이는 시만텍(www.symantec.co.kr)이 발표한 보소서에서 지적된 사항이다. 시만텍은 ‘시만텍 IT 리스크 관리 보고서(Symantec IT Risk Management Report)’ 제2호를 발표하고, 성공적인 IT 리스크 관리를 위해 피해야 할 오해에 대해 적시했다. 이 보고서는 경영진들이 IT 리스크 관리를 통해 비즈니스 리스크를 최소화 할 수 있도록 지원하기 위해 시만텍이 발표하는 연례 보고서로 2007년 2월 제1호가 발표된 바 있다. 전세계 IT 전문가와 400건 이상의 심층 인터뷰를 통해 작성된 이번 제2호 보고서는 IT 리스크 관련 주요 이슈, 동향을 제시하는 것은 물론 IT 리스크에 대한 일반적인 오해를 분석하고 없애는데 초점을 맞추고 있다.
시만텍이 보고서를 통해 제시한 IT 리스크 관리에 대한 오해는 ▲IT 리스크 관리는 IT 보안과 동일하다 ▲IT 리스크 관리는 주기적으로 수행하는 단기 프로젝트다 ▲대부분의 IT 리스크 관리 과제는 기술만으로 해결 가능하다 ▲IT 리스크 관리에는 시간, 지역, 비즈니스 환경에 관계 없이 동일한 원칙이 적용된다 등이다. 시만텍은 IT 리스크 관리의 중요성에 대한 인식은 높아지고 있지만 이러한 잘못된 통념으로 인해 리스크 관리에 실패하는 사례가 발생할 수 있으며, IT 리스크 관리에 대한 오해가 IT 시스템의 실패는 물론 전체 비즈니스의 연속성에까지 악영향을 끼칠 수 있다고 지적했다. 또 데이터 유출 사고의 빈도에 대한 인식이 부족으로 IT 사고의 53%가 프로세스의 문제로 인해 발생한다는 점도 경고했다.
시만텍 IT 리스크 관리 보고서 제2호는 특정 산업의 IT 리스크 관리 현황도 함께 조명했는데 이에 따르면, 의료 산업군의 응답자들이 다른 산업군에 비해 가장 많은 IT 사고를 예상하고 있는 것으로 나타났다. 의료 산업 특유의 복잡성이나 다루는 정보의 기밀성, 강력한 컴플라이언스 요구 사항을 고려했을 때 이는 매우 우려되는 상황이라고 할 수 있다.
통신 산업은 기업 전체에 IT 리스크 관리 제어 시스템을 도입하는 비율이 가장 높았으며, 은행 및 금융 서비스 산업이 근소한 차로 그 뒤를 이었다. 통신 및 금융 산업의 이러한 성공적인 IT 리스크 관리 시스템 적용은 이 두 산업군에서 확대되고 있는 거버넌스 및 컴플라이언스 요구와 개인 정보 보호에 대한 우려가 원인인 것으로 시만텍 측은 분석했다.
데이비드 톰슨(David Thompson) 시만텍 정보 기술 및 서비스 그룹 사장은 “’시만텍 IT 리스크 관리 보고서’ 제 2호는 실행 가능한 조언과 베스트 프랙티스를 통해 IT 전문가들과 기업 경영진들에게 무엇이 효과적인 IT 리스크 관리 방법인지에 대한 그 무엇과도 비교할 수 없는 통찰력을 제시한다”면서 “IT 리스크 관리 방법에 대한 이해는 기업들이 안심하고 리스크에 대응하고 IT 를 통해 비즈니스 경쟁력을 확보할 수 있는 힘이 된다”고 말했다.
‘시만텍 IT 리스크 관리 보고서‘ 제 2호의 전체 원문은 웹 페이지(www.symantec.com/business/theme.jsp?themeid=inform)에서 확인할 수 있다. <오현식 기자>
