IT 리더에게 섀도 IT로 인해 겪는 어려움에 대해 물어보면 대부분 보안, 운영 및 통합 리스크를 꼽을 것이다. 그러나 일부의 경우, IT 부서의 개입 없이 부서별로 기술 조달 및 관리가 이루어질 때 발생하는 더 심각한 문제는 부서별 기술 요구 사항을 IT 부문이 파악하고 대응할 수 있는 기회를 놓친다는 점이다.
섀도 IT의 내재적 리스크를 경시하는 것은 아니다. 인트러스트의 보고서에 따르면 IT 전문가의 77%가 섀도 IT에 대해 우려하는 데에는 충분한 이유가 있다. 직원의 41%가 IT의 가시성 외부에서 기술을 획득, 수정 또는 생성하고 있다. EY의 글로벌 서드파티 리스크 관리 설문조사 응답자의 52%가 지난 2년간 제3자로 인해 가동 중단을 경험했으며 38%는 데이터 유출을 보고했다.
하지만 최근의 ‘디지털 선구자들과의 커피’ 행사에서 논의된 바와 같이 불량 IT와 섀도 IT 사이에는 현격한 차이가 있다. 불량 IT는 비즈니스 리더가 IT를 신뢰하지 않고 고의적으로 협업과 규정 준수를 회피할 때 발생하는 반면, 섀도 IT는 IT를 활용하는 방법에 대한 지식이 부족하거나 키스플로 CPO인 디네시 바라다라잔이 말했듯이 ‘비즈니스 사용자가 직면한 특정 문제를 해결하기 위한 지원과 IT 여력 부족’으로 인해 발생하는 경우가 많다.
섀도 IT를 협업 개선의 기회로 삼는 접근법이 큰 효과를 낼 수 있는 이유도 바로 여기에 있다. 물론 빠르고 쉽게 바뀌는 것으 아니다. IT가 기술 요청을 관리하는 수요 측면과 기술 요구 사항을 적절한 솔루션에 대해 조사하고 검토하는 공급 측면의 두 가지를 동시에 해결해야 한다. 다음은 이러한 전환을 이끄는 7가지 단계이다.
1. 비즈니스 관계 프로그램 확장
플러리의 CEO 겸 공동 설립자인 브라이언 플라츠는 “오늘날 조직은 섀도 IT를 제거하려고만 하지 않는다. 공식 채널을 통해 도입하고자 함으로써 보안, 규정 준수 및 효과적인 관리를 보장하는 동시에 직원들이 애초에 섀도 IT를 사용하려 한 이유인 혁신과 민첩성을 유지할 수 있는 방법을 모색하는 경우가 많다”라고 말했다.
하지만 이를 위해서는 먼저 IT 리더가 현업과의 소통 범위를 넓히고, 직원 워크플로우를 더 깊이 들여다봄으로써 음지에서 일어나는 일에 빛을 비춰야 한다.
이러한 노력의 일환으로 일부 대기업에서는 비즈니스 관계 관리자를 배치한다. 이를 통해 부서의 기술 요구 사항을 이해하고 요구 사항 및 비즈니스 사례로 변환하는 데 핵심적인 역할을 수행하도록 하는 것이다. 중소규모 조직은 비즈니스와 이해관계자의 참여를 유도하는 커뮤니케이션 프로그램을 개발하곤 한다. 또 새로운 비즈니스 요구 사항을 파악하기 위한 아이디어 프로세스를 수립하고, 디자인 사고 방법론을 활용하여 이러한 격차를 해소할 수 있다.
2. 지표 설정 및 협업 강조
섀도 IT의 근본 원인 중 하나를 해결하기 위해 CIO는 부서 기술 솔루션의 평가, 조달, 구현을 위한 거버넌스와 제공 모델을 수립해야 한다. 아울러 중요한 것은 기술 요청을 온보딩하는 방법을 이해관계자와 소통하고, 부서별 기술 요구의 우선순위를 정하는 방법을 공유하고, 새로운 기술을 찾을 때 이해관계자의 책임을 문서화하고, 상황 정보를 제공하는 것이다.
강력한 제공 모델과 커뮤니케이션 계획이 없으면 비즈니스 이해관계자는 IT 부서의 개입 없이 기술 솔루션을 구매하고 구현하려고 시도할 가능성이 높다. 기술 솔루션을 구매하고 도입하는 데는 시간이 걸리기에 섀도 IT에 대한 CIO의 대처법은 이해 관계자에게 협업이 최선의 이익이라는 확신을 심어주는 것이다.
이를 위해 IT 리더는 사람들과의 연결이 얼마나 중요한지 인식하고 IT가 그들과 협업할 준비가 되어 있다는 신뢰감을 제공해야 한다.
SADA의 부 CTO인 브라이언 석은 “인적 요소가 가장 중요하다. 직원들은 일반적으로 정책을 준수하려 하지만, 너무 엄격하면 섀도 IT로 이어지는 경우가 많다. 정책과 그 이유 및 이점에 대해 명확하고 자주 소통하고, 피드백과 협업 문화를 조성하며, 사용자 요구가 변화함에 따라 민첩하고 기꺼이 정책을 조정해야 한다”라고 말했다.
3. 리스크 분류, 기회 우선순위 지정, 재무 관리 촉진
섀도 IT는 IT 리더에게 부서별 기술 솔루션에 대한 전략을 재평가할 수 있는 기회를 제공한다. 검토할 사항은 다음과 같다.
● 기존 섀도 IT 구현 해결
● 새로운 솔루션에 대한 비즈니스 팀과의 파트너십
● 기존 애플리케이션 및 기술 향상 및 지원
● 활용도 증대 및 직원 경험 개선
● 지표 확인 및 제공된 비즈니스 가치 입증
공식화되고 투명한 우선순위 지정 프로세스도 중요하다. CIO가 새로운 기회의 우선순위를 정하기 위해서는 새 비즈니스 사례를 포착하거나 비즈니스 가치를 예측할 수 있는 방법이 필요하다. 동시에 CIO, CISO, 규정 준수 책임자는 섀도 IT가 문제나 리스크를 초래하는 시점을 포착할 수 있는 리스크 관리 프레임워크를 구축해야 한다.
부서에서 IT 부서의 도움 없이 자체 기술을 조달할 경우 조달 비용과 구현 리스크가 높아지는 경우가 많다. CIO가 CFO와 협력해야 할 이유다. 기술 지출에 대해 CIO와 CISO의 협력이 필요한 기술 조달 제어를 만드는 것은 섀도 IT를 줄이기 위한 중요한 단계다.
또한 CIO는 엔터프라이즈 아키텍트와 협력해 재사용 가능한 플랫폼과 공통 서비스를 통해 비용 및 기타 혜택을 얻을 수 있는 부분에 대한 지침을 정리해야 한다.
인포시스 코발트의 EVP인 아난트 아디아는 “섀도 IT가 만연할 때 재사용 가능한 소프트웨어에 대한 문서를 생성하지 않아 리소스를 낭비하는 경우가 많다. 세부적인 애플리케이션 권한과 결합된 통찰력 있고 광범위한 거버넌스는 섀도 IT를 억제하고 협업적인 운영 모델을 구축하는 데 도움이 된다”라고 말했다.
4. 로우코드 및 노코드 거버넌스 모델 구축
앞선 세 단계는 섀도 IT를 도입하는 데 도움이 된다. 그러나 IT 부서가 우선순위가 지정된 수요에 대응할 수 있는 충분한 인력, 전문성 또는 예산을 보유하고 있지 않다는 사실을 해결하지는 못한다.
CIO는 시민 개발 기술을 장려하고 로우코드 및 노코드 솔루션에 대한 거버넌스 모델을 수립하여 IT 공급 측면의 격차를 줄일 수 있다. 노코드 거버넌스 모델에는 앱 아이디어, 역할 및 책임, 통합 요구 사항, 릴리스 관리 관행, 문서 요구 사항 및 기타 요구 사항을 검토하는 프로세스를 처리해야 안전한 비즈니스 프로세스를 보장할 수 있다.
노코드 솔루션은 구현 및 지원 업무를 현업에 할당함으로써 섀도 IT 문제를 해결하는 데 크게 기여할 수 있다. 또 노코드 솔루션은 비즈니스 사용자가 스프레드시트를 워크플로우로 변환하고, 지식 기반을 개발하고, 사스 통합을 구축하는 데 도움을 줄 수 있다.
그러나 성공하려면 CIO는 되는 관련한 거버넌스 모델과 솔루션 아키텍처 계획이 필요하다. 이를 통해 로우코드 및 노코드 플랫폼을 선택하고, 이러한 플랫폼의 사용 시점에 대한 지침을 제공하며, 개발 수명주기를 설정하고, 지속적인 지원을 보장할 수 있다.
바라다라잔은 “전략적 프레임워크가 비즈니스 복잡성, 기술적 복잡성, 보안 및 규정 준수 요구 사항이라는 세 가지 기준에 따라 사용 사례를 분류해야 한다. 이러한 기준에 근거에 높은 순위에 속하는 사용 사례는 IT 부서에서 관리하고, 나머지는 비즈니스 부서에 위임할 수 있다”라고 말했다.
CIO가 사전 예방적 데이터 거버넌스를 장려하고 데이터 통합, 카탈로그화 및 품질 관행을 확립할 때 시민 데이터 과학이 섀도 IT를 줄인다. 부서별 데이터 요구 사항과 도구가 필요할 때가 있을 수 있기는 하다. 그러나 표준화된 데이터 플랫폼이 있으면 도구 확산과 섀도 프로그램을 줄이는 데 도움이 된다.
6. 생성형 AI 실험의 반복과 소통
부서와 직원들이 이미 생성형 AI 도구를 탐색하고 있으며 독점 정보 및 기타 기밀 정보가 노출될 위험성 커지고 있다. 벤처 캐피털 회사인 세콰이어 캐피탈의 최근 차트는 영업, 마케팅, 디자인, 소프트웨어 엔지니어링, 고객 지원, 법무 및 기타 부서별 요구 사항에 대응하는 생성형 AI 도구가 잇달아 등장하고 있음을 보여준다.
특히 현업 조직에서는 생성형 AI 기능의 잠재력을 확인하는 싶어하기 십상이다. 그림자 활동이 커질 수밖에 없는 셈이다. 부서장이나 직원이 새로운 도구를 시도하고 또 다른 섀도 프로그램을 시작하는 것을 막을 수 있는 방법은 무엇일까?
적절한 경우, CIO는 생성형 AI 실험을 거부하지 말아야 한다. 부서장이 반복적으로 ‘아니오’라는 대답을 들으면 IT, 보안부서와의 협업 없이 섀도 솔루션을 탐색하는 것을 고려한다.
또한 CIO는 장단기 전망을 담은 생성형 AI 전략을 수립하고, 소통하며, 반복적으로 업데이트해야 한다. 단기 계획에는 어떤 부서가 어떤 비즈니스 성과와 기회를 향해 실험해야 하는지뿐 아니라 어떤 도구를 사용할 수 있는지, 어떤 데이터가 포함될 수 있는지, 실험적인 학습 결과를 어디에 보고해야 하는지 등이 명시되어야 한다.
또한 CIO는 디지털 전환 전략을 업데이트하여 대규모 언어 모델이 해당 산업에 어떤 영향을 미칠지, 고객 경험에 AI 기반 개편이 필요한 부분이 있는지 고려해야 한다.
7. 공동 제작 문화 조성
마지막 단계가 아마도 가장 중요하다. 다른 6단계와 병행하여 관리해야 한다. 섀도 IT는 단순히 리스크와 기회의 사싱 이상의 것이다. 최고 CIO가 제거하고자 하는 ‘비즈니스’와 ‘IT’ 간의 운영 및 문화적 격차와 관련된 것이다.
이 격차를 좁히려면 비즈니스 이해관계자와의 관계를 구축하고, 고객 및 직원의 요구에 대한 공감을 키우고, 커뮤니케이션을 개선하여 기술 조직의 비즈니스 통찰력을 확장해야 한다. 또한 영업, 마케팅, HR 및 기타 부서에서 일하는 디지털에 정통한 직원이 기술 요구 사항을 셀프 서비스할 수 있는 승인된 도구와 관리되는 프로세스를 갖출 수 있도록 CIO가 지원해야 한다.
이 7가지 단계를 따르는 CIO는 더 많은 부서의 기술 요구 사항을 충족하고, 섀도 프로그램의 리스크를 줄이며, 더 많은 비즈니스 사용자가 워크플로우 및 데이터 요구 사항을 셀프 서비스할 수 있도록 지원함으로써 섀도 IT를 경쟁력으로 전환할 수 있다.
* Isaac Sacolick는 애자일, 데브옵스, 데이터 과학을 다룬 ‘Driving Digital: The Leader’s Guide to Business Transformation through Technology’의 저자다. dl-ciokorea@foundryco.com
