칼럼 | 매뉴얼 없는 사회, IT는 예외인가?

2014년 대한민국의 봄은 잔인했다. 4월 16일은 대한민국의 모든 어른들이 두고두고 잊지 말아야 할 날짜가 되었다. 그리고 깊은 반성과 참회를 해야 한다고 생각한다. 이번 참사를 두고 온갖 이야기들이 나왔다. 그런 이야기들 중에 이번 사고의 원인이 체계적인 재난 대응 매뉴얼의 부재가 만들어 낸 비극이라는 주장도 있었다. 국가 중앙부처에서부터 현장 부서까지, 그리고 민간 해운회사도 마찬가지로 재난 발생에 대한 대처 체계적인 매뉴얼이 없었고, 설령 있었다고 해도 재난 대응에 전혀 도움이 되지 않았다는 것이다. 사고는 언제든지 일어날 수 있다. 아무리 철저한 예방 조치를 취한다고 해도 사고를 100% 막을 수는 없을지도 모른다. 그래서 사고 발생 시를 대비한 매뉴얼이 중요한 것이 아닐까 생각한다. 그렇다면 IT 분야의 사정은 어떨까?

오늘날 기업은 물론 사회 기반시설, 금융, 미디어, 공공분야를 분문하고 모든 영역에서 IT는 기본 인프라이다. 또한 IT인프라에 장애가 발생하여 사회 전반에 작지 않은 영향을 준 사례가 그 동안 여러 번 있었다. 이동통신 전화가 일정시간 통화 불능이 되기도 하고 다량의 개인정보가 유출되기도 했으며 온라인 금융 서비스가 중단되기도 했다. 이런 일련의 사고 발생 시 IT분야는 잘 준비된 매뉴얼에 따라 체계적인 위기 대응을 했을까? 정보시스템 관련 사고로 인한 인명피해가 발생하지 않았기에 사회적인 관심을 크게 끌지 않아서 실제의 부실한 대응을 국민들은 모르고 있는 것은 아닐까? 솔직히 고백하자면 필자 역시 기업의 정보시스템 운영을 담당하고 있지만 발생 가능한 사고나 재해에 대한 체계적인 매뉴얼을 제대로 갖추고 있는가 돌아보면 부끄러운 생각이 든다. 물론 기술적으로 재해복구 시스템을 구축하고 있으며 정기적으로 재해복구 훈련을 실시하고 있지만 발생 가능한 다양한 사고에 대한 대응 매뉴얼이 체계적으로 갖추어져 있고 또한 이 모든 것들에 대해 정기적인 점검과 업데이트가 이루어지고 있는 것은 아니기 때문이다.

그렇다면 왜 체계적인 매뉴얼 준비와 정기적인 점검이 잘 안 되는 것일까? 이런 글을 읽은 적이 있다. 만약 911테러가 나기 전에 누군가가 그런 테러의 위험성을 경고하고 항공기 보안 규정과 절차를 대폭 강화해야 한다고 했다면 과연 받아들여졌을까? 그리고 만약 받아들여져서 강화된 규정에 의해 항공기 운항이 이루어지고 이에 따라 테러가 사전에 예방되었다면 규정 강화를 추진한 주인공은 칭찬을 들었을까? 아니면 쓸데없이 불편하게 만들었다는 비난을 받았을까? 아마도 사고가 발생하지 않았기에 주인공은 공로를 인정받기 어려웠을 것은 물로 때로는 비난도 받았을 것이다. 이런 점이 매뉴얼의 체계적인 작성 및 관리, 그리고 매뉴얼을 철저하게 따르는 업무 운영을 어렵게 만드는 이유라고 생각한다. 그렇기 때문에 매뉴얼 중심의 업무 수행은 쉬운 일이 아니다. 또한 경영진의 이해와 지원이 반드시 필요하다.

하지만 이제는 더 이상 이런저런 핑계로 예전처럼 대충대충 할 수는 없다. 사회 모든 분야에 걸쳐 사고와 재난에 대비한 철저한 사전 준비와 대응이 필요하다. 그리고 사고의 발생을 100% 막을 수 없다면 발생 시에 대한 대응 매뉴얼이 최신의 상태로 관리되고 또 실전에서 사용될 수 있도록 해야 한다. IT분야도 그래야 할 것이다. 그렇다면 IT분야에서는 어떠한 점들을 개선하여야 할까?

우선 IT운영에서 비용절감이 모든 것의 중심이 되어서는 안되다는 점이다. 물론 비용절감과 운영효율 제고는 중요한 문제다. 하지만 시스템 운영은 사람이 하는 것이다. 따라서 운영 인력의 사명감과 책임감이 중요하다. 그런데 최근 운영인력의 구성을 보면 계약직 비중이 높은 편이다. 그리고 실제적으로 이런 계약직 인력의 높은 비중은 때로 시스템 사고의 한 원인이 되기도 했다. 시스템 운영에서 매뉴얼을 각 예상 영역별로 체계적 작성하고 업무 수행 시 정해진 원칙에 따라 운영하기 위해서는 담당자는 추가로 많은 노력을 해야 한다. 그렇기에 운영담당자의 책임감과 사명감이 중요하다. 그렇지 않을 경우 비록 매뉴얼과 프로세스를 체계적으로 갖추어도 이에 따른 운영을 지속하기 어렵다. 수시로 인력이 바뀌는 상황도 상황을 어렵게 하기는 마찬가지이다. 하지만 운영인력의 이런 문제점을 개선하자면 운영 비용이 상승할 수 있다. 그렇기 때문에 경영진의 이해와 지원이 필요한 것이다.

그리고 운영 조직은 시스템 운영 및 개발 시 체계적인 문서화에 대한 훈련과 노력이 이루어져야 한다. 우리나라의 IT 문화, 특히 정보시스템 개발 문화에서 문서화는 매우 취약한 영역이다. SI 프로젝트 수행 시 문서화 작업의 중요성에 대해 많은 이야기를 하지만 정작 제대로 지켜지는 경우는 드물다. 하물며 개발 시에도 이런 상황이면 운영 시에 이루어지는 많은 변경 및 개선 작업들에 대한 문서화는 더 열악하다. 그렇기 때문에 장애나 사고가 발생하면 원인을 찾아 즉시 대응하기가 어려워진다. 하지만 이 문제 역시 문서화를 위한 담당자의 노력과 함께 비용 절감이 관련된다. 짧은 개발 기간과 과중한 업무 부하 등의 문제가 함께 해결 되어야 하기 때문이다.


마지막으로 하인리히의 법칙(한 건의 대형사고 이전에는 300번의 잠재적 사고징후, 29번의 작은 사고가 있다는 통계적인 법칙)이 이야기해 주듯이 시스템 장애나 사고는 사실 예고 없이 일어나는 것이 아니다. 따라서 시스템 운영 시 발생하는 이상 징후들을 체계적으로 기록하고 이를 종합적으로 모니터링 하는 프로세스를 가지고 있어야 할 것이다. 그리고 이를 위한 표준 프로세스 및 매뉴얼 역시 준비되어야 할 것이다.

안전은 공짜로 얻어지는 것이 아니다. 앞으로도 대한민국 사회의 모든 판단의 기준이 경제성과 비용 절감, 효율성의 향상으로 귀결된다면 결코 매뉴얼을 기반으로 한 원칙 준수 운영과 체계적인 사고 대응 능력은 갖추기 어려울 것이다. 왜냐하면 앞서 언급한 가상의 사례에서와 같이 이러한 체계적인 대응과 관련된 일련의 대응준비노력은 사고가 나지 않으면 모든 관련 투자가 헛된 비용으로 경영진에게 인지될 수 있기 때문이다. 하지만 참담한 참사를 겪고서도 비용 절감과 효율성만이 최고의 가치라고 생각하고 안전을 위한 비용의 지출을 꺼린다면 사고를 사전에 예방하기도 어려울 뿐만 아니라 언젠가 또 다른 대형 사고가 발생했을 때 체계적인 대응이 안돼 우왕좌왕 할 수 밖에 없을 것이다. 이는 IT 시스템 운영 분야라고 예외일 수 없다.

*정철환 팀장은 삼성SDS, 한양대학교 겸임교수를 거쳐 현재 동부제철 IT기획팀장이다. 저서로는 ‘SI 프로젝트 전문가로 가는 길’이 있으며 삼성SDS 사보에 1년 동안 원고를 쓴 경력이 있다. 한국IDG가 주관하는 CIO 어워드 2012에서 올해의 CIO로 선정됐다. ciokr@idg.co.kr