[심층기획/IT거버넌스①] IT리스크를 줄여라, 'IT거버넌스’의 핵심

'IT거버넌스'가 우리 나라 뿐만 아니라 전세계 IT시장의 화두로 떠오르고 있다. 

지금까지  기업들은 IT인프라의 확충에 주력해왔지만 정작 IT인프라를 최적화시키고, 나아가 IT로 인해 촉발될 수 있는 리스크(Risk)에 대해서는  상대적으로 소홀해왔다.  

'IT거버넌스'는 국내 IT시장에서 이제야 보편화되고 있는 주제이다. 일부 기업을 제외하곤 국내 대기업에서 아직 이렇다할 초보적인 IT거버넌스 구축 사례를 찾아보기 힘들다.

IT거버넌스의 개념 자체는 워낙 방대하다보니 기업의 전산실무자들 입장에서는 IT거버넌스를 위한 뚜렷한 로드맵을 내놓는 것이 쉽지 않다.

특히 최근에는 ITSM 이슈외에 계정관리, 시스템리스크관리, DB보안 등 내부 보안에 대한 것도 중요한 IT거버넌스의 범주에 포함되고 있는 상황이다.    

<디지털데일리>는 앞으로 11회에 걸쳐 [IT거버넌스]를 심층 기획시리즈로 연재할 계획이다.  이번 심층기획을 통해 급격하게 개념적 진화를 보이고 있는 IT거버넌스를 다시 정리해 보고 아울러 최근 IT거버넌스의 주요 투자 항목으로 떠오르고 있는 기업 보안관리에 대한 최신 동향도 소개할 방침이다.<편집자> 

 <글싣는 순서>

  ① IT 최적화를 위한 해법, IT거버넌스 
  ② IT거버넌스의 궁극적인 목표는 비즈니스 성과
  ③ IT거버넌스의 완성, ‘내부보안관리’에 주목하라
  ④ IT거버넌스를 위한 첫걸음 IT포트폴리오 관리
  ⑤ IT거버넌스와 코빗
  ⑥ IT자원관리가 왜 중요한가
  ⑦ IT보안관리 시장 커진다
  ⑧ 규제 준수와 보안관리 자동화를 위한 IM/IAM
  ⑨ IT자산의 취약점/보안위험관리
  ⑩ IT거버넌스 성공사례 (하나은행 등)
  ⑪ IT거버넌스 시장을 움직이는 주요 기업및 솔루션은 (주요 업체별 전략 중심)

최근 인기를 끌고 있는 개그코미디 프로그램 중에 ‘회장님의 방침’이라는 코너가 있다.

상사의 생뚱맞은 지시에  직원들은 “왜 해야하는지, 무엇때문에 해야하는지 모르겠다”고 투덜거리면서도 ‘회장님의 방침’이기 때문에 무조건 따라야 하는 직장인들의 '현실적' 애환을 그린 코너다.

약간 과장되기는 했지만 직장 생활을 하면서 이같은 하소연 한 번 해 보지 않은 사람은 없을 듯 하다.

그러나 이런 속사정은 직원들에게만 있는 것이 아니다.  회장님(경영진)도 “왜 해야하는지, 무엇때문에 해야 하는지” 잘 모르면서 투자하는 분야가 있다.

바로 정보기술(IT)투자다.

◆IT리스크는 기업 리스크…경영진이 IT 통제해야 = 기업들의 IT투자 비중은 점점 더 늘어나고 있다. 투자 비중이 높은 만큼 당연히 만큼 그에 대한 기대도 매우 높아지고 있다.

그러나 이처럼 기업들의 IT에 대한 기대심과 의존도가 높아진 만큼 리스크도 커지고 있다.

IT 리스크는 단순한 IT만의 문제가 아니라 기업의 존망을 결정짓는 심각한 리스크 요인으로 작용할 수 있다는 점에서 'IT 리스크 관리'는 중요한 기업의 화두로 등장하고 있다.  

예를 들어 은행의 정보시스템이 장기간 먹통이 될 경우, 대형 백화점의 POS단말기가 장애가 날 경우, 유명한 온라인 쇼핑몰에서 결제 장애가 생길 경우, 포스코와 같은 초대형 기업의 생산및 물류시스템에 장애가 날 경우, 이동통신사업자의 과금이 잘못될 경우 등 국내 주요 기업들은 이미 엄청난 IT리스크에 노출돼 있다.

어떻게 보면 IT인프라를 확장한 기업은 그만큼 IT리스크도 높아졌다는 역설적 상황인 것이다.

그러나 현실적으로, 기업의 막대한 리스크로 작용하는 IT 리스크를 경영진은 제대로 통제하지 못하고 있다.

경영진에게 IT는 여전히 속을 들여다 보기 힘든 '블랙박스'이다.

IT가 해당 목적을 달성하고 있는지, IT에 관련된 위험을 적절하게 관리하고 있는지, IT를 통한 기회를 적절하게 인식하고 이를 활용하고 있는지, CEO는 파악하고 있지 못한 것이 현실이다.

이같은 IT투자의 문제와 실행된 IT인프라의 리스크를 최소화하기 위해 등장한 개념이 바로 'IT 거버넌스'이다.

한국정보산업연합회 산하 IT거버넌스 협의회의 정의에 따르면, IT거버넌스란 ‘조직 목표를 위해 IT의 올바른 사용을 촉진하고 유도하도록 의사결정 권한과 책임을 설정하는 구조와 프로세스, 그리고 그 목표를 달성하고 성과를 관리하기 위한 메커니즘’으로 규정된다.

간단히 설명하자면, 회장님이 IT에 왜 투자해야 하는지, 투자한 IT가 어떤 성과를 내고 있는지 알 수 있도록 체계를 세우는 것이 IT거버넌스다. 

즉 경영진이 IT를 통제할 수 있는 체계를 구축하자는 것이다.

물 론 지금도 각 기업들은 IT를 통제하기 위한 나름대로의 체계를 가지고 있다. 그러나 지금까지는 이런 체계들이 기업 내에 부분적으로 흩어져 있었다.

이처럼 곳곳에 산재돼 있는 IT통제 프로세스를 하나의 관점아래 체계화하는 과정이 IT거버넌스다.

IT리스크가 곧 기업 리스크로 연결되는 현실이기 때문에 IT거버넌스 체계는 전체 기업 거버넌스의 한 부분으로 구축돼야 하며, 기업 전체의 전략과 목표에 따라 IT가 민첩하게 움직일 수 있도록 해야 한다.

한국정보시스템감사통제협회 황경태 회장(동국대 교수)는 “IT거버넌스는 일반적인 IT관리와는 다른 것”이라면서 “IT거버넌스에서 통제하는 주체는 IT부서가 아니라 CEO 및 이사회”라고 강조했다.

◆ “IT거버넌스는 솔루션이 아니다”= 기업의 IT시스템은 크게 기획-개발-운영(모니터링)-폐기라는 생명주기를 가지고 있다.

IT시스템을 구상해야 하고(기획), 프로젝트가 계획대로 잘 진행되고 있는지 관리해야 하며(개발), 한정된 IT 자원을 효율적으로 운영하는 동시에 성과를 평가해야 한다(운영).

IT거버넌스는 각 단계에 필요한 전략, 조직, 프로세스, 메카니즘, 시스템을 모두 제공하고 있어야 한다.

한화S&C IT효율화팀의 여명구 박사는 “IT거버넌스에 대해 하나의 솔루션이나 시스템이라고 이해하는 것은 잘못된 것”이라고 조언한다.  

그는 “기업을 사회에 비유하자면 IT거버넌스 체계는 하나의 법”이라면서 “솔루션은 법을 지키기 위한 많은 수단 중 하나일 뿐”이라고 강조했다.

그는 “어떤 기업은 IT거버넌스 체계 구축을 위해 많은 솔루션이 필요한 기업이 있지만, 어떤 기업들은 조직체계를 정비하고, 권한과 역할을 재규정하는 것만으로도 IT거버넌스를 이룰 수 있다"고 설명했다.

◆ IT거버넌스의 영역 = IT거버넌스의 주요 구성 요소로는 ▲비즈니스와 IT의 효율적 연계를 위한 계획과 구축 영역 ▲규제준수를 위한 영역▲IT운영 효율성을 위한 영역 ▲합리적 의사결정 및 성과관리 영역 등이 있다.

우 선 IT의 계획을 위한 분야로는 ITA/EA 등을 꼽을 수 있다. 규제준수에는 샤베인/옥슬리 법, 바젤II 등이 있고, IT운영과 과련해서는 IT서비스관리, IT자산관리 등이 있다.

합리적 의사결정, 성과관리를 위해서는 프로젝트 및 포트폴리오 관리, 투자대비성과 산출, 균형성과카드 등이 거론된다.

이들을 통합된 전략으로 엮어 하나의 관점아래 바라보게 되는 것이 IT거버넌스다.  각 기업들은 현재의 IT인프라와 투자역량, 인력, 조직, 전략 등을 진단하고 최적의 전략을 세워 장기적으로 접근할 필요가 있다.

앞서 언급했듯 솔루션 도입만으로 IT거버넌스를 완성하는 것은 불가능하다. 여 박사는  “큰 틀아래 장기적으로 접근해가면서 필요할 때마다 솔루션을 도입하는 것이 올바른 접근 법”이라고 설명했다.
 
이 때문에 IT거버넌스는 IT라기 보다는 '하나의 철학이자 문화'라고 볼 수 있다.

<심재석 기자> sjs@ddaily.co.kr

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지