효과적으로 SaaS 거버넌스를 구축하는 방법

관리되지 않는 SaaS로 섀도우 IT의 위협이 증가하며 SaaS 거버넌스가 중요해지고 있습니다.
November 17, 2023
4 min read
Megazone PoPs

들어가며

가트너의 클라우드 전환 시장 동향 및 퍼블릭 클라우드 지출 전망에 따르면 2024년까지 애플리케이션 지출의 약 60%가 온프레미스에서 클라우드로 전환되고 전 세계 SaaS 지출은 총 2,300억 달러가 넘을 것으로 예상됩니다.

또한 2025년까지 조직의 30%가 크리티컬하고 중대한 워크플로우를 SaaS 애플리케이션에만 의존할 것으로 보이며 이러한 시장 동향에 따라 IT 부서의 적극적인 개입 없이 SaaS 애플리케이션을 도입하는 상황이 계속될 것입니다.

IT 담당자의 관리 없이 부서 또는 개인이 SaaS를 도입하면 섀도우IT가 발생하게 됩니다. 섀도우IT는 소프트웨어 관리의 일관성, 규정 준수, 비용 절감 등의 측면에서 부정적인 결과를 초래합니다. 관리되지 않는 SaaS는 위험이 매우 큽니다. 이에 SaaS 거버넌스의 중요성이 부각되고 있습니다.

이번 글은 가트너 리서치(How to Establish Effective SaaS Governance)를 참고하여 SaaS 거버넌스가 중요한 이유와 SaaS 거버넌스 구축을 위한 접근법을 제안합니다.

SaaS 거버넌스가 중요한 이유

SaaS 거버넌스는 조직 내에서 사용하고 있는 SaaS 애플리케이션의 사용을 식별, 제어, 관리 및 완화하기 위해 수립하는 프로세스 및 관행입니다. SaaS 스택의 효율성과 규정 준수를 유지하기 위해 프레임워크를 제공하는 데 중점을 둡니다.

SaaS 애플리케이션은 일회성의 프로젝트가 아닌 지속해서 적절한 관리가 필요한 IT 자산입니다. 하지만 대부분의 SaaS 구매는 장기적인 이슈를 고려하지 않고  즉시 필요한 기능을 사용하기 위한 목적으로 도입되는 경우가 대부분입니다.

SaaS 거버넌스 프레임워크가 없으면 섀도우IT 문제가 발생하게 됩니다. IT 부서가 알지 못하는 지출과 기술 스택의 비효율성이 발생할 수 있으며 사이버 보안 및 개인정보 보호 규정 위반의 위험을 증가시킵니다.

IBM 보고서에 따르면 한국 기업들이 보안 침해로 입은 피해액이 평균 43억 3,400만 원에 달합니다. 2027년까지 SaaS 수명 주기를 중앙에서 관리하지 못하는 조직은 잘못된 구성으로 인해 보안 사고나 데이터 손실에 5배 더 취약할 것으로 예상됩니다.

SaaS 거버넌스 구축을 위해 꼭 알아야 하는 3가지

SaaS 거버넌스 구축을 위해 꼭 알아야 하는 3가지

SaaS 거버넌스 구축을 위한 접근법으로 가트너가 제시한 내용은 다음과 같습니다.

1. 정의된 프로세스를 통해 모든 SaaS 사용을 승인

IT 부서에서 SaaS 요청을 자동으로 거부할 수는 없지만 비즈니스 이해관계자와 협력하여 유연하고 실용적인 협력 프로세스를 만들어야 합니다. 예를 들어 3개월 동안 특정 SaaS에 로그인하지 않은 계정이 있다면 해당 계정을 회수, SaaS 별 담당자를 지정해 승인한 경우 별도의 절차 없이 해당 계정의 SaaS 사용을 허용하는 등 직원들의 SaaS 사용 현황을 파악하여 데이터 기반으로 프로세스를 수립할 수 있습니다.

2. SaaS에 대한 책임 할당

IT 부서에서 특정 SaaS 애플리케이션에 대한 책임 및 관리를 갖지 않는다면 해당 SaaS 애플리케이션의 오너는 특정 팀의 매니저 또는 부서의 리더일 것입니다. 기업 내에서 사용하는 SaaS가 늘어남에 따라 IT 부서에서 모든 SaaS를 일일이 관리하는 것은 불가능에 가까워졌습니다. 앞으로의 SaaS 관리는 IT 부서가 중앙 콘솔에서 전체를 관리하고 적절한 부서와 담당자에게 중간 관리체계를 할당해 주는 방식이 될 것입니다. 따라서 관련 R&R을 잘 정의하는 것이 필요합니다.

  • 애플리케이션 오너: 일반적으로 SaaS 비용을 지불하는 부서장인 경우가 많으며 모든 잔여 위험을 수락하는 데 명시적으로 동의합니다.
  • 애플리케이션 관리자: 보통 비즈니스 기술자로 계정 생성/유지/삭제와 함께 삭제된 계정으로부터 데이터를 적절히 처리하는 역할을 담당합니다.
  • 파워 유저: 비밀번호 재설정과 같은 지원을 제공해 줄 수 있습니다.
  • 지원: 이슈 발생 시 IT 부서 또는 SaaS 벤더사에 알리고, 정교한 작업이 필요한 커스터마이징이나 인테그레이션 작업을 담당합니다.

3. 종합적인 클라우드 애플리케이션 인벤토리 관리

SaaS 사용과 관련해 수립된 정책은 IT 부서를 통해 SaaS 사용을 공식적으로 승인하고 IT 부서에서 사용 현황에 대해 추적할 수 있는 점을 포함해야 합니다. 최소 SaaS 애플리케이션의 유형과 이름, 해당 SaaS의 오너, 데이터 분류 및 중요도, 계약 세부 정보, 문서화된 위험 분류, 위험 평가 및 의사결정 프로세스, SaaS 서비스와 통합된 기타 서비스 또는 애플리케이션 목록에 대한 정보는 추적이 가능해야 합니다.

보안 도구를 사용해 접근을 효과적으로 모니터링하고 적합한 정책을 시행하여 클라우드 애플리케이션에 저장된 데이터를 보호하는 것이 더욱 중요해졌습니다. Access Management(AM), Cloud Access Security Brokers(CASB), SaaS Security Management Platforms(SSPM), SaaS Management Platforms(SMP), Backup tools 등 보안 툴을 활용해 클라우드 환경의 보안을 유지할 수 있습니다.

단계별 SaaS 거버넌스

1. SaaS 사용 시작

기능, 가격, 기술 지원 등을 비교해 기업에 적절한 SaaS를 선택하고 구매합니다. 일회성 비용뿐만 아니라 SaaS 도입을 통해 이루어지는 초기 통합 및 확장 작업 등 지속해서 발생할 수 있는 비용을 모두 고려해야 합니다. SaaS를 최대로 활용할 수 있는 역량을 만들고 적합한 툴과 프로세스, 인력을 사용해 지출을 최적화합니다.

모든 SaaS는 기존 기업 ID 및 액세스 관리(IAM) 솔루션과 통합되어야 하며 복구에 대한 명확한 목표가 있어야 합니다. 민감한 데이터가 있는 애플리케이션의 경우 SaaS 공급업체에서 발생하는 장애에 대처할 수 있는 계획을 수립해야 합니다.

2. 지속적인 SaaS 관리

SaaS 애플리케이션은 지속적인 관리가 필요합니다. IT 또는 비즈니스 부서는 변화에 유연하게 대처하고 민첩한 접근 방식으로 SaaS를 지원해야 합니다. 벤더 리스크를 관리하고 실제 SaaS 사용자의 요구사항에 맞게 라이선스를 제어합니다. 또한 사용자가 SaaS에 액세스할 수 있는 요건을 검증하고 관련 프로세스를 만들고 유지해야 합니다. 이외에도 컴플라이언스 관리, 사용자 위험 관리, 데이터 백업, SaaS 애플리케이션 성능 모니터링, SaaS 포트폴리오 관리가 필요합니다.

3. 수명 주기 관리

SaaS 서비스 종료 및 서비스 프로비저닝 해제에 대비한 백업 작업이 필요합니다. SaaS 간 데이터 마이그레이션은 복잡한 과정이 될 수 있습니다. SMP 또는 클라우드 마이그레이션 플랫폼이 일반적인 SaaS 애플리케이션 간 마이그레이션을 지원할 수 있습니다. 또한 데이터 파기 및 보관에 대해 내부적인 합의를 이루고 정책을 수립해야 합니다. 데이터 파기가 적절한지 확인하기 위한 요건을 결정하고 데이터를 적절하게 처리할 수 있는 충분한 시간을 확보합니다.

마치며

SaaS 거버넌스의 주요 목적은 조직 내 위험을 줄이고, 비용을 절감하며, 효과적인 투자를 보장하는 것입니다. 현재 기업에서 SaaS를 사용하고 계시나요? 효율적이고 효과적인 기술 스택을 구축하고 유지 및 관리할 수 있는 SaaS 거버넌스에 대해 고민해야 할 때입니다.

👉SaaS 거버넌스에 대해 문의하기

SaaS 사용 현황을 파악해야 할 때입니다.
데모를 신청하시면 PoPs를 통해 조직에서 사용하는 SaaS를 어떻게 통합하고 관리하는지 알 수 있습니다.
데모 신청하기
Megazone PoPs

유용한 SaaS 관리 콘텐츠가
업데이트될 때마다 알림을 받아보세요.

구독해주셔서 감사합니다.
이메일 주소를 다시 확인해주세요.
"구독하기" 버튼을 눌러 이메일을 제출하시면 마케팅 활용을 위한 광고성 정보 수신 동의한 것으로 간주하며 이는 선택사항으로 미 동의시에도 MegazonePoPs 서비스 이용에는 지장이 없습니다.
[필수] 개인정보 수집·이용 동의 안내
PoPs는 아래 내용에 따라 귀하의 정보를 수집 및 활용합니다. 다음의 내용을 숙지하시고 동의하는 경우 체크 박스에 표시해 주세요.
1. 개인정보 수집자 : 메가존클라우드㈜
2. 수집 받는 개인 정보
[필수]이메일
3. 수집/이용 목적
- PoPs 뉴스레터 제공
4. 보유 및 이용 기간 : 개인정보 수집일로부터 3년(단, 고객 동의 철회 시 지체없이 파기)
※ 개인정보 이용 철회 방법
- 안내 문자 등의 동의 철회를 이용하는 방법 : 이메일 수신 거부 링크 클릭 또는 안내 문자 내 수신거부 연락처를 통한 수신 거부 의사 통보
- 개인정보 처리 상담 부서
- 부서명: Offering GTM Team
- 연락처:offering_gtm@mz.co.kr
※ 동의거부권 및 불이익
귀하는 동의를 거절할 수 있는 권리를 보유하며, 동의를 거절하는 경우 상기 이용 목적에 명시된 서비스가 제공되지 아니합니다.

[선택] 개인정보 수집·이용 동의 안내 (마케팅 활용 및 광고성 수신 정보 동의)
PoPs는 아래 내용에 따라 귀하의 정보를 수집 및 활용합니다. 다음의 내용을 숙지하시고 동의하는 경우 체크 박스에 표시해 주세요
1. 개인정보 수집자 : 메가존클라우드㈜
2. 수집 받는 개인 정보
[필수]이메일
3. 수집/이용 목적
- PoPs 뉴스레터 제공
※ 본 동의문에는 이메일을 활용한 광고성 수신 동의 내용이 포함되어 있습니다.
4. 보유 및 이용 기간 : 동의 철회 시 까지
※ 개인정보 이용 철회 방법
- 안내 문자 등의 동의 철회를 이용하는 방법 : 이메일 수신 거부 링크 클릭 통한 수신 거부 의사 통보
- 개인정보 처리 상담 부서
- 부서명: Offering GTM
- 연락처: offering_gtm@mz.co.kr
※ 동의거부권 및 불이익
귀하는 동의를 거절할 수 있는 권리를 보유하며, 동의를 거절하는 경우 상기 이용 목적에 명시된 서비스가 제공되지 아니합니다.

SaaS 비용 최적화를 실현해보세요.

중앙화된 관리로 SaaS 사용 가시성을 확보하면 새는 비용이 보입니다.
데모 신청하기
영업일 기준 3일 안에 회신
조직 내 SaaS 통합 및 관리 시연