때로는 ‘유연성’이 미덕··· 깰 수 있는 IT 정책 6가지

IT 영역에는 정책, 프로토콜, 지침이 가득하다. 하지만 이 중에는 깨져야만 할 관행이 도사리고 있을 수 있다. 위험을 완화하면서 그렇게 할 수 있는 방법을 알아본다.

모든 IT 리더는 기존의 규칙을 따를 것인지 아니면 필요에 따라 선례를 깨고 대체 경로를 선택할 지를 두고 결정을 내릴 때에 직면한다. 

관리 규칙은 일반적으로 일관된 운영을 위한 기초를 마련하며 위험으로부터 보호하기 위해 존재한다고 글로벌 기술 조사 및 자문 기업 ISG의 파트너 올라 초우닝이 말했다. 그녀는 “없애거나 유지함에 따른 각각의 위험을 따져본 후에 규칙을 깨는 판단을 내릴 수 있다. 재무, 규제, 성과 등에서 영향이 나타날 수 있다”라고 말했다.

규칙, 관행의 적용 범위는 다양한다. 인력, 프로세스, 기업 행동, 기술 요건 등에 적용될 수 있다. 이 모든 것들은 조직이 준법감시를 준수하고 중요한 목표를 달성할 수 있도록 돕기 위해 마련되곤 한다. 하지만 오래된 규칙을 따르는 것이 합리적이지 못한 경우가 있다. 궁극적인 목표를 달성하기 위해 무시할 수 있는 6가지 IT 정책 또는 프로토콜을 정리했다.
 

1. 코드 변경 관리 프로세스
외부의 영향 없이 깰 수 있는 규칙으로는 코드 변경 관리 절차가 있다. 변경 관리 프로세스를 따르지 않고도 새로운 코드 또는 새로운 기능을 생산에 투입해야 하는 상황이 있다고 초우닝이 말했다.

변경 관리의 목적으로는, 일관된 수준의 감독을 확보하여 사전에 결정된 수준의 테스트가 완료되도록 하고 운영상 변화를 받아들일 준비를 하며 변화가 고객 또는 비즈니스 혼란으로 귀결될 경우를 위한 대비책을 마련하는 것이 있다. 하지만 특정 변경사항을 신속하게 배치해야 하는 경우 변경 관리 프로세스를 건너뛰거나 나중으로 미룰 수 있다.

단 변경 관리 프로세스를 피하는 IT 리더가 직면하는 위험도 있다. 특히 비즈니스 또는 내부 운영에 대한 상당한 부정적 영향의 가능성을 염두에 두야 한다. 초우닝은 “코드 변경 관리 프로세스 규칙을 깬다면, 코드 변화 후 위험을 가능한 신속하게 완화하는 것이다”라고 말했다.

아울러 변경 관리 프로세스를 건너뛰는 결정을 정당화하기 위해서는 관련 요소를 명확하고 일관되게 분석해야 한다. 규칙을 깰 때의 위험을 완화하기 위한 재무 또는 시간 관련 이점을 구체화한 리더는 위험과 가치 사이의 균형에 대한 객관적인 시각을 갖고 있음을 입증할 수 있다고 초우닝이 말했다.

2. 변경 동결 기간
경우에 따라 무시할 수 있는 다른 IT 규칙은 변경 동결 기간(change freeze period) 규칙이다. 특정 기간, 이를 테면 특히 주요 비즈니스 주기 또는 휴일 등의 일정 기간 동안 새로운 시스템 구현 또는 업데이트를 허용하지 않는 방침을 의미한다.

제품 전략 컨설턴트 마이클 하이지는 “중요한 보안 패치 또는 긴급한 비즈니스 요구에 따라 즉각적인 시스템 변경이 필요한 경우 등 이 규칙을 깰 필요가 있을 수 있다. 이런 상황에서는 즉각적인 변경 구현의 이점이 구조화된 규칙보다 우선한다”라고 말했다.

하이지는 “고려해야 할 잠재적인 위험에는 시스템 다운타임, 워크플로우 중단, 취소를 현명하게 처리하지 않는 경우 보안 취약성 등이 있다. 따라서 진행하기에 앞서 엄격한 영향 분석을 수행하고 롤백 계획을 마련하는 것이 중요하다”라고 조언했다.

결정을 정당화하려면 IT 팀원 및 관리 리더들과의 개방적인 의사소통이 필요하다. 하이지는 “일단 변경하지 않을 때의 위험, 잠재적인 문제를 완화하기 위한 준비 조치를 마련한다. 모두가 협력하고 정보에 기초한 협업적 결정을 내리도록 하는 것이 목표이다”라고 말했다.

하이지는 “질서 유지 및 예측 가능성에는 규칙이 필수적이지만 예외적인 상황에는 예외적인 행동이 필요하다. 너무 엄격하면 때때로 조직이 더 큰 위험에 처하게 된다”라고 말했다.

3. 자동화 우선순위 설정
자동화는 향상된 생산성, 효율성, 비용 절감 등 많은 이점을 제공한다. 최우선 IT 우선순위로 부상한 배경이다. 단 인간의 개입이 필요한 복잡하거나 새로운 위험에 대응하고 있다면 좀 더 미묘해진다고 스타트업 설립자이자 UCLA 및 스탠포드의 겸임교수 하므자 파루크가 말했다.

창의적인 문제 해결, 윤리적 고려, 특정 활동 또는 프로세스에 대한 AI의 이해가 제한되는 상황에서는 자동화 우선순위 설정에 대한 전반적인 규칙을 깨는 행위가 정당화될 수 있다. 파루크는 “예를 들어, 공감과 정서 지능이 필요한 섬세한 고객불만 처리가 인간 상호작용에 더욱 적합할 수도 있다”라고 말했다.

그러나 자동화를 차단하면 조직의 주요 프로세스가 저하될 위험도 있다. 파루크는 “인간의 개입에 과도하게 의존하면 일상 과업의 확장성 및 효율성에 영향을 미칠 수 있다”라고 경고하면서, 자동화 프로세스를 우회해야 하는 상황을 확인하기 위한 명확한 지침을 수립하는 것이 중요하다고 밝혔다. “또 이 결정을 고객과 내부 팀에 투명하게 전달해야 한다”라고 그는 덧붙였다.

4. 외부 네트워크 연결 금지
중요 인프라에 대해 보편적으로 유지하는 IT 규칙은 절대로 생산 시스템을 외부 네트워크에 직접 연결하지 않는 것이다. 하지만 주로 식품 산업에 집중하고 있는 사이버 보안 컨설팅 기업 안젠세이지(AnzenSage)의 CEO 크리스틴 데모란빌은 이에 동의하지 않는다. 그녀는 “이 규칙은 외부의 위협으로부터 민감한 시스템을 보호하기 위한 의도로 수립되었지만 예외로 할 필요가 있을 수 있는 상황이 존재한다”라고 말했다.

데모빌란은 “실시간 데이터 공유가 반드시 필요할 때가 있다. 예를 들어, 외부 실험실과 즉각적인 품질 관리 확인이 필요하거나 추적성을 위해 전 세계적인 규모로 공급자와 협업하는 경우가 있다. 이런 경우 직접 연결성은 프로세스를 더욱 신속하게 처리하여 식료품이 지연없이 안전 및 품질 기준을 충족하게 된다”라고 말했다.

그녀는 이어 “IT 규칙 및 프로토콜은 필수적이지만 도움이 되어야 하고, 방해가 되어서는 안된다. 이런 결정을 내리면서 우리는 항상 안전, 품질, 투명성을 우선시해야 한다”라고 전했다.

5. 자산 관리 규정
재고 데이터에 기술적 문제가 발생한다면, 또는 최종 사용자가 기업 시스템에 액세스하지 못한다면, 이 규칙을 깨는 것이 합리적이라고 사용자 정의 서식 개발사 폼어셈블리(FormAssembly)의 보안 및 준법감시 책임자 데이비드 스코베타가 말했다. 기존의 재고 기준에 부합하지 않는 새로운 시스템을 배치하는 경우에도 자산 관리 규정을 일시적으로 배제할 필요가 있을 수 있다.

스코베타는 “이 규칙을 깨기 전에 위험을 고려해야 한다. 이런 상황을 해결하려면 일반적으로 IT와 보안 리더들 사이의 협력이 필요하다. 장치를 명료화할 수 있는 안전조치가 마련되어 있다면 규칙을 깨는 것이 합리적일 수 있다”라고 말했다.

6. 비상 시의 IT 규칙 또는 정책
갑자기 위기 상황이 발생하는 경우 기존의 규칙을 때때로 깨거나 무시할 수 있다. 스노우 소프트웨어(Snow Software)의 수석 아키텍트 제스 스톡볼은 “허락보다 용서를 구하는 것이 합리적인 상황이 일부 존재한다”라고 말했다.

예를 들어, 보안 사건 시 결정을 신속하게 내려야 하는 경우가 많다. 고위 의사결정자가 부재한 상황에서 대응 결정이 필요할 수 있다. 하지만 스톡볼은 중요한 결정은 여전히 위계 구조 및 신뢰에 기초해야 한다고 말했다. 그는 “일반 직원들은 멋대로 굴어서는 안 된다”라고 경고했다.

그럼에도 불구하고 IT는 내재적으로 혁신적인 공간이기 때문에 교과서대로 한다고 해서 항상 원하는 결과를 얻을 수 있는 곳은 아니다. 경험과 적절한 판단력을 가진 사람은 필요에 따라 규칙을 깰 수 있으며 이런 유형의 직원이 더 오래가는 경우가 많다.

하지만 정책이 존재하는 데는 이유가 있다고 스톡볼이 말했다. 규칙을 깨는 것이 절대로 일상적인 IT 활동이 되어서는 안 된다. 그는 “제멋대로인 직원은 위험을 초래하며 터무니없는 행동으로 모두를 위한 직장 유연성을 훼손한다. 항상 무효화할 수 있는 IT 정책이 있음을 시사하는 것은 잘못된 활동이다”라고 설명했다.

스톡볼은 “IT가 규칙과 정책이 더 늘어나는 양상이다. 이러한 지침들은 사이버 보안 공격 증가, 지적재산에 대한 위험, 생성형 AI에 대한 알려지지 않은 사항 등의 이유 때문에 존재한다”라고 말했다. ciokr@idg.co.kr