'IT 거버넌스', IT와 기업 전략을 결합하는 핵심 프레임워크

IT 거버넌스(IT governance)는 IT 투자가 기업의 사업 목표를 뒷받침할 수 있도록 하는 프레임워크다. 1990년대와 2000년대 초반 대형 기업 사기 사건이 발생한 이후 제정된 그램-리치-블라일리 법(Gramm-Leach-Bliley Act(GLBA))과 사베인-옥슬리 법(Sarbanes-Oxley Act) 등의 법이 만들어지면서 기업이 활용해야 할 핵심 프레임워크의 하나로 자리잡았다.



CIO닷컴은 보안 관리 업체 파이어몬(FireMon)의 최고기술책임자 폴 칼라타유드에게 IT 거버넌스와 이를 성공적으로 시행하기 위한 요건에 대한 들어봤다. 그는 파이어몬의 기업 개발 프로그램을 이끌고 있으며 제품 전략, 제품 관리, 연구 개발에 관한 사고 리더십을 제공하고 있다. 또한 산스 연구소(SANS Institute) 강사이며 보안 관련 업체를 위한 자문위원회에도 소속돼 있다.

IT 거버넌스란 무엇인가?
기본적으로 IT 거버넌스는 IT 전략을 사업 전략과 일치시키는 체계를 제공한다. 이 공식적인 프레임워크를 통해 기업은 전략과 목표 성취로 가는 측정 가능한 결과를 만들어 낼 수 있다. 또한, 이 공식 프로그램은 임직원의 필요와 그들이 따르는 프로세스는 물론 이해관계자의 이익을 고려한다. 거시적으로 봤을 때 IT 거버넌스는 전체적인 기업 관리의 중요한 부분을 차지한다.

IT 거버넌스와 GRC(통제관리, 위험, 준수)의 관계는 무엇인가?
칼라타유드에 따르면, IT 거버넌스와 GRC는 실질적으로 같은 것이다. 그는 “GRC는 상위 프로그램인 반면 어떤 프레임워크를 사용할지는 주로 CISO의 위치와 보안 프로그램의 범위에 따라 결정된다. 예를 들어 CISO가 CIO에게 보고한다면 GRC의 범위는 주로 IT에 초점이 맞춰져 있다. 보안 담당자가 IT 부서 외부인에게 보고한다면 GRC는 IT 범위를 넘어 더 많은 사업의 위험을 다룰 수 있다”라고 말했다.

기업이 IT 거버넌스 인프라를 구현하는 이유는 무엇인가?
오늘날 기업은 기밀 정보 보호, 재무 책임, 데이터 보존 및 재해 복구 등과 관련해 준수해야 할 규정이 많다. 또한 주주, 이해관계자, 고객으로부터 압력을 받고 있다. 이러한 내외부 요구에 대응하기 위해 많은 기업이 모범 사례와 통제 프레임워크를 제공하는 공식 IT 거버넌스 프로그램을 시행하고 있다.

어떤 기업이 IT 거버넌스를 사용하는가?
내부 IT 기능이 사업 전략과 목표를 뒷받침하는 방법은 공공 기업과 민간 기업 모두에게 필요하다. 재무 및 기술 책임 관련 규정을 준수해야 하는 업계라면 공식 IT 거버넌스 프로그램을 이미 알고 있을 것이다. 그러나 포괄적인 IT 거버넌스 프로그램을 시행하려면 많은 시간과 노력이 든다. 중소기업이라면 필수적인 IT 거버넌스 방식만 실행해도 되지만 규모가 더 크고 더 통제된 기업이라면 제대로 된 정식 IT 거버넌스 프로그램을 목표로 해야 한다.

IT 거버넌스 프로그램은 어떻게 시행하는가?
가장 손쉬운 방법은 업계 전문가의 도움을 받고 기업 수천 곳에서 사용하는 프레임워크부터 시작하는 것이다. 프레임워크에는 IT 거버넌스 프로그램을 걸림돌 없이 단계적으로 도입할 수 있는 시행 가이드가 포함된 경우가 많기 때문이다. 가장 일반적으로 사용되는 프레임워크는 다음과 같다.

- COBIT: 정보시스템감사통제협회(ISACA)에서 공개한 COBIT은 기업 IT의 통제 및 관리를 위해 “전 세계적으로 인정되는 관행, 분석 도구 및 모델”의 포괄적인 프레임워크이다. IT 감사에 기원을 두고 있는 COBIT이 IT 거버넌스 전체를 지원할 수 있도록 ISACA는 그 범위를 지난 몇년간 확장했다. 최신 버전인 COBIT 5는 기업의 위험 관리 및 완화에 널리 사용되고 있다.
- ITIL: 본래 ITIL은 정보기술 인프라 라이브러리(Information Technology Infrastructure Library)의 약자이지만, 현재는 주로 IT 서비스 관리에 집중하고 있다. IT 서비스가 기업의 핵심 프로세스를 지원하도록 하는 것이 목적이다. ITIL은 서비스 전략, 설계, 전환(예: 변화 관리), 운영, 지속적 서비스 개선을 위한 5가지 관리 모범 사례로 구성돼 있다.
- COSO: 후원 기업 위원회(Committee of Sponsoring Organizations of the Treadway Commission: COSO)가 발표한 내부통제 평가모델이다. 다른 프레임워크에 비해 IT보다는 기업 위험 관리(ERM)와 사기 방지 등 사업적 측면에 더 집중한다.
- CMMI: 소프트웨어 엔지니어링 연구소(SEI)에서 개발한 능력 성숙 모델 통합 방법으로, 성과 개선의 한 방식이다. CMMI는 기업의 성과, 품질 및 수익성 성숙도를 1등급에서 5등급까지 측정한다. 칼라타유드는 “혼합 모드 및 목표 측정치를 삽입하게 하는 것은 속성 상 정성적인 위험을 측정하는 데 매우 중요하다”라고 말했다.
- FAIR: 정보 위험 요인 분석(FAIR)은 기업이 위험을 수치화하는 데 도움을 주는 비교적 새로운 모델이다. 주로 사이버 보안과 운영 위험에 집중하고 있으며 더 많은 정보에 입각한 의사결정을 내리는 것이 목표이다. 다른 프레임워크와 비교하면 비교적 새로운 것이지만 이미 포천(Fortune) 500대 기업 중 상당수가 이를 도입했다.


어떤 프레임워크를 선택해서 사용할 것인가?
IT 거버넌스 프레임워크 대부분은 IT 부서의 전반적인 기능은 어떤지, 경영진이 필요로 하는 핵심 지표는 무엇인지, IT 투자를 통해 회사가 어떤 이익을 얻고 있는지 판단을 내릴 때 도움이 되도록 설계돼 있다.

예를 들어 COBIT과 COSO는 주로 위험 관리에 사용된다. ITIL은 서비스 및 운영 간소화에 도움을 준다. CMMI는 원래 소프트웨어 엔지니어링을 위한 것이었지만 이제는 하드웨어 개발, 서비스 제공 및 구입 프로세스까지 다룬다. FAIR는 운영 및 사이버 보안 위험 평가에 주로 사용된다.

프레임워크를 검토할 때에는 기업 문화를 고려해야 한다. 특정 프레임워크나 모델이 기업에 자연스럽게 어울리는가? 이해관계자의 공감을 불러일으키는가? 이런 점을 고려해 프레임워크를 선택하는 것이 최고의 방법이다.

또한, 프레임워크를 꼭 한 가지만 선택해서 사용할 필요는 없다. 예를 들면 COBIT과 ITIL은 상호 보완적이다. COBIT은 왜 어떤 것이 수행되거나 필요한지 설명해 주는 반면 ITIL는 '방법'을 제공하기 때문이다. 그래서 어떤 기업은 (정보 보안 관리를 위한) ISO 27001 표준과 함께 COBIT과 COSO를 모두 사용한다.

원활한 시행과 긍정적인 결과를 보장하려면 어떻게 해야 하나?
성공으로 가는 가장 중요한 방법 중 하나는 임원의 지원을 받는 것이다. 칼라타유드는 수뇌부의 후원을 받는 위험 관리 위원회를 구성할 것을 추천했다. 그는 “효과적인 프로그램이 되려면 다양한 사업부 임원의 지원이 필요하다. 사안들이 무시되기 시작할 때는 제대로 관심을 받기 위해 이사회나 감사 위원회와 결과를 공유하는 것이 좋다"라고 말했다.

이어 "중요한 프로젝트라면 늘 그래야 하듯, 다양한 당사자 간의 소통 채널을 열어두어야 한다. 실행 진척 상황을 측정, 감시해야 하고 필요 시 외부의 도움을 구해야 한다"라고 덧붙였다. ciokr@idg.co.kr