들어가며

가트너의 클라우드 전환 시장 동향 및 퍼블릭 클라우드 지출 전망에 따르면 2024년까지 애플리케이션 지출의 약 60%가 온프레미스에서 클라우드로 전환되고 전 세계 SaaS 지출은 총 2,300억 달러가 넘을 것으로 예상됩니다.

‍

또한 2025년까지 조직의 30%가 크리티컬하고 중대한 워크플로우를 SaaS 애플리케이션에만 의존할 것으로 보이며 이러한 시장 동향에 따라 IT 부서의 적극적인 개입 없이 SaaS 애플리케이션을 도입하는 상황이 계속될 것입니다.

‍

IT 담당자의 관리 없이 부서 또는 개인이 SaaS를 도입하면 섀도우IT가 발생하게 됩니다. 섀도우IT는 소프트웨어 관리의 일관성, 규정 준수, 비용 절감 등의 측면에서 부정적인 결과를 초래합니다. 관리되지 않는 SaaS는 위험이 매우 큽니다. 이에 SaaS 거버넌스의 중요성이 부각되고 있습니다.

‍

이번 글은 가트너 리서치(How to Establish Effective SaaS Governance)를 참고하여 SaaS 거버넌스가 중요한 이유와 SaaS 거버넌스 구축을 위한 접근법을 제안합니다.

‍

‍

‍

SaaS 거버넌스가 중요한 이유

SaaS 거버넌스는 조직 내에서 사용하고 있는 SaaS 애플리케이션의 사용을 식별, 제어, 관리 및 완화하기 위해 수립하는 프로세스 및 관행입니다. SaaS 스택의 효율성과 규정 준수를 유지하기 위해 프레임워크를 제공하는 데 중점을 둡니다.

‍

SaaS 애플리케이션은 일회성의 프로젝트가 아닌 지속해서 적절한 관리가 필요한 IT 자산입니다. 하지만 대부분의 SaaS 구매는 장기적인 이슈를 고려하지 않고  즉시 필요한 기능을 사용하기 위한 목적으로 도입되는 경우가 대부분입니다.

‍

SaaS 거버넌스 프레임워크가 없으면 섀도우IT 문제가 발생하게 됩니다. IT 부서가 알지 못하는 지출과 기술 스택의 비효율성이 발생할 수 있으며 사이버 보안 및 개인정보 보호 규정 위반의 위험을 증가시킵니다.

‍

IBM 보고서에 따르면 한국 기업들이 보안 침해로 입은 피해액이 평균 43억 3,400만 원에 달합니다. 2027년까지 SaaS 수명 주기를 중앙에서 관리하지 못하는 조직은 잘못된 구성으로 인해 보안 사고나 데이터 손실에 5배 더 취약할 것으로 예상됩니다.

‍

‍

‍

SaaS 거버넌스 구축을 위해 꼭 알아야 하는 3가지

SaaS 거버넌스 구축을 위한 접근법으로 가트너가 제시한 내용은 다음과 같습니다.

‍

‍

1. 정의된 프로세스를 통해 모든 SaaS 사용을 승인

IT 부서에서 SaaS 요청을 자동으로 거부할 수는 없지만 비즈니스 이해관계자와 협력하여 유연하고 실용적인 협력 프로세스를 만들어야 합니다. 예를 들어 3개월 동안 특정 SaaS에 로그인하지 않은 계정이 있다면 해당 계정을 회수, SaaS 별 담당자를 지정해 승인한 경우 별도의 절차 없이 해당 계정의 SaaS 사용을 허용하는 등 직원들의 SaaS 사용 현황을 파악하여 데이터 기반으로 프로세스를 수립할 수 있습니다.

‍

‍

2. SaaS에 대한 책임 할당

IT 부서에서 특정 SaaS 애플리케이션에 대한 책임 및 관리를 갖지 않는다면 해당 SaaS 애플리케이션의 오너는 특정 팀의 매니저 또는 부서의 리더일 것입니다. 기업 내에서 사용하는 SaaS가 늘어남에 따라 IT 부서에서 모든 SaaS를 일일이 관리하는 것은 불가능에 가까워졌습니다. 앞으로의 SaaS 관리는 IT 부서가 중앙 콘솔에서 전체를 관리하고 적절한 부서와 담당자에게 중간 관리체계를 할당해 주는 방식이 될 것입니다. 따라서 관련 R&R을 잘 정의하는 것이 필요합니다.

• 애플리케이션 오너: 일반적으로 SaaS 비용을 지불하는 부서장인 경우가 많으며 모든 잔여 위험을 수락하는 데 명시적으로 동의합니다.
• 애플리케이션 관리자: 보통 비즈니스 기술자로 계정 생성/유지/삭제와 함께 삭제된 계정으로부터 데이터를 적절히 처리하는 역할을 담당합니다.
• 파워 유저: 비밀번호 재설정과 같은 지원을 제공해 줄 수 있습니다.
• 지원: 이슈 발생 시 IT 부서 또는 SaaS 벤더사에 알리고, 정교한 작업이 필요한 커스터마이징이나 인테그레이션 작업을 담당합니다.

‍

3. 종합적인 클라우드 애플리케이션 인벤토리 관리

SaaS 사용과 관련해 수립된 정책은 IT 부서를 통해 SaaS 사용을 공식적으로 승인하고 IT 부서에서 사용 현황에 대해 추적할 수 있는 점을 포함해야 합니다. 최소 SaaS 애플리케이션의 유형과 이름, 해당 SaaS의 오너, 데이터 분류 및 중요도, 계약 세부 정보, 문서화된 위험 분류, 위험 평가 및 의사결정 프로세스, SaaS 서비스와 통합된 기타 서비스 또는 애플리케이션 목록에 대한 정보는 추적이 가능해야 합니다.

‍

보안 도구를 사용해 접근을 효과적으로 모니터링하고 적합한 정책을 시행하여 클라우드 애플리케이션에 저장된 데이터를 보호하는 것이 더욱 중요해졌습니다. Access Management(AM), Cloud Access Security Brokers(CASB), SaaS Security Management Platforms(SSPM), SaaS Management Platforms(SMP), Backup tools 등 보안 툴을 활용해 클라우드 환경의 보안을 유지할 수 있습니다.

‍

‍

‍

단계별 SaaS 거버넌스

‍

1. SaaS 사용 시작

기능, 가격, 기술 지원 등을 비교해 기업에 적절한 SaaS를 선택하고 구매합니다. 일회성 비용뿐만 아니라 SaaS 도입을 통해 이루어지는 초기 통합 및 확장 작업 등 지속해서 발생할 수 있는 비용을 모두 고려해야 합니다. SaaS를 최대로 활용할 수 있는 역량을 만들고 적합한 툴과 프로세스, 인력을 사용해 지출을 최적화합니다.

‍

모든 SaaS는 기존 기업 ID 및 액세스 관리(IAM) 솔루션과 통합되어야 하며 복구에 대한 명확한 목표가 있어야 합니다. 민감한 데이터가 있는 애플리케이션의 경우 SaaS 공급업체에서 발생하는 장애에 대처할 수 있는 계획을 수립해야 합니다.

‍

‍

2. 지속적인 SaaS 관리

SaaS 애플리케이션은 지속적인 관리가 필요합니다. IT 또는 비즈니스 부서는 변화에 유연하게 대처하고 민첩한 접근 방식으로 SaaS를 지원해야 합니다. 벤더 리스크를 관리하고 실제 SaaS 사용자의 요구사항에 맞게 라이선스를 제어합니다. 또한 사용자가 SaaS에 액세스할 수 있는 요건을 검증하고 관련 프로세스를 만들고 유지해야 합니다. 이외에도 컴플라이언스 관리, 사용자 위험 관리, 데이터 백업, SaaS 애플리케이션 성능 모니터링, SaaS 포트폴리오 관리가 필요합니다.

‍

‍

3. 수명 주기 관리

SaaS 서비스 종료 및 서비스 프로비저닝 해제에 대비한 백업 작업이 필요합니다. SaaS 간 데이터 마이그레이션은 복잡한 과정이 될 수 있습니다. SMP 또는 클라우드 마이그레이션 플랫폼이 일반적인 SaaS 애플리케이션 간 마이그레이션을 지원할 수 있습니다. 또한 데이터 파기 및 보관에 대해 내부적인 합의를 이루고 정책을 수립해야 합니다. 데이터 파기가 적절한지 확인하기 위한 요건을 결정하고 데이터를 적절하게 처리할 수 있는 충분한 시간을 확보합니다.

‍

‍

‍

마치며

SaaS 거버넌스의 주요 목적은 조직 내 위험을 줄이고, 비용을 절감하며, 효과적인 투자를 보장하는 것입니다. 현재 기업에서 SaaS를 사용하고 계시나요? 효율적이고 효과적인 기술 스택을 구축하고 유지 및 관리할 수 있는 SaaS 거버넌스에 대해 고민해야 할 때입니다.

‍

👉SaaS 거버넌스에 대해 문의하기