Offcanvas

How To / 리더십|조직관리 / 보안 / 소프트스킬

'현업-IT 상생'을 위한 기술 위험 접근법

2014.05.21 Minda Zetlin  |  Computerworld
흔한 불평 상황이 있다. 현업 부문의 관리자가 어떤 클라우드 기반 제품이나 서비스에 대해 알게 됐다. 그리고 이를 써보고자 한다. 그러나 IT 부문이 이 ‘멋진 제품/서비스’에 대해 위험을 초래한다고 판결해버렸다. 좌절한 현업 관리자는 기업의 발전을 IT 부문이 가로막고 있다고 여기저기 불평한다. IT에 대해 ‘꿈이 사망하는 곳’이라고 평하기도 한다.

그러나 CIO나 IT의 완고한 태도만 문제 원인인 경우는 그리 많지 않다. 진짜 원인은 현실적이고 균형 잡힌 위험 평가 및 의사 결정 시스템이 없기 때문인 경우가 대부분이다.

가트너 애널리스트 제이 하이저는 현업에서 새로운 SaaS 제품을 쓰고 하는 경우 IT는 이 제품이 안전하게 사용할 수 있는 것인지를 판단해달라는 요청을 받는 경우 벌어지는 우스꽝스러운 상황에 대해 설명했다.

그는 “IT는 만일의 사고 상황에 대비하기 위해 계약 조항을 변경하려 든다. 그러나 이러한 제품은 수만 명의 고객사를 거느린 기업이 일괄적으로 공급하는 제품이다. 협상의 여지가 거의 없다”라고 말했다.

즉 보안을 보장할 수 있는 방법이 없어진다. 이에 따라 IT 부문은 승인을 거부하는 행동을 취하게 된다. 그리고 IT 부문은 다시 ‘꿈을 죽이는 곳’으로 인식된다.

이러한 상황을 바꾸기 위해서는 현업이 IT와 공조하는 방안에 대해 진지하게 재고할 필요가 있다. 쉽지 않은 일이다. 그러나 다음과 같은 가이드라인들이 있다.

1. CIO 홀로 곤경에 빠지지 않도록 하라
CIO들과 기술 위험을 주제로 이야기를 나누다 보면 한 회사의 이름이 튀어나오기 십상이다. 바로 타깃(Target)이다. 타깃은 12월과 1월에 1억 1,000만 개의 신용카드와 관련된 데이터 침해 사고가 알려지면서 큰 곤경에 빠졌던 소매업체다. 사태가 진정되고, 소송이 제기되면서 누구나 예상을 할 수 있는 상황이 발생했다. 베스 제이콥스(Beth Jacobs) CIO가 사직서를 제출한 것이다.

제이콥스는 CIO의 평균 임기인 약 6년에 해당하는 기간 동안 타깃에서 CIO로 재직했었다. 그러나 6년이라는 숫자는 큰 의미가 없다. 그 이면에 더 어두운 진실이 도사리고 있기 때문이다.

대다수 CIO들은 큰 기술 사고가 발생하면 CIO 자리를 잃을 것이라고 생각한다. 가트너의 조사 담당 부사장인 제이 하이저는 "제이콥스가 일을 잘했던 CIO일 수도, 그렇지 못한 CIO일 수도 있다. 그러나 어느 쪽이든 해고를 당했다. 현실적으로 사고가 발생하면 '희생양'을 찾아야 하기 때문이다"라고 말했다.

그는 이어 CIO들이 이런 현실에 직면해있다는 점을 감안하면, 이들이 아주 보수적인 의사결정을 내리는 이유를 쉽게 이해할 수 있다고 덧붙였다.

한 CIO는 이와 관련, "우리는 전 시스템을 암호화하고, 정기적으로 감사를 실시하고 있다. 보안 침해 사고가 없도록 최선을 다하고 있다. 그러나 타깃의 CIO처럼 CIO로 오래 재직하다 보면 '비난의 대상'이 될 상황이 발생하기 마련이다"라고 말했다.

2. 잘못된 질문을 묻지 않는다
하이저는 "가트너의 고객들은 어떤 클라우드 시스템이 안전한지 또는 그렇지 않은지 등을 묻곤 한다. 즉 단정적인 대답을 요구하는 질문을 많이 제기한다. 그러나 이는 잘못된 질문이자 대답이다"라고 말했다.

완벽하게 안전한 시스템은 없다. 뉴욕에 본사를 둔 광고 대행사인 커센바움 본드 세네칼 플러스 파트너스(Kirshenbaum Bond Senecal + Partners)의 매트 파웰 CIO는 "골키퍼는 언젠가는 골을 허용할 수밖에 없다. 언젠가는 이런 식으로 문제가 발생한다. 결국 상대적인 위험에 초점을 맞춰야 한다"고 말했다.

파웰에 따르면, NSA(National Security Agency)는 모든 시스템에서 보안 사고가 발생할 수 있다고 가정한다. 그는 아주 뛰어난 기술 역량을 보유한 정부 기관이 이런 가정을 세우고 있는 상황이라면, 다른 사람들도 모두 동일한 가정을 세워야 한다고 말했다. 파웰은 "이런 사고방식을 수용하면, 위험의 '크기'와 '기간'이 중요해진다"고 강조했다.

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.