• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

IT계에 불어 올 ‘아랍의 봄’을 기대한다 2014.06.29

BYOD, SaaS, 모바일 모두 코앞으로 다가온 현실

시대의 흐름을 수용하려면 정보의 본질에 다가가야


[보안뉴스 문가용] 기업 입장에서 회사 밖 엉뚱한 곳에 데이터를 보관할 수밖에 없는 구조를 가지고 있는 SaaS 애플리케이션은 당연히 척결 대상이다. 그러나 직원 입장에서는 필요한 업무를 저렴하고 빠르게 수행할 수 있게 해주는 하늘의 선물이다. 회사의 용인 없이 직원 각자의 데스크톱에서 활용되는 소프트웨어를 ‘은둔의 IT(Shadow IT)’라고 한다.

 


하는 수 없이 회사는 은둔의 IT를 수면 위로 끌어올려 공식적인 허가를 해주게 된다. 물론 여기엔 조건이 있다. 특정한 때와 장소(즉, 근무시간과 회사)에서 특정 기기(회사가 제공한 컴퓨터)만을 가지고 SaaS를 사용해야 한다는 것. 얼른 보면 회사 측에서 직원의 편의를 많이 봐준 것 같지만 이는 구시대 IT 보안과 신식 IT 보안의 방법을 한꺼번에 버무린, 이도 아니고 저도 아닌 이상한 정책이 되어 사람들의 발목을 붙잡게 되어 있다.


심지어 어떤 회사는 가상사설망(VPN)을 운영해 직원들이 그 망 내에서만 활동하도록 하기도 한다. 이는 SaaS의 관점에서 봤을 때는, 이 애플리케이션을 쓸 땐 이 브라우저를 쓰고 저 애플리케이션을 쓸 땐 저 브라우저를 사용하라고 규정하는 것과 똑같은 것이다. 이는 언제 어디서나 어느 기기에서도 사용이 가능하도록 만든 SaaS의 기본 존재 목적을 정확히 위배한다. 또한 SaaS가 가진 사업성 역시 제한하는 결과를 낳는다.


그렇다면 BYOD는 어떤가? ‘우리 회사는 BYOD 정책을 도입했어’라고 말하는 IT 기업이 있다면 그건 누워서 침 뱉기나 다름없다. BYOD는 더 이상 정책이 아니라 IT 분야의 모든 이들이 받아들여야 할 현실이기 때문이다. 애초에 정보 교류의 대상이 되는 사람이나 클라이언트, 기기, 브라우저라는 게 따로 구분될 수 있는 게 아니고, 그래서도 안 된다. 되는 것과 안 되는 것의 구분을 인위적으로 짓는 순간 ‘은둔의 IT’의 씨앗이 심기는 것이다.


하긴 생각해보면 ‘은둔의 IT’라는 말 자체도 이미 감시하고 통제하기 좋아하는 IT 리더들이 만든 경멸의 용어이다. 이런 부류의 사람들은 전진을 꺼려하고 기술의 대중화를 두려워한다. 하지만 IT에서도 조만간 아랍의 봄이 불어 닥칠 것이라고 많은 전문가들은 예상하고 있다. 그렇게 된다면 기존 IT 리더들이 만들어 두었던 감시체제와 통제방식들은 어느 정도 약화될 것으로 보인다. 다만 IT 버전 아랍의 봄은 혁명적이거나 폭력적이지 않을 것이다. 그저 최고의 효율을 뽑아내야 하는 자본주의 체제가 이끌 자연스러운 과정 중 하나다. 감시와 통제로 최고의 생산성을 이끌어낼 수 없다는 걸 우린 역사를 통해 얼마나 숱하게 봐왔던가.


은둔의 씨앗이란 별 게 아니다. 업체가 허가한 애플리케이션이나 정책들이 생산성을 저해할 때 자연스럽게 선택받는 것들이다. 네트워크가 너무 느려서, 특정 사이트의 접속이 차단돼서, 애플리케이션의 성능이 떨어져서, 과도한 보안설정 때문에 아무 것도 할 수가 없어서, 직원들은 다른 곳으로 눈을 돌린다. 높은 곳에서 낮은 곳으로 물이 흐르는 것처럼 자연스러운 현상이다.


최근 IT 저자 로버트 레모스(Robert Lemos)는 SaaS 제공업체를 은행에 비유하는 글을 발표한 적이 있다. 그 글에서 그는 “은행은 사용자 계정(계좌)에 관한 책임을 전부 부담하고 있고, 그렇기에 해커가 어떤 계좌를 털어 돈을 다 빼돌렸을 때 책임 소재는 당연히 은행에 있다”고 설명했다. 즉 SaaS 제공업체도 이와 같은 책임의식을 가질 필요가 있다는 주장을 담은 것이었다. 하지만 이는 이상적이기만 하다. 법적으로 은행과 SaaS 업체는 전혀 다른 책임을 부여받고 있기 때문이다.


IT 리서치 기업인 가트너(Gartner)는 이미 작년에 “SaaS 업체는 보안에 관한 임무를 다 지킬 만큼 금전적인 보상을 받지 못하고 있다. 그렇기 때문에 사용자가 저장한 정보는 사용자가 책임지고 관리해야 한다”고 설명한 바 있다.


이제 IT 기업은 SaaS의 사용, BYOD, 그리고 모바일 시대를 받아들여야 한다. 선택의 여지는 이미 없는 것이나 마찬가지다. 이런 시대의 흐름을 잘 받아들인다는 것은 곧 정보의 가치를 흑과 백으로 판단하는 습성을 고쳐야 한다는 것이다. 정보의 가치는 예나 지금이나 오늘의 현실을 충실히 반영했었지, 어제의 정책을 답습하고 있지는 않았다는 걸 명심하라. 정보의 본질에 더 깊이 다가가야 할 때다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>