성공 위한 최고의 솔루션,“미리 예방하라”

가공 공장에서 한 단계 앞서 처리한다고 해서 작은 생선이 큰 생선으로 되지는 않는다. 지난 2년 동안 필자는 중소기업의 IT 활용 방안에 대해 몰두해 왔으며 그 결과, 성공하기 위해서는 계획이 필요하다는 한 가지 결론에 도달했다. 중소기업의 IT 부서는 보통 일일 업무에 너무 편중돼 있어 숲을 볼 수가 없다. 2005년에는 저 수평선 너머를 볼 수 있는 안목을 키워보자 .

중소기업의 IT 성공을 위해서 계획이 필요하고 예방이 중요하다는 말은 아주 초보적인 말처럼 들리겠지만, 사실 혼란스러운 동향을 목격되고 있다. 중소기업에서 근무하는 대다수의 IT 전문가들은 일일 업무에 너무 매달려 있어서 궁극적으로 비즈니스를 보다 효율적으로 만들어주고, 비용을 절감하며, 사용자의 만족도를 향상시켜 줄 장기적인 프로젝트들은 무시하고 있다. 더욱 나쁜 것은 상당수가 만성 위기 상태에 있어 기술 문제에 돈을 쏟아부음으로써 간신히 물밖으로 머리를 내놓고 있다는 사실이다. 한편 사업부문 사람들은 현명해져서 IT와의 만남이 언제나 비상시에 국한되는 게 아니라는 것을 깨닫고 있으며, 바보짓은 이제 그만두라는 압력을 넣고 있다.
그리고 문제가 있는 것은 단순히 내부의 IT만이 아니다. 서비스 사업자들도 중소기업의 관리자들이 적당한 IT 서비스에 터무니 없는 돈을 지불하는 데 짜증을 내고 있다는 사실을 깨달을 필요가 있다. 여기서 적당한이란 곧 ‘잘 가동되며, 비상사태가 발생하는 일은 없거나 거의 없는’ 수준을 말한다.
아웃소싱을 하는 기업들은 시간제로 돈을 들일 필요없이 일을 할 만한 감각과 의욕을 가진 내부 IT 직원을 뽑는 추세다.
2005년에 명심해야 할 교훈은, 사전 대응적이지 못하다면 사후 대응적이라도 돼야 한다는 것이다. 이는 서비스 사업자로서 당신의 생존성 존속이나 고용 방침에 대한 이야기다. 응급대처 서비스는 상대적으로 큰 항목으로 많은 중소기업의 예산에서 중요한 자리를 차지하고 있다. 생존하고 싶다면 수평을 맞춰 안정을 유지하라.
아마도 그게 말처럼 쉽진 않을거라고 생각할 것이다. 물론 웜과 바이러스는 규모에 관계없이 기업들을 계속 괴롭히고 있으며, 올해도 분명히 계속 그럴 것이다. 나아가 피어 투 피어 기술은 트래픽에 심각한 영향을 미치고 있으며, 변형이 계속되어 마침내 어떠한 개방된 포트나 프로토콜이든 잠식해버리고, 어떤 조직의 대역폭이든 다 차지해버릴 것이다. 이것은 비할 수 없는 군비확장 경쟁이다. 스파이웨어와 트로이 목마가 있는 랜덤 워크스테이션들은 계속 대역폭과 신뢰성을 잡아먹을 것이다.
구체적인 실례를 들어보자면, 경영진에서는 다른 특정 프로젝트가 마무리되지 않는 한 예방 차원의 프로젝트나 전략은 허락하지 않을 것이라고 주장하는 한 금융 서비스 IT 그룹을 만난 적이 있었다. 이 조직에서는 예방은 부수적인 차원이며, 곧 드러나게 될 심각한 내부적인 보안 틈이 있었다. 사전 예방은 필수다.

매니저 관리하기
일부 중소기업들은 사전 예방적인 IT를 제대로 잘 하고 있으며, 이들은 경쟁자를 물리치고 나가게 될 것이다. 하지만 그 나머지는 보통 위험을 싫어하고 많은 대기업들이 하는 것과 같은 장기적 투자를 하지 않으려는 경향이 있다. 단기적으로 현금의 흐름에 영향을 미치지 못할 프로젝트는 아마 투자를 받지 못할 것이다. 그리고 많은 중소기업들이 매니저에게 예산을 건네지 않고 대신 모든 경비를 품목별로 승인하기를 고집하고 있다. 기업에서 기존의 자금을 이용해 스텔스 기를 띄울 수도 있겠지만 중소기업들이 이렇게 할 확률은 훨씬 적다. 따라서 2005년에는 보다 적극적이 될 필요가 있다.
보긴 보되 말하지 말라. 가동시간을 향상시킬 수 있는 작은 무언가를 한 다음, 이것을 문서화하라. 일단 이것이 성공하면 설득을 시키기가 훨씬 쉬워지며, 따라서 예산 확보도 가능해진다. 인프라에 관련된 명확한 수치가 없다면 인식 조사를 해보라. 한 번은 우리 팀에서 ‘MIB(Management Information Base가 아니라 Make It Better의 약자)’라는 창안을 낸 적이 있었다. 이 계획의 원칙은 간단했는데, 즉 무언가 잘못된 게 보이면 나아지도록 고치라는 것이었다. 우리는 경보 시스템, 코드 업그레이드 및 구성 트위킹 등과 같은 예방 방안들을 마련하는 데 일주일의 몇 시간을 할애했다. 비용은 전혀 들지 않았지만 우리의 고객 서비스 점수는 놀랄만큼 향상됐다. 시도해 보라. 결국은 성공을 보게 될 것이다. 그리고 좋아지든 나빠지든 이것만이 많은 매니저들이 알고 있는 유일한 방법이다.

관리 툴 관리하기
예방 방안에서 낮게 달린 열매는 간단히 네트워크 인프라에 내장된 관리 기능을 이용하는 것이다. 사실 업체와 학자들이 수년 간 주장해 온 메시지는, 매니지드 인프라가 행복하고 활동적인 인프라라는 것이었지만, 불행히도 모두들 이 메시지를 듣기에는 너무도 바빴다.
특히 사전 예방적인 인프라에는 트래픽 카운터, CPU 이용량, 램 이용량, 페이징 및 에러 수, SNMP 트랩 처리, 스레숄드 경보, 로그 예외 경보 등과 같은 기본적인 SNMP 통계 측정을 포함하고 있어야 한다.
RAID 어레이에 있는 드라이브가 고장나고 관리 소프트웨어가 적절히 셋업되지 않을 경우에도 몇 주, 혹은 몇 달 동안 이 사실을 알지 못할 수 있다. 다음 번에 드라이브가 또 고장이 나면 전체 어레이는 복구 불가능해지며, ‘RAID 어레이가 데이터센터에서 죽어버리고 아무도 그 소리를 듣지 못하는 경우에도 데이터를 잃게 되는가?’란 질문에 대한 대답은 말할나위도 없이 예스다.
장비에 관리 콘솔이 있다면 이것을 셋업하기를 새해 목표로 삼아라. 모든 콘솔 기능을 사용하지 않는다 하더라도 뭔가는 사용하고 있을 것이다. 인내심을 가져라. 걷기 전에 먼저 기고 얼마간 성공을 거둔다면 다른 예방 프로젝트는 훨씬 더 잘 정당화할 수 있을 것이다.
SMB 부문에서의 성공에서 우리가 사용했던 다른 툴들은 무료이거나 저렴한 가격으로 구할 수 있는 것들이었다(2만 달러짜리 SNMP 콘솔을 얘기하는 게 아니다). SNMP 모니터링의 경우, 크리켓(cricket.sourceforge.net)이 있다. 크리켓은 무료며, MRTG(Multi Router Traffic Grapher)보다도 더 간단하게 구성이 가능하다. 시간이 부족하거나 설명서를 숙독하고 싶지 않다면 솔라윈즈(SolarWinds)의 1천500달러짜리 네트워크 엔지니어 툴셋(Network Engineer Toolset)이 비교적 저렴하게 구할 수 있는 관리 콘솔이며, 여기에는 멋진 툴들도 함께 제공된다. 솔라윈즈는 또한 최고 100개 네트워크 엘러먼트들을 모니터링할 수 있는 네트워크 모니터링 툴인 오리온(Orion)을 2천달러부터 판매하고 있다. 이 정도면 대부분의 중소기업들에게는 물론 충분할 것이다.
로그 집중화(log centralization)도 또한 오늘날에는 비교적 간단하게 사용할 수 있다. 오픈소스 툴인 스네어(Snare, www.intersectalliance.com)를 이용해 윈도 박스들로부터 정보를 수집한 다음 시스로그 서버를 통해 데이터를 쏘아보내면 된다. 윈도와 기타 운영시스템용의 시스로그 서버들이 무료로, 혹은 저렴한 가격으로 많이 나와 있다(www. kiwisyslog.com).

도움을 요청하라
이러한 관리를 스스로 해결하자니 시간이 부족하고 다른 누군가에게 맡기자니 돈이 부족할 때는 힘들어진다. 2005년을 보다 편안하게 보내고 싶다면 지역의 전문가 조합을 고려해 보라.
전문가 네트워킹은 단순히 사회적 지위향상을 위한 것만이 아니다. ‘컨설트(consults)’를 주고받는 물리학자들처럼, 전문가 네트워크는 조언과 고문을 얻을 수 있는 최고의 소스 가운데 하나다. 어떤 기술이나 방법론을 이행하는 법을 익히려 시간을 보내지 말라. 다른 누군가가 이미 그것을 해보았을 것이다. 왜 같은 일에 쓸데 없는 재투자를 하려 하는가?
마지막으로 관리를 스스로 하든 외부에 맡기든, 정기점검을 할 날을 IT 달력에 표시해 두라. 이 날을 모든 것이 잘 수집하고 있는지와 경보가 적절한 수신함으로 갔는지를 직접 확인하는 ‘소방훈련일’로 생각하라. 참 백업된 데이터는 잘 있는가?
소프트웨어 업데이트(예를 들어 바이러스 방지)도 마찬가지다. 중소기업에서 이것을 그냥 간과해버리는 경우는 너무도 많다. 물론 바이러스 방지 솔루션을 판매하는 영업사원은 최신 상태로 유지하도록 장려받겠지만, 사실 점검을 하지 않는 경향이 많다.
어떠한 서비스 사업자나 업체도 당신을 책임있는 사람으로 보지는 않는다는 사실을 기억하라. 이들은 아주 쉽게 드넓은 초원으로 옮겨갈 수 있으며, 중소기업의 매출 규모로는 누구든 VIP 고객이 될 수가 없다.

관리 사업자들 관리하기
아주 작은 회사에 있는 사람이라면 대신 통계를 추적해 줄 매니지드 서비스 사업자를 꼽아보고 싶을 것이다. AMI 파트너즈에 따르면 미국 중소기업 시장이 773만 개의 회사들로 구성돼 있고, 이들 가운데 직원 수 10명 미만이 75% 이상을 차지하고 있기 때문에, 아마도 위와 같은 경우가 보통의 경우일 것이다. 세 군데 중 한 업체만이 IT 전담 인력이 있으며, 고객은 언제나 외팔이 도배장이보다도 더 바쁘기 마련이다.
하지만 매니지드 서비스 계약을 맺는다고 해서 일이 끝나는 것은 아니다. 어림도 없는 말이다. 네트워크 서비스 계약을 했으면서도 SLA(Service Level Agreements)가 없거나 좋지 못한 SLA를 가진 중소기업들을 무수히 목격해 왔다. 나쁜 SLA란 무엇을 뜻할까? 그것은 바로 일이 잘못되었음에도 서비스 사업자에게 아무런 고통도 주지 못하는 SLA를 말한다.
이런 경우라면 다음번 계약 갱신 때는 강력한 SLA를 정하도록 태도를 바꾸라. 좋은 SLA에 무엇을 포함시켜야 하는지에 대해 잘 아는 직원이 없다면 써드파티에게 도움을 청하는 것도 충분한 가치가 있다. 여기서 한 가지 팁을 주자면, SLA에서는 서비스 사업자에 대한 써드파티의 정기점검을 허용해야 한다. 나의 몇몇 금융쪽 클라이언트들의 경우, 재정 감사자들로부터 매니지드 보안 사업자들에 대해 정기적으로 점검할 사람이 필요하다는 말을 들은 적이 있었다.
반드시 무소식이 희소식인건 아니다. 월별 보고서를 요청해서 편안히 쉴 수 있는 상황인지를 확인하라. 일례를 들자면, 바이러스 침입이 있다는 전화를 받고 나서 확인해 보니, 그 고객은 사업자에게 매달 점검을 하도록 비용을 지불하고 있었다. 하지만 바이러스 콘솔은 어딘가 엉뚱한 곳으로 가고, 패턴은 수 개월동안 업데이트가 되지 않은 상태였다. 서비스 사업자가 언제 마지막으로 점검을 했는지에 대한 기록도 전혀 없었다. 정말이지 감시하는 사람을 감시할 사람이 있어야 한다.

시간제 서비스
서비스 계약 대신 간단히 시간제로 IT 서비스를 이용하고 있는가? 그렇다면 이것은 올해 회사 돈을 많이 지출하게 만드는 사후대응적인 정책이다. 시간제 계약에도 이점은 있지만 정확히 무엇을 얻고 있는지를 알아야 한다. 시간제 사업자들은 정확하게 일을 처리할 만한 동기부여가 되어 있지 않으며, 요금을 더 청구할 구실만 찾을 수 있다.
올해 시간제 서비스를 이용할 계획이라면 예방 대책을 잘 마련해두고 해야 한다. 즉 한 해 동안 얼마나 많은 시간이 필요할지를 미리 협상해서 상당한 요금 할인을 받도록 하라. 게다가 로컬 사업자들로부터 레퍼런스를 받고, 이들의 가격을 서로 비교해 보라. 결국은 회사의 서비스 사업자가 비즈니스에 대한 계획을 세울 수 있기 때문에, 용량 면에서 위험 부담이 적으며 이는 곧 보다 낮은 비용, 그리고 궁극적으로 얼마간의 절감효과로 연결이 된다. 즉 자원을 보다 잘 활용할 수 있으며, 따라서 올해 IT 환경이 보다 풍성해지는 결과를 누릴 수 있게 될 것이다.

사전 예방을 위한 지침

>> 모든 생산 서버, 스위치, 스위치에 있는 중요한 포트, 방화벽 및 라우터용으로 장기적인 SNMP 카운터 베이스라인을 두라.

>> 카운터라인에는 모든 생산장비에 대한 ‘활력 징후(vital signs)’가 포함돼 있어야 하며, 이러한 것들로는 CPU 이용량, 송수신된 총 트래픽양, 에러 수, 메모리 이용량, 페이징 및 하드드라이브 공간 등이 포함된다.

>> 일단 통계를 위한 베이스라인을 확보했으면 그 베이스라인을 넘는 카운터에 대한 경보를 설정하라.

>> 처음부터 시작하라. 즉 낮게 달린 열매를 공략해서 성공 사례를 만들라.

FYI
가트너에 따르면 2008년이면 중소기업 IT 임원뿐만 아니라 IT 프로젝트 팀원의 절반 이상이 전통적인 IT 기술들이 아닌 비즈니스쪽 백그라운드를 주로 갖게 될 것이라고 한다.

FYI
가트너에 따르면 2006년에도 SMB는 여전히 규정 준수를 위한 예산이 약 50% 가까이 부족할 것라고 한다. 이것은 규정 위반, 거래 파트너간 비호환성, 그리고 성능 향상을 위한 기회 상실로 이어질 것이다.

FYI
2006년이면 중소기업의 30%가 ERP, CRM 및 SCM 비즈니스 프로세스들을 하나 이상 지원하기 위해 ASP(Application Service Providers)를 이용할 것이라고 가트너는 밝혔다(2003년에는 10%).