쉐도우 IT (Shadow IT)

I. 미인증 IT 환경의 위협, 쉐도우 IT

가. 쉐도우 IT(Shadow IT)의 개념

  • 기업 내 허용하지 않은 IT 디바이스, S/W를 사용하여 IT자산관리에서 파악되지 않는 미인증 IT환경

나. 쉐도우 IT의 출현 배경

외부적 배경– 클라우드 컴퓨팅과 모바일 디바이스의 폭발적 증가로 개인 소유 스마트폰, 태블릿 이용
내부적 배경– 시장 변화에 빠르게 대응하기 위해 개인이 생산성 높은 신기술 직접 도입 및 사용

 

II. 쉐도우 IT의 개념도 및 위협요소

구분위협요소설명
데이터
보안 측면
– 내부정보 유출
– 내부통제 취약
– 외부 클라우드 접근
DRM 정책 우회 가능
규제
준수 측면
– 개인정보보호
– 잊혀질 권리
– 개인정보보호법 이슈발생
– 민감정보 클라우드 저장
비즈니스
연속성
– 데이터 유실
– 제공업체 의존
– 서비스업체의 데이터 유실로 연속성 확보 이슈
경제적
측면
– 구매력 감소
– 중복 구매
– 대량구매 협상기회 감소
– 기 보유 S/W의 재구매

 

III. 쉐도우 IT 위협에 따른 대응방안

구분대응방안세부 방안
데이터
보안 측면
DRM/DLP/NAC
– 망 분리
– 업무/인터넷망 분리 및 솔루션기반 데이터유출차단
규제
준수 측면
– 민감정보 분류
– 지속적 교육
– 컴플라이언스 조직 구성
– 교육 및 유출 시 페널티
비즈니스
연속성
– 데이터 연속성
– 업체 현황 파악
– 데이터 관점의 BCP 계획
– 서비스제공업체 모니터링
경제적
측면
– 수요조사 시행
– 일괄 구매
– 필요자산 정기 수요조사
– 대량 구매로 가격협상
  • 쉐도우 IT는 기업 경쟁력 및 Compliance, 보안에 중대한 위협이 될 수 있으므로 거버넌스 수립 등 조치 필요

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^