섀도우(Shadow) IT

Shadow IT란 무엇인가 ?

Shadow IT는 IT 팀의 승인을 받지 않고 직원들이 사용하는 애플리케이션을 비롯한 소프트웨어, 하드웨어 및 기타 기술을 의미합니다. 이는 또한 애플리케이션의 부적절한 사용을 의미할 수도 있습니다.

Shadow IT는 검증되지 않은 애플리케이션에 조직의 IT 환경 및 네트워크에 대한 접근을 허용함으로써 보안 위험을 초래합니다. 이는 공격자가 환경이나 네트워크에 눈에 띄지 않고 들어갈 수 있게 해줄 수 있습니다.

예를 들어, 직원이 사무실의 네트워크에서 보안되지 않은 애플리케이션을 사용할 때, 해커는 애플리케이션의 트래픽을 하이재킹하여 사무실 네트워크에 들어가 중요 시스템에 접근할 수 있습니다.

보안 위험 외에도, Shadow IT 애플리케이션이 증가할 경우, 그들이 차지하는 네트워크 대역폭의 양이 상당해집니다. 그 결과 IT 팀은 대역폭이 왜 고통받고 있는지 또는 무엇이 많은 자원을 소비하는지 알지 못할 수 있습니다.

IT 팀은 네트워크 모니터링 소프트웨어와 깊은 패킷 검사(DPI)와 같은 도구를 사용하여 Shadow IT 트래픽을 찾고 해당 애플리케이션을 식별하는 것이 중요합니다. 애플리케이션이 식별되면, IT 팀은 문제를 해결하기 위한 적절한 조치를 취할 수 있습니다. 이 과정은 조직에게 사업 목표를 달성하기 위해 새롭고 더 나은 애플리케이션을 식별하는 데에도 도움이 될 수 있습니다.

Shadow IT의 정의

• 정의 1: 기업 네트워크 내에서 IT 부서의 승인이나 감독 없이 사용되는 기술 
• 정의 2: 회사 데이터에 접근, 저장, 또는 공유하는 불법적인 행위 

Shadow IT의 영향

• 네트워크 관리자의 과부하: 섀도 IT로 인해 네트워크 관리자가 모든 문제를 처리하느라 과부하에 직면할 수 있음 
• IT 및 보안 팀의 지원 부재: IT 또는 보안 팀의 지원 없이 비즈니스에서 정보 기술 자원을 사용하는 관행 

Shadow IT의 발생 원인

대부분의 경우, 직원들이 승인되지 않은 애플리케이션을 사용하는 것은 그들의 일을 더 빠르고 효율적으로 처리하기 위함입니다. 이것은 그 자체로 나쁜 것은 아닙니다. IT 부서가 Shadow IT 애플리케이션을 발견하면, 해당 애플리케이션을 보안 및 개인정보 보호 위험성에 대해 검토합니다. IT 담당자는 조직이 현재 사용하는 것보다 해당 애플리케이션이 조직에 더 잘 맞는다고 판단할 수도 있습니다.

Shadow IT는 새로운 현상이 아닙니다. 하버드 비즈니스 리뷰(HBR)의 2012년 기사에 따르면, Shadow IT는 직원들이 업무 효율을 높이기 위해 2007년부터 데이터베이스를 구축하기 위해 계약자를 고용하기 시작하면서 처음 나타났습니다. 그리고 클라우드의 등장은 이 문제를 더욱 악화시켰습니다.

HBR 기사에서 Jill Dyche는 다음과 같이 썼습니다. "그 다음 클라우드가 나타났고, IT의 낮은 전달 속도에 대한 불만이 높아지면서, 매니저들은 고객 관계 관리에서 공급망 보고서, 소셜 미디어 분석에 이르기까지 다양한 비즈니스 프로세스를 자동화하기 위해 외부 벤더로 몰려갔습니다."

Dropbox, Google Docs, Box, Skype와 같은 생산성 및 커뮤니케이션 애플리케이션은 Shadow IT에서 흔히 발견됩니다. 종종 직원들이 애플리케이션의 채택을 요청하지만, IT 팀이 항상 그 요청에 응답하여 승인 없이 해당 애플리케이션을 배포하지는 않습니다.

Entrust Datacard의 2019년 설문조사에 따르면, IT 부서의 단 12%만이 직원의 요청에 후속 조치를 취한다고 합니다. 설문조사는 "느린 IT 승인 과정이 직원들을 좌절시키고, 그들의 일을 처리하기 위해 규칙을 우회하면서 보안 위험을 더욱 증가시킨다"고 밝혔습니다.

반응형

가시성 문제

IT 부서는 네트워크와 환경을 보호할 수 없습니다. 그 이유는 Shadow IT가 대규모 공격 벡터의 사각지대를 형성하기 때문입니다.

Masergy의 제품 관리 이사인 Ajay Pandya에 따르면, "일반적으로 기업 네트워크에서 운영되는 승인된 애플리케이션은 40, 50, 60개 정도이지만, 그 수는 600에서 천 개에 이를 수 있습니다." 그는 또한 "일반적인 조직의 트래픽의 40%에서 50%가 알려지지 않은 애플리케이션에서 사용된다"고 말했습니다.

이러한 추정치는 조직이 네트워크에 접근할 수 있는 알려지지 않은 애플리케이션들로부터 직면하는 위험의 정도를 나타냅니다. 이 애플리케이션들은 보안 기능이 의심스러울 수 있습니다.

지속적으로 확대되는 공격 표면을 해결하는 첫 번째 단계는 네트워크에 대한 더 큰 가시성을 확보하는 것입니다. 조직이 적합한 가시성 솔루션을 제공하는 공급업체를 찾으면, 애플리케이션을 발견하고 분류하며 심사하는 과정을 시작할 수 있습니다.

심사 과정은 애플리케이션이 제공하는 위험 수준, 직원들이 업무를 완료하는 데 얼마나 잘 도움이 되는지, 그리고 애플리케이션이 업무 수행을 방해하는지 여부를 검토합니다.

Pandya는  "IT가 취하는 조치와 정책을 수립하는 데 있어 적절한 균형을 맞추는 것도 중요합니다. 그래서 모든 애플리케이션을 차단하거나 허용하는 것이 아닙니다." 라고도 언급했습니다.

섀도우 IT의 보안 위협

• 데이터 유출: 승인되지 않은 애플리케이션을 사용함으로써 발생할 수 있는 가장 큰 위협 중 하나입니다. 이러한 애플리케이션은 종종 충분한 보안 조치가 없어, 기업 데이터가 외부로 유출될 위험이 있습니다.
• 해킹 및 악성 소프트웨어: 승인되지 않은 소프트웨어는 종종 업데이트가 부족하거나 알려진 취약점을 가지고 있어, 해커들이 이를 이용해 네트워크에 침입할 수 있는 길을 제공합니다.
• 규정 위반: 많은 산업 분야에서는 데이터 보호 및 개인정보 처리에 관한 엄격한 규정을 준수해야 합니다. 섀도 IT는 이러한 규정을 위반할 수 있으며, 이로 인해 법적 처벌이나 벌금이 부과될 수 있습니다.
• 보안 정책의 효과 저하: 조직 내에서 일관된 보안 정책의 적용을 방해하며, 보안 인식 및 교육 프로그램의 효과를 저하시킬 수 있습니다.

Shadow IT 모니터링 및 식별

Shadow IT 애플리케이션 식별을 위한 기술 중 하나는 심도있는 패킷 검사(Deep Packet Inspection, DPI)입니다. 이 기술은 차세대 방화벽(Next-Generation Firewalls, NGFWs), 보안 액세스 서비스 엣지(Secure Access Service Edge, SASE) 네트워크, 그리고 보안 웹 게이트웨이(Secure Web Gateways, SWGs)에서도 찾아볼 수 있습니다.

DPI는 패킷의 헤더를 살펴보면서 그 패킷이 어떤 서버로 가는지, 출처 도메인 이름이 무엇인지, 심지어 어떤 애플리케이션에서 온 것인지를 판별할 수 있기 때문에 Shadow IT를 식별하는 데 효과적입니다. 패킷의 헤더 정보를 보는 것은 마치 봉투 앞면을 보는 것과 같으며, DPI는 패킷의 내용을 보지 않습니다.

IT 팀은 DPI 데이터를 검토하여 알려지지 않고 승인되지 않은 애플리케이션에서 온 트래픽을 찾습니다. 이후에는 해당 애플리케이션을 시스템에 통합할 가치가 있는지 위험 평가를 실시합니다.

보안 정보 및 이벤트 관리(Security Information and Event Management, SIEM) 시스템과 클라우드 액세스 보안 브로커(Cloud Access Security Brokers, CASBs)는 네트워크에 대한 향상된 가시성을 제공하기 위해 종종 함께 사용되는 기술입니다. 앞서 언급했듯이, 가시성은 Shadow IT 애플리케이션을 찾아 추가 검토를 할 수 있게 하는 핵심입니다.

SIEM은 네트워크 트래픽을 모니터링하고, 특히 보안 이벤트에 대한 자세한 로그를 수집하는 도구입니다. 그런 다음 보안 분석가가 검토할 수 있도록 로그를 보고합니다. 분석가가 로그를 검토하면 승인되지 않은 애플리케이션으로 가는 트래픽을 볼 수 있습니다. 통합된 CASB는 SIEM이 클라우드로 향하는 트래픽을 모니터링하고 승인된 애플리케이션 또는 승인되지 않은 애플리케이션으로부터의 트래픽을 허용하거나 거부하는 정책을 집행하는 것을 보장합니다.

1. 심층 패킷 검사(Deep Packet Inspection, DPI): DPI는 네트워크 트래픽의 패킷 헤더를 검사하여 그 패킷이 어느 서버로 가는지, 출처 도메인 이름은 무엇인지, 심지어 해당 패킷이 어떤 애플리케이션에서 왔는지를 파악할 수 있습니다. 이 기술은 차세대 방화벽(NGFWs), 보안 접속 서비스 엣지(SASE) 네트워크, 보안 웹 게이트웨이(Secure Web Gateways, SWGs) 등에서 찾아볼 수 있습니다.
2. 보안 정보 및 이벤트 관리(Security Information and Event Management, SIEM): SIEM 시스템은 네트워크 트래픽을 모니터링하고, 특히 보안 이벤트에 대한 자세한 로그를 수집하여 보안 분석가들이 검토할 수 있도록 합니다. 분석가들은 이 로그를 검토하여 승인되지 않은 애플리케이션으로 가는 트래픽을 식별할 수 있습니다.
3. 클라우드 액세스 보안 브로커(Cloud Access Security Broker, CASB): CASB는 클라우드로 향하는 트래픽을 모니터링하고, 승인된 애플리케이션이나 승인되지 않은 애플리케이션으로부터의 트래픽을 허용하거나 거부하는 정책을 집행합니다. CASB는 종종 SIEM과 함께 사용되어 네트워크에 대한 향상된 가시성을 제공합니다.

섀도우 IT 관리 전략

• 적절한 네트워크 설계 및 구축: 최적의 섀도 IT 전략을 위해 적절한 네트워크 설계와 구축이 중요합니다. 이는 조직 내에서 섀도 IT의 사용을 감지하고 관리하는 데 도움이 됩니다. 
• IT 정책의 명확한 정립: 조직은 보안 전략의 일환으로 IT 정책을 수립해야 합니다. 이 정책은 허용되는 소프트웨어 목록을 정의하고, SaaS 보안 솔루션을 배포하여 잠재적 위험을 완화해야 합니다. 
• 직원 교육 및 인식 제고: 직원들이 섀도 IT의 위험성을 인식하고, 승인된 도구와 소프트웨어만 사용하도록 교육하는 것이 중요합니다. 이는 섀도 IT로 인한 보안 위험을 줄이는 데 도움이 됩니다.
• 투명한 커뮤니케이션: IT 부서와 직원 간의 투명한 커뮤니케이션을 통해 필요한 도구와 소프트웨어에 대한 요구사항을 명확히 할 수 있습니다. 이는 직원들이 승인되지 않은 도구를 사용할 필요성을 줄이는 데 도움이 됩니다.

섀도우 IT를 효과적으로 관리하기 위해서는 조직 내에서의 명확한 정책 수립, 직원 교육 및 인식 제고, 그리고 IT 부서와의 투명한 커뮤니케이션이 필수적입니다. 이러한 전략을 통해 섀도우 IT로 인한 보안 위험을 최소화하고 조직의 IT 환경을 보다 안전하게 유지할 수 있습니다.

섀도우 IT 모니터링 및 관리 솔루션

• 마이크로소프트 디펜더 클라우드 앱: 마이크로소프트 디펜더 클라우드 앱은 섀도 IT를 찾고 관리하는 과정을 설명합니다. 이 솔루션을 통해 조직은 클라우드 기반의 섀도 IT 자원을 효과적으로 모니터링하고 관리할 수 있습니다. 
• 주니퍼 네트웍스의 유나이트(Unite): 주니퍼의 유나이트는 보안 및 스위칭 솔루션을 활용하여 안전하고 민첩한 클라우드 기반 기업 환경을 구축하는 데 도움을 줍니다. 이를 통해 섀도 IT를 포함한 다양한 IT 자원을 보다 효과적으로 관리할 수 있습니다.
• 시스코 Umbrella: Cisco Umbrella는 클라우드 보안 솔루션으로, Cloudlock 기술과 함께 사용되어 조직의 클라우드 사용을 보다 효과적으로 관리하고 보호합니다. 
• 컨덕터원(ConductorOne): 컨덕터원은 신원 보안 및 접근 관리에 특화된 솔루션을 제공합니다. 이를 통해 기업은 섀도 IT에 대한 접근을 자동으로 발견하고 보호하며 관리할 수 있습니다. 

Shadow IT의 주요 요약

1. 정의와 위험성: Shadow IT는 IT 부서의 승인이나 지식 없이 사용자가 독자적으로 도입하고 사용하는 IT 자원입니다. 이는 보안 취약점, 데이터 유출, 법적 위반의 위험을 증가시킬 수 있습니다.
2. 조직에 미치는 영향: 조직의 공격 표면을 확대하여 보안 위험을 증가시키고, 대역폭 소비를 증가시키며, 때로는 조직에 더 효율적이거나 혁신적인 기술 솔루션을 제공할 수도 있습니다.
3. 가시성 확보의 중요성: Shadow IT를 식별하고 관리하기 위해서는 조직 네트워크에 대한 투명한 가시성이 필요합니다. 네트워크의 모든 트래픽과 활동을 모니터링하여 미승인 애플리케이션 사용을 파악해야 합니다.
4. DPI의 역할: DPI는 네트워크 트래픽을 심층적으로 분석하여 애플리케이션 종류, 사용자 행동 등을 파악할 수 있게 해줍니다. 이를 통해 IT 팀은 Shadow IT 활동을 효과적으로 찾아내고 대응할 수 있습니다.