시만텍, ‘IT 리스크 관리 보고서’ 발표
2006년 10월에 완료된 ‘시만텍 IT 리스크 관리 보고서’는 기업 임원들과 IT 운영 부서가 효과적인 IT 리스크 관리 전략을 수립할 수 있도록 지원하는 것을 목적으로 작성된 새로운 보고서다. 시만텍은 이를 위해 12개월간 질적, 양적 방법론을 활용해 조사를 진행했다. 이 조사는 각 산업군을 대표할 수 있는 글로벌 기업을 대상으로 이루어졌으며, IT관리자에서 최고위층 IT 임원에 이르는 총 500명의 응답자를 대상으로 실시되었다.
기업들, 수년 내 심각한 보안 혹은 컴플라이언스 사고 발생 예상
제 1호 ‘시만텍 IT 리스크 관리 보고서’에 따르면, 응답자의 대다수가 향후 1~5년 안에 보안 또는 컴플라이언스 사고로 인한 피해가 있을 것으로 예상하고 있었다. 특히, 응답자의 66%가 매 5년마다 적어도 한차례 이상 심각한 컴플라이언스 관련 사고가 발생할 것으로 예상했다. 또, 58%의 응답자는 데이터 센터 장애, 데이터 손상, 보안 침해 등으로 인한 심각한 데이터 손실이 매 5년마다 적어도 한 차례 이상 발생할 수 있는 것으로 예상했다.
기술 통제에 비해 프로세스 통제가 미약함
효과적인 IT 리스크 관리는 프로세스 통제 및 기술 통제 영역의 전문성과 투자를 모두 필요로 한다. 가장 효과적인 IT 리스크 관리 프로그램은 최고의 기술과 베스트 프랙티스로 검증된 프로세스를 결합시킨 정교한 통제 방법을 적용하는 것이다. ‘시만텍 IT 리스크 관리 보고서’에서 IT 전문가들은 업종, 규모, 지역을 막론하고 자신이 소속된 조직의 프로세스 통제 능력보다는 기술 통제 능력을 더 효과적이라고 평가하는 것으로 드러났다.
인증, 권한 할당 및 액세스 부문에서는 프로세스 통제가 가장 높은 효율성을 가진 것으로 평가됐으며, 68%의 응답자가 프로세스 통제가 자신의 기업에서 75% 이상의 효과를 거뒀다고 답변했다.
반면 프로세스 통제는 IT 자산을 확인하고, 분류하고, 관리하는 부분에서는 취약점을 드러냈다. 제 1호 ‘시만텍 IT 리스크 관리 보고서’에서, 자신의 조직이 자산 목록 작성, 분류 작업을 실행할 때 프로세스 통제가 75% 이상의 효율성을 보였다고 평가한 응답자는 단지 38%에 그쳤다.
조직의 우선 순위를 반영하는 IT 리스크 관리 프로그램을 구축하는데 있어 이러한 통제는 기본적으로 가장 중요한 이슈다. 정교한 리스크 진단이 뒷받침되지 않는다면, 모든 자산은 동등하게 취급될 수 밖에 없고 결과적으로 과잉 투자 또는 투자 부족의 결과를 낳게 된다.
엔터프라이즈 전략 그룹의 수석 연구원인 존 올트식 (Jon Oltsik)은 “이제 기업들은 수동적인 IT 리스크 관리 전략보다는 능동적인 접근 방법을 취하는 것이 더 가치가 있음을 인식하기 시작했다”면서 “효과적인 IT 리스크 관리를 위해서 조직들은 기술과 프로세스를 모두 정확히 진단해야 하며, 시스템과 비즈니스 전반에 영향을 미칠 수 있는 다양한 리스크에 대한 이해와 합의가 필요하다”고 밝혔다.
IT 조직 내부의 역할에 따라 리스크에 대한 인식 차이 존재
‘시만텍 IT 리스크 관리 보고서’는 IT 관리자와 IT 직원의 조직의 IT리스크 노출에 관한 인식이 서로 크게 다르다는 것을 밝혀냈다. 특히 컴플라이언스 리스크와 비즈니스 프로세스와 관련한 리스크 인식에서 더욱 큰 차이가 드러났다. 예를 들어, IT 임원급의 8%가 비즈니스 프로세스 리스크를 중요하게 인식한 반면에 IT 이사급은 22%의 비율을 보였다. 또한, 23%의 IT 최고위층 임원이 컴플라이언스 리스크를 중요하게 인식한 반면에 IT 이사급에서는 16%가 이와 같은 답변을 했다.
시만텍은 IT 및 비즈니스 전 영역이 서로 긴밀하게 연계 되어야 하며, 이것이 성공적인 IT 리스크 관리 투자의 관건이 된다고 믿는다. 내부 IT 담당자들의 견해 차이는 대규모 비즈니스 환경에서 잘못된 업무 조율로 인한 리스크의 원인이 될 수도 있다. 그리고 이는 통제에 대한 투자 과잉 혹은 투자 부족을 유발하여 비효율적인 IT 리스크 관리 프로그램과 자원 낭비로 이어질 수 있다.
시만텍코리아의 윤문석 사장은 “오늘날 기업들의 IT 시스템에 대한 의존도가 점점 더 높아지고 있다. 이에 따라, IT 리스크는 비즈니스 리더들이 가장 우선적으로 고려해야 하고, 더 큰 비즈니스 리스크 관리 전략의 일부로 중요히 다루어야 하는 과제로 자리잡았다” 라며 “‘시만텍 IT 리스크 관리 보고서’는 전세계 다양한 조직에서 IT 리스크를 어떻게 인식하고 있는지에 대한 포괄적인 이해를 제공한다” 고 밝혔다.
IT 리스크 관리에 대한 포괄적인 접근이 사고를 미연에 방지
‘시만텍 IT 리스크 관리 보고서’에서는 IT 리스크 관리를 가장 뛰어난 ‘최우수 (Best-in-Class) 조직’의 특성을 확인했다. 시만텍은 응답자들이 16가지의 통제 영역에서 자신이 속한 기업의 효율성을 평가하도록 하고, 이 중 상위 25%의 응답자들을 ‘최우수 조직’으로 정의했다. 이러한 조직들은 컴플라이언스와 비즈니스 프로세스 리스크 관리 수준이 높았으며, 반면에 IT 사고 발생의 가능성은 낮았다. 또한 ‘최우수 조직’은 리스크 관리에 대해 포괄적인 관점에서 리스크 관리에 접근하였으며, 프로세스 통제를 비롯해 다양한 통제 부문에서 높은 효율성을 보였다. 이와 반대로, 비효율적인 조직은 광범위한 통제 영역을 구축하기 보다는 사소한 기술적 통제에 집중하는 경향을 보였다.
‘시만텍 IT 리스크 관리 보고서’는 기업들에게 IT 리스크 관리 전략의 효율성의 평가를 위한 척도와 권고안을 제시하고 있다. ‘시만텍 IT 리스크 관리 보고서’의 전체 원문은 www.symantec.com/riskreport 에서 확인할 수 있다.
