT를 빠르게 조사하고 사용성을 검토합니다. 쉐도우 IT의 사용현황을 파악하는 것은 조직의 데이터 유출을 최소화하는 첫번째 단계 입니다. 임직원에게 현재 조직에서 사용 가능한 소프트웨어와 서비스가 무엇인지를 알리고 사용성을 높이는 것 또한 쉐도우 IT의 사용을 줄일 수 있는 방법입니다. 생산성을 높이기 위한 방법이라면, 쉐도우 IT와 비교하여 현실에 맞는 제품으로 대체할 수도 있습니다.

※ 원문: Fix Shadow IT In Your Organization