2024년 CIO가 유의할 경고 신호 6가지

기술의 세계가 계속해서 빠르게 진화함에 따라 CIO는 위험 신호를 포착하고 대응하는 감각을 날카롭게 키워야 한다.
 

생성형 AI가 기술 활용의 지평을 넓혀내고, 정부가 기술 부문에 대한 새로운 규제 프레임워크를 마련하기 시작했다. 또 글로벌 분쟁이 비즈니스 운영을 방해하는 현실이 출현하고 있다. 이에 따라 2023년에 CIO들은 미로 같은 도전과제를 헤쳐 나가야 했다. 

예측할 수 없는 세상 속에서 디지털 혁신을 통해 조직을 이끌어 나가는 CIO에게 이러한 과제는 새해에도 이어질 것이 분명하다. 우크라이나 로펌 저스커텀(Juscutum)의 최고 혁신 책임자인 피터 빌릭은 “2023년에 얻은 큰 교훈 중 하나는 적응력이 필요하다는 점이다. 새로운 기술, 시장 수요 또는 글로벌 이벤트에 대응하여 신속하게 전환할 수 있었던 기업이 더 나은 성과를 거두었다”라고 말했다.

2024년에도 적응력과 관건일 전망이다. 클라우드 네이티브 보안 회사인 아쿠아 시큐리티의 글로벌 CIO인 미컬 루이-하루시는 “CIO가 각종 과제를 성공적으로 해결하려면 민첩하고 능동적이며 적응력을 유지해야 한다”라고 말했다.

올해에도 디지털 혁신은 계속해서 모든 사람의 의제일 것이며, 진화하는 규제 프레임워크에 따라 윤리적 고려의 필요성이 더욱 고조될 전망이다. 그리고 조직이 더 많은 첨단 기술을 운영에 통합함에 따라 사이버 보안은 계속해서 최우선 순위가 되어야 한다.

경고 신호나 위험 신호를 조기에 인지하는 것은 CIO에게 엄청난 이점을 가져다줄 수 있다. 선견지명과 민첩성을 갖추는 것은 단순히 경쟁자를 앞서는 방법이 아니라 생존기술이 될 수 있을 것이다.

AI는 양날의 검
지난 한 해 동안 조직과 IT 전문가들은 AI에 대해 많은 실험을 해왔다. 이제 이를 새로운 차원으로 끌어올릴 시점이다.

에스토니아의 전 정부 CIO이자 현재 IT 컨설팅 회사 디지털 네이션의 매니징 파트너인 시임 시쿠트는 “대비 역량은 실험 능력과 확장 능력에 따라 결정된다. 미래를 대비하기 위해서는 이러한 역량을 구축하는 것이 중요하다. IT분야에서는 의식적으로 끊임없이 새로운 것을 시도할 수 있는 전담 시간, 인재, 예산이 필요하다. 그리고 가치가 있는 것으로 입증된 것을 비즈니스에 주류화해야 한다”라고 말했다.

한국 SK텔레콤의 조동환 CIO도 이에 동의한다. 그는 “경쟁에서 앞서 나가기 위해서는 비즈니스 전 영역에 걸쳐 생성형 AI를 도입하는 것이 필수다”라고 말하면서, “하지만 반짝이는 것이 모두 금은 아니다. 투자 비용을 완전히 회수할 수 있는 수준의 효과를 달성하는 것은 멋진 데모를 보는 것과는 다른 차원이다”라고 덧붙였다.

내년에는 조직이 전략을 세분화하고 인공지능의 윤리적 영향을 더욱 진지하게 고려해야 한다. 빌릭은 “AI는 기술 발전의 최전선에 있지만, 인공지능의 오용 가능성과 그로 인한 윤리적 딜레마 또한 더욱 분명해졌다”라고 말했다.

우크라이나 소프트웨어 개발업체 제베라(JEVERA)의 최고 공급 책임자인 레시아 카시안도 이러한 관점을 공유한다. 그녀는 “비즈니스 운영이란 사람과 사회적 책임과 불가분의 관계다. AI를 통한 비즈니스 혁신은 신중하게 계획해야 한다”라고 말했다. 

또한 그녀는 조직이 높은 적응력을 갖춰야 한다고 덧붙였다. 카시안은 “새로운 기술들이 전례 없이 빠른 속도로 확산될 수도 있으며, 그 결과 계획에 없던 방식으로 비즈니스에 영향을 미칠 수 있다. 따라서 기업은 현명한 방식으로 적응할 준비가 되어 있어야 한다. 노력이 필요하지만 승리한다면 그 과실이 클 것이다”라고 말했다.

AI 규제의 빠른 변화
각국 정부가 AI 현실에 대응하기 시작하고 있다. 미국에서는 바이든 대통령이 AI의 안전한 사용에 관한 행정명령을 발표했고, 유럽연합에서는 12월에 의원들이 AI에 대한 포괄적인 규칙을 수립하는 세계 최초의 법안 중 하나인 AI법의 세부 사항에 합의했다.
 
CIO는 올해 이 논의를 면밀히 파악해야 한다. 빌릭은 “특히 AI 윤리, 데이터 사용, 저작권 문제와 관련된 새로운 규정 동향에 촉각을 곤두세워야 한다. 이러한 변화를 무시하면 법적 문제가 발생하고 대중의 신뢰를 잃을 수 있다”라고 말했다.

기업은 관련 전문가를 충분히 확보해야 하며, 스타트업은 규정 적용 여부와 방법을 이해해야 하므로 규정 준수 전문가를 조기에 채용해야 한다. 또한 CIO가 사내의 AI 기반 도구 활용 현황을 정확히 알고 있으면 도움이 된다. 이를 모른다면 심각한 위험 신호이다.

앱옴니의 보안 연구원 조셉 태커는 CSO와의 인터뷰에서 “경영진이나 법무팀은 개발자가 무엇을 만들고 있는지조차 모르는 경우가 많다. 중소기업의 경우 꽤나 힘든 부하일 수 있다”라고 밝혔다.

지정학적 긴장으로 인해 운영이 중단될 수 있음
지정학적 긴장이 고조되면서 기업들은 다양한 도전에 직면하고 있다. CIO는 국제 뉴스를 파악하여 최신 정보를 유지하는 것이 중요하다. 빌릭은 “미국과 중국 간의 긴장이 고조되면 많은 기업의 공급망에 차질이 생길 수 있으므로 두 국가에 대한 의존도를 낮추기 위해 위험을 분산하는 것이 중요하다”라고 말했다. 

우크라이나나 이스라엘과 같이 지정학적으로 민감한 지역에서 팀을 운영하는 기업의 경우, 강력한 비상 계획을 마련하는 것이 더욱 중요해진다. 온라인 기업 인증 서비스인 유콘트롤의 CEO이자 설립자인 세르기 밀먼은 “우크라이나에서는 전쟁의 영향으로 인해 새로운 기술을 도입하는 것에서 기존 인프라를 보존하고 강화하는 것으로 초점이 옮겨졌다”라고 말했다.

기업 문화와 인재 부족
또한 CIO는 직원 이직률과 그 이유에 대해 알고 있어야 한다. 본연의 업무가 아나라고 판단해서 안 된다. 이러한 인사이트를 확보하면 팀 역학 관계나 조직 문화의 잠재적 문제를 조기에 식별하는 데 도움이 될 수 있다. 또한 이러한 문제를 해결하면 인재를 유지하기 위한 효과적인 전략으로 이어져 보다 일관되고 효율적인 인력을 육성할 수 있다.

특정 산업에서는 인재 부족과 기술 격차가 조직이 헤쳐 나가야 할 중요한 과제이다. 빌릭은 “기술의 급속한 발전으로 특히 신흥 기술 분야에서 기술 격차가 더욱 벌어지고 있다”라고 말했다.

인재를 유치하고 유지하려면 조직은 직원의 요구를 충족하는 업무 환경을 제공해야 한다. 빌릭은 가능하면 유연한 원격 근무 정책을 채택하고 직원이 필요할 때 지원을 제공할 것을 권장했다.

카이산은 “비효율적인 프로세스는 모든 조직에게 늘  존재하는 문제다. 워크플로우와 비즈니스 프로세스의 수정과 개선은 지속적으로 진행해야 하는 작업이다” 라고 말했다.

또한 그녀는 기업이 효율성을 최우선 과제로 삼아야 한다고 제안한다. 그녀는 “새로운 소프트웨어를 구현하고 AI를 도입한다고 해서 저절로 조직이 더 잘 운영되는 것은 아니다. 현실은 기업이 스스로를 더 빠르게 혁신하도록 강제하고 있다. 기존의 5개년 계획은 더 이상 효과가 없을 수도 있다”라고 덧붙였다.

보안을 간과해서는 안 됨
기술 발전과 더불어 사이버 공격의 복잡성과 정교함도 증가하고 있다. 알려진 위협을 방어하는 것만으로는 충분하지 않다. AI의 발전과 함께 등장하는 새로운 트렌드를 예상해야 한다.

카시안은 “침입, 기업 데이터 도난, 인프라에 대한 공격의 위험이 증가하고 있다. 안전하게 운영하려면 조직은 보안에 대해 예방적으로 생각해야 한다. 아직 보안 책임자와 전담 보안 팀이 없는 회사라면 시급히 바꿔야 할 때이다”라고 말했다.

실제로 보안 위협이 증가함에 따라 CIO의 역할이 사이버 보안과 융합되고 있다고 캘리포니아에 본사를 둔 사이버 보안 기업 엑사빔의 CIO인 그랜트 맥코믹은 말한다. 그는 “보안 담당자가 CIO에게 보고하든 회사 내 다른 리더에게 보고하든 관계없이, 조직의 보안 태세를 의식하고 IT와 사이버 보안이 고도로 동기화된 방식으로 작동하도록 하는 것이 모두에게 최선의 이익이 된다”라고 말했다.

시쿠트는 기업들이 보다 적극적으로 대응할 것을 촉구하며, CIO가 처음부터 보안 및 개인정보 보호를 비즈니스 프로세스에 통합하는 ‘trust-by-design’ 원칙을 채택하라고 권장했다.

하지만 최선의 노력에도 불구하고 조직은 진화하는 위협 환경을 따라잡는 데 어려움을 겪는 경우가 많다. 이러한 상황에서는 외부의 지원을 요청하는 것이 도움이 될 수 있다. 독립적인 화이트 해커들이 생성형 AI와 관련된 위험을 찾아내고 수정하는 데 점점 더 능숙해지고 있기 때문에 해커원과 같은 플랫폼과 협력하는 것이 좋은 선택이 될 수 있다.

해커원의 CISO이자 최고 해킹책임자인 크리스 에반스는 “우리 업계 해커 중 절반 이상이 생성형 AI를 주요 타깃으로 삼고 LLM을 위한 OWASP 상위 10위권 해킹을 전문으로 할 계획이다. 이 분야에 관심 있는 개인들의 진입 장벽을 낮춤으로써 미래의 보안 전문가와 모두를 위해 더 안전한 인터넷을 향한 포용적인 경로를 구축할 수 있다”라고 말했다.

다시 한번, 키워드는 적응이다. 아쿠아 시큐리티의 루이-하루쉬는 “새로운 공격 벡터와 새롭게 등장하는 위험에 대해 알려지지 않은 사실을 인지하고, 이를 통해 조직을 막지 않으면서도 보안 전략을 변경할 수 있는 충분한 유연성을 남겨둬야 한다”라고 말했다.

데이터 관리에 대한 전략적 투자
마지막으로, 조직은 데이터 관리 방식에 대해 생각해봐야 한다. 즉, 매일 사용하는 정보를 정리, 저장, 보호할 수 있는 신뢰할 만한 시스템에 자금과 리소스를 투자해야 한다. 이렇게 하면 더 나은 의사결정을 내리고 효율성을 개선하며 중요한 데이터를 안전하게 보호할 수 있다.

데이터 스토리지 소프트웨어 개발업체 데이터도비의 최고기술책임자인 칼 달루인은 “데이터의 양이 증가하고 강력한 데이터 관리의 필요성이 중요해짐에 따라, AI 시스템의 즉각적인 액세스와 인사이트에 대한 수요를 따라잡을 수 있는 확장 가능한 데이터 관리 전략이 부족하다는 것은 위험 신호일 수 있다”라고 말했다.

데이터 관리의 상호 연결성과 효율성을 보장하는 데 필수적인 API 중심 아키텍처와 메시형 애플리케이션을 비롯한 새로운 기술을 도입하는 것을 꺼리는 것도 문제가 될 수 있다고 그는 덧붙였다. ciokr@idg.co.kr