재앙 막아라··· IT 감사에서 피해야 할 '10가지 실수'

감사를 좋아하는 사람은 없다. 최상의 결과가 나온다 할지라도, 감사는 값진 시간을 요구한다. 문제가 발생한다면 DDoS 공격보다 빠르게 IT 리더의 한 주를 망칠 수 있다. 더 나아가 부정적인 IT 감사 결과는 CIO의 관리 역량과 '미래'를 부정적으로 물들일 수 있다..

그러나 걱정할 필요 없다. 이렇게 되지 않도록 만들면 되기 때문이다. 내부, 외부 감사팀이 IT인프라, 정책, 운영을 샅샅이 뒤질 때 '만사형통'이 되도록 만들 수 있다. 그러기 위해서는 감사를 준비하고, 더 나아가 성과에 대한 증거를 제시해야 한다.

가장 먼저 할 일이 있다. IT 감사에 있어 정말 많이 저지르는 실수를 피하는 것이다. 아래 주의사항을 경계하면, IT 감사가 '재앙'이 되는 것을 피할 수 있다.

-> 기술 자산에 대한 지식이 감사자보다 부족하다
-> 감사인의 요구를 들어 주기 위해 수동 프로세스를 이용한다
-> 소프트웨어 벤더의 감사에 도전할 수 있는 역량이 없다
-> 감사 결과에 따른 후속 행동이 늦다
-> 감사자와 사전에 관계를 구축하지 않는다
-> 직원들을 준비시키지 않는다
-> 감사 관여 및 협력 프로세스가 없다
-> 감사자를 '적'으로 대한다
-> 직원들의 발목을 잡는 복잡한 정책과 절차가 있다
-> 수 많은 예외는 스스로를 망치는 지름길



기술 자산에 대한 지식이 감사자보다 부족하다
부정적인 IT 감사 결과를 피하는 최고의 방법은 자신의 기술 환경을 속속들이 아는 것이다. IT리더 본인이 모든 자산을 알아야 한다고 기대하기란 어렵다. 그러니 프로세스와 기술, 사람에 의지해야 한다.

컨설팅 회사인 KPMG의 CIO 자문 담당 펠릭스 아코스타 매니저는 "캐나다의 많은 조직들은 아직도 보유한 모든 기술 자산을 파악하는 데 애를 먹고 있다. 분류되지않은 서버 등 오래 된 장치와 장비가 특히 큰 어려움을 주고 있다"라고 말했다.

IT재고 정보의 품질이 큰 도전 과제인 기업들도 많다. 아코스타는 "여러 장소의 메모와 스프레드시트로 기술 자산을 확인 및 관리하는 조직도 있다. 이런 형태의 추적 프로세스는 통상 수동으로 업데이트를 해야 한다. 감사 직전에 이런 추적 문서들을 서둘러 업데이트하는 경우가 많다"라고 말했다.

그는 "IT 리더가 기술 자산을 제대로 파악하지 못 하면, 감사에서 문제에 직면할 확률이 높다"라고 강조했다. 자신의 자산을 모르는 상태에서 유지 관리를 하고, 이런 유지 관리를 기록으로 남길 수 있을까? 시장에는 하드웨어와 소프트웨어 자산 관리를 도와주는 소프트웨어 제품들이 많다. 그러나 이런 시스템이 포괄적이지 않은 경우도 있다. 예를 들어, 감사자에게 클라우드 자산을 추적하지 않는다고 말하는 사태는 없어야 한다.

감사인의 요구를 들어 주기 위해 수동 프로세스를 이용한다
준수해야 할 요구 사항과 데드라인을 맞추고 충족하기 위해 서버, 도구, 기타 기술 자산을 구성하는 것은 어려운 일이다. 여기에 도움을 주는 자동화 도구를 사용하지 않으면, 아마 실패할 수도 있다.

이와 관련, 오픈소스 통합업체인 셰도우-소프트(Shadow-Soft)의 존 레이 시니어 컨설턴트는 감사 및 테스트 프레임워크를 추천했다.

레이는 "셰프 인스펙(Chef Inspec)을 사용, 감사자가 쉽게 읽을 수 있는 보고서를 생성하고 있다. 원하는 결과를 얻기 위해 맞춤화가 조금 필요하지만, 효과가 좋다"라고 말했다.

그는 이어 "준수 요구사항을 충족하기 위해 스프레드시트를 사용하거나 수동으로 추적하는 대신, 인스펙 같은 자동화 도구를 사용하는 것이 훨씬 도움이 된다"라고 강조했다.

벌금과 추가 지출을 피하려면, 쉽게 자산과 환경을 추적하는 능력을 갖추는 것이 아주 중요하다. 이는 소프트웨어 벤더 감사 시, CIO들이 직면하는 중요한 도전 과제 중 하나다.

소프트웨어 벤더의 감사에 도전할 수 있는 역량이 없다
일부 기술 리더들은 점차 중요해지고 있는 소프트웨어 벤더 감사에서 직면하는 어려움이 커지고 있는 실정이다. 벤더가 감사에서 라이선싱 준수 여부를 물을 때 싸울 준비가 되어 있는 것이 가장 좋다.

캐나다 CIO 협회(CIO Association)의 게리 데이븐포트 CIO 멘토 겸 이사는 "내 경험으로는 소프트웨어 감사가 가장 힘들다. 소프트웨어 벤더들은 규칙을 흔히 바꾼다. 변경된 부분을 파악해 따라가기 힘들다"라고 말했다. 데이븐포트는 캐나다의 주요 소매업체인 허드슨 베이 컴퓨니(Hudson Bay Company)의 CIO로 일했었다.

소프트웨어 벤더 감사가 더 많은 비용으로 이어진 경우도 많다. IBM의 패스포트 어드밴티지(Passport Advantage) 변경을 예로 들 수 있다. 레지스터는 "메시지가 분명하다. 감사에서 초과 사용이 된 시기를 정확히 입증하지 못하면 2년 유지 관리 요금 전액을 지불해야 한다. 이는 라이센스 비용의 40%에 달한다"라고 보도했다.

소프트웨어 감사와 관련해 첨단 기술 기업들이 강경한 자세를 취하고 있다. 이런 식으로 추가 요금을 추구하는 회사는 IBM 뿐만이 아니다. 오라클과 마이크로소프트, 기타 대형 소프트웨어 회사의 벤더 감사를 전문적으로 돕는 컨설턴트와 변호사들이 있다.

감사 결과에 따른 후속 행동이 늦다
감사에 실패해, 해당 사항을 조치해야 하는 최악의 상황이 발생할 수도 있다. 이 경우, 빨리 대응하는 것이 가장 좋다. 힐튼(Hilton)의 마이클 레이딩거 CTO는 "감사자는 대응책을 묻고, 후속 조치를 요구할 것이다"라고 말했다.

관리자가 책임을 등한시 했을 때, 감사자가 이로 인해 초래된 문제를 발견하고 침묵하는 경우는 드물다. 경영진 또한 감사 결과를 보고 받는다. 즉 늦은 대응 또한 경영진에 보고된다. IT 감사 실패가 아주 길고 큰 실패로 이어지지 않도록 만전을 기해야 한다.