2016.04.18

"규제 때문에 클라우드 못써요"...금융·의료업계의 '비겁한' 변명

Andy Patrizio | CIO
기업이 클라우드를 도입하지 않는 데는 저마다의 이유가 있다. 특히 의료와 금융 서비스 등 규제가 엄격한 업종의 기업은 클라우드와 그 잠재적인 이점을 꺼리는 이유로 '규제'를 언급한다. 그러나 전문가는 이들 업종의 CIO와 IT 관리자가 클라우드 서비스와 애플리케이션을 도입하지 않는 이유로 준수성을 들먹이는 것은 단지 클라우드로 이행하고 싶지 않은 것이라고 지적한다.

CIO 전략 자문이자 컨설팅 기업 AVOA의 대표 톰 크로포드는 "클라우드가 덜 안전하다는 인식이 팽배해 있다. 그중 일부는 내 데이터센터가 아니면 보안은 불가능하다는 잘못된 근거에서 시작된다. 대부분은 사실이 아니다. 내부적인 시스템이 덜 안전한 경우가 많다"고 말했다.

클라우드 업체의 서비스가 더 안전한 이유는 간단하다. 그들에게 보안 신뢰성을 잃는 것은 죽음과도 같기 때문이다. 그래서 많은 기업이 적용하지 않는 더 강력한 방식으로 보안을 강화한다.

크로포드는 "일반 기업의 내부 보안은 그저 직무 기술표의 품목명이 되는 경향이 있다. 반면 클라우드 업체에는 보안을 담당하는 부서와 팀이 있다. 이것이 그들의 유일한 목표이다. 따라서 자신의 직무 기술표에 한 줄로 보안을 기술한 사람이 있는 기업과 전담 부서가 있는 기업만큼의 차이가 존재한다"고 말했다.

보안 파일 전송 및 데이터 모니터링 소프트웨어 개발 기업 IFT(Ipswitch File Transfer)의 수석 제품 마케팅 관리자 폴 캐스티글리온은 규제 준수 관련해서도 클라우드 업체가 오히려 더 전문성을 갖는 경우가 많다고 말했다.

그는 "우리 같은 클라우드 업체는 규제를 파악하는 데 많은 시간을 보낸다. 우리는 PCI와 HIPAA 인증을 받았다. 꽤 전문가라고 자부한다. 반면 자체적으로 준수성을 갖추려는 기업은 교육은 물론 이와 관련된 모든 요건, 즉 침투 시험, 접근 통제, 준수성에 관한 모든 물리적인 요건에 직접 투자해야 한다"고 말했다.

변명 또 변명
크로포드는 준수성이 기업 전체가 아닌 특정 앱과 데이터센터에 관한 것일 때 클라우드를 거부하기 위해 '준수성'을 내세우는 경우가 많다고 말했다. 그는 "문제를 살펴보면 데이터와 이런 앱의 구체적인 일부 또는 구성요소만 다루고 있다. 그들은 문제를 분석해 영향을 받는 작업 부하와 데이터를 살펴보지도 않는다"고 말했다.

따라서 클라우드를 도입하지 않는 변명이 많은 것은 결국 도입하고 싶지 않기 때문이다. 그 배경에는 일자리 걱정이 자리 잡고 있다. 기업은 수 십 년 동안 자체 데이터센터를 운영해 왔다. 기업의 데이터와 애플리케이션이 기업을 떠나 다른 곳으로 옮겨지는 것을 처음 겪는 50대의 CIO에게 클라우드를 이해시키기는 쉽지 않다.

크로포드는 "우리는 자체 데이터센터를 운영하는 방식에 익숙하지만, 이제는 그럴 필요가 없다는 사실을 깨달아야 한다. IT에서는 우리가 변화의 에이전트라고 말하지만 안타깝게도 그들이 생각하는 만큼 변화를 불러일으키지는 못하고 있다"고 말했다.

기업의 규모에 따라서도 문제가 달라진다. 오하이오 지역에서 로펌을 대상으로 기술 서비스를 제공하는 기술 컨설팅 기업 스플리스넷(Splicenet)의 설립자 제임스 개스트는 "전담 IT 인력이 없는 소기업은 컴퓨팅 서비스와 제품을 파악하는 직원이 없어 더 소극적일 수 있다"고 말했다.

그는 "직원 20명 정도의 로펌에 클라우드를 판매할 때 대기업 규모의 로펌보다 더 많은 반대에 부딪히는 이유는 클라우드를 파악하는 전문 인력이 없기 때문이다. 이 정도 규모 로펌에서는 변호사가 클라우드를 파악할 시간이 없다. 반대하는 것이 어쩌면 당연하다"라고 말했다.

생명공학 제약기업 아코다 테라퓨틱스(Acorda Therapeutics)의 IT 인프라 부책임자 조쉬 바우어도 이런 분석에 동의했다. 특히 일부 기업은 클라우드 시장의 빠른 발전 속도를 따라가지 못하고 있다는 해석을 내놨다.

그는 "규모가 더 작은 업체는 뒤처져서 아직 클라우드 앱이 없을 수 있다. 그들이 직접 설치 혹은 클라우드를 모두 제공하는 경우 직접 설치를 선택하는 경우가 많다. 반면 수년 동안 클라우드를 준비한 대기업은 앱 관련해 더 좋은 정책을 갖고 있고, SLA 계약이 충실하다. 심지어 우리가 제공할 수 있는 것보다 더 나은 업타임(Uptime)을 제공한다. 차이가 있을 수밖에 없다"고 말했다.

해결책
그렇다면 이런 문제를 어떻게 해결해야 할까. 전문가들은 단지 적절한 홍보만 있으면 된다고 말한다. 기업에 그들이 도입할 수 있는 클라우드를 교육하거나 이미 자신도 모르는 사이에 이미 클라우드를 사용하고 있을 수도 있다는 뜻이다.

크로포드는 "클라우드를 일관되게 거부하는 IT 조직이 있다. 그들은 클라우드가 일시적인 유행이며 안전하지 못하다고 생각한다. 기업에서 사용할 만큼 충분히 준비돼 있지 않다고도 말한다. 하지만 이들에게 세일즈포스(Salesforce)를 사용하는지 물어보면 십중팔구 그렇다고 답한다. 세일즈포스가 클라우드 기업이라는 것도 모르는 것이다. 매우 슬픈 일이다"라고 말했다.

개스트는 "고객에게 '클라우드'라고 말하는 순간 그들은 다른 생각을 하므로 '클라우드'란 말을 쓰지 않으려 한다. 당장 데이터를 소유하지 못한다고 생각한다. 하지만 클라우드는 지금보다 더 여러 곳에서 더 자주 접근할 수 있는 곳에 문서를 보관하는 것이다. 그들이 클라우드를 더 잘 이해할 수 있도록 돕는다면 그들도 장점을 알기 시작할 것이다"라고 말했다.

단, 그는 클라우드를 이해하지 못하는 사람에게 판매할 수 있는 다른 방법이 필요하다고 말했다. 기술적인 특성을 설명하는 대신 어떤 장점을 누리며 사용할 수 있는지를 이야기해야 한다는 것이다. 개스트는 "사람들은 이야기에 더 잘 반응한다. 클라우드나 자동차 모두 마찬가지이다. 그들이 이해하고 이에 관해 이야기하도록 하는 것이 중요하다"고 말했다.

그래서 IFT은 많은 고객에 클라우드를 교육하고 이를 위해 준수성을 이해하는 자체 감사팀과 협력하고 있다. 캐스티글리온은 "준수성은 여전히 기업의 책임이기 때문에 이 책임까지 회피하는 일은 없다. 하지만 자신이 무엇을 찾고 있는지 또는 재판매자로부터 필요한 기대치에 대해 기준을 세우는 데 어려움을 겪는 기업이 많다"고 말했다.

크로포드는 "유일한 방법은 이런 사람과 신뢰 관계를 구축해 그들의 걱정과 생각을 이해하고 그들이 클라우드 업체의 의견에 귀를 기울일 만큼 개방적인 자세를 취하도록 만드는 것이다. 물론 쉬운 일이 아니다. 절대 하룻밤 만에 이루어지지 않는다"고 말했다. ciokr@idg.co.kr


2016.04.18

"규제 때문에 클라우드 못써요"...금융·의료업계의 '비겁한' 변명

Andy Patrizio | CIO
기업이 클라우드를 도입하지 않는 데는 저마다의 이유가 있다. 특히 의료와 금융 서비스 등 규제가 엄격한 업종의 기업은 클라우드와 그 잠재적인 이점을 꺼리는 이유로 '규제'를 언급한다. 그러나 전문가는 이들 업종의 CIO와 IT 관리자가 클라우드 서비스와 애플리케이션을 도입하지 않는 이유로 준수성을 들먹이는 것은 단지 클라우드로 이행하고 싶지 않은 것이라고 지적한다.

CIO 전략 자문이자 컨설팅 기업 AVOA의 대표 톰 크로포드는 "클라우드가 덜 안전하다는 인식이 팽배해 있다. 그중 일부는 내 데이터센터가 아니면 보안은 불가능하다는 잘못된 근거에서 시작된다. 대부분은 사실이 아니다. 내부적인 시스템이 덜 안전한 경우가 많다"고 말했다.

클라우드 업체의 서비스가 더 안전한 이유는 간단하다. 그들에게 보안 신뢰성을 잃는 것은 죽음과도 같기 때문이다. 그래서 많은 기업이 적용하지 않는 더 강력한 방식으로 보안을 강화한다.

크로포드는 "일반 기업의 내부 보안은 그저 직무 기술표의 품목명이 되는 경향이 있다. 반면 클라우드 업체에는 보안을 담당하는 부서와 팀이 있다. 이것이 그들의 유일한 목표이다. 따라서 자신의 직무 기술표에 한 줄로 보안을 기술한 사람이 있는 기업과 전담 부서가 있는 기업만큼의 차이가 존재한다"고 말했다.

보안 파일 전송 및 데이터 모니터링 소프트웨어 개발 기업 IFT(Ipswitch File Transfer)의 수석 제품 마케팅 관리자 폴 캐스티글리온은 규제 준수 관련해서도 클라우드 업체가 오히려 더 전문성을 갖는 경우가 많다고 말했다.

그는 "우리 같은 클라우드 업체는 규제를 파악하는 데 많은 시간을 보낸다. 우리는 PCI와 HIPAA 인증을 받았다. 꽤 전문가라고 자부한다. 반면 자체적으로 준수성을 갖추려는 기업은 교육은 물론 이와 관련된 모든 요건, 즉 침투 시험, 접근 통제, 준수성에 관한 모든 물리적인 요건에 직접 투자해야 한다"고 말했다.

변명 또 변명
크로포드는 준수성이 기업 전체가 아닌 특정 앱과 데이터센터에 관한 것일 때 클라우드를 거부하기 위해 '준수성'을 내세우는 경우가 많다고 말했다. 그는 "문제를 살펴보면 데이터와 이런 앱의 구체적인 일부 또는 구성요소만 다루고 있다. 그들은 문제를 분석해 영향을 받는 작업 부하와 데이터를 살펴보지도 않는다"고 말했다.

따라서 클라우드를 도입하지 않는 변명이 많은 것은 결국 도입하고 싶지 않기 때문이다. 그 배경에는 일자리 걱정이 자리 잡고 있다. 기업은 수 십 년 동안 자체 데이터센터를 운영해 왔다. 기업의 데이터와 애플리케이션이 기업을 떠나 다른 곳으로 옮겨지는 것을 처음 겪는 50대의 CIO에게 클라우드를 이해시키기는 쉽지 않다.

크로포드는 "우리는 자체 데이터센터를 운영하는 방식에 익숙하지만, 이제는 그럴 필요가 없다는 사실을 깨달아야 한다. IT에서는 우리가 변화의 에이전트라고 말하지만 안타깝게도 그들이 생각하는 만큼 변화를 불러일으키지는 못하고 있다"고 말했다.

기업의 규모에 따라서도 문제가 달라진다. 오하이오 지역에서 로펌을 대상으로 기술 서비스를 제공하는 기술 컨설팅 기업 스플리스넷(Splicenet)의 설립자 제임스 개스트는 "전담 IT 인력이 없는 소기업은 컴퓨팅 서비스와 제품을 파악하는 직원이 없어 더 소극적일 수 있다"고 말했다.

그는 "직원 20명 정도의 로펌에 클라우드를 판매할 때 대기업 규모의 로펌보다 더 많은 반대에 부딪히는 이유는 클라우드를 파악하는 전문 인력이 없기 때문이다. 이 정도 규모 로펌에서는 변호사가 클라우드를 파악할 시간이 없다. 반대하는 것이 어쩌면 당연하다"라고 말했다.

생명공학 제약기업 아코다 테라퓨틱스(Acorda Therapeutics)의 IT 인프라 부책임자 조쉬 바우어도 이런 분석에 동의했다. 특히 일부 기업은 클라우드 시장의 빠른 발전 속도를 따라가지 못하고 있다는 해석을 내놨다.

그는 "규모가 더 작은 업체는 뒤처져서 아직 클라우드 앱이 없을 수 있다. 그들이 직접 설치 혹은 클라우드를 모두 제공하는 경우 직접 설치를 선택하는 경우가 많다. 반면 수년 동안 클라우드를 준비한 대기업은 앱 관련해 더 좋은 정책을 갖고 있고, SLA 계약이 충실하다. 심지어 우리가 제공할 수 있는 것보다 더 나은 업타임(Uptime)을 제공한다. 차이가 있을 수밖에 없다"고 말했다.

해결책
그렇다면 이런 문제를 어떻게 해결해야 할까. 전문가들은 단지 적절한 홍보만 있으면 된다고 말한다. 기업에 그들이 도입할 수 있는 클라우드를 교육하거나 이미 자신도 모르는 사이에 이미 클라우드를 사용하고 있을 수도 있다는 뜻이다.

크로포드는 "클라우드를 일관되게 거부하는 IT 조직이 있다. 그들은 클라우드가 일시적인 유행이며 안전하지 못하다고 생각한다. 기업에서 사용할 만큼 충분히 준비돼 있지 않다고도 말한다. 하지만 이들에게 세일즈포스(Salesforce)를 사용하는지 물어보면 십중팔구 그렇다고 답한다. 세일즈포스가 클라우드 기업이라는 것도 모르는 것이다. 매우 슬픈 일이다"라고 말했다.

개스트는 "고객에게 '클라우드'라고 말하는 순간 그들은 다른 생각을 하므로 '클라우드'란 말을 쓰지 않으려 한다. 당장 데이터를 소유하지 못한다고 생각한다. 하지만 클라우드는 지금보다 더 여러 곳에서 더 자주 접근할 수 있는 곳에 문서를 보관하는 것이다. 그들이 클라우드를 더 잘 이해할 수 있도록 돕는다면 그들도 장점을 알기 시작할 것이다"라고 말했다.

단, 그는 클라우드를 이해하지 못하는 사람에게 판매할 수 있는 다른 방법이 필요하다고 말했다. 기술적인 특성을 설명하는 대신 어떤 장점을 누리며 사용할 수 있는지를 이야기해야 한다는 것이다. 개스트는 "사람들은 이야기에 더 잘 반응한다. 클라우드나 자동차 모두 마찬가지이다. 그들이 이해하고 이에 관해 이야기하도록 하는 것이 중요하다"고 말했다.

그래서 IFT은 많은 고객에 클라우드를 교육하고 이를 위해 준수성을 이해하는 자체 감사팀과 협력하고 있다. 캐스티글리온은 "준수성은 여전히 기업의 책임이기 때문에 이 책임까지 회피하는 일은 없다. 하지만 자신이 무엇을 찾고 있는지 또는 재판매자로부터 필요한 기대치에 대해 기준을 세우는 데 어려움을 겪는 기업이 많다"고 말했다.

크로포드는 "유일한 방법은 이런 사람과 신뢰 관계를 구축해 그들의 걱정과 생각을 이해하고 그들이 클라우드 업체의 의견에 귀를 기울일 만큼 개방적인 자세를 취하도록 만드는 것이다. 물론 쉬운 일이 아니다. 절대 하룻밤 만에 이루어지지 않는다"고 말했다. ciokr@idg.co.kr


X