은둔의 IT, 위험한 건 알지만 우린 아닐 거라고?

편리성과 생산성을 높이는 각종 클라우드 서비스들 많아

기업에서 직원들에게 더 나은 솔루션 제공하면 자연히 사라질 문제

[보안뉴스 문가용] 회사에서 사용해도 된다고 허가해주지 않았지만 직원들은 업무를 편하게 수행하기 위해 사용하는 IT 솔루션이나 애플리케이션을 은둔의 IT라고 한다. 이게 얼마나 위험한지 이제 일반 기업들도 슬슬 알아가는 분위기다. 그러나 그뿐이다. 클라우드 컴퓨팅이 대세가 되었고 모바일 기기를 누구나 한두 개 손에 들고 일을 하는 지금, 아직도 많은 기업들은 내부에 얼마나 많은 은둔의 IT가 존재하는지는 모르고 있다. 무서운 건 알지만, 우리는 해당사항 없어, 라는 식이다.

보안 전문기업인 사이퍼클라우드(CipherCloud)는 자사의 기업고객들이 1년 동안 사용한 클라우드 사용현황을 분석했다. 그 결과 북미 지역의 기업들은 기업 당 평균 1245개의 클라우드 앱을 사용하고 있는 것으로 밝혀졌다. 더 놀라운 건 그 중 86%가 회사로부터 허가되지 않았을뿐만 아니라 회사 보안 담당부서에서 존재조차 모르고 있다는 사실이었다.

사이퍼클라우드의 글로벌 총책임자인 윌리 레히터(Willy Leichter)은 이 결과를 두고 ‘은둔의 IT’가 갖고 있는 문제점이 고스란히 드러나는 수치라고 한다. 이 어마어마한 숫자를 기업들은 감도 못 잡고 있다는 것이다. “조사를 한 저희도 이 숫자에 무척 놀랐습니다. 현장의 IT 및 보안 담당자들이 예상하던 수치를 몇 배나 상위하는 보유량을 기록한 기업들도 꽤나 많았습니다. 한 기업의 보안 담당자는 ‘많아야 스무 개 정도 되지 않겠나’라고 예상했는데 조사 결과 실제로 나온 은둔의 IT 개수는 70개가 넘었습니다.”

이번 조사에서 ‘은둔의 IT’란 ‘클라우드 기반의 서비스’, 그 중에서도 사용자가 ID와 암호를 입력해서 로그인하는 방식의 제품 및 서비스만을 대상으로 삼았다. 링크드인(LinkedIn), 트위터, 드롭박스, 박스, 이메일 등이 이에 속한다. 그밖에 비슷한 방식으로 운영되는 보안 및 생산성, 스토리지 솔루션도 포함시켰다.

가장 많이 사용되는 서비스는 워드프레스(WordPress)나 어도비 크리에이티브 클라우드(Adobe Creative Cloud)와 같은 퍼블리싱 관련 애플리케이션, 인디드(Indeed), 레수몽크(Resumonk)와 같은 경력 관리 서비스, 페이스북, 트위터, 링크드인과 같은 소셜 미디어인 것으로 드러났다. 동시에 가장 취약한 서비스 항목이기도 했다. 퍼블리싱 관련 애플리케이션은 52%가, 소셜 미디어 애플리케이션은 42%가, 경력 관리 애플리케이션은 40%가 고도로 취약한 것으로 나타났기 때문이다. 취약성을 가늠하는 기준은 다중 인증방식의 유무, 데이터 암호화 기능의 유무, 외주업체의 접근권한, 컴플라이언스 인증서 유무였다.

이렇게 은둔의 IT가 기업 내에서 번창(?)할 수 있었던 요인으로는 BYOD 정책이 첫손에 꼽혔다. 개인의 모바일 기기를 업무에 활용하는 직원이 은둔의 IT를 사용할 확률이 훨씬 높았기 때문이다. 예를 들어 사무실에서 하던 문서작업을 집에서까지 이어하고 싶은 경우 모바일 기기를 통해 파일 공유 클라우드 서비스에 접속해 전송하는 직원들이 많았다. 출근길이나 집 소파에 앉아 문서를 검토하는 건 모바일 기기가 아무래도 편하기 때문이었다.

또한 업무 환경에서 사용되는 하드웨어와 소프트웨어가 대부분 구식이라는 점도 은둔의 IT를 활성화시키는 데 한 몫 하고 있다. 일은 빨리 해야 하는데 컴퓨터가 느리고 소프트웨어의 기능이 떨어지니 직원들이 자급자족을 하고 있는 것이다.

은둔의 IT라는 위험 충만한 존재가 세상에 알려진 건 이미 오래전 일이지만 그 위험성이 전혀 줄어들고 있지 않다. 아니, 오히려 늘어나고 있다고 볼 수 있는 건 예전엔 ‘은둔의 IT’를 통한 사고가 발생한다 하더라도 대부분 해당 사용자의 시스템, 더 나아가 기업 내 네트워크 안에서만 존재했던 것에 반해 이제는 세상 모든 것들이 다 연결되어 있는 시대이다 보니 내 컴퓨터 안의 문제가 엉뚱한 기업의 문제가 될 수도 있기 때문이다. 나비효과가 더 이상 비유성을 담고 있는 사회학적인 표현이 아닌 곳이 현대와 미래의 사이버 세상인 것이다.

SANS의 보안 위협 전문가인 존 페스카토어(John Pescatore)는 이런 위험부담은 기업의 사업방향에 IT 기술력을 맞춰나가면 해결할 수 있다고 조언한다. “직원들이 은둔의 IT를 사용하는 이유는 대부분 하나입니다. 업무효율이죠. 그러니까 기업에서 직원들이 일을 더 잘 할 수 있는 환경을 구축해주면 됩니다. 예전에야 2000년이 훨씬 넘었는데도 윈도우 95를 계속 썼었지만 요즘은 그런 정서가 없죠. 사용자들이 알아서 자신들에게 맞는 솔루션을 값싸게 찾는 때라서 그렇습니다. 게다가 여러 사람들이 서로에게 연결되어 일을 하다 보니 호환성 문제도 생기고요.”

직원들이 편리하고 효과적으로 어디서나 원하는 때에 업무를 볼 수 있도록 해준다면 은둔의 IT를 사용할 이유 자체가 희미해진다. “음지에서 뭔가가 성행하는 건 양지가 작아진다는 뜻입니다. IT가 갈 길을 잃고 헤매면 당연히 이런 것들이 대체제가 되는 것이죠.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)