Wiz
모든 기사

섀도우 IT란? 원인, 위험 및 예

위즈 전문가 팀
7 분 읽기
클라우드 보안 모범 사례Wiz Cloud 사용해보기
Main Takeaways from Shadow IT:

  • Shadow IT occurs when employees bypass security oversight to use unauthorized and unvetted technology. Research found that 41% of employees used shadow IT in 2022, a number expected to climb to 75% by 2027.

  • Several factors lead to shadow IT, including a lack of transparency in IT procurement processes, the need for faster solutions, insufficient IT-provided tools, and the widespread availability of cloud-based services.

  • The risks associated with shadow IT include an expanded attack surface, data breaches, potential compliance violations, and increased IT costs, all of which can strain organizational security and resources.

  • While shadow IT can encourage innovation, boost productivity, and allow teams to solve problems quickly, these benefits often come at the expense of security and governance.

  • Organizations can combat shadow IT by adopting detection tools, enhancing visibility, fostering collaboration across teams, enforcing strict access controls, and educating employees on its potential risks.

이 기사의 주요 내용:

  • 섀도우 IT는 다음과 같은 경우에 발생합니다. 직원들이 보안 감독을 우회하여 승인되지 않고 검증되지 않은 기술을 사용합니다.. 연구에 따르면 2022년에 직원의 41%가 섀도우 IT를 사용했으며, 이 수치는 2027년까지 75%로 증가할 것으로 예상됩니다.

  • 섀도우 IT로 이어지는 몇 가지 요인 IT 조달 프로세스의 투명성 부족, 더 빠른 솔루션에 대한 필요성, IT 제공 도구 부족, 클라우드 기반 서비스의 광범위한 가용성 등이 포함됩니다.

  • 섀도우 IT와 관련된 위험 확장된 공격 표면, 데이터 침해, 잠재적인 규정 준수 위반 및 IT 비용 증가가 포함되며, 이 모든 것이 조직의 보안과 리소스에 부담을 줄 수 있습니다.

  • 섀도우 IT는 혁신을 장려하고 생산성을 높이며 팀이 문제를 신속하게 해결할 수 있도록 할 수 있습니다. 이점은 종종 보안 및 거버넌스를 희생해야 합니다.

  • 섀도우 IT에 대처할 수 있는 조직 탐지 도구를 채택하고, 가시성을 높이고, 팀 간 협업을 촉진하고, 엄격한 액세스 제어를 시행하고, 잠재적 위험에 대해 직원을 교육합니다.

섀도우 IT란? 

섀도우 IT는 조직의 IT 부서에서 제어하거나 볼 수 없는 IT 서비스, 애플리케이션 및 리소스를 직원이 무단으로 사용하는 것입니다. 섀도우 IT에는 다음이 포함될 수 있습니다. 

  • IaaS, PaaS 및 SaaS 클라우드 서비스

  • 컴퓨터 및 전화와 같은 엔드포인트

  • 아피스

  • 서버 및 네트워크,

  • 승인되지 않은 OOTB 제품

  • Chrome 플러그인

  • 플랫폼 수준 앱 

에 따르면 가트너2022년 직원의 41%는 IT 부서의 시야를 벗어난 애플리케이션을 설치하고 사용했습니다. 이 수치는 2027년까지 75%로 증가할 것으로 예상됩니다.

섀도우 IT의 원인

섀도우 IT는 갑자기 나타나는 것이 아니라 조직의 역학, 직원 요구 사항 및 기술 트렌드의 산물입니다. 주요 동인은 다음과 같습니다.

IT 조달에 대한 가시성 부족

워크플로를 개선하기 위해 새로운 도구가 필요하지만 IT 승인을 위한 명확한 프로세스가 부족한 팀을 상상해 보십시오. 투명성이 없으면 회사 신용 카드를 사용하여 소프트웨어를 구매하거나 무료 평가판에 등록하는 등 IT를 완전히 우회할 수 있습니다. 무엇이 문제일까요? IT 팀은 이러한 사실을 인식하지 못하기 때문에 이러한 도구가 공식적인 보안 검사 및 거버넌스 외부에서 운영되어 보안 격차를 초래할 수 있습니다.

더 빠른 솔루션에 대한 열망

우리 모두는 몇 주 또는 몇 달 동안 승인을 기다리는 좌절감을 경험해 본 적이 있습니다. 마감 시한이 다가오면 직원들은 작업을 더 빨리 완료할 수 있다고 생각되는 도구에 액세스하기 위해 IT를 완전히 피할 수 있습니다. "그냥 작동시키라"는 이러한 긴급성으로 인해 섀도우 IT가 발생하는 경우가 많습니다.

IT 제공 솔루션이 충분하지 않습니다.

IT에서 제공하는 도구가 제대로 작동하지 않으면 어떻게 될까요? 어쩌면 너무 투박하거나 특정 부서에 대한 핵심 기능이 부족할 수 있습니다's 워크플로우. 팀이 지원을 받지 못한다고 느낄 때 그들은 종종 자신의 요구 사항에 더 잘 부합하는 솔루션을 다른 곳에서 찾습니다. 이 해결 방법은 처음에는 무해해 보일 수 있지만 보안 사각 지대 및 규정 준수 문제로 이어질 수 있습니다.

클라우드 기반 서비스에 대한 접근성 향상

SaaS(Software as a Service)와 같은 클라우드 기반 애플리케이션의 등장으로 신용 카드가 있는 사람이라면 누구나 IT 부서의 개입 없이 도구를 배포하기가 매우 쉬워졌습니다. 어떤 점이 매력이었습니까? 최소한의 설정 시간으로 문제를 해결할 것을 약속하는 저렴하고 접근 가능한 솔루션입니다. 위험은 무엇일까요? 이러한 도구는 조직의 보안 표준을 충족하지 않을 수 있으며 에코시스템에 취약성을 도입할 수 있습니다.

섀도우 IT가 성장 추세가 된 이유는 무엇입니까?

점점 직원들은 격렬한 환경에서 성과를 내야 한다는 압박을 받고 있습니다.. 그 결과 쉽게 사용할 수 있는 다양한 클라우드 서비스를 활용하여 프로젝트를 자체 최적화하고 간소화하려는 시도가 발생합니다. 

불행히도 이러한 클라우드 서비스의 무단 사용은 매우 일반적입니다. 이 IT 부서가 무기력하다는 인식 직원들을 기분 좋게 할 수 있습니다. 형식적인 절차와 관료주의적 절차에 좌절 이들과 중요한 IT 리소스에 대한 액세스 사이에 서 있습니다. 빠른 솔루션을 개발하고 워크로드를 신속하게 처리해야 할 필요성이 증가함에 따라 많은 직원이 IT를 직접 맡고 있는 것은 놀라운 일이 아닙니다.

섀도우 IT의 이점

섀도우 IT는 종종 나쁜 평가를 받지만 객관적으로 살펴 보겠습니다. 섀도우 IT는 신중하게 관리(또는 우연히 발견)할 경우 다음과 같은 예상치 못한 이점을 제공할 수 있습니다.

  • 도구에 대한 더 빠른 액세스: 팀은 긴 IT 승인 프로세스를 기다릴 필요 없이 요구 사항에 맞는 솔루션을 신속하게 채택할 수 있습니다.

  • 실험을 통한 혁신: 직원들은 최첨단 도구와 기술을 탐색할 수 있으며, 때로는 더 넓은 조직에서 고려하지 않은 솔루션을 도입할 수 있습니다.

  • 직원 생산성 향상: 직원들이 작업에 원활하게 작동하는 도구를 찾으면 워크플로를 간소화하고 출력을 높일 수 있습니다.

  • 자급자족할 수 있는 역량 있는 팀: 섀도우 IT는 종종 "끝내기" 태도를 조장하여 팀이 독립적으로 문제를 해결하고 중요한 마감일을 맞출 수 있도록 합니다.

그러나 이러한 이점에는 섀도우 IT의 잠재적 영향이 결코 작은 문제가 아니라는 중요한 주의 사항이 있습니다. 검증되지 않은 도구는 다음을 도입할 수 있습니다. 보안 취약성, 규정 준수 위반 및 장기적으로 더 많은 비용을 초래하는 비효율성.

따라서 섀도우 IT는 단기적인 이점을 제공할 수 있지만 조직은 위험을 완화하기 위해 혁신과 감독의 균형을 맞춰야 합니다.

섀도우 IT의 위험은 무엇입니까?

섀도우 IT의 가장 큰 4가지 위험은 다음과 같습니다. 

  • 보안 위험 및 취약점: 섀도우 IT를 사용하면 무단 IT 하드웨어, 소프트웨어 및 클라우드 애플리케이션에서 멀웨어 공격 및 데이터 유출 위험이 증가합니다. 권한이 없는 IT 리소스는 조직에 의해 강화되지 않습니다.'의 사이버 보안 전략, 도구 및 전술을 기반으로 하며, 이로 인해 민감한 정보와 고부가가치 데이터 자산을 훔치는 것이 목표인 위협 행위자에게 취약합니다.

  • 확장된 공격 표면: 섀도우 IT는 종종 앱의 무분별한 확장으로 이어지며 승인되지 않은 애플리케이션이 조직 전체에 증가합니다. 이러한 확산으로 인해 모니터링되지 않는 엔드포인트와 보안되지 않은 연결이 생성됩니다. 공격 표면 확장 위협 행위자에게 취약점을 악용할 수 있는 더 많은 기회를 제공합니다.

  • 데이터 손실 또는 유출: 섀도우 IT는 종종 다음과 같은 결과를 낳습니다. 민감한 데이터 보호되지 않은 채널을 통해 저장 또는 전송되어 위반에 노출되거나 누수. 예를 들어, 팀이 무료 파일 공유 앱을 사용하여 협업할 때 자신도 모르게 암호화 또는 규정 준수 보호 장치가 없는 시스템에 독점 정보를 배치할 수 있습니다.

  • 규정 준수 및 규정 관련 문제: 섀도우 IT가 규정 준수에 미치는 영향은 보안 침해만큼이나 해로울 수 있습니다. 기업은 캘리포니아 소비자 개인 정보 보호법(CCPA), 일반 데이터 보호 규정(GDPR), 건강 보험 양도 및 책임법(HIPAA), 연방 위험 및 인증 관리 프로그램(FedRAMP) 및 지불 카드 산업 데이터 보안 표준(PCI DSS)과 같은 지역 및 산업별 규제 프레임워크를 준수해야 합니다. 규정 준수에 실패하면 기업은 수백만 달러의 벌금과 법률 비용을 부담할 수 있습니다.

  • 통제 및 거버넌스 부족: IT 환경 및 리소스에 대한 중앙 집중식 제어 및 가시성의 결함은 조직에 매우 해로울 수 있습니다. 대부분의 직원은 비공식 IT 자산을 잘 제어하고 통제할 수 있는 기술적 통찰력과 높은 수준의 유리한 지점이 부족합니다. 앞서 언급했듯이 섀도우 IT의 조달은 단기적인 이익을 가져다 줄 수 있지만, 취약한 감사 추적으로 인해 사고 대응 및 복구 장애물과 사후 분석 문제에 대한 수문을 열 수도 있습니다.

  • IT 비용 증가 및 비효율성: 섀도우 IT는 최적화되지 않은 협업, 기존 리소스의 잘못된 사용, 무단 벤더 종속, 무질서하고 비효율적인 운영, 잠재적인 다운타임, 데이터 손상 등 주요 비용 관련 결과를 초래합니다.

섀도우 IT의 예

기업은 위험을 완화하고 향후 유사한 발생을 방지하기 위해 섀도우 IT의 특정 사례를 식별할 수 있어야 합니다.

주의해야 할 섀도우 IT의 몇 가지 두드러진 예는 다음과 같습니다.

ExampleDescription
Cloud storage and collaboration toolsEmployees may utilize a range of unsanctioned applications from cloud storage and collaboration suites on a short-term or project-to-project basis or for interdepartmental collaboration. Even storage and collaboration tools from trusted providers can be vulnerable if they aren’t under the supervision of the IT department.
SaaSShadow SaaS is a growing form of shadow IT. There are thousands of free or freemium SaaS solutions that attract employees who want to augment their work without undergoing permissions processes. A simple example of shadow SaaS can be an employee from an accounting department using an unsanctioned SaaS graphic design tool to create a report.
Personal devices and applicationsThe rise in hybrid work-from-home models means that numerous employees access enterprise IT resources on personal devices. Employees working on personal smartphones and computers may tend to use non-approved applications for work, and this can introduce numerous vulnerabilities and risks.
External software subscriptionsEmployees may subscribe to a service or software for a particular project and then lose track of its status. These dormant, neglected, and hidden software subscriptions are capable of causing significant—and costly—problems for enterprises.
Developer toolsDevelopers often leverage unauthorized programming libraries, frameworks, or open-source software to tackle the pressures and challenges of agile environments. Unauthorized developer tools may have powerful capabilities that empower employees and teams, but their hidden presence can create unforeseen complexities.

섀도우 IT를 방지하기 위한 몇 가지 간단한 모범 사례

섀도우 IT는 조직 전반의 모범 사례, 강력한 도구 및 기술, 사전 예방적 전략의 조합을 통해 예방할 수 있습니다. 

섀도 IT를 방지하려면 다음 팁에 유의하세요.

1. 가시성 극대화: 기업은 IT 환경에서 클라우드 리소스, 모바일 장치 및 엔드포인트, 애플리케이션, 운영 체제, 코드 및 패키지의 사용을 모니터링하는 메커니즘을 구현해야 합니다. 가시성은 보안 태세를 강화하고, 규정 준수 프로토콜을 강화하고, 비용을 최적화하고, 워크로드 배포를 간소화하는 데 도움이 될 수 있습니다. 

An example of the level of visibility needed for a cloud service and technology inventory

2. 효율적인 탐지 수행: 기존 및 새로 커미션된 클라우드 서비스의 자동화된 1초 미만 감지는 기업이 IT 환경을 보다 효과적으로 감시하고 제어하는 데 도움이 될 수 있습니다. 활동을 감지하고 PaaS 리소스, 가상 머신, 컨테이너, 퍼블릭 버킷, 데이터 볼륨 및 데이터베이스의 그래프 시각화 및 매핑에 액세스할 수 있는 기능은 기업이 섀도우 IT를 방지하고 기존 인스턴스를 수정하는 데 도움이 될 수 있습니다. 

An example detection of a newly introduced cloud service to an environment

3. 비즈니스별 보안 정책 설계: 보안 정책은 조직에 맞게 조정되어야 합니다.'s 고유 한 요구 사항 및 목표. 이 접근 방식은 빠르게 진화하는 위협 환경에서 위험을 완화하는 데 큰 도움이 될 수 있습니다.

4. 모바일 장치 관리(MDM) 구현: 강력한 MDM 솔루션은 섀도우 IT에 맞서 싸우고, 급증하는 엔드포인트를 보호하고, 하이브리드 및 원격 작업 모델을 유지하는 데 필수적입니다. MDM 기능의 예로는 직원이 공식 엔터프라이즈 이메일 계정 및 SSO(Single Sign-On) 스키마 없이 외부 애플리케이션에 구독하지 못하도록 하는 메커니즘이 있습니다. 기업은 회사 및 BYOD 장치 모두에 IT 거부 목록 및 허용 목록을 적용하여 도입할 수 있는 애플리케이션을 제어해야 합니다.

5. 섀도우 코드 제거: 섀도 코드는 개발자가 사용하는 권한이 없는 코드를 나타냅니다. 기업은 통합해야 합니다. SAST(정적 애플리케이션 보안 테스트), DAST(Dynamic Security Testing) 및 IAST(Interactive Application Security Testing) 도구를 사용하여 개발자가 사용하는 모든 코드 및 오픈 소스 프레임워크를 스캔합니다. 이를 통해 기업은 보안 위반, 데이터 도난 및 운영 비효율성과 같은 위험을 피할 수 있습니다. 또한 철저하게 검사되고 승인된 코드만 Git 리포지토리에 추가됩니다.

6. 액세스 제어 활용: 클라우드 환경, 엔드포인트, 애플리케이션 및 프로세스 전반에 걸쳐 액세스 제어를 설정, 포함 및 구현하면 조직이 어떤 IT 자산이 허용되는지, 통합할 수 있는 위치, 누가 위탁할 수 있는지 결정하고 단속할 수 있습니다. 이러한 통제는 공식화되어야 하고, 조직의 프레임워크에 구축되어야 하며, 엄격하게 유지되어야 합니다.

An example of an AWS excessive access detection

7. 경고 자동화: 자동화된 메커니즘은 IT 및 사이버 보안 부서에 보안 정책 위반 및 비정상적인 활동을 실시간으로 경고할 수 있습니다. 경고는 조직이 섀도우 IT의 초기 징후를 해결하고 인시던트 피해를 최소화하는 데 도움이 될 수 있습니다.

Example alert for an unreviewed/unwanted cloud service

8. 교육 조직: 직원들은 편리함이나 무지 때문에 또는 승인된 도구가 자신의 요구 사항을 충족하지 못한다고 느끼기 때문에 섀도우 IT에 의존하는 경우가 많습니다. 섀도우 IT의 위험에 대한 정기적인 워크숍을 통해 직원들이 무단 IT를 사용하지 않도록 설득할 수 있습니다. 또한 교육 세션은 직원들이 IT를 통해 기술 요구 사항을 편안하게 제기할 수 있는 환경을 조성하는 데 도움이 됩니다.

9. IT 서비스 카탈로그 제공: 직원 사용이 승인된 소프트웨어, 응용 프로그램 및 서비스의 카탈로그를 제공하는 것이 좋습니다. 최신 카탈로그는 직원들이 승인된 채널 외부에서 솔루션을 찾는 것을 방지할 수 있습니다.

10. IT와 사업부 간의 협업 장려: IT 팀은 다른 부서와 긴밀하게 협력할 때마다 특정 부서의 요구 사항을 더 잘 이해하고 고유한 요구 사항을 충족하는 적절한 도구와 서비스를 제공할 수 있습니다. 

11. 정기 감사 완료: IT 자산을 감사하면 비즈니스에서 승인되지 않은 소프트웨어 또는 서비스를 식별할 수 있으며 조직 내에서 사용되는 모든 애플리케이션 및 서비스가 회사 및 법률 정책을 준수하는지 확인할 수 있습니다.

12. 신속한 대응을 위한 노력: IT 팀은 섀도우 IT를 처리할 수 있는 계획을 마련해야 합니다.'s가 감지되었습니다. 프로토콜에는 승인되지 않은 소프트웨어 또는 서비스를 제거하고 적절하고 승인된 대안을 제공하는 것이 포함될 수 있습니다.

사용자 환경에서 섀도우 IT 애플리케이션 발견

기존 IT 환경에 대한 포괄적인 인벤토리를 만드는 것은 잠재적인 섀도우 IT 환경에 대한 통찰력을 얻는 가장 좋은 방법입니다. 과거에는 엔터프라이즈 IT 환경에서 새로운 클라우드 서비스의 정확한 지형도를 얻는 것이 길고 힘든 프로세스였습니다. Wiz를 사용하면 몇 번의 클릭만으로 클라우드 서비스의 전체 인벤토리를 매핑할 수 있습니다. 

Wiz 데모 받기 이제 개발 및 클라우드 팀이 IT 위험을 이해할 수 있도록 역량을 강화하십시오. 비교할 수 없는 속도로 조직을 위한 강력한 클라우드 기반 엔진을 보호하고 최적화합니다.

Shine a Light on Shadow IT

Learn how Wiz offers visibility into what cloud resources, applications, operating systems, and packages exist in your environment in minutes.

데모 신청하기 

섀도우 IT FAQ