왜 이런 문제가 생기는 걸까요?
결국은 편의성 때문이에요. 회사가 제공하는 툴이 너무 무겁거나 사용법이 복잡하면, 직원들은 본능적으로 익숙한 외부 앱을 찾게 되더라고요. 이렇게 IT 부서의 승인 없이 임의로 사용하는 소프트웨어나 서비스를 섀도우 IT(Shadow IT)라고 부르는데요. 여기서 생성되는 데이터가 바로 섀도우 데이터가 되는 셈이죠.
가트너(Gartner, 2023) 보고서를 보면 기업 내에서 사용되는 앱의 상당수가 관리자의 통제를 벗어나 있다고 알려져 있어요. 솔직히 이 부분은 보안 팀이 깐깐하게 막는다고 해결될 문제가 아니라고 봅니다. 업무 효율을 높이려는 직원의 욕구와 통제하려는 회사의 정책이 충돌하는 지점이거든요. 한마디로, 도구의 편리함이 보안을 이긴 상황인 거죠.
보이지 않는 데이터를 잡는 실무 방법
가장 먼저 해야 할 일은 지금 우리 회사에서 어떤 비승인 앱들이 돌아가고 있는지 파악하는 거예요. 이때 CASB(Cloud Access Security Broker, 클라우드 접근 보안 중개 서비스) 같은 솔루션을 활용하면 네트워크 단에서 어떤 서비스로 데이터가 흐르는지 한눈에 보입니다. 이걸 통해 현재 사용 중인 앱 리스트를 뽑아내는 게 우선이더라고요.
그다음에는 리스트를 기준으로 등급을 나눠야 하는데요. 첫째는 즉시 차단할 위험 앱, 둘째는 공식 툴로 전환을 유도할 검토 앱, 셋째는 보안 설정을 보완해 허용할 승인 앱으로 분류하는 식이죠. 무조건 막기만 하면 직원들은 더 깊은 곳으로 숨어들거든요. 이게 왜 중요하냐면요, 숨겨진 데이터는 나중에 법적 분쟁이 터졌을 때 증거 수집이 불가능해져서 회사에 치명적인 손실을 주기 때문입니다.
실무자가 놓치기 쉬운 결정적 포인트
여기서 많은 분이 실수하는 게 바로 '금지'에만 집중하는 거예요. 섀도우 데이터를 없애는 가장 빠른 길은 승인된 대안을 제시하는 것입니다. 예를 들어 개인 노션을 쓰는 직원이 많다면, 기업용 노션이나 그에 준하는 협업 툴을 정식 도입하고 아카이빙 설정까지 마쳐주는 식이죠.
더불어 정기적인 데이터 인벤토리(Data Inventory, 데이터 목록 작성) 작업을 추천드려요. 분기별로 어떤 데이터가 어디에 쌓이고 있는지 전수 조사를 하는 것만으로도 섀도우 데이터의 발생을 억제할 수 있거든요. 결국 데이터 거버넌스(Data Governance, 데이터 관리 체계)의 핵심은 통제가 아니라 가시성 확보에 있다는 점을 기억하셔야 합니다. 보이지 않는 데이터는 관리할 수 없고, 관리할 수 없는 데이터는 결국 리스크가 되더라고요.
결국 툴을 바꾸는 것보다 사용자의 습관을 이해하는 게 먼저일지도 모르겠네요. 지금 여러분의 팀원들이 몰래 쓰고 있는 '비밀 메모장'은 없는지 한번 확인해 보시는 건 어떨까요?
0 댓글