2018.04.27

기고 | IT 위험 관리와 혁신을 '공존'시키는 방법

Bruce Harpham | CIO

기술 분야에서 스타트업의 슬로건은 늘 유효하다. ‘빠르게 움직여라’ ‘관행을 타파하라’ ‘살아남아라’ 등의 자세들이다. 이들이 흥미로운 아이디어인 것은 사실이지만 이것들을 IT에서 사용하도록 하려면 조정이 필요하다.

특히 완성된 비즈니스를 운영하는 IT임원들에게 위험 보상 시나리오(risk-reward scenario)는 다른 이야기이다. 수 천 또는 수백만 명이 인프라에 의존하고 있다. 예를 들어 온라인 뱅킹 플랫폼이 다운되면 상당한 손실이 발생할 수 있다.

따라서 CIO가 혁신해야 할 필요성이 커지고 디지털 혁신이 거의 모든 산업에서 진행되고 있지만 기술 임원들은 혁신 노력에 내재된 위험을 무시해서는 안 된다. 기업이 조직의 발전 능력을 저해하지 않으면서 위험의 양을 줄이는 방법에 대한 조언을 정리했다.



실질적인 백업을 통한 안전망을 제공하라
IT위험 완화에서 가장 중요한 것은 보안이다. 2017년 에퀴팩스(Equifax)의 대규모 해킹 사건에서 목격했듯이 해킹 사고로 인해 상당한 문제가 지속적으로 발생하고 있다. 이런 세간의 이목을 끄는 사고로 인해 사이버 보안의 우선 순위가 올라갔다. 하지만 백업은 어떨까?

프로그래머들이 효율성을 높이는 좋은 방법을 찾았다고 가정해 보자. 시험 과정에서는 아무런 문제가 발생하지 않지만 실제로 적용하면 데이터가 불가해한 수준으로 손상되곤 한다. 신뢰할 수 있는 백업이 있는 경우 안전하다. 하지만 백업의 실행 가능성을 검증하지 않은 경우 조직이 상당한 위험에 처하게 된다.

"시험되지 않은 백업은 백업이 아니다. IT인프라는 지속적으로 수정, 변경, 업데이트되고 있으며 관련성이 없어 보이는 변화도 백업에 영향을 줄 수 있다"라고 SaaS 신뢰성 컨설턴트 데이비드 클로건이 강조했다.

그는 이어 "과거에는 백업 과정으로 인해 3주 동안 운영이 정지되기도 했다. 왜냐하면 새 서버 패키지를 설치하면서 백업 스케줄러가 오류를 나타내지 않고 충돌했기 때문이다. 우리가 백업이 필요할 때까지 그 문제를 발견하지 못했다면 곤경에 처했을 것이다. 백업이 여전히 작동하고 있는지 확인하는데 5분이 소요되며 이를 정기적으로 수행하면 광범위한 고장 상황을 완화할 수 있다"라고 덧붙였다.

특히 자동화된 시험을 전적으로 신뢰할 수 없다. 백업 위험이 적절히 관리되고 있는지 파악하는 실제 시험 이벤트가 필수적이다. 기업에 필수적인 공급자가 있는 경우 그들의 유효성에 대한 ‘그린’ 상태 보고서를 정기적으로 요청하는 것이 좋다.

위험 모니터링 툴이 환경의 변화와 보조를 맞추도록 하라
모니터링 툴은 조직의 위험과 사고에 대한 정보를 지속적으로 파악하는데 중요한 역할을 한다. 하지만 모니터링 툴은 한계가 있고 특히 환경이 변화할 때는 더욱 그렇다. 조직에서 컨테이너 등의 새로운 기술을 도입한 경우 모니터링 과정에서 중대한 위험원이 누락될 수 있다.

"전통적인 APM 플랫폼 등의 여러 IT 모니터링 툴에는 한계가 있곤 한다. 현대적인 애플리케이션과 효과적으로 통합되고 애플리케이션과 이를 지원하는 기초 인프라 사이의 복잡한 상호의존성을 파악할 수 없다"라고 IT 모니터링 서비스 및 제품 제공기업 사이언스로직(ScienceLogic)의 CTO 안토니오 피라이노가 설명했다.

그는 이어 "컨테이너화와 다중 클라우드 시스템의 부상은 상황을 복잡하게 만들었으며 여러 전통적인 모니터링 툴이 따라잡을 수 없게 되었다"라고 덧붙였다.

모니터링 툴이 성능을 발휘하고 있는지 어떻게 알 수 있을까? 실험이 하나의 방법이다. 특정 서비스를 켜고 끄면서 이런 이벤트가 보고되는지 파악한다. 또한 애플리케이션 인벤토리를 다시 살펴보고 정말로 포괄적인지 파악한다.

GDPR에 확실히 대비하라
2018년 5월, EU에서 GDPR(General Data Protection Regulation)이 발효된다. 대대적인 벌금 가능성으로 인해 많은 마케팅 및 기술 전문가들이 우려하고 있다. 비즈니스 마케팅 및 성장의 필요성과 새로운 규제 체제에 사이의 균형을 어떻게 조정할 수 있을까?

IT책임자는 서비스 제공사, EU거주민에 대한 기존의 데이터, 비즈니스 목표를 분석해 이런 위험에 대처할 수 있을 것이다. 보수적인 위험회피형 접근방식을 취하기로 결정할 수도 있다. 이메일 마케팅 서비스인 드립(Drip)을 예로 들어보자. 드립에는 준수성 비용이 과도하다고 생각되는 소기업들을 위한 간단한 해결책이 있다. EU의 유망주 및 고객들과 소통을 차단하는 것이다. 하지만 이런 소통 차단 접근방식 때문에 위험이 완전히 사라지지 않는다. 왜냐하면 고객을 차단하는데 있어 IP 감지 툴과 관련 기술에 의존하기 때문이다.

조직이 더 큰 위험을 감수하거나 유럽에서의 성장을 더 강조하는 경우 다른 접근방식이 필요할 수 있다. IT책임자는 이런 변화를 어떻게 지원할 수 있을까? EU에 있는 데이터를 올바르게 추적하기 위해 더욱 강력한 추적 툴에 투자하기로 결정할 수 있다. 아니면 IT가 기업의 마케팅 대행사와 툴을 평가하여 GDPR 위험 노출 범위를 판단하도록 제안할 수 있다.

클라우드에서 비롯된 '오펙스(OpEx) 기습'에 주의하라
구내 소프트웨어와 하드웨어에 대한 투자의 대대적인 초기 자본 지출이 부담스러운 상황에서 CIO들은 종량제 클라우드 모델에서 매력적인 해결책을 찾았다. 하지만 클라우드 도입이 증가하면 LNRS(LexisNexis Risk Solutions)의 CTO 비자이 라가반이 말하는 "오펙스 기습"에 능숙해져야 한다. 그는 다음과 같이 설명했다.

2018.04.27

기고 | IT 위험 관리와 혁신을 '공존'시키는 방법

Bruce Harpham | CIO

기술 분야에서 스타트업의 슬로건은 늘 유효하다. ‘빠르게 움직여라’ ‘관행을 타파하라’ ‘살아남아라’ 등의 자세들이다. 이들이 흥미로운 아이디어인 것은 사실이지만 이것들을 IT에서 사용하도록 하려면 조정이 필요하다.

특히 완성된 비즈니스를 운영하는 IT임원들에게 위험 보상 시나리오(risk-reward scenario)는 다른 이야기이다. 수 천 또는 수백만 명이 인프라에 의존하고 있다. 예를 들어 온라인 뱅킹 플랫폼이 다운되면 상당한 손실이 발생할 수 있다.

따라서 CIO가 혁신해야 할 필요성이 커지고 디지털 혁신이 거의 모든 산업에서 진행되고 있지만 기술 임원들은 혁신 노력에 내재된 위험을 무시해서는 안 된다. 기업이 조직의 발전 능력을 저해하지 않으면서 위험의 양을 줄이는 방법에 대한 조언을 정리했다.



실질적인 백업을 통한 안전망을 제공하라
IT위험 완화에서 가장 중요한 것은 보안이다. 2017년 에퀴팩스(Equifax)의 대규모 해킹 사건에서 목격했듯이 해킹 사고로 인해 상당한 문제가 지속적으로 발생하고 있다. 이런 세간의 이목을 끄는 사고로 인해 사이버 보안의 우선 순위가 올라갔다. 하지만 백업은 어떨까?

프로그래머들이 효율성을 높이는 좋은 방법을 찾았다고 가정해 보자. 시험 과정에서는 아무런 문제가 발생하지 않지만 실제로 적용하면 데이터가 불가해한 수준으로 손상되곤 한다. 신뢰할 수 있는 백업이 있는 경우 안전하다. 하지만 백업의 실행 가능성을 검증하지 않은 경우 조직이 상당한 위험에 처하게 된다.

"시험되지 않은 백업은 백업이 아니다. IT인프라는 지속적으로 수정, 변경, 업데이트되고 있으며 관련성이 없어 보이는 변화도 백업에 영향을 줄 수 있다"라고 SaaS 신뢰성 컨설턴트 데이비드 클로건이 강조했다.

그는 이어 "과거에는 백업 과정으로 인해 3주 동안 운영이 정지되기도 했다. 왜냐하면 새 서버 패키지를 설치하면서 백업 스케줄러가 오류를 나타내지 않고 충돌했기 때문이다. 우리가 백업이 필요할 때까지 그 문제를 발견하지 못했다면 곤경에 처했을 것이다. 백업이 여전히 작동하고 있는지 확인하는데 5분이 소요되며 이를 정기적으로 수행하면 광범위한 고장 상황을 완화할 수 있다"라고 덧붙였다.

특히 자동화된 시험을 전적으로 신뢰할 수 없다. 백업 위험이 적절히 관리되고 있는지 파악하는 실제 시험 이벤트가 필수적이다. 기업에 필수적인 공급자가 있는 경우 그들의 유효성에 대한 ‘그린’ 상태 보고서를 정기적으로 요청하는 것이 좋다.

위험 모니터링 툴이 환경의 변화와 보조를 맞추도록 하라
모니터링 툴은 조직의 위험과 사고에 대한 정보를 지속적으로 파악하는데 중요한 역할을 한다. 하지만 모니터링 툴은 한계가 있고 특히 환경이 변화할 때는 더욱 그렇다. 조직에서 컨테이너 등의 새로운 기술을 도입한 경우 모니터링 과정에서 중대한 위험원이 누락될 수 있다.

"전통적인 APM 플랫폼 등의 여러 IT 모니터링 툴에는 한계가 있곤 한다. 현대적인 애플리케이션과 효과적으로 통합되고 애플리케이션과 이를 지원하는 기초 인프라 사이의 복잡한 상호의존성을 파악할 수 없다"라고 IT 모니터링 서비스 및 제품 제공기업 사이언스로직(ScienceLogic)의 CTO 안토니오 피라이노가 설명했다.

그는 이어 "컨테이너화와 다중 클라우드 시스템의 부상은 상황을 복잡하게 만들었으며 여러 전통적인 모니터링 툴이 따라잡을 수 없게 되었다"라고 덧붙였다.

모니터링 툴이 성능을 발휘하고 있는지 어떻게 알 수 있을까? 실험이 하나의 방법이다. 특정 서비스를 켜고 끄면서 이런 이벤트가 보고되는지 파악한다. 또한 애플리케이션 인벤토리를 다시 살펴보고 정말로 포괄적인지 파악한다.

GDPR에 확실히 대비하라
2018년 5월, EU에서 GDPR(General Data Protection Regulation)이 발효된다. 대대적인 벌금 가능성으로 인해 많은 마케팅 및 기술 전문가들이 우려하고 있다. 비즈니스 마케팅 및 성장의 필요성과 새로운 규제 체제에 사이의 균형을 어떻게 조정할 수 있을까?

IT책임자는 서비스 제공사, EU거주민에 대한 기존의 데이터, 비즈니스 목표를 분석해 이런 위험에 대처할 수 있을 것이다. 보수적인 위험회피형 접근방식을 취하기로 결정할 수도 있다. 이메일 마케팅 서비스인 드립(Drip)을 예로 들어보자. 드립에는 준수성 비용이 과도하다고 생각되는 소기업들을 위한 간단한 해결책이 있다. EU의 유망주 및 고객들과 소통을 차단하는 것이다. 하지만 이런 소통 차단 접근방식 때문에 위험이 완전히 사라지지 않는다. 왜냐하면 고객을 차단하는데 있어 IP 감지 툴과 관련 기술에 의존하기 때문이다.

조직이 더 큰 위험을 감수하거나 유럽에서의 성장을 더 강조하는 경우 다른 접근방식이 필요할 수 있다. IT책임자는 이런 변화를 어떻게 지원할 수 있을까? EU에 있는 데이터를 올바르게 추적하기 위해 더욱 강력한 추적 툴에 투자하기로 결정할 수 있다. 아니면 IT가 기업의 마케팅 대행사와 툴을 평가하여 GDPR 위험 노출 범위를 판단하도록 제안할 수 있다.

클라우드에서 비롯된 '오펙스(OpEx) 기습'에 주의하라
구내 소프트웨어와 하드웨어에 대한 투자의 대대적인 초기 자본 지출이 부담스러운 상황에서 CIO들은 종량제 클라우드 모델에서 매력적인 해결책을 찾았다. 하지만 클라우드 도입이 증가하면 LNRS(LexisNexis Risk Solutions)의 CTO 비자이 라가반이 말하는 "오펙스 기습"에 능숙해져야 한다. 그는 다음과 같이 설명했다.

X