새로운 산업 및 정부 규정들이 우후죽순으로 생겨나고 있는 이때에는 아무리 준비가 잘 된 IT 조직이라 하더라도 수세에 몰린다. 우리는 모두 규정 준수의 난관에서 벗어나 있을 수 있는 최선의 방책은 위협을 처리할 수 있는 포괄적인 정책을 개발하는 일이라는 사실을 잘 알고 있다. 하지만, 이것은 말보다 행동이 훨씬 힘든 일이기도 하다. 선택할 수 있는 옵션으로는 과연 어떤 것들이 있을까.

특정 규정을 준수하는 방식에 대해 다루고 있는 글들은 많지만, 여전히 FUD(Fear:Uncertainty and Daubt)가 팽배해 있다. 컨설턴트들은 정책 및 프로시저 애플리케이션(원래 문서 관리 소프트웨어에 정책을 고려한 것) 제조업체들과 마찬가지로 이러한 FUD로 먹고 살아간다. 모든 업체가 자사 제품이 규정자의 편에서 걸을 수 있게 해주는 마법의 총탄이라며 설득하고 있다.
우선, 어떠한 애플리케이션, 컨설턴트, 산업 그룹 혹은 잡지의 기사도 규정 준수 정책에 대한 필요를 충족시켜 줄 수는 없다는 사실을 먼저 인정하고 넘어가자. 그 이유는 간단히 말해 외부인은 결코 그 조직만이 갖고 있는 미묘한 차이를 포착할 수 없기 때문이다. 여기서는 정책 이니시어티브를 어떻게 시작할 것인지에 알아보기로 하자.
포괄적인 정책 세트를 구축하고, 업계 프레임워크를 효과적으로 사용하는 데 필요한 위험 관리 방안을 취할 수 있는 능력은 IT 전문가가 원래부터 갖고 있는 것은 아니겠지만, 갖추고 있으면 유리하고 잘 먹히는 기술이 될 수도 있다. 샐러리닷컴(Salary.com)에서는 미국 회사의 규정 준수 책임자의 평균 연봉을 9만9천88달러로 잡았으며, 가트너 조사에서는 75%의 조직에서 최소한 한 사람의 IT 인원이 규정 준수 관리를 전담하고 있는 것으로 나타났다. 그리고 76%의 회사에서 임원급의 규정 준수 담당 기관이나 거버넌스(governance) 위원회를 두고 있다.
안하는 것보다는 하는 게 낫다
HIPAA, GLBA(Graham-Leach Bliley Act), SOX (Sarbanes-Oxley) … 이 모두는 이미 IT에서 규정 준수에서가 무엇을 의미하는지에 대해 확실히 파악하기 시작했을 정도로 충분히 오래 된 것들이다. 그리고 이런 동향을 이끄는 것은 정부들만이 아니다. 가장 최근의 정책 주도자 가운데 하나로 PCI(Payment Card Industry)의 데이터 시큐리티 스탠다드(Data Secutiry Standard)를 들 수 있다.
랙스페이스(RackSpack)의 보안 이사인 조 파일러는 “대부분의 회사들은 정부 규정보다도 PCI에 더 많은 신경을 쓰고 있다”며, “신용 카드를 갖게 될 수 있다”고 말했다.
하지만 아직 한동안 프로세스와 정책을 업데이트하지 않았다면 어디서부터 시작할지 알아내는 것도 보통 일이 아니다. 규정 주도 기관에서 다루고 있는 분야는 방대하고 다양하기 때문이다. 이것이 바로 위험 관리와 우선순위가 필요한 이유기도 하다. 즉 적절히 선택되고, 다듬어지고, 제정되고, 시행되는 정책에 의해 신속히 현실화될 수 있는, 낮게 매달린 열매를 골라내는 작업과, 회사에 어떤 위협이 가장 큰 위험을 불러올 것인지를 평가하는 작업이 필요하다는 얘기다.
물론 좋은 정책은 규정이 지시하는 것 이상의 혜택을 가져다 준다. 예를 들어 인프라 업그레이드에 엔드유저 트랜잭션 시뮬레이팅이 뒤따르도록 지정한 정책은 사용자가 인식하는 최종 가동시간에 좋은 영향을 미칠 것이다. DNA에 감각적이고 효과적인 프로세스와 정책이 구축된 조직에서는 비즈니스를 잘 지원할 확률이 높으며, 경쟁에서 뒤쳐지거나 아웃소싱이 될 위험이 줄어든다. 종이에서 사람에게로 정책을 어떻게 옮길 것인가의 문제는 <박스: 내게는 과연 어떤 의미가 있는가>에서 보다 자세히 언급하고 있다.

외부의 도움
다양한 업계 연합에서 모아 둔 베스트 프랙티스 프레임워크는 포괄적인 지침을 확보할 수 있는 좋은 수단이 된다. 이들은 그럴 마음만 있다면 코끼리를 한 번에 한 입씩 떼어먹게 해줄 수 있는, 핵심 기능 부문에 대한 지도들이라고 할 수 있다.
좋은 예로는 ITIL(IT Infrastructure Library), ISO177 99 및 COBIT(Control Objectives for Information and Related Technology)을 들 수 있다. 이들 중 어떤 것도 무료는 아니지만, 시작하기에 충분할 만큼 상세히 설명해 주고 있는 100달러 아래 책들이 많다.
예를 들어 ITIL은 IT 서비스 전달 및 지원을 ‘프론트 룸(front room)’ 대 ‘백 룸(back room)’ 프로세스로 나눴다. ITIL에서는 ‘서비스 지원’을 IT에서 사용자와 상호 작동하는 방식인 데 비해 ‘서비스 전달’은 IT에서 인프라를 관리하는 방식이라고 정의했다.
부서나 조직에 대한 각각의 기능 부문을 검토함으로써 위험 수위에 대해 팀과 브레인스토밍을 시작한 다음, 어떤 것에 정책이 만들어져야 하는지에 대해 타깃을 정할 수 있다. 프레임워크 범주를 기반으로 스스로에게 점수를 매기기를 권하는 바다. 즉, 서비스 데스크 부문에서 잘 해냈고, 사실 대부분의 프론트 룸 프로세스가 80% 이상이 되겠지만, 변화 관리 부문에서는 도움이 필요하다는 사실을 알고 있을 것이다. 회사의 인프라 팀은 네트워크에 마구잡이식으로 변화를 이행하며, 이것은 가끔씩 다운타임을 야기하거나 조직을 위험에 빠트리기도 한다.
ISO 17799 보안 프레임워크는 하나의 백본으로 설명되고 있다. 한 금융기관의 보안 매니저는 “이것은 우리가 부족한 부분이 어딘지, 어디를 손을 봐야 하는지를 설명해 준다”며, “이런 프레임워크를 중심으로 구축을 하는 게 정말이지 효과적이라고 생각하는데, 그 이유는 이것이 모든 업계의 모든 규정 준수 필요조건을 아우를 뿐만 아니라 회사에 맞춤화를 시킬 수도 있기 때문”이라고 설명했다.
업체 중립적인 IT 서비스 및 지원 그룹인 헬프 데스크 인스티튜트(Help Desk Institute)의 창립자 겸 CEO인 론 문스(Ron Muns)는 서드파티 프레임워크에 정책 플래닝의 기반을 둠으로써 인원 변동에 따른 혼란도 줄일 수 있다고 말했다. 새로 오는 모든 IT 관리자들은 조직에 사용자의 표시를 남기고 싶어하지만, 새 CIO가 업체들과의 ‘SLA’ 협정을 명할 경우 커뮤니케이션이 힘들며, 직원와 정책은 ‘운영 수준 협정(Operational Level Agreements)’과 관련이 있다. 이러한 공용어 문제는 우리와 얘기해 본 임원들도 공감하고 있었다.
랙스페이스의 CTO인 존 인게이츠는 “ITIL은 점점 더 유용해지고 있는데, 그 이유는 이것이 우리로 하여금 같은 언어로 커뮤니케이션을 할 수 있게 해주기 때문”이라며, “보안과 규정 준수는 다른 직원들에게는 외국어가 될 수 있으며, 공통의 프레임워크를 갖는 게 모든 사람들을 한 줄로 맞추는 데 큰 도움이 된다”고 말했다.

사이렌의 노래
정책 및 프로시저 소프트웨어를 구입하는 데, 심지어 정책 개발 아웃소싱에까지도 많은 관심들이 모아지고 있다. IDS의 파워DMS나 폴리시 테크놀로지(Policy Technology)의 폴리시 앤 프로시저 매니저(Policy and Procedure Manager) 같은 툴들은 원래 문서 관리 및 워크플로 제품들로서 테스트하기에 비교적 저렴한 좋은 제품들이다. 문서의 구조화된 관리를 제공하는 폴리시 테크놀로지의 제품은 사용자당 1천95달러며 연간 197달러가 추가된다. 하지만 역시 마법의 총탄은 존재하지 않는다.
정책 및 프로시저용으로 만들어진 문서 관리 소프트웨어를 선택하든 아니든 조직의 잠재적인 위험과 이점에 대한 평가는 반드시 해야 하며, 그런 다음 정책을 만들고 편집해야 한다. 물론 정책 및 프로시저 소프트웨어는 문서 승인을 잘 집중화시켜 주겠지만, 이것은 무료 위키(Wiki)도 할 수 있는 일이다. 당신의 회사용으로 ‘완벽한’ 템플릿이 많다고 주장하는 소프트웨어는 의심해 보아야 한다.
미국 제1연합 신용조합(United First Federal Credit Union)의 IT 부사장인 짐 케네디는 “정치와 마찬가지로 모든 정책은 로컬”이라며, “이들은 잘해야 지침의 역할을 할 뿐이다. 나는 실제 정책을 만들기 이전에 [정책 및 프로시저 애플리케이션]을 백그라운드 브리핑용으로 사용한다”고 밝혔다. 우리가 케네디와 얘기했을 때는 그가 막 금융기관의 장애 복구 정책 세트의 최종 버전 수정 작업을 끝냈을 때였으며, 그는 “모든 사람이 쓰나미 대비안을 마련해야 할 필요는 없다”며, 중부 지역 지사들이 대면한 위험이 연안 지역의 위험과는 다른 예를 들었다.
대략적인 규정 준수를 위해서는 호스팅 서비스 사업자가 관여할 수 있다. 랙스페이스의 인게이츠는 “많은 중소기업들은 자체적으로 보안, 혹은 규정 준수 조직을 만들 만한 여유가 없다. 이들은 이것을 할 수 있는 재정적, 혹은 인적 자원이 부족하기 때문에 서드파티를 찾게 된다”고 설명했다.
사업자와 함께 할 경우에는 파라미터들을 확실히 해야 한다. 기사를 위해 만나 본 호스팅 사업자인 랙스페이스 조차도 그 서비스가 만병 통치약이 아님을 인정했다.
파일러는 “보안 인터페이스의 관점에서 볼 때 호스팅 회사 대 고객의 책임이 끝나고 시작되는 곳을 정하는 게 중요하다”며, “이것은 가장 힘든 일 가운데 하난데, 그 이유는 전체 비즈니스를 살펴봐야 하기 때문”이라고 말했다. 번역하자면, 조직의 규정 준수에 대해 궁극적인 책임은 당신에게 있다는 얘기다.
외부의 도움을 들여오고자 결정했다면 회사가 속한 업계에 대한 깊은 경험을 갖춘 컨설턴트를 선택해야 한다. 지금은 회사의 비즈니스 정책 필요조건에 대한 전문가가 되기 위해 누군가 현장에서 경험을 쌓으며 시험적으로 해볼 수 있는 그런 때가 아니다.

내게는 과연 어떤 의미가 있는가?
엔터프라이즈 IT에서 시간을 보내 본 사람이면 누구나 알겠지만, 경영진의 지지를 확보하는 일은 시작에 불과하다. 엔드유저의 마음을 얻지 못하면 정책은 생선 포장에나 쓰여질 것이기 때문이다.
정책이 개발할 필요가 있는 충분히 중요한 것이라면, 왜 이것을 사람들에게 직접 말하지 않는가? 데이터 센터 밖으로 나가서 직원들에게 정책을 설명하라. 물론 이것은 자원 집약적인 일이긴 하지만, 긴급함을 알리고 역동적인 질문 대답 세션을 가능하게 해준다.
직원을 프로세스에 동참시키고, 말이 아닌 행동으로 직접 보여줌으로써 바이 인(buy-in)도 또한 늘어날 수 있다. 정책에 대한 엔드유저의 생각을 듣고, 감각적인 아이디어를 채택하고, 그럴 만한 곳에는 크레디트를 제공하는 것이다. 실제로 많은 회사에서 프로세서나 효율성을 향상시키는 아이디어를 이행하는 데 대해 금전적 보너스를 제공하는 포상 프로그램을 실시하고 있다.
하지만 이것은 단순히 직원들에게 포상을 하는 차원만은 아니며, 정책을 이들 자신의 이익과 직접 연관을 시키는 차원이기도 하다.
랙스페이스의 보안 이사인 조 파일러는 “실제로 먹히는 생각은, ‘이것이 내게 어떤 의미가 있는가?'”라며, “관리적인 목표를 직원에게 가는 혜택으로 번역해 내는 게 중요하다”고 강조했다.
예를 들어 패스워드 정책의 경우, 사용자에게 취약한 패스워드는 이들의 작업 계정에 위장 잠입할 수 있는 가능성을 열어주는 일이라는 점을 상기시켜야 한다. 정책에서 마지막으로 가면서 직원들과의 피드백을 계속 염두에 두어야 하며, 중요한 마인드셰어(mindshare)를 얻을 수 있도록 기꺼이 조정해 나가야 한다. 이를 통해 그릇된 보안 감각을 피할 수 있으며, 노력한 만큼의 가치를 충분히 얻을 수 있을 것이다. 아무도 따르지 않는 좋지 못한 정책은 오히려 없는 것만 못하다.

데이터넷 관리자