‘낮은 우선순위’… 선제적 IT 투자를 위한 최고 경영진 설득 전략 3가지

수익에 대한 철저한 검토는 재해 복구처럼 즉각적인 ROI가 발생하지 않는 선제적인 프로젝트를 승인받을 수 있는 기회다. IT 리더가 이를 입증할 방법을 소개한다.
 

재해가 발생하기 전까지 재해 복구 투자가 기업 이사회에서 항상 우선순위가 낮다는 점은 CIO 사이에서는 상식처럼 여겨진다. IT 리더가 자금을 지원하고 싶어하지만 예산 승인과 관련해 우선순위가 정해지지 않은, 중요하고 선제적인 성격의 프로젝트는 많다. 재해 복구도 그중 하나다.

재해 복구 외에도 제로데이 공격에 대한 대비, 데이터 관리와 관련된 거의 모든 것, IT 교육 및 사회 공학 감사 등이 여기에 해당한다. 안타깝게도 예산이 부족해지면 이러한 프로젝트는 이사회 차원에서 잊혀지고, 중요한 문제가 남아 있어도 부주의로 인해 더 악화될 가능성이 높다.

2024년은 바로 그런 해가 될 것으로 보이며, 애널리스트인 존 데이비드 러브락은 “IT 지출은 수익성, 노동력 등의 보다 전통적인 힘에 의해 주도되고, 지속적인 변화의 피로감으로 인해 감소할 것”이라고 내다봤다.

CIO는 수익과 ROI를 더욱 철저히 검토하고 현명하게 지출해야 한다. 오늘날 경제 환경에서는 즉각적인 ROI가 발생하지 않는 선제적인 프로젝트에 투자를 얻기가 더욱 어려워지고 있다.

이러한 어려움이 있지만, 최신 재해 복구 계획을 수립하고 새로운 비즈니스 방향을 위해 강력한 네트워크, 보안, 시스템 지원 프레임워크를 보장하는 것은 무시할 수 없는 IT의 기본 요소이며 반드시 투자해야 하는 부분이다.

그렇다면 가시적이고 즉각적인 수익이 거의 없어 보이는 프로젝트에 지원을 받기 위해 무엇을 해야 할까? 여기에는 궁극적으로 조직에 도움이 될 만한 비결이 있다.

다음은 이를 달성하기 위한 3가지 전략이다.

1. 만약에 대한 공포 요소 불러오기
선제적 프로젝트에 대한 자금 지원과 우선순위 지정은 일반적으로 미뤄지는 경우가 많다. 사고 발생 가능성이 적다는 이유로 더 시급한 다른 프로젝트의 우선순위에 밀리기 때문이다. 이러면 선제적 프로젝트는 무기한 지연돼 기업의 리스크를 높일 수밖에 없다.

IT 리더는 재해 복구와 같은 선제적 프로젝트를 기업 위험 관리 전략에 통합해 이런 생각을 바꿀 수 있다.

예를 들어 서비스 거부 공격으로 인해 회사의 IT가 다운되거나, 시스템을 잠금 해제하려면 수백만 달러를 지불하라는 해커의 협박이 있을 경우 어떻게 될까? 이런 사건이 발생하지 않더라도 기업 및 사이버 책임 보험사가 최근 감사 보고서를 읽고, 재해 복구 계획을 업데이트하지 않았다거나 2년 넘게 네트워크 보안 강화에 투자하지 않았다는 사실을 알게 되면 어떤 종류의 할증료를 지불해야 할까?

데이터 유출로 인한 평균 비용은 464만 달러이며, 2022년에는 중견 기업 3곳 중 2곳이 랜섬웨어 공격을 경험한 것으로 나타났다. 재해 복구와 기업 보안은 심각한 문제다.

이러한 영역에서 가장 필요한 선제적 프로젝트 투자는 재해 복구 계획의 업데이트와 계획이 제대로 작동하는지 확인하기 위한 테스트 준비, 다른 데이터센터 또는 클라우드에 대한 장애 조치 메커니즘, 보안 소프트웨어, 강화된 시스템, 제로트러스트 네트워크에 대한 투자, IT 직원 교육 및 직원 추가 등이다.

2. IT 인프라 요구 사항을 기업 전략과 결합
기업의 계획이 원격 제조 공장을 도입하거나 더 많은 직원을 원격 재택 근무지로 이동시켜 운영을 분산하는 것이라면 이는 IT에 영향을 미칠 가능성이 높다.

하지만 직원 홈 오피스와 같은 원격 시설 계획을 구상할 때는 주로 임대 사무실 면적 감소로 인한 비용 절감에 초점을 맞추게 된다. 또한 분산형 제조 계획이 공개되면 일반적으로 새로운 공장이 제조에 필요한 원자재와 가까운 곳에 위치하게 되므로 세금 및 인건비 절감 또는 배송비 절감을 ROI로 예상한다.

이때 ROI 계산에서 IT 네트워크와 시스템을 엣지로 더 많이 확장하고 보안을 강력하게 유지하는 데 필요한 비용을 간과하기 쉽다. 추가 비용이 발생하면 원래의 ROI 예측은 불만족스러워진다.

IT 리더는 기업 탈중앙화 계획의 초기 단계부터 참여하고 추가 IT 개선에 필요한 비용을 ROI 계산 전 추정치에 반영해 이를 방지할 수 있다. 

IT 개선 사항에는 제로트러스트 네트워크 및 장비, 추가 보안 및 가시성 소프트웨어, 더 많은 대역폭, 심지어 SASE(secure access service edge) 등이 있을 수 있다.

3. 교육의 중요성을 강조하기 위해 지표 도입
예산 경쟁에서 가장 먼저 희생되곤 하는 IT 직원 및 최종 사용자 교육은 비용 외에 가시적인 성과를 인정받기 어렵지만 중요한 투자다. 교육이 없으면 IT 직원과 최종 사용자 모두 회사에 필요한 새로운 기술을 도입할 준비를 할 수 없다.

교육과 관련해 일반적인 방법으로 ROI를 계산하긴 어렵지만, 직원들이 업무 수행에 필요한 교육을 받지 못했을 때의 위험에 대해 회사 내 인식을 제고할 수는 있다. 

교육 투자 시 고려해야 할 주요 지표로는 직원 유지율, 직원 성장률, 내부에서 직접 인재를 양성하는 대신 외부에서 영업하는 데 드는 비용 등이 있다.

링크드인 설문조사에 따르면 2024년에 전체 미국인의 절반이 이직을 희망하는 것으로 나타났다. 직원을 교체하는 데 드는 비용은 프로젝트 지연이나 직원 사기에 미치는 악영향은 말할 것도 없고, 해당 직원 급여의 6~9개월치에 달할 정도로 높은 것으로 나타났다.

CIO는 이사회, CEO, 다른 최고 경영진에게 이 점을 지적해야 한다. 다시 말해, 회사가 필요한 직무를 수행할 직원을 찾지 못하거나 교육하지 못하면 얼마나 많은 비즈니스 리스크를 감수해야 할까?

* Mary Shacklett는 컨설팅 기업 트랜스월드 데이터의 대표이자 프리랜서 작가다. ciokr@idg.co.kr