현업-IT 상생’을 위한 기술 위험 접근법

그러나 CIO나 IT의 완고한 태도만 문제 원인인 경우는 그리 많지 않다. 진짜 원인은 현실적이고 균형 잡힌 위험 평가 및 의사 결정 시스템이 없기 때문인 경우가 대부분이다.

가트너 애널리스트 제이 하이저는 현업에서 새로운 SaaS 제품을 쓰고 하는 경우 IT는 이 제품이 안전하게 사용할 수 있는 것인지를 판단해달라는 요청을 받는 경우 벌어지는 우스꽝스러운 상황에 대해 설명했다.

그는 “IT는 만일의 사고 상황에 대비하기 위해 계약 조항을 변경하려 든다. 그러나 이러한 제품은 수만 명의 고객사를 거느린 기업이 일괄적으로 공급하는 제품이다. 협상의 여지가 거의 없다”라고 말했다.

즉 보안을 보장할 수 있는 방법이 없어진다. 이에 따라 IT 부문은 승인을 거부하는 행동을 취하게 된다. 그리고 IT 부문은 다시 ‘꿈을 죽이는 곳’으로 인식된다.

이러한 상황을 바꾸기 위해서는 현업이 IT와 공조하는 방안에 대해 진지하게 재고할 필요가 있다. 쉽지 않은 일이다. 그러나 다음과 같은 가이드라인들이 있다.

1. CIO 홀로 곤경에 빠지지 않도록 하라
CIO들과 기술 위험을 주제로 이야기를 나누다 보면 한 회사의 이름이 튀어나오기 십상이다. 바로 타깃(Target)이다. 타깃은 12월과 1월에 1억 1,000만 개의 신용카드와 관련된 데이터 침해 사고가 알려지면서 큰 곤경에 빠졌던 소매업체다. 사태가 진정되고, 소송이 제기되면서 누구나 예상을 할 수 있는 상황이 발생했다. 베스 제이콥스(Beth Jacobs) CIO가 사직서를 제출한 것이다.

제이콥스는 CIO의 평균 임기인 약 6년에 해당하는 기간 동안 타깃에서 CIO로 재직했었다. 그러나 6년이라는 숫자는 큰 의미가 없다. 그 이면에 더 어두운 진실이 도사리고 있기 때문이다.

대다수 CIO들은 큰 기술 사고가 발생하면 CIO 자리를 잃을 것이라고 생각한다. 가트너의 조사 담당 부사장인 제이 하이저는 “제이콥스가 일을 잘했던 CIO일 수도, 그렇지 못한 CIO일 수도 있다. 그러나 어느 쪽이든 해고를 당했다. 현실적으로 사고가 발생하면 ‘희생양’을 찾아야 하기 때문이다”라고 말했다.

그는 이어 CIO들이 이런 현실에 직면해있다는 점을 감안하면, 이들이 아주 보수적인 의사결정을 내리는 이유를 쉽게 이해할 수 있다고 덧붙였다.

한 CIO는 이와 관련, “우리는 전 시스템을 암호화하고, 정기적으로 감사를 실시하고 있다. 보안 침해 사고가 없도록 최선을 다하고 있다. 그러나 타깃의 CIO처럼 CIO로 오래 재직하다 보면 ‘비난의 대상’이 될 상황이 발생하기 마련이다”라고 말했다.

2. 잘못된 질문을 묻지 않는다
하이저는 “가트너의 고객들은 어떤 클라우드 시스템이 안전한지 또는 그렇지 않은지 등을 묻곤 한다. 즉 단정적인 대답을 요구하는 질문을 많이 제기한다. 그러나 이는 잘못된 질문이자 대답이다”라고 말했다.

완벽하게 안전한 시스템은 없다. 뉴욕에 본사를 둔 광고 대행사인 커센바움 본드 세네칼 플러스 파트너스(Kirshenbaum Bond Senecal + Partners)의 매트 파웰 CIO는 “골키퍼는 언젠가는 골을 허용할 수밖에 없다. 언젠가는 이런 식으로 문제가 발생한다. 결국 상대적인 위험에 초점을 맞춰야 한다”고 말했다.

파웰에 따르면, NSA(National Security Agency)는 모든 시스템에서 보안 사고가 발생할 수 있다고 가정한다. 그는 아주 뛰어난 기술 역량을 보유한 정부 기관이 이런 가정을 세우고 있는 상황이라면, 다른 사람들도 모두 동일한 가정을 세워야 한다고 말했다. 파웰은 “이런 사고방식을 수용하면, 위험의 ‘크기’와 ‘기간’이 중요해진다”고 강조했다.

그러나 하이저에 따르면, 불행히도 위험을 개념화 할 방법은 없다. 가트너를 포함해 많은 기업과 단체들이 위험 프로파일과 시나리오를 정립하기 위해 많은 노력을 기울이고 있지만, 이를 정량화할 좋은 방법은 없다.

하이저는 “경쟁사가 특정 연도에 특정 서비스를 통해 기업 데이터에 접근을 할 수 있는 확률이 5%라고 주장하고, 이에 대한 입증 자료로 통계를 제시해 의사결정을 내릴 수 있다. 그러나 그렇다 하더라도 이는 정성적인 결정이다”라고 말했다.

3. 위험과 보상(이익)에 대한 비교분석을 시작한다
새 시스템에 데이터 침해 및 오작동 사고가 초래됐을 때 발생할 수 있는 ‘나쁜 일’들만 걱정하면, 합리적으로 좋은 의사결정을 내릴 수 없다. 따라서 신기술 도입에 따른 이득과 위험 증가를 비교 분석하고, 신기술을 도입하지 않았을 때 초래될 비즈니스 위험, 기회나 경쟁력 상실 등을 조사하는 것이 현명한 IT 관리 방법이다.

보험 수가 총액이 6억 달러가 넘고 102년의 역사를 보유하고 있는 재산 및 상해 보험 회사인 아메리저 인슈어런스(Amerisure Insurance, 파밍톤 힐스 소재)의 CIO를 지냈으며, 현재는 미시간주 파밍톤 힐스(Farmington Hills)에 본사를 둔 경영 컨설팅 회사인 X 바이 투(X by 2)의 CIO 고문 변호사로 재직 중인 프랭크 피터스마크는 CIO들이 더 정확히 큰 그림을 파악해야 한다고 조언했다.

그는 “기술적인 위험을 비즈니스 측면에서 분석해야 한다. 데이터 침해 사고가 발행해, 고객 관련 정보가 유출됐다면, 고객들은 어떤 생각을 할까? 매출과 이익에는 어떤 영향을 미칠까? 이런 부분들을 분석해야 한다”라고 말했다.

이는 새로운 CIO들이 맡아야 할 역할 가운데 하나다. 그는 “CIO라는 자리는 진화를 거듭했다. 조명이 깜박거리는 방에서 다른 사람들 모르게 일하는 기술자가 CIO 1.0이라 할 수 있다. 그러나 지금은 CIO 6.0 정도의 시대가 됐다. 다른 경영진들과 동등한 입장의 비즈니스 파트너로 발전을 해가고 있는 것이다. 따라서 소속 회사의 비즈니스와 현업 사람들을 알 것을 요구 받는다. 근거는 명백하다. 기술이 구현 요소가 될 수도, 그렇지 않을 수도 있기 때문이다. 현재 회사는 이런 IT 리더를 원한다”라고 설명했다.

4. 기술 위험 프로파일을 개발한다
기업 경영을 책임진 리더는 재무 분야의 전문가와 함께 투자 시 감수할 위험을 판단한다. 어느 정도의 손실을 용인할 수 있는지 결정하는 것이다. 이들은 개인 투자에도 동일한 원칙을 적용할 확률이 높다.

지금은 기술에도 이런 원칙을 적용해야 하는 시기이다. 피터스마크는 IT 책임자가 다른 C레벨(CEO, CIO, CMO 등) 경영진을 찾아가 “조금 더 위험을 감수하면 시장에 더 큰 파장을 불러올 수 있는 방법이 있습니다. 모두 함께 이 방법을 생각해봤으면 합니다. 그리고 시장에 미칠 파급, 비즈니스 측면의 이득, 손실을 분석했으면 합니다”고 말해야 한다고 제안했다.

그는 “현명한 조직이라면 CIO가 로마의 군주처럼 모든 것을 단순히 결정하도록 놔두기보다는 이런 방식을 수용할 것이다”라고 설명했다.

5. 이중성을 수용하는 법을 배운다
하이저는 “클라우드를 수용했다면, ‘이중성(ambiguity)’ 또한 수용해야 한다. 이를 위해서는 성숙한 기업이 되어야 한다”고 말했다.

그는 “의사 결정자가 이런 결정이 ‘이중성’이 있는 결정이라는 사실을 제대로 이해하고 있다면, 그리고 수용 가능한 수준의 위험을 감수할 수 있다면, 좋은 결정을 내릴 수 있다. 기업은 모호한(이중성이 있는) 결정을 처리할 수 있는 건강한 문화를 조성해야 한다. CIO가 ‘문제가 발생하면 내 책임이야’라는 생각을 가지면 안 된다”라고 덧붙였다.

또 뭔가 잘못됐을 때 발생할 수 있는 나쁜 사건에 있어서도 이중적인 시각을 가져야 한다. 타깃의 사례가 큰 관심을 끌기는 했지만, 모든 침해 사고가 동일하지는 않기 때문이다. 하이저는 “파악하지 못한 보안 문제가 산재하지만 어찌어찌 굴러가고 있지 않는가?”라고 말했다.

그러나 일부 IT 리더들은 기업 네트워크는 물론 자신의 일자리 보호에 크게 주의를 기울인다. 가능한 최대한 ‘안전하게’ 만들려 노력을 하는 것이다. 하이저는 “수용 가능한 위험이라는 개념 자체가 모순이라고 생각하는 기술자들도 일부 있다. 이들은 완벽주의자들이다”고 말했다. 반대로 기본적인 보안이면 충분하다고 생각하는 이른바 ‘피그 리퍼(fig leafer)’들도 있다.

그는 “이렇게 상충되는 부분을 관리할 수 있어야 성공적인 기업이 될 수 있다. 문제에 대한 정답은 이런 극단적인 부분의 중간에 위치해 있기 때문이다”라고 말했다.

6. 칭찬과 비난을 나눈다
좋은 결과에 대한 칭찬과 나쁜 결과에 대한 비난을 공평하게 배분하지 않는 것이 위험 관리 방식에 있어 뿌리 깊은 문제 중 하나다. 예를 들어, 비즈니스 부서가 원하는 새로운 클라우드 서비스를 IT가 승인했다고 가정하자. 그리고 이 서비스를 활용한 결과, 매출이나 다른 방식으로 기업의 수익이 증대됐다.

이 경우, 칭찬과 금전적 보상을 받게 되는 부서는 비즈니스 부서일 확률이 높다. 반대로 새로 도입한 시스템 때문에 보안 문제나 다른 문제가 초래됐다면, 비난을 받는 부서는 IT일 것이다.

얻는 것은 없지만 잃을 것은 많은 상황이다. IT 리더들이 빠르게 변하는 기술을 따라잡으려 노력하면서 신상품을 도입했을 때의 혜택과 위험을 비교 분석하도록 유도할 동기 부여 요소가 거의 없는 상황이다. 특히 신상품을 도입하지 않더라도 문제가 없을 경우 더 그렇다. 피터스마크는 “당신이 CIO라면 ‘생각하고 말 것도 없네요. 무조건 ‘안돼!’입니다’라고 말할 것이다. CIO가 이런 대답을 할 수밖에 없는 상황이기 때문이다”고 말했다.

이상적으로 말하면, 신기술을 검토한 후, ‘좋은 기술’이라고 판단을 내린 IT 부서는 해당 신기술이 기업의 수익에 긍정적인 효과를 가져왔을 때 일부나마 보상을 받아야 한다.

또 더 중요하게, 문제가 발생했을 때 이에 대한 책임을 전적으로 지는 부서가 IT여서도 안 된다. 그리고 현명한 조직들은 이런 실수를 저지르지 않도록 유도하는 환경을 조성해 나가고 있다.

코네티컷 워터베리(Waterbury)에 위치해있고, 800명의 온캠퍼스 재학생과 1만 6,000명의 온라인 과정 학생이 등록해있는 포스트 대학(Post University)의 마이클 스탯모어 CIO는 “과거에는 IT가 위험 관리를 전적으로 책임지는 조직이었다. 그러나 지금은 공동으로 위험을 책임져야 한다는 사실을 이해하는 문화가 점점 강해지고 있다. IT 부서들이 이를 강조하고 있다. 특히 상식에 호소하고 있다”고 말했다.

스탯모어는 필요한 경우, 의사결정 집행에도 이런 공동 책임 의식을 활용한다. 그는 “누군가 찾아와 무언가를 원한다고 말한다. 우리가 안전하지 않을 수 있다고 대답을 했음에도 이를 원한다고 고집한다. 그러면 서면으로 나와 함께 공동 책임을 지겠다고 약속을 할 수 있는지 묻는다. 이때 99%는 ‘아니라’고 대답한다”라고 설명했다.

7. ‘노’라는 대답 이상을 제시한다
업무와 실적에 대한 압력 아래 바쁜 나날을 보내고 있는 CIO와 경영진들은 기술과 관련된 의견 충돌 상황에서 자신의 의견을 고집하기 십상이다. 그러나 이런 유혹을 이겨내는 것이 중요하다. 보안 관련 위험을 초래하지 않으면서 비즈니스 문제를 해결하는 대안을 찾는 것이 최상의 방법이다.

애리조나 스코츠데일(Scottsdale), 캘리포니아 뉴포트 비치(Newport Beach), 루지애나 배턴루지(Baton Rouge)에 영업점을 보유하고 있는 직원 200명 규모의 보석 제조업체인 켄드라 스캇 쥬얼리의 수석 기술 컨설턴트인 네이든 투프스는 재무 부서가 음악 스트리밍 사이트인 스포티파이(Spotify) 접속 차단을 요청했을 때 딜레마에 직면했다.

접속 차단을 요청한 이유는 스포티파이에 대역을 사용하면서 전송 속도가 떨어지고 있다는 것이었다. 그러나 켄드라 스콧 직원들 상당수가 스포티파이를 소중하게 생각하고 있었다.

투프스는 이에 해결책을 모색했다. 그는 재무 시스템과는 완벽하게 분리된 고속 인터넷 연결망을 구축했다. 그리고 직원들에게는 스포티파이 같은 서비스 연결에는 이 인터넷 연결망을 사용하라고 요구했다. 이는 여러 문제를 동시에 해결하는 효과를 가져왔다. 이 회사의 웹 및 마케팅 담당 부서 또한 대역 추가를 요구했기 때문이었다.

이는 모든 사람들이 참여해 의견을 교환하도록 만드는 문제 해결 방식이다. 비즈니스 부서가 무언가를 요구 했는데, 당신의 첫 대답이 ‘노(No)’일 수 있다. 그러나 이런 경우에도 ‘요구를 들어주기 위해, 함께 할 수 있는 일이 있는지’ 생각해야 한다.

스탯모어는 “그 다음에 방법을 찾아야 한다. 대화가 중단되지 않을 것이라는 믿음이 출발점이다”라고 말했다.

오하이오 더블린에 본사를 둔 직원 보수 계획 관리 회사인 케어워크CareWorks)의 바트 머피 CIO는 “믿음(신뢰)’이 성공의 열쇠다”라고 강조했다. 머피는 과거 아웃소싱에 의지했던 비즈니스 활동 가운데 상당수를 내부에서 조달할 수 있도록 만들었다. 그리고 이 과정에 비즈니스 부분의 동료들로부터 많은 신뢰를 쌓을 수 있었다.

그는 “‘전달(delivery)’ 측면에서 협력을 위해 많이 노력했다. 또 IT가 관여하면 프로세스의 속도가 저하된다는 이유로 의도적으로 IT를 소외시켰던 회의에 매번 참석하고, 이메일을 꼼꼼히 확인했다. 우리는 아주 신속하게 행동을 했다. 또 공감을 해줬고, 비즈니스가 IT에 앞서도록 했다. 니즈가 있다면, 그 니즈를 충족시켜야 한다”라고 말했다.

dl-ciokorea@foundryco.com