SaaS 검색 자동화, 교육, 검증 ‘샌드박스’ 환경 구축
오픈소스 패키지 관리자, 데이터 게이트키핑, 유출방지 DLP 설정
[애플경제 전윤미 기자] 섀도우 AI(Shadow AI) 내지 섀도우 IT(Shadow IT)는 디지털시대의 기업들에게 가장 큰 위협요인으로 다가오고 있다. 이는 회사의 공식적 검증과 승인 없이 직원들이 무단으로 사용하는 시스템이나 앱을 망라한다. 더욱이 AI를 비롯해, 클라우드, SaaS 확산까지 더해지면서 그 위험성은 더욱 커지고 있다.
이에 전문가들은 “이에 대한 적절한 대책을 세우지 않으면, 자칫 기업의 존망을 위협받을 수도 있다”고 한다. 가트너를 비롯해 여러 시장분석기관이나 사이버보안업체들도 최근엔 섀도우 IT 내지 섀도우 AI를 특히 경고하고 있다. 외부의 해킹을 유도하는 ‘내부의 적’이란 인식이다. 그간 이들이 주문해온 대책을 보면, 몇 가지로 요약할 수 있다.
SOS 바탕, 불필요하고 중복된 앱과 라이선스 제거
우선은 SaaS 검색을 자동화함으로써 악성 앱을 식별하는 방식이다. 모든 SaaS 앱을 모니터링함으로써 ‘앱 인벤토리’를 적정 규모로 조정해야 한다. 즉, 브라우저 확장 프로그램, API 커넥터, 네트워크 관리의 규칙 기반 검색을 혼합, 자동으로 검색하도록 한다. 그러면 앱 프로필의 앱을 교차 검증할 수 있다는게 그간 일부 전문가들의 조언이다.
이처럼 해당 데이터를 수집한 후엔 조직의 SSO(Single Sign-On) 시스템을 바탕으로 사용되지 않는 라이선스나 중복된 앱을 감시 내지 제거한다. 특히 “IT부서가 중심이 되어 모든 부서 책임자와 함께 사내에 설치된 모든 소프트웨어를 검토하는 등 정기적인 관리와 감독을 해야 한다”는 주문이다.
“모든 보안 핵심은 ‘사람’”
모든 보안의 핵심은 무엇보다 ‘사람’이다. 사람 중심의 IT 워크플로우를 설계하는게 특히 ‘섀도우 IT’와 ‘섀도우 AI’를 근절하는 첫 번째 단계다. 글로벌 보안업체 네트릭스(Netwrix)는 평소 언론 인터뷰를 통해 “흔히 기업들은 ‘섀도우 IT’에 대한 모니터링이나 분석, 관리에만 신경을 쓰는 경우가 많다”고 지적했다. 즉, 업무 수행을 위해선 반드시 AI나 다른 IT도구가 필요함에도 사측이 이에 대한 지원을 게을리함으로써 이같은 일이 반복된다는 지적이다.
이에 네트릭스는 두어 가지 대안을 제시하고 있어 눈길을 끈다. 우선은 허술한 보안 시스템이 회사에 어떤 악영향을 끼치는지를 구성원 모두가 깊이 인식토록 하는 것이다. 다음으론 IT에 대한 투자에 적극 나서는 것이다.
만약 회사 사정상 그게 어렵다면, 그나마 새로운 AI도구 등을 도입할때마다 이를 안전하게 테스트하고 평가하는 ‘샌드박스’ 환경을 만드는 것이다. 그래서 “안전하고 유용하다고 판명되면 공식적으로 승인을 하는 시스템”이란 얘기다.
이를 위해 SW를 요청하고 승인하는 중앙 집중식 관리가 가능한 IT 워크플로를 설계할 필요가 있다. 이 경우 제로 트러스트 아키텍처나, 다중 요소 인증(MFA), SSO 등의 보안시스템이 포함되어야 한다.
‘npm, PyPI, Maven 등 공개 패키지 저장소 관리’
섀도우 IT의 원천은 오픈소스다. 이에 외부에서 들여는 오픈소스 패키지 관리자와 시스템이 필요하다. 트깋 최근 ‘섀도우 AI’로 인한 해킹의 통로가 되고 있는 npm, PyPI, Maven과 같은 공개 패키지 저장소 관리가 매우 중요하다는 주문이다. 그 속엔 수천 개의 패키지가 포함되어 있다. 그 중 상당수는 보안이 취약하거나, 라이선스에 문제가 있다. 그 때문에 이를 악용해 해커들은 보안 장치를 회피할 수 있는 ‘독립형 애플리케이션’을 살포할 수도 있다. 코딩 도구나 빌드 유틸리티 등 그 형태는 여러 가지다.
보안업체 ‘엔도랩스’는 자사 인사이트를 통해 아예 “개발자 컴퓨터에 오픈 소스 패키지 관리자를 설정할 것”을 주문하기도 했다. 그럼으로써 “라이브러리, 프레임워크, 구성 요소가 비공개되고, 검증된 레지스트리에서만 다운로드할 수 있도록 한다”는 조언이다.
보안 영역 밖 유출 데이터 사전 탐색
‘섀도우 IT’을 제어하기 위해 데이터를 게이트키핑하는 것도 한 방법이다. 지속적으로 데이터를 검색하지 않곤 섀도우 IT를 완벽하게 관리할 수 없다. 특히 보안 영역 밖으로 유출되는 민감한 데이터를 미리 탐색해야만, 섀도우 IT로 인한 보안 취약점을 커버할 수 있다.
전문가들은 그런 점에서 ‘데이터 유출 방지’(DLP)를 권장하기도 한다. 이는 사용자가 승인되지 않은 앱을 통해 파일을 업로드하는 것을 방지한다. 미리 정의된 개인정보보호 규칙 등을 적용, 파일 유형이나, 규정 준수 여부를 따져봐야 한다. 또한 이를 기반으로 해당 데이터의 민감성을 확인, 판단해야 한다.
DLP를 통해 저장된 데이터와 전송 중 데이터 스캔을 모두 검색, 정보를 보호하거나 삭제할 수 있다. 이를 통해 전송된 정보를 암호화하고, 데이터 복원력을 개선하고, 잠재적인 섀도우 IT 위험을 줄여야 한다는 주문이다. 이 경우 USB 드라이브와 휴대용 기기도 보호할 수 있다.
그럼에도 전문가들은 “섀도우 IT를 없애는 만병통치약은 없다”고 한다. 다만 이처럼 강력한 제어장치를 결합하면 사용자들이 좀더 주의하면서, 불투명한 다운로드나 우발적인 행동으로 인한 피해를 최소화할 수 있다는 기대다.
보안전문업체인 사이버린트는 “기업들이 생성AI를 활발히 도입할수록 기존의 사내 레거시 애플리케이션 위에 새로운 ‘섀도우 AI’ 경로가 열리고 있다”면서 “몰래 새로운 AI도구를 다운로드 하는 사례가 폭증한 나머지 통제 불능 상태가 되기 전에 섀도우 IT를 근절해야 할 것”이라고 강조했다.