기 도입된 IT 인프라 위험 분석·보완 ‘절실’
상태바
기 도입된 IT 인프라 위험 분석·보완 ‘절실’
  • 데이터넷
  • 승인 2008.05.27 00:00
  • 댓글 0
이 기사를 공유합니다

IT 리스크
기 도입된 IT 인프라 위험 분석·보완 ‘절실’
현명한 IT투자로 효율적 IT 지배구조 완성 … 기술중심 벗어나 비즈니스적 관리 필요

가상화 기술부터 서비스 지향적 아키텍처(SOA) 등 진화하는 신기술은 지금도 미디어에서 봇물처럼 나타나고 있다. 그러나 기업이 정말 고민해야 하는 분야는 기업의 경영목표를 수행해 나가는데 핵심역할을 하는 IT 인프라가 어떠한 리스크를 내재하고 있는지 분석해보는 것이 무엇보다 현명한 일이다.<편집자>

연재순서
1회 : 경쟁력 확보 위한 IT 인프라 진화 전략(이번호)
2회 : IT 리스크 매니지먼트


강재준 // 한국오라클 이사
jaejoon.kang@oracle.com

지난 반세기 동안 정보통신기술(Information Technology)은 눈부신 발전을 거듭해 날이 갈수록 기업의 핵심업무뿐만 아니라 전 영역에 걸쳐서 비즈니스에서 요구되는 전략적으로 중요한 역할을 수행하고 있다. 날이 갈수록 진화해나가는 IT 기술의 기술적 발전 이면에서 한가지 주목해야 할 분야가 바로 IT 리스크 분야이다.
기업활동에 긍정적 도움이 되고자 투자하는 기업의 입장에서는 더 편하고 빠르며 우수한 IT기술을 확보하고 있다는 사실은 분명 경쟁업체보다 한발 앞서나간다는 우월감을 가질 수 있으나 만약 최고의 기술로 구현된 비즈니스 프로세스가 뜻하지 않은 형태로 사용되거나 실행에 실패하게 돼 원래의 기업목적대로 사용되지 않을 가능성이 있다는 사실을 생각하면 그 결과는 불을 보듯 명확할 것이다. 또한 이런 가정이 현실화된다면 그 문제는 더 이상 IT 부서나 데이터센터에만 국한되는 것은 아닐 것이다.

사례로 보는 IT 리스크

1. 콤에어 가용성 위험
콤에어(Comair)는 미국의 유명한 델타항공의 자회사로 2004년 12월 24일 갑자기 승무원 스케줄링시스템이 작동을 멈추는 사고가 발생한다. 항공회사의 승무원 스케줄링 시스템은 핵심 주요 시스템에 해당된다. 미국 항공운항 및 안전규정에 의하면 안전상 승무원이 24시간 동안 일할 수 있는 최대 시간을 정해두고 관리하도록 하고 있다. 승무원 스케줄링 시스템은 이러한 규정을 준수하는지를 보장해주는 시스템이었다. 크리스마스 연휴를 맞이해 12월 22일부터 24일은 승객이 몰리는 기간이기도 했으나 기후가 좋지 않았기 때문에 그 기간동안 비행기의 운항일정이 빈번히 재조정됐다.
하지만 외부사업자에 의해 도입된 이 승무원 스케줄링 시스템은 콤에어에서는 알지 못하는 치명적인 결함이 있었는데 그것은 한 달에 최대 3만2천건 이상의 운항계획 변경을 하지 못하는 한계가 있었다. 12월 24시 저녁 10시 운항계획 변경을 하자 시스템은 갑자기 동작을 멈추고 말았다.
시스템이 동작을 멈추자 콤에어의 IT 기술 지원 팀은 즉각 대응을 했으나 간단히 시스템을 재작동 시키기가 어렵다는 사실을 알게 된다. 그 이후로 만 하루 뒤 25일 저녁 콤에어 기술팀은 초기 상태에서 시스템을 다시 복구해 작동하게 하지만 29일이 되서야 미국전역으로 흩어진 승무원과 비행기를 추적해 정상적인 비즈니스 운영을 하게 된다.
그 기간 동안 크리스마스 연휴에 각 공항에서 우왕좌왕하는 콤에어의 승객들을 촬영한 방송사의 영상들이 미국 전역에 방송되고 그 후 2주뒤 미국 교통부 장관이 사건의 진상조사를 명령한다. 일주일 후 콤에어의 CEO인 랜디 라데마셔(Randy Rademacher)는 사임하게 된다. 회사의 명성에 큰 타격을 입었을 뿐 아니라 전분기의 운영이익에 해당하는 금액을 한번의 사고로 날려버리는 결과를 초래한다.
콤에어는 사실 이 사고가 발생하기 이전에 새로운 시스템을 도입하려는 기회가 있었으나 기 발생빈도가 매우 낮다는 이유로 시스템 도입을 미루고 있었다. 사고 발생시 백업시스템이 작동하게 한다거나 외부인력들이 즉시 투입돼 시스템을 정상화하는 계획 및 수동으로 스케줄링을 하게끔 하는 대비가 전혀 돼 있지 않았던 것이다. 즉 비즈니스의 핵심 업무를 수행하는 IT 시스템을 비즈니스의 핵심 프로세스로 인식하거나 이해하지 못하고 기업의 주요 위험으로 대비가 없었다는 것이다. 이런 이유로 사고의 책임을 진 사람은 CIO가 아닌 CEO가 됐던 것이다.

2. 텍트로닉스의 민첩성
앞의 예에서 본 경우는 가용성 측면에서 내재돼 있는 IT 리스크의 사례이다. 이번 경우에는 민첩성(Agility)의 경우인데 비용과 리스크의 통제적 측면에서 빠르게 대응하는가 하는 것과 관련이 있다. 1990년대 중반 전자제품 제조 회사인 텍트로닉스(Tektronix)는 여러 가지 심각한 문제에 봉착하고 있었다. 재무와 생산관리 프로세스 같은 핵심 비즈니스 영역을 지원하는 시스템들은 문서화 돼 있지 않아 서로 의존적으로 존재했었다.
추가적인 업무를 다른 비즈니스 부서에서 요구하면 개발하려면 기존 의존적 시스템을 복제해 또 다른 시스템을 추가해 기능을 추가하는 악순환이 지속됐다. 그런 과정에서 기업에 핵심 기빌 같은 데이터도 무의식적으로 복제돼 보안상으로도 중대한 위험이 존재했다. 결과적으로 시스템들을 기하 급수적으로 늘어 나고 보안상으로도 매우 취약한 상태였으며 시스템을 지원하는 인력들도 자연적으로 증가하는 상황에 봉착하게 됐다. 이런 상황은 기업입장에서 전략적 결정을 내리는데 점점 깊은 딜레마에 빠져들게 된다.
텍트로닉스가 오랫동안 추구했던 전략은 비즈니스에서 요구하는 기능들이 있을 경우 기존시스템을 확장해 내부적으로 개발하는 방식을 채택했던 것인데, 이렇게 새롭게 추가된 기능이나 솔루션들은 단기간의 이득을 위해서 전략적으로 유연성을 희생하는 결과로 이어졌다. 물론 회사의 중역들은 이런 사실을 감지 못하고 있었으며 시간이 갈수록 간단한 요구에서 IT부서에서 대응하는 시간이 오래 걸리고 원하는 결과가 부정확하거나 지체돼 실행되는 상황이 여러 차례 발생하자 그 불만이 점점 고조되고 있었다.
비즈니스 매니저들은 IT 지원부서의 지원업무가 형편없어진다고 불만을 토로했지만 IT 메니저들은 그런 요구사항에 대응하기가 더 힘들어진다고 생각했었다.
이런 민첩성에 관련된 IT 리스크 측면에서의 위험은 그 파급효과가 유용성 문제에서 파생되는 효과보다 그 위험의 정도가 크지는 않다. 하지만 성장하는 기업의 효과적인 IT지원과 그로 파생되는 가치를 생각 할 때 그 의미는 상당히 중요하다.

3. 그 밖의 사례들
금융권에서 내부통제와 업무권한의 배타적 적용에 실패한 예들은 무수히 많다. IT 시스템에 대한 적절한 권한 분석이 업무통제시스템 구축의 미비함과 맞물려 불건전한 행동을 하는 직원을 견제하는 기능의 부제로 기업의 존폐를 위협하는 결과로 나타나기도 한다. 주로 금융권에 적용되는 사례이지만 일반 기업에서도 정상적으로 작동하여야 할 시스템의 오 동작 이면에는 시스템을 사용하는 사용자의 의도를 통제하는 장치가 결여되기가 쉽다.

· 카드결제 시스템에 불법적으로 접근해 카드 가입자의 정보를 취득하는 사고는 용이하게 접하는 내용이다. 개인정보보호 및 여러 가지 규정에 부합하지 않는 이런 사례들은 향후에 커다란 비즈니스적 위험으로 변하는 경우다.
· 잘못 구현된 ERP 시스템의 결과는 아마도 최악의 결과를 낳기도 한다. 재무보고 및 핵심업무의 처리과정에서 발생하는 오류들은 결과적으로 회사를 도산하게 만들며 기업과 벤더들간의 법정공방으로 막을 내리는 결과로 이어진다.

위의 여러 가지 사례들이 암시하는 점은 아주 명확하다. 비즈니스 환경이 아주 복잡하게 변화하는 과정에서 적지않게 투자된 부분은 더 이상 IT의 기술 시스템이 아니라 비즈니스 핵심 프로세스의 근간을 이루는 핵심부분이라는 사실이다. 기업이 주의해야 하는 부분은 바로 핵심 비즈니스 프로세스가 IT적으로 유연하게 구현되도록 노력을 기울여야 한다는 점이다. 또한 비즈니스 위험과 IT 위험의 연결고리는 주의 깊게 관찰하고 전략을 수립해 이행되도록 해야 한다. 위의 사례에서 나타나는 공통적 인자들을 추출하면 다음과 같다.

· IT시스템이 작동하지 않거나 통제능력을 상실하게 되면 기업의 내외적 인자로 인하여 발생되는 결과는 상상을 초월하게 된다.
· 이러한 위험들이 대중에게 알려지게 됐을 때 나타날 수 있는 기업 이미지 상실과 규제당국의 조치들은 처음 생각했던 경제적인 상실금액보다 엄청나게 큰 피해를 줄 수 있다.
· IT 리스크를 적절히 관리하지 않은 결과는 궁극적으로 경영층의 관리부제에 따른 결과이며 IT관리만의 문제는 아니라는 것이다.

그러면 기업에 내재되어 있는 IT 리스크를 유발하는 원인은 무엇일까? 먼저 IT 리스크로 인해 기업에 심각한 위험으로 발생된 선행 사례들을 분석해 그 원인을 찾고 대응책을 찾아보면 현재 심각한 위험이 발생하지는 않았지만 미리 대비하려는 기업들에게는 좋은 교훈을 줄 것이며 그에 대응하는 대응전략을 마련해 실행하는 것은 큰 의미가 있을 것이다. 더욱이 이 대응전략은 본 기사의 주제인 ‘경쟁력 확보를 위한 IT 인프라의 진화 전략’과 어느 정도 일맥 상통하리라 생각된다.

IT리스크 유발 원인
그럼 IT 리스크를 유발하는 원인을 보기로 하자. 연구결과에 의하면 심각한 위험을 주는 IT 리스크는 단순한 기술적인 요인에 의하지 않고 기업의 기술에 대한 전사적인 통찰력과 거버넌스 프로세스의 결여에 기인한다.
작은 위험들이 일련의 작은 업무를 구성하는 시스템의 오동적으로 발생되며 복잡하게 얽혀있는 IT 자산들은 비효율적 IT 지배구조, 비통제적인 복잡성, 그리고 리스크에 관심을 기울이지 않는 문화에 의해 그 심각성이 더해진다. 이는 다른 각도에서 보면 IT 리스크는 사소하게 생각됐던 IT상의 비즈니스 프로세스들이 반복적으로 실패해 기업 입장에서 큰 재난으로 나타난다는 것을 말하고 있다.

비효율적인 IT 지배구조
기업이 처하게 되는 중요한 위험인자 중의 하나는 비효율적인 IT 지배구조의 증상이다. 부적절한 IT 지배구조 즉 IT 투자와 IT와 관련된 중요 사항을 결정할 때 비즈니스의 관리자들이 적절한 형태로 관여하지 않는다면 다음과 같은 사항으로 귀결된다.

· 지역적으로 최적화된 결정은 전사적 차원에서의 리스크를 양성해낸다. 전통적으로 IT조직은 비즈니스 조직의 리포팅 라인에 부합하는 조직을 이루고 있으며 각 사업부서에서 요구하는 사항들을 가능하면 빠르게 대응하려고 노력하고 있다. 이러한 사실은 전사적 관점에서 볼 때 IT의 방향성을 무시하는 형태로 나타나기 쉬우며 위의 텍트로닉스의 사례에서도 볼 수 있듯이 전사적 민첩성을 위한 노력에 역행하는 경우가 많다.
· 비즈니스의 개입 없이 진행되는 IT결정들은 IT 매니저들이 부정확하고 부적절하게 판단해 비즈니스에 중요한 위험 요소들을 배제하게 되는 결과를 낳게 된다.

급변하는 비즈니스 환경에서 시장상황과 경쟁자의 전략 그리고 그에 부합하는 기업전략의 변화가 빈번하게 일어나고 있는 현대의 기업환경에서 핵심 역할을 해야 하는 IT조직이 민첩하게 비즈니스와 상호협조를 이루지 못한다면 정작 중요시 해야 할 위험요소에는 등한시하고 엉뚱한 곳에 집중해 비용을 소모하게 되는 결과가 나타나게 된다.
현 극심한 경쟁상황에서 기업이 취해야 할 전략 중에 가장 우선 순위를 둬야 하는 것은 다름아닌 효과적인 IT 지배구조를 구축해 빠르게 변화하는 전략적 변경사항을 즉시에 반영할 수 있는 관리 구조와 기술 아키텍처를 유지해야 한다.

통제되지 않고 있는 복잡성
IT 인프라가 복잡하게 얽혀있다는 사실이 단순한 구조보다 기업이 더 위험에 처해 있다는 사실이 항상 진실은 아니다. 지난 수십 년 동안 기술적으로 몇 배로 복잡해진 자동차의 구조가 수십 년 전에 나온 자동차보다 더 안전하지 않다는 말을 할 수 없는 것과 같은 것이다. 진실은 통제되고 제어되지 않는 구조를 가지고 있다면 복잡성은 많은 위험을 내포하게 된다는 사실이다.

리스크에 주의를 기울이지 않음
간과 하기 쉬운 운영상에 발생하는 운영 리스크도 궁극적으로 중요한 인자가 된다. 이런 증상들은 다음과 같다.

· 부적절한 지식과 지식의 부재 - 인적자원의 적절한 관리가 위험요소 중 중요한 역할을 한다는 사실을 간과하기 쉽다. 경험 있는 내부직원의 잦은 이탈과 외부 아웃소싱의 의존도가 지나치게 높은 것도 위험요소를 증가 시킨다. 내부역량의 강화가 핵심역할을 차지한다.
· 부적절한 인프라 관리 - 부적절한 장비의 관리 및 관리부재, 오래된 기술에 의존하는 인프라, 더 이상 지원되지 않은 기술에 의존하는 것 등은 향후 높은 비용지불을 해야 하며 오 동작으로부터 회복하는데 더욱 많은 시간을 필요로 한다.
· 내부직원의 무지함, 무시, 태만 - 보안이나 프라이버시(Privacy)와 같은 중요한 사안에 대한 무지나 규정무시, 태만과 같은 사항은 기업의 핵심 프로세스가 실패할 확률을 높이며 높은 위험에 처하게 한다.
· 위험 행위 및 위반사항을 감지하는데 실패하는 시스템 - 핵심 프로세스를 수행하는 업무에는 그 중요도와 부합하는 통제 시스템을 구현하게 된다. 이런 통제개념이 전혀 구현되지 않거나 구현돼도 자동화되지 않는다면 각각의 프로세스가 원래의 의도대로 처리되는지 보장될 수 없다.

위의 사항을 정리해보면 다음과 같다. 즉 아주 기술적으로 훌륭한 IT인력을 보유하는 것만으로는 IT 리스크를 통제하기에는 충분하지 않다. 지금껏 해왔던 기술중심의 접근에서 한걸음 더 나아가 비즈니스적 선상에서 IT 리스크를 관리하려는 노력과 전략이 필요한 시점이다. 이런 관점에서 현재 CIO가 수행해야 할 업무 중 가장 중요한 사항이 바로 이런 전략을 수립해 추진해나가고 더욱이 비즈니스의 최고 의사 결정자들과 원활히 의견을 교환해 전사적 차원에서 대처해 나가야 한다는 것이다.

결론
우리는 지난 몇 년 동안 IT의 여러 가지 기술의 진보에 따르는 큰 물결을 넘어 변화의 트렌드를 경험해왔다. 기술적 측면을 강조한 진화는 이제 기업이 고민 했던 원래의 문제에 충실 답했는지를 제고 해봐야 할 시점이고 비즈니스 가치 창출에 기여했는지는 IT에 관여하는 모든 이들이 깊게 생각해 봐야 하는 문제이다.
다행스러운 사실은 앞서 나가는 많은 기업들이 이런 문제에 눈을 뜨기 시작했다는 점이다. 무분별한 IT 투자 대신 정확하게 비즈니스적 가치증명을 할 수 있는 투자에 우선순위를 두며 실행하고 있으며 특히 리스크를 줄이는 분야에서는 더욱 적극적인 모습을 보여줘 다행인 것 같다.
경쟁력 확보를 위한 IT 인프라 진화전략에 반드시 필요한 부분은 기 도입된 IT 인프라의 내재된 위험을 정확히 분석해 보완해 나가고 그와 부합하는 현명한 IT투자를 실행해 효율적인 IT 지배구조를 완성해나가는 모습을 이뤄나갔으면 한다. 다음 호에서는 IT 리스크 매니지먼트에 대해서 구체적으로 알아본다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.