조직이 최첨단 사이버 보안 전략을 사용하여 민감한 정보를 보호하기 위한 적절한 조치를 취했다고 생각하는 것이 일반적이지만, 권한이 없는 당사자가 회사 내 보호되지 않은 ‘섀도’ 데이터를 통해 기밀 데이터에 액세스할 수 있는 가능성은 여전히 남아 있습니다. 이는 기업의 대외 이미지와 재무 안정성에 심각한 손상을 초래할 수 있으므로 잠재적인 위협에 대한 경계의 중요성이 강조됩니다.
섀도 데이터는 조직의 IT 인프라 또는 기존 데이터 저장소 외부에 있는 민감한 정보로, 개인 디바이스나 이메일, 소셜 미디어 플랫폼, 파일 공유 서비스와 같은 클라우드 기반 애플리케이션에 저장된 비정형 데이터의 형태인 경우가 많습니다. 이러한 유형의 데이터에는 기밀 비즈니스 정보, 고객 세부 정보, 지적 재산 및 기타 중요한 자산이 포함될 수 있으며, 이러한 데이터가 잘못된 사람의 손에 넘어갈 경우 심각한 보안 위협을 초래할 수 있습니다. 이러한 위험을 완화하기 위해 조직은 데이터 검색, 분류, 위험 평가, 정책 개발, 교육 및 인식 프로그램, 모니터링 및 수정 노력을 포함하는 포괄적인 섀도 데이터 관리(SDM) 전략을 구현해야 합니다. 섀도 데이터를 식별하고 보호하기 위한 사전 조치를 취함으로써 기업은 비용이 많이 드는 침해 사고의 가능성을 줄이고
섀도 데이터란 무엇인가요?
조직의 권한 범위를 벗어나 중앙 집중식 데이터 관리 시스템을 통해 액세스할 수 없는 데이터를 섀도 데이터라고 하며, 구어체로 ‘섀도’ 또는 ‘보이지 않는’ 데이터라고도 합니다.
조직은 민감한 정보를 식별, 분류 및 보호하기 위해 수많은 데이터 보안 조치를 사용합니다. 그러나 기존 모니터링 및 로깅 메커니즘의 범위를 벗어난 곳에 존재하는 섀도 데이터는 본질적으로 보이지 않기 때문에 규정 준수 및 보안에 심각한 문제를 야기합니다.
섀도 데이터의 몇 가지 예는 다음과 같습니다:
개발 상황에서 실제 고객 정보를 활용하는 것은 불충분한 안전 조치로 인한 침해 및 의도하지 않은 활용 가능성으로 인해 내재된 위험을 수반하는 일반적인 관행입니다.
기업이 더 이상 사용하지 않는 오래된 소프트웨어 프로그램을 보유하고 있을 수 있으며, 이 소프트웨어에는 중요한 정보가 방치되어 잠재적인 보안 취약성을 초래할 수 있습니다.
애플리케이션은 기밀 데이터가 포함될 수 있는 로그 파일을 생성하는 경우가 많으며, 이러한 로그를 모니터링하거나 보호하지 않으면 해당 정보에 대한 무단 액세스가 발생할 수 있습니다.
조직은 다양한 기능을 수행하기 위해 외부 서비스 제공업체에 의존하는 경우가 많지만, 적절한 보호 조치를 취하지 않으면 민감한 정보를 이러한 업체로 전송할 때 잠재적인 위험이 발생할 수 있습니다.
섀도 데이터와 섀도 IT의 차이점을 살펴보는 담론에 대해 살펴볼까요?
섀도 데이터와 섀도 IT는 어떻게 다를까요?
승인되지 않은 통신 애플리케이션을 사용하는 직원이나 정보 기술 부서의 권한 밖에서 타사 솔루션을 구현하는 프로젝트 팀을 포함하여 조직 내에서 승인되지 않은 하드웨어 및 소프트웨어 리소스를 활용하는 것은 섀도 IT에 해당합니다.
또는 섀도 데이터는 데이터 보안 조치에 의한 탐지를 피하고 조직의 규정된 데이터 보호 지침을 벗어나는 정보를 포함합니다.
섀도 IT의 존재에 대한 IT 부서의 인식 부족으로 인해 승인되지 않은 하드웨어 및 소프트웨어를 통해 처리되는 모든 데이터는 데이터 보안 조치에 의해 탐지되지 않습니다. 따라서 이러한 승인되지 않은 채널을 통해 저장되거나 공유되는 모든 정보는 ‘섀도 데이터’로 간주됩니다.
직원이 개인 클라우드 플랫폼에 저장하는 모든 업무 관련 정보는 본질적으로 ‘섀도 데이터’에 해당합니다.
섀도 IT와 섀도 데이터는 그 성격이 다른 뚜렷한 유형의 위험을 초래합니다. 전자는 인식되지 않는 인프라를 통해 조직의 네트워크 보안과 규제 표준 준수에 위협을 가합니다. 반면, 후자는 권한이 없는 개인에게 민감한 파일에 대한 액세스 권한을 부여하여 기밀 정보를 위험에 빠뜨립니다.
섀도 IT의 활용은 잠재적인 위험을 초래할 수 있으며, 이와 관련된 기본 데이터는 보안에 대한 실질적인 위협을 나타냅니다.
섀도 데이터는 다크 데이터와 어떻게 다른가요?
다크 데이터는 조직이 일상적인 비즈니스 활동 과정에서 수집하지만 규정 준수 요건 이외의 목적으로는 활용되지 않는 정보를 말합니다. 이러한 데이터는 다양한 부서 또는 시스템에 존재할 수 있으며, 휴면 상태로 남아 있기 때문에 기업의 사이버 보안 태세에 잠재적인 위험을 초래할 수 있습니다.
다크 데이터에는 과거 직원 기록, 오래된 내부 프레젠테이션, 더 이상 사용되지 않는 고객 피드백 설문조사, 보관된 이메일 등 아직 활용되지 않은 광범위한 정보 출처가 포함됩니다.
다크 데이터는 일반적인 비즈니스 활동 중에 기업의 자체 IT 시스템에서 생성되었지만 다른 용도로 활용되지 않는 정보를 말합니다. 이러한 데이터는 시간이 지남에 따라 유용성이 제한되어 쓸모없거나 중복되거나 가치가 없어질 수 있습니다.반면 섀도 데이터는 조직의 공식 시스템 외부에서 생성되는 민감한 정보로, 주로 업무 관련 업무에 사용되는 개인 기기나 애플리케이션을 통해 생성됩니다.
섀도 데이터가 생성될 수 있는 방법에는 두 가지가 있습니다:
조직의 승인된 정보 기술 프레임워크의 경계를 넘어 의도적으로 생성되며, 종종 IT 부서의 지식이나 동의 없이 생성됩니다.
의도하지는 않았지만 조직의 정보 공개 범위가 이러한 상황에 기여했을 수 있습니다.
섀도 데이터는 기존 데이터 저장소 외부에 존재하지만 조직에 여전히 중요한 인사이트를 제공할 수 있는 다양한 형태의 비정형 또는 반정형 정보를 포함합니다. 이러한 섀도 데이터의 형태 중 하나는 다크 데이터로, 조직 운영 내에서 관련성이나 컨텍스트가 부족하여 감지되지 않고 활용되지 않는 정보를 말합니다. 이러한 의미에서 다크 데이터는 애플리케이션의 관련성 없는 출력이 두 범주에 동시에 속하는 경우와 같이 섀도 데이터의 하위 집합으로 간주될 수도 있습니다.
섀도 데이터는 어떻게 발생하나요?
섀도 데이터는 몇 가지 중요한 요인으로 인해 발생합니다.
DevOps 팀이 시간 제약에 직면한 상황에서는 필수 보안 조치를 실수로 간과하여 잠재적으로 ‘섀도’ 데이터 자산이 노출될 수 있습니다. 이는 팀이 IT 또는 데이터 보호 담당자와 같은 다른 이해관계자에게 적절히 알리지 않고 클라우드 환경 내에서 가상 머신을 급하게 프로비저닝 및 해제할 때 발생하며, 이로 인해 이러한 당사자에게 알려지지 않은 정보 자산이 존재할 수 있습니다.
이 외에도 원격 근무의 증가 추세로 인해 커뮤니케이션 및 공유 화면 액세스와 같은 목적으로 설계된 특정 도구에 대한 의존도가 높아졌습니다. 많은 조직에서 직원들이 이러한 작업을 위해 외부 서비스를 활용하면서 ‘섀도 데이터’라고 하는 승인되지 않은 데이터가 생성될 수 있습니다.
이 외에도 섀도 IT는 직원이 승인되지 않은 기술 리소스를 활용하는 것을 포함합니다. 이러한 수단을 통해 정보를 보관하거나 유포하면 섀도 데이터의 일부가 되어 조직의 승인된 플랫폼과 감독 범위를 벗어난 곳에 존재하게 됩니다.
여러 클라우드 플랫폼에서 데이터를 관리하고 모니터링하는 것은 이러한 환경에서 운영되는 기업에게 상당한 도전 과제입니다. 이러한 어려움의 결과로 의도하지 않은 섀도 데이터가 축적될 수 있습니다.
이메일 및 파일 공유 플랫폼을 통한 무단 액세스 외에도 직원들이 적절한 승인 없이 개인 기기나 Google 드라이브 또는 OneDrive와 같은 클라우드 스토리지 서비스에 민감한 정보를 저장할 위험이 있습니다. 이로 인해 중요한 데이터가 회사의 데이터 거버넌스 및 보안 조치에서 제외될 수 있습니다.
섀도 데이터 위험을 최소화하는 방법
섀도 데이터는 일상적인 비즈니스 활동에서 자주 발생하고 완전히 제거하기 어렵기 때문에 이를 방지하는 것은 어려운 작업입니다.
다행히도 섀도 데이터가 비즈니스 조직에 가할 수 있는 잠재적 위협을 효과적으로 완화할 수 있는 몇 가지 조치가 있습니다.
데이터 탐지 및 보호
보안 및 규정 준수 팀은 데이터 레이크, 클라우드 기반 시스템, 서비스형 소프트웨어(SaaS) 플랫폼 등 모든 잠재적 데이터 저장 위치를 철저히 검토하여 그 안에 있을 수 있는 민감한 정보를 식별하는 것이 필수적입니다.
데이터 보안을 효과적으로 관리하기 위해서는 먼저 다양한 리포지토리에 저장된 모든 데이터를 식별하는 것이 중요합니다. 이 식별 프로세스는 반정형 형식을 포함한 정형 데이터와 비정형 데이터 모두로 확장되어야 합니다. 이러한 다양한 유형의 데이터를 포괄적인 보안 프레임워크에 통합함으로써 조직은 잠재적인 위협으로부터 소중한 정보 자산을 더욱 효과적으로 보호할 수 있습니다.
모든 데이터 소스를 통합 플랫폼으로 통합하고 모니터링 목적으로 대화형 대시보드를 제공하는 솔루션을 사용하는 것이 좋습니다. 이러한 접근 방식은 비정형 패턴을 실시간으로 신속하게 식별할 수 있습니다.
데이터 권한 및 액세스에 대한 제한을 구현함으로써 조직은 권한이 없는 개인이 기밀 정보에 액세스하는 것을 방지할 수 있습니다. 특히 정보가 매우 민감한 경우, 업무상 필요한 사람에게만 특정 데이터에 대한 액세스 권한을 부여하는 것이 필수적입니다. 액세스 제어를 구현하면 기업은 특정 데이터에 대한 액세스를 제한하여 의도치 않은 민감한 정보 공개로 인한 잠재적인 보안 침해로부터 보호할 수 있습니다.
섀도 IT 발생 및 누적 관리
섀도 IT를 효과적으로 관리하면 섀도 데이터로 인해 발생할 수 있는 잠재적 위험을 완화할 수 있습니다. 활용되는 소프트웨어와 플랫폼에 대한 감독과 제어를 유지함으로써 조직은 그 안에 저장된 민감한 정보를 더 잘 보호할 수 있습니다.
직원이 업무를 효과적으로 수행할 수 있는 적절한 리소스에 액세스할 수 있도록 보장하고, 혁신 기술 통합을 위한 평가 및 승인 절차를 간소화하며, 승인되지 않은 애플리케이션과 관련된 잠재적 위험에 대한 직원들의 인식을 제고하면 조직 내에서 섀도 IT를 효과적으로 관리할 수 있습니다.
섀도 IT 관행으로 인해 조직 내에서 생성되는 섀도 데이터의 양을 규제할 수 있는 솔루션을 도입하면 조직이 섀도 IT를 관리할 수 있습니다.
보안 우선 정책 구현
규정 준수를 유지하고 안전한 운영을 보장하려면 조직의 소프트웨어 개발 수명주기(SDLC) 내에 강력한 사이버 보안 조치를 통합하는 것이 필수적입니다. 이를 위해서는 규정 준수 및 보안 팀에 SDLC 프로세스 전반에 걸친 개발자의 데브옵스 활동과 민감한 정보 처리에 대한 포괄적인 감독 권한을 부여하는 것이 필수적입니다.
소프트웨어 개발 수명 주기(SDLC) 동안 적절한 보안 및 규제 조치를 구현하면 데브옵스 관행과 개발자 활동으로 인한 섀도 데이터의 생성을 효과적으로 줄일 수 있습니다.
안전하고 체계적인 시스템을 유지하기 위해 섀도 데이터를 정기적으로 삭제하는 정책을 수립할 것을 적극 권장합니다. 이는 불필요하거나 오래된 파일을 주기적으로 식별하고 제거하는 절차를 구현함으로써 달성할 수 있습니다. 이러한 조치를 준수하면 민감한 정보에 대한 무단 액세스를 방지하고 IT 인프라의 성능을 최적으로 유지할 수 있습니다.
직원 교육
직원이 모호한 디지털 정보나 보안 취약성에 대한 초기 방어선이 될 수 있도록 섀도 데이터와 관련된 잠재적 위협에 대해 알리고 실수로 생성되는 것을 방지하기 위한 지침을 제공하기 위해 직원을 위한 포괄적인 사이버 보안 교육 이니셔티브를 고안하는 것이 바람직합니다.
기업 내 디지털 혁신 이니셔티브의 우선순위를 효과적으로 정하려면 위험 관리 관행에 대한 포괄적인 프레임워크를 구축하는 것이 중요합니다. 여기에는 새로운 기술과 관련된 잠재적 위험을 해결하기 위한 전략 개발과 보안 인식 모범 사례에 대한 직원 교육 통합이 포함됩니다. 또한, 섀도 데이터 식별, 데이터의 안전한 저장, 민감한 정보 자산 보호에 대해 직원들을 교육하는 정기적인 교육 세션을 연중 실시하여 사이버 보안을 연례 행사로 취급하는 것에서 벗어나기 위해 노력해야 합니다.이러한 사전 예방적 조치를 채택함으로써 조직은 잠재적 위협을 완화하고 사이버 보안 위험 관리에 대한 접근 방식을 지속적으로 개선하는 문화를 조성할 수 있습니다.
섀도 데이터는 큰 보안 위험입니다
규제되지 않은 데이터로 인한 잠재적 위험을 완화하는 것은 기밀 정보를 보존하는 데 필수적입니다. 회사의 관할권 밖에 있는 정보는 무단 침입, 사이버 공격, 유출에 취약합니다. 이러한 발생은 법적 영향, 평판 훼손, 고객 충성도 약화를 초래할 수 있습니다.
섀도 데이터의 효과적인 관리는 포괄적인 사이버 보안 대책을 마련하는 데 있어 매우 중요한 요소입니다.