16. 셰도우 IT가 기업을 지배한다
Shadow IT가 부른 기업 IT 환경의 변화
스마트폰의 보급으로 달라진 에자일 업무 환경
2009년 아이폰의 한국 상륙 이후로 스마트폰이 업무에 도입되었습니다. 스마트폰은 단순히 새로운 전화기를 의미하는 것이 아니라 새로운 PC를 의미했습니다. 사람들은 PC처럼 스마트폰에 다수의 애플리케이션을 설치하여 업무 생산성을 높였습니다. 스마트폰 앱들은 인터넷을 기반으로 SaaS (Software as a service) 클라우드 서비스와 연결되었습니다. 젊은 직원들은 PC와 스마트 폰을 넘나들면서 일을 할 수 있는 수많은 생산성 향상 앱들에 매료되었습니다. 직원들은 생산성 향상을 위한 앱들을 IT 부서에 요청하기 시작했습니다.
IT 부서는 스마트폰으로 인한 새로운 패러다임으로의 전환을 감지하지 못했습니다. 그들은 PC 시대의 전통적인 통제 방식을 그대로 적용하였습니다. 처음에는 스마트폰은 관리가 되지 않는다는 미명 하에 기업의 사내망 접속을 차단하였습니다. 곧바로 직원의 거센 항의와 경영진의 모바일 활용 압력이 증대되자 대책을 강구했습니다. 과거의 방식대로 강력한 MDM (모바일 기기 관리 시스템, Mobile Device Manager) 장비를 도입하여 스마트폰을 PC보다 더 강력하게 통제하고자 시도하였습니다. 스마트폰의 카메라 기능을 제어하여 물리적 보안을 강화하고, 스마트폰의 위치를 추적하였고, 지정된 앱 이외에는 설치하지 못하게 하였습니다. 직원들은 IT 부서의 대응을 비웃기라도 하듯 개인 스마트폰을 MDM 등록을 하지 않았고, 사내망도 활용하지 않았습니다.
직원들은 더 이상 IT 부서가 새로운 서비스나 툴을 제공할 때까지 기다리지 않았고, 인터넷에서 무료나 저가로 구매할 수 있는 클라우드 서비스를 사용했습니다. 스마트폰으로 촉발된 클라우드 기반의 SaaS 서비스 확대를 IT 부서는 인지하지 못했습니다. 드롭박스, 에버노트, 웹엑스, 슬랙 등의 수많은 SaaS 기반의 클라우드 서비스가 성공을 거두었고, 업무환경은 완전히 달라졌습니다.
이제 직원들은 에자일 업무 환경을 원합니다. 스마트폰 앱을 이용하는 것처럼 업무에서도 에자일하게 일하고 싶어 합니다. 에자일 업무 환경은 치열한 경쟁에서 이기기 위해 경영진들도 강력하게 원하기에 실무자에 의한 빠른 의사결정이 가능한 조직을 만듭니다. 기업들은 상명하복식의 수직적인 조직체계에서 프로젝트 단위로 움직이는 에자일한 조직 체계를 강조합니다. 기업의 예산 관리도 중앙에서 일괄 처리하여 일정하게 배분하는 것이 아니라 프로젝트 단위에서 직접 처리합니다. 각 프로젝트 단위에서 필요한 예산을 직접 집행하므로 필요한 클라우드 서비스를 적은 비용으로 이용할 수 있는 정기구독 방식의 클라우드 서비스가 인기를 끌게 됩니다. 스마트폰의 보급으로 인한 에자일 업무의 확산은 고전적인 IT 부서의 일방적인 통제가 작동하지 않게 만들었습니다.
쉐도우 IT (Shadow IT)란 무엇인가
직원들은 IT 부서가 제공하던지 안 하던지 상관없이 클라우드 서비스를 사용합니다. 직원들은 빠른 의사 결정과 생산성 향상을 위해 IT 부서가 중요시하는 절차를 크게 신경 쓰지 않습니다. 예를 들면, 고객이 시스코 웹엑스로 미팅을 제안하면, 어떤 직원도 거절하지 않습니다. IT 부서에서 접속을 차단한 경우 가까운 커피숍에서 노트북이나 스마트폰으로 접속합니다. IT 부서의 통제력이 미치지 못하는 사각지대가 더욱 커지고 있습니다.
Shadow IT는 기업의 IT 부서가 관리하거나 제공하지 않는 서비스를 직원들이 직접 구매하고, 기업 IT 부서는 직원들이 어떤 클라우드 서비스를 얼마나 어떻게 사용하는 지조차 파악하지 못하는 현상을 말합니다. 공식적으로는 보안이나 관리적인 이유로 회사에서 사용을 권장하지는 않지만 사용을 막을 수도 없습니다.
가트너는 2020년 기업의 IT 예산의 80%는 CIO가 인지하지 못하고 지출될 것이라고 보고 있습니다. 기업의 IT 부서는 Shadow IT 현상을 막을 수 없고 더욱 확대될 것입니다. IT 부서는 직원들이 필요로 하지만 제공하지 않는 클라우드 서비스를 지속적으로 무시할 것입니다. 왜냐하면, IT가 제공하지 않은 범위에서 발생하는 보안 사고는 IT 부서의 책임이 아니기 때문이기도 하고, 한정된 IT 예산으로 감당할 수 있는 서비스가 아니기도 합니다.
Shadow IT는 바라보는 관점마다 차이가 있습니다. 기업은 보안 위협의 증가, 비슷한 서비스의 중복, 그리고 불가능한 관리 및 통제를 이유로 매우 싫어합니다. 하지만, 직원들은 에자일한 업무 환경, 익숙한 사용자 경험, 그리고 손쉬운 서비스 신청 및 해제를 이유로 매우 선호합니다. Shadow IT 현상은 CIO의 의지나 IT 부서의 시스템으로 막거나 차단할 수 있는 뾰족한 방법이 없습니다.
Shadow IT를 포용할 수 있는 방법
Shadow IT 문제는 완벽한 차단이 아니라 포용의 방향으로 해결할 필요가 있습니다. 지금처럼 무조건 차단하는 방식은 통하지도 않을 뿐만 아니라 직원들의 불만 증가와 보안 위협에 노출될 뿐입니다. 기업의 업무환경은 에자일 업무를 위한 스마트워크로 진화할 것입니다. 즉, 내가 일하는 곳이 오피스라는 개념이 더욱 확대될 것입니다. 사실상 포용 이외의 방법은 없습니다. 물론, 느리지만 강력한 보안이 필요한 분야는 차단이 답일 수도 있습니다.
내가 일하는 곳이 오피스입니다.
임원들은 늘 하던 대로 보안 사고에 대한 강력한 처벌을 강조합니다. 처벌이 강력할수록 직원들은 느리고 안전한 업무 환경을 선호합니다. 직원들은 지금처럼 책임소재가 분명한 기업의 IT 자산만 사용하고 외부 환경에 대응이 느려집니다.
기업이 Show IT를 포용하기 위해 몇 가지를 고려해야 합니다. 첫째로, 스마트워크에 반드시 필요한 SaaS 기반의 클라우드 서비스를 전사적으로 도입합니다. 프로젝트 단위로 비슷한 클라우드 서비스를 도입할지도 모르지만, 직원들은 비슷하면서 저렴한 솔루션을 선택할 것입니다. 전사 도입은 IT 부서가 체계적으로 관리하고 보안을 적용할 수 있게 합니다. 둘째로, 직원들이 회사의 비즈니스 프로세스와 선택적으로 연계할 수 있어야 합니다. 회사에서 하나를 결정하면 모든 서비스가 일괄적으로 배포되는 것이 아니라 필요한 직원들이 필요한 서비스를 사용할 수 있도록 합니다. 일괄 배포의 문제점은 지금도 문제를 일으킵니다. 셋째로, 직원 교육 강화입니다. 보안은 시스템으로 해결할 수 있는 것은 한계가 있습니다. 사용 편의성을 강조하면 보안이 약해지고 보안을 강화하면 사용 편의성이 망가집니다. 적정한 줄타기를 할 수 있는 방법은 없습니다. 시스템으로 무조건 해결하는 것이 아니라 직원 교육을 병행하는 것이 좋습니다.
IT 부서는 지금 변해야 한다
요즘 기업들의 화두는 주 52시간제에 따른 이동근무, 유연근무, 모바일 오피스, 재택근무를 아우르는 스마트워크입니다. 새로운 밀레니엄 세대들이 기업에 전면적으로 등장하면서 일하는 방식이 바뀌었습니다. 그들은 클라우드 서비스와 모바일 기기를 중심으로 일합니다. 단지 IT 부서가 변화를 따라가지 못할 뿐입니다. 직원이 있는 곳이 사무실이 되는 환경을 IT가 지원해야 합니다. 더 이상 스마트워크를 노후화된 장비를 교체하거나 업그레이드하기 위한 명분으로 사용하지 말아야 합니다.
현재의 흐름으로 보면, 새로운 밀레니엄 세대는 IT 부서가 크게 필요하지 않습니다. 근시일 내에 IT 부서가 최소한의 지원만을 해 주어도 업무에 지장이 없는 상황이 올 것입니다. 예를 들면, 중소기업들은 직원이 회사에 입사하면 노트북과 필요기기는 가까운 매장에서 직접 구매합니다. 주요 소프트웨어는 회사의 매뉴얼에 따라 간단하게 설치하고, 추가적인 소프트웨어는 각자 구매합니다. SaaS 기반의 클라우드 서비스가 이런 환경을 가속화합니다. IT 부서의 역할은 더욱 자동화되고 단순화될 것입니다. IT 부서가 업무를 적극 지원하는 것이 아니라 방해하는 부서로 인식되지 말아야 합니다. 지금 IT 부서가 변해야 합니다.
