각종 제도장치 통한 세부사항 수립 의지 강해

정보보호 거버넌스, BRM(Business Relation Management), 운영위원회, 차지백 등은 기업 IT부서 및 CIO에 대한 인식 전환, 현업과 밀착된 비즈니스를 위한 일종의 제도장치들이다.
이러한 장치들은 IT가 현업부서와의 협업 및 소통을 통해 위상을 격상할 수 있는 발판으로 활용될 수 있다는 의견으로 전 산업군에 걸쳐 강화·확산되는 추세다.
현재 각 사의 정보보호 거버넌스 수립 및 이와 관련된 운영위원회(Steering Committee)는 적극적으로 구축 운영 중이다. 이는 법 발효에 따른 의무적인 대응이라는 점과 함께 보안이슈에 대한 결정권을 다양한 현업 관련자들과 함께 보다 신속하게 결정하기 위함이다.
또한 차지백의 경우 국내·글로벌 업체 모두 회계, 인사까지 이어지는 경우는 전무하나 국내 현황에 맞게끔 변환시켜 준비하려는 움직임을 보이고 있다. 하지만 글로벌 기업의 경우 지사 IT가 본사 통합으로 이어지면서 국내 환경에 맞게 장착시키면서 본 의미의 차지백이 축소돼 이뤄지는 경우도 존재한다.
현업과 IT부서의 소통 창구로 활용되고 있는 BRM은 사업 다각화와 외부 환경 변화가 커질수록 조직 체계가 강화된다는 특징으로 최근에는 대다수 기업에서 이를 운영 중인 것으로 나타났다. 이번 호에서는 각 사 제도적 장치 구성과 운영 현황을 통해 이들이 어떻게 활용하고 있는지에 대해 알아봤다.

이지혜 팀장 jh_lee@ciociso.com

거버넌스, 운영협의체로 보안 대응 강화 
한 금융업 CIO는 “국내 IT시장 특징 중 하나는 거버넌스를 굉장히 꺼려한다는 것이다. 하지만 프로세스, 법률, 프로세스적인 모든 부분을 관할하기 위해서는 강력한 가이드라인이 필수”라며 “예를 들어 외국의 경우 한 기업의 CEO가 될 사람은 오딧이나 감사를 필수적으로 거치는 등 심사를 통과해야만 가능하다”고 덧붙였다.
정보보호 거버넌스 역시 마찬가지이다. 김대일 메트라이프 생명보험 상무는 “당사는 정보보안에 따른 리스크에 대한 지속적인 교육과 가이드라인이 강화되면서 관련 운영위원회의 강화, 온라인상 주기적인 정보보안 프로그램을 받게 돼있는 등 한층 강화된 거버넌스 체제를 보유하고 있다”고 말해다.
메트라이프 생명보험은 현재 컴플라이언스 Officer, 감사, CIO, 타 현업 헤드 임원 등 정규 임원 6명 외에도 실무 간사진들로 구성된 정보보호 위원회가 지난 2010년도부터 운영돼오고 있다. 김 상무는 “특히 보안과 관련된 비용 발생 부분을 두 달에 한차례 정보보호 위원회에서 의사결정 중이며, 개선·보류에 대한 결정 및 준법감시 팀에서 상정한 법안들에 대한 액션 플랜을 세운다”고 전했다.
오세임 우리투자증권 상무 역시 “보통 정보보호 거버넌스가 IT거버넌스의 일부라고 생각하고 있는 경우도 있지만 정반대로 상위개념을 지닌다”라며 “국내는 외국에 비해 보안 강화 노력이 다소 늦은 감도 있지만 정교하고 세밀화돼 있다는 차이가 있다”고 말했다.
이에 따라 우리투자증권은 정보보호에 대한 재고와 함께 사용자들의 인식재고가 톱니바퀴처럼 맞물려 갈수 있도록 하는데 중점을 둔다는 방침이다.
오 상무는 “관련 운영위원회로는 개인정보 협의체와 개인정보 위원회가 있으며 당사 인프라를 어떻게 활용해 보안을 강화시킬지, 또는 진화된 보안 시장에 따라 법·직원 의식을 어떻게 변화시킬지에 대한 작업들을 병행 중”이라고 전했다.
실제로 15명의 부서장들로 구성된 우리투자증권 개인정보협의체는 회사 전체의 개인정보에 대한 의사결정과 의견을 제시하는 실무협의체이다.
한편 6명의 구성원으로 구성된 개인정보위원회는 개인정보협의체에서 결정되지 못한 사항을 다루는 의사결정체로 보다 정책적인 의사결정을 하게 되며 CPO가 위원장을 맡고 있다.
오 상무는 “이슈 발생 시 수시로 운영위원회를 여는 것은 물론이며 기존 한 달에 한번 운영되던 방식에서 2주에 한번으로 바뀌었다”고 덧붙였다.
현재 본사 차원의 ‘One IT’를 모토로 하고 있는 필립스 전자는 본사차원의 프라이빗 Officer가 내정돼 있다. 김경석 필립스 전자 상무는 “각 로컬의 CIO 내정 대신 로컬별로 IT서비스 분야 매니저로 바뀌는 조직 변화가 있었지만 한국지사 CIO를 역임할 당시 CISO역할을 겸임해 보안 거버넌스 체제 수립과정을 총괄했었다”며 “하지만 본사 보안 매니저가 따로 내정되며 모든 업무를 넘기라는 지시사항이 있었지만 국내 개인정보보호법에 따른 한국 법인 임원이 보안 담당자를 하게 돼 있는 규정 때문에 아직 이 부분에 대한 세부사항에 대해서는 조율 중”이라고 설명했다. 이는 국내 현황에 맞게 수립된 정보보호 거버넌스가 글로벌 본사로 넘어갈 경우 또 다른 보안 문제점이 발생할 수 있기 때문이며, 국내법 적용을 따라야 한다는 해결점이 존재하기 때문이다.

차지백 제 역할 아직 시기상조
현재 국내기업들은 차지백 제도를 인사와 평가까지 이어지게 하는 완벽한 체제는 갖추지 못하는 한계를 보이고 있다.
그 결과 IT프로젝트 수행 시 비용절감이 이뤄져야 할 때 실무자 선에서만 암암리에 해결하려는 경우가 허다하며, 결국 추가 비용이 하급단에서 이미 지급됐거나 관련 벤더사와 얼굴 붉혀지는 사례가 발생할 수 있다는 문제점이 발생한다.
김대일 메트라이프 생명보험 상무는 “외국계 기업인 당사를 비롯해 국내에 안착한 어느 글로벌 기업에서도 인사와 평가까지 이어지는 차지백 제도를 실행하기에는 다소 어려움이 따른다”고 말했다.
김 상무는 “발전소가 생산할 수 있는 와트(watt)는 정해져있는데 사용자가 더 원할 경우에는 어쩔 수 없이 추가 차지비용을 물 수밖에 없다”며 “기업 IT를 인소싱 하는 경우에는 차지백을 수행하기에 더욱 어려움이 따르지만 그나마 외국기업은 국내 기업보다 대응방법론이 강화돼 있는 수준이다”라고 설명했다.
실제로 메트라이프 생명보험은 본사 차원의 예산 수립, 집행, 피드백에 대한 과정들이 거버넌스화 돼있으며 차지백 개념보다 ‘리소스&예산’의 컨트롤 개념으로 집행되고 있다.
김 상무는 “일반적으로 국내 IT는 사업계획을 짤 때 익년 비용을 감안해 예산을 받지만 당사의 경우 사전에 현업 사업계획 추진 시 기대효과와 하드웨어·소프트웨어 개발 비용이 얼마가 들지에 대한 세세한 자료를 미리 받고 있다”라고 밝혔다.
또한 ‘맨 데이(man-day)’를 계산하고 있는데 이는 분석과 리소스를 통한 가용인력을 측정해 개량화 시키는 작업이다.
김 상무는 “예를 들면 백 명의 직원이 한 해 동안 일하는 날을 230일로 책정한다면 100x230으로 계산해 현업이 요구하는 리소스가 여기에서 초과될 경우 각 비즈니스와 추가 차지를 조율해 사전 리포팅을 하는 등 비용의 계량화 작업을 진행한다고 볼 수 있다”고 말했다. 이때 가장 먼저 우선순위를 주는 것은 법률 관련, 세일즈 도움 여부 등에 대한 순으로 지정하고 있다.
한편 우리투자증권은 오는 2013년까지 IT코스트를 현업들에게 단순하게 이해시킴과 동시에  의미 있게 차지를 부여하는 방법에 대한 전략을 구상중이다.
오세임 우리투자증권 상무는 “비용의 공정성과 수요에 대한 절제, IT효율성 등의 이유로 진행 중이며 향후 인사나 평가까지 직결시키기 위한 단계적 절차를 밟아가고 있는 중”이라고 전했다.
오 상무는 “특히 올해 들어 업계 시장이 어려워지고 금융제제가 강화되다보니 결국 비용문제에 대한 부분에 대해 임직원들의 민감한 반응이 나타나고 있다”며 “어느 곳에 비용을 지출하는지에 대해 알리고, 또 알아야 하는지는 기업 운영 중 가장 기본적인 원리라고 생각한다”며 차지백 수립에 대한 적정한 시기가 왔다고 전망했다.
필립스 전자는 이전 각 로컬별로 차지백을 진행했지만 현재는 글로벌 차원의 GSA(Global Service Agreement)라는 명칭으로 글로벌 본사가 각 나라별 IT비용과 Operating Function, 회계 등을 부담하는 형태로 가고 있다.
하지만 이에 대해 차지백의 투명성이 사라지고 있다는 우려점도 나오고 있는 것으로 알려졌다. 김 상무는 “과거 국내 SLA(Service Level Agreement)를 갖고 서비스 카테고리 별 비용을 측정해서 현업에 차지 할 당시만 해도 어떤 부분에 얼만큼의 예산이 소요됐는지에 대한 확인이 가능해 신뢰성이 높았다”며 “하지만 현재 글로벌에서 일괄적으로 산정해 각 비즈니스 또는 헤드 섹터(Sector)에서 각 섹터에 차지하게 되면서 이를 일일이 확인할 수 없게 돼 투명성이 떨어지고 있다”고 지적했다.

BRM, 명칭은 달라도 현업과 IT 소통창구
IT와 비즈니스의 연결 고리를 맡고 있는 BRM조직은 기업마다 해당 부서명에는 차이점이 존재한다.
메트라이프 생명보험에서는 BA(Business Analyst)또는 BSA (Business Service Analyst)로 현업과 아웃소싱 개발자 사이의 관련 직원들을 총칭하고 있다.
김대일 메트라이프 생명보험 상무는 “현업이 IT로 BR(Business Reqirement)을 넘기면 다음은 코딩단계로 들어가는데 이 부분에 있어 중요한 점은 관련 담당자들의 사전 교육과 훈련 ”이라며 “이러한 이유로 현재 당사에서는 본사 지시로 코딩작업이 아웃소싱으로 진행되고 있으며 핵심 업무는 인소싱과 오픈쉐어 중 내부 협의 중”이라고 말했다.
하지만 애로사항도 존재하기 마련이다. 바로 BSA가 코딩을 할 수 있는 능력이 없기 때문에 현업 입장에서는 IT개발자와 소통 시 단절이 올수 있고 지식의 내적 축적화가 취약해진다는 점이다.
우리투자증권은 2009년부터 BRM조직을 운영해오고 있다. 오세임 우리투자증권 상무는 “당사 BRM조직은 초기 리테일 산하에 있었지만 작년 7월부터 홀세일(whole sale)과 트레이드 등을 모두 담당하기 위해 조직 개편이 이뤄졌다”며 “현재처럼 외부 환경이 복잡해지거나 사업 영역이 넓어질수록 BRM조직이 강화되는 경향이 있다”고 설명했다.
이는 현업과 IT가 서로의 업무를 이해하고 시장 환경의 호조로 비용 이슈가 적어질 경우에는 BRM조직의 축소가 이뤄진다는 점과는 상반된 현상이다.
오 상무는 “BRM조직이 현업과 IT업무를 동시에 맡는다는 것은 매우 어려운 일이지만 현업의 요구와 IT의 의견을 중간에서 튜닝해줄 수 있는 자질이 최우선 요구된다”며 “하나의 프로젝트를 매니징 할 수 있는 능력으로 IT와 현업을 리딩할 수 있는 부분이 매우 중요하다”고 강조했다.
필립스 전자의 경우는 글로벌 ‘One IT’방침에 따라 각 지사별로 BRM이 진행되고 있지는 않다. 하지만 ‘One face, Two customer’라는 모토 아래 엔드 유저들의 서비스 요구사항을 처리해주는 ‘One IT Service Desk‘라는 프로젝트가 조만간 한국 지사에서 오픈된다.
김경석 필립스 전자 상무는 “이는 엔드유저들이 로컬 지역에 대한 문제점을 본사에 건의하면, 글로벌 서비스 데스크에서 해당 로컬 원 사이트 매니저에게 통보시켜 서비스를 지원해주는 방식이다”라며 “One IT Service Desk는 바로 이러한 매니저들의 업무가 제대로 시행되고 있는지, 비즈니스 가치가 있는지, 운영이 원활한지에 대한 크게 세 부분을 모니터링 하는 작업이 주를 이룬다”고 설명했다.