기술(Technology)이 기업의 성공과 생존에 더욱더 중요해지고 있다. 이에 따라 IT 리더들이 비즈니스 과제 및 기회를 평가하는 더 크고 전략적인 역할을 맡고 있다.
2021년 1월 英 기술 회사 비자기(Bizagi)의 초대 CIO로 취임한 안토니오 바스케스는 문제가 모든 곳에서 발생할 수 있다고 말했다.
이를테면 보안, 데이터 프라이버시, 컴플라이언스, 벤더 관계, 비용 관리, 직원의 시스템 액세스, 직원 채용, IT 프로젝트 등 다양한 영역에서 문제가 있을 수 있다고 그는 덧붙였다.
이에 따라 바스케스는 직원들이 소속 기업의 사이버보안 정책 및 표준을 이해하고 준수하는지 검토하고 있다.
또한 공급업체들이 회사의 요구사항을 충족하는 속도로 현대화할지, 공급업체 비용이 급증할지, 혁신 투자를 통해 고객이 원하는 경험을 전달할 수 있을지(아니면 고객과의 관계를 악화시킬지) 파악하고 있다.
그는 “프로젝트, 계약, 또는 새로운 절차를 생각할 때 위험을 고려해야 한다”라면서, “지난 1년 동안 모든 사람들은 예기치 않은 위험이 언제든 발생할 수 있다는 걸 알게 됐다”라고 언급했다.
이어서 바스케스는 “상황이 상당히 달라졌다. 2년 전만 해도 모든 것을 통제하고 있다고 봤다. 이제는 그렇지 않다는 걸 깨닫게 됐다. 문서와 표준을 마련할 순 있겠지만 갑자기 무슨 일이 발생하면 모든 게 변한다”라고 전했다.
비즈니스 리더가 위험을 식별하고 위험 성향과 위험 허용 한도를 파악해야 한다는 건 당연하다. 하지만 기업이 직면하는 위험 유형이 변화하고 있고, 이러한 변화의 속도도 빨라지고 있다. 따라서 기업은 위험 허용 한도를 더 자주 재평가해야 한다.
이러한 상황에서 CIO의 역할도 진화하고 있다. 팬데믹을 비롯한 최근의 사태에서 알 수 있는 것처럼, 기술이 기업의 성공과 생존에서 점점 더 중요해지고 있기 때문이다.
CIO는 새로운 위험 영역을 평가하고 아울러 위험 성향, 위험 허용 한도 및 한계점을 재설정해야 한다. 이러한 모든 것이 포스트 팬데믹 시대의 새로운 과제 및 비즈니스 기회와 직면하면서 달라지고 있어서다.
바스케스는 “각 프로젝트나 프로세스에 따라 감당할 수 있는 위험의 정도가 다르다”라며, “그리고 포스트 팬데믹 시대에서 위험에 관한 매개변수가 변했다”라고 말했다.
새로운 IT 위험의 시대
CIO가 그 어느 때보다 더 많은 위험을 다루게 되면서 이러한 위험을 잘못 판단하는 데 따르는 대가도 점점 더 커지고 있다. 기업이 모든 기능을 견고한 시스템에 전적으로 의존하게 됐기 때문이다.
위기 시에 종이와 펜으로(예전으로) 돌아가는 건 더 이상 선택지가 아니다. CIO는 위험 요소를 정확하게 파악해야 하며, 그러자면 고려해야 할 사항이 많다.
‘보안 위험’은 많은 CIO가 우려하는 문제 중 하나다. 2021년 5월 美 최대 송유관 운영업체 콜로니얼 파이프라인(Colonial Pipeline)이 공격받은 사건(보호되지 않는 VPN이 원인으로 지목됐다)을 포함해 늦봄에 있었던 다발적인 랜섬웨어 공격들은 이 영역에서 CIO가 당면한 과제를 확실하게 부각시켰다.
또한 CIO들은 ‘잊혀질 권리(Right to be forgotten)’와 같은 규제와 법률이 늘어나고, 이에 따라 데이터가 어디 있는지 정확하게 파악해야 하면서 ‘컴플라이언스 위험’에도 갈수록 중점을 두고 있다.
보스턴 컨설팅 그룹(Boston Consulting Group)의 전무이사 겸 수석 파트너인 벤자민 레버그에 따르면 이는 회사의 기술 환경, 아키텍처, 애플리케이션에 좌우된다. 그는 “실질적인 단일 진실 공급원(SSOT)이 무엇인지, 시스템이 해당 SSOT에만 액세스하는지 명확하게 모른다면 컴플라이언스 위험이 커진다”라고 지적했다.
‘레거시 시스템과 관련된 위험’ 역시 큰 문제다. 이는 팬데믹에서 명확히 드러났다. 구식 기술을 클라우드 솔루션으로 대체한 기업이 구식 시스템을 유지한 기업보다 원격근무와 새로운 비즈니스 모델로 더 원활하게 이동했기 때문이다.
한편 ‘현대화 및 트랜스포메이션(그리고 이를 제공하기 위한 빠른 속도)’도 CIO가 고려해야 할 위험을 야기한다.
스크럼닷오알지(Scrum.org)의 COO 에릭 네이버그는 “더욱더 빠르게 결과물을 전달하라는 압박을 받기 일쑤다. 그래서 이해관계자의 피드백을 받기 위한 시간을 들이지 않고 있다”라면서, “이는 위험이다. 팀이 계속해서 더 많이 구축할수록 변경하기 더 어려워진다. 아키텍처를 다시 설계해야 한다면 당연히 시간이 지연된다”라고 설명했다.
‘벤더 관련 위험’도 CIO가 우려하는 부분에 속한다. 2020년 솔라윈즈(SolarWinds) 해킹 사건은 기술 공급업체의 문제가 어떻게 기업 IT 부서와 기업 전체에 문제를 일으킬 수 있는지 명확하게 보여줬다.
매니지드 서비스 업체, 비즈니스 파트너에 의해 위험이 초래되는 등 ‘기업 에코시스템에서 고려해야 할 위험 요소’도 있다. 예를 들어 클라우드 업체의 시스템 중단은 해당 업체가 회사의 핵심 시스템을 호스팅한다면 CIO에게 크나큰 위험일 수 있다.
‘데이터 무결성과 관련된 위험’도 주요 우려사항으로 떠올랐다. 포레스터 리서치(Forrester Research)의 애널리스트 앨라 밸런트에 따르면 기업은 의사결정, 자동화, 지능형 시스템을 위해 데이터를 점점 더 많이 활용하고 있다. 그 결과 많은 기업에서 완벽하지 않은 데이터 무결성에 관한 허용 오차가 감소했다.
이 밖에 비즈니스 외부에는 허리케인, 산불, 경기침체, 팬데믹 등 사회에 큰 영향을 미치는 위험도 있다.
이번 인터뷰에 응한 애널리스트, 상임 고문, IT 리더들은 CIO가 이러한 모든 위험을 평가하는 방법은 기업마다 다르다고 언급했다. 다만 CIO가 동료 경영진과 함께 포스트 팬데믹 전략을 수립할 때 위험 문제를 더 자주 검토한다는 게 주목해야 할 트렌드라고 말했다.
네이버그는 “CIO들은 방금 일어난 일에서 교훈을 얻고 적응하고 있다. 그리고 위험을 제거할 곳과 방법을 파악하고 있다”라고 전했다.
비즈니스와 연계된 전략적 위험 관리
미국 오리건 주 클랙카머스 커뮤니티 대학(Clackamas Community College)의 CIO 세이비 와라이치는 앞서 언급한 위험 요소에 동의하면서, 다른 CIO와 마찬가지로 위험 허용 한도가 여러 이유로 인해 바뀌고 있다고 덧붙였다.
그는 최근 근처에서 일어난 산불로 대학의 데이터센터가 직면한 위험을 예로 들었다.
와라이치는 CIO가 감당해야 할 위험을 고려할 때 모든 위험이 상호 연관돼 있고 비즈니스와도 서로 연결돼 있다고 말했다. 그는 “IT 위험은 없다. 용어를 비즈니스 위험으로 바꿔야 한다”라면서, “결국 데이터센터 화재는 IT에만 지장을 주는 게 아니라 조직 전체에 영향을 미친다. 심지어는 운영이 일시적으로 중단될 수도 있다”라고 설명했다.
이어서 “그래서 IT는 사일로화된 접근법으로 이러한 위험을 평가하면 안 된다. 결정을 내리더라도 비즈니스와 연계되지 않는다면 올바른 결정이 아니다”라고 와이라치는 덧붙였다.
그에 따르면 팬데믹은 이러한 접근법의 가치를 강화했다. 와이라치는 “2년 전만 해도 기술과 기술 관련 위험에만 중점을 뒀다. 팬데믹은 CIO로 하여금 비즈니스 위험에 초점을 맞추는 계기가 됐다. 그래야 비즈니스가 계속해서 원활하게 운영될 수 있었기 때문이다”라고 전했다. 와라이치는 (데이터센터에서든 트랜스포메이션 이니셔티브의 결과이든 간에) 문제 또는 중단이 비즈니스 부서와 기업 전체에 어떤 영향을 미칠지 고려하면서 위험을 평가한다고 밝혔다.
그다음 어떤 위험이 비즈니스 운영을 어느 정도까지 위태롭게 할 수 있는지 파악하고 해당 위험을 완화하는 작업의 우선순위를 지정해 이를 최상위 IT 목표로 설정한다고 말했다.
예를 들면 그는 많은 사용자가 근무시간 외에도 도움을 필요로 한다는 점을 감안해 헬프 데스크를 24시간 운영하지 않는 건 큰 위험이라고 진단했다. 그래서 이 위험을 완화하고자 챗봇을 도입했다. 한편 사이버 공격 증가와 사이버 보험료 상승을 고려해 다른 대학 리더들과 협력하여 보안 프로토콜 및 기술 제어 수단을 평가하고 있다고 덧붙였다.
포레스터 리서치의 인프라 및 운영 부문 수석 애널리스트 네이븐 챠브라는 이 접근법에 동의하면서, “기술 위험은 비즈니스 위험이다”라고 말했다.
포레스터에 따르면 위험을 식별하고 위험 성향과 위험 허용 한도를 설정하기 위해 CIO가 참여하는 위험 위원회를 구성하는 기업이 많아지고 있다.
이는 해당 매개변수에 맞춰 IT 부문에서 CIO가 해야 할 일의 방향을 정하는 데 도움을 준다.
CIO 및 CISO로 오랜 기간 재직했으며 현재는 사이버보안 컨설팅 업체 TCE 스트레이티지(TCE Strategy)의 CEO인 브라이스 오스틴도 CIO가 다른 경영진과 함께 이 문제를 두고 협력하는 것이 유의미하다고 말했다.
그는 IT의 내부 위험은 현업 부서뿐만 아니라 미래의 비즈니스 기회에도 위험이라고 강조했다.
이런 관점에서 오스틴은 CIO가 전략적 계획과 위험을 함께 고려하는 한편 상황 변화에 따라 두 가지 모두를 조정해야 한다고 조언했다.
위험이 발생할 경우 전략적 목표에 어떤 영향을 미칠지 중점을 둔다면 CIO는 각 IT 내부 위험에 관한 허용 한도를 더욱더 현명하게 파악할 수 있다는 게 그의 설명이다.
그러나 다른 한편으로 CIO가 위험을 너무 회피하려고 해서는 안 된다. 특히 세계가 앞으로 나아가고 다음에 닥칠 모든 것을 대비해야 하는 지금 같은 상황에선 특히 그러하다고 레버그는 말했다.
레버그는 “과감한 조치를 취할 의향이 있고 위험을 감수하겠다는 정신으로 이에 맞설 의지가 있는 CIO는 장기적으로 생존할 것이다”라면서, “기술은 이제 기업이 시장에 진출하는 데 있어 중추적인 요소다.
이는 위험 성향을 정의하고 CIO가 해야 할 일을 판단하는 데 도움을 준다. 그리고 이는 기업마다 지극히 다른 사안이자 비즈니스와 기술이 결합된 결정이다”라고 말했다.
바스케스도 이에 동의하면서 자신이 ‘계획적 위험(risk by design)’이라고 부르는 개념을 설명했다.
그는 “이 접근법은 위험 영역을 식별하고, 위험을 허용 가능한 수준으로 낮출 수 있는 완화책을 구현하며, 필요에 따라 조정하는 것이다. 이렇게 하면 비즈니스를 보호하는 한편 IT는 리소스 낭비를 막을 수 있다”라고 전했다.