기고 | 셰도우 IT와의 ‘끝없는 전쟁’을 끝내야 할 시점

요즘 CIO의 주요 책무 중 하나는 데이터 무결성이다. 전략적 비즈니스 결정을 내리기 위해 사용하는 데이터가 안전하고 정확해야 한다. IT 부서와 CIO가 궁극적으로 이에 대한 책임을 지는 조직이 많다.

하지만 데이터 무결성 확보는 벅찬 과업이다. 해커, 클라우드 내 데이터 저장소, 변화무쌍한 기술이라는 환경 속에서 데이터 무결성 확보는 지속적인 싸움이며, 싸움을 어렵게 하는 또 하나의 존재는 셰도우 IT(비승인 IT)다. 그리고 AI 확산 동향 속에서 셰도우 IT로 인한 데이터 문제가 심각해지고 있다. 
 

셰도우 IT: 승인되지 않은 집요함
우선 용어를 정의해보자. 가트너는 셰도우 IT를 IT 조직의 소유권 또는 통제를 벗어난 IT 장치, 소프트웨어, 서비스로 정의한다. 이 정의에는 기업이 관리하지 않는 IT 장치, 기업 IT 장치에 존재할 수 있는 소프트웨어, 클라우드에서 제3자가 제공하는 데이터 상호작용이 포함된다.

이런 시나리오에서 기업 데이터가 사용됨에도 불구하고 CIO들이 여전히 데이터 정확도와 무결성에 대해 책임을 진다. IT가 이 시스템에 대해 모르더라도 마찬가지이다.

IT는 타당한 근거를 제시하고 해결책을 모색해야 한다. 가령 CEO 및 CIO 등 고위 경영진으로 구성되고 IT 의제의 우선순위 설정을 책임지는 IT 위원회와 긴밀히 협력하여 이런 일방적인 활동을 금지하는 정책을 수립할 수 있다. 하지만 이와 동시에 IT는 현업 부서들이 최소한의 IT 시간을 필요로 하는 컴퓨터 솔루션을 신속하게 구현할 수 있는 방법론을 수립해야 한다.

이에 대한 완벽하지는 않지만 적절한 비유는 내부 및 외부적으로 브랜드와 상표의 보호를 책임지는 마케팅 부서다. 마케팅 부서의 경우 위반사항을 발견할 때 일반적으로 신속하면서 단호한 중단 및 중지 명령을 내린다. IT도 셰도우 IT에 대해 유사한 접근방식을 취할 수 있다.

어두움에 빛을 비추라
승인되지 않은 기술을 없애는 것과 셰도우 IT의 동기를 해결할 다른 방안을 제공하는 것 사이의 균형을 달성하기 위해 IT 리더는 3단계 접근방식을 고려할 만하다.

첫째, CIO는 특히 AI 활용과 관련해 현업 부서가 추진하는 소규모 프로젝트에만 대응하는 QRT(Quick-Reaction Team)를 수립할 수 있다. QRT는 IT 내에서 데이터 조작의 위험을 이해하고 보안 위험에 대해 정통하며 AI의 발전을 충분히 이해하여 기회와 위험을 파악할 수 있는 구성원으로 구성된 엘리트 그룹이 되어야 한다. 이 그룹은 요건을 분석하고 데이터 액세스가 안전하며 사용자가 액세스되는 데이터의 속성을 이해하도록 해야 한다.

QRT는 또한 수행할 작업의 파라미터를 분석하여 기존의 다른 소스에서 이미 결과를 얻을 수 없는지 확인한다. 또한 소프트웨어가 기존의 기업 네트워크와 호환되는지 판단해야 한다. 특정 시점에 해당 기업이 기업 전체에 서비스를 제공하기 위해 애플리케이션을 확장하고 싶은 경우 더욱 중요해진다.

둘째, 셰도우 IT 정책을 IT 위원회가 파악하고 시행해야 한다. 이 그룹은 데이터 유출이 기업에 유발할 수 있는 존재의 위험을 이해해야 하며 정책 위반 시 전사적으로 지원해야 하는 제재가 있음을 이해해야 한다.

셋째, IT는 로컬 또는 원격으로 네트워크에 연결된 모든 장치의 콘텐츠를 지속적으로 모니터링해야 한다. 제공업체가 부과하는 상당한 벌금을 피하기 위해 기업의 컴퓨터를 모니터링하여 모든 소프트웨어에 모든 서드파티 애플리케이션에 대한 적절한 라이선스가 있는지 확인해야 한다. 기업 네트워크에 연결하는 모든 개인 장치도 모니터링하여 기업의 기준을 준수하고 안전한지 확인해야 한다. 시장에는 이 서비스를 제공할 수 있는 많은 소프트웨어 솔루션이 존재한다.

추가적인 위험과 해결책
이런 보호 장치가 마련되어 있더라도 셰도우 IT 시스템과 관련된 상당한 위험이 여전히 존재한다. 

현업 부서에서 특정 셰도우 IT 솔루션을 도입하거나 구축한 사람이 갑자기 이직하는 경우 대체할 사람을 교육하는 데 많은 시간이 소요될 수 있다. 적당한 인력을 찾기 어려운 경우가 있기 때문에 사용자 부서가 이 부담을 IT에 떠넘기려 시도하는 경우가 많다. 

이 경우 QRT가 시스템을 인수할 시간이나 능력이 있을 것으로 기대하기도 어렵다. 떠나는 직원이 악의를 가지고 있다면 더욱 위험할 수 있다.

소프트웨어를 공급하는 제공업체가 갑자기 파산하거나 지원 비용을 크게 높이거나 시스템 사용 파라미터를 변경하는 경우 또 다른 위험이 존재한다. 이 프로세스는 QRT가 처리할 수 있지만 시스템이 부서에 중요한 경우 시간 문제가 있기 십상이다.

사용자 부서가 셰도우 IT를 추구하고 싶어하는 이유에 대해 제시하는 일반적인 이유는 다음과 같다. “IT 시스템 승인, 개발, 구현을 위한 프로세스가 너무 힘들고 시간이 오래 걸리며 엄청난 시간과 리소스가 필요하다. 그들은 우리가 원하는 것을 정확히 정의하기를 원한다. 한편, 우리는 우리가 필요한 모든 것을 제공하는 유연한 접근방식을 원한다. 비즈니스는 빠르게 변화하지만 IT 때문에 우리가 느려진다.”

대개 맞는 말이다. 이런 문제의 대부분을 적극적인 QRT가 해결해야 한다. 하지만 기업은 또한 보안 및 데이터 무결성. 문제를 신중하게 고려해야 한다는 사실도 이해해야 한다. 또한 IT 위원회의 각 구성원은 프로젝트의 우선순위를 설정하는 일을 진지하게 여겨 IT 부서가 기업이 필요로 하는 중요한 프로젝트를 처리할 수 있도록 해야 한다. IT가 더 많은 솔루션을 개발하기 위해 확장해야 하는 경우 IT 위원회는 이를 승인할 권한이 있다.

필자의 책 ‘훌륭한 IT 조직의 9.5가지 비밀(The 9 1/2 Secrets of a Great IT Organization)’의 세부 제목은 ‘스스로 하지 말라(Don’t Do IT Yourself)’이다. 셰도우 IT는 IT 시스템이 진공 상태로 개발될 때 결과가 비용이 더 높고 불필요하며 저작권 침해가 발생하고 무엇보다도 데이터 무결성 저하로 이어질 수 있음을 보여주는 또 다른 예이다. 

우리가 이런 방식으로 셰도우 IT를 해결한다면 기업은 필요한 시스템을 시의적절하게 확보할 수 있을 것이며 CIO는 데이터 무결성 걱정 때문에 밤잠을 설치는 일이 없어질 것이다.

* Paul M. Ingevaldson은 에이스 하드웨어의 인터내셔널 및 테크놀로지 부문 SVP로 퇴임했다. IT 업계에서 40년을 보낸 베테랑인 그는 현재 CIO와 컴퓨터월드 외부 편집자로 활동하고 있으며, 노던 일리노이 대학 마스터 프로그램에서 강의하고 있다. ciokr@idg.co.kr