급증하는 SaaS, 쓰나미를 막기 위해서 해야 할 일 4

기업 내 평균 SaaS 앱 사용량, 600~100개
직원들이 앱 비용 청구할 수 있게... SSO나 CASB 도입해볼 때

국제부 문가용 기자  globoan@boannews.com
글 : 알 사전트(Al Sargent)
[2016.10.30.]

[보안뉴스 문가용 기자] 지난 몇 해 동안 기업 내 서비스형 소프트웨 혹은 SaaS(Software as a Serivce)의 사용량이 급증했다. 가트너에 의하면 한 기업 당 평균 600~1000개의 SaaS 앱을 사용한다고 한다. 그리고 IT 부서가 관리하고 있거나 잘 알고 있는 건 이중 7%에 불과하다고 한다. 나머지 93%가 우리가 흔히 은둔의 IT라고 하는 Shadow IT에 해당한다. 취약점이 최소 하나 이상 있는 앱들은 폭발적으로 늘어나고 있고 관리의 힘은 점점 떨어지고 있을 때, 우린 사이버 보안 위협이 몰려오고 있다고 한다.

합법적인 정상 앱이라고 해도 취약점 하나 없는 완벽한 앱이 거의 없는데, 이런 앱의 홍수 속에 가짜, 악성 앱도 섞여 있어 문제다. 이런 앱들은 기기나 네트워크에 침투하여 기업의 중요한 데이터와 개인정보, 지불카드 정보, 지적재산을 모두 위협한다. 그리고 IT 보안 예산을 끝도 없이 늘려 버린다. 늘릴 수 있는 기업에겐 밑 빠진 독에 물 붓기를 강제하고, 늘릴 수 없는 기업에겐 ‘충분치 않다’는 두려움을 안긴다. 무엇보다 ‘파악을 하지 못하고 있기’ 때문에 기업의 인지 바깥에서 정책과 법을 어기게 할 가능성도 있다.

<중략>

하지만 이런 혼란의 와중 혹은 폭풍전야에도 희망을 찾는다면, SaaS를 원하는 사용자들의 마음 자체가 ‘악성’인 것은 아니라는 점이다. 사용자들 대부분 일을 더 잘 하고, 임무를 더 빨리 완수해내기 위해서, 효율을 높이기 위해서 SaaS 앱을 찾는다. 즉 그 ‘열심’과 ‘좋은 의도’를 악용하는 자가 따로 있어서 문제인 거지, 문제의 근원 자체가 악성 의도로 드글드글 한 건 아니라는 뜻이다. 문제의 해결을 여기서부터 시작하면 다음과 같은 절차들을 밟아나가는 게 가능해진다.

스텝 1

돈의 흐름을 만들라. 돈의 흐름을 만들면 크게 기술적인 방법을 동원하지 않더라도 은둔의 IT를 수면 위로 드러낼 수 있다. 무슨 소리냐면, 회사 몰래 일을 잘 하려고 앱을 무단으로 설치하는 직원들 대부분 앱에 사비를 투자하지는 않는다. 회사 일을 위해 사는 것이므로 자기 지갑을 열 필요를 못 느낀다는 것이다.

<중략>

스텝 2

현실적으로 지금은 클라우드 시대가 아니다. 클라우드로의 이주 시대다. 중간기이며 환절기이다. 그러므로 지금 클라우드 서비스 업체가 말하는 보안을 그대로 믿어서는 안 된다. 중간에서 보안을 조율해주는 브로커가 지금에서는 더 높은 효율을 발휘한다.

<중략>

스텝 3

이때를 기회 삼아 싱글 사인 온(SSO)을 교육하는 것도 매우 현명한 일이다.

<중략>

스텝 4

최근 새롭게 등장하는 서비스 중 서비스형 아이덴티티(ID as a Service, IDaaS)라는 것도 있다. CASB와 SSO가 결합된 것과 비슷한 서비스라고 볼 수 있는데, 가짜 앱 사용을 막는 데에 뛰어난 효과를 보여준다.

<중략>

SaaS 앱의 홍수를 막는 최고의 방법은 SaaS의 전면 금지가 아니다. 일을 더 잘하려고 하는 그 순수한 의도를 막아서면 SaaS의 금지는 오히려 마이너스 효과를 야기하기 때문이다. 오히려 기업 문화의 일부를 SaaS 도입에 맞춰 변경해가는 편이 더 효율적이다. 보안은 Business Enabler라는 것을 명심하자.

기사 상세 내용 보기_클릭