디지털 전환이라는 걸 시작하기 전에 가장 먼저 점검해야 할 건 데이터다. 그리고 그 데이터를 점검하고 관리하는 데 있어 꼭 짚고 넘어가야 할 건 서드파티다. 서드파티 없이 사업을 할 수 없는 시대를 한참 지나 이제는 서드파티를 관리까지 해야 하는 시대다.

[보안뉴스 문정후 기자] 디지털 전환(digital transformation)이라는 말이 당신의 기업에 갖는 진짜 의미는 무엇인가? 매일 ‘디지털 전환’이라는 글자가 모든 매체들에 등장하고 있는데, 과연 이건 실재하는 것일까? 모든 산업이 전부 추구해야 하는 것일까? 아니면 특수한 일부 기업들에만 해당하는 이야기일까? ‘디지털 전환’의 범람 앞에 우리는 올바른 판단을 내리기 힘듦을 종종 느끼게 된다.


디지털 전환이라는 것은 사업 운영의 효율을 높이고 더 나아가 기업을 성장시키려는 목적으로 업무와 생산의 과정을 현대화 하고 자동화하는 것을 말한다. 그리 어려운 개념이 아니다. 하지만 여기서 말하는 ‘업무와 생산의 과정’이라는 게 생각보다 복잡하게 구성되어 있기 때문에 이 간단한 개념이 잘 실현되지 않는 것이라고 볼 수 있다.

모든 업무와 생산의 과정에는 사람, 기술, 수십년 동안 정착한 절차, 하위 절차 등이 섞여 있어 이를 개선한다는 게 말처럼 쉽지 않다. 업무와 생산의 과정을 샅샅이 이해하고 있지 않으면 현대화나 자동화 모두 불가능하다. 즉 자동화 기술에 대한 이해도도 높아야 하지만 기존 업무 과정에 대한 이해도도 철저해야 한다는 뜻이다.

디지털 전환이라고 했을 때 백이면 백 기술적 격변을 떠올린다. 업무 과정을 구성하는 사람, 기술, 절차에 대한 이해도가 낮으니 나오는 반응이다. 사람과 절차에 대한 고려 없이 기술만 추구하는 디지털 전환은 성공하기가 힘들다. 아무리 좋은 기술이라도 업무를 실제로 진행하는 사람이 거부하면 안 되고, 아무리 사람들의 반응이 좋아도 정립된 절차와 호환이 되지 않으면 소용이 없기 때문이다. 그러므로 디지털 전환이라는 것을 계획하고 있다면 기술에 대한 이해도도 높여야 하지만 경영진의 성향과 문화도 이해해야 한다.

디지털 전환을 기획하고 있다면 위에 설명한 이유 때문에라도 ‘한 번에 한 가지’ 업무 및 생산 과정을 공략하는 게 현명하다. 그리고 그 어떤 업무와 생산 과정을 현대화 하려 하든 가장 중요한 건 데이터다. 데이터가 자산이라는 말은 수년 전부터 들어왔을 텐데, 그 자산이 가장 큰 빛을 발하게 되는 건 바로 디지털 전환을 진행할 때다.

필자는 디지털 전환이라는 여정을 시작하려는 기업들에 다음과 같은 질문부터 하기를 권한다.
1) 일반적인 사업 진행에 있어 우리 회사는 어떤 데이터를 처리, 저장, 전송하는가?
2) 우리가 처리, 저장, 전송하는 데이터가 기업 전체에 갖는 가치는 어느 정도인가?

1)번 질문에 대한 답을 구할 때 놓치지 말아야 할 것이 하나 있는데, 바로 고객의 데이터와 서드파티 데이터다. 그런 데이터가 가진 가치들을 정확히 이해하는 것이 중요하다. 그렇지 않으면 디지털 전환은 걷잡을 수 없는 규모로 자라 통제 불가능한 것이 될 가능성이 높다. 고객 데이터나 서드파티 데이터를 제어하지 못한 채 데이터를 활용해 디지털 전환을 이끌어 간다는 것 자체가 어불성설이다. 게다가 서로 다른 데이터의 서로 다른 가치를 온전히 이해하지 못한 채 보안을 제대로 기획하거나 도입할 수도 없다.

디지털 전환을 위한 데이터 관리 체계를 새로이 정립할 때 최소한 다음의 행위들을 고려하는 게 바람직하다.
1) 데이터 항목화와 데이터 위치 확인
2) 업무와 생산 과정을 평가하되 데이터를 중심으로 한 관점에서 평가
3) 리스크 관리 전략을 바탕으로 한 리스크 식별과 평가
4) 서드파티의 재평가와 재선정

이 중에서 4)번이 가장 간과하기 쉽다. 서드파티를 평가한다는 게 대단히 민감한 문제일 수 있어서 그냥 넘어가는 경우도 상당수다. 하지만 요즘은 서드파티로 삼을 만한 선택지가 무수히 많은 시대다. 가장 안전하고, 우리 회사의 보안 철학과 잘 어울리는 서드파티를 선정하는 게 그리 미안해할 일이 아니다. 서드파티에 강화된 보안 전략을 강조하고 싶을 땐 계약서 항목을 추가하는 게 가장 좋다. 서드파티를 선택할 때에도 몇 가지 절차가 존재한다.

1) 우리 회사가 속한 산업에서 디지털 전환 프로젝트에 참여한 적이 있는 기업인가? 아니면 우리 회사 정도 되는 규모의 회사와 디지털 전환을 진행해 본 적이 있는가?
2) 서드파티 업체는 어떤 데이터 표준 및 규정에 묶여 있는가? 그 표준과 규정을 잘 이해하고 있고, 잘 준수하고 있는가?
3) 서드파티 업체는 우리가 요구하는 보다 강화된 보안 규정을 받아들일 준비가 되어 있는가?
4) 서드파티와 우리 기업이 각자 맡은 역할과 책임은 분명하게 정의되어 있는가? 분명한 정의를 계약서 상에서 내리는 것에 대해 거부감은 없는가?

이런 질문들을 바탕으로 서드파티를 엄선하여 선택하면 데이터를 보다 확실하게 지키고 관리할 수 있게 된다. 그렇게 서드파티를 하나하나 조심스럽게 선택해 간다면 생태계가 매우 튼튼해짐을 느낄 수 있을 것이다. 리스크가 줄어들고 사업하기에 더 없이 좋은 환경이 만들어진다.

그 외에 디지털 전환의 중요한 목적 중 하나인 비용 절감에 지나치게 집중하는 것도 피해야 할 일 중 하나다. 비용 절감은 디지털 전환이라는 커다란 프로젝트가 가진 목표 중 하나에 불과하지, 전부가 아니다. 또한 한 번에 이뤄지는 것도 아니다. 디지털 전환을 이뤄가다 보면 자연스럽게 나타나게 되어 있다. 아니면 나중에 집중적으로 해결할 수 있는 문제다.

기왕이면 싼 게 좋지만, 싸다는 것 자체가 선택의 중요한 요인이 될 수는 없다. 계약 조건이 너무나 좋은 서드파티를 덥썩 물었다가 나중에 크게 후회하게 된다. 얻어가는 가치에 대해 적정한 가격을 지불할 생각을 가지고 있는 게 안전하고 또 건강하다.

글 : 알란 구티에레즈아라나(Alan Gutierrez-Arana), 컨설턴트, Mazars
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>