Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

세상의 모든 IT 리서치 자료 - 넘버스 Numbers

검색 결과 약 13(0.06ms)
자료 출처 :
Cisco, 451Research
원본자료 다운로드
발행 날짜 :
2022년 05월 26일
주요 내용 :
시스코와 451 리서치가 ‘2022 글로벌 하이브리드 클라우드 동향 보고서(2022 Global Hybrid Cloud Trends Report)’를 발간했다. 보고서는 특히 네트워크팀과 클라우드팀 간의 협업을 더욱 강화해야만 보안, 효율성 및 클라우드 애플리케이션 성능을 향상시킬 수 있다고 강조했다.    ⓒGetty Images Bank 기업이 비즈니스 민첩성과 확장성을 확보하는 데 있어 하이브리드 클라우드와 멀티클라우드의 도입은 이제 기본이 됐다. 하지만 도입에 여전히 어려움을 겪는 것도 사실이다. 시스코와 451 리서치는 2,500명의 클라우드, 데브옵스 및 네트워킹 전문가를 대상으로 기업이 클라우드 환경을 어떻게 활용하고 있는지 측정하고 클라우드 서비스 사용의 이점과 과제는 무엇인지 조사했다.  "하이브리드 클라우드는 조직에 다양한 기회와 이점을 제공하지만, 많은 기업이 이러한 환경을 구축하는 데 여러 어려움을 겪고 있다. 클라우드 네이티브 아키텍처 등의 최신 기술을 도입하는 데 직원의 관심과 예산을 확보하고자 고군분투해야 하며, 보안 및 네트워킹 문제도 우선적으로 고려해야 한다"라고 보고서는 밝혔다. 451 리서치의 애널리스트 니콜 헨더슨와 에릭 헨델만은 "기존 인프라에 새로운 요소를 추가하면서 운영 복잡성이 높아졌다. 기업들은 이 문제를 해결하기 위한 방법을 고심하고 있다"라고 설명했다.  시스코 클라우드 및 컴퓨팅팀의 제품 관리 부사장 디리만 다스굽타는 하이브리드 및 멀티클라우드 운영의 가장 큰 과제는 보안이며, 그 다음은 운영 복잡성과 비용 감소라는 이번 설문조사의 결과를 조명했다.  그는 보안이 최우선 과제로 꼽힌 데는 몇 가지 이유가 있다고 밝혔다. “첫번째 이유는 새로운 환경이 익숙하지 않기 때문이다. 퍼블릭 클라우드 환경 안팎으로 액세스 보안을 유지하는 것은 IT 기업에게 비교적 새로운 분야다. 대다수의 IT 기업은 지난 수십 년 동안 파라미터 기반의 ‘방화벽’ 접근 방식으로 애플리케이션, 데이터 및 사용자의 보안을 유지해왔다”라고 다스쿱타는 설명했다. 그는 이어 “두번째로 애플리케이션과 데이터가 한 환경에서 다른 환경으로 자주 이전하면서 보안 위험이 증가했다. 실제로 온프레미스 환경과 퍼블릭 클라우드 환경 간에 워크로드와 데이터를 매주 이동하고 있다고 응답한 비율이 58%로 나타났다”라고 말했다.  여기에 기술과 예산 부족 문제가 가중되면 보안 유지는 더 어려워질 수 있다고 보고서는 덧붙였다. 개발 속도가 점점 빨라지고 자동화 활용이 상승하고 있는 클라우드 네이티브 환경에서 데이터 및 워크로드를 보호하지 못하는 사태로 이어질 위험도 있다. 연구에 따르면 클라우드 네이티브 애플리케이션 아키텍처의 사용은 조직의 보안 전략 뿐만 아니라 네트워킹 전략에도 영향을 미친다.  운영 복잡성과 관련해서는 하이브리드 클라우드 환경에서 기업이 이질적인 퍼블릭 클라우드와 온프레미스 도메인을 함께 운영해야 한다는 점이 가장 큰 어려움으로 나타났다. 온프레미스 도메인은 컴퓨팅, 네트워킹 및 스토리지 인프라를 포함한다. “퍼블릭 클라우드와 온프레미스 리소스에는 가시성, 모니터링 및 거버넌스를 위해 각기 다른 툴이 사용된다. 게다가 기존 IT팀은 보통 중앙집중식으로 운영됐지만, 새로운 환경에서는 부서마다 자체 애플리케이션 개발팀, 클라우드 운영팀 및 데브옵스팀이 있을 수 있다. 협력하기가 더 어려워졌다”라고 다스쿱타는 말했다.  그는 이에 따라 “기술 및 비즈니스 담당자와 함께 업무 전반을 아우르는 팀을 구성한 응답자가 55%에 달했다”라고 말하며 “클라우드옵스(CloudOps) 및 넷옵스(NetOps) 기능을 중앙 집중화하여 운영 효율성을 높이고 퍼블릭 클라우드 제공업체로부터 가격 할인을 받는 등의 비즈니스 목표를 달성한 응답자의 비율도 50%로 나타났다”라고 덧붙였다.  이 연구에서는 또한 비용 관리가 기업이 멀티클라우드를 도입한 주요 동인이 아니라는 점이 나타났다. 데브옵스 및 클라우드옵스 작업을 담당하는 응답자들은 클라우드 네이티브 기술을 사용하는 가장 큰 이유로 성능, 보안 및 워크로드 이동성 향상을 꼽았다.  이 연구에서 나타난 다른 주요 결과는 다음과 같다.   전체 응답자의 82%가 하이브리드 클라우드를 채택했다.  53%의 응답자가 매주 온프레미스 환경과 오프프레미스 환경 간에 워크로드를 이전한다.  3개 이상의 클라우드 제공 업체를 이용하는 기업은 AWS, 애저, GCP 이외에대체 클라우드 서비스도 사용한다. 예컨대 ‘Pure-play(단일사업 집중형)’ 제공업체나 통신사가 제공하는 클라우드 서비스가 있다.  10곳 이상의 퍼블릭 클라우드 업체를 사용한다고 답한 비율은 직원 수 5,000명 이상의 조직(8%)이 소규모 조직(5%)보다 약간 더 높았다. 이는 대규모 기업이 여러 플랫폼과 현업 부분도 클라우드 서비스를 사용할 수 있도록 추가적인 요구사항을 충족해야 하기 때문이라고 보고서는 설명했다. SaaS 분야에서는 훨씬 더 다양한 공급업체의 서비스가 이용되는 것으로 나타났다.  23%의 응답자가 20-100개의 서로 다른 SaaS 공급업체를 사용하여 이메일, 협업 및 영상통화, 고객 관계 관리, 인적 자본 관리와 같은 업무에 활용하는 것으로 조사됐다.  응답자 전반이 네트워크팀과 클라우드 운영팀 간의 협업을 강화하면 많은 이점이 있다는 데 동의했다. 가장 큰 이점으로 클라우드 보안 향상(45%), 전반적인 운영 효율성 향상(41%), 그리고 클라우드 애플리케이션 성능 향상(39%) 등이 꼽혔다. 데브옵스팀이 조직의 네트워크 전략을 개발하는 데 관여하는 것이 중요하다는 데 크게 동의한 네트워크 담당자의 비율이 57%에 달했다.   ciokr@idg.co.kr
자료 출처 :
Forrester
원본자료 다운로드
발행 날짜 :
2022년 05월 10일
주요 내용 :
수요일 포레스터가 발행한 보고서에 따르면 전 세계 기업을 둘러싼 위기 관리의 중요성이 갈수록 커지고 있다. 북미와 유럽 기업 내 위기 관리를 맡은 의사결정권자 360여 명을 대상으로 한 2022 위험 관리 현황(State of Risk Management 2022) 보고서에 따르면, 응답 기업의 41%가 지난 12개월 동안 3가지 이상의 위험 이벤트에 노출된 적이 있다고 답했다. 포레스터는 위험 이벤트, 사고, 서비스 중단 등이 너무 자주 일어난 나머지 위험 발생 레벨이 ‘뉴 노멀’로 자리잡았을 정도라고 진단했다. 응답자의 절반 가까이(44%) 역시 지난해 기업 대상 위험이 더욱 커졌다고 답했다. 북미 응답자의 64%, 유럽 응답자의 37%가 각각 위험이 늘어났다고 답해 다소 지역별 차이가 나타난 것이 특징이다.   ⓒ Getty Images Bank 기업 위험 관리(ERM) 전문가에게 기업에 가장 큰 영향을 미칠 위험이 무엇인지를 물었을 때 정보 보안 위험(32%)이 가장 많은 답을 얻었다. 데이터 프라이버시(28%)가 그 뒤를 이었다. 그러나 포레스터는 산업에 따라 우선순위가 변한다고 덧붙였다. 소매업과 도매업은 공급망 위험이 가장 중요하다고 본 반면, 제조업처럼 랜섬웨어 공격의 목표가 되는 부문에서는 정보 보안을 가장 우려했다.   위험 관리로 혁신을 가속화해야 이어서 이번 조사에서는 위험 관리에 따르는 과제를 확인할 수 있었다. 응답 기업 27%는 위험 관리가 혁신을 늦추는 것이 가장 큰 문제라고 답했다. 약 1/4에 해당하는 24% 응답자는 위험 관리가 의사결정을 지연시킨다고, 17%는 사업 목표와의 연관성이 낮다고 지적했다. 보고서 공동 저자인 포레스터 시니어 애널리스트 알라 발렌티는 "프로세스 맨 마지막에 위험 관리를 두면 의사결정이 지연된다. 특히 어떤 것을 새로 추진하는 결정일 때 영향을 많이 받는다. 그러나 위험 관리는 실행과 마찬가지로 일종의 관념이므로 실제 혁신 속도를 늦추는 요소로 작용하지는 않는다. 사실 위험 관리는 혁신을 촉진한다. 발매 이후 제품을 수정, 패치, 회수할 가능성을 줄이기 때문”이라고 설명했다.   탄탄한 규제 준수를 우선 고려해야 한편, 전체 응답자의 76%는 법적 규제를 준수하는 과정이 여전히 우선순위 요소라고 평가했다. 향후 12개월 내에 위험 시나리오에 대한 스트레스 테스트를 실행하는 역량이 가장 중요하다고 답한 응답자는 78%로 두 응답의 차이는 매우 미미했다. 발렌티는 “위험 관리를 활용하는 기업이 훨씬 유연하다. 규제 준수를 잘 보장하는 것은 말할 것도 없다. 규제 준수는 기업에 있어 천장이 아니라 바닥이다. 운영을 위한 최소한의 기초라는 의미다. 위험 관리는 탄력성을 유지하고, 어떤 위험이 닥쳐도 고객에게 약속한 서비스를 충실히 제공하는 방법”이라고 강조했다.   위험 관리의 목적이 ‘위험 0%’가 아님을  이해해야 규제준수로 인한 탄력성 확보 외에도 ERM 전문가가 꼽은 위험 관리의 장점은 다양했다. 사고나 위험 이벤트 응답성 향상(26%), 직원의 업무 수행 속도 개선(26%) 또는 향상(24%), 일상적인 업무에서 위기 기반 의사결정 가능(26%), 자산, 환경, 시스템 등 기업 핵심 인프라 보호 역량 향상(23%) 등이 고르게 장점으로 꼽혔다. 발렌티는 “위험을 완전히 제거하려고 위험을 관리한다는 오해가 널리 퍼져 있지만, 관리되는 위험도 분명 해롭다. 따라서 오해를 거둬야 한다. 위험을 관리하는 이유는 기업이 감수할 수 있는 위험과 비용이 무엇인지를 이해하기 위해서다. 보상이 적은데 거대한 위험을 감수하려는 기업은 없다”라고 조언했다. 또한, “성장과 혁신으로 시장의 선도자가 되려는 기업이라면 과감한 결정을 내릴 수 있어야 한다. 그러나 이런 큰 결정에는 항상 위험이 따르기 마련이다. 따라서 위험은 성장과 혁신에 필연적으로 동반되는 요소라 할 수 있다”라고 설명했다. editor@itworld.co.kr 
자료 출처 :
Microsoft
원본자료 다운로드
발행 날짜 :
2022년 03월 16일
주요 내용 :
‘9월의 엑소더스’라는 말을 들어본 적이 있는가? 400만 명 이상의 미국인이 9월 일을 그만두면서 그 전달 세워진 퇴사 기록이 갱신됐다. 마이크로소프트 보고서를 보면, 현재 일하는 직원 중 약 40%가 퇴직을 고려하고 있다.   ⓒ Getty Images Bank 이런 분위기는 IT 분야에서 훨씬 심각하다. 탤런트LMS(TalentLMS)와 워커블(Workable)에 따르면, 최근 미국의 IT 직원 가운데 72%가 앞으로 12개월 내에 직장을 그만두는 것을 생각 중이다. 이는 미국에 국한되지 않는다. ‘대퇴직’은 이미 세계적 현상이다. 식자들은 이런 경향에 대해 여러 이유를 붙인다. 정부 지원금, 원격 근무의 증가, 밀레니엄 세대의 권리 의식, 심지어 팬데믹으로 인한 스트레스를 꼽기도 한다. 전반적으로 보면 직원 경험의 현실과 기대 사이의 불일치가 커지고 있는 것은 분명해 보인다. 더 심각한 사실은 직장을 그만두는 사람이 많아질수록 직장에 남은 사람의 삶이 힘들어진다는 점이다. 이는 IT 인력에게 특히 문제가 된다. IT 부서는 만성적인 인력 부족에 시달려왔고, 떠나는 IT 직원이 늘어나면서 모든 직원이 늘어난 장애 시간, 사이버 공격, 기술 개발의 지연 등으로 고통 받고 있다. 위급 사태다. 왜 이렇게 많은 사람이 직장을 그만두는 지 밝혀내야 한다.   퇴사의 이유 필자는 다양한 인터뷰와 설문, 보고서를 광범위하게 검토한 뒤 ‘대퇴직(Great Resignation)’ 시대 사람들이 그만두는 중요한 이유를 아래의 몇 가지로 정리할 수 있었다.   제대로 작동하지 않는 노트북, 데스크톱, 시스템에 대한 좌절감 이는 수많은 원격 근무자가 개인 기기를 사용하도록 방치된 팬데믹 중 더 악화됐다. 업무 공간 및 과정에 대한 통제의 결여 회사에 크게 기여하면서도 말할 권리가 차단됐다고 느끼는 직원이 많다. 낮은 급여, 많은 업무량, 인정의 결여라는 ‘최악의 조합’ 이는 TUC(Trades Union Congress)가 공공 부문 노동자를 조사한 결과로도 확인됐다. 일과 삶의 균형 결여 팬데믹으로 인한 원격 근무는 수백만 명의 직원에게 적게 통근하고, 가족과 더 많은 시간을 보내는 것을 체험하게 해주었고, 이들은 다른 직장에서 이를 유지할 수 있을 것이라고 기대한다. 회사가 돌아가는 방식, 업무를 진행하는 방식과 시점에 대한 전반적인 경직성 교육 기회의 결여 특히 IT 노동자는 더 많은 교육 기회를 원한다. 탤런트LMS와 워커블 설문 보고서에 따르면, 그 비중이 무려 91%였다. 육체적, 정신적인 혹사 지쳐서 그만두는 사람이 많다. 그리고 많은 사람이 떠남에 따라 남는 사람은 그만큼 부담이 커진다. 이런 이유는 새삼스러울 게 없지만, 이들의 공통 속성을 파악하는 것이 중요하다.   결국 기술과 문화의 문제 기업은 그 규모에 관계없이 이를 파악하고자 고심하고 있다. 사람들을 회사 밖으로 내모는 정확한 이유는 IT 제품과 이들이 사용되는 방식, 그리고 경영과 직원 상호작용에 관한 문화로 정리할 수 있다. 기술이 직원을 좌절시키고, 마찰과 타성을 생성하고, 직원 발전 및 자율권을 가로막고, 불필요한 일을 만들고, 고립과 무기력의 감정을 생기게 한다. 다행인 것은 진보된 기술이 이를 해결하는 데 큰 역할을 한다는 점이다. 직원을 유지하고 유인하기 위해 해야 할 일은 아래와 같다.   직무 전환 교육. 인공 지능(AI) 기반의 적응형 학습 기술은 직원 교육을 한층 유의미하게 만들 수 있다. 직원이 이미 알고 있는 것을 바탕으로 특화된 직원 교육을 지원할 수 있다. 이를 통해 교실 같거나 진부한 교육 시스템이 주는 좌절감을 없앨 수 있다. 교육과 경력 개발을 강화하고, 가능할 때는 언제나 내부에서 승진을 시켜야 한다. 직원에게 회사 내 경력 진로를 안내해야 한다. 제품이 로드맵을 필요로 하듯이 직원도 마찬가지이다.   직원 간의 자연스러운 연결을 지원. 이용자 친화적인 협업 툴은 연결과 문화를 조장한다. 업무 완수에만 집중하지 말고, 팀 빌딩과 직원의 소속감에 집중해야 한다.   HR에 첨단 기술 이용하면서도 인간적 접촉으로 소통. 자동화된 HR은 번아웃 문제를 악화시킬 수 있다. 직원의 지위, 급여, 혜택, 감독자, 여타 직원에게 감정적 영향을 주는 개인사에서 변화가 있을 때 이에 관한 소통은 언제나 인간 대 인간이어야 하고, 이메일이나 자동화된 통지여서는 안 된다.   직원 감시를 자제하라. 원격 근무로의 급속한 이동에 직원 감시 소프트웨어로 대응하는 기업이 많다. 스크린 활동, 마우스 동작, 온라인 시간, 여타 지표를 감시하는 것은 직원을 내쫓는 가장 확실한 방법이다. 계속 감시당하는 것을 좋아할 사람은 아무도 없다. 집이라면 공간이라면 특히 그렇다. 직원 성과를 측정하고 평가하는 다른 수단을 개발하라. 성과에 집중하고, 마우스 동작 횟수로 직원 순위를 매기지 말라. 이는 원격 근로자, 사무실 근로자, 새 하이브리드 업무 환경 내의 모든 사람에게 적용된다.   투명성, 신뢰성, 공감을 수용하라. 기업 문화의 변화 대부분은 매년 젊은 사람이 입사하고 경력 많은 이들이 은퇴하면서 일어난다. 지난 10년 내에 입사한 사람들, 다시 말해 가장 젊은 직원은 기업 혹은 고용주의 행동 방식에 대해 매우 다른 기대를 갖는다. 이들은 무엇이 일어나고 있는지 알고 싶어 하고 사려 깊은 사람과 일하고 싶어 한다. 젊은 직원이 자신이 기계의 부속품처럼 느껴진다면 짐을 싸서 떠날 것이다.   기민성과 유연성을 수용하라. 하이브리드 업무, 원격 근무, 팀 이동, 탄력적 근무 시간에서 유연성을 견인하는 기술은 직원 경험과 행복감의 고취에 크게 기여한다.   직원 만족을 위한 종합적 접근법을 개발하라. 원격 및 하이브리드 업무가 도입됨에 따라 직원이 분산되고 변화하는 업무 장소 및 환경에 정신적 및 감정적으로 대처하는 데 도움을 주어야 한다. 과거에는 간헐적인 팀 빌딩 활동이나 회사 외부 행사면 충분했다. 지금은 직원이 팀의 일부라고 느끼는 데 도움을 주고, 직원이 정신적 및 육체적 건강을 유지하는 데 도움을 주어야 한다. 이러한 과정의 일부는 기술적이다. 연결, 참여의 느낌, 책임감, 일-삶 균형은 모두 기술 선택지, 업무 정책, 경영 접근법에 의해 도움을 받을 수 있다(아니라면 피해를 입을 수도 있음).   기술을 선택할 때에는 번아웃 회피를 가장 우선시하라. 예를 들어 시간이 지날수록 AI는 IT 분야에서 점점 더 중요한 기술이 되고 있다. 그러나 이는 상반된 효과, 다시 말해 번아웃에 기여할 수도, 이를 완화할 수도 있다. 인간 상호작용을 대체하는 AI, 예를 들어 지나치게 자동화된 HR은 좌절감이나 도태감을 줄 수 있다. 반면 인간의 활동을 증강하는 AI는 직원의 사기를 높일 수 있고, 이들이 자율적이고 지지를 받는다고 느끼게 해준다. 또한 반복 작업의 자동화에 의해 직원을 해방 시켜 이들이 인간만 할 수 있는 일을 하도록 할 수 있다. 자동화는 인간을 대체하는 것이 아니라 이들을 돕고 강화시키는 데 적용되어야 한다. ‘대퇴직’의 이유는 다양하다. 그러나 직원을 대규모로 회사를 떠나게 한 데 있어 기술이 주요 원인 중 하나였음을 인정해야 한다. 또한, 기술이 이들을 다시 회사로 돌아오게 만드는 데 있어서 할 수 있는 역할 역시 이해해야 한다. 기술을 이용하면 유연하고, 인간적이고, 자율적인 직장을 만들 수 있다. 이곳에서 직원은 행복하고 생산적일 것이고, 업무에 헌신할 것이다. editor@itworld.co.kr
자료 출처 :
Evanta
원본자료 다운로드
발행 날짜 :
2022년 02월 15일
주요 내용 :
CIO는 빠른 변화에 익숙하다. 새로운 기술이 등장하고 비즈니스 요구 상황이 변화해왔다. 그러나 오늘날 CIO들이 직면한 격동은 과거의 수준을 한참 넘어선다. 전염병 요인과 지정학정 불안성, 경제적 변동성이 가세했기 대문이다. 이런 역동성으로 인해 IT 리더 다수는 올해 우선순위 목록을 재구성하고 있다. 현재 IT 리더들이 좀 더 주목하고 있는 대상들을 살펴본다.    Image Credit : Getty Images Bank   트랜스포메이션에 대한 요구 증가 업계의 여러 CIO, 연구원, 자문가들이 확인한 주요 문제 중 하나는 IT 부문의 업무량 관리다. 슈나이더 일렉트릭의 CIO 엘리자베스 하켄슨은 “기업 전반에 걸쳐 동시다발적으로 디지털 역량에 대한 수요가 증가하고 있다”라고 말했다. 하켄슨은 “과거에는 HR 또는 영업 부문에 디지털 전환 이니셔티브가 있었던 형태다. 하지만 이제는 모든 부문에서 엔드 투 엔드 디지털 전환이 나타나고 있으며, 지금도 가속화되고 있다”라고 설명했다. 이런 수요 증가는 기업들이 팬데믹에 대응해 지난 2년 동안 수행한 각종 디지털화의 결과물이다. 더욱 발전된 전환의 기초가 마련됨에 따라 새로운 후속 기회가 생겨났으며, 이로 인해 조직들은 이 기회를 잡아야 한다는 압박을 느끼고 있다. 하켄슨은 “또한 우리는 이 모든 것이 연결되어 있다는 것을 배우고 있다”라며, 영업 등 한 영역에서의 디지털 전환 이니셔티브에는 공급망 등 지원 영역의 전환이 수반되어야 한다는 사실을 기업 내 많이 이들이 깨닫고 있다고 전했다. “그래서 ‘횡적 전환’(transversal transformation)에 집중하고 있다”라고 덧붙였다.   고객 경험 시장 압력으로 인해 고객 경험이 CIO가 가장 우선시하는 우려사항이 되었다. 경영 컨설팅 기업 맥킨지(McKinsey & Co.)의 수석 파트너 아머 베이그는 “고객을 제대로 이해하는 것이 매우 중요하다. CIO가 프론트 오피스에 있어야 하는 이유 중 하나다”라고 말했다. 하지만 이로 인해 아직 내부 및 외부 고객과 충분히 가깝지 않은 CIO는 어려움을 겪고 있다. 베이그는 “기술이 고객에게 훨씬 가까이 다가가야 하지만, 여전히 중개인이 존재하는 양상이다. CIO는 여전히 통역사가 있으며, 실제 사용자와 기술 조직 사이에 통역사가 있다”라고 지적했다. 고객 경험이 CIO만의 책임은 아니지만 CIO는 일반적으로 고객 경험을 IT의 구현에 통합하고 고객 경험을 교차 기능 우선순위로써 발전시키기 위해 더 많은 노력을 기울여야 한다. 예를 들어, 비즈니스 부문과 개발자가 나란히 협업적으로 그리고 반복적으로 협력하는 진정한 애자일 원칙을 도입해 고객 경험의 향상을 꾀할 수 있다. 세이브더칠드런(Save the Children)의 CIO 겸 비즈니스 및 기술 솔루션 부사장 사라 엔젤 존슨은 사용자 경험이 최고 우선순위라고 말했다. 인간 중심 디자인 실무자인 엔젤 존슨은 최근 사용자 경험 부서를 마련하고 신규 책임자를 영입했다. 엔젤 존슨은 “모든 것이 인간으로부터 시작된다. 하나의 모습 또는 여러 개의 모습으로 시작하고, 여기에 경험을 맵핑한 후 모든 기술 및 데이터 솔루션을 적용하여 더 나은 결과물을 얻게 된다”라고 강조했다.   사이버 보안, 데이터 프라이버시 위협 증가 AFCU(Altra Federal Credit Union)의 수석 부사장 겸 CIO 조쉬 하미트에게는 항상 사이버 보안이 우선순위 목록에 있었지만, 올 해 더 큰 문제로 부상했다. 러시아 정부를 뒤에 둔 해커들이 미국의 특정 표적에 대해 사이버 공격을 수행할 수 있는 가능성에 관해 경종을 울린 러시아의 우크라이나 침공이 그 이유 중 하나이다. 그래서 완벽한 보안 기본사항, 사이버 위생 모범 사례, 계층화된 방어책을 위해 CISO와 협력하는 데 더욱 주의를 기울이게 되었다. 하미트는 “이런 것들이 아주 새로운 것은 아니지만 그 어느 때보다 중요해졌다”라고 말했다. 그는 IT 거버넌스 협회 ISACA의 ETWG(Emerging Trends Working Group) 구성원이다. 실제로, 에반타(Evanta)가 수행한 ‘2022 CIO 리더십 퍼스펙티브’ 조사에서 CIO 기능 중 최우선순위가 사이버 보안으로 나타났다(2021년에는 2위). 엔젤 존슨도 보안 문제 그리고 데이터 보호에 관한 우려의 수준이 높아졌다고 말했다. 하미트와 마찬가지로 엔젤 존슨도 최근의 이벤트 때문에 우선순위가 높아졌다고 말했으며, 세이브더칠드런과 다른 조직들이 세계적 위기에 대응하여 운영을 강화하면서 해커들이 더 많이 공격하고 있다고 설명했다. NGO 활동 증가로 인해 공격 성공 확률이 높아질 것으로 보고 있는 것이다.   데이터 기회 증가 에반타의 2022 CIO 리더십 조사에 따르면, CIO의 두 번째 우선순위는 데이터 및 애널리틱스와 관련돼 있다. CIO는 조직의 데이터 사용 증가를 기업 목표 달성의 핵심으로 보고 있다. 엔젤 존슨도 “나는 디지털 전환을 위해 고용됐지만 데이터 전환이 더욱 절실하다”라고 말했다. 또 자신의 조직을 포함한 모든 조직이 데이터 사용을 증가시켜 성과와 결과를 측정하는 수준을 넘어 “영향을 미치고 장기적인 델타 변화(delta change)를 주도해야 할 것”이라고 말했다. 이를 위해 엔젤 존슨은 마스터 데이터 관리 이니셔티브에 착수했다. 이 이니셔티브에는 더 큰 데이터에 더 민첩하게 접근하기 위한 AI 통합 계층 등의 기술 업그레이드와 데이터를 사용한 ‘가설 테스트’를 통해 추가적인 혁신을 촉구하는 문화적 변화가 포함된다. 다른 이들도 데이터 이니셔티브가 CIO의 주요 문제라고 말했다. 예를 들어, 하켄슨은 데이터에 집중하고 있으며 이를 활용해 회사의 머신러닝 및 인공지능 사용 확대를 유도하는 것이 우선순위라고 말했다. 하켄슨은 “거대 기업이 가치가 큰 사용례를 찾는 데 집중하고 있다”라며, 슈나이더 일렉트릭도 최근 이 영역을 주도할 첫 번째 AI 담당자를 고용했다고 덧붙였다.   클라우드 전략 고도화하기 클라우드는 에반타의 CIO 설문조사에서 사이버 보안에 이어 지출이 두 번째로 큰 영역으로 나타났다. 다른 보고서에서도 CIO가 클라우드 사용을 지속적으로 늘리고 있는 것으로 나타났다. PwC의 ‘2022 펄스 설문조사’에 따르면, 43%는 민첩성을 위해 IT 전략과 운영 모델을 개선하고 있다. 35%는 인프라 투자를 활용해 전통적인 데이터센터에서 클라우드 기반으로 이동하고 있고, 28%는 기업 아키텍처를 클라우드 기반으로 재설정하고 있다. 베이그는 “클라우드가 중심이 되지 않는 기술 전략은 없다”라고 말했다. 또한 기존의 온프레미스 시스템을 단순히 클라우드로 이동하는 것보다는 “클라우드를 활용해 비용을 낮추고 TTM(Time To Market)을 개선하며 고객에게 더 나은 서비스를 제공하는 등 실질적으로 비즈니스를 변화시키는 것”이 중요하다고 강조했다.   기술 스택에 대한 지정학적 영향 CIO 다수가 클라우드 전략을 발전시키고 더욱 성숙한 기업 데이터 사용을 촉진하고 있는 가운데, 이 두 영역에 영향을 미치는 새로운 정부 규칙에의 대응이 중요해지고 있다. 가트너의 ‘2022 CIO 및 기술 임원 의제: 불확실한 시기에 성공하기 위해 비즈니스 결합성을 습득하라’ 보고서에서 민족주의/반세계화, 지정학 및 문화적 힘의 이동, 격동을 기업 이사회의 우려 트렌드로 언급했다. 가트너는 이 문제를 2022년 보고서 ‘디지털 지정학을 주도하는 힘과 CIO가 집중해야 할 곳’에서 명시적으로 다루면서 “디지털 지정학은 현재 CIO가 해결해야 할 파괴적인 위력의 동향이다”라고 강조했다. 일부 전문가는 이로 인해 스플린터넷(Splinternet)의 개념이 등장했다고 말한다. 베이그는 새로운 규칙과 규정으로 인해 CIO가 다양한 지역을 위한 다양한 기술 스택을 개발하게 됐으며, 이런 기술 스택은 일반적으로 동서 라인으로 나뉜다고 설명했다. 또한 일부 CIO가 우크라이나 침공과 이로 인한 서방 정부의 제재 조치로 인해 러시아에서 IT 서비스를 철수해야 했다고 덧붙였다.   공급망 혼란 지정학적 우려는 IT에 다른 영향도 미친다. 특히 현재 공급망 문제로 주요 기술 구성요소의 운송이 지연되고 있다. 인텔(Intel)의 CEO는 4월 ‘칩 부족이 2024년까지 지속될 것’이라고 전망했다. 알트라 페더럴의 하미트는 “공급이 부족하다. IT 부문에서 필요한 많은 것에 영향을 미치고 있다. 스마트폰과 컴퓨터에서도 목격되고 있다”라고 말했다. 하미트는 2021년 7월에 150대의 마이크로 PC를 주문했지만 아직 받지 못했다며, “일단 얻을 수 있는 장비에 만족해야 한다. 더 비싸거나 우리가 선호하는 제조사가 아닐 수 있다”라고 덧붙였다.   비용 억제 기업 전반에 걸친 CIO의 주요 우선순위 측면에서 에반타의 설문조사에서는 운영 효율성과 생산성 증가가 1위를 차지했다.  IT 내부 및 조직 전반에 걸쳐 기술을 활용한 비용 절감에 집중한다는 목소리는 실제 흔하다. 특히 인플레이션, 침체 가능성에 대한 우려, 스태그플레이션에 대한 공포로 인해 산업 전반의 임원들은 예산을 재평가하고 비용 억제를 주된 목표로 삼게 되었다. 베이그는 “비용의 균형을 조절하기 위해 다시 노력하고 있다. 6개월 전에는 대부분 CIO와 CEO가 성장과 수요 충족에 관해 생각했다. 그러나 이제 수요 사이클에 대해 크게 걱정하는 기업도 늘어났다. 쓸 수 있는 예산이 작아졌고 더 작아질 수도 있다”라고 말했다.   치열한 인재 경쟁 CIO는 몇 년 째 기술 인재 채용 및 유지에 어려움을 겪고 있으며, 아직도 빈 자리가 많은 상태이다. 이는 기술 전문가의 실업률이 1.3%인 것만 보아도 알 수 있다. 지난 몇 년 동안의 재택근무 전환으로 인해 경쟁이 더욱 치열해졌다. 하미트는 “우리 부서에도 팬데믹 중 공석이 있었으며, 수 차례에 걸쳐 구인광고 및 인터뷰를 실시했다. 지원자가 입사를 수락했다가 거절한 경우도 있었다. 팬데믹 전과 비교해 채용에 더 오랜 시간이 걸리고 있다. 또한 (우리의 운영 센터가 위치한) 지역 시장을 넘어 원격지 근무 정책을 도입하기에 이르렀다”라고 말했다. CIO는 이런 시나리오 때문에 내부 인재를 개발해 유지하고 미래의 업무 부담을 처리할 수 있도록 하는 것이 중요해졌다. 에이버리 데니슨(Avery Dennison)의 부사장 겸 CIO 니콜라스 콜리스토는 “인재는 우리의 모든 업적과 성공이 의존하는 기초이다”라고 말했다. 각종 격동 극복하기 CIO를 포함한 기업 임원들은 인플레이션, 공급 부족, 높은 이직률 등 여러 문제에 대응하고 있다. CIO도 다른 경영진과 마찬가지로 이를 극복해 목표를 달성하고 미래 계획을 수립해야 한다. 가트너의 CIO 리서치 그룹 조사 부사장 모니카 시나가 “업무 수행 능력은 CIO가 직면한 주요 문제 중 하나이다. 수요 충족에 대한 압박이 심하며, 성공은 기대치 충족 및 초과 달성에 달려있다”라고 말했다. 또 “이런 것들이 새로운 것은 아니지만 악화됐다. 지금으로서는 고생의 끝이 보이지 않는다”라고 덧붙였다. CIO는 모든 기술 업무와 혁신을 IT 내부로 제한했던 과거의 한계를 극복하고 분산된 개발 및 탈중앙화 IT로 이동해야 한다.  시나는 “조직 내에 기회가 있으며, CIO가 업무를 수행하거나 혁신을 수행하는 방법 또는 비즈니스 문제를 해결하는 방법을 이해하기 위해 기술력뿐 아니라 지식을 위해 활용할 시장이 있다. CIO에게 좋은 기회가 찾아오고 있다. 왜냐하면 기술은 비즈니스 문제 해결의 근본이기 때문이다”라고 강조했다. 콜리스토는 이런 기회를 포착하고 있다며, “우리 회사의 IT 부문은 기업 전반의 기술력 구축과 더 나은 비즈니스 결과 달성 및 우선순위 지원을 위해 디지털 능력 프로그램, 내부 역량, 전략적 공급자 파트너십 제공을 주도하고 있다”라고 말했다. 이를 위해 콜리스토는 DICE(Digital Innovation Center of Excellence)를 활용한다. 콜리스토는 “새로운 기술을 실험해 비즈니스 문제를 해결하는 솔루션을 찾고 있다. 공식적인 학습 프로그램, 실험실 실험, 파트너 생태계와의 연계를 통해 DICE는 에이버리 데니슨이 혁신 솔루션을 개발하여 고객, 직원, 공장 경험을 개선하고 시장에 새로운 제품과 서비스를 제공하도록 돕고 있다”라고 말했다. ciokr@idg.co.kr
자료 출처 :
Ivanti, Cyber Security Works, Cyware
원본자료 다운로드
발행 날짜 :
2022년 01월 28일
주요 내용 :
보안 임원들은 IT 환경에서 취약점을 해결하는 것이 얼마나 중요한지 잘 알고 있다. 최근 패치되지 않은 시스템으로 인해 발생한 대규모 침해 사건으로 인해 다른 고위 경영진도 취약점 관리의 중요성을 깨닫게 됐다.  미국 연방거래위원회(FTC)는 1월 초 비즈니스 커뮤니티에 Log4j 취약점 해결에 대해 공지하며 “기업은 FTC법 및 그램 리치 블라일리법(Gramm Leach Bliley Act, GLBA)에 따라 알려진 소프트웨어 취약점을 완화하기 위해 합리적인 조치를 취할 의무가 있다. Log4j에 의존하는 기업과 이들의 제공업체는 소비자에 대한 피해 가능성을 줄이고 FTC의 소송을 방지하기 위해 당장 조치를 취해야 한다”라고 권고했다.   FTC가 Log4j 취약점에 대해 경고한 데는 이유가 있다. 여러 보고서에 따르면, 패치되지 않은 알려진 취약점은 주요 공격 벡터가 되기 때문이다.    ⓒ Getty Images Bank 보안 업체 이반티(Ivanti), CSW(Cyber Security Works), 싸이웨어(Cyware)의 ‘랜섬웨어 스포트라이트 2021년 연말 보고서’에 따르면, 2021년 발생한 랜섬웨어 공격 관련 취약점은 65개가 새롭게 추가되면서 전년 대비 29% 증가했다. 총 288가지의 알려진 취약점이 2021년의 랜섬웨어 공격과 관련 있었다.  이런 조사 결과에도 불구하고 취약점 관리 프로그램을 마련한 기업은 많지 않다. 사이버 교육 및 인증 업체 SANS 인스티튜트(SANS Institute)의 2020년 설문조사 결과, 취약점 관리에 대해 비공식적인 접근 방식을 취하고 있거나 프로그램이 전혀 없는 기업은 약 37%로 조사됐다.  많은 보안 전문가가 임시 또는 비공식적인 방법으로 취약점을 관리해서는 안 된다고 입을 모았다. 취약점에 대한 조치와 책무, 지속적인 개선은 체계적으로 이루어져야 한다. 이 목적을 달성하기 위해 보안 전문가들은 최고의 취약점 관리 프로그램을 개발하는 12단계를 제안했다. 하나씩 살펴보자.  1. 팀을 구성하라 보안 업체 블랙클록(BlackCloak)의 CISO 다니엘 플로이드는 “무엇인가를 구매하거나 프로세스를 수행하거나 절차를 생성하기 전에 우선 팀을 구성해야 한다”라고 말했다. 플로이드는 블랙클록에서 SOC(Security Operation Center), 위협 인텔리전스 플랫폼, 침투 테스트, 디지털 포렌식팀을 감독한다.  일반적으로 취약점 관리와 패치 작업에 보안 및 IT 담당자를 할당하는 것 외에도 플로이드는 다른 이해 관계자를 팀에 포함시키기를 권고했다. 예를 들어, 비즈니스 부문 직원을 포함시키면 재부팅을 위해 시스템을 중단했을 때 다른 직원에게 어떤 영향을 미치는지 대응팀이 이해할 수 있다.  2. 포괄적인 자산 목록을 작성해 최신 상태로 유지하라 효과적인 취약점 관리 프로그램을 위한 또 다른 기본적인 요소는 자산 목록을 최신으로, 가능한 한 포괄적으로 유지하는 프로세스를 수립하는 것이다. 플로이드는 물리적인 항목, 원격 직원 연결, IoT 구성 요소뿐 아니라 클라우드, SaaS, 오픈소스를 보유한 오늘날 IT 환경에서는 “모두가 알고 있지만 정말로 실천하기 어려운 영역”이라고 말했다.   이는 어렵지만 중요한 일이다. 홀드 시큐리티(Hold Security) CISO이자 ISACA ETWG(Emerging Trends Working Group) 구성원 알렉스 홀덴은 “새로운 것이 등장했을 때 해결해야 할 문제인지 파악할 수 있도록 모든 것을 고려해야 하기 때문이다”라고 덧붙였다.  3. ‘가시성에 대한 강박적인 집중력’을 개발하라 포괄적인 자산 목록을 확보한 후에는 가시성에 대한 강박적인 집중력을 개발해야 한다. 세일즈포스의 정보 보안 SVP 윌리엄 맥밀란은 “데이터가 흐르는 환경의 상호연결성과 통합을 이해함으로써 가시성에 대한 강박적인 집중력을 개발할 수 있다”라고 말했다.  이는 아직 완전한 체계를 갖추지 못한 기업에도 해당한다. 맥밀란은 “체계적일 정도로 성숙하지 않았더라도 가시성부터 시작하라. 사이버보안에서 사용할 수 있는 가장 강력한 도구는 환경을 이해하여 모든 것을 파악하는 것이다. 이것이 집의 기초라고 생각하며, 그런 강력한 기반 위에 구성해야 한다”라고 말했다. 4. 취약점을 더욱 공격적으로 스캔하라 취약점 스캔은 탄탄한 사이버보안 프로그램의 또 다른 근본적인 요소이지만, 정기적으로 스캔을 실행하는 기업 가운데 문제를 발견하는 기업은 드물다. 충분히 철저하게 스캔하지 않아서다. 플로이드는 “많은 기업이 자신의 스캔 범위가 적정 범주에 있다고 생각하는 것”이라고 지적했다.  성과가 뛰어난 취약점 관리 프로그램은 다양한 스캔 옵션을 통합해 더욱 공격적인 스캔 활동을 벌인다. 예를 들어, 플로이드는 보편적으로 사용되는 에이전트 기반 및 네트워크 스캔 외에도 약한 구성과 누락된 패치까지 철저하게 살펴보기 위해 자격이 증명된 스캔을 포함해야 한다고 조언했다. 5. 문서화되고 계획적인 워크플로우를 확보하라  맥밀란에 따르면, 성숙하고 잘 수립된 취약점 관리 프로그램은 어떤 일이 발생했을 때 누가 무엇을 담당하는지가 잘 설명된 문서화되고 계획적인 워크플로우를 보유한다. 맥밀란은 “규모가 크고 구조가 복잡한 기업은 보안 취약점이 곧 존재의 위협이므로 임시 전략을 넘어 해야 할 일을 계획적이고 집중해서 진행해야 한다는 사실을 이해하고 있다”라고 말했다. 모든 보안팀은 이런 베스트 프랙티스를 따를 때 계획적인 워크플로우를 확보할 수 있으며 가능하다면 이를 자동화할 수도 있다.  또한 맥밀란은 팀이 보편적인 운영 환경을 개발하고 취약점 관리에 참여하는 모든 팀원에게 동일한 데이터와 위협 인텔리전스를 제공해야 한다고 조언했다. 맥밀란은 “공통적인 운영 환경에서 운용해야 하고 팀원 모두가 동기화되어야 한다”라고 덧붙였다.   6. KPI를 수립하고 추적하라 ISACA 이사이자 글로벌 대기업 CISO인 니엘 하퍼는 “제어 도구의 효과를 검증하고 경영진에게 그 효과를 입증하기 위해 취약점 관리 프로그램의 성과 지표를 마련하는 것이 좋다”라고 조언했다. 핵심성과지표(KPI)는 적시에 수정된 치명적인 취약점의 비율과 그렇지 않은 취약점의 비율, 목록화된 자산 비율, 탐지 시간, 평균 수리 시간, 취약점으로 인해 발생한 사고의 수, 취약점 재개 비율, 예외의 수 등 일반적으로 사용되는 지표로 수립할 수 있다. 수립한 KPI를 바탕으로 기업은 현 상태를 측정하고 시간이 지나면서 개선사항을 추적할 수 있다. 하퍼는 “이 모든 것들을 통해 경영진은 취약점 관리 프로그램의 성과를 파악할 수 있다”라고 설명했다. 7. 벤치마크를 활용하라 KPI는 기업의 취약점 관리 프로그램이 효과적인지 보여주지만, 다른 기업의 노력과 비교했을 때 프로그램의 성과를 초과 달성한 것인지 부족한지 판단하는 지표가 되지는 않는다.  하퍼는 “벤치마크는 동료 및 경쟁사와 비교하여 자신의 성과를 파악하는 데 도움이 되며, 취약점 관리 프로그램이 효과적이라고 경영진을 안심시킬 수 있다. 시장에서 차별화 요소로도 작용할 수 있으며, 심지어 이를 활용해 최고의 성과를 낼 수 있다”라고 말했다. 하퍼에 따르면, 보안팀이 벤치마크로 활용할 수 있는 데이터는 매니지드 서비스 제공업체가 보유하는 경우가 많다.  8. 누군가 성공을 담당하고 책임지도록 하라 많은 전문가가 진정한 취약점 관리 프로그램을 확보하기 위해서는 누군가 그 업무 그리고 궁극적으로 성공과 실패를 담당하고 책임지도록 해야 한다고 말했다. 보안 컨설팅 및 CISO 자문 업체 씽크섹(ThinkSec) 설립자이자 SANS 회원 프랭크 킴은 “임명된 직위가 있으면서 CISO와는 다른 사람이어야 한다. CISO는 KPI를 추적하고 팀을 관리할 시간이 없기 때문이다”라고 설명했다.  대기업에는 이런 역할만을 전담할 인력을 보유할 정도로 취약점 관리 업무가 아주 많지만, 전담 관리자가 필요 없는 중소기업은 이런 책무를 누군가의 직무에 공식적으로 포함시켜야 한다. 킨은 “한 사람에게 책임을 부과하지 않으면 모두가 서로를 탓하게 될 것”이라고 강조했다.  9. 프로그램 개선 및 성공에 대한 보상을 제공하라 프로그램에 대한 책임을 할당하는 것도 중요하지만, KPI 개선과 관련된 성과급 등 보상 체계도 수립해야 한다. 플로이드는 “패치를 수행하는 팀뿐 아니라 기업 전반의 이해관계자들에게 보상을 제공하라. 성과급, 추가 유급 휴일, 다른 형태의 표창 등이 대표적이다. 성과 달성에 대한 보상을 제공하고 축하하는 것은 중요하며, 이를 통해 취약점 관리가 기업의 우선순위라는 것을 보여줄 수 있다”라고 말했다.  10.  버그 바운티 프로그램을 운영하라 2021년 세일즈포스는 자사 제품의 보안 문제를 발견한 윤리적 해커들에게 280만 달러 이상의 보상금을 제공했다. 맥밀란은 “버그 바운티(bug bounty) 프로그램이 취약점 관리의 중요한 부분이라고 생각한다. 문제를 표면에 드러내는 효과적인 방법”이라고 말했다.  다른 전문가도 맥밀란의 의견에 동의했다. 홀덴은 소규모 기업이 취약점을 발견하는 직원에게 보상하는 내부 버그 바운티 프로그램을 운영하거나 이런 서비스를 제공하는 외부 당사자나 사이버보안 기업과 협력해 더 많은 전문가의 역량을 활용할 수 있다고 조언했다. 11. 우선순위를 설정하고 조정하라 CVE(Common Vulnerabilities and Exposures) 목록에 공개된 컴퓨터 보안 결함의 수가 점차 증가하고 있다. 최근 10년 동안은 매년 추가되는 새로운 취약점의 수가 거의 항상 증가했다. 보안 업체 켄나 시큐리티(Kenna Security)에 따르면, 2011년에는 4,813개의 CVE가, 2020년에는 11,463개의 CVE가 발견됐다. CVE의 양을 고려할 때 전문가들은 기업이 가장 큰 위험을 유발하는 취약점을 먼저 해결할 수 있도록 우선순위를 설정하는 방법을 추천했다. 보안 업체 체크막스(Checkmarx)의 북미 CISO 피터 체스트나도 이에 동의하며, 기업이 우선순위를 선제적으로 명확히 밝히고 실제로 해결할 계획이 있는 취약점을 중심으로 취약점 관리 프로그램을 운영해야 한다고 말했다. 예컨대 위험 등급이 높은 취약점만 해결할 계획이라면 위험이 낮은 것을 스캔할 이유가 없다. 이런 부분을 고려하지 않으면 자원이 불필요하게 소모되고 우선순위가 높은 업무에 방해가 되므로 중요한 문제를 놓칠 가능성도 커진다.  체스트나는 “실제로 준수할 수 있는 규칙을 설정하고 이를 준수하면 기업은 위험 감소에 더욱 집중할 수 있다. 수문을 개방하는 것은 최고 우선순위를 잘 처리한 이후의 일이다”라고 말했다. 12. 이해관계자와 이사회에 프로그램 성과를 보고하라 기업 내 이해관계자들에게 시스템 액세스에 영향을 미칠 수 있는 패치 작업에 관해 알리는 것 외에 전문가들은 보안 부서가 위험 및 위험 감소에 대한 비즈니스 용어를 중심으로 취약점 관리 프로그램의 전반적인 성능에 관해 보고해야 한다고 말했다. 플로이드는 “취약점 관리 프로그램의 실제 성과를 이사회에 보고해 스스로 책임을 져야 한다”라고 덧붙였다.  editor@itworld.co.kr
자료 출처 :
IDG
원본자료 다운로드
발행 날짜 :
2021년 12월 15일
자료 출처 :
AppViewX, Vanson Bourne
원본자료 다운로드
발행 날짜 :
2021년 08월 31일
주요 내용 :
머신 ID(machine identity)는 지금도 크지만, 빠른 속도로 더 커지고 있는 기업의 공격 표면이다. 기기(서버, 디바이스, 서비스 등)의 수는 빠르게 증가하는 반면 이를 보호하기 위한 조치는 뒤처진 경우가 많다. 사이버 범죄자 및 기타 위협 행위자는 이런 상황을 발 빠르게 악용하고 있다. 보안 업체 베나피(Venafi)가 지난해 발표한 자료에 따르면, 머신 ID 악용이 관련된 사이버 공격은 지난 5년 사이 무려 1,600% 증가했다.   ⓒ Getty Images Bank 시장조사 업체 가트너는 지난해 하반기 발표한 보고서에서 머신 ID를 2021년 가장 중요한 사이버보안 추세 중 하나로 선정했다. 또 다른 가트너 보고서에 따르면, 2020년 발생한 클라우드 보안 사고 중에서 ID, 액세스, 특권 관리 부실로 인한 사고의 비율은 50%에 이르렀으며, 2023년에는 75%로 높아질 전망이다. 베나피의 보안 전략 및 위협 인텔리전스 부문 부사장 케빈 보섹은 “생체 인식부터 특권 액세스 관리에 이르기까지 기업은 인간의 ID 및 액세스 관리에 매년 수십억 달러를 투자하지만, 머신 ID 보호에는 대체로 무관심하다. 하지만 머신 ID 역시 인간의 ID와 똑같이 악용될 수 있다”라고 말했다. 세이빈트(Saviynt)의 제품 관리 책임자 크리스 오웬은 기업이 네트워크상의 기기를 지나치게 신뢰하는 경우가 많다면서, “이 말은 기기가 사람의 개입 또는 전통적인 형식의 인증을 거치지 않고 다른 네트워크 리소스에 연결할 수 있다는 의미다. 따라서 기기가 침해되면 공격자는 기기 간 경로를 악용해 네트워크를 탐색할 수 있다”라고 말했다. 다행히 기업도 머신 ID 문제를 인식하기 시작했다. 포네몬 인스티튜트(Ponemon Institute)와 키팩터(Keyfactor)가 3월 발표한 보고서에 따르면, IT 전문가의 61%는 머신 ID 도난 또는 악용이 심각한 우려 사항이라고 답했다. 작년의 34%에서 높아진 수치다. 인식은 문제 해결의 첫 단계다. 그러나 인식을 넘어 머신 ID 문제에 효과적으로 대처하기 위해 기업이 구체적으로 취할 수 있는 여러 단계가 있다. 대표적인 7가지를 살펴보자. 1. 인증서, 키, 디지털 자산의 현황 파악 포네몬에 따르면, 현재 평균적인 IT 기업이 내부적으로 보유한 인증서의 수는 26만 7,000개로, 작년보다 16% 늘었다. 인증서와 키는 운영 인프라, IoT, 온프레미스 IT 인프라, 클라우드 인프라, 그리고 컨테이너 인프라와 연결된다. 인증서와 키는 오래된 것도 있고 하드 코딩된 것도 있으며, 다른 ID와 상호연계된 경우도 있다. 인증서 및 키 관리 솔루션 업체 앱뷰엑스(AppViewX)의 의뢰로 밴슨 본(Vanson Bourne)이 실시한 IT 보안 의사 결정자 설문 조사에 따르면, 기업의 61%는 자체 디지털 자산에 사용되는 인증서와 키를 완전히 파악하지 못하고 있으며, 그중 96%는 이런 시야 부족으로 인한 문제를 실제로 경험한 적이 있다고 답했다. 가장 일반적인 문제는 55%의 응답자가 지목한 사이버보안 침해다. 그 외에 시스템 중단(35%)이나 금전적 손실(33%) 문제도 있다. 히타치 ID 시스템즈(Hitachi ID Systems)의 엔지니어링 부문 부사장 이언 리는 기업에서 머신 ID 관리 부실이 심각한 결과로 이어지는 경우를 여러 번 목격했다고 말했다. 예를 들어, 미국의 한 대기업은 마케팅용 프린터를 유지 보수하는 도중에 비밀번호를 변경해야 했다. 리는 “일반적으로 ‘잘못돼 봤자 프린터일 뿐’이라는 생각을 한다. 해당 기업도 정해진 모든 변경 제어 절차에 따라 프린터의 비밀번호를 변경했는데, 이후 프로덕션 시스템의 가동이 중단됐다. 이유를 알 수 없었다”라고 말했다. 몇 시간 동안 진땀 나는 중단 사태가 이어진 뒤에 이유가 드러났다. 리는 “약 20년 전에 한 관리자가 프린터 계정을 다른 용도로 사용한 적이 있는데, 그때부터 프린터 계정이 프린터와 프로덕션 환경에서 모두 사용되기 시작한 것이었다. 이런 사실을 미리 파악하고 예측하기란 매우 어렵다”라고 덧붙였다. 해당 기업은 예전 비밀번호로 다시 되돌리려고 시도했지만 예전 비밀번호가 현재의 액티브 디렉토리 비밀번호 정책을 충족하지 않았기 때문에 할 수 없었다. 결국, 고위 경영진이 개입해 비밀번호 정책의 예외를 허용하는 과정이 필요했다. 기업의 ID 목록은 대체로 단편화되어 있고 유지관리가 제대로 이루어지지 않으며, 실수도 잦다. 리는 “고객을 대상으로 조사한 결과, 그나마 앞서 나가는 기업까지 포함해서 대부분이 이런 문제에 대처할 만한 준비가 되어 있지 않은 상황이다. 매우 큰 숙제다”라고 지적했다. 2. 키와 인증서 자주 교체하기 변경되지 않는 키와 인증서는 쉽게 도난당하고 재사용된다. 보안 업체 코르샤(Corsha)의 CTO 아누샤 라이어는 “실제로 인증 정보 스터핑 공격의 상당수가 사람의 사용자 이름과 비밀번호를 공격하던 기존 패턴에서 사실상 머신 ID의 프록시인 API 인증 정보를 공격하는 방향으로 선회했다”라고 말했다. API 생태계가 현재 가파르게 성장하고 있으므로 문제도 갈수록 심각해질 수밖에 없다. 캡제미니 아메리카(Capgemini Americas)의 사이버보안 우수성 센터 선임 솔루션 관리자인 프라사나 파타사라티 역시 머신 ID를 부적절하게 관리할 경우 보안 취약점으로 이어질 수 있다는 데 동의하면서 “최악의 경우 공격자가 IT 환경의 모든 영역을 한 번에 날릴 수도 있다”라고 경고했다. 파타사라티는 “공격자는 알려진 API 호출을 실제 인증서와 함께 사용해서 프로세스 제어, 트랜잭션 또는 핵심 인프라에 대한 액세스 권한을 획득할 수 있고 이는 파괴적인 결과로 이어진다”라고 말했다. 이런 문제에 대처하기 위해 기업은 소스 기기, 클라우드 연결, 애플리케이션 서버, 휴대용 디바이스와 API 상호작용에 관한 엄격한 인증 체계를 마련해야 한다. 파타사라티는 “가장 중요한 점은 신뢰된 인증서를 변화 없이 유지하면 안 된다는 것이다. 자주 바꾸거나 업데이트해야 하며, API 호출에 하드코딩하는 것은 금물”이라고 강조했다. 물론 트랜잭션마다 인증서를 교체하는 것은 어렵지만, 업데이트 빈도를 높이면 더 안전한 환경을 확보할 수 있다. 또한 기업은 디바이스 또는 프로세스가 폐기될 때 인증서와 키를 즉시 회수하는 프로세스도 마련해야 한다. 가트너는 모든 컴퓨팅 인프라에 대한 암시적 신뢰를 없애고 상황에 따라 조정되는 실시간 신뢰로 대체할 것을 권장했다. 3. 머신 ID 관리 솔루션 도입 가트너는 머신 ID 관리를 ID 및 액세스 관리(IAM) 기술 범주에 포함한다. 가트너의 최신 하이프 사이클(hype cycle)에 따르면, 머신 ID 관리는 현재 ‘부풀려진 기대의 정점’ 단계에 근접해 있으며 ‘생산성 안정’ 단계에 이를 때까지 2~5년이 더 소요될 전망이다. 밴슨 본 설문에 의하면 기업의 95%는 자동화된 머신 ID 관리 워크플로우, 서비스형 머신 ID 관리, 또는 하이브리드 구축 모델로 인증서 라이프사이클을 관리하기 위한 역량을 구현 중이거나 구현할 계획을 갖고 있다. 그러나 현대적 머신 ID 관리를 완전히 구현한 비율은 32%에 불과했다. 설문 결과, 기업의 53%는 여전히 스프레드시트를 머신 ID 관리의 핵심 도구로 사용 중이며, 프로세스 어느 부분에서든 스프레드시트가 사용된다고 답한 비율은 93%에 이른다. 키팩터(Keyfactor) CSO 크리스 힉맨은 “한 가지 문제는 대부분 기업에서 머신 ID의 소유권을 명시적으로 부여하지 않고 막연히 취급한다는 것이다. 즉, 많은 기업이 기기 관리에 사일로화된 접근 방식을 취하며, 설상가상으로 ID의 상당수는 아무도 관리하지 않아 방치된 상태”라고 지적했다. 힉맨은 모든 머신 ID에 대한 구체적인 관리 책임을 갖는, 여러 부서가 교차 참여하는 그룹을 만들 것을 추천했다. 4. 자동화 채택 밴슨 본 설문에 따르면, 머신 ID 관리의 일부로 워크플로우를 자동화한 기업은 상당한 효과를 거두고 있다. 자동화를 채택한 기업의 50%는 모든 인증서와 키를 추적할 수 있다고 답했다. 자동화하지 않은 기업의 경우 그 비율이 28%에 불과했다. 또한 자동화된 워크플로우를 완전히 구현한 기업은 33%에 그쳤고, 48%는 구현 과정에 있다. 15%는 자동화를 구축할 계획을 갖고 있으며, 자동화 계획이 없다고 답한 비율은 4%였다. IT 보안 의사결정자는 자동화가 비용을 낮추고 키와 인증서 관리에 소비되는 시간을 줄이며, 워크플로우를 간소화 및 효율화해줄 것으로 기대한다. 베나피의 보섹은 “자동화는 필수다. 자동화된 관리가 없으면 디지털 트랜스포메이션 이니셔티브도 멈춘다. 또한 자동화는 보안 침해로 이어질 수 있는 인적 오류의 가능성도 줄여준다”라고 말했다. 5. 머신 ID 관리 계획에 클라우드 포함 밴슨 본 설문 결과, 온프레미스에서 클라우드로 인프라를 이동하는 과정에서 기업의 92%는 머신 ID 관리 솔루션을 재점검하고 변경해야 했다. 또한 76%는 현재 사용 중인 솔루션이 클라우드 또는 하이브리드 환경을 완전히 지원하지 못한다고 답했다. 가트너 애널리스트 로렌스 고스더프는 최근 보고서에서 “머신 ID 관리에 대한 단일 창(single pane of glass)’ 접근 방법은 아직 멀티 클라우드 환경에서 실용적이지 않다. 기업은 네이티브 툴에 대한 여지를 남겨두고 일부 기능을 중앙화한 하나의 광범위한 프레임워크를 구현할 수 있을 것이다”라고 말했다. 밴슨 본 설문에 따르면, 절반에 조금 못 미치는 기업이 모든 클라우드 환경을 관리하는 단일 머신 ID 관리 솔루션 도입을 계획하고 있다. 응답자 37%는 각 클라우드에 대해 별도의 머신 ID 관리 시스템을 구축하고 모든 시스템을 관리하는 중앙 정책을 둘 계획이며, 22%는 중앙 정책 없이 개별 시스템을 구현할 계획이다.  6. 머신 ID 관리 계획에 로봇 포함 전 세계적인 코로나19 팬데믹 동안 많은 기업이 자동화 전략의 추진 속도를 높였다. 포레스터는 전 세계 로봇 공정 자동화 소프트웨어 시장이 2021년 24억 달러 규모에서 2025년 65억 달러 규모로 성장할 것으로 전망했다. 가트너 보고서에서 고스더프는 “소프트웨어 로봇 ID도 관리해야 한다. RPA 툴을 ID 패브릭에 통합하기 위한 베스트 프랙티스와 기본 원칙부터 정의하고, RPA의 소프트웨어 로봇을 머신 ID가 필요한 또 다른 워크로드로 취급해야 한다”라고 조언했다. 7. 제로 트러스트 계획에 기기 포함 제로 트러스트는 현재 기업 보안의 최우선 순위다. 인포메이션 시큐리티 미디어 그룹(Information Security Media Group)이 지난 2월 발표한 설문 조사 결과, 100%의 응답자가 보안 위험을 줄이기 위해 제로 트러스트가 중요하다고 답했다. 올 초 바이든 미국 대통령의 사이버보안 메모에도 제로 트러스트가 핵심 주제로 언급된다. 항상 완전한 사용자 인증을 요구하는 것이 제로 트러스트의 전부는 아니다. 제로 트러스트는 프로세스와 디바이스에도 적용된다. 쿠델스키 시큐리티(Kudelski Security)의 솔루션 설계 책임자 보 레인은 “최근의 제로 트러스트 보안 모델에서는 디바이스 ID 관리가 특히 중요하다. 기업 디바이스가 네트워크에서 특별한 신뢰 상태를 부여받지 않는다면, 다른 디바이스나 서비스 또는 데이터와의 상호작용을 파악하고 인증하는 방법을 반드시 보유하고 있어야 한다”라고 말했다. 올해 초 발행된 포티넷(Fortinet) 설문조사 결과, 기업의 84%가 제로 트러스트 전략을 두고 있거나 현재 개발 중이다. 다만 기업의 59%는 디바이스를 지속해서 상시 인증하는 데는 어려움을 겪는 것으로 나타났다. editor@itworld.co.kr
자료 출처 :
Adobe
원본자료 다운로드
발행 날짜 :
2021년 08월 01일
주요 내용 :
몇 시간 동안 계속되는 줌 화상회의에 지쳤는가? 모두가 말은 하지만 아무 의사결정도 이뤄지지 않는 것처럼 보이는가? 다음의 새로운 접근 방식을 고려하라.  원격근무는 직원들로 하여금 외로움이나 단절감을 느끼게 할 수 있다. 반면에 온라인 협업은 (조직에서) 이전에는 부각되지 않았던 인재를 해방시킬 수 있다. 능력은 있지만 대면회의에서는 조용했던 사람들이 빛을 발할 수 있기 때문이다.  퓨처 포럼(Future Forum)의 부사장 쉴라 수브라마니안은 “이전의 업무 방식이 아닌 현재의 업무 방식에 적합한 방법으로 조직을 관리해야 한다”라며, “업무 장소는 바뀌었지만 업무 방식은 과거의 관점에 머물러 있는 기업들이 있다”라고 지적했다. 이어서 그는 “업무 과정과 프레젠테이션보다는 결과에 집중해야 한다”라고 권고했다.  그렇다면 ‘원격회의를 관리한다’는 것은 무엇을 의미할까?    ⓒZoom 신뢰할 수 있는 기술을 사용하고 잘 활용할 것  참가자가 기술을 어떻게 사용하는지 몰라서 원격 회의를 중단하는 경우가 많지 않은가? 화면 공유를 시도하는 동안 많은 시간을 낭비하지 않았는가?  관리자는 협업 도구의 사용 방법을 익히고, 해당 정보를 직원들과 공유하는 데 충분한 시간을 할애해야 한다. 이는 모든 직원이 기술 사용 방법을 알 수 있도록 할 뿐만 아니라 시간을 생산적으로 쓸 수 있게끔 한다. 최적의 기술 선택은 직원들이 이미 사용하고 있는 기술일 것이다(예: 줌, 팀즈, 웹엑스 등).  회의 내용을 단순화할 것 가트너는 “모든 회의가 동일하게 이뤄지지 않는다. 회의 유형마다 서로 다른 접근 방식이 필요하다”라고 말한 바 있다. 사실이다. 특히, 대면회의를 하던 시절에도 집중력은 유지하기 어려웠고, 이는 원격회의라면 더욱더 그렇다.   회의에서 슬라이드 자료를 사용해야 한다면 내용이 많은 프레젠테이션 슬라이드는 지양하는 게 좋다. 그리고 프레젠테이션을 단순화해야 한다. 복잡한 슬라이드 5장보다는 간단한 슬라이드 5장이 항상 더 낫다.   채널을 열 것  아이디어는 회의 전이나 회의 후에도 나올 수 있다. 몇몇 기업은 참가자들이 회의 전후에 떠오르는 아이디어, 이슈, 우려사항을 올릴 수 있는 슬랙 채널을 만든다. 그리고 여기서 누군가는 해당 채널에서 유용한 인사이트를 포착 및 추출하여 추가 인사이트와 액션 포인트를 도출해야 한다.  한편 회의 중에 합의한 사항은 반드시 기록해야 한다. 많은 조직이 이를 충분히 ‘기억’할 수 있다고 생각한다. 그리고나서 결국에는 이를 까먹고 무엇이 잘못됐는지 궁금해한다. 구체적인 목표를 인식하고, 동의하며, 달성하는 것은 원격근무 관리의 기본이다.  회의 참가자를 확인할 것 비동기식 원격 협업 회의는 서로 집중할 때 원활하게 이뤄질 수 있다. 따라서 원격회의에 참석할 사람을 결정할 때 각자의 역할과 기여할 부분을 고려하고, 이를 회의 전에 알려야 한다.  아울러 많은 인원으로 장시간 회의를 하는 것보다 작고 짧은 회의를 연속적으로 하는 게 더 생산적이다. 그렇게 하면 회의 내용을 각 그룹의 스킬셋에 맞게 최적화할 수 있으며, 참여도도 향상시킬 수 있다.  어도비의 ‘퓨처 오브 타임(Future of Time)’ 보고서에 따르면 직원들의 절반가량은 항상 연락 가능한 상태여야 한다는 압박감을 느끼고 있으며, 대부분은 업무와 개인 시간 사이의 경계를 유지하는 게 어렵다고 밝혔다. 또 가트너는 모든 사람이 문제를 광범위하게 논의하지만 실질적으로 긍정적인 해결책을 합의하지 못하는 회의는 제거해야 한다고 지적했다.  상호작용하는 시간을 가질 것  예를 들어 누군가가 아팠다면 이와 관련해 이야기를 하는 시간을 가져야 한다. 즉, 사람을 위한 공간을 만들어야 한다. 소프트스킬은 영상으로 상호작용할 때 훨씬 더 중요하며, 이러한 유대감은 팀을 단결시키는 데 도움이 될 수 있다.  일정을 조정할 것 원격근무는 팀이 같은 시간대에서 동시에 일하지 않는다는 의미일 수 있다. 비동기적인 환경에서 관리자는 특정 직원들의 업무나 개인적인 약속 때문에 정기적으로 회의 시간을 갖지 못하고, 이에 따라 팀 응집력을 잃지는 않을까 우려할 수 있다.  하지만 정기적인 회의를 고집하기 보다는 팀원 중 더 많은 인원이 최소한 일정 시간 동안 (회의를) 참여할 수 있도록 일정을 조정하는 게 낫다.  수브라마니안은 “무려 직원들의 93%가 업무 시 유연성을 원했다”라고 언급했다. 가트너도 기존에 얽매이지 않는 회의 시간을 가지라고 권장했다. 50분과 10분 채팅이 장시간 회의를 효과적으로 대체할 수 있다는 설명이다.   긴장을 풀어줄 것 이를테면 오렌지 비즈니스 서비스(Orange Business Services)에서는 팬데믹 기간 동안 직원들이 이 회사의 협업 도구를 사용해 개인적인 상호작용을 할 수 있도록 지원했다. 이러한 임시적인 상호작용은 회사 내부의 문제를 드러낼 수도 있지만 이상적으로는 팀 응집력을 구축하고 사기를 유지하는 데 도움을 준다.  시간을 중요하게 생각할 것  모든 회의에는 말이 많은 사람과 속삭이는 사람이 있다. 말이 많은 사람은 회의를 주도하는 경향이 있고, 속삭이는 사람은 몇 마디 정도는 하지만 대부분 듣기만 하는 경향이 있다. 이 문제를 해결하는 가장 효과적인 방법은 회의 전에 목표를 명확하게 정의하고, 모든 사람에게 발언 기회를 제공하며, 시간 내에 의사결정이 이뤄지도록 하는 것이다.  가령 한 시간짜리 회의에서 3가지 결정을 내려야 한다고 해보자. 그렇다면 최대 논의 시간은 각각 20분이다. 만약 해당 시간 내에 결정을 내리지 못한다면 검토를 위해 스핀아웃하거나, 일단 다음 주제로 이동하고 마지막에 해당 토론으로 돌아간다. 원격 협업은 지칠 수 있기 때문에 시간을 효과적으로 관리하는 것이 중요하다.  매너가 중요하다 모든 참가자에게 발언 기회를 주고, 회의를 주도하려는 사람에게 약간의 제제를 가하도록 설계된 명확한 회의 에티켓을 공유하는 것이 중요하다. 필자는 이 목표를 달성하기 위해 발언 시간을 각 30초로 제한하는 등의 ‘시간 제한’을 부과하는 조직을 보기도 했다.  시간을 덜 중요하게 만드는 것도 또 다른 방법이다 또 다른 접근법은 의제나 목표가 없는 화상 회의를 장시간 열어 일종의 공개 회의 채팅을 유지하는 것이다. 이는 가상으로 방문할 수 있는 세션이 될 수 있고, 팀은 필요한 세션에만 참여할 수 있다. 또는 도움이나 조언을 요청하거나 아니면 단순하게는 상호작용을 하기 위해 들를 수도 있다. 팀플로우(Teamflow), 아사나(Asana) 등의 애플리케이션은 이러한 종류의 공간을 만드는 데 도움이 될 수 있다.  모두 동일하게 접근할 것  관리자들이 일의 미래는 존재보단 성과에 기반을 둬야 한다는 새로운 현실을 받아들이기 위해 씨름하고 있지만 원격근무에 대한 부정적인 낙인은 계속 만연해 있다. 이것이 의미하는 바는 하이브리드 업무 환경에서 회의에 대면으로 참여하는 직원이 원격으로 참여하는 직원보다 이점을 얻게 된다는 것이다.  이 문제를 해결하는 방법은 한 팀 구성원이 회의에 전화를 걸어야 할 때 모든 구성원도 그렇게 해야 한다는 데 동의하는 것이다. 이는 원격근무에 대한 부정적인 낙인을 줄이고 참가자들을 평등한 지위에 놓이게 한다.  간단하게 할 것  원격 협업에 사용하고 있는 애플리케이션이 몇 개인가? 어도비의 퓨처 오브 타임 보고서에 의하면 너무 많은 앱을 사용하면 (직원들이) 스트레스를 받고 번아웃될 수 있다. 또한 멘로 벤처스(Menlo Ventures)의 파트너 나오미 이오니타는 “원격 세상에서 상호작용해야 하는 수많은 채널과 플랫폼을 감당하지 못할 수 있다”라고 언급했다.  * Jonny Evans는 1999년부터 애플과 기술에 대해 저술해온 전문 기고가다. ciokr@idg.co.kr  
자료 출처 :
Upwork
원본자료 다운로드
발행 날짜 :
2020년 09월 15일
주요 내용 :
지난 3월 미국에서만 450만 명이 직장을 그만뒀고, 일자리 대비 실업자 비율이 역대 최저치를 기록했다. 결국 ‘대퇴직 시대(The Great Resignation)’는 본격적으로 전개될 것이며, 코로나19 팬데믹으로 인해 변화한 직장인들의 사고방식은 지속할 것으로 보인다. 이제 사람들은 시간과 장소에 구애받지 않고 원하는 회사에서 일할 수 있는 자유가 있다는 사실을 깨달았다.   ⓒ Getty Images Bank 프리랜서 플랫폼 업워크(Upwork)에 따르면, 2020년을 기준으로 미국 전체 노동 인구의 36%인 5,900만 명이 프리랜서 시장에서 활동하고 있다. 이는 2019년보다 200만 명 증가한 것이다. 프리랜서의 도움을 받는 것은 자원이 부족한 기업에 매력적인 옵션이 될 수 있다. 그러나 프리랜서 직원과 정규직 직원을 위한 이력서 심사 및 온보딩 프로세스 진행은 상당히 차이가 난다. 피플캐디(PeopleCaddie)와 업워크는 프리랜서와 업체 간 계약을 전문으로 하는 프리랜서 플랫폼이다. 필자는 피플캐디 CTO 팀 롤리와 업워크의 인재 솔루션 부문 부사장 마가렛 릴라니에게 프리랜서 인력 시장을 살펴보는 기업에 해줄 수 있는 조언이 있느냐고 물었다. 롤리와 릴라니의 조언 10가지를 소개한다.   모두를 참여시켜라 기업 내 모든 직원이 프리랜서와의 계약에 찬성하지는 않을 것이다. 따라서 프리랜서와의 계약을 준비하는 기업은 직원들의 저항이 있을 수 있음을 염두에 두어야 한다. 릴라니는 “기술이나 생산성 격차가 있으니 가능한 한 최고의 사람으로 빈자리를 채워야 한다고 말해야 한다. 필요 인력에 대한 기대치를 시작부터 높이는 것이다”라고 조언했다. 모호한 설명이나 기존 직원의 적대감은 프리랜서와의 계약에 방해가 된다.  명확한 직무기술서를 작성하라 일부 채용 공고의 기준선이 ‘불가능한 것을 가능하게 만드는 것’이라는 생각이 들 때가 있을 것이다. 지원자들은 해당 기업에서 요구하는 바가 무엇인지, 성과를 어떻게 측정하는지 채용 공고를 통해 명확하게 알기를 원한다. 따라서 직무기술서를 명확하게 작성하는 것이 좋다.   직원들에게 철저하게 설명하라 새로운 인물이 매주 몇 시간씩 사무실에 나타난다면 직원들은 자연스럽게 의심하기 마련이다. ‘저 사람이 누구의 직업을 빼앗는 것일까?'라고 생각하는 것이다. 릴라니는 “이런 문제에 미리 대응하고 기대치를 설정해 새로운 사람이 합류했을 때 바뀔 변화를 모두가 예상할 수 있도록 해야 한다"라고 말했다. 요구하는 기술을 보유했는지 검토하라 애초에 프리랜서를 고용하는 가장 큰 이유는 계약 즉시 생산성을 발휘할 것으로 기대하기 때문이다. 롤리는 “교육에 많은 시간을 투입할 수 없으므로 해당 업무에 매우 적합한 인물이어야 한다. 따라서 기업이 필요로 하는 정확한 능력치를 프리랜서가 보유하고 있는지 철저하게 검토해야 한다”라고 설명했다.  프리랜서의 전문 지식을 존중하라 릴라니는 “프리랜서들은 월급여를 원하는 구직자가 아니다. 대부분은 해당 분야의 전문가이며, 오랫동안 경력을 이어온 끝에 독립적으로 일하는 것을 선택한 사람들이다. 기업에 가치를 가져다주는 컨설턴트라고 생각하는 편이 낫다”라고 조언했다. 사전 협의한 워크로드만 제공하라 계약자에게 주당 10시간의 작업을 예상한다고 말했다면, 그렇게 이행해야 한다. 롤리는 “사전에 이야기한 것보다 워크로드가 많아지면 계약자가 큰 타격을 받으며, 계약이 조기에 종료될 수 있다. 실제로 계약이 조기 종료되는 가장 큰 이유가 바로 이런 부분 때문이다”라고 덧붙였다.  단기보다는 장기 계약을 염두에 두어라 프리랜서들은 고용 안정성을 가장 불안해한다. 롤리는 “계약의 지속성이 매우 중요하다. 단기 계약은 장기 계약보다 매력적이지 않다. 일반적으로 계약 기간이 3개월 미만이면 프리랜서들의 흥미가 사라진다”라고 말했다.  성과 기준과 측정 방법을 명확하게 설정하라 릴라니는 “양 당사자가 합의할 수 있는 기대치를 처음부터 설정하지 않으면 관계가 일찍 무너질 것이다. 성과 지표는 수량화할 수 있고 명확해야 하며, 일관적이어야 한다”라고 강조했다.  자체적인 인력풀을 마련하라 일시적인 도움이 필요할 때마다 매번 프리랜서 플랫폼을 찾아보는 것은 피곤한 일이다. 프리랜서 계약자는 고용주만큼이나 장기적인 관계를 중요하게 생각한다. 릴라니는 “문제가 생겼을 때 일주일에 한 번이든 일 년에 한 번이든 신뢰할 수 있는 사람에게 일을 맡길 수 있도록 일종의 자체 인력풀을 마련해 두는 것도 좋다”라고 조언했다. 롤리도 이에 동의하며 “사전에 신뢰를 구축하고, 2명이 필요할 경우에 대비해 10명의 후보자와 관계를 맺어두라”라고 덧붙였다.  원격근무 시 특히 주의하라 프리랜서 계약자는 기업이 협업/화상회의/문서 공유를 할 때 사용하는 것과 동일한 툴을 사용해야 한다. 기업은 프리랜서에게 이런 툴을 제공할 때 접근권한과 사이버보안에 각별한 주의를 기울여야 한다. 프리랜서가 다른 경쟁업체에서 일할 가능성이 있는 경우에는 더욱 그렇다. 이런 상황이라면 작업 시간을 성과 지표로 활용하는 것을 고려해볼 수 있다. 비교적 짧은 시간 안에 생산적으로 작업하는 사람에게는 불리하게 작용할 수 있지만, 원격근무를 하는 프리랜서에게는 좋은 대안이다. 물론 더 나은 접근 방식도 있다. 예컨대 이정표 달성이나 파워포인트 제작, 또는 프로젝트를 제시간에 완료하거나 예산 미만으로 완료했을 때 결과에 따라 보너스를 지급하는 것이다. 급여를 시간당 계산해서 지급하기로 논의했더라도 기대치 이상으로 작업을 해낼 때는 보너스 지급을 고려해 보자. 고용주와 작업자 모두가 행복해지는 방법이다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.