Africa

Americas

Asia

Europe

Oceania

인기 토픽

토픽

About

정책

네트워크

자세히 보기

John Edwards
By
Contributing writer

IT 거버넌스에 대한 7가지 오해와 편견

뉴스
2021.05.145분
IT 리더십보안

IT 거버넌스가 적절하게 설계되고 기능하면 IT 목표와 비즈니스 목표를 일치시키는 데 효과적이다. 기업의 전반적인 비즈니스 전략을 집중, 강화, 발전시키는 데 도움을 준다.

그런데 IT 거버넌스와 관련해 위험한 오해들이 있다. 그리고 이러한 오해의 덫에 IT 리더들이 빠지는 경우가 너무나 많다. 그 결과, 기업은 불필요한 위험과 취약한 규정 준수, 기회 상실 등 심각한 문제로 부담을 받게 된다.

IT 거버넌스 체계와 비즈니스 거버넌스 체계를 같은 궤도에서 원활하게 운영하려면 그동안 견실한 전략들을 좌절시킨 여러 오류를 피해야 한다. 특히 위험해서 당장 피하거나 버려야 할 오해 7가지를 아래와 같이 소개한다.


외주화하면 위험도 같이 넘어간다
많은 IT 리더들은 서드파티 업체들이 양호한 사이버 보안 원칙을 준수할 것이라고 무작정 믿는다. 서드파티 위험 보증에 필요한 모범 사례, 교육, 툴 개발을 전문으로 하는 글로벌 회원 조직 셰어드 어세스먼츠(Shared Assessments)의 VP 겸 CISO 톰 가루바는 “많은 CIO들이 기본적인 IT 통제 기능을 운영하고 있는지 검증하기 위한 실사를 수행하지 않을 때가 많다”라며 “그러한 맹목적인 믿음은 발주 기업의 허를 치를 수 있다”라고 지적했다.

가루바는 벤더의 IT 건전성을 검증하고 상세한 평가를 주기적으로 실시할 것을 권고했다. 그는 “또, 벤더의 사이버 성과를 다양한 도구로 지속적으로 감시하는 것이 현명하다”라고 덧붙였다.

가루바는 전체적인 서드파티 위험 평가를 실시하지 못하는 조직은 이미 뒤쳐져 있다고 경고했다. “그러한 평가는 이제 모든 업계에 걸쳐 일반적인 운영 절차로 여겨지고 있다”라고 그는 덧붙였다.

소프트웨어가 뿌리내린 문제를 해결할 수 있다
잘 정의된 프로세스를 정착시키기 위해 워크플로우 소프트웨어를 활용할 수 있다. 그러나 소프트웨어 훈련 회사 디벨롭인텔리전스(DevelopIntelligence)의 IT 거버넌스 강사 브라이언 슈는 많은 조직들의 경우 ‘잘 정의된 프로세스’란 허위의 개념에 불과하다고 지적했다. 소프트웨어는 조직 프로세스에 지원을 제공할 수 있을 뿐이라는 것이다. “도구는 프로세스가 아니다. 조직의 당면 문제를 해결할 만병 통치약이 아니다”라고 그는 잘라 말했다.

기업은 소프트웨어로 거버넌스 지침을 찾기에 앞서 먼저 비전과 미션, 목표, 목적 등을 명확히 규정했는지 반드시 확인해야 한다. 슈는 “그런 연후에 거버넌스는 조직의 비전, 미션, 목표, 목적을 뒷받침하기 위한 운영 프로세스 창출을 둘러싼 의사결정의 방향을 이끌어 준다. 그런 다음에 조직은 조직 목표 달성에 도움이 될 프로세스를 촉진하기 위한 소프트웨어 도구를 선택하고 구성할 수 있다”라고 말했다.

거버넌스는 ‘단일 창’을 통해 달성할 수 있다
성공적인 IT 거버넌스는 계획된 목표를 달성하기 위해 위험 관리, 자원, 전략을 최적화한다. 비즈니스 및 IT 자문 회사 딜로이트(Deloitte)의 미국 사이버 위험 서비스 전략, 방어 및 대응 솔루션 리더 앤드류 모리슨은 “여러 분야에 걸쳐 IT 수행 및 실행의 중요한 양상을 수집해 보고하는 능력은 해당 IT 거버넌스 프로그램의 효과를 결정하는 바탕”이라고 말했다.

IT 보고를 명확하고 간결한 비즈니스 용어로, 그리고 의사결정권자가 쉽게 소비할 수 있는 양식으로 시각화하고자 하는 기대가 존재한다. 애석하게도 이러한 기대는 하나의 도구나 솔루션으로 기업 전체에 걸쳐 필요한 가시성과 복잡한 평가 기능을 모두 제공할 수 있다는 과장 광고로 이어졌다.

현실은 서로 다른 기술과 프로세스, 정책, 사람들로부터 취합한 실시간 데이터를 뒷받침할 완성도가 부재하다는 점이다.

모리슨은 “그 뿐만 아니라, 오늘날 IT 시스템은 복잡하고 IT 내부의 변화 속도는 빨라졌기 때문에 빠르게 변화하는 입력 내용에 연결성을 유지하는 일이 헛고생이 되어버릴 가능성이 있다”라고 주장했다. 

그는 이어 “IT 거버넌스의 여러 부분(예: 위험, 보안, 규정 준수, 통제, 운영 비용)에 대한 통합적인 뷰를 제공하는 훌륭한 도구가 많이 있지만 대부분의 조직들은 진정한 ‘단일 창’을 달성하려고 애쓰기 보다는 목적에 맞게 개발된 여러 솔루션의 활용을 최적화하는 편이 더욱 효과적일 것”이라고 조언했다.

지표가 컴플라이언스를 보장한다
지표는 맥락에 맞게 제시되지 않는 한 거의 무의미하다. 사이버보안 규정준수 자문 회사 알레그로 솔루션즈(Allegro Solutions) 창립주 겸 CEO 카렌 월쉬는 “지도부는 보안을 이해하고 프로그램 성숙도를 입증하기 위해 지표가 필요하지만 지표만으로는 컴플라이언스가 입증되지 않는다”라고 말했다.

맥락은 사람, 프로세스, 기술 등 지표를 둘러싼 거의 모든 것에서부터 나온다. 월쉬는 “결국 거버넌스란 비즈니스와 IT 스택을 아는 것이고 어떻게 하나가 다른 것의 채택을 추진하는지 이해하는 것”이라며, “비즈니스 목표가 IT 구매를 추진하게 되고 이는 다시 궁극적으로 목표의 차기 발전을 추진하게 된다”라고 말했다.

월시는 IT 리더의 목표는 팀들이 특정 목표 지표를 달성할 것인지 신경 쓸 것이 아니라 한 분기를 다음 분기와 비교하는 것이 되어야 한다고 말했다. 그는 “한 분기에서 다음 분기까지 일관성이 보이고 눈에 보이는 것에 만족한다면 안정성을 갖춘 것”이라고 덧붙였다.

거버넌스가 비용 통제 문제를 해결해준다
소프트웨어 자산 관리 및 라이센스 최적화 제공업체 플렉세라(Flexera) 클라우드 전략 선임 책임자 브라이언 애들러는 거버넌스 통제가 비용 가시성을 높여줄 수 있고 초기 워크로드 배치 및 규모 설정(이것이 비용에 영향을 미침)에도 도움을 줄 수 있지만 거버넌스가 비용 관련 모든 것을 즉석에서 해결해 주지는 않는다고 강조했다.

IT 비용 최적화는 끝이 나지 않는 일이지만 시간이 지나면 확실히 수월해진다. 애들러는 “조직들이 계속해서 프로비저닝 관련 거버넌스 통제 기능을 개발해 나감에 따라 처음 있었던 비용 초과는 줄어들 것”이라고 설명했다. 그는 비용 통제와 최적화가 “한 번 하면 끝나는” 작업이 아니라는 사실을 조직들이 깨달아야 한다며 “계속 진행되는 반복적인 과정”이라고 표현했다.

애들러는 또 프로비저닝을 과다하게 하려는 경향에 저항할 것을 CIO들에게 촉구했다. 그는 “클라우드 내에 있다면 클라우드의 확장성을 사용해야 한다”라며 업체에서 제공하는 예약 인스턴스와 라이선싱 모델 같은 할인 혜택을 활용할 것도 권고했다. 그는 “거버넌스는 비용 통제를 향한 첫 단계이지만 말 그대로 첫 단계일 뿐”이라고 말했다.

거버넌스가 컴플라이언스 준수를 이끌어낸다
상당수의 CIO들이 IT 거버넌스는 주로 정부 규정 준수 정책을 지키지 못하는 것은 물론 다양한 내,외부 요건을 지키지 못하는 당사자의 훈육을 목적으로 한다고 믿고 있다.

IT 관리 및 최적화 소프트웨어 제공업체 인트러스트 솔루션즈(Entrust Solutions)의 규정 준수 및 위험 애널리스트 맷 도나휴는 “컴플라이언스가 IT 거버넌스의 한 가지 기능인 것은 분명하지만 IT 거버넌스 프로그램과 관련된 전체 서사를 지배해서는 안 된다”라고 말했다. 

IT 거버넌스의 최우선 순위는 재무 목표와 기술 목표 사이에 강력한 시너지를 만들어 내는 것이며 이해관계자와 고객 양쪽 모두의 이익을 챙기는 것이다. 도나휴는 “IT 거버넌스를 훈육 주체로 묘사하는 오해가 있다. 이로 인해 거버넌스가 제공하는 추가적인 가치와 강력한 효과의 잠재력이 무력화된다. IT 거버넌스가 유익하지 않게 느껴지면 IT 거버넌스 기구에 투자하지 않게 될 것”이라고 설명했다. 

거버넌스는 본질적으로 필요악일 뿐이다
IT 거버넌스에 대한 가장 큰 오해는 거버넌스가 기껏해야 필요악이라는 것이다. 그러나 절대 그렇지 않다. CIO들은 거버넌스를 필요악으로 볼 것이 아니라 원하는 목표를 달성하는 데 필요한 매우 효과적인 도구로 봐야 한다.

오픈소스 소프트웨어 및 서비스 제공업체 레드햇(Red Hat) CIO 마이크 켈리는 거버넌스의 대상과 어느 정도의 거버넌스가 필요한 지를 선택하라고 조언했다. 그는 “이렇게 하면 거버넌스는 항상 더 큰 이익 실현에 도움이 된다”라고 말했다.

또 명심할 점은 거버넌스는 절대로 하향식으로 강요되어서는 안 된다는 점이다. 켈리는 “거버넌스를 협력적인 풀뿌리 노력으로 만들어야 한다”라며 “수용(bye-in)이 있다면 탁월한 구현을 달성할 수 있다”라고 말했다.

마지막으로 명심할 점은 IT 거버넌스는 지속적으로 변화하고 발전해야 한다는 점이다. 켈리는 “프로세스에 더하고 빼는 작업을 하되, 계속 변화하는 필요와 조건을 충족하기 위해 변화할 수 있고 변화해야 하는 것으로 늘 여겨야 한다”라고 설명했다.
 

dl-ciokorea@foundryco.com

John Edwards
By
Contributing writer

John Edwards has likely written more articles focusing on technology industry issues than anyone else in history. Seriously.

John's expertise spans many technologies, including networks, telecom, mobility, robotics, sensors, big data, cloud computing, semiconductors, e-marketing and cutting-edge laboratory research. His work has appeared in The New York Times, The Washington Post, Defense News, IEEE Signal Processing Magazine, Computerworld and RFID Journal, among other outlets. His published books include The Law Office Guide to Small Computers (Shepard’s/McGraw-Hill), Leveraging Web Services (AMACOM), Telecosmos (John Wiley & Sons) and The Geeks of War (AMACOM).

John is also an award-winning documentary, landscape and commercial photographer. He is a graduate of Hofstra University and currently lives in the Phoenix area.

이 저자의 추가 콘텐츠

추천 콘텐츠

기획

기업이 '대안 클라우드'에 주목하는 이유

By Bill Doerrfeld
9분
클라우드 컴퓨팅생성형 AI
이미지
기획

'업계 넘어 학계로...' 본격화되고 있는 대학 AI 전략

By Rachel Curry
6분
인공지능교육 산업ICT 파트너
이미지
오피니언

칼럼 | AI 기반 미들웨어, 엔터프라이즈 클라우드 통합을 다시 설계하다

By Tejas Gajjar
7분
인공지능중요 인프라인프라 관리
이미지