2020.03.20

위기를 낭비하지 마라··· CIO가 기업 연속성을 강화하는 법

Clint Boulton | CIO
코로나19의 여파가 전 세계를 뒤흔들고 있다. 기업도 예외는 아니다. 이에 따라 IT 리더가 원활한 원격근무 환경은 물론 안전한 보안 환경을 구축 및 지원하는 것이 그 어느 때보다도 중요해지고 있다. 

가트너의 애널리스트 샌디 셴은 “코로나바이러스가 전통적인 채널과 운영 방식에 큰 영향을 주면서 디지털 채널과 제품, 운영 방식의 가치가 명백히 드러나고 있다. 이는 디지털 비즈니스와 장기적 차원의 지속가능성에 대한 투자를 경시한 채 일상적인 운영 요구사항에만 집중해왔던 기업에 경종을 울리고 있다”라고 지적했다. 

기업 연속성 계획(BCP) 강화가 필요한 시점이다. 사이버위협 대응 훈련 계획부터 추가적인 데이터센터 가동 계획, 원격근무 관리까지 IT 리더들도 COVID-19 위기에 맞서고 있다. 여러 IT 리더들이 코로나19 위기에 대응해 기업 연속성을 강화하는 계획을 어떻게 수립하고 있는지 살펴본다. 
 
ⓒGetty Images

원격 액세스를 강화하라
결제기술 서비스 회사인 어비드익스체인지(AvidXchange)에 2018년 CIO로 취임한 엔젤릭 깁슨은 장애 없는 서비스 제공을 위해 기업 연속성 계획에 계속해서 투자해왔다. 여기에는 직원 1,400명을 대상으로 한 원격근무 시행 계획도 포함돼 있다. 깁슨은 CIO닷컴과의 인터뷰에서 “코로나19로 인해 실제 시행되고 있는 기업 연속성 계획들이 있다”라고 말했다.

특히 코로나19가 세계적 대유행병으로 격상되면서 깁슨은 ‘롤플레잉’ 활동을 강화했다. 이를테면 원격근무자가 적절한 도구, 즉 끊김 없는 화상회의를 가능케 하는 컴퓨터와 협업 솔루션을 갖추고 있는지 테스트하는 것이다. 그는 또한 용량 테스트 등을 진행해 VPN을 통한 안정적인 네트워크 트래픽도 확보했다. 직원들이 기업용 애플리케이션을 원활하게 이용할 수 있게 하기 위해서다. 

많은 기업이 사이버 공격으로 업무가 중단되는 상황을 대비해 실시하는 사이버위협 대응 훈련과 '롤플레잉'이 유사하다고 깁슨은 설명했다. 사이버위협 대응 훈련에는 사무실에 출근하지 못하는 상황에서 업무를 처리하는 방법을 터득하는 것도 포함된다. 그는 "어떤 시나리오에서든 고객 지원과 비즈니스 운영을 지속할 수 있도록 준비했다"라고 전했다. 

셴은 사이버위협 대응 훈련이 코로나19 위기 상황에서 기업 연속성을 강화하는 데 있어 좋은 템플릿을 제공한다고 진단했다. 그는 C-레벨 임원진과 운영 및 IT 담당 관리자가 사이버보안 사고는 물론이고 코로나19와 같은 신종 전염병에 대비해 '비상 훈련'을 매년 한 차례 이상 실시해야 한다고 강조했다. 

이런 훈련을 통해 정책과 프로세스, 기술, 인적자원 계획 측면에서 허점을 파악하고 추후 위기 상황을 철저히 대비할 수 있는 연속성 계획을 수립할 수 있다는 설명이다. 

효율적인 원격근무 시간 관리가 중요하다 
스웨덴의 SaaS 기반 자산관리 솔루션 업체 스노우 소프트웨어는 최근 전 직원 원격근무를 결정했다. 스노우 소프트웨어CIO 알라스테어 풀리는 업무 관련 데이터를 개인 컴퓨터에 보관하는 것을 금지하는 유럽 개인정보보호규정(GDPR)에 따라 직원들이 회사에서 제공한 노트북을 사용해 재택근무를 할 수 있도록 하는 데 특히 주력했다. 

다행히 스노우가 사용하는 120여 개 기업용 애플리케이션 가운데 95% 이상이 클라우드 기반이었다. 또한 다중인증(Multi-Factor Authentication, MFA)을 지원했다. 풀리는 이러한 ‘제로 트러스트(Zero-trust)’ 모델을 통해 직원들이 어느 곳에서나 앱과 데이터에 접근할 수 있으면서도 동시에 보안을 강화할 수 있었다면서, “스노우는 원격근무 준비가 잘 되어 있었다”라고 덧붙였다.

하지만 VPN을 통해 주문 관리 시스템, 자체 소프트웨어 제품, 구형 파일 서버 등에 원활하게 접속할 수 있는 충분한 용량을 확보하고 있는지 확인해야 했다고 풀리는 밝혔다. 그는 “이렇게 많은 직원이 원격근무를 했던 사례가 거의 없었다”라고 설명했다. 그는 또한 고객서비스 담당 직원이 집에서 전화를 받아 업무를 처리할 수 있도록 착신 전환 시스템을 구축해야 했다. 

기술적인 도전과제는 크지 않았다. 풀리는 원격근무의 문화적인 부문을 더 크게 우려했다고 밝혔다. 월요일 아침 전체 회의에서 임원들은 직원들에게 지나치게 많은 시간 일을 하지 않는 것이 중요하다고 권고했다. 생산성이 떨어질 수 있기 때문이다. 이어서 업무를 위한 조용한 장소를 마련하고, 정기적으로 휴식을 갖는 것 또한 중요하다고 강조했다. 그는 “갑작스럽게 재택근무를 하게 되면서 오히려 자신도 모르게 더 많은 시간 일을 하게 되면 지칠 수 있다”라고 지적했다.

위기를 기회로 전환하라
분석장비 기업 퍼킨엘머(PerkinElmer)와 미국 보훈부(Department of Veteran Affairs), 연방거래위원회(Federal Trade Commission)에서 사이버보안을 담당했으며 현재는 클라우드 보안 업체 지스케일러의 CIO인 스탠 로우에 따르면, 코로나19 위기 동안 IT 리더에게 주어진 의무는 ‘손상되거나 취약해진 부분’을 강화하는 것이다.
 
로우는 “위기를 낭비하지 말아야 한다”라면서, “코로나바이러스가 CIO들에게 기업에 중요한 부분들을 챙길 기회를 제공하고 있다”라고 강조했다. 그는 이번 코로나19 위기에 대응해 비상시 데이터센터 운영 계획을 수립했다. 이 경험을 바탕으로 그는 CIO와 CISO들에게 도움이 될 만한 조언 몇 가지를 제시했다. 

1. 앱과 데이터: CIO는 위기 상황에서도 IT 시스템이 원활하게 운영되도록 해야 한다. 가장 중요한 것은 무엇일까? 바로 이메일이다. 로우는 “이메일이 없으면 모든 업무가 삐걱대면서 중단된다”라고 설명했다. 또한 직원들이 집에서 업무를 처리하는 데 필요한 모든 소프트웨어에 접근할 수 있도록 하는 것도 중요하다고 덧붙였다. 

2. 하드웨어와 네트워크: 많은 직원이 데스크톱을 사용하고 있다. CIO는 이들이 업무용 PC 대신 가정용 디바이스를 사용하도록 허용할지 검토해야 한다. 또한 외부 트래픽을 충분히 처리할 수 있는 대역폭을 확보해야 한다. 대부분 기업은 대역폭 요건 가운데 70%가 외부로 나가는 트래픽이다. 그러나 원격근무가 확대되면 이 모델에 문제가 생긴다. 따라서 CIO는 증가된 인바운드 트래픽을 처리할 네트워크 용량을 보유하고 있는지 확인해야 한다.

3. 위험 수준 평가: 데이터 유출 사고와 마찬가지로 이번 코로나19 위기는 IT 부서가 자체적인 위험 허용 한도를 확인하고, 보안을 강화할 방안을 고안할 좋은 기회를 제공한다. IT 부서가 새로운 사이버공격이나 기타 위협들을 막을 수 있는 준비가 돼 있는가? 지스케일러에 따르면 COVID-19를 악용하는 피싱 스캠이나 피기백 공격이 발생하고 있다. 인공지능(AI)으로 코로나19를 악용한 해킹을 막아준다는 한 스캠 공격을 예로 들 수 있다. 

4. 커뮤니케이션 문화: 능숙한 커뮤니케이션은 유능한 리더의 특징이다. 그러나 위기 상황에서 내부 직원들과 제대로 커뮤니케이션하지 못하는 임원들이 많다. 일반 직원들이 C-레벨 임원진 회의에 참석하지 않는다는 사실을 망각하기 때문이다. 모든 직원에게 최신 정보를 정기적으로 제공하는 것이 중요하다. 코로나19 위기에 대응하는 마이크로소프트의 커뮤니케이션 방식은 좋은 본보기로 참고할 만하다. 

로우는 “임원진보다는 직원들이 더 애가 탄다. 향후 계획과 관련된 정보를 알 수 없기 때문이다. 이는 사기를 떨어트리고 생산성을 저하시키는 문제를 초래할 수 있다. 임원들은 자신은 알고 있지만 일반 직원들은 이를 알지 못한다는 사실을 잊곤 한다. 그래서 충분히 자주 커뮤니케이션하지 않는다”라고 지적했다.

신뢰할 수 있는 정보를 제공하는 것도 중요하다고 셴은 조언했다. 그는 데이터가 부족하거나 혹은 검증되지 않은 데이터가 제공되면 올바른 의사결정을 방해하는 것뿐만 아니라 직원들의 불안감을 높일 수 있다고 말했다. 

셴은 기업이 직원들에게 선별된 콘텐츠를 제공하는 웹사이트, 앱 또는 핫라인을 구축할 것을 권고했다. 지방정부, 의료 및 보건당국, WHO와 같은 국제기구 등을 정보 출처로 활용할 수 있다고 그는 덧붙였다. ciokr@idg.co.kr



2020.03.20

위기를 낭비하지 마라··· CIO가 기업 연속성을 강화하는 법

Clint Boulton | CIO
코로나19의 여파가 전 세계를 뒤흔들고 있다. 기업도 예외는 아니다. 이에 따라 IT 리더가 원활한 원격근무 환경은 물론 안전한 보안 환경을 구축 및 지원하는 것이 그 어느 때보다도 중요해지고 있다. 

가트너의 애널리스트 샌디 셴은 “코로나바이러스가 전통적인 채널과 운영 방식에 큰 영향을 주면서 디지털 채널과 제품, 운영 방식의 가치가 명백히 드러나고 있다. 이는 디지털 비즈니스와 장기적 차원의 지속가능성에 대한 투자를 경시한 채 일상적인 운영 요구사항에만 집중해왔던 기업에 경종을 울리고 있다”라고 지적했다. 

기업 연속성 계획(BCP) 강화가 필요한 시점이다. 사이버위협 대응 훈련 계획부터 추가적인 데이터센터 가동 계획, 원격근무 관리까지 IT 리더들도 COVID-19 위기에 맞서고 있다. 여러 IT 리더들이 코로나19 위기에 대응해 기업 연속성을 강화하는 계획을 어떻게 수립하고 있는지 살펴본다. 
 
ⓒGetty Images

원격 액세스를 강화하라
결제기술 서비스 회사인 어비드익스체인지(AvidXchange)에 2018년 CIO로 취임한 엔젤릭 깁슨은 장애 없는 서비스 제공을 위해 기업 연속성 계획에 계속해서 투자해왔다. 여기에는 직원 1,400명을 대상으로 한 원격근무 시행 계획도 포함돼 있다. 깁슨은 CIO닷컴과의 인터뷰에서 “코로나19로 인해 실제 시행되고 있는 기업 연속성 계획들이 있다”라고 말했다.

특히 코로나19가 세계적 대유행병으로 격상되면서 깁슨은 ‘롤플레잉’ 활동을 강화했다. 이를테면 원격근무자가 적절한 도구, 즉 끊김 없는 화상회의를 가능케 하는 컴퓨터와 협업 솔루션을 갖추고 있는지 테스트하는 것이다. 그는 또한 용량 테스트 등을 진행해 VPN을 통한 안정적인 네트워크 트래픽도 확보했다. 직원들이 기업용 애플리케이션을 원활하게 이용할 수 있게 하기 위해서다. 

많은 기업이 사이버 공격으로 업무가 중단되는 상황을 대비해 실시하는 사이버위협 대응 훈련과 '롤플레잉'이 유사하다고 깁슨은 설명했다. 사이버위협 대응 훈련에는 사무실에 출근하지 못하는 상황에서 업무를 처리하는 방법을 터득하는 것도 포함된다. 그는 "어떤 시나리오에서든 고객 지원과 비즈니스 운영을 지속할 수 있도록 준비했다"라고 전했다. 

셴은 사이버위협 대응 훈련이 코로나19 위기 상황에서 기업 연속성을 강화하는 데 있어 좋은 템플릿을 제공한다고 진단했다. 그는 C-레벨 임원진과 운영 및 IT 담당 관리자가 사이버보안 사고는 물론이고 코로나19와 같은 신종 전염병에 대비해 '비상 훈련'을 매년 한 차례 이상 실시해야 한다고 강조했다. 

이런 훈련을 통해 정책과 프로세스, 기술, 인적자원 계획 측면에서 허점을 파악하고 추후 위기 상황을 철저히 대비할 수 있는 연속성 계획을 수립할 수 있다는 설명이다. 

효율적인 원격근무 시간 관리가 중요하다 
스웨덴의 SaaS 기반 자산관리 솔루션 업체 스노우 소프트웨어는 최근 전 직원 원격근무를 결정했다. 스노우 소프트웨어CIO 알라스테어 풀리는 업무 관련 데이터를 개인 컴퓨터에 보관하는 것을 금지하는 유럽 개인정보보호규정(GDPR)에 따라 직원들이 회사에서 제공한 노트북을 사용해 재택근무를 할 수 있도록 하는 데 특히 주력했다. 

다행히 스노우가 사용하는 120여 개 기업용 애플리케이션 가운데 95% 이상이 클라우드 기반이었다. 또한 다중인증(Multi-Factor Authentication, MFA)을 지원했다. 풀리는 이러한 ‘제로 트러스트(Zero-trust)’ 모델을 통해 직원들이 어느 곳에서나 앱과 데이터에 접근할 수 있으면서도 동시에 보안을 강화할 수 있었다면서, “스노우는 원격근무 준비가 잘 되어 있었다”라고 덧붙였다.

하지만 VPN을 통해 주문 관리 시스템, 자체 소프트웨어 제품, 구형 파일 서버 등에 원활하게 접속할 수 있는 충분한 용량을 확보하고 있는지 확인해야 했다고 풀리는 밝혔다. 그는 “이렇게 많은 직원이 원격근무를 했던 사례가 거의 없었다”라고 설명했다. 그는 또한 고객서비스 담당 직원이 집에서 전화를 받아 업무를 처리할 수 있도록 착신 전환 시스템을 구축해야 했다. 

기술적인 도전과제는 크지 않았다. 풀리는 원격근무의 문화적인 부문을 더 크게 우려했다고 밝혔다. 월요일 아침 전체 회의에서 임원들은 직원들에게 지나치게 많은 시간 일을 하지 않는 것이 중요하다고 권고했다. 생산성이 떨어질 수 있기 때문이다. 이어서 업무를 위한 조용한 장소를 마련하고, 정기적으로 휴식을 갖는 것 또한 중요하다고 강조했다. 그는 “갑작스럽게 재택근무를 하게 되면서 오히려 자신도 모르게 더 많은 시간 일을 하게 되면 지칠 수 있다”라고 지적했다.

위기를 기회로 전환하라
분석장비 기업 퍼킨엘머(PerkinElmer)와 미국 보훈부(Department of Veteran Affairs), 연방거래위원회(Federal Trade Commission)에서 사이버보안을 담당했으며 현재는 클라우드 보안 업체 지스케일러의 CIO인 스탠 로우에 따르면, 코로나19 위기 동안 IT 리더에게 주어진 의무는 ‘손상되거나 취약해진 부분’을 강화하는 것이다.
 
로우는 “위기를 낭비하지 말아야 한다”라면서, “코로나바이러스가 CIO들에게 기업에 중요한 부분들을 챙길 기회를 제공하고 있다”라고 강조했다. 그는 이번 코로나19 위기에 대응해 비상시 데이터센터 운영 계획을 수립했다. 이 경험을 바탕으로 그는 CIO와 CISO들에게 도움이 될 만한 조언 몇 가지를 제시했다. 

1. 앱과 데이터: CIO는 위기 상황에서도 IT 시스템이 원활하게 운영되도록 해야 한다. 가장 중요한 것은 무엇일까? 바로 이메일이다. 로우는 “이메일이 없으면 모든 업무가 삐걱대면서 중단된다”라고 설명했다. 또한 직원들이 집에서 업무를 처리하는 데 필요한 모든 소프트웨어에 접근할 수 있도록 하는 것도 중요하다고 덧붙였다. 

2. 하드웨어와 네트워크: 많은 직원이 데스크톱을 사용하고 있다. CIO는 이들이 업무용 PC 대신 가정용 디바이스를 사용하도록 허용할지 검토해야 한다. 또한 외부 트래픽을 충분히 처리할 수 있는 대역폭을 확보해야 한다. 대부분 기업은 대역폭 요건 가운데 70%가 외부로 나가는 트래픽이다. 그러나 원격근무가 확대되면 이 모델에 문제가 생긴다. 따라서 CIO는 증가된 인바운드 트래픽을 처리할 네트워크 용량을 보유하고 있는지 확인해야 한다.

3. 위험 수준 평가: 데이터 유출 사고와 마찬가지로 이번 코로나19 위기는 IT 부서가 자체적인 위험 허용 한도를 확인하고, 보안을 강화할 방안을 고안할 좋은 기회를 제공한다. IT 부서가 새로운 사이버공격이나 기타 위협들을 막을 수 있는 준비가 돼 있는가? 지스케일러에 따르면 COVID-19를 악용하는 피싱 스캠이나 피기백 공격이 발생하고 있다. 인공지능(AI)으로 코로나19를 악용한 해킹을 막아준다는 한 스캠 공격을 예로 들 수 있다. 

4. 커뮤니케이션 문화: 능숙한 커뮤니케이션은 유능한 리더의 특징이다. 그러나 위기 상황에서 내부 직원들과 제대로 커뮤니케이션하지 못하는 임원들이 많다. 일반 직원들이 C-레벨 임원진 회의에 참석하지 않는다는 사실을 망각하기 때문이다. 모든 직원에게 최신 정보를 정기적으로 제공하는 것이 중요하다. 코로나19 위기에 대응하는 마이크로소프트의 커뮤니케이션 방식은 좋은 본보기로 참고할 만하다. 

로우는 “임원진보다는 직원들이 더 애가 탄다. 향후 계획과 관련된 정보를 알 수 없기 때문이다. 이는 사기를 떨어트리고 생산성을 저하시키는 문제를 초래할 수 있다. 임원들은 자신은 알고 있지만 일반 직원들은 이를 알지 못한다는 사실을 잊곤 한다. 그래서 충분히 자주 커뮤니케이션하지 않는다”라고 지적했다.

신뢰할 수 있는 정보를 제공하는 것도 중요하다고 셴은 조언했다. 그는 데이터가 부족하거나 혹은 검증되지 않은 데이터가 제공되면 올바른 의사결정을 방해하는 것뿐만 아니라 직원들의 불안감을 높일 수 있다고 말했다. 

셴은 기업이 직원들에게 선별된 콘텐츠를 제공하는 웹사이트, 앱 또는 핫라인을 구축할 것을 권고했다. 지방정부, 의료 및 보건당국, WHO와 같은 국제기구 등을 정보 출처로 활용할 수 있다고 그는 덧붙였다. ciokr@idg.co.kr

X