2024-03-29 15:35 (금)
[G-PRIVACY 2023-영상] 스카이하이 시큐리티, 챗GPT와 같은 쉐도 IT에 대한 가시성 확보 및 제어 방안 제시
상태바
[G-PRIVACY 2023-영상] 스카이하이 시큐리티, 챗GPT와 같은 쉐도 IT에 대한 가시성 확보 및 제어 방안 제시
  • 길민권 기자
  • 승인 2023.04.02 14:44
이 기사를 공유합니다

G-PRIVACY 2023 스카이하이 시큐리티 서동현 상무 강연
G-PRIVACY 2023 스카이하이 시큐리티 서동현 상무 강연

2023년 3월 23일 데일리시큐 주최 상반기 최대 공공, 금융, 기업 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2023이 1,300여 명의 보안실무자가 참석한 가운데 성황리 개최되었다. 

이 자리에서 스카이하이 시큐리티 서동현 상무는 ‘회사에서 사용을 허용하고 있는 ChatGPT와 같은 Shadow IT에 대한 가시성 확보 및 제어 방안’을 주제로 강연을 진행했다. 

회사에서 관리형 SaaS(M365, Google workspace, Slack, JIRA, Conference, Okta)와 함께 ChatGPT(챗지피티)와 같은 다양한 비관리형 서비스(Shadow IT)를 사용함에 따라, 사용하는 서비스에 대한 가시성을 확보하고, 데이터 보호 규정에 따른 제어 방안을 확보해야 한다. 

즉 △관리되는 SaaS에 저장되는 개인정보 등 민감 정보의 흐름을 파악 △회사의 규정에 따라 중요 정보가 SaaS에 저장되거나 저장되지 않도록 정책을 수립 △비관리SaaS(Shadow IT)에 대한 보안 보안정책(사외 다운로드 차단 등) 수립 등이 필요하다.

스파이하이(Skyhigh) 분석 결과, 기업이 사용하는 관리형 SaaS에 저장된 파일의 17.1%가 민감 정보였으며, 그 중 개인 정보 관련 정보는 10.7%(개인정보-4.1%, 건강-1.9%, 금융-1.7%)로 조사됐다. 

서동현 상무는 “업무에 점점 더 많은 SaaS가 사용됨에 따라 SaaS에 저장되고 공유되는 데이터가 조직의 규정을 유지하도록 모니터링하고 강제할 필요가 있다. 또한 사외나 인가되지 않은 디바이스에서 접속해 파일을 다운로드하는 경우에 대한 모니터링을 강화하여 회사의 중요 정보가 외부로 반출되는 경우에 대한 가시성을 확보하고 필요시 접속/다운로드/업로드를 차단할 필요성이 있다”고 강조했다. 

또한 “ChatGPT, 교육 사이트, 비즈니스 사이트 등과 같이 회사에서 관리하지는 않지만 허용된 클라우드 서비스(Shadow IT)를 통해 회사의 기밀 정보가 외부로 유출되고 있다. 일반적으로 안전한 사이트로 분류되어 IT 부서에서 사용이 허용하고 있는 클라우드 서비스를 Shadow IT라고 하며 기업에서는 특별한 제한을 두지 않거나 매우 제한적인 정책(업로드 파일 크기 제한 등)만을 수립하고 있어 Shadow IT 부분이 보안에 가장 취약한 영역으로 부상하고 있다. 특히 ChatGPT의 경우 회사의 핵심 전략 정보가 회사 외부로 문의됨에 따라 Shadow IT 모니터링의 필요성이 부각되었으며, 기업에서 묵시적으로 사용되고 있는 클라우드 서비스(ShadowIT)별 위험 노출 상세 현황을 보다 상세하게 검토하고 제어를 고려하게 되었다”고 설명했다.  

스카이하이의 SSE 솔루션은 API, Reverse Proxy, Forward Proxy 등의 다양한 연결방식을 통해서 관리형 SaaS(M365, Google workspace, Slack, JIRA, Conference, Okta)와 다양한 비관리형 서비스(Shadow IT)에 대한 모니터링과 필요한 모든 보안 기능을 제공한다. 이를 통해 관리형 SaaS에 저장되고 공유되는 데이터의 흐름을 모니터링하고, 즉각적인 공유 제거/권한 변경이 가능하며, 3만5천개 이상의 Shadow IT에 대한 가시성을 확보하고 제어정책을 수립할 수 있다.

서동현 상무는 “스카이하이 솔루션을 통해 직원이 사용하고 있는 업무용/비업무용 SaaS의 전체 리스트와 사용 현황을 파악하고, 사후 감사를 위한 모니터링 정책을 수립하고 사내 정보 보호 규정에 따라 SaaS 별로 사용 목적, 허용 위치, 허용 동작(업로드/다운로드 등)적용을 위해 스카이하이 시큐리티의 SSE 정책 컨설팅을 제안한다”고 강조했다. 

스카이하이 시큐리티 서동현 상무의 G-PRIVACY 2023 강연 자료는 데일리시큐 자료실에서 다운로드 가능하며, 보다 상세한 내용은 아래 영상을 통해 확인할 수 있다. 

★정보보안 대표 미디어 데일리시큐!

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★