비즈니스 프로세스와 시스템간 위험요소 하나로 접근 … 리스크 허용범위 따라 탄력적 대처
성장하는 기업의 투자 우선순위는 가용성(Availability) 확보가 강하며 상대적으로 다른 요소는 비교적 중요하지 않게 다뤄졌다는 느낌을 받을 때가 비일비재하다. IT리스크 관리에 있어 ‘4A 프레임워크’가 의미 있는 것은 비즈니스와 IT인력들이 비즈니스 프로세스와 그를 지원하는 시스템간에 내재돼 있는 위험요소를 하나의 관점으로 바라볼 수 있게 해준다는 것이다. 이와 같은 시각으로 접근했을 때 의미 있는 해결책도 도출될 수 있다. 이번 호에서는 ‘4A 리스크 관리 프레임워크’에 대해 심도 있게 알아본다. <편집자주>
연재순서
1회 : 경쟁력 확보 위한 IT 인프라 진화 전략
2회 : IT 리스크 매니지먼트 (이번호)
강재준 // 한국오라클 이사
jaejoon.kang@oracle.com
웨스트맨 & 헌터에 의하면 IT 리스크를 4가지 관점에서 접근하고 있다. 지난 호에서도 언급했지만 비즈니스 관점에서 IT 리스크를 설명하는 것이 중요하기 때문이다. 4A 프레임워크 관점에서 바라봤을 때 IT 리스크란, 기업의 목표를 달성하는데 저해 요소가 되는 사항을 Availability(가용성), Access(접근성), Accuracy(정확도), Agility(민첩성)의 요소로 분석하는 것이다. 여기에 포함된 4가지의 요소는 우리가 흔히 기술적 관점에서 말하는 개념보다는 한층 포괄적인 것이다. 또한 현재 고객 환경 분석으로 지난 시간 동안 기 투자된 내용을 보면 어느 한 요소에 편중되게 투자가 이뤄졌음을 알 수 있다.
- 가용성(Availability): 이것은 하나의 시스템(비즈니스 프로세스)이 지속적으로 작동하게끔 하며 장애에서 복구될 수 있도록 하는 모든 것을 포함한다.
- 접근성(Access): 데이터와 시스템에 대한 적절한 접근을 허용하는 모든 것을 포함한다. 즉 정당한 목적을 갖는 사람이 필요한 시스템과 데이터를 접근 하도록 해주는 모든 것을 포함하며 민감한 정보를 오용·남용 하지 못하게 하는 것도 포함한다.
- 정확성(Accuracy): 정보의 소비자인 경영층 관계자, 고객, 공급업자, 규제 당국 등이 정확하고, 시기적으로 적절한 시간에 완전한 정보를 제공해줄 수 있는 모든 것을 포함한다.
- 민첩성(Agility): 경영환경의 변화에 적응할 수 있는 능력을 말하는 포괄적인 개념으로 관리 비용과 적응 속도를 포함하는 의미이다. 가령 M&A 환경에서 피 인수 되는 기업의 비즈니스 프로세스를 기존시스템과 통합하며 이때 필요한 프로세스 제 구축에 소요되는 비용과 속도를 고려한 개념을 말한다.
4A를 활용한 IT 리스크 관리 방안
다음 <표>는 경영층을 대표하는 경영관리자와 중간 관리자 격인 비즈니스 운영관리자 및 IT관리자들이 함께 고려해볼 수 있는 질의 샘플을 정리한 것이다. 이러한 질문들은 경영관리자가 여러 환경 하에서 나타나는 위험들을 친숙한 비즈니스적 언어로 풀어서 설명함으로써 위험에 관련된 환경적 조건들에 친숙하게 해 회사의 여러 분야 및 단계별로 존재하는 리스크 허용범위(tolerance)가 어떻게 변경 가능한지에 대한 깊은 고찰을 할 수 있게 해준다. 이러한 고찰을 주기적으로 하게 됨으로써, 경영층에서는 비즈니스 운영과 전략수립에 필요한 높은 ‘하이 레벨 체인지(high level change)’를 인식할 수 있다.
일반적으로 이러한 경영층의 하이 레벨 고찰 시에 CIO도 대화의 한 주체가 되기도 한다. <표>의 고려사항은 기술적이기 보다 비즈니스 우선순위에 관련된 비즈니스 주제가 대부분이기 때문에 CIO는 IT 리스크의 관리적 측면을 고려해 대화의 주제와 답변과정에 참여하게 된다. 이때 중요한 부분은 ‘어떤 위험이 가장 주요한가’, ‘왜 그런지에 대한 상호 도출 과정’ 등이며 각각 상이한 부분을 수행하는 이해관계자들이 상호 위험을 이해하며 동의하게 된다.
4A 프레임워크 활용한 리스크 분석 트레이드-오프
4A 프레임워크를 사용해 리스크를 분석하다 보면 현재 기업이 당면하고 있는 위험에 대비하는 해결책을 찾고 그에 부합하는 투자계획을 수립할 수 있게 해준다. 이런 위험에 대한 고려를 하지 않고 투자를 결정하게 되면 위험이 존재 하지도 않은 분야에 과투자를 하게 되거나 필요한 부분에는 투자를 하지 않게 되는 악순환이 반복된다. 여러 가지 사례를 보면서 알아 보자.
사례 1: 비표준 패키지의 구매
하나의 비즈니스 부서가 회사의 표준 기술 아키텍처에 맞지 않는 소프트웨어 패키지를 구매하려고 한다. 또 다른 패키지는 사내 표준에 부합하지만 현재의 비즈니스 프로세스를 약간 변경해 사용해야 한다.
이러한 사항은 사내에서 많은 의견충돌을 야기시킨다. 만약 기업정서가 단순한 기술표준의 준수에 입각해 도입될 패키지를 선택하는 편이라면 표준준수가 힘을 얻을 것이다. 하지만 논의의 중심이 도입될 패키지가 내포하는 비즈니스적 리스크의 차이에 입각해서 진행된다면 경영주체는 좀더 비즈니스적으로 중요한 관점에서 논의를 진행하며 결정을 내리게 된다.
비표준 패키지가 액세스적 관점에서 어떠한 리스크를 내포하고 있는지(사내 표준 보안 프로세스와 어떻게 통합될 수 있는지, 만약 통합될 수 없다면 어떤 일이 발생하는지), 그리고 가용성 관점에서 누가 그 시스템을 지원하며 만약 장애가 발생하면 어느 정도 허용범위를 가질지, 그리고 정확성 관점에서 고려 사항은 기존의 재무 및 제조 시스템이 갖고 있는 데이터 모델과 얼마나 쉽게 통합되는지를 살펴야 한다. 마지막으로 민첩성적 관점에서 고려 사항은 회사의 표준 비즈니스 프로세스를 지원하도록 하기 위해 사내 인적자원의 능력에 어떠한 영향을 주며 비즈니스 모델이 변경될 경우 얼마나 유연하게 지원하게 될지 등의 사항들이 될 것이다.
새로 구매되는 패키지의 결정 요소는 단순한 기능별 비교가 아닌 4A적 관점에서 비즈니스적 리스크 관점에서 여러 가지 가능성을 고려해 비즈니스가 결정하는데 필요한 정보를 다각도로 분석해 결정해야 한다.
사례 2: M&A시 시스템 통합
오늘날 빈번하게 발생하는 경우가 M&A시에 발생하는 시스템 통합 사례다. 통합하는 회사와 통합되는 회사의 시스템들을 어떤 관점에서 통합해야 하느냐에 대한 고려 사항 중에서 중요한 부분을 4A가 제공해줄 수 있다.
단순히 피 통합 되는 시스템을 변경하는 것이 아니라 IT 리스크와 그에 상응하는 비즈니스 결과를 4A적 측면에서 분석해 리스크가 최소인 방향으로 통합하는 전략을 세워야 한다. 구현돼 있는 기술적 배경과 프로세스를 분석해 공통부분이 많은 것 중심으로 통합 표준화를 가져가면 가용성과 접근성에 관련된 리스크를 최소화 할 수 있다.
그 이유는 표준화된 하나의 기술을 관리하면 그만큼 리스크를 최소화할 수 있기 때문이다. 정확도 리스크는 공통된 방법으로 생성되며 자동으로 통합될 때 최소화된다. 민첩성 리스크 또한 표준화된 기술로 통합될 때 변경의 어려움을 최소화하며 관련된 비용도 감소되기 때문에 최소화가 가능하다.
사례 3: 성장중심과 통제시스템 고려
빠르게 성장하는 기업은 간혹 새로운 프로세스와 애플리케이션의 도입을 빈번하게 적용 변경해 IT시스템의 통제 및 표준에 대한 고려를 등한시 하게 된다. 빠른 시장진입에 대한 압력이 높은 만큼 빠른 시스템 도입에 대한 무게 중심이 효과적인 운영(통제된 운영)보다 항상 우선순위에 있기 때문이다. 아마도 현재 한국에 구축된 많은 비즈니스 시스템이 이런 상황과 유사하다. 다시 말해서 접근성 및 정확도 보다는 민첩성에 관련된 위험이 더 중요하게 여겨지기 때문이다.
그러나 부적절한 통제와 관리 프로세스는 시간이 흐를수록 새로운 위험들을 처하게 한다. 접근성 리스크는 패스워드에 관련한 이슈들을 야기시키며 필요이상으로 시스템들이 서로 의존적으로 돼 보안적으로 취약한 인프라를 가지게 한다. 시스템이 증가하면서 각각의 시스템들이 가지고 있는 정보들은 다른 방식으로 관리하게 되는 정확성 리스크를 증가시킨다. 또한 시스템들이 복잡하게 얽히게 되면서 애플리케이션 변경작업은 점점 더 어렵게 된다.
IT 리스크 관리의 3가지 핵심 사항
IT 리스크 관리의 주제를 볼 때 다음과 같은 핵심 3가지 요소가 리스크 관리 능력을 결정하게 된다. 3가지 핵심 요소들은 각각의 요소도 중요하지만 서로 연관돼 작용하는 하나의 주체로 작용해 기업의 엔터프라이즈 리스크 프로파일을 향상시키는데 핵심역할을 수행한다.
- IT 자산의 구조화된 파운데이션 : IT 인프라를 구성하는 기 도입된 기술들과 이를 지원하는 인적자원 및 지원체계가 상호적으로 잘 이해되고 있으며 관리된다. 필요이상으로 복잡한 구조를 갖지 않도록 한다.
- 제대로 정립된 리스크 거버넌스 프로세스 : 관련 모든 위험사항에 대한 기업단위의 뷰가 잘 정립돼 있어서 중하위 관리자들은 자기가 속한 분야의 위험관리를 계속하면서도 경영층은 각각의 위험관리에 대한 우선순위 결정과 적절한 보안투자를 지속적으로 하게 한다.
- 리스크 인식 기업 문화 : 회사의 모든 사원들이 리스크에 관련한 적절한 인식을 가지고 서로 토론을 통한 위험제고 기업문화를 구축한다.
또한 이 3개의 핵심 요소들은 앞서 설명한 4A 프레임워크를 보완해 준다. 즉, 4A관점이 기업의 IT 리스크 관리 능력에 대한 방향성을 설정하는 역할을 담당한다면 이 3개의 핵심 요소들은 구체적으로 IT 리스크 프로파일을 만들어 기업의 목표에 부합하게 하는가에 대한 실제적인 혁신 목표를 수립하게 해 준다. 또한 이러한 3개지 핵심 요소들이 리스크를 감안한 IT 진화 전략을 수립해 지속적으로 수행할 수 있다는 확신을 경영층에 심어주게 된다.
파운데이션, 프로세스, 어웨어니스는 각각의 역할을 통해서 서로 보완적인 역할을 하며 4A의 여러 가지 다른 측면에서 설명한다. 즉 회사의 조직과 기술적 측면 업무절차 그리고 조직의 행동 양식 등을 향상시키면서 핵심3가지 요소가 긍정적인 시너지 역할을 수행한다.
파운데이션(Foundation)이란 전사의 IT 자산, 관리 절차와 지원인력의 전반적인 집합을 의미하며 이런 것들이 비즈니스 프로세스를 지원해 중요한 결정을 내리는데 중요한 역할을 수행한다. 이런 파운데이션을 경쟁력 있는 수준으로 유지 관리하는 것 즉, 이런 파운데이션에 무엇이 있으며 잘 관리 되고 있음을 확신하는 것은 모든 기업에 있어서 핵심 역량이 된다. 그런 다음 기업은 절대적인 필요에 의해 일정수준 이상으로 복잡하게 진화해 나가야 한다. 이런 파운데이션 중심의 접근 방법은 다음과 같은 효과를 가져 온다.
- 파운데이션에서 발견되는 결함을 즉시 시정해 중장기적으로 취약성 개선에 효과적으로 대처하게 함
- 파운데이션의 단순화는 장기적으로 봤을 때 비용절감이나 리스크의 감소측면에서 가장 비용대비 효과적인 리스크 관리 전략임
- 파운데이션의 단순화는 4A의 모든 부분에서 리스크를 단순화 시키며 다른 2가지 핵심요소를 쉽게 관리하게 함
파운데이션 중심의 접근 방법이 가지고 있는 이슈들은 다음과 같다.
- 파운데이션에 존재하는 결함을 찾는 노력과 개선안을 도출 하는 초기 방안이 상상한 노력을 요구함
- 애플리케이션을 단순화하기 위한 인프라의 단순화 과정은 더 어려울 수 있으며 비용 또한 더 들어갈 수 있음
- 단순화는 상당한 시간이 필요하며 증분식으로 진행됨.
한편, 리스크 거버넌스라고 하는 것은 기업단위의 모든 위험을 제공하는 일련의 프로세스들, 정책들, 그리고 구조들을 총체적으로 말하는데, 경영층에서 위험관리의 우선순위를 결정하여 적절한 투자결정을 하게 하며 중하위 관리자들에게는 그들에게 가장 중요한 위험을 우선으로 관리하게 하는 이중성을 가지고 있다. 리스크 거버넌스 중심의 접근방법의 혜택은 다음과 같다.
- IT 리스크의 총합적 엔터프라이즈 뷰를 제공한다
- 리스크 관리의 통합을 수행하는데 전략적 접근을 가능하게 하는 최선의 방법임
- 리스크에 있어서 과투자 및 투자 미비한 분야를 잘 상대적으로 조명해 준다
리스크 거버넌스 중심의 접근방법의 이슈들은 다음과 같다.
- 경영층의 업무 오버헤드가 예상된다
- 리스크 거버넌스 프로세스가 잘 관리되지 않을 경우 총체적인 수행의 지연이 발생함
- 또 다른 하나의 행정적 단계로 인식될 수 있음
리스크 어웨어니스는 기업의 모든 부서 구성원들이 위험을 인식하며, 서로 상의해서 리스크를 관리하기 위해 각 개개인이 취해야 할 책임을 인식하게끔 한다. 리스크를 중요하게 인식한 기업은 특정 부서를 할당해 업무를 수행하도록 하기도 하지만 일반적으로 위험에 대한 문화를 형성해 인식의 수준을 높이는 노력을 기울인다. 리스크 어웨어니스 중심적 접근방법의 혜택은 다음과 같다.
- 리스크에 대한 인식 문제는 매우 중요하다. 심지어 베스트 프랙티스도 인지하지 못하는 사원에게는 실패한다
- 핵심 리스크를 추진하는 전문팀은 전사적 위험과 해결방안을 구축하는데 도움을 준다
- 리스크를 인지하는 기업문화는 하나의 팀으로서 위험을 토론하고 관리하는 의지를 향상시킨다
리스크 어웨어니스 중심적 접근방법의 이슈는 다음과 같다.
- 리스크 어웨어니스 접근 방법은 최상의 경영층의 관심을 요구한다. 경영층의 관심이 배제된 리스크 관리는 효과적이지 못하다
- 훈련 및 교육만으론 리스크 어웨어 문화를 이룰 수 없다. 정책 및 프로세스와 기업문화에 녹아 있어야 한다
- 리스크에 특화된 조직과 일반적인 인식방법에 균형을 맞추기가 어렵다.
