경시받는 엔지니어와 엔지니어 없는 IT조직

[보안뉴스 오병민] “대한민국 IT는 큰 모래성 꼭대기에서 아슬아슬하게 서 있다.”

 

이번 농협 전산망 장애 사태를 보면서 느낀 점이다.

“한국 기업들은 IT 투자의 중요성은 인식하지만 IT에 대한 투자 성과(Return on Investment)는 미흡하다. 이로 인해 한국 기업들은 첨단기술을 도입하는데 앞장서면서도 보수적인 기업 문화와 업무 처리 방식으로 인해 IT 투자로 창출할 수 있는 엄청난 발전이 저해되고 있다”

이는 글로벌 컨설팅 업체 액센츄어가 2005년부터 미국, 영국, 프랑스, 중국, 일본 등 세계 10개국의 대기업과 한국의 기업을 조사 비교해 내린 결론이다.(좀 오래된 조사지만 상황이 크게 변한 게 없는 것 같아서 인용해 본다.)

 

즉 한국 기업들의 IT 직무는 기술적으로는 경쟁력이 있을지 모르지만 업무 연결성(business connectivity)과 통찰력이 결여되어 있다는 지적이다.

이런 문제는 우리나라 기업들의 IT에 대한 인식과 더불어 기업조직 안에서 IT를 바라보는 시선과도 연관성이 크다. 우리나라 기업들은 IT조직을 이벤트 조직으로 보기 때문이다.

 

우리나라 기업의 CIO(IT최고책임자)라는 직책은 이른바 승진을 위해 ‘거쳐 가는 곳’이라는 인식이 강하다. 따라서 새로 온 CIO는 새로운 프로젝트를 만들어 성과를 내 승진하거나 임기 중에 IT시스템에 별다른 사고 없이 운영되기만을 바라는 경향이 강하다. 그리고 그렇게 가면 그만이다. 이런 문제는 IT조직 외에 인사부서이나 경영부서 등 다른 조직에서 CIO가 임명되기 때문에 나타난다.

이런 경향 탓에 CIO를 비롯한 IT부서 임원들의 전문성이 결여 돼 있는 경우가 흔하다. 외국의 경우 CIO라는 자리는 IT인력이 내부 승진해 올라가는 최종자리로 인식되고 있다. 따라서 CIO가 자리를 옮기는 가장 큰 이유는 은퇴라고 말할 정도다. 이같이 전문성을 가진 최고 책임자로 구성되는 기업의 IT시스템은 첨예하고 유기적이다.

농협 전산장애 사태를 보면서 우리나라 IT조직의 문제점을 볼 수 있다. IT조직이 뭔가 손발이 맞지 않고 외부 업체에 대한 의존도가 너무 높다는 것을 바로 직시할 수 있다. 특히 외주 업체의 노트북이 IT메인센터로 들어가 최고 루트 권한을 가지고 삭제 명령을 실행했다는 점은 농협의 IT체계에 대한 총체적인 문제점을 드러내고 있다.

 

IT조직이 제역할을 하고, CIO가 제대로 최고 책임의 역할을 가졌더라면 최고 루트권한에서 삭제명령을 쉽게 내리지 못했을 것이다. CIO의 직권을 거치지 않고서는 시스템 삭제를 진행하지 못하는 시스템이 미리 갖춰졌을 것이기 때문이다.

농협의 경우에는 이미 최고 루트 권한이 협력업체에게 맡겨져 있었다. 협력업체에 대한 신뢰가 높아서라기보다는 IT조직이 제구실을 못하고 있었기 때문이다. 이런 문제는 기업들이 IT엔지니어들을 경시하는 현상에서 나타난다.

 

우리나라 기업들은, 기업의 규모만큼 IT인력을 확충하지 않고, 기업에서 IT가 차지하고 있는 중요성만큼 엔지니어들을 대우하지 않는다. 그러다 보니 IT조직은 엔지니어가 아닌 비전문가들로 채워진다. 오히려 엔지니어들은 매우 낮은 직책을 가지고 있는 상황이다.

이런 상황에서 IT조직이 IT시스템을 유기적으로 운영하길 바라는 것은 매우 무리한 요구다. 보안도 그렇다. DNA가 절단된 IT체계에서 보안 허점을 찾는 것은 그다지 어려운 일이 아니다. 보안전문가들이 “공격자들이 마음만 먹으면 대한민국 시스템은 어디든 뚫을 수 있다”고 말하는 이유도 여기에 있다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>