시만텍이 IT리스크 관련 이슈와 동향을 정리한 ‘시만텍 IT 리스크 관리 보고서’ 제2호를 발표했다.  

시만텍은 보고서를 통해 “IT리스크 관리의 중요성에 대한 인식은 높아지고 있으나 여전히 존재하는 잘못된 통념으로 인해 실패할 수 있다”면서 “데이터 유출에 대한 인식이 부족한 가운데, IT 사고의 53%가 프로세스 문제로 발생한다”고 지적했다.
 
이번 시만텍 보고서는 각국 IT 전문가와 400건 이상의 심층 인터뷰를 통해 발간됐는데, 이번에는 IT리스크에 대한 일반적인 오해를 분석하고 없애는데 초점을 맞췄다.
 
오해 1: IT 리스크 관리는 IT 보안과 같은 말이다

보고서에 따르면  IT 전문가들은 IT 리스크를 보안 리스크를 탐지, 제거하는 것과 동일시했던  사고에서 벗어나,  좀더 광범위한 관점을 갖기 시작했다. 응답자의 78%가 가용성 리스크를 ‘가장중요’하거나 ‘심각한 이슈’로 꼽았고 보안은 70%, 성능은 68%, 컴플라이언스는 63%라고 답했다.

대부분의 응답자들이 리스크 카테고리에 비슷한 수준의 중요도를 부여한 것은 IT 전문가들이 보안에만 치중했던 과거의 IT리스크 접근 방식에서 벗어나 보다 균형 잡힌 관점을 갖기 시작한 것이라고 시만텍은 설명했다.

오해 2: IT 리스크 관리는 특정시기에만 수행하면 되는 단기 프로젝트다

IT 리스크 관리가 시작과 끝이 있는 하나의 프로젝트, 혹은 주기적으로 특정 시기에만 실시되는 작업이라는 인식은 IT 리스크 관리의 역동적인 성격을 이해하지 못한 것이라고 시만텍은 강조했다. IT 리스크는 지속적으로 관리해야 할 대상으로 이해해야 한다는 것이다. 보고서에 따르면 응답자들은 IT 리스크 사고 발생 빈도를 다음과 같이 예상했다.
 
-응답자 69%가  작은 규모의 IT 사고가 한 달에 한 번 발생할 것으로 예상했다.

-응답자 63%가 최소 1년에 한번 중대한 IT 오류 상황이 발생할 것으로 예상했다.

-응답자 26%가 규제 미준수 사고가 최소 1년에 한 번 꼴로 발생할 것으로 예상했다.

-응답자 25%가 데이터 유출 사고가 최소 1년에 한 번 발생할 것으로 예상했다.

시만텍은 “보고서를 보면 효과적으로 IT 리스크 관리를 하고 있는 기업은 보다 전체적인 접근 방법을 택하고 있다”면서 “그러나 많은 기업들이 자산 구분 및 관리 등 근본적인 리스크 관리 제어 시스템 도입에 실패하고 있는 것으로 나타났다”고 설명했다.

오해 3: 대부분의 IT 리스크 관리 과제는 기술만으로 해결 가능하다

시만텍에 따르면 리스크를 감소시키는데 있어 기술이 매우 핵심적인 역할을 하는 것은 사실이지만, 기술이 인력과 프로세스를 뒷받침해야만 IT 리스크 관리 프로그램이 효과를 거둘 수 있다. 이번 보고서에 따르면 실제로 IT 사고의 53%가 프로세스 문제로 인해 발생하는 것으로 나타났다. 그러나 응답자들의 프로세스 관리에 대한 인식은 제 1호 보고서에 비해 더 낮아진 것으로 나타났다.

오해 4: IT 리스크 관리에는 시간, 지역, 비즈니스 환경에 관계 없이 동일한 원칙이 적용된다

‘시만텍 IT 리스크 관리 보고서’ 제 2호는 IT 리스크 관리가 고정불변의 법칙이 아니라 끊임없이 진화하는 과정임을 분명히 했다.  IT 리스크 관리는 기업과 직원이 변화하는 비즈니스 및 기술 환경에 적응해가면서 쌓여가는 경험에 크게 의존한다는 이유에서였다.

시만텍은 “최근에는 IT리스크 관리가 운영 리스크 관리, 생산 프로세스 규칙, 비즈니스 및 IT 거버넌스 등 다양한 변수를 포함하고 있다는 공감대가 IT 전문가들 사이에서 확대되고 있지만 실무자들은 아직 IT 리스크 관리를 어느 산업이나 지역에서도 적용 가능한 고정된 원칙이나 관계로 보는 경우도 있다”고 지적했다.

이번 보고서는  특정 산업의 IT 리스크 관리 현황도 함께 조명했다. 조사에 따르면, 의료 산업군의 응답자들이 다른 산업군에 비해 가장 많은 IT 사고를 예상하고 있는 것으로 나타났다.

시만텍 IT리스크 관리 보고서 제2호 원문은 시만텍 웹사이트에서 볼 수 있다.