클라우드 애플리케이션이 기업 내부로 쓰나미처럼 밀려오고 있다. 이제 많은 기업에게 문제는 SaaS를 배치할지 여부가 아니라 SaaS를 어디까지 허용해야 하는지일 정도다.
비용 절감, 증가한 민첩성 증가, 수월해진 확장성 등 SaaS의 장점은 잘 알려져 있다. IDC의 SaaS 및 클라우드 소프트웨어 연구 책임자 프랭크 델라 로사는 “배치가 수월하고 빠르며 혁신적인 기능이 이미 담고 있어 기업의 디지털 변신 가속화에 도움이 된다”라고 말했다.
단, 클라우드 기반 애플리케이션을 사용하면 나름대로의 어려움이 따른다. 코로나바이러스감염증-19 대유행에 대응해 원격 근무가 급격히 증가하는 요즈음 특히 어려움이 커질 수 있다. IT팀들은 상황이 통제 불가 상태에 빠지지 않도록 이런 문제를 제때 해결해야 한다.
SaaS 환경으로의 이전과 유지 시에 기업이 직면하는 가장 큰 과제 가운데 3가지와 이를 풀어나가는 방법에 대한 전문가들의 조언을 소개한다.
SaaS 애플리케이션의 확산
SaaS 애플리케이션은 기업 내에서 계속 빠르게 확산 중이다. 따라서 강력한 관리 및 비용 통제 방안을 마련해야할 필요성이 더욱 대두되고 있다.
중소기업 대상 ID 관리 플랫폼 제공 업체 옥타(Okta)는 2020년도 비즈니스앳워크(Businesses @ Work) 보고서에서 기업에 배치하는 앱의 수가 평균 88개로 2019년 대비 6%, 2017년 대비 21% 증가했으며, 고객 가운데 10%가 200개 이상의 앱을 운영 중이라고 밝혔다.
델라 로사는 “SaaS의 등장으로 애플리케이션 구매 결정이 다양한 곳으로 발생하고 있다. 현업 관리자는 물론 이제는 점점 더 많은 최종 사용자도 업무 처리를 위한 소프트웨어 구매가 가능해졌다. 그래서 속도와 민첩성은 늘어나는 반면, IT 부서에는 관리 및 규정 준수에 어려움이 나타나고 있다”라고 말했다.
SaaS의 확산 범위가 점점 넓어지는 가운데, IDC 조사에 따르면 많은 IT 임원들이 전사적으로 사용 중인 애플리케이션이 몇 개나 되는지 제대로 알지 못하는 것으로 나타났다. 발견되지 않은 애플리케이션이 수백 개나 되는 경우도 있다고 델라 로사는 말했다.
따라서, 사용 중인 애플리케이션을 파악하고 보안 및 컴플라이언스 위험 관리를 개선하려면 IT 팀은 여기에 도움이 될 자동화 도구를 알아봐야 한다고 강조했다. IDC에 따르면 이 분야의 선도 업체로는 VM웨어, 시스코, AWS, 마이크로소프트 애저, 구글 클라우드, 마이크로포커스 등이 있다.
한편 곳곳에 산재한 SaaS 관련 문제를 해결하기 위해서는 ‘위험도나 위중도를 기준으로 하는 사고방식’도 취해야 한다고 가트너 부사장 겸 애널리스트 카일 데이비스는 강조했다. 그래야 회사의 성공에 더욱 중요한 애플리케이션을 파악하여 IT 부서에게 배치를 지시할 수 있기 때문이라는 설명이다.
데이비스는 “IT부서가 SaaS 형태로 채택하게 될 그 많은 애플리케이션을 다 지원할 수 없을 것이다. 보통 회사에서 사용하는 애플리케이션은 처음에는 몇 개 안되지만 나중에 수십 개로 늘어나고 다시 수백 개, 대기업의 경우에는 수천 개까지 늘어난다. 과거에 회사에서 소프트웨어가 채택되던 방식과는 다르다”라고 말했다.
IT 인프라가 주로 구내에 있던 시절에는 몇 개의 대형 플랫폼을 중심으로 기업 소프트웨어가 운영되곤 했었다.
데이비스는 “SaaS 기반 애플리케이션이 수백 개 내지 수천 개에 이르면 그 모든 분야의 전문 지식을 갖출 정도로 IT 부서를 확장하는 것이 불가능하다”라며, “SaaS 기반 애플리케이션은 IT 부서가 직접 배치, 관리하지 않을 경우 회사에 어느 정도의 위험이 되는지를 기준으로 분류해야 한다”라고 말했다.
상황이 이렇다 보니 항상 “셰도우 IT”가 생길 가능성이 높다. 셰도우 IT란 비즈니스 사용자가 IT 부서가 모르게 또는 IT 부서의 승인 없이 SaaS 등을 채택하는 경우를 말한다. 그러나, 데이비스에 따르면, 그런 경우에도 사용자는 결국에는 지원을 받기 위해 IT 부서를 찾게 되곤 한다. 그럴 때 IT 부서는 해당 사업부나 IT 부서가 앞으로 그 SaaS 애플리케이션을 유지할 지 아니면 다른 것으로 대체해야 할지 가늠할 수 있다.
IT 부서는 소프트웨어를 폭군처럼 통제하거나 아예 통제를 포기해 버릴 것이 아니라 “중간 지점에서 관리해야 한다”라고 데이비스는 강조했다. 특히 SaaS 애플리케이션이 조직에 끼칠 수 있는 위험 측면에서 살펴볼 필요가 있다고 그는 덧붙였다.
보안, 개인정보보호, 컴플라이언스
클라우드 애플리케이션 사용과 관련해, 데이터 보안 문제, 개인정보보호 문제, 컴플라이언스 문제를 해결하는 것 역시 큰 과제이다. 코로나바이러스 대유행과 그로 인한 재택근무 확산으로 원격 작업자가 크게 증가하면서 어려움이 더욱 커졌다.
IDC 델라 로사는 “많은 회사들이 SaaS 애플리케이션을 많이 사용하면서 데이터 유출과 사이버 공격에 취약해지고 있다”고 지적했다. 그에 따르면 SaaS 관리 도구를 활용하면 IT 부서가 데이터 개인정보보호 및 컴플라이언스 의무 실행 속도를 해결하는 정책과 절차를 시행할 때 도움이 될 수 있다. SaaS 관리 분야의 주요 업체로는 블리스풀리(Blissfully), 자일로(Zylo), 지투트랙(G2 Track), 베터 클라우드(Better Cloud) 등이 있다.
뜨고 있는 SaaSOPs 서비스는 대부분의 SaaS 관리 업체에서 제공하고 있다. SaaS 활동이 기업의 적절한 우선 순위가 되도록 돕는 한편 새로운 애플리케이션을 추천해 준다. 따라서 IT 부서는 집행하는 역할에서 실행시키는 역할로 바뀐다고 델라 로사는 설명했다.
“이를 잘 이용하면 IT 부서는 수상한 활동이 없는지 감시할 수 있고 부적절한 데이터 공유를 방지할 수 있다. 민감한 정보 유출 여부를 확인하기 위해 파일을 주기적으로 검사할 수 있다. 특정 컴플라이언스 법률에 대해 자동화된 정책을 수립할 수 있다”라고 그는 덧붙였다.
마케팅 서비스 및 기술 제공업체 엡실론(Epsilon)의 CIO 로버트 월든은 교육의 중요성을 강조했다. 직원들이 SaaS의 지속적 사용에 있어 본인 역할의 중요성과 본인 책임을 충분히 이해할 수 있도록 해야 한다고 그는 말했다.
“SaaS 솔루션을 제대로 활용한다는 측면에서는 직원들이 제1방어선이며 또 그래야 한다. 태만은 핑계가 될 수 없다”라고 그는 말했다.
이를 위해, 회사 차원에서 적절한 정책 및 교육을 제공하고 지속적인 소통을 통해 직원이 본인의 책임을 파악하고 미 준수 시 초래되는 영향을 알 수 있게 해야 한다고 월든은 설명했다. 그는 이어 보안 위험을 줄이고 데이터를 보호하기 위해 “관리 통제 프로세스와 도구, 통제 장치를 실행하는 것도 중요하다”라고 덧붙였다.
가트너의 데이비스는 SaaS 제품을 평가할 때 보안을 우선적으로 고려해야 한다고 강조하며, 이를 위해 사이버 보안 관점에서 일정 기준을 회사 차원에서 마련해야 한다고 전했다.
데이비스는 “한 가지 중요한 사항은 ‘구내에서 직접 하던 수준과 비교하는 것이다. SaaS 제공업체가 더 낫지는 않더라도 최소한 그 정도 수준으로 해 낼 것이라고 믿을 수 있는가?’라고 말했다. 그는 이어 서비스 업체가 위반 사례를 어떤 식으로 공개하고 발표하는지, 물리적 보안은 어떤 식으로 처리하는지, 이동 중이고 정지 중인 데이터를 어떤 식으로 보호하는지 등을 파악할 필요가 있다고 말했다.
데이비스에 따르면, 많은 SaaS 업체들은 AWS, 마이크로소프트 애저, 구글 클라우드 플랫폼과 같은 주요 클라우드 제공업체를 통해 서비스를 제공하며, 따라서 해당 플랫폼의 보안 기능을 활용하고 있다. 그래도 회사들은 사용 중인 SaaS 제품의 정보보호 규정 준수 여부와 적정 접근 통제 장치의 시행 여부를 반드시 확인해야 한다고 그는 조언했다.
클라우드 기반 소프트웨어 통합
세 번째 큰 과제는 연동이 필요한 다양한 클라우드 기반 애플리케이션을 통합하는 일이다. 데이비스에 따르면, 클라우드 기반 애플리케이션을 서로 통합하거나 회사 온프레미스 서버에 있는 애플리케이션과 통합하려고 할 때 여의치 않을 가능성이 높다.
또한, 새로운 SaaS 제품을 도입하거나 온프레미스 제품에서 SaaS 애플리케이션으로 전환하려면 기존의 비즈니스 프로세스를 재정의하거나 재구축해야 하는 경우가 많다고 그는 전했다. 아울러, SaaS로 전환하면 다른 SaaS 소프트웨어 및 구내 소프트웨어와 예기치 않게 통합해야 하는 일도 종종 발생한다는 설명이다.
한 회사 입장에서 SaaS 서비스가 전략적일수록 다른 애플리케이션과 통합이 필요할 공산이 커진다. 이메일이 좋은 사례다. 이메일을 알림 발송에 사용하는 애플리케이션과 시스템이 많을 수 있다. 따라서, 이메일 애플리케이션을 SaaS 모델로 전환할 때 이러한 상호 의존성이 어떻게 되는 지에 대해 회사 차원의 대비가 필요하다.
가트너에 따르면, 최신 SaaS 애플리케이션들은 개별 도구라기보다는 조직의 구축 바탕이 되는 플랫폼인 경우가 많다. 따라서, 사용자가 SaaS 기능을 프로세스와 워크플로에 통합하게 해주는 상세한 API 집합이 필요하다.
오늘날 주요 SaaS 제공업체들은 흔한 통합 시나리오를 수월하게 지원하는 방식으로 통합의 필요성 문제를 해결하고 있다. 그러나 기업에 따라 완전히 통합된 사용자 경험과 비즈니스 프로세스를 제공하기에는 여전히 부족할 수 있다.
이런 이유 때문에 회사 입장에서는 SaaS 제품의 통합 기능과 인터페이스를 신중하게 평가해야 하며 구체적인 필요에 따라 문제에 맞춤식 솔루션을 만들어야 할 경우도 있다.
델라 로사는 공통 데이터 모델, 표준 도구, 강력한 공용 API 등과 같은 서비스로 통합과 맞춤 작업의 부담을 덜어주는 SaaS 플랫폼이 그 동안 빠른 속도로 진화 및 확산됐다고 전했다.
이어 “이러한 동향은 거대한 단일 기업 애플리케이션으로부터 여러 부분으로 분해 가능하고 컨테이너화 된 마이크로서비스로 구성된 클라우드 네이티브 아키텍처로의 전환이 특징인 SaaS의 새로운 세대에 그 의미가 더 커지고 있다”라고 그는 덧붙였다. dl-ciokorea@foundryco.com
