섀도우 IT는 조직 내 부서 또는 개인이 해당 조직의 IT 부서의 명시적 동의나 지식 없이 IT 소프트웨어, 장치, 시스템 또는 애플리케이션을 사용하는 것을 말합니다. 섀도우 IT 애플리케이션의 사용은 최근 몇 년 동안 크게 증가했으며, 이는 주로 원격 업무의 확산과 클라우드 기반 서비스 및 애플리케이션의 사용으로 인한 것입니다. 섀도우 IT는 생산성과 혁신을 가속화할 수 있지만, 특히 IT 부서가 알지 못하는 곳에 데이터가 저장될 때 심각한 보안 위험 및 규정 준수 문제가 발생할 수도 있습니다.
섀도우 IT 애플리케이션 및 활동의 예
조직의 IT 부서와 관련 없이 비즈니스 목적으로 사용되는 모든 애플리케이션은 섀도우 IT 애플리케이션으로 간주될 수 있습니다.
섀도우 IT 애플리케이션은 네 가지 주요 카테고리로 분류됩니다.
- 사용자가 기업 네트워크를 통해 직접 액세스하는 클라우드 기반 애플리케이션
- Microsoft Office 365 또는 Google Workspace와 같은 SaaS 애플리케이션을 통해 사용자가 액세스하는 클라우드 기반 애플리케이션입니다.
- 부서 또는 최종 사용자가 구매하여 시스템에 로드한 기성 소프트웨어(이제 덜 일반적).
- 개인의 기업 노트북에서 실행되는 맞춤형 소프트웨어.
섀도우 IT 활동의 예는 다음과 같습니다.
- Trello 또는 Asana와 같은 워크플로우 또는 생산성 앱의 다운로드 및 무단 사용.
- 개인 또는 부서 계정 또는 자격 증명을 통해 설정된 클라우드 워크로드의 생성 및 사용.
- 조직의 IT 부서에서 모니터링하지 않는 제3자 SaaS 애플리케이션 또는 기타 클라우드 서비스 구독의 무단 구매 및/또는 사용
- 업무 관련 커뮤니케이션을 위해 WhatsApp 또는 Signal과 같은 개인 메시징 플랫폼 또는 커뮤니케이션 애플리케이션 사용
- 개인 이메일 계정을 사용하여 비즈니스를 수행하는 행위
- 디바이스(BYOD)를 무단으로 가져오세요.
IT 리스크 극복
직원들이 회사의 통제를 벗어난 위치에 데이터를 저장하는 경우, 데이터를 보호하는 것은 거의 불가능합니다. 또한 IT 부서는 데이터가 어디에 있는지 모를 경우 기업의 고객 데이터의 어느 정도가 위험에 처해 있는지 알 수 없습니다.
따라서 섀도우 IT의 주요 보안 위험은 다음과 같습니다.
데이터 손실
회사는 개인 계정이나 개인 노트북에 저장된 데이터에 액세스할 수 없기 때문에 직원이 퇴사하거나 떠날 때 데이터가 손실됩니다. 또한, 이러한 개인 계정의 데이터는 기업 정책 및 절차의 적용을 받지 않으므로, 회사 정책에 따라 적절하게 백업, 보관 또는 암호화되지 않을 수 있습니다.
가시성 및 제어 기능 저하
섀도우 IT는 데이터 손실과 관련된 심각한 문제를 제기하는 것과 동일한 이유로 가시성과 제어 기능을 통해 심각한 문제를 제기합니다. 보이지 않는 것은 안전하게 보호할 수 없습니다. 셀프 프로비저닝의 사용이 증가하면 생산성과 온보딩이 가속화될 수 있지만, 리소스 프로비저닝도 분산되어 IT 부서가 현재 상황, 대상 및 장소를 파악하는 데 어려움을 겪게 됩니다. 이는 또한 데이터에 대한 신뢰할 수 있는 단일 진실 공급원이 없거나, 데이터에 대한 손상되거나 불완전한 진실 공급원을 가지지 못하게 합니다.
사이버 공격에 대한 취약성 증가
섀도우 IT의 모든 인스턴스는 조직의 공격 영역을 확장하며, 섀도우 IT 애플리케이션은 IT에 보이지 않기 때문에 회사의 사이버 보안 솔루션으로도 보호되지 않습니다. 또한, 섀도우 IT 애플리케이션 사용자는 사이버 범죄자들이 기업 네트워크에 액세스하기 위해 쉽게 활용할 수 있는 약한 자격 증명과 비밀번호를 사용하는 경우가 많습니다.
미준수로 인한 비용 증가
섀도우 IT는 데이터 침해 시 평판에 해를 끼치는 것 외에도 규제 벌금 및 처벌의 형태로 조직에 간접 비용을 발생시키는 경우가 많습니다. 또한, 일부 직원들은 비용을 절감하기 위해 섀도우 IT를 활용할 수 있지만, 데이터 스토리지와 같은 섀도우 IT 애플리케이션 및 서비스를 장기적으로 사용하는 것은 규모 면에서 비용 효율적이지 않은 경우가 많습니다.
섀도우 IT 리스크를 관리하고 완화하는 방법
섀도우 IT의 주요 원인은 무엇일까요?
직원들이 최선을 다해 업무를 수행하는 데 필요한 것을 가지고 있지 않습니다.
따라서, 섀도우 IT 인스턴스가 확산됨에 따라, 이를 관리하고 완화하는 책임은 직원들이 업무를 잘 수행하는 데 필요한 모든 도구, 리소스 및 서비스에 액세스할 수 있도록 할 책임이 있는 사람들에게 있습니다.
섀도우 IT 위험을 완화하기 위해 조직은 다음을 수행할 수 있습니다.
- 모든 도구와 기술의 안전하고 적절한 사용에 대해 직원들을 교육합니다.
- 새로운 서비스를 위한 프로비저닝에 관한 규칙과 프로토콜 시행
- 보안 및 규정 준수에 관한 회사 정책을 강조하고 지속적으로 강화합니다(비디오, 교육 등을 통해).
그러나 위의 모든 사항 외에도, IT 위험을 완화하기 위해 기업이 할 수 있는 가장 좋은 일은 퓨어스토리지 ® FlashArray ™ 및 스냅샷과 같은 고급 기술을 사용하는 것입니다. 이러한 기술은 데이터를 로컬로 유지하면서 여러 데이터 소스를 분석하기 위해 데이터 접근성과 가시성을 높여줍니다. 플래시블레이드(FlashBlade)® 오브젝트 스토리지 또는 클라우드의 Pure Cloud Block Store™에 직접 저장된 데이터와 함께 작동하므로 다른 툴이나 워크플로우와 공유되는 별도의 데이터 사본을 생성할 필요가 없습니다.
더미를 위한 스냅샷 e-book을 다운로드하세요.
FlashBlade//S™에 대해 자세히 알아보세요.
데이터 보호에 대한 전체 가이드를 다운로드하세요.
