기업 내 평균 SaaS 앱 사용량, 600~100개
직원들이 앱 비용 청구할 수 있게... SSO나 CASB 도입해볼 때

[보안뉴스 문가용 기자] 지난 몇 해 동안 기업 내 서비스형 소프트웨 혹은 SaaS(Software as a Serivce)의 사용량이 급증했다. 가트너에 의하면 한 기업 당 평균 600~1000개의 SaaS 앱을 사용한다고 한다. 그리고 IT 부서가 관리하고 있거나 잘 알고 있는 건 이중 7%에 불과하다고 한다. 나머지 93%가 우리가 흔히 은둔의 IT라고 하는 Shadow IT에 해당한다. 취약점이 최소 하나 이상 있는 앱들은 폭발적으로 늘어나고 있고 관리의 힘은 점점 떨어지고 있을 때, 우린 사이버 보안 위협이 몰려오고 있다고 한다.


합법적인 정상 앱이라고 해도 취약점 하나 없는 완벽한 앱이 거의 없는데, 이런 앱의 홍수 속에 가짜, 악성 앱도 섞여 있어 문제다. 이런 앱들은 기기나 네트워크에 침투하여 기업의 중요한 데이터와 개인정보, 지불카드 정보, 지적재산을 모두 위협한다. 그리고 IT 보안 예산을 끝도 없이 늘려 버린다. 늘릴 수 있는 기업에겐 밑 빠진 독에 물 붓기를 강제하고, 늘릴 수 없는 기업에겐 ‘충분치 않다’는 두려움을 안긴다. 무엇보다 ‘파악을 하지 못하고 있기’ 때문에 기업의 인지 바깥에서 정책과 법을 어기게 할 가능성도 있다.

그럼에도 앱 시장은 증폭 중에 있다. 매달 새로운 SaaS 벤더가 시장에 등장하고, 특수한 산업에 필요한 특수한 기능을 탑재한 B2B 앱들도 빠르게 늘어나고 있다. SaaS 앱이 늘어나고 사용자가 많아질수록 ‘제3자’가 기업의 데이터에 접속할 수 있게 된다. 이런 모든 조건들은 ‘SaaS 쓰나미’를 어렵지 않게 예견케 한다.

하지만 이런 혼란의 와중 혹은 폭풍전야에도 희망을 찾는다면, SaaS를 원하는 사용자들의 마음 자체가 ‘악성’인 것은 아니라는 점이다. 사용자들 대부분 일을 더 잘 하고, 임무를 더 빨리 완수해내기 위해서, 효율을 높이기 위해서 SaaS 앱을 찾는다. 즉 그 ‘열심’과 ‘좋은 의도’를 악용하는 자가 따로 있어서 문제인 거지, 문제의 근원 자체가 악성 의도로 드글드글 한 건 아니라는 뜻이다. 문제의 해결을 여기서부터 시작하면 다음과 같은 절차들을 밟아나가는 게 가능해진다.

스텝 1
돈의 흐름을 만들라. 돈의 흐름을 만들면 크게 기술적인 방법을 동원하지 않더라도 은둔의 IT를 수면 위로 드러낼 수 있다. 무슨 소리냐면, 회사 몰래 일을 잘 하려고 앱을 무단으로 설치하는 직원들 대부분 앱에 사비를 투자하지는 않는다. 회사 일을 위해 사는 것이므로 자기 지갑을 열 필요를 못 느낀다는 것이다. 그래서 이들은 각종 다양한 방법으로 이를 회사에 청구하는데, 이를 활용하면 의외로 많은 앱 사용 현황을 파악할 수 있게 된다. 정책적으로 SaaS 구독료 및 앱 결제를 회사에 청구할 수 있도록 하라는 것이다. 필요한 앱을 회사 차원에서 구매하는 절차를 가져가는 것도 좋은 방법이다.

스텝 2
현실적으로 지금은 클라우드 시대가 아니다. 클라우드로의 이주 시대다. 중간기이며 환절기이다. 그러므로 지금 클라우드 서비스 업체가 말하는 보안을 그대로 믿어서는 안 된다. 중간에서 보안을 조율해주는 브로커가 지금에서는 더 높은 효율을 발휘한다. 클라우드 접근 보안 브로커(CASB)가 SaaS 탐지기 역할을 하기도 한다. 클라우드 보안의 관건은 ‘가시성’인데, 그렇기 때문에 CASB가 SaaS의 사용현황을 드러내기 때문이다. 클라우드로 옮겨갈 겸 해서 CASB를 사용해보는 것을 권한다.

스텝 3
이때를 기회 삼아 싱글 사인 온(SSO)을 교육하는 것도 매우 현명한 일이다. SaaS 앱을 많이 쓰면 사용자들 입장에서는 필연적으로 암호 관리에 대한 고민이 생길 수밖에 없다. 혹은 매번 로그인을 해야 하는 게 매우 귀찮을 수도 있다. 그래서 모든 앱의 로그인을 한 번에 관리하게 해주는 SSO를 사용하도록 권장하기에 좋은 타이밍이 된다. SSO 솔루션을 회사에서 마련해주면 앱 관리도 수월해지고, 암호로 인한 보안 걱정도 많이 해결된다.

스텝 4
최근 새롭게 등장하는 서비스 중 서비스형 아이덴티티(ID as a Service, IDaaS)라는 것도 있다. CASB와 SSO가 결합된 것과 비슷한 서비스라고 볼 수 있는데, 가짜 앱 사용을 막는 데에 뛰어난 효과를 보여준다. 또한 암호도 훨씬 복잡하게 설정하도록 해 관리해주며, 다중 인증 기술도 가지고 있어 사용자가 새로운 위치나 시간대에서 로그인할 때도 안전하게 확인해주거나 막아준다.

SaaS 앱의 홍수를 막는 최고의 방법은 SaaS의 전면 금지가 아니다. 일을 더 잘하려고 하는 그 순수한 의도를 막아서면 SaaS의 금지는 오히려 마이너스 효과를 야기하기 때문이다. 오히려 기업 문화의 일부를 SaaS 도입에 맞춰 변경해가는 편이 더 효율적이다. 보안은 Business Enabler라는 것을 명심하자.

글 : 알 사전트(Al Sargent)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>