섀도 IT란 무엇인가요?

섀도 IT는 일반적인 승인 절차를 벗어나 업무에 사용되는 모든 기술을 의미합니다. 예를 들어 파일 공유 앱, 팀 채팅 도구, 개인 노트북, 휴대폰 핫스팟, 회사 카드로 결제해 열어둔 소프트웨어 구독 등이 포함될 수 있습니다.

대부분의 경우 사람들은 규칙을 어기려고 그렇게 하지는 않습니다. 더 빨리 처리하려고 하거나, 문제를 해결하려고 하거나, 이미 알고 있는 도구를 쓰려는 경우가 많습니다. 소규모 비즈니스에서는 새로운 소프트웨어나 기기를 요청하는 명확한 절차가 없어서 시작되는 경우가 특히 흔합니다.

문제는 모든 승인되지 않은 도구가 나쁘다는 점이 아닙니다. 문제는 회사가 데이터가 어디에 저장되는지, 누가 접근 권한을 갖고 있는지, 직원이 퇴사했을 때 어떤 일이 생기는지, 그리고 해당 도구가 업계 규정에 맞는지 등을 모를 수 있다는 점입니다.

도구가 추적되지 않으면 간단한 일도 더 어려워집니다. 중복 소프트웨어 비용을 내고, 갱신을 놓치고, 개인 계정에 업무 파일을 저장해 잃어버리거나, 로그인 정보를 한 명의 직원만 알고 있었다는 사실을 너무 늦게 알게 될 수도 있습니다. 회사가 의존하는 것이 무엇인지 목록이 없으면 정기적인 지원(지원 업무)도 엉키기 쉽습니다.

또한 보안과 컴플라이언스 측면도 있습니다. 겉보기엔 무해해 보이는 도구라도 고객 기록, 결제 정보, 건강 정보를 담고 있을 수 있습니다. 규정은 업종과 주(州)에 따라 달라지지만, 의료 분야의 기업들은 종종 HIPAA(Health Insurance Portability and Accountability Act), 즉 건강보험 양도성 및 책임에 관한 법을, 카드 결제를 취급하는 기업들은 종종 PCI(PCI DSS, Payment Card Industry Data Security Standard), 즉 결제 카드 산업 데이터 보안 표준을 중점으로 봅니다. 일부 회사는 서비스 업체가 보안 통제(컨트롤)를 어떻게 다루는지에 대한 공통 보고 기준인 SOC 2에 대해서도 벤더에 질문하기도 합니다.

섀도 IT는 인력 변경 과정에서도 문제를 만들 수 있습니다. 어떤 앱이 한 사람의 개인 이메일로 열려 있었다면, 그 사람이 떠난 뒤 회사가 파일을 복구하거나 청구 이력, 관리자(관리) 통제를 되찾는 데 어려움을 겪을 수 있습니다.

소규모 및 중견 기업에서 섀도 IT는 흔히 평범한 모습입니다. 늘 방 안에 숨겨둔 비밀 서버 같은 건 아닙니다. 더 자주, 오너가 승인하지 않았거나 알지도 못했던 도구 안에서 일상 업무가 진행되는 형태입니다.

예를 들면 개인 클라우드 계정에 공유 파일을 저장하는 경우, 한 부서에서만 쓰는 무료 프로젝트 앱, 브라우저 확장 프로그램에 고객 데이터가 저장되는 경우, 업무에 개인 노트북을 사용하는 직원, 그리고 아무런 표지 없이 유료 플랜으로 조용히 전환되는 소프트웨어 체험판에 팀이 가입하는 경우 등이 있습니다.

좋다는 것은 모든 것을 너무 빡빡하게 잠가서 아무도 일할 수 없게 만드는 뜻은 아닙니다. 좋은 상태란, 회사가 사용하는 도구를 선택·승인·추적하는 방법이 단순하고 반복 가능하게 정리되어 있는 것을 의미합니다. 직원들은 소프트웨어를 어떻게 요청하는지, 누가 결정하는지, 그리고 먼저 어떤 기본 점검이 이뤄지는지 알아야 합니다.

건강한 구성에는 보통 승인된 앱과 기기 목록, 각 도구의 담당자(오너) 명확화, 그리고 직원의 온보딩/오프보딩(입사/퇴사) 계획이 포함됩니다. 또한 MFA, 즉 다중 인증(Multi-Factor Authentication)을 사용하는 기본 보호도 도움이 됩니다. MFA는 로그인할 때 비밀번호 다음 단계의 추가 인증을 의미합니다.

독립적인 MSP(관리형 서비스 제공업체)와 함께 일한다면, RMM(vCIO 같은 용어가 여기서는 등장하지 않지만) 대신, 그들이 고객의 기기와 소프트웨어를 어떻게 인벤토리(자산/목록화)하는지, 접근 권한을 어떻게 검토하는지, 새 도구에 어떤 기준을 설정하는지 물어보세요. 일부 제공업체는 엔드포인트 보호도 지원합니다. 여기서 엔드포인트는 노트북, 데스크톱, 휴대폰처럼 업무에 쓰는 기기를 뜻합니다. 패칭(patching)은 수정 사항(보안 패치 등)으로 소프트웨어를 최신 상태로 유지하는 것을 말합니다. EDR(Endpoint Detection and Response)은 엔드포인트에서 의심스러운 활동을 탐지하는 데 도움을 주는 보안 도구 유형입니다. 또 다른 제공업체는 RMM(Remote Monitoring and Management), 즉 원격 모니터링 및 관리—시스템 상태를 감시하고 정기적인 유지보수를 처리하도록 돕는 소프트웨어를 사용할 수도 있습니다. 어떤 방식이 맞는지는 회사 규모, 사용 중인 시스템, 리스크에 따라 달라집니다.

첫날부터 완벽한 시스템이 필요하지는 않습니다. 우선 가시성(현황 파악), 명확한 책임(오너십), 그리고 사람들이 실제로 사용할 수 있는 단순한 승인 절차부터 시작하세요.

오너(관리자)가 먼저 세 가지를 질문해보세요. 첫째, 사업을 운영하기 위해 어떤 앱을 쓰고 있나요? 둘째, 업무 데이터는 어디에 저장되나요? 셋째, 각 도구별로 누가 관리자(관리) 접근 권한을 갖고 있나요? 이메일 받은 편지함, 개인 계정, 오래된 구독에 실제로 상당 부분이 존재한다는 사실을 종종 놀랍게 발견하게 됩니다.

다음으로 짧은 목록을 만들어 보세요. 소프트웨어, 기기, 청구 담당자, 그리고 관리자로 로그인할 수 있는 사람이 누구인지 적어두는 것입니다. 소규모 회사라면, 추측하기보다는 기본 스프레드시트 하나라도 훨씬 낫습니다. 목적은 누구를 탓하는 것이 아닙니다. 목적은 사각지대를 없애는 것입니다.

업무 외부 지원이 어떤 형태로 도움이 될지 이해하는 데 도움이 필요하다면, NodeBridge IT가 관리형 IT 서비스에 대해 알아보기와 독립 제공업체와 매칭 받기를 도와드릴 수 있습니다. 저희는 고객님의 시스템이나 계정 접근 권한을 직접 관리하지 않습니다. 대신 일반적인 교육과, 고객의 비즈니스 필요에 기반한 무료 매칭만 제공합니다.

또한 저희 자료(리소스) 라이브러리에서 더 쉬운 문장으로 된 답변을 둘러볼 수도 있습니다.