중앙에서 관리하는 개발 방식은 속도와 혁신 저해해
분산해 봤더니 보안 리스크 커지고 비용도 늘어

[보안뉴스 문가용 기자] 지난 3년 동안 IT 업무 및 관리 프로세스에 눈에 띄는 변화가 일고 있다. 키워드는 분산(decentralization). 중앙에서 모든 개발 업무를 관리하는 이른바 워터폴(waterfall) 방식이 ‘빠르게 출시해야 하는’ 시장의 흐름과 맞지 않기 때문에 애자일(agile)이라는 방법론이 대두되면서 ‘중앙 관리’ 및 ‘중앙 통제’가 서서히 힘을 잃고 있기 때문이다.


그렇다고 애자일이 아직 대세에 오른 건 아니다. 가장 큰 이유는 ‘보안’이라는 측면에서 애자일의 안정성이 충분히 입증되지 않았기 때문이다. 이에 대해 VM웨어가 밴슨 본(Vanson Bourne)이라는 리서치 전문업체를 통해 연구를 실시했다.

이 연구는 올해 8~9월 동안 진행되었으며 약 20개의 산업에서 3,300명의 사람들이 참여했다. 지역별로는 미대륙이 24%, 아태지역이 39%, EMEA 지역이 36%였다. 이중 절반이 조직 내에서 IT 업무와 관련된 결정권을 가진 사람들이었고, 나머지 절반은 운영에 관한 결정을 내릴 수 있는 위치에 있었다.

응답자 중 69%는 “IT 관리에서 중앙 통제 및 관리의 개념이 지속적으로 약해지고 있는 걸 느낄 수 있었다”고 답했다. 하지만 이를 “긍정적이다”라고 답한 사람은 많지 않았다. 65%가 “중앙에서 관리하고 통제하는 편이 더 낫다”고 답한 것.

현재 이 ‘분산 체제’를 촉진시키고 있는 건 클라우드 컴퓨팅 기술이다. 개발에 참여하는 각 팀들 혹은 각 개발자들이 독자적으로 클라우드 서비스를 활용하면서 일을 진행하기 때문에 팀 단위, 혹은 개별 단위 업무 진행이 가능해졌으며, 이 때문에 중앙에서 뭔가를 통일하거나 관리하는 게 이전과는 많이 달라졌다.

이에 대해 57%의 응답자는 “보안성이 제대로 입증되지 않은 IT 솔루션을 구매하는 경우가 늘어났다”고 답했고, 60%는 “조직이 관리할 수 없는 곳에서 앱이 개발되고 있다”고 답했다. 56%는 데이터 보호를 위한 컴플라이언스가 더 어려워졌다고 말하기도 했다. 즉, 보안의 측면에 있어서 각자가 알아서 자유롭게 개발하는 애자일이 그다지 환영할만한 환경은 아니라는 것이다.

“조직 전체에 무슨 일이 일어나고 있나 파악하기가 매우 힘이 듭니다. 보안을 위해서는 가시성 확보가 제대로 되어야 하는데, 이게 매우 어려워지는 것이죠. 게다가 이 부서 저 부서가 독립적으로 일을 하다 보니 같은 솔루션을 두세 번 사는 경우도 빈번합니다. 비용 측면에서도 효율적이라고 볼 수 없습니다.” 벤슨 본 측의 설명이다.

응답자의 58%는 분산화된 개발 프로세스 때문에 그 누구도 주인정신을 가지고 있지 않고 책임감이 희박해진다고 답했다. 비용의 측면에서 조직 전체적으로 평균 5.7%가 올라가기도 했다. 실제로 응답자의 60%는 IT 비용이 두 배로 늘었다고 답했으며, 57%는 자기들이 돈을 얼마나 쓰고 있는지에 대한 감각 자체가 희박해지고 있다고 말했다.

“중앙에서 관리하는 게 느리기만 하고 답답해 보였는데, 막상 그것을 탈피하려고 보니 부작용들이 등장하고 있는 겁니다. 누군가 어느 정도는 알아서 책임지고 맡아서 해주던 정보보안을 이제 각자가 맡아서 책임을 져야 하니 오히려 개발자들의 업무가 늘어났죠. 애자일로 옮겨가는 게 틀린 것일 수도 있고, 지금이 그저 초기의 시행착오 단계일 수도 있습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>