개인적으로 기술을 보유하기가 너무나 쉬워진 때다. 그래서 각자가 보유한 장비와 서비스를 업무 환경에 자유롭게 가져오라고 독려하는 분위기가 이어지고 있다. 하지만 이 때문에 IT 담당자들의 한숨은 깊어지고만 있다.

[보안뉴스 문정후 기자] 기업 내 도입된 각종 도구들과 기술들을 누가 통제할 것인가? 대단히 쉬운 문제인 것 같지만 컴퓨터의 역사만큼이나 길게 이어져 내려온 질문이기도 하다. 비지컬크와 MS 액세스의 등장에서부터 현대 스마트폰과 태블릿, 각종 앱들에 이르기까지 직원들의 IT 기술 활용 현황을 감독하고자 하는 사측과, 이런 감독에서부터 자유로우려는 직원들의 싸움은 끝날 줄 모른다.


딜로이트(Deloitte)의 정부 및 공공 기관 부문 담당 CTO인 스콧 부크홀츠(Scott Buchholz)는 “어느 조직 내에나 존재하는 오래된 기싸움의 주제”라고까지 말한다. “어떤 새로운 기술을 도입해야 하는지도 골치 아픈 문제인데 그 도입된 여러 기술들을 중앙에서 어느 정도나 관리해야 생산성이나 윤리성, 관리의 균형을 맞출 수 있는지도 참 해결이 안 되는 문제입니다.”

그런 상황에서 더 많은 디지털 기술들과 도구들이 시장에 생겨나고 있으니, CIO들로서는 더욱 힘든 나날들이 예고되어 있는 것과 같다. 지난 수년 동안 기업들은 임직원 각 개인이 자신들만의 모바일 장비와 기술들을 가지고 회사 네트워크에 접속하는 걸 허용해 왔다. 이를 ‘BYOT(Bring Your Own Technology)’라고도 한다. 처음부터 그랬던 건 아니고 시대의 흐름에 밀려 서서히 도입된 변화라고 볼 수 있다. 

그런데 최근 도구와 기술들의 종류가 많아도 너무 많아지니 일각에서는 이 BYOT가 당연하게 여겨지는 것을 다시 생각해 봐야 한다는 목소리가 나오기 시작했다. 가트너(Gartner)의 수석 분석가인 댄 윌슨(Dan Wilson)은 “BYOT가 기본 권리처럼 당연한 것이라면, 사실 IT가 조직 내 모든 기술 문제를 담당해야 한다는 인식도 바뀌어야 한다”고 말한다. “누구나 자신의 장비와 기술을 자유롭게 가져올 수 있다는 건 IT 부서가 관리하고 담당해야 할 영역이 무한대로 늘어난다는 뜻입니다. 범위는 있는 대로 늘려놓고 IT 담당자들에게 모든 책임을 떠넘길 수는 없습니다.”

통제불능
IT라는 분야가 점점 더 복잡해져 가고 있다는 건 누구나 알고 있는 사실이다. 하지만 그 복잡함의 정도에 대해서 잘 알고 있는 사람은 드물 것이다. 간단히는 다음과 같이 정리할 수 있다. 일반적인 기업이 평균 사용하고 있는 클라우드 서비스의 수는 1200개 이상이며, 아무 때고 순간 측정을 했을 때 사용되고 있는 애플리케이션의 수는 수백 개를 족히 넘어간다. 거기다가 스마트폰 한 대 이상 가지고 있지 않은 직원은 한 명도 찾기가 힘들며, 심지어 개인 소유의 통신 라우터와 랩톱을 들고 다니는 경우도 상당하다. 부서는 부서별로 독자적인 서비스를 이용하고, 개인은 개인별로 그렇게 하고 있느니 단순히 숫자가 많다는 걸 넘어 이용 현황의 구조 자체가 매우 복잡하기도 하다.

여기까지는 빙산의 일각이다. 사용되고 있는 IT 기술은 계속해서 더 복잡해지고, 더 많아지고 있기 때문이다. 맥킨지앤컴파니(McKinsey & Company)에서 조사해 발표한 바에 의하면 기업들마다 평균 10~20%의 IT 예산을 신기술에 투자하고 있다고 한다. 기업 네트워크와 아키텍처의 현대화 혹은 디지털 전환으로의 움직임이 활발해지고 있기 때문이다. 돈이 이 정도 규모로 들어가는데, 많아지지 않고, 복잡해지지 않을 수 없다. 문제는 기준이 될 만한 ‘표준’이 전혀 마련되어 있지 않기 때문에 더 복잡해져 가는 데에 있어 제한이 없다는 것이다. 모든 지역의 모든 기업들이 아무런 거리낌 없이 더 복잡한 IT 구조를 추구하고 있는 게 지금의 상황이다.

그렇기 때문에 CIO/CTO들은 구조의 단순화와 각종 시스템 보안에 더 신경을 써야 하는 상황이다. 흐름에 역행을 해야 한다는 소리다. “그래서 보통은 ‘안 된다’는 태도를 유지하죠. 이것도 안 되고, 저것도 안 되고, 있는 것 가지고 잘 활용하자는 식으로 접근합니다. 본능적으로 그렇게 될 수밖에 없는 상황입니다. 그리고 새로운 기술과 장비들을 도입했을 때 철저한 중앙화를 선호하죠. 그래야 관리가 쉽고, 보안 사고의 가능성도 낮출 수 있으니까요.” 5K테크니컬서비스(5K Technical Services)의 CEO 코리 커켄돌(Corey Kirkendoll)의 설명이다.

CIO/CTO들이 보수적이 될수록 네트워크가 빠르게 복잡해져 가는 것에 어느 정도 제동이 걸릴 수 있다. 또한 보안도 조금 더 나아질 수 있다. 하지만 장점만 있는 건 아니다. 유연함이 상당히 줄어드는 것이기 때문이다. 전체 구조만 바라보다가 업무에 정말 필요한 앱이나 서비스를 사용할 수 없게 된 직원들이나 부서를 늘릴 수 있다. 그러면서 회사 업무 체계에 대한 불만이 쌓여가게 되며, 이는 생산성 저하로 이어질 가능성이 높다. 그런 악영향이 어떤 모양으로 고객들에게 발현될지는 아무도 예상할 수 없다. 게다가 너무나 타이트하게 조이면서 이것도 저것도 못하게 할 경우 직원들 중 규정을 어기는 사람이 나오게 된다. CIO/CTO의 바람과 달리 IT 구조는 더 은밀하게 복잡해진다.

IT가 정신없이 복잡해지니 CIO/CTO들이 자주 간과하게 되는 것이 하나 있다. 옛 기술이 신기술로 대체가 되더라도 예전 기술들에 유효했던 보안 정책을 그대로 적용한다는 것이다. “예를 들어 CD로 설치해야 했던 솔루션들을 클라우드 기반 SaaS 앱들로 바꿨다고 했을 때, 보안 규정들도 알맞게 바뀌어야 하는데 그 점까지 미처 신경 쓰지 못할 때가 많습니다. SaaS와 어울리지 않게 빡빡하고 답답한 보안 규정이 적용되어 SaaS를 사용하는 의미를 살리지 못하게 되기도 하고요. 특히 중앙화라는 관리 기법에 대해서는 다시 평가하고 생각할 필요가 있습니다.” 윌슨의 설명이다.

규칙, 역할, 규정
부크숄츠는 “현대 IT 구조의 구축과 관리의 핵심 가치는 각 개인과 부서가 자신들의 고유한 업무를 실행하기 위해 무엇을 필요로 하는가를 이해하고 구현하는 것”이라고 말한다. “뛰어난 CIO/CTO들은 요즘 테크 분야에서 한 발 떨어져 오히려 여러 사업부들과의 대화 시간을 늘리고 있습니다. 아무리 IT 구조가 복잡해진다 한들 언제까지 신기술의 추가 도입을 막을 수만은 없거든요. 차라리 유연한 태도로 일반 임직원들의 필요를 채워줘야 일이 더 복잡해지지 않습니다. 상황 고려 없는 정책과 규정 고집은 사고로 가는 지름길입니다.”

그러므로 특정 역할을 가진 사람/부서에 어울리는 정책을 수립하고 적용하는 게 중요하다고 부크숄츠는 강조한다. “예를 들어 소프트웨어 개발자나 마케팅 책임자의 경우 콜센터 담당자들보다 훨씬 더 높은 권한을 가지고 유연하게 움직일 수 있어야 합니다. 상황에 따라 독자적인 결정을 내릴 수도 있어야 합니다. 그래서 보통 개발자나 마케팅 담당자들에게는 개인 PC나 노트북을 지급하기도 하죠. 다만 회사에서 주는 거니까 아무래도 중앙 관리에 용이한 프로그램이 설치되어 있기도 합니다. 콜센터 담당자라면 따로 노트북을 지급해야 할 상황이 거의 없지요.”

커켄돌 역시 “역할과 구조에 따라 IT 전체를 재평가 및 재구성하는 게 반드시 필요한 일”이라는 의견이다. “예를 들어 각 부서나 팀들에 IT 관련 임무를 특별히 담당할 사람을 지명할 수 있습니다. 그러면 그 사람은 자신과 관련 분야의 업무 프로세스에 있어서 IT 담당자들과의 연결고리가 되거나 대변인 역할을 할 수 있게 됩니다. IT 담당 부서원들을 다른 부서들에 파견을 보낸 것과 비슷한 효과를 낼 수 있게 되는 겁니다. IT 전문 지식만으로는 볼 수 없는 부분들을 알게 되는 거죠.”

가시성 확보
커켄돌의 제안을 실행했을 경우 IT 담당자 및 책임자가 얻을 수 있는 건 기업 전체에 대한 가시성이다. 윌슨은 “IT 구조가 복잡해져가고 있다는 건 다시 말해 CIO/CTO의 가시성이 낮아지고 있다는 뜻이므로 가시성을 확보한다는 건 좋을 수밖에 없는 움직임”이라고 설명한다. “물론 사람을 통해 얻는 가시성에는 한계가 있습니다. 객관적인 데이터를 기반으로 한 도구들을 이용해야 보다 현실적인 가시성을 확보할 수 있습니다. 가시성 없이 만들어내는 정책이나 프로세스는 직원들의 공포심만 부추깁니다.”

윌슨의 설명을 실제 사례로 풀어보면 다음과 같다. “가시성을 확보하는 과정에서 A라는 직원이 회사 이메일 계정과 동일한 크리덴셜을 가지고 줌(Zoom)을 활용하고 있다는 걸 알 수 있습니다. 또 B라는 직원은 같은 크리덴셜을 가지고 회사에서 승인하지 않은 드롭박스를 사용하고 있다는 것도 정확히 파악이 되죠. 누가 어떤 장비를 가지고 자주 접속하는데, 그 장비들이 승인된 것인지 아닌지도 알 수 있고요. 어떤 소프트웨어가 오래됐고, 그런 소프트웨어가 설치된 시스템이 어디에 있는지도 파악하면서 보안을 강화할 수도 있습니다.”

이렇게 실제 회사 망 내에서 벌어지고 있는 일들을 정확히 파악해야 적절한 프로세스와 규정을 정의할 수 있게 된다는 게 윌슨의 설명이다. “실제 상황을 알아야 생산성을 고려할 수도 있게 되고, 직원들의 필요를 채워줄 수 있게 됩니다. 그러면서 직원들이 몰래 사용하는 IT 장비나 서비스의 수도 줄어들게 되고요. 선언적인 관리 규정만 가지고는 이뤄낼 수 있는 성과가 거의 없다고 보면 됩니다. 이건 비단 IT와 보안에만 해당하는 얘기가 아니죠.”

윌슨은 다음과 같이 결론을 내린다. “기술 분야의 지도자로서 좋은 사례를 만들고 있는 사람들은 타 부서 및 담당자들로부터의 신뢰를 받는 게 가장 중요하다는 걸 이해하고 있습니다. 기술 도입 자체를 위해 움직이는 테크 전문가들은 결국 고립이 될 수밖에 없습니다. 현실 반영이라는 게 가장 중요한 덕목이라는 겁니다. IT 기술과 구조가 복잡해져 가는 때에, IT를 가지고 파트너십을 맺어가는 게 CIO/CTO의 역할이라는 걸 더욱 상기할 필요가 있습니다.”

글 : 사무엘 그린가드(Samuel Greengard), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>