앱을 대규모로 안전하게 관리하는 5가지 단계

팀이 이미 업무를 하고 있는 Slack에서 필수 도구에 액세스하도록 하면 앱으로 팀의 생산성을 발휘하도록 지원할 수 있습니다. 관리자의 역할은 직원에게 앱을 사용할 유연성을 부여하는 동시에 조직에서 앱이 운영되는 방식에 대한 통제권을 유지하는 것 사이에 균형을 잡는 것입니다.

이를 위해서 조직에서 앱을 안전하게 대규모로 관리하는 더 간단하고 원활한 방법을 위한 모범 사례를 뽑아보았습니다.

앱 관리 소개

먼저 앱 관리를 네 단계로 분류해보겠습니다.

1. 앱 요청
2. 앱 승인 또는 제한
3. 앱 설치
4. 앱으로 계정 인증하기

각 단계에서 앱 관리를 조직의 필요에 맞추어 조정하기 위해 구체적인 결정을 내릴 수 있습니다.

각 단계를 소개할 때 앱 관리에 적용하고 싶은 거버넌스 유형을 생각해보세요. 결정이 하향식(top-down) 방식이어야 하나요? 즉, 조직 관리자 및 소유자가 조직의 모든 워크스페이스에 걸쳐 적용하도록 결정하는 것을 말합니다.

아니면 상향식(bottom-up) 접근 방식으로 워크스페이스 관리자가 각각의 워크스페이스에 대한 결정을 담당하는 것이 더 나은가요? 

각 조직은 의사결정에 대해 다른 접근 방식을 취할 것이므로 “정답”은 없습니다. 사실 많은 조직이 혼합 방식을 사용하여 일부 결정은 하향식으로 일부 결정은 상향식으로 진행합니다. 

1단계: 앱 요청

앱 승인을 켜는 것은 조직에서 어떤 앱이 사용될지, 더 중요하게는 앱이 설치되면 앱에 어떤 데이터가 제공될지에 대해 통제권을 확보하는 중요한 단계입니다. 

워크스페이스에 대한 앱 승인 켜기

앱 관리 설정에서 각 워크스페이스에 대한 앱 승인을 켤 수 있습니다. 이는 워크스페이스 소유자가 앱 승인을 켜고 앱 요청이 전송될 곳을 구성할지 선택하므로 상향식 접근 방법입니다. 팀 멤버를 지정하여 앱 요청을 검토할 권한을 가진 앱 관리자 역할을 하게 할 수 있습니다.

조직에 대한 앱 승인 켜기

조직 관리자는 모든 기존 워크스페이스 및 향후 생성될 모든 워크스페이스에 대해 앱 승인을 자동으로 켜는 조직 정책을 추가할 수 있습니다. 

조직 정책을 사용하면 조직의 모든 워크스페이스에 적용되는 앱 관리 결정을 할 수 있습니다. 이러한 정책은 워크스페이스가 일관되게 동일한 규칙을 따르도록 보장하는 안전 장치 역할을 합니다.

2단계: 앱 승인 또는 제한

앱 승인이 켜지면 앱 관리 프로세스의 다음 단계는 앱의 승인 또는 제한입니다. 구조를 만들고 어떤 앱을 승인 또는 제한할지 예측 가능하도록 하기 위해서는 한걸음 물러나서 팀워크를 발휘하여 내부 보안 관행을 앱 승인 또는 거부 이유에 대한 가이드 원칙으로 변환하는 작업을 하면 좋습니다. 

조직마다 보안 관행과 위험 감수 성향이 모두 다릅니다. 이 정보를 직접 결정하면 조직에서 앱을 운영하는 방법에 대해 우선순위를 정할 수 있습니다. 

Slack 권한 평가

평가할 수 있는 첫 번째 기준은 앱에서 Slack 워크스페이스에 액세스를 요청하는 권한이 무엇인가입니다. 앱에 특정 권한을 허용하는 위험 및 이점을 이해하는 것은 중요합니다. 앱은 조직의 워크플로를 바꿀 수 있지만 데이터 공유라는 비용을 치러야 할 것입니다.

앱은 Slack에서 다음의 세 가지 기능에 접근하기 위한 특정 권한을 요청할 것입니다. 

• 정보 보기
• 정보 포스트
• 작업 수행

Jira Cloud 앱을 사용하여 예를 들어보겠습니다. 아래는 팀에 의해 식별된 오류에 관한 대화입니다. Arcadio가 버그를 로그한 후에 Jira Cloud 앱은 채널에 다시 게시하여 전체 팀이 문제를 볼 수 있게 되었습니다. 

앱의 권한은 앱이 접근할 수 있는 API 범위 및 메소드에 따라 달라집니다. Jira Cloud 앱이 작동하기 위해 필요한 권한과 범위는 무엇인지 분석해보겠습니다.

• 정보 보기

첫 번째 권한 세트는 정보 보기와 관련됩니다. 여기서 Jira Cloud 앱은 Arcadio가 버그를 생성했다고 지정하고 있습니다. 이것을 하기 위해서는 앱에 “워크스페이스의 사람 보기” 권한이 있어서 Slack 사용자 ID를 Jira 사용자 ID로 다시 맵핑할 수 있어야 합니다. 

이 권한을 부여하면 Jira Cloud는 누가 버그를 생성했는지 쉽고 빠르게 보고 Slack에서 사용자에게 팔로우업 메시지를 전송할 수 있습니다. 해당 세부정보를 검색하기 위해 Jira를 열어야 할 필요가 없습니다.

• 정보 포스트

앱에서 요청할 두 번째 권한 유형은 정보 게시 기능입니다. Jira Cloud 앱은 채널에 게시하고 이를 지원하기 위해 앱에서 Jira Cloud로서 메시지를 전송할 권한이 필요합니다.

이 권한에 대한 액세스를 부여하면 Jira Cloud 앱은 실시간 알림을 채널에 파이핑해서 팀에서 버그를 볼 수 있게 하여 문제에 빠르게 대처할 수 있습니다.

• 작업 수행

마지막으로 앱에서는 Slack에서 다양한 작업을 수행할 권한을 요청할 것입니다. Jira Cloud 앱은 사용자가 알림으로부터 문제를 보거나 문제를 다른 사람에게 배정하는 등의 작업을 하도록 허용합니다.

이 권한에 대한 액세스를 부여하면 Jira를 열고 문제를 검색하거나 어떤 사람에게 배정할 필요가 없습니다. 모든 것이 Slack에서 몇 번의 클릭으로 해결됩니다.

Slack 권한에 대한 세분화 모델

앱 개발자는 세분화 권한 모델을 사용하여 앱 기능으로 다시 맵핑하는 권한을 요청합니다. 이렇게 하면 앱의 보안 흔적이 줄어들고 앱 승인 및 제한 프로세스가 더 투명하고 구체적이 되므로 보안 표준을 준수하지 않는 권한에 대해 앱을 더 쉽게 평가하고, 준수하는 앱을 더 신속하게 승인할 수 있습니다. 

앱의 보안 세부정보 검토

Slack에서의 권한 이외에 앱 개발자의 보안 관행을 신뢰하려는 경우도 있습니다. 개발자는 앱 디렉토리 목록의 새 탭에 SOC 및 HIPAA 준수 인증부터 데이터 보관 정책에 이르기까지 보안 및 규정 준수 세부정보를 포함시킬 수 있습니다.

분리된 리소스에서 검색하는 대신 앱에 관한 중요 보안 및 규정준수 세부정보를 Slack의 앱 디렉토리라는 한 곳에서 액세스할 수 있습니다.

조직 전체 앱 승인 관리

다음에 떠오르는 자연스러운 질문은 확장 가능하고 효율적인 방식으로 앱 승인을 운영화하는 방법은 무엇인가입니다. Slack의 관리자 기능을 사용하면 대규모 앱 승인 관리가 더 간단해집니다.

먼저 여러 워크스페이스에 걸쳐 앱을 관리하는 Enterprise Grid 관리자를 위한 새로운 조직 전체 앱 승인 대시보드가 있습니다. 

이 대시보드는 앱 승인 검토 과정을 간소화하여 조직 전체에서 대량으로 앱을 승인 또는 제한하도록 지원합니다.

밀린 요청을 관리하는 데 시간을 덜 써도 된다는 의미입니다. 게다가 워크스페이스 전체에 걸쳐 어떤 앱이 요청, 제한, 승인되는지를 한 곳에서 한눈에 볼 수 있어서 앱 관리 관행이 조직 전체에 걸쳐 시행되고 있는지 편리하게 확인할 수 있습니다.

Slack의 API를 사용한 앱 승인 자동화

일부 관리자는 앱 승인을 위한 좀 더 미세한 기준이 있거나 앱 승인 프로세스를 더 최적화하고자 합니다. 앱 관리를 위한 관리자 API는 앱 승인 프로세스의 부분 또는 전체를 자동화하는 사용자지정 앱을 구축할 인프라를 제공합니다.

Slack의 API를 사용하여 개발자는 Grid 조직 내의 모든 워크스페이스에 걸쳐 앱 승인 및 거절을 자동화하는 기준을 정의하고 규칙을 설정할 수 있습니다.

조직의 앱 관리를 위한 규칙의 플레이북이 마련되면 Slack의 API를 사용하여 해당 규칙에 대한 작업을 하고 조직의 구체적 필요에 따른 사용자 지정 솔루션을 구성할 수 있습니다.

모든 사람이 사용자지정 앱을 내부적으로 구축할 리소스를 가지고 있지는 않을 것입니다. 개발자를 고용할 계획이라면 저희가 최근에 API로 솔루션을 구축하도록 지원할 수 있는 고급 자격을 갖춘 회사들로 구성된 새로운 서비스 파트너 프로그램을 출시했습니다. 

3단계: 앱 설치

앱이 승인되면 다음 단계는 설치입니다. 원래 요청을 제출했던 사용자는 Slackbot으로부터 요청한 워크스페이스에서 앱 설치가 승인되었음을 알리는 메시지를 받게 됩니다. 이 시점에 사용자는 앱 디렉토리를 방문하여 요청한 워크스페이스에 앱을 설치하도록 안내됩니다.

설치 흐름은 앱에 따라 다릅니다. 각 앱에 필요한 권한과 앱을 엔드 투 엔드로 설정하기 위한 추가 구성의 조합이 다르기 때문입니다. 설치 흐름을 결정하는 두 가지 주요한 입력이 있습니다.

• 앱에 필요한 데이터 액세스의 종류는? 데이터 액세스는 Slack에서, 타사 서비스에서 또는 둘 다에서 필요한가? 
• 앱에 필요한 추가 구성은 무엇인가? Slack, 타사 서비스 또는 둘 다에서 앱을 설정하는 추가 단계가 있는가? 

이러한 입력을 문맥 속에서 파악할 수 있도록 각 시나리오의 몇 가지 예를 살펴보겠습니다. 

데이터 액세스 부여

액세스되는 데이터 종류에 있어서 일부 앱은 작동을 위해 Slack의 권한만 필요합니다. Simple Poll 앱은 기초적인 설문조사를 진행하며 사용자의 응답만 필요한데 이는 Slack에만 있는 데이터입니다. 

그러나 다른 앱에서는 통합되는 서비스 종류에 따라 타사 권한이 필요할 수 있습니다. 예를 들면 Google 캘린더 앱은 회의 리마인더 보내기와 사용자의 Slack 상태를 캘린더와 동기화하기 등 앱의 기본 기능 수행을 위해 사용자의 캘린더 데이터에 액세스해야 합니다.

앱 구성

권한 부여 후 다음 단계는 추가 구성을 완료하는 것입니다. 모든 앱에 구성이 필요하지는 않지만 필요한 앱의 경우 일반적으로 사용자의 수동 입력이 필요한 일부 형식이 있기 때문입니다. 예를 들면 Twitter 앱을 사용할 경우 트윗을 게시할 채널을 구성해야 합니다. 

다른 앱에서는 타사 서비스에서 훨씬 더 심도 있는 구성이 요구되기도 하는데 일반적으로 다른 앱 마켓플레이스가 관련되는 경우입니다. 예를 들어 Salesforce 앱을 설치하기 위해서는 Salesforce 관리자가 Salesforce AppExchange에서 작업을 해서 적절한 Salesforce 패키지를 설치하도록 지원을 요청해야 합니다. 

이처럼 미세한 수준은 주의가 요구됩니다. 앱을 승인할 경우 Slack에서 즉시 작동하지 않는다는 의미이기 때문입니다. 앱 요청 검토를 할 때는 Salesforce, Workday 또는 Zoom 등과 같이 요구되는 추가 구성이 있는 상태의 설명을 주의해서 보아야 합니다. 

Enterprise Grid 전반에 앱 배포

많은 Enterprise Grid 고객에게 각 개별 워크스페이스에 앱을 설치하기 위한 확장은 가능하지 않습니다. 특히 조직에서 수백 또는 수천 개의 워크스페이스를 관리하고 있다면 더욱 그렇습니다.

조직 관리자 및 소유자는 관리자 대시보드를 사용하여 여러 워크스페이스에 걸쳐 한 번에 앱을 설치 및 배포하여 앱 배포 프로세스를 위한 시간을 아끼고 효율성을 높일 수 있습니다. 앱이 전체 조직에 걸쳐 배포될 때 향후 만들어질 워크스페이스에도 자동으로 설치하도록 선택하면 시작부터 Slack에서 이용 가능한 앱의 기본 세트가 만들어집니다.

Slack 앱 디렉토리를 방문하여 조직 전체에 걸쳐 배포될 수 있는 앱의 종류를 알아보거나 Slack API 설명서를 통해 이러한 배포 모델을 지원하도록 내부 앱을 업그레이드하는 방법을 알아보세요.

4단계: 앱 인증

마지막으로 앱이 설치되면 워크스페이스의 모든 사람이 볼 수 있습니다. 하지만 설치 흐름에 따라 일부 앱은 각 개인 사용자가 추가 인증 단계를 거쳐야 합니다.

특히 사용자 수준 데이터를 취급하는 앱의 경우 각 사용자는 타사 서비스를 사용한 인증을 통해 개인 계정 세부정보에 대한 권한을 앱에 부여해야 합니다. 이를 통해 사용자는 앱에서 자동으로 데이터가 공유되는 대신 캘린더 세부정보 등의 보다 개인적인 데이터를 공유하도록 선택할 수 있습니다.

팀을 대신한 캘린더 앱 인증

일부 사용자는 Slack 앱을 사용하기 위해 이러한 추가 인증을 완료해야 하는지 모를 수 있습니다. 관리자가 Google Calendar 또는 Outlook Calendar 앱의 이러한 허들을 우회하려면 팀의 모든 계정을 중앙에서 인증하는 방식인 도메인 전체 인증을 사용할 수 있습니다. 사용자가 인증되면 앱에서 일련의 온보딩 팁을 받게 되어 앱을 최대한 활용하는 방법을 이해하도록 도와줍니다.

이러한 하향식 접근 방법으로 사용자가 조직 전반에서 Slack의 가치를 더 많이 활용하도록 지원할 수 있습니다. 실제로 1,500명 이상의 직원을 보유한 온라인 개인 금융 회사인 SoFi의 경우 도메인 인증의 캘린더 앱 자동 설정을 사용한 후에 주간 Google 캘린더 사용자가 790% 증가했습니다.

Slack 보안팀의 모범 사례

앱 관리에 대한 기초를 배웠으므로 Slack 보안팀의 몇 가지 팁과 트릭을 알려드리겠습니다.

앱 검토를 위한 문서 가이드 원칙

앱의 승인 또는 거절 이유에 대한 가이드 원칙을 결정할 때 보안팀과 협력하도록 하세요. 명확한 지침이 있으면 관리자와 앱 관리자가 팀과 협의하지 않고도 앱에 관해 보다 스마트한 결정을 내릴 수 있게 됩니다.

앱 요청에 관해 조직 교육하기

앱 요청의 질을 개선하는 좋은 방법은 FAQ 문서를 만들어서 소셜에 공유하는 것입니다. 사람들이 설치할 수 있는 것과 없는 것을 이미 알고 있다면 요청의 질이 더 나아질 것이기 때문입니다.

예를 들어 절대로 허용되지 않고 권한 제한으로 결정하는 것은 무엇입니까? 사용자에게 알리고 그 이유도 알려주세요.

앱을 고려할 때 생각해야 할 내용에 대한 가이드라인을 제시하는 것도 유용합니다. 사용자에게 신뢰할 수 있는 개발자나 이미 제한된 적이 있는 특정 앱 등을 알려줄 수 있습니다.

승인된 앱의 동인 살펴보기

위협 면적을 줄이기 위해 Slack 보안팀은 앱의 반복을 최소화하려고 노력합니다. 예를 들어 비슷한 사용 사례를 갖고 있다면 세 가지 유형의 설문조사 앱을 사용할 필요는 없습니다.

특정한 사용 사례에 최상으로 작동하는 앱을 평가하고 파악합니다. 그런 다음 특정 앱을 사용하도록 직원에게 추천합니다(유사한 앱을 사용한 비즈니스적인 필요가 있는 경우는 제외).

또한 사용자가 앱을 요청하는 이유가 이미 제공되고 있는 것을 모르고 솔루션을 찾기 때문임을 발견하기도 합니다.

현재 Slack 사이드바에서 액세스할 수 있는 전용 앱 페이지에서 사용자는 이미 워크스페이스에 설치된 앱을 볼 수 있습니다. 이 페이지로 사용자를 안내해서 새 앱을 요청하기 전에 승인된 앱을 알아볼 기회를 줄 수 있습니다.

청각 교육자료가 필요하신가요? 이 콘텐츠를 앱을 대규모로 안전하게 관리하기라는 웹 세미나 형식에 모았습니다.