I. 미인증 IT 환경의 위협, 쉐도우 IT
가. 쉐도우 IT(Shadow IT)의 개념
- 기업 내 허용하지 않은 IT 디바이스, S/W를 사용하여 IT자산관리에서 파악되지 않는 미인증 IT환경
나. 쉐도우 IT의 출현 배경
| 외부적 배경 | – 클라우드 컴퓨팅과 모바일 디바이스의 폭발적 증가로 개인 소유 스마트폰, 태블릿 이용 |
| 내부적 배경 | – 시장 변화에 빠르게 대응하기 위해 개인이 생산성 높은 신기술 직접 도입 및 사용 |
II. 쉐도우 IT의 개념도 및 위협요소
| 구분 | 위협요소 | 설명 |
|---|---|---|
| 데이터 보안 측면 | – 내부정보 유출 – 내부통제 취약 | – 외부 클라우드 접근 – DRM 정책 우회 가능 |
| 규제 준수 측면 | – 개인정보보호 – 잊혀질 권리 | – 개인정보보호법 이슈발생 – 민감정보 클라우드 저장 |
| 비즈니스 연속성 | – 데이터 유실 – 제공업체 의존 | – 서비스업체의 데이터 유실로 연속성 확보 이슈 |
| 경제적 측면 | – 구매력 감소 – 중복 구매 | – 대량구매 협상기회 감소 – 기 보유 S/W의 재구매 |
III. 쉐도우 IT 위협에 따른 대응방안
| 구분 | 대응방안 | 세부 방안 |
|---|---|---|
| 데이터 보안 측면 | – DRM/DLP/NAC – 망 분리 | – 업무/인터넷망 분리 및 솔루션기반 데이터유출차단 |
| 규제 준수 측면 | – 민감정보 분류 – 지속적 교육 | – 컴플라이언스 조직 구성 – 교육 및 유출 시 페널티 |
| 비즈니스 연속성 | – 데이터 연속성 – 업체 현황 파악 | – 데이터 관점의 BCP 계획 – 서비스제공업체 모니터링 |
| 경제적 측면 | – 수요조사 시행 – 일괄 구매 | – 필요자산 정기 수요조사 – 대량 구매로 가격협상 |
- 쉐도우 IT는 기업 경쟁력 및 Compliance, 보안에 중대한 위협이 될 수 있으므로 거버넌스 수립 등 조치 필요