IT 리더가 수용해야 할 6가지 '힘든 진실'

CIO
진실(사실)은 때로 고통스럽다. 기업 내 기술 도입에 대한 통제력을 상실해가고 있고 네트워크에는 취약점이 득실대며 코드에 결함이 많다는 점을 인정하기 힘들 수 있다. ‘대역폭’은 항상 부족하고, 밝은 미래를 약속하는 클라우드가 실상은 최고의 솔루션이 아닌 경우도 있다.

지금은 누구든지 신용카드와 키보드만 있으면 자신의 데이터센터를 구축, 확장할 수 있는 시대다. IT 부문이 소외감과 부적절감을 느끼는 경우가 늘어나고 있다. 방치하거나 포기하라는 이야기가 아니다. 스스로 바꿀 수 있는 부분, 스스로 수용해야 하는 부분을 냉철하게 현실적으로 받아들이라는 의미이다. 다음은 오늘날의 CIO가 받아들이고 학습해야 할 6가지 ‘힘든 진실’이다.



1. ‘섀도우 IT’는 이제 ‘음지’에 있지 않다
5년 전, IT관리자는 직원들이 자신의 스마트폰을 직장에 가져와 사용하는 BOYD라는 아주 큰 골칫거리를 처리해야 했다. 지금은 마우스를 몇 번 클릭하고, 신용카드를 긁어 자신만의 데이터센터를 구축하는 문제를 해결해야 한다.

의료분야 사이버보안 및 교육 회사인 시큐어HIM(SecureHIM)의 마이크 마이클 CEO는 “BYOD가 BYOIT가 되었다. 직원들은 애플리케이션부터 스토리지까지 전체 IT솔루션을 몇 번의 클릭으로 구축, 모바일 장치에서 이런 플랫폼을 이용할 수 있게 됐다”라고 말했다.

포레스터 리서치(Forrester Research)의 바비 카메론 VP는 시간이 지나면서 ‘섀도우 IT’ 개념이 변했다고 지적했다. 과거에는 엔지니어링 팀이 아무도 모르게 서버를 구축, 자신의 스컹크웍스(즉흥적인 소규모 테스트)를 운영하는 데 사용하는 것을 의미했었다. 지금은 영업 및 마케팅 팀이 승인을 요청하지 않고, AWS서버를 사용하거나, 소프트웨어 서비스에 가입해 사용하는 것을 의미한다.

카메론은 “디지털 권한(Digital Empowerment)’에 대한 문제이다. 고객이 주도하는 권한이다. IT는 더 이상 내부 고객에게 제품과 서비스를 밀어붙여 강요하지 않는다. 그렇지만 이들의 사용 현황을 파악하고, 여기에 맞게 제품과 서비스를 전달해야 한다. "라고 말했다.

쏘트웍스(ThoughtWorks)의 스티븐 로우 수석 컨설턴트에 따르면, IT매니저의 역할이 ‘직원들이 사용하는 기술 통제’에서 ‘이들이 조달해야 할 서비스에 대한 안내’로 바뀌었다.

그는 “문제는 통제와 관리가 아니다. IT는 몇 년 전 통제력을 잃었고, 이를 되찾을 수도 없다. 문제는 ‘전략적인 관련성’이다. IT 지식을 사용, 비즈니스 부문이 써드파티 앱과 서비스에 대해 더 나은 결정을 내리도록 도와야 한다”라고 강조했다.

2. 클라우드로 할 수 없는 일도 있다
6년 전 가트너 조사에서 40%가 넘는 CIO들이 2017년 정도에는 IT운영의 대부분이 클라우드에 기반을 둘 것으로 전망했다. 절반이 훨씬 넘는 기업과 기관이 핵심 시스템 중 일부를 클라우드에서 운영하고 있지만, 모두 다 마이그레이션 한 경우는 극히 드물다.

가트너는 2020년까지 하이브리드 인프라를 도입하는 조직의 비율이 90%에 달할 것이라고 전망했다. 일부 IT리소스는 내부에, 다른 리소스는 퍼블릭 또는 프라이빗 클라우드 공급업체에 아웃소싱 한다는 이야기다.

클라우드가 IT운영에 아주 큰 영향을 준 것은 확실하지만, 항상 기대와 예상에 부응한 것은 아니다. 2017년 6월 IT 전문가 300명을 대상으로 한 설문 결과에 따르면, 80%는 보안과 컴플라이언스, 복잡성, 비용 문제 때문에 클라우드가 기대를 충족하지 못하고 있다고 대답했다.

클라우드 관리 회사인 라이트스케일(RightScale)의 2017년 1월 서베이에 따르면, 엔터프라이즈 클라우드 지출의 30-45%가 낭비되고 있었다. 클라우드 활용 이유 및 방법을 확실히 이해하지 않은 상태에서 성급히 클라우드로 마이그레이션 한 회사들이 많기 때문이다.

로우는 “핵심 서비스를 클라우드로 이전하는 것만으로 신뢰도나 확장성이 높아지지 않는다. 클라우드의 이점을 제대로 활용하기 위해서는 획일적인 방식 대신 마이크로서비스를 사용, 소프트웨어를 다른 방식으로 설계해 구현해야 한다”라고 강조했다.

IDC의 톰 마이넬리 VP는 “레가시 앱을 클라우드의 가상머신으로 이전할 수 있다고 생각한 기업 가운데 일부는 ‘힘든 진실’을 깨달았다. 기업들은 매번 가상화 할 수 없는 앱을 발견하게 될 것이다. 25년 전 도입한 비용 처리 프로그램, 15년 된 시스템 등을 예로 들 수 있다. 기업이 매일 사용하고 있는 오래 된 맞춤형 독자 앱은 완전히 없앨 수 없을지도 모른다”라고 설명했다.

3. 이미 시스템이 해킹 당했다
이미 기업 네트워크가 침해를 당해, 데이터가 위험에 노출됐을 수 있다. 상황은 계속 악화되고 있다. 아이덴티티 쎄프트 리소스 센터(Identity Theft Resource Center)에 따르면, 2016년 한 해 데이터 침해 사고가 40% 증가했다.

따라서 물어야 할 질문은 ‘대응 방법’이다. 많은 기업이 네트워크 보안 어플라이언스에 투자하는 방법으로 대응하고 있다. 그러나 마이클은 잘못된 접근법이라고 지적한다.

그는 “모두들 쉽게 관리할 수 있고, 침입이 힘든 시스템을 원한다. 그러나 관리가 어렵고, 민감한 데이터를 보호하지 못하는 값 비싼 보안 어플라이언스를 도입하는 기업들이 많다. 이미 환경이 침해를 당했다고 가정하고, 이런 가정을 기준으로 보안 계획을 수립하는 것이 좋다”라고 강조했다.

현명한 IT조직은 네트워크와 장치를 보호하려 애쓰는 대신, 엔드포인트의 기업 데이터 보호에 초점을 맞춘다.

마이넬리는 “네트워크나 엔드포인트의 침해를 원하지 않겠지만, 누군가 USB 드라이브를 이용해 침해를 하면 어떤 일이 일어날까? 기업은 핵심 데이터를 보호해야 하지 않을까? 이런 데이터가 이메일에서 다른 이메일로, 하드 드라이브에서 다른 하드 드라이브로 이동하면 어떤 일이 일어날까?”라고 반문했다.

보호해야 할 장치와 데이터가 증가하면서 보안이 악화된 측면이 있다. 그러나 클라우드용 도커(Docker) 콘테이너, AI 기반의 자동 침입 감지 같은 기술의 도움을 받아 문제를 줄일 수 있다. 카메론에 따르면, 에퀴팩스(Equifax)와 야후(Yahoo) 같은 대형 사고가 터진 이후 마침내 C급 경영진과 이사들이 관심을 기울이기 시작했다.

그는 “스타트랙에 비유하면, 클링온(Klingon ; 호전적인 외계인)이 우리를 쫓고 있는 상황과 비슷하다. 그러나 우리는 대응 방법을 알고 있다”라고 말했다.

4. 소프트웨어가 안전하지 않고, 패칭이 되어있지 않다
패칭을 하지 않은 소프트웨어는 보안과 컴플라이언스에 큰 위험을 초래한다. 2017년 2월 플렉세라(Flexera) 서베이에 따르면, 윈도우를 패칭하지 않고 사용하는 미국인의 비율이 10%였다. 듀오 랩스(Duo Labs)는 2016년 5월 보고서에서 업데이트가 되지 않은 소프트웨어 때문에 25%의 시스템이 위험에 노출되어 있다고 지적했다.

애플리케이션 보안 회사인 와라텍(Waratek)의 제임스 리 EVP 겸 CMO는 “계속 제때 패치를 유지하지 않는 고객들이 있다. 여기에 일부 레가시 애플리케이션은 업데이트가 불가능하고, 제대로 재개발하거나 대체할 수 없어 안전하지 못한 문제가 있다”라고 말했다.

소프트웨어 개발사들조차 보안에 대한 우선순위가 낮은 경우가 있다. 기능, 개발 완료 시기, 예산에 초점을 맞춘 인센티브가 주어지기 때문이다. 그 결과, 소프트웨어가 공격에 더 취약해지고 있다.

LA소재 마틴 루터 킹 주니어 커뮤니티 병원의 마크 카드리치(Mark S. Kadrich) 대행 CISO에 따르면, 소프트웨어 품질이 충실하지 않아 이런 문제가 발생한다.

그는 “기술 실패가 정말 많다는 것을 잘 알고 있을 정도로 이 분야에 오래 종사했다. 소프트웨어의 80%는 ‘엉망’이고, 20%는 ‘엉터리’이다. 엔지니어링이 잘 되어 있다는 평가를 내릴 수 있는 소프트웨어는 극소수다”라고 말했다.

그의 대응책은 무엇일까? 소프트웨어에 결국 문제가 발생할 것이라고 가정하고, 최악의 상황에 대한 계획을 세우는 것이다.

그는 “소프트웨어에 문제가 발생할 것이다. 해킹을 당할 것이다. 그래서 이런 상황에 대한 계획을 수립했다. 네트워크에 문제를 일으켜, 감지와 복구에 소요되는 시간을 확인한다. 그리고 여기에 적합한 절차를 도입해 적용한다”라고 말했다.

5. 대역폭은 항상 부족하다
피할 수 없다. 사옥 곳곳에 100 Gb 네트워크를 설치한지 얼마 지나지 않아, C급 경영진 중 한 명이 트레이닝 또는 마케팅 비디오를 4K로 스트리밍 하자는 결정을 내리는 일을 피할 수 없다는 의미이다.

소프트웨어 정의 애플리케이션 전달 플랫폼인 세덱시스(Cedexis)의 애플리케이션 전달 전문가인 사이몬 존스는 “제 아무리 빠른 네트워크를 구축해도, 정체 현상이 발생할 정도로 파일 전송량이 커진다”라고 말했다.

시스코에 따르면, 모바일과 IoT 장치가 급증하면서 기업 네트워크를 통과하는 데이터의 양이 2021년에는 2배 이상 증가할 전망이다.

좋은 소식은 기업들이 점점 더 지능적으로 네트워크 정체 문제를 관리하고 있다는 것이다.

존스는 “텔레매트리, 데이터 처리, AI가 빠르게 발전하면서, 훨씬 쉽게 속도 저하를 방지하는 기능을 자동화 할 수 있게 되었다. 인터넷 트래픽 관리가 웨이즈(Waze)를 이용한 드라이브 관리와 비슷해질 것이다. 가용한 인텔리전스(정보)로 정체 경로를 하나도 빠짐없이 찾는다. 그러면 다른 경로가 없을 때에만 속도 저하나 중지 문제가 발생할 것이다”라고 설명했다.

6. IT는 적응해야만 ‘존재감(입지)’을 유지할 수 있다
셀프 서비스 IT가 폭증했지만, 조직에서 기술 전문가들의 가치가 여전히 높다. 그러나 지속적으로 역량을 강화하고, 새로운 스킬을 획득하고, 로봇 같은 기술을 수용해야 앞으로도 존재감을 유지할 수 있다.

노스이스턴 대학(Northeastern University) 실리콘 밸리 분교의 학장 겸 CEO인 PK 아가왈(PK Agarwal)은 변화에 능숙하게 적응하는 IT전문가가 성공한다고 강조한다. 몇 년 전 IT 분야 종사자들은 데이터 관리와 개발에 대해 이야기 했지만, 지금은 IoT와 디봅스를 화제로 삼고 있다. ‘주제’는 변할 수 있다. 그러나 필수 스킬은 변하지 않는다.

그는 “과거 어느 때보다 소프트 스킬과 감정 인텔리전스가 IT 리더들에게 중요해졌다. 그래야 레가시 생태계 시스템과 디지털 변혁의 충돌 같은 복잡한 대화를 해결할 수 있다. 또한 자동화와 셀프 서비스가 부상했다. IT전문가들이 과거 어느 때보다 ‘평생 학습’에 전력해야 한다는 의미다”라고 말했다.

클라우드 보안 회사인 레이스워크(Lacework)의 아사벨라 두몬트 VP에 따르면, AI 기반 자동화가 저수준의 반복 일자리를 없애고, 기술 전문가들이 수 많은 데이터에서 의미를 추출하는 역량을 강화하면서 기술 전달 방식에 큰 변화를 가져올 전망이다.

그녀는 “클라우드 보안은 머신러닝이 어떻게 IT의 역량을 강화하는지 보여준다. 머신러닝(ML)은 침입 감지부터 조사 분석까지 사람보다 훨씬 빠른 속도로 수 많은 VM의 아웃풋과 이벤트를 분석할 수 있다. 그리고 IT팀이 가장 중요한 일에 초점을 맞추도록 도와준다”라고 설명했다.

그러나 IT를 비용 중심으로, 기술직 종사자를 ‘명령이나 주문에만 충실한 사람’으로 바라보는 시각이 여전히 횡행하고 있다. 이는 극복해야 할 문제다.

로우는 “전략적 파트너로 대우 받고 싶다면, 전략적 파트너처럼 행동해야 한다. 불편한 대화를 감수해야 할 수도 있다. 그러나 IT를 전략적 사고에 포함시켜야 인식에 영향을 주고, 변화를 가져올 수 있다”라고 강조했다. ciokr@idg.co.kr