특히 클라우드 사용 많아...데이터 자체를 보호해야
결국 사용자들의 인식 제고가 장기적인 해결책
[보안뉴스 문가용 기자] 업무에 따른 입장이 다르고, 입장에 따라 추구하는 바가 다르기 때문에 떠오르는 것이 있다. 바로 은둔의 IT라고 불리는 Shadow IT다. 이는 조직에서 미처 등록하거나 관리하지 못하는 애플리케이션, 모바일, 기기 등을 아우르는 말이다. 보통 업무를 수행하기 위해 직원들이 ‘은둔의 IT’인줄도 모르고 활용하는 것들이다.
그런 사정이 있는 한편, IT 보안을 담당하고 있는 사람들에게는 데이터를 보호해야 한다는 의무가 있다. 다른 부서 직원들이 업무를 빠르고 효율적으로 하기 위해 여러 기기와 프로그램들을 동원하는 것만큼, 보안 담당자들 역시 자신들 본연의 임무를 다하기 위해 직원들이 사용하는 기기와 프로그램들을 감시, 제한해야 한다. 여기서 충돌이 발생한다.
이에 IT 솔루션 업체인 스파이스웍스(SpiceWorks)에서 “데이터 스냅샷 : 보안, 프라이버시, 우회의 리스크(Data Snapshot : Security, Privacy, and the shadowy risks of bypassing IT)”라는 연구 보고서를 발표했다. 은둔의 IT가 실제 얼마나 사용되고 있으며, 그에 따른 위험은 어느 정도인지 알아보는 것이 해당 연구의 목표였으며, 북미, 유럽, 중동, 아프리카에 걸친 338명의 IT 전문가들을 대상으로 실시했다고 한다.
결과부터 말하자면 은둔의 IT는 모든 사업체와 조직을 위협하는 쓴 뿌리 그 자체다. 연구에 응한 IT 전문가들 중 80%가 “우리 조직의 사용자들이 허가되지 않은 클라우드 서비스를 설치해 사용하고 있다”고 답했고, 40%가 “조직 내 사용자들이 적어도 5번 이상 IT 담당자 몰래 뭔가를 하다가 들킨 적이 있다”고 답했다.
직원들 입장에서 드롭박스나 구글 등, 흔히 사용되고 있는 클라우드를 회사 업무에 활용한다고 해서 크게 위험할 것이 없는 것처럼 보일 수 있다. 그들은 이미 다른 모든 곳에서 여러 앱들을 활용하고 있으며 기술 사용에 매우 능숙하다. 하지만 IT 전문가들은 불안하다. 40%가 “은둔의 IT 때문에 정보가 훨씬 더 큰 위험에 노출되어 있다”고 답한 것이다.
“최종 사용자들은 종단간 암호화라든가 다중 인증이라든가 사용자 접근 통제와 같은 개념에 대해 잘 모르는 게 보통입니다. 그래서 은둔의 IT를 사용하다가 자기도 모르게 중요한 정보를 퍼트리는 실수를 범하게 됩니다. 자기가 쓰는 암호를 평문 텍스트 파일로 저장해놓는다거나 고객 정보가 가득한 엑셀을 공공 클라우드에 잠깐 올린다거나 하는 거죠.” 스파이웍스 측의 설명이다.
그렇다면 가장 위협이 되는 은둔의 IT는 무엇일까? 스파이스웍스는 “클라우드 저장소”라고 한다. “35%의 전문가가 가장 취약한 것으로 은둔의 클라우드를 꼽았습니다. 그 다음은 웹 기반 이메일 서비스로 27%가 지메일, 핫메일 등을 선택했고요.”
사용자들이 은둔의 IT를 사용하게 되는 건 등록과 사용이 매우 간편하기 때문이다. 기술적 배경이 전혀 없어도 다운로드 받고 설치해 당장에 업무에 활용하는 게 가능하다. “그러니 ‘보안의 측면에서 괜찮을까?’하는 생각을 할 틈이 없습니다. 민감한 기업 기밀 및 데이터를 다루고 있어도 보안 생각을 잘 안 하기도 하지만요. 게다가 이런 서비스를 제공하는 업체도 보안에 대한 고려를 크게 하지 않은 경우가 거의 대부분입니다.”
게다가 은둔의 IT 때문에 생기는 위험은 회사 규모가 클수록 커진다고 한다. 이는 당연한 게, 보안 개념이라는 게 확산되지 않은 상태에서 사람이 많으면 많을수록 은둔의 IT 사용이 증가하기 때문이다. 게다가 보안 담당자가 추적하고 감시해야 할 사람들 및 여러 사용 현황들이 기하급수적으로 증가한다.
이런 때의 가장 적절한 대처법은, 이번 연구에 의하면 68%가 ‘데이터 보안’이라고 답했다. “솔직히 무슨 공산국가처럼 빡빡하게 조직을 운영하면 은둔의 IT는 어느 정도 막을 수 있다고 봅니다만, 그건 보안 부서에서 내릴 수 있는 결정은 아니죠. 개개인들의 모니터를 다 쳐다보고 있을 수도 없고요. 그러니 데이터 자체를 지키는 것에 집중을 해야 합니다.”
이러면 클라우드에 있는 데이터를 어떻게 안전하게 지켜야 하는가, 가 관건이 된다. 위에서도 나왔지만 가장 많이 사용하는 은둔의 IT가 클라우드 관련 앱이기 때문이다. 이 부분에 관해서 응답자들은 종단간 암호화(68%), 다중 인증(67%), 사용자 접근 통제(67%)가 필요하다고 답했다. 또한 51%는 클라우드 서비스 업체의 보안 실태를 사전 조사하고 계약서를 엄격하게 작성하는 것이 답이라고 했다.
그러나 스파이스웍스는 “이런 해결책들 모두 길게 보면 임시방편일 수밖에 없다”며 “사용자들의 인식 제고가 반드시 필요하며, 이를 위한 교육이 병행되어야 한다”고 설명한다. “결국 보안 담당자들의 필요를 일반 직원들이 알아야 한다는 겁니다. 그러나 가는 게 있어야 오는 게 있는 법이죠. 보안 담당자들 역시 진지한 대화를 통해 일반 사용자들이 왜 은둔의 IT를 사용할 수밖에 없는지 이해해줘야 합니다. 그리고 대안을 내놓아야겠죠.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
결국 사용자들의 인식 제고가 장기적인 해결책
[보안뉴스 문가용 기자] 업무에 따른 입장이 다르고, 입장에 따라 추구하는 바가 다르기 때문에 떠오르는 것이 있다. 바로 은둔의 IT라고 불리는 Shadow IT다. 이는 조직에서 미처 등록하거나 관리하지 못하는 애플리케이션, 모바일, 기기 등을 아우르는 말이다. 보통 업무를 수행하기 위해 직원들이 ‘은둔의 IT’인줄도 모르고 활용하는 것들이다.
그런 사정이 있는 한편, IT 보안을 담당하고 있는 사람들에게는 데이터를 보호해야 한다는 의무가 있다. 다른 부서 직원들이 업무를 빠르고 효율적으로 하기 위해 여러 기기와 프로그램들을 동원하는 것만큼, 보안 담당자들 역시 자신들 본연의 임무를 다하기 위해 직원들이 사용하는 기기와 프로그램들을 감시, 제한해야 한다. 여기서 충돌이 발생한다.
이에 IT 솔루션 업체인 스파이스웍스(SpiceWorks)에서 “데이터 스냅샷 : 보안, 프라이버시, 우회의 리스크(Data Snapshot : Security, Privacy, and the shadowy risks of bypassing IT)”라는 연구 보고서를 발표했다. 은둔의 IT가 실제 얼마나 사용되고 있으며, 그에 따른 위험은 어느 정도인지 알아보는 것이 해당 연구의 목표였으며, 북미, 유럽, 중동, 아프리카에 걸친 338명의 IT 전문가들을 대상으로 실시했다고 한다.
결과부터 말하자면 은둔의 IT는 모든 사업체와 조직을 위협하는 쓴 뿌리 그 자체다. 연구에 응한 IT 전문가들 중 80%가 “우리 조직의 사용자들이 허가되지 않은 클라우드 서비스를 설치해 사용하고 있다”고 답했고, 40%가 “조직 내 사용자들이 적어도 5번 이상 IT 담당자 몰래 뭔가를 하다가 들킨 적이 있다”고 답했다.
직원들 입장에서 드롭박스나 구글 등, 흔히 사용되고 있는 클라우드를 회사 업무에 활용한다고 해서 크게 위험할 것이 없는 것처럼 보일 수 있다. 그들은 이미 다른 모든 곳에서 여러 앱들을 활용하고 있으며 기술 사용에 매우 능숙하다. 하지만 IT 전문가들은 불안하다. 40%가 “은둔의 IT 때문에 정보가 훨씬 더 큰 위험에 노출되어 있다”고 답한 것이다.
“최종 사용자들은 종단간 암호화라든가 다중 인증이라든가 사용자 접근 통제와 같은 개념에 대해 잘 모르는 게 보통입니다. 그래서 은둔의 IT를 사용하다가 자기도 모르게 중요한 정보를 퍼트리는 실수를 범하게 됩니다. 자기가 쓰는 암호를 평문 텍스트 파일로 저장해놓는다거나 고객 정보가 가득한 엑셀을 공공 클라우드에 잠깐 올린다거나 하는 거죠.” 스파이웍스 측의 설명이다.
그렇다면 가장 위협이 되는 은둔의 IT는 무엇일까? 스파이스웍스는 “클라우드 저장소”라고 한다. “35%의 전문가가 가장 취약한 것으로 은둔의 클라우드를 꼽았습니다. 그 다음은 웹 기반 이메일 서비스로 27%가 지메일, 핫메일 등을 선택했고요.”
사용자들이 은둔의 IT를 사용하게 되는 건 등록과 사용이 매우 간편하기 때문이다. 기술적 배경이 전혀 없어도 다운로드 받고 설치해 당장에 업무에 활용하는 게 가능하다. “그러니 ‘보안의 측면에서 괜찮을까?’하는 생각을 할 틈이 없습니다. 민감한 기업 기밀 및 데이터를 다루고 있어도 보안 생각을 잘 안 하기도 하지만요. 게다가 이런 서비스를 제공하는 업체도 보안에 대한 고려를 크게 하지 않은 경우가 거의 대부분입니다.”
게다가 은둔의 IT 때문에 생기는 위험은 회사 규모가 클수록 커진다고 한다. 이는 당연한 게, 보안 개념이라는 게 확산되지 않은 상태에서 사람이 많으면 많을수록 은둔의 IT 사용이 증가하기 때문이다. 게다가 보안 담당자가 추적하고 감시해야 할 사람들 및 여러 사용 현황들이 기하급수적으로 증가한다.
이런 때의 가장 적절한 대처법은, 이번 연구에 의하면 68%가 ‘데이터 보안’이라고 답했다. “솔직히 무슨 공산국가처럼 빡빡하게 조직을 운영하면 은둔의 IT는 어느 정도 막을 수 있다고 봅니다만, 그건 보안 부서에서 내릴 수 있는 결정은 아니죠. 개개인들의 모니터를 다 쳐다보고 있을 수도 없고요. 그러니 데이터 자체를 지키는 것에 집중을 해야 합니다.”
이러면 클라우드에 있는 데이터를 어떻게 안전하게 지켜야 하는가, 가 관건이 된다. 위에서도 나왔지만 가장 많이 사용하는 은둔의 IT가 클라우드 관련 앱이기 때문이다. 이 부분에 관해서 응답자들은 종단간 암호화(68%), 다중 인증(67%), 사용자 접근 통제(67%)가 필요하다고 답했다. 또한 51%는 클라우드 서비스 업체의 보안 실태를 사전 조사하고 계약서를 엄격하게 작성하는 것이 답이라고 했다.
그러나 스파이스웍스는 “이런 해결책들 모두 길게 보면 임시방편일 수밖에 없다”며 “사용자들의 인식 제고가 반드시 필요하며, 이를 위한 교육이 병행되어야 한다”고 설명한다. “결국 보안 담당자들의 필요를 일반 직원들이 알아야 한다는 겁니다. 그러나 가는 게 있어야 오는 게 있는 법이죠. 보안 담당자들 역시 진지한 대화를 통해 일반 사용자들이 왜 은둔의 IT를 사용할 수밖에 없는지 이해해줘야 합니다. 그리고 대안을 내놓아야겠죠.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
