SaaS 애플리케이션을 사용하는 직원이 암호 보안, 파일 전송, IT 규제 준수에 대해 더 많이 책임지는 것은 아니다. 하지만 위험한 행동에 대해 주의를 주고 업무 효율을 높여줄 툴을 제공하는 일을 IT가 잘 못한다 해도, 그것은 부분적인 문제일 뿐이다. IT부서가 SaaS를 자신들의 통제 권역으로 가져오기 위해 취할 수 있는 방법을 소개하겠다.

 
IT 서비스 및 솔루션 공급업체인 소프트초이스(Softchoice)가 최근 발표한 보고서에 따르면, SaaS 애플리케이션을 이용하는 직원들의 암호 보안, 파일 전송, IT 규제 준수에 관한 책임의식이 떨어져 기업 데이터 누출이나 해킹 공격 등의 위험이 초래될 수 있는 것으로 나타났다.

이는 소프트초이스가 블랙스톤 그룹(Blackstone Group)의 도움을 받아 미국과 캐나다의 직장인 1,000명을 대상으로 IT 규제 준수, 암호 보안, 파일 전송에 관해 조사한 결과다.

 

암호 관련 문제점
 이 보고서에 따르면,

• SaaS 앱 사용자가 비사용자에 비해 종이에 암호를 적어 붙여놓는 확률이 2배 가량 높았다. 구체적으로, SaaS 사용자의 25%가 종이에 암호를 적어 다른 사람들이 볼 수 있게 붙여놓고 있었다. 비사용자의 경우 이 비율은 10.2%에 불과했다.

• 또 안전하지 않거나 서로 공유하는 드라이브에 암호를 저장해두는 사례도 10배 가량 많았다. SaaS 앱 사용자의 21%가 안전하지 않거나 서로 공유하는 드라이브에 암호를 저장해 두고 있었다. 반면 비사용자 중 이렇게 하는 비율은 2.1%에 그쳤다.

• 보안 처리가 되지 않은 문서에 암호를 보관하는 비율도 SaaS 앱 사용자가 비사용자에 비해 3배가 높았다. 그 비율은 각각 29.1%(사용자)와 10.4%(비사용자)였다.

• 나이도 영향을 미쳤다. 예를 들어, 20대의 28.5%와 베이비 부머 세대의 10.8%가 눈에 보이는 장소에 앱 암호를 보관하고 있었다.

소프트초이스의 클라우드 및 클라이언트 소프트웨어 부문 책임자인 마이클 케인은 "SaaS 앱 사용자가 부주의해서는 아니다. SaaS 앱을 사용하는 직원들이 계속 늘어나는 암호 관리에 애를 먹고 있는 것이 더 큰 이유라고 할 수 있다"고 지적했다.

이번 조사에 따르면, 업무에 SaaS 앱을 활용하는 직원들의 36%가 5개 이상의 앱을 이용하고 있었으며, 앱의 수는 계속 늘어나는 추세다. 이런 이유로 같은 암호(또는 약간 변형한 암호)를 사용하거나, 노트 등에 적어두는 방법을 사용할 수 밖에 없는 실정이다.

케인은 "직원들의 행동에 '악의'는 없다. 오히려 더 생산적으로 일하려 노력하는 것이 원인이다"고 말했다. 업무용 SaaS 애플리케이션과 함께 암호도 계속 늘어나고 있다.

케인은 "ID 관리나 SSO(Single Sign On) 기술을 도입하지 않은 회사가 많다. 직원들이 많은 암호를 보호할 툴을 갖고 있지 않다는 것이다"고 덧붙였다.

SaaS 암호 보안을 위한 베스트 프랙티스
 암호 보안 문제를 바로잡는 좋은 출발점은 전사적인 보안 절차를 수립하는 것이다. 케인은 "물론 보안 절차만으로 위에서 언급한 많은 문제들을 일소에 해결할 수 없다. 그러나 최소한 '123456' 같이 간단한 암호 대신 강력한 암호를 사용하도록 유도할 수 있다"고 강조했다.

 

더 나은 방법은 회사 내부에 보유한 기존 디렉토리 서비스(예, 액티브 디렉토리)에 내부 인프라의 SSO 기술을 연동시키는 것이다. 물론 클라우드 기반의 SSO 솔루션을 연동시키는 것이 최상의 방법이다. 이는 직원들이 안전하게 하나의 암호를 활용할 수 있도록 돕는다. 또 현업 부서가 '섀도우 IT'에 눈을 돌리지 않고, IT의 지원을 받아 SaaS를 활용할 수 있도록 만든다.
 

파일 전송 및 원격 접속 관련 문제점
 드롭박스(Dropbox) 같은 파일 전송 및 원격 접속 SaaS 앱은 기업에서 가장 활발히 사용되는 '섀도우 IT' 앱이다. 이번 조사 결과에 따르면,

• 업무 파일을 개인 계정 이메일로 전송하는 비율이 SaaS 앱 사용자가 비사용자보다 2배 이상 높았다. 구체적으로, SaaS 사용자의 59.1%가 개인 계정에 작업 파일을 이메일로 전송하고 있었다. 비사용자의 경우 이 비율은 27.5%에 불과했다.

• 또 과거 업무와 연결된 업무 계정을 이용하는 SaaS 앱 사용자가 비사용자보다 4배가 많은 것으로 조사됐다. 각각 17.7%(사용자)와 3.7%(비사용자)가 과거 업무와 연결된 업무 계정을 이용하고 있었다.

• IT가 모르는 '섀도우 IT' 앱으로 업무를 보는 비율도 SaaS 앱 사용자가 비사용자보다 16배가 많았다(각각 27%와 1.6%).

직원들이 더 많은 SaaS 앱을 사용하면서, 즉시 정보를 입수해 이용하려는 욕구도 커질 것으로 예상됐다. SaaS 앱 사용자의 76%는 사무실을 벗어나 있는 동안 업무 파일을 이용할 수 있어야 했지만, 비사용자 가운데 이 비율은 58%였다.

IT가 승인한 앱보다는 일상 업무를 편하게 만드는 앱이 더 중요하다고 생각하는 사람들이 적지 않다. 케인은 "필요하다는 이유로 안전하지 않은 이메일 발송과 과거 계정 이용을 정당화하는 사례가 늘어났다"고 지적했다.

 

안전한 파일 전송을 위한 베스트 프랙티스
 직원들이 악의로 위험한 행동을 하고 있지는 않다. 오히려 생산성을 높이는 방법을 찾다 위험이 커지고 있다고 해야 맞을 것이다.

케인은 "차단은 해결책이 아니다. 올바른 활용 방법을 마련해야 한다. 또 이 방법이 올바른 이유를 최종 사용자에게 설명해야 한다"고 강조했다.

 

좋은 대안 중 하나는 클라우드 기반 협력 플랫폼을 도입하는 것이다. 기업용 드롭박스 및 박스를 예로 들 수 있다. 이 밖에도 많은 기업용 플랫폼이 있다.

더 나은 대안도 있다. 이런 클라우드 기반 협력 플랫폼에 BYOD 문제를 해결할 수 있는 모바일 기기 관리 시스템을 도입하는 것이다.

이밖에 최상의 대안은 따로 있다. 위에 추가해 최종 사용자 관리와 리포팅 기능을 통해 미래의 위험을 경감할 수 있는 클라우드 플랫폼을 도입하는 것이다.

케인은 "소비자용 파일 공유 플랫폼과 유사한 사용자 경험을 제공하면서, 기업에 필요한 보안과 규제 준수를 지원할 수 있는 방법을 마련해야 한다"고 말했다.

 

부분적으로는 '맑은' 클라우드 IT규제 준수 지형
SaaS 사용자의 약 1/3이 IT 모르게 앱을 다운로드 받아 설치한 것으로 조사됐다. 39%는 개인 용도로 앱을 설치했다가, 업무에도 이를 활용하고 있다고 대답했다.

이는 다양한 컴플라이언스 문제를 초래할 수 있다. IT가 직원들이 사용하는 애플리케이션과 이들 애플리케이션을 매개체로 하는 데이터 흐름을 모르기 때문이다.

 

케인은 "SaaS 애플리케이션에 대한 가시성을 확보해야 한다. 그렇지 못할 경우 컴플라이언스를 관리하기가 아주 어렵다"고 지적했다.

SaaS 앱 사용자들이 IT를 바라보는 시각은 제 각각이다. IT 부서가 필요한 앱을 제공해 준다는 SaaS 앱 사용자는 전체의 37%에 불과했다. 46%는 IT가 미승인 앱을 발견했을 때 보안 툴을 제공한다고 답했다.

긍정적인 대답도 있다. SaaS 앱 사용자의 67%는 IT가 자신들의 요구에 반응을 보였다고 대답했다. 또 79%는 IT가 미승인 SaaS 앱을 발견했을 때 일종의 조치를 취하고 있다고 밝혔다.

 

전체적으로 봤을 때, IT는 자신들의 생각보다는 최종 사용자로부터 좋은 평가를 받고 있었다. 또 최종 사용자는 IT가 그 이유를 설명할 경우 여기에 귀를 기울이는 것으로 조사됐다. IT는 미승인 앱 다운로드를 무시하는 행위를 중단할 필요가 있다. 미승인 앱을 발견해 삭제 및 차단하고, 동시에 안전한 대안이 될 수 있는 앱을 찾아 제공해야 한다.

직원들이 생산성 및 효율성 향상을 추구한다는 점을 감안하면 안전한 대안 앱 제공이 아주 중요하다. 또 직원들을 대상으로 업무와 일상을 가장 잘 보호할 수 있는 방법과 기준을 가르쳐야 한다.

 

IT가 '문지기'에서 '조력자'로 탈바꿈할 수 있는 베스트 프랙티스
 외부 업체에게 회사 내부의 IT환경 조사를 맡기고 승인 및 미승인 SaaS 앱 활용 현황을 밝힌 다음, 섀도우 IT가 초래할 수 있는 위험을 알리는 것을 좋은 출발점으로 삼을 수 있다.

 

케인은 "이미 SaaS 애플리케이션을 많이 활용하고 있다. 조사를 하면 IT의 예상보다 많은 SaaS 앱을 발견할 수 있을 것이다"고 말했다.

지금까지 말한 방법 이외에 안전한 SaaS 앱을 공급하는 업체 목록을 제공하는 것도 좋다. 그러나 최상의 방법은 안전한 SaaS 앱을 정해놓은 기준에 따라 조달해 활용할 수 있도록 만드는 것이다. ID 관리 플랫폼을 통해 중앙에서 클라우드 포털의 기능을 구현하거나 해지하도록 한다. 이렇게 하면 현업 부서 스스로 선택할 수 있지만, 위험을 최소화 시킬 수 있다.