시만텍, ‘IT 리스크 관리 보고서’ 제 2호 발간
보고서가 지적한 IT 리스크에 대한 대표적인 오해는 ▲IT 리스크 관리는 IT 보안과 동일하다 ▲IT 리스크 관리는 주기적으로 수행하는 단기 프로젝트다 ▲대부분의 IT 리스크 관리 과제는 기술만으로 해결 가능하다 ▲IT 리스크 관리에는 시간, 지역, 비즈니스 환경에 관계 없이 동일한 원칙이 적용된다 등 4가지다.
오해1 "IT 리스크 관리는 IT 보안과 같은 말이다"
IT 전문가들은 IT 리스크를 보안 리스크를 탐지, 제거하는 것과 동일시했던 전통적인 사고에서 벗어나, 더 광범위한 관점을 가지기 시작하고 있는 것으로 나타났다. 조사 응답자의 78%가 가용성 리스크를 가장 중요한 이슈로 꼽았으며, 보안 70%, 성능 68%, 컴플라이언스 63% 순이다. 대부분의 응답자들이 각 리스크 카테고리에 비슷한 수준의 중요도를 부여한 것은 IT 전문가들이 보안에만 치중했던 과거의 IT 리스크 접근 방식에서 벗어나 보다 균형 잡힌 관점을 가지기 시작했다는 것을 보여준다.
조사에 따르면 보안 및 컴플라이언스 리스크는 일단 사고가 발생할 경우 그 가시성과 영향력이 크기 때문에 관리자들의 높은 관심을 받고 있다. 그러나 이 보고서는 가용성 리스크에 대한 중요도 인식이 눈에 띄게 높아지고 있다고 지적하고, 이는 가용성 저하가 가져올 수 있는 큰 금전적 손해 때문인 것으로 분석했다.
오해2 "IT 리스크 관리는 특정 시기에만 수행하면 되는 단기 프로젝트다"
IT 리스크 관리가 시작과 끝이 있는 하나의 프로젝트, 혹은 주기적으로 특정 시기에만 실시되는 작업이라는 인식은 IT 리스크 관리의 역동적인 성격을 이해하지 못해 생기는 오해다. 비즈니스 환경의 변화에 민첩하게 적응하기 위해서는 IT 리스크를 지속적으로 관리해야 할 대상으로 이해해야 한다. 오늘날과 같은 기업 환경에서 IT 보안, 컴플라이언스, 가용성 및 성능 사고는 급속도로 확산될 수 있다. 응답자들의 69%가 작은규모의 IT 사고가 한달에 한번 발생할 것으로 예상했으며, 63%가 최소 1년에 한 번 중대한 IT 오류 상황이 발생할 것으로, 26%의 응답자들이 규제 미준수 사고가 최소 1년에 한 번 꼴로 발생할 것으로, 25%의 응답자들이 데이터 유출 사고가 최소 1년에 한 번 발생할 것으로 예상했다.
보고서는 효과적으로 IT 리스크 관리를 하고 있는 기업은 전체적인 접근 방법을 택하고 있지만, 많은 기업들이 자산 구분 및 관리와 같은 가장 근본적인 리스크 관리 제어 시스템 도입에 실패하고 있는 것으로 드러났다. 단 40%의 응답자들이 효과적인 성능을 경험하고 있다고 답했으며, 34%의 응답자들만이 현재 비즈니스 환경에 필수적인 무선 및 모바일 기기 최신 인벤토리를 갖추고 있다고 답했다.
오해3 "대부분의 IT 리스크 관리 과제는 기술만으로 해결 가능하다"
리스크를 감소시키는데 있어 기술이 핵심적인 역할을 하는 것은 사실이지만, 기술이 인력과 프로세스를 뒷받침해야만 IT 리스크 관리 프로그램이 효과를 거둘 수 있다. 실제로 조사 결과에 따르면 IT 사고의 53%가 프로세스 문제로 인해 발생하는 것으로 나타났다. 이와는 반대로 응답자들의 프로세스 관리에 대한 중요성 인식은 제 1호 보고서에 조사 당시에 비해 오히려 더 낮아진 것으로 드러났다. 예를 들어, 교육 및 인식 프로그램의 효과에 대해 "75% 이상 효과적"이라고 응답한 비율은 제 1호 보고서에서 50%였으나, 금번 보고서에서는 43%로 감소했다.
자산 및 인벤토리 분류 제어의 중요도를 낮게 평가하는 경향은 여전했다. 또한 데이터 생명 주기 관리를 효과적이라고 평가한 응답자는 더 감소했다. 이러한 제어 툴이 취약하다는 것은 곧 모든 자산이 똑같이 관리되며, 시스템, 프로세스 및 대상의 가치 수준에 맞는 보호가 이뤄지지 않게 되는 것을 의미한다. 이는 결국에는 비용 및 서비스 비효율성을 초래한다.
안전한 애플리케이션 개발이 IT 리스크 관리에 효과적이라는 인식은 더 높아진 것으로 나타났다.
오해4 "IT 리스크 관리에는 시간, 지역, 비즈니스 환경에 관계없이 동일한 원칙이 적용된다"
보고서는 "IT 리스크 관리가 고정불변의 법칙이 아니라 끊임없이 진화하는 과정"이라고 강조했다. IT 리스크 관리가 기업과 직원이 변화하는 비즈니스 및 기술 환경에 적응해가면서 쌓여가는 경험에 크게 의존하는 게 문제라는 지적이다. 최근에는 IT 리스크 관리가 운영 리스크 관리, 생산 프로세스 규칙, 비즈니스 및 IT 거버넌스 등 다양한 변수를 포함하고 있다는 공감대가 전문가들 사이에서 확대되고 있긴 하지만, 실무자들은 아직도 이 같은 인식이 미비한 수준이다.
보고서에 따르면, 의료 산업군의 응답자들이 다른 산업군에 비해 가장 많은 IT 사고를 예상하고 있는 것으로 나타났다. 해당 산업 특유의 복잡성이나 다루는 정보의 기밀성, 그리고 강력한 컴플라이언스 요구 사항을 고려했을 때, 이는 우려되는 상황이다. 통신 산업은 기업 전체에 IT 리스크 관리 제어 시스템을 도입하는 비율이 가장 높았으며, 은행 및 금융 서비스 산업이 근소한 차로 그 뒤를 이었다. 통신 및 금융 산업의 이러한 성공적인 IT 리스크 관리 시스템 적용은 이 두 산업군에서 확대되고 있는 거버넌스 및 컴플라이언스 요구와 개인 정보 보호에 대한 우려가 원인인 것으로 보인다.
'시만텍 IT 리스크 관리 보고서' 제 2호의 전체 원문은 http://www.symantec.com/business/theme.jsp?themeid=inform.에서 확인할 수 있다.
강현주 기자
jjoo@itdaily.kr