섀도우 IT의 비용 증가
승인되지 않은 애플리케이션이 수익에 미치는 영향
섀도우 IT 채택이 확산되고 있으며 그 위험도 증가하고 있습니다.
섀도우 IT(조직 내에서 승인되지 않은 하드웨어, 소프트웨어, 애플리케이션, 서비스의 채택)는 오랫동안 IT를 괴롭혀 왔습니다.최근 CORE 연구 보고서에 따르면 조직에서 원격 근무 모델을 널리 수용한 이후 섀도우 IT의 사용이 59%나 폭증했으며 IT 팀의 54%는 이러한 급증으로 인해 자체 조직의 "데이터 유출 위험이 훨씬 더 높다"고 설명합니다.
섀도우 IT의 증가를 주도하는 것은 무엇이며, 조직에서는 직원과 네트워크를 도입하는 섀도�우 IT가 초래하는 위험으로부터 어떻게 보호할 수 있을까요?
두 가지 원인은 클라우드 채택의 증가와 원격 작업의 증가입니다. 요즘의 인력은 점점 더 민첩해지고 분산되어 IT의 가시성과 제어 기능이 제한된 위치와 장치에서 운영되고 있습니다. 직원들은 현장에서 작업하든 원격으로 작업하든, 작업을 완료하는 데 도움이 되는 도구를 선호합니다. 이러한 도구가 IT 부서에서 이미 승인한 애플리케이션 목록과 일치하지 않거나 도구가 제공되지 않은 공백을 메우는 데 사용되는 경우 많은 조직에서 문제가 발생합니다.
Stratecast와 Frost & Sullivan의 설문조사에 따르면 직원의 80%가 IT 부서의 승인 없이 SaaS 애플리케이션을 채택하여 기업 네트워크를 수많은 보안 위협과 취약점에 노출시킵니다.
그러나 조직에서 섀도우 IT의 확산을 막으려면 먼저 a) 비용이 얼마인지, b) 직원들이 왜 섀도우 IT를 계속 사용하고 있는지, c) 어떤 검색 및 수정 도구가 도움이 될 수 있는지 파악해야 합니다.
섀도우 IT의 실제 비용
2021년 IT 관리 회사인 Insight Global에서는 약 70,000명의 펜실베이니아주 주민의 개인 정보가 노출되는 데이터 유�출을 겪었습니다.이 회사는 주 보건부의 코로나19 접촉 추적 노력을 지원하기로 계약했지만, 직원들이 "'승인받지 않은 공동 작업 채널'의 일부로 정보를 공유하려고 여러 Google 계정"을 시작하면서 수집했던 정보가 손상되었습니다.
펜실베이니아주 보건부에서는 유출된 데이터가 심각하게 오용된 사례를 추적할 수 없었지만, 이 사건은 섀도우 IT 때문에 조직의 보안 태세가 얼마나 쉽게 약화될 수 있는지를 잘 보여줍니다.
IT 부서에서 직원이 사용하는 도구와 계정에 대한 가시성이 부족하면 중요한 데이터와 리소스를 회사 경계 내에 유지할 방법이 없습니다. 따라서 도구에 보안상의 결함이 있는지 평가하거나, 적절한 보안 제어를 적용하거나, 데이터 이동을 모니터링하고 제한하거나, 규정 준수 요구 사항을 충족하거나, 이러한 관리되지 않는 애플리케이션 및 서비스 내의 취약점으로 촉발되는 데이터 위반 및 공격을 예측할 수 없습니다.
Insight Global에서의 데이터 유출과는 달리 대부분의 공격은 특히 IT 부서에서 손상된 애플리케이션 또는 계정을 인식하지 못하는 경우 복원 하는 데 비용과 시간이 많이 소요됩니다(IBM에 따르면 데이터 유출당 평균 424만 달러). Forbes Insights의 연구에 따르면 설문조사에 참여한 조직 5곳 중 1곳에서 섀도우 IT로 인해 사이버 공격을 받은 반면, 응답자의 절반 미만이 자체 조직에서 비즈니스��에 큰 영향을 받지 않고 사이버 사고로부터 복구할 수 있다고 자신감을 보였습니다.
섀도우 IT를 그대로 두면 사이버 공격의 위험이 증가할 뿐만 아니라 기타 비용도 증가합니다.원격 근무의 확대와 클라우드 기반 도구 및 서비스의 확산을 감안할 때 섀도우 IT 채택은 대규모 조직에서 IT 지출의 상당 부분을 차지합니다.NetEnrich의 설문조사에서 IT 의사 결정권자의 59%가 IT 지출과 예산 초과가 미래의 주요 관심사라고 응답했습니다.
승인되지 않은 애플리케이션 사용을 유도하는 요인
섀도우 IT를 제어하는 것은 가장 성실한 IT 부서에서도 힘든 프로세스일 수 있습니다.Productiv에 따르면 기업은 평균 270개에서 364개의 SaaS 애플리케이션을 사용하며 승인되지 않은 애플리케이션이 52%를 차지합니다.
조직에서 섀도우 IT로 인해 발생하는 위험을 식별하고 해결하기 위한 조치를 취하려면 먼저 직원이 여전히 섀도우 IT를 채택하는 이유를 이해해야 합니다. 직원들은 관리되지 않는 도구, 장치, 계정을 사용하면 상당한 보안 격차가 발생할 수 있다는 사실을 인식하지 못하는 경우가 많습니다. 대신, 섀도우 IT를 채택하는 이유는 일반적으로 다음 세 가��지 범주 중 하나에 속합니다.
직원들은 편리하고 효과적이며 특정 비즈니스 목적에 맞는 도구를 선호합니다.그리고 조직에서 직원에게 필요한 도구와 리소스를 제공하지 않으면 자체적으로 도구와 리소스를 찾을 수 있습니다.IBM에 따르면 Fortune 1,000대 기업 직원의 67%가 내부 부서에서 명시적으로 승인하지 않은 SaaS 애플리케이션을 사용합니다.
직원들은 섀도우 IT의 사이버 보안 위험을 이해하지 못할 수 있습니다.직원들은 새로운 도구에 대한 IT 승인을 받아야 한다는 사실을 인식하지 못하거나 승인되지 않은 애플리케이션 및 서비스를 네트워크에 도입하여 얼마나 많은 위험을 감수하고 있는지 깨닫지 못할 수 있습니다.
IT 정책 및 승인 프로세스가 명확하지 않거나 존재하지 않을 수 있습니다.IT 승인을 받는 것은 예산 제약, 보안 문제 등의 이유로 어렵거나 시간이 많이 걸리거나 불가능할 수도 있습니다.또한 일부 조직에서는 애플리케이션 채택에 대한 정책을 수립하지 않아 직원이 먼저 IT 부서에 사용 사실을 공개하지 않고 새로운 도구를 채택하도록 의도하지 않게 권장할 수 있습니다.
섀도우 IT의 위험 줄이기
섀도우 IT의 만연과 변화하는 특성으로 인한 관리되지 않는 도구 및 서비스의 취약점을 감지하고 퇴치하는 데 사용할 수 있는 만능 솔루션은 없습니다. 그러나 조직에서 섀도우 IT의 확산과 영향을 최소화하기 위해 취할 수 있는 몇 가지 주요 전략은 다음과 같습니다.
섀도우 IT 검색 솔루션을 채택합니다.섀도우 IT 검색은 IT 부서에서 네트워크에서 사용 중인 모든 애플리케이션(직원이 아직 공개하지 않은 애플리케이션 포함)을 감지하고 기록하는 데 도움이 될 수 있습니다.IT 부서에서 승인된 도구와 승인되지 않은 도구를 모두 분류한 후에는 보안 결함이나 구성 오류를 평가하고, 액세스 및 데이터 보호 정책을 해당 도구 앞에 배치하며, 해당 도구에 대한 직원 액세스를 보다 효과적으로 관리할 수 있습니다.
직원에게 사이버 보안 교육을 실시합니다.승인되지 않은 도구 및 계정의 위험에 대해 직원을 교육하면 섀도우 IT의 채택을 방지하는 데 큰 도움이 될 수 있습니다.
내부 섀도우 IT 정책을 수��립합니다.새로운 기술 채택과 관련된 정책을 수립하고 이러한 정책을 조직 내에 지속해서 알리면 IT 부서에서 새 애플리케이션과 서비스를 롤아웃하기 전에 철저히 검사하여 섀도우 IT의 확산을 효과적으로 늦추거나 막을 수 있습니다.또한 새로운 애플리케이션 및 도구의 채택 및 관리를 위한 구체적인 단계를 수립함으로써 조직은 직원들의 불만을 줄이고 직원들이 작업을 완료하는 데 필요한 도구를 사용하여 보다 효율적으로 작업하도록 만들 수 있습니다.
Cloudflare로 섀도우 IT 대응
섀도우 IT에 대한 효과적인 방어는 Zero Trust에서 시작됩니다. Zero Trust는 어떤 사용자나 장치도 본질적으로 회사 리소스에 액세스할 수 있도록 신뢰할 수 없다는 원칙에 따라 구축된 보안 모델입니다. 조직의 리소스 앞에 Zero Trust 제어를 배치함으로써 조직은 직원이 승인된 계정을 통해서만 승인된 애플리케이션에 액세스할 수 있도록 하여 사용자가 승인되지 않은 앱 간에 데이터를 보고, 공유하며, 이동하는 것을 더 어렵게 만들 수 있습니다.
Cloudflare Zero Trust는 승인된 애플리케이션과 승인되지 않은 애플리케이션에 대한 완전한 가시성과 제어를 IT 부서에 제공하고 섀도우 IT 등 보안 문제의 위험을 최소화하는 데 도움이 됩니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
섀도우 IT가 59% 폭증한 이유
직원의 80%가 승인되지 않은 SaaS 애플리케이션을 채택하는 이유
조직 5곳 중 1곳이 섀도우 IT로 인해 사이버 공격을 받는 이유
섀도우 IT 채택을 최소화하기 위한 3가지 핵심 전략
관련 자료
이 주제에 관해 자세히 알아보세요.
Cloudflare에서 섀도우 IT를 완화하는 방법에 대해 자세히 알아보려면 모든 SaaS 애플리케이션 솔루션 개요에 대한 Zero Trust 가시성 및 제어 기능을 확인하세요.