??? ??? ???? ???? ? ??? ? ? ???? Credit: iStock 클라우드 보안 연합(CSA)의 에 따르면 IT 관리자 중 58%가 승인되지 않은 협업 및 커뮤니케이션 도구를 사용하고 있는 것으로 나타났다. 섀도우 IT(shadow IT)는 단순히 예외적인 사례가 아니며, 규정을 감독하는 핵심 인력조차 스스로 규정을 우회하고 있다는 점에서 시사하는 바가 크다. 왜 이런 일이 벌어질까? 이유는 간단하다. 실제 업무 흐름과 동떨어진 규정이 결국 무시되거나 우회되기 때문이다. 섀도우 IT가 더 이상 이슈가 아니라고 생각할 수도 있지만, 여기에 의문을 제기할 필요가 있다. 시스템이 진화하듯 섀도우 IT도 진화하기 때문이다. 10년 전에는 드롭박스나 구글 드라이브 정도가 대표적인 사례였다면, 지금은 개발자들이 승인되지 않은 AI 에이전트, 오픈소스 프레임워크, LLM 기반 코파일럿 도구를 자율적으로 실험하고 있다. 섀도우 IT는 여전히 유효하다. 달라진 건 그 배경과 환경일 뿐이다. 기술은 계속 발전하고 사람은 언제나 더 편리한 방법을 찾는다. 이제 IT 리더는 도구 사용 현황을 면밀히 살피고, 섀도우 IT를 단속의 대상이 아닌 유용한 피드백으로 받아들일 필요가 있다. 그래야 모든 사용자가 제대로 활용할 수 있는 워크플로우를 설계할 수 있다. 손쉬운 길을 택하는 이유 몇 년 전, 한 제조업체에서 일하던 지인이 전한 사례다. 당시 엔지니어들은 회사 서버가 느리고 승인 절차가 오래 걸린다는 이유로 개인 구글 드라이브를 이용해 3D 모델을 공유했다. 프로젝트 마감일이 한 번도 연기되지 않았기 때문에 어쩔 수 없는 선택이었다. 이후 워크플로우 감사 과정에서 이런 비공식적 방식이 경영진에 의해 발견됐다. 회사가 내린 조치는 무엇이었을까? 외부 클라우드 스토리지 전면 금지였다. 이 결정이 생산성이나 사기 진작에 도움이 됐을까? 전혀 아니었다. 6개월 뒤, 엔지니어들은 USB 드라이브로 파일을 주고받기 시작했다. 여기서 리더십이 놓친 건 보안 리스크만이 아니었다. 사용자 행동을 관찰하고 배울 수 있는 기회를 놓친 것이다. 편법을 처벌하는 대신 왜 직원들이 그런 선택을 했는지 질문하고 경청할 수 있었다. 승인되지 않은 IT 도구의 이면에는 늘 느리고 복잡한, 시대에 뒤처진 프로세스가 존재하기 때문이다. 직원들은 이런 방식을 업무를 더 빨리 끝내기 위한 ‘손쉬운 길’로 인식한다. 반면 조직, 특히 IT 리더는 이를 규정 위반이나 반항 행위로 인식하기 쉽다. 그러나 실제로는 반항이 아니라 피드백일 뿐이다. 직원들이 시스템을 우회하는 이유는 해를 끼치기 위해서가 아니라, 공식적인 경로가 자신의 업무를 제대로 뒷받침하지 못하기 때문이다. 섀도우 IT가 사라지지 않는 이유 중앙 집중형 IT 시스템은 분명 효율성과 통제력을 제공한다. 하지만 도구나 운영 방식이 사용자 요구와 맞지 않을 경우 불만이 쌓인다. 에 따르면 직원 61%는 기존 기술에 만족하지 못하며, 버그가 많고 신뢰할 수 없다고 평가했다. 여기에 IT 지원 부족도 섀도우 IT를 부추기는 요인이다. 는 IT 대응이 느려 섀도우 IT로 눈을 돌린다고 답했다. 이런 요인은 결국 좌절을 낳고, 직원들이 더 효율적인 대안을 찾아 나서게 만든다. 리더들은 종종 실질적인 문제보다 가설에 집중한다. 예를 들어 왓츠앱(WhatsApp)을 차단해 이론적인 데이터 유출을 막을 수는 있지만, 이로 인해 민첩성과 사기가 희생된다. 비지(Beezy)의 조사에 따르면, 직원 85%는 회사가 자신의 활동을 모니터링하고 있다고 인식하면서도 비인가 도구를 계속 사용하는 것으로 나타났다. 효율을 위해 위험을 감수하고 있다는 의미다. 직원들은 안전한 규정 준수보다 더 빠르고 편한 방법을 택하고 있다. 리더는 스스로를 ‘공원 조경 설계자’라고 생각해 볼 필요가 있다. 공원의 인도와 횡단보도를 구조적으로 잘 설계했음에도 불구하고, 시간이 지나면서 사람들이 새로 낸 지름길이 곳곳에 생기기 시작한다. 이 상황에서는 3가지 선택지가 있다. 정해진 길을 따르지 않은 사람들을 처벌한다. 새로 생긴 지름길을 그냥 무시한다. 사람들이 규정을 무시하고 선택한 자리에 새로운 횡단보도를 만든다. 이 길이 가장 편하고, 사용자 경험을 통해 입증된 경로이기 때문이다. 이런 삼중 딜레마는 생각보다 훨씬 흔하다. 이제 이 상황을 섀도우 IT 문제로 옮겨보자. 여기서도 선택지는 3가지다. 금지: 금지는 비인가 도구를 차단하고, 회사 정책을 강제 적용하며 규정 준수 여부를 모니터링하는 전통적인 방식이다. 단기적으로는 효과가 확실하지만, 장기적으로는 신뢰와 구성원 사기 저하라는 대가가 따른다. 결국 다양한 우회 경로가 등장할 가능성이 매우 높다. 예를 들어 한 개발 조직이 코드 유출 가능성을 우려해 클로드(Claude) 접속을 막는다면, 개발자들은 챗GPT, 제미나이, 코파일럿 등 다른 도구로 이동하거나 더 나아가 개인 PC에서 작업을 시작할 수 있다. 이처럼 사람들은 다시 ‘손쉬운 길’을 찾는다. 이 방식은 군대나 공공기관처럼 정보 유출이 국가 차원의 위험을 초래할 수 있는 조직에는 타당할 수 있다. 하지만 민간 기업이 동일한 기준을 적용하면 과잉 대응이 된다. 실제로 일어날지 모를 가상의 위험을 막기 위해 유연성을 잃게 되는 셈이다. 무시: 이는 갈등을 피하지만 위험을 키우는 소극적인 방식이다. 섀도우 IT가 광범위하게 퍼져 있는 현실에서 이를 완전히 무시하면, 결국 기업이나 고객의 데이터가 유출되는 심각한 결과로 이어질 가능성이 크다. 즉, 문제를 직면해 해결하는 것보다 더 큰 피해를 초래할 수 있다. 더욱이 이를 무시하는 것은 조직 내 뛰어난 인재들과 그들이 만들어내는 잠재적인 혁신 기회를 외면하는 것과 같다. 수용: 도구가 선택받는 이유를 파악하고 공식 시스템에 통합하는 접근 방식이다. 예를 들어 한 물류 기업에서 운전자들이 승인된 경로 소프트웨어 대신 모바일 앱인 웨이즈(Waze)를 사용하고 있다면, 웨이즈와 협력해 배송 추적 기능이 포함된 기업용 버전을 개발할 수도 있다. 이는 업무 효율성과 직원 사기 모두에 긍정적이다. 실제로 트레볼루션(Trevolution)은 이 같은 방식을 택하고 있다. 개발자가 어떤 AI 에이전트를 사용할지 중앙에서 일괄 결정하지 않고, 각 팀이 자유롭게 탐색하고 선택할 수 있도록 자율성을 부여한다. 개발자들은 각자 자신에게 맞는 스택을 실험하고 테스트한 후, 워크숍을 통해 우수 사례를 서로 공유한다. 이런 프로세스를 통해 실제 회의 시간에 혁신이 자연스럽게 일어난다. 더 나은 길 만들기 모니터링 도구를 활용하면 비인가 도구 사용을 감지할 수 있으며, 혁신을 저해하지 않으면서도 보안에 미치는 영향을 평가할 수 있다. 제로 트러스트 아키텍처도 효과적이다. 이를 통해 외부 앱을 전면 차단하는 대신 민감한 시스템에 대한 접근만 제한할 수 있다. 필자는 섀도우 IT를 해결해야 할 ‘문제’가 아니라 해석해야 할 ‘신호’라고 본다. 이는 경각심을 일깨우는 역할을 할 수 있다. 대부분의 조직은 여전히 IT 팀이 새로운 도구를 찾고, 검토 및 테스트한 뒤 표준으로 지정하는 탑다운 방식을 따른다. 하지만 만약 해결책이 바텀업(bottom-up) 방식으로 아래에서 올라온다면 어떨까? 실제 업무를 수행하는 직원들이 편하고 직관적이며 결과를 내는 데 유용하다고 여기는 도구를 기준으로 조직이 다시 고민한다면 어떨까? 직원들의 피드백에 귀 기울여야 할 때다. 트레볼루션에서는 일부 여행 상담원이 고객의 선호도나 예약 변경 사항을 추적하는 데 CRM 시스템 대신 자신만의 스프레드시트 템플릿을 사용한 적이 있었다. 이 방식 덕분에 업무 속도는 빨랐다. 이를 문제로 간주해 질책할 수도 있었지만, 트레볼루션은 이유를 파악하는 데 집중했다. 그 결과 기존 CRM이 실시간 수정 작업에 직관적이지 않다는 점을 발견했다. 이후 가장 오래 근무한 직원과 신입 직원의 작업 방식을 직접 살펴보며 업무 흐름이 어떻게 다른지 비교 분석했다. 이를 바탕으로 해결책을 찾아 CRM 시스템을 개선했다. 복잡했을까? 그렇지 않았다. 시간이 많이 들었을 뿐이다. 하지만 하지만 결과적으로는 조직 전체에 유용한 ‘바텀업’ 방식의 해결책이었다. 궁극적인 목표는 모든 걸 통제하는 것이 아니라 사람들이 보도를 벗어나지 않아도 되는 ‘공원’을 설계하는 것이다. 섀도우 IT가 존재하느냐는 질문은 무의미하다. 이미 존재하기 때문이다. 중요한 건 이에 조직이 어떻게 대응할지다. 잔디는 언제나 길이 부족한 곳에서 먼저 밟힌다.dl-ciokorea@foundryco.com ???? ???? ??? ??? IT ??? ???? ??? ????! ??? ??? ??? ?????. ????