쉐도우IT에서 벗어나기 위한 점검사항



흥미롭게도 새로운 기술이 등장하면 기업 IT 부서보다 직원들이 먼저 알아내 편리하게 사용할 방법을 찾는다고 하는데요. 오늘날 우리가 사용하는 무선 랜도 기업 IT부서가 아니라 직원들이 먼저 나서서 도입했다는 사실, 알고 계셨나요? 


사무실 곳곳에 와이파이 AP(access point)가 설치되기 훨씬 이전부터 

책상에 매여 있기 답답해했던 몇몇 직원들이 

하나둘씩 개인 무선 AP를 회의실 또는 자기 책상 밑에 설치해 

최초의 모바일 워크를 시작했답니다. 


랜선 없이도 자유롭게 랩톱을 들고 다니면서 일을 할 수 있었으니 직원들 입장에서는 정말 편리했겠지만, 기업 IT 부서의 입장은 달랐겠죠? 기업 네트워크에 수십 또는 수백 개의 보호되지 않는 무선 AP들이 설치되었으니 말입니다! 이처럼 IT 부서 몰래 사용되는 쉐도우 IT는 반갑지 않은 손님인 셈이지요.


여기서 토막 상식! 쉐도우 IT란?

쉐도우 IT(Shadow IT)는 기업의 감시 및 통제 영역에서 벗어난 IT 사용을 뜻합니다. 즉 IT 담당자가 확인할 수 없고 기업 보안정책에도 어긋난 소프트웨어나 하드웨어를 뜻하죠. 요즘 개인 무료 서비스로 흔하게 접하는 퍼블릭 클라우드나 애플리케이션이 그 예입니다. 즉 핸드폰으로 회사 메일 서버에 접속, 파일을 다운받아 보는 것도 잠재적 보안 위협이 큰 쉐도우 IT가 될 수 있습니다.



쉐도우IT에서 벗어나기 위한 체크리스트


급한 마음에 IT 부서를 통하지 않고 직접 사업부가 나서서 클라우드 서비스를 도입해 사용하다 보니, 조각 조각 나게 된 퍼블릭 클라우드 전략은 사실 기업에 많은 리스크를 안깁니다. 고객과의 대화를 통해 시스코는 다음 5가지 주요 비즈니스 리스크들을 확인할 수 있었는데요, 하나씩 살펴보고 관련된 질문에 각자 대답해보도록 하겠습니다. 



#1— 비즈니스 연속성


비즈니스 운영에 점점 더 많은 클라우드 서비스가 사용되는 요즘, 간단한 서비스 장애만으로도 커다란 손해를 안길 수 있습니다. 정전, 자연재해 또는 복구 시간 단축에 실패한 클라우드 제공업체들이 서비스 장애의 주 원인이 되는데요, 이는 재정적 손해, 인수 합병 또는 여타 운영 장애 때문에 서비스가 중단되는 경우도 있습니다. 


던과 브래드스트리트(Dunn and Bradstreet)가 진행한 금융 자생력 평가에 따르면, '시스코 클라우드 소비 서비스' 고객이 이용하는 클라우드 제공업체 중 26%가 12개월 내에 운영을 중단할 리스크가 매우 높다고 합니다. 거의 벤더 4곳 중 1곳 꼴인데요. 


만약 여러분이 이용하는 벤더가 운영을 중단하게 된다면 과연 얼마나 빠른 시간 내에 저장된 기업 데이터를 되찾고, 새로운 벤더를 찾을 수 있을까요? 



#2—데이터 보호


최근에는 점점 더 많은 데이터들이 클라우드에 보관되면서 (고객, 직원 및 파트너 관련) 중요 비즈니스 데이터를 사이버 범죄로부터 보호하기 위한 조치도 반드시 취해야 합니다. 


가장 먼저 할 일은 여러분이 이용하는 벤더의 데이터 보호 역량이 뛰어난지, 또 탄탄한 보안 정책을 갖췄는지 확인하는 것입니다. 여러분은 자사 데이터 보호 정책에 악영향을 미칠 수 있는 벤더를 쉽게 알아보실 수 있나요? 그게 생각만큼 쉽지는 않을 것입니다. 대부분의 경우 클라우드는 안전할 것이라고 생각하지만, 모든 클라우드 서비스가 동일한 기술과 정책으로 구축되지 않는다는 점을 명심하시기 바랍니다. 


실제로 '시스코 클라우드 소비 서비스' 고객을 분석한 결과 평균적으로 44곳의 고위험군 업체를 이용하는 것으로 확인되었을 정도이니 말입니다.



#3—규제 준수


CIO들은 자사에서 사용하는 클라우드 서비스가 규제 준수를 돕는 정책을 따르는지 확인해야 할 의무가 있습니다. 또 자사에서 이용하는 클라우드 서비스가 감사에 포함될 수 있다는 점도 인지해야 하지요. 


실제로 '시스코 클라우드 소비 서비스' 고객이 이용하는 상위 100개 클라우드 서비스 중 60%는 중요 규제 준수 문제를 야기할 수 있으며, 감사 대상이 될 수 있는 데이터를 포함하고 있다고 합니다. 참고로 주로 화제가 되는 4가지 규제 준수 이슈는 금융 보고/사베인옥슬리(SOX), 건강 정보 보호/HIPPA, 지불 카드 업계 데이터 보안 표준 및 클라우드 사업자 보안 표준인 FedRAMP입니다. 


여러분이 이용하는 서비스 중 어떤 것들이 감사 대상이 될 수 있는지 혹시 파악하고 계신가요? 



#4—비용 


점점 더 많은 사업 부서들이 IT 부서의 승인 없이 스스로 IT 서비스 구매 결정을 하는 추세입니다. 더 많은 기업이 기술 기업으로 변모해가고, 기업 예산이 IT 부서에서 사업 부서로 넘어가면서 클라우드 비용이 고삐 풀린 것 마냥 늘어나고 있다는데요. 바로 중복되는 서비스 비용과 숨겨진 비용 때문이라고 합니다. 


여러분은 클라우드에 실제로 얼마의 예산이 사용되는지 정확히 알고 계신가요? 또 기업 전체 사용량을 바탕으로 제대로 된 가격 협상을 하고 계신가요? 


참고로 '시스코 클라우드 소비 서비스' 고객이 가장 손쉽게 개선할 수 있었던 것은 중복되는 클라우드 서비스 문제였습니다. 대부분의 기업들은 유사한 기능을 제공하는 여러 개의 클라우드 서비스 제공업체와 계약을 맺는데 조사 결과, 시스코 고객들은 평균적으로 

  • 인터넷 접속을 위해 92개의 호스팅 서비스

  • 84개의 마케팅 및 세일즈 서비스 

  • 뱅킹, 클라우드 세금 애플리케이션 및 호스팅된 보험 서비스 등 71개의 금융 서비스

  • 클라우드 기반 시스템 운영을 위한 61개의 컴퓨팅 서비스

  • 비디오 및 웹 컨퍼런싱, 온라인 교육, 교육 및 데스크탑 공유(소셜 미디어 제외) 등 51개의 협업 서비스

  • 비정형 데이터(백업 및 복구 제외) 저장을 위한 46개의 클라우드 스토리지 서비스

  • 문서 작성 또는 프로젝트 관리를 위한 37개의 오피스 생산성 서비스

  • 대시보드, 보고서 시스템, 시나리오 모델링, 데이터 분석 등 36개의 비즈니스 인텔리전스 서비스를 이용하는 것으로 확인되었답니다.



#5—서비스 성과


클라우드 서비스를 이용하는 기업 중 다수는 서비스 수준 협약(Service level agreement)에 비해 실제 성과를 효과적으로 측정하고 있지 못하는 것으로 드러났습니다. 지불하는 비용 대비 효과가 과연 어느 정도인지도 파악하기 어렵다는데요. 특히 IT 부서가 아닌 개별 사업부들이 직접 협상을 해서 서비스 계약을 맺는 경우에는 성과 측정이 더욱 어려워진다고 합니다. 이와 관련해 자문해볼 점은, 과연 여러분이 사용하는 클라우드 서비스 제공업체가 SLA를 충족시키고 있는지 여부입니다. 그리고 여러분은 그 성과를 측정할 역량을 갖췄는지도 말입니다. 




눈에 보이지 않는 클라우드, 관리할 수 있을까?


위 5가지 비즈니스 리스크와 관련된 질문에 ‘아니오’라고 대답한 경우가 더 많았다면, 여러분도 아마 우리 회사는 과연 얼마나 많은 클라우드 서비스를 있는지 확인하고 이를 좀 더 효율적으로 정리하기 위한 도움이 필요할 것입니다. 


시스코가 지난 1월 출시한 새로운 SaaS(software-as-a-service) 솔루션, '시스코 클라우드 컨섬션 애즈 어 서비스(Cisco® Cloud Consumption as a Service)'는 다음과 같은 혜택을 제공하는데, 더 이상 주저하지 마시고 우리 기업의 숨은 클라우드 찾기에 나서시기 바랍니다!



  • 퍼블릭 클라우드 사용 추이를 파악하고 꾸준히 모니터링하기

  • 클라우드 비즈니스 리스크와 규제준수 문제 관리로 금융 및 보안 위협 노출 최소화하기

  • 사용 중인 서비스 통합 또는 불필요한 서비스 중단 통해 클라우드 비용 절감하기

  • 직원 또는 각 부서의 니즈를 파악 후, 비슷한 기업들의 클라우드 사용 수준을 벤치마킹함으로써 클라우드 사용량을 전략적으로 관리하기

  • 비즈니스, 리스크, 규제 준수 요구 사항들에 맞는 최적의 클라우드 서비스 발견 통해 비즈니스 민첩성 향상시키기


쉐도우IT 얼마나 심각하길래..



쉐도우IT문제가 도대체 얼마나 심각한지 알아보기 위해 시스코가 나섰답니다! 6개월 전과 지난 해 말에 시스코가 기업 고객들과 함께 진행한 조사 자료 '시스코 클라우드 소비 서비스(Cisco Cloud Consumption Service)'를 통해 실제 네트워크 트래픽과 통계 자료를 분석해보았는데요. 쉐도우IT는 이미 겉잡을 수 없는 수준에 이르렀고, 사방으로 퍼졌으며, 폭발적으로 늘어나고 있다는 결론을 내리게 되었답니다. 


또, 쉐도우 IT 현상은 모든 산업/규모의 기업에서 나타나고 있습니다. 확인 결과, 현재 대형 기업들은 평균 1,220개의 클라우드 서비스를 사용 중인 것으로 나타났습니다. 사용하는 서비스 수가 6개월 전의 730개보다 67% 가량 늘어난 수치입니다. 


어떤 이들은 이런 현상을 ‘IT의 민주화’라고 표현하기도 합니다. 사업부들은 자신들이 무엇을 원하는지 목소리를 내고 있으며, 클라우드 서비스가 제공하는 유연성과 혁신을 강하게 원하고 있지요. 또, IT 부서에서 정해주는 제한된 서비스만 사용하던 과거로 돌아가고 싶어하는 이들은 아무도 없다고 합니다. 


시스코가 협찬한 IDC 연구조사에서도 최적화된 클라우드 환경이 놀라운 비즈니스 성과를 안겨준다고 밝혔듯이, 각 사업부들이 클라우드 서비스 사용을 원하는 것은 어찌보면 너무 당연하고 합리적인 요구입니다. 하지만 안타깝게도 이 조사에 참여한 기업의 10%만이 주도적인 종합 클라우드 전략을 갖췄으며, 또 이중 1%만이 최적화된 클라우드 환경을 갖추고 있다고 합니다. 달리 말하면, 시장의 90%가 수동적이며, 일시적이고 부분적인 전략을 갖췄다는 것이지요. 


이렇게 빠르게 확산되고 있는 쉐도우IT에 대한 대책, 마련되셨나요?! 

현재 사용 중인 클라우드 서비스를 파악하거나 '시스코 클라우드 컨섬션 애즈 어 서비스'를 자세히 알고 싶으시다면, 다음 리플렛을 참조해주시기 바랍니다^^



이번 포스팅은 시스코 어드밴스트 서비스 총괄 시니어 디렉터 로버트 디미코(Robert Dimicco)가 작성한 Shadow IT: Rampant, Pervasive, and Explosive!를 바탕으로 준비되었습니다.