IT 거버넌스를 그르치는 7가지 실수와 이를 피하는 방법

IT 거버넌스를 게을리 관리한다면 ‘허점 지뢰밭’이 되기 쉽다. 이러한 허점이 회사는 물론 스스로의 경력을 망치지 않으려면 어떻게 해야 할지 알아보자.  
 

누구나 실수를 한다. 하지만 CIO가 실수하면, 스스로는 물론 IT 부서와 회사에 큰 타격을 입힐 수 있다. 

인포테크 리서치 그룹(Info-Tech Research Group)의 수석 연구 이사 도나 베일스는 IT 거버넌스가 명확하게 정의되고 이해될 필요가 있다고 강조했다. 그는 IT 거버넌스가 조직의 미션, 비전 및 전략을 반영하는 원칙에 따라 이뤄져야 한다고 주장했다. “효과적인 거버넌스란 조직이 추구하는 방향에 부합하는 결과물을 얻기 위해 적합한 담당자를 지정하고 권한을 부여하는 것”이라고 그는 설명했다. 

하지만 CIO들의 피나는 노력에도 불구하고 여러 기업의 IT 거버넌스는 여전히 허점투성이다. 신중한 IT 리더조차도 놓칠 수 있는 7가지 허점에 대해 살펴본다. 

1. 변화하는 비즈니스 환경에 뒤쳐짐 
새로운 기술이 끊임없이 출현하고, 고객의 기대치가 하루가 다르게 올라가고 있으며 새 제품과 서비스 제공에 요구하는 기준은 나날이 상승하고 있다. 이에 따라 비즈니스 관행과 우선순위도 변화하기 일쑤다. 베일스는 “IT 거버넌스는 이렇듯 급변하는 정세에 발을 맞춰야 한다. 기업은 종종 이 [필요성]을 인지하지 못한다. 거버넌스가 한번 자리 잡으면 잘 바꾸려 하지 않는다”라고 지적했다. 

거버넌스는 IT가 비즈니스 목표에 부합하도록 ‘유연성’을 염두에 두고 설계되어야 한다고 그는 강조했다. 베일스는 이렇게 해야만 조직을 잠재적인 위험에서 보호할 뿐만 아니라 지속해서 비즈니스 가치를 창출할 수 있다고 말했다. 그는 “효과적인 거버넌스는 적절한 기술 투자가 적시에 이루어지도록 하여 기업이 변화하도록 돕고, 결과적으로 좋은 성과를 만들어낸다”라고 설명했다. 

베일스는 “거버넌스가 기업 DNA의 일부로 자리잡아야 한다. 특정 기업에 고유한 핵심 문화로 뿌리내려야 한다”라며 “역동적이며 변화의 시발점을 포착할 수 있는 구조의 거버넌스가 바람직하다. 또한 그 효과를 지속해서 측정하여 존재감을 유지해야 한다.  

2. 미흡한 리스크 대비
CIO가 전략적 이니셔티브를 개시할 때 모든 리스크를 충분히 고려하지 않는 경우가 흔하다. 글로벌 사이버 보안 업체 셸먼(Schellman)의 암호화 및 디지털 신뢰 서비스 책임자 스콧 페리는 “이는 거버넌스 방법론을 리스크 관리 프로그램의 필수적인 요소가 아닌, 단순한 후속 조치로 치부하는 것이다. 이렇게 되면 거버넌스의 구조는 급조되기 십상이고 리스크를 경감하는 방안은 효과를 잃게 된다”고 말했다. 

특히 시스템이 전략적 목표를 달성할 수 있을지 여부를 파악하지 못한 채 중요한 전략을 이행하는 경우가 수두룩하다는 것이 그의 생각이다. 페리는 “이 때문에 기술적 취약성, 가동시간 제약, 부적절한 지속성, 고객 거부 등의 리스크가 발생할 수 있다”라고 경고했다. 따라서 프로세스의 초기 단계에서 이러한 리스크를 제때 파악하고, 전체적인 거버넌스 프로그램의 일부로 체계적인 리스크 경감 프로세스를 통해 대처해야 비즈니스 전략이 성공할 가능성이 높아진다고 그는 권고했다.  

페리는 거버넌스 요구사항의 준수율을 측정하는 여러 방법을 제시했다. 예컨대 위험 평가 같은 요소가 포함된 감독 프로그램, 통제 가능한 위험을 완화하는 거버넌스 요구사항 준수, 내부 및 외부 감사 프로그램 등이 있다. 그는 또한 ‘잔류 위험(residual risk)’에 대한 평가를 수행하여 프로그램의 피드백 루프뿐만 아니라 아직 남아 있을 수 있는 위험 노출을 검토해야 한다고 제안했다.  

3. 안개 낀 운영 가시성
상세한 거버넌스 계획을 세웠지만, 거버넌스 운영에 대한 가시성을 확보하지 못한 IT 리더가 흔하다. 직원들이 특정 거버넌스 정책 및 의무를 수용하고 실천하고 있는지 파악하기 어려워한다는 것이다.  캡제미니 아메리카(Capgemini Americas)와 엣지 센터 오브 엑설런스(Edge Center of Excellence)의 비즈니스 디렉터 아자데 다드라스에 따르면 모든 현업 리더들이 IT 거버넌스 정책에 쉽게 접근하고 이해하고 있다고 믿는 CIO가 많다. 그러나 실제로는 그렇지 않다.

대개 IT 조직은 고립된 형태로 운영된다고 그는 이어 설명했다. 다드라스는 “IT 리더가 거버넌스 결정의 배경과 결과를 이해하지 못하면, 거버넌스 정책이 비즈니스에 악영향을 미친다”라고 경고했다. IT거버넌스가 모든 주요 이해관계자, 특히 기업의 영업 부서에서 일하는 직원에게까지 전달되지 않는다면 중요한 결정이 충분한 상의 없이 내려지는 상황이 발생할 수도 있다. 그는 “이는 영향을 받는 팀의 업무, 그리고 최종적으로는 비즈니스 전체에 손해를 끼친다”라고 덧붙였다. 

4. IT 거버넌스와 엔터프라이즈 거버넌스의 불협화음
종종 IT 리더는 특정 비즈니스 목표를 달성하고자 성급하게 프로젝트를 진행할 때가 있다. 인사이트 및 데이터 관리 플랫폼 제공업체 어웨어(Aware)의 최고 법률 및 데이터 보호 책임자 브라이언 매니언은 “이런 경우 법률, 규정 준수, 정보 리스크 관리 등 사내 거버넌스 같은 팀을 빼놓고 프로젝트가 진행될 수 있다”라고 경고했다.

그는 이러한 누락을 방지하려면 IT 담당자와 엔터프라이즈 거버넌스 담당자가 정기적으로 협력하도록 유도해야 한다고 제의했다. 회사 전략 차원에서는 IT 팀과 엔터프라이즈 거버넌스 팀이 기존 도구를 비롯한 새로운 도구에 대해서 정기적으로 서로 정보를 공유하는 것도 좋다. 또한 여러 팀이 머리를 맞대어 감지한 리스크에 대한 잠재적인 해결책을 제안하고 조율해야 한다는 것이다.  

이에 더해 최소한의 통제에 대한 표준을 세우고 합의할 필요가 있다고 매니언은 제안했다. 그는 “또한 ‘엔터프라이즈 거버넌스 팀에 IT팀을 지원할 수 있는 기술 숙련자가 있으면 더 좋다”라고 덧붙였다.

5. 여전히 낡은 방식으로 미래를 예측 
많은 기업이 여전히 비용과 SLA 수치를 기반으로 IT 거버넌스를 운영하고 있다. 그러나 안타깝게도 이제 이러한 지표 다수가 시대에 뒤떨어진다. 

글로벌 기술 연구 및 자문 회사 ISG의 디지털 전략 및 솔루션 컨설턴드 프라샨트 켈커는 IT 거버넌스가 선행 지표에 초점을 맞춰 미래의 투자와 지출에 반영할 필요가 있다고 제안했다. 선행 지표는 경기 순환 혹은 시장 동향에 앞서 앞으로 벌어질 상황에 대한 일종의 예측 신호로 활용될 수 있다. 주요 선행지표로는 매출 증가, 클라이언트당 매출액, 이익률, 클라이언트 유지율 및 고객 만족도 등이 있다. 

6. 폐기물 취급당하는 데이터
이제 데이터는 모두에게 귀중한 자산이 됐다. 특히 정보를 다루는 기업에게 데이터는 가장 가치 있는 자산이다. 그럼에도 아직도 많은 기업이 데이터를 마치 폐기물인냥 얕보고 있다고 실리콘밸리의 디지털 엔지니어링 전문 서비스 업체 에이펙슨(Apexon)의 디지털 혁신 책임자 체단 락스만은 주장했다. 

데이터가 점점 더 많은 의사 결정을 주도하고, 디지털 혁신이 더 많은 비즈니스 프로세스를 자동화하면서 데이터의 가치와 무결성이 더 중요해졌다고 그는 설명했다. 락스만은 “규모나 부문과 관계없이 모든 기업이 더 이상 데이터를 골치 아픈 ‘돈 먹는 하마’로 치부해서는 안 된다. 접근하기 쉬우며 안전하고 유용한 자산으로 바라봐야 한다”라고 말했다. 데이터 분석에 주목해온 비즈니스 리더와 IT 리더라면, 이제 운용 효율, 성장 향상, 고객 체험 향상이라는 목표를 달성하기 위해 효과적인 거버넌스 구조를 하루빨리 체계화해야 한다는 진단이다.   

7. 내부자 위협 간과
최근 모든 기업에서 내부자 위협이 큰 위험 요소가 됐다. 원격 및 하이브리드 작업 환경이 이례적으로 높은 직원 이직률과 맞물려 낳은 현상이다. 

모든 유형의 내부 위협이 잠재적으로 유해하지만, 외부인과 작당모의하여 음모를 꾸미려는 내부자는 특히 더 해로울 수 있다. 콘텐츠 보안 및 거버넌스 플랫폼 제공업체 에그나이트(Egnyte)의 CSO 크리스 라히리는 “실제로, 내부자 사건당 평균 64만 4,852달러의 손실이 발생한다”라고 말했다.

라히리는 IT 거버넌스에 대한 포괄적인 접근 방식을 제시했다. 예를 들어 데이터 보안에 우선순위를 부여하고, 네트워크 보안의 베스트 프랙티스를 실천하며, 사용자 사이버 교육을 확대하는 방법이 있다. 그는 효과적인 콘텐츠 거버넌스 프로그램을 구축하기 위해 구조화 데이터와 비정형 데이터 모두를 심도 있게 가시화하는 것도 중요하다고 언급했다. 라히리는 “데이터를 볼 수 없으면 적절하게 관리할 수도 없다”라고 말한다.

그는 어떤 콘텐츠에 누가 접근하는지 파악할 수 있는 일원화된 데이터 뷰 시스템도 유용할 것이라고 권장했다. 라히리는 “이런 시스템을 사용하면 일반적인 사용자의 행동이나 패턴을 파악하여 악의적인 활동을 검출할 수 있게 된다”라고 설명했다. ciokr@idg.co.kr