시만텍 it 리스크 관리 보고서 -...
TRANSCRIPT
시만텍 IT 리스크 관리 보고서
2006년 12월까지의 동향 제 1 권, 2007년 2월
시만
텍 IT
리스
크 관
리 보
고서
– 그렉 휴이, 시만텍 월드와이드 서비스 및 기술지원 담당 부사장
"고객, 공급업체, 파트너와 비즈니스 정보가 상호
연결되는 세계의 중심에 IT가 있습니다. 이제 IT
리스크를 확인, 관리하는 능력이 핵심적인 비즈니스
차별화 요소로 간주되고 있습니다."
목차
요약 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 하이라이트 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1 – IT 리스크의 이해 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 IT의 역할이 점차 증대되면서, IT 리스크가 운영 리스크의 핵심 요소로 떠오르고 있습니다. IT 리스크는 보안, 가용성, 성능,
컴플라이언스 등의 요소를 포함하며 각각 서로 다른 원인과 잠재적 영향을 수반합니다.
2 – IT 리스크 관리 프로세스와 테크놀로지 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 IT 리스크를 관리하기 위한 테크놀로지 컨트롤이 프로세스 컨트롤보다 더 효과적으로 구현되고 있는 것으로 확인되었습니다.
IT 리스크를 효과적으로 관리하는 기업은 인력과 프로세스에 대한 컨트롤 또한 효과적으로 구현하고 있습니다.
3 – IT 리스크 전략과 기업 목표의 연계 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 IT 현장은 이제 '온실'에서 '최전방'으로 이동했습니다. IT 리스크에 대한 인식도 기업 내에서의 역할과 직급에 따라 달라집니다.
이러한 인식의 차이가 효과적인 IT 리스크 관리의 저해 요소가 되고 있습니다.
4 – 효과적인 IT 리스크 관리의 이해 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 효과적인 IT 리스크 관리를 위해서는 인식을 제고하고, 비용과 효과를 정량화하고, 기업 요구 사항에 대응하는 솔루션을
설계/구현하기 위한 원칙적이고 구조화된 프로그램이 필요합니다.
5 – IT 리스크 경감을 위한 프로파일 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 IT 리스크 관리가 제공하는 긍정적인 효과가 뛰어나다는 것은 좋은 소식으로 볼 수 있습니다. 비용, 테크놀로지,
그리고 미래에 대한 컨트롤 능력이 뛰어난 기업은 더욱 효율적인 경영이 가능합니다..
결론 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 상호 연결된 세계에서, 우리의 고객, 공급업체, 파트너들이 공통적인 목표를 향해 신뢰를 가지고 전진할 수 있도록
지원하기 위해서는 우리 모두가 리스크에 대한 인식과 관리 책임을 공유해야 합니다.
부록 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
�
요약프로세스 및 정보 저장 환경의 자동화에 대한 기업의 의존도가 증가함에 따라 IT 리스크가 운영 리스크
(Operational Risk)에서 차지하는 비중 또한 점점 높아지고 있습니다. 다양한 업종의 기업들이 IT 리스크에 대
한 포괄적이고 집중적인 전략 개발을 목적으로 다양한 업무 조직을 통합하기 위한 노력을 시작하고 있습니다.
IT 리스크는 보안, 가용성, 성능, 컴플라이언스 등의 요소를 포함하며 각 요소별로 서로 다른 원인과 영향을 수
반합니다.
본 보고서는 전세계 500여 명의 IT 전문가들을 대상으로 1년의 기간에 걸쳐 심도 있게 진행한 인터뷰 결과를
바탕으로, IT 리스크와 IT 리스크의 경감을 위한 테크놀로지/프로세스 컨트롤에 대해 분석하고 있습니다. 본
보고서는 업종, 지역, 직급 등과 무관하게 IT 전문가들이 아래와 같은 결론에 도달하고 있음을 확인하고 있습
니다.
• IT 전문가들은 자신이 소속된 기업의 프로세스 컨트롤 능력보다는 테크놀로지 컨트롤 능력을 높이 평가하고 있습니다.
• IT 전문가들은 IT 자산/구성/변경 관리 프로세스를 가장 중요한 문제 영역으로 보고 있습니다.
• IT 전문가들은 조직의 발전을 위해서는 인력과 프로세스의 개선이 가장 중요하다고 이해하고 있습니다.
높은 성과를 보이는 기업들의 데이터는 매우 놀라운 (그리고 고무적인) 결과를 보여 주고 있습니다. 리스크 관
리에 가장 효율적인 기업은 (리스크의 심각도가 오히려 높음에도 불구하고) 효율적이지 않은 기업에 비해 리
스크 관련 사고 발생률이 적은 것으로 확인되었습니다. 또 이러한 기업에서 적용 중인 컨트롤에 대한 세부적
인 분석을 통해, 업계 선두의 기업들은 (프로세스 컨트롤을 포함하는) 전체 컨트롤 영역에 대해 매우 높은 효
율성을 보이는 반면 낮은 성과를 보이는 기업들은 보다 전술적인 개념에 입각하여 소수의 컨트롤에만 집중하
고 있음을 확인할 수 있었습니다.
본 보고서는 IT 운영 인력과 기업 임원들이 IT 리스크를 이해하는 관점에 매우 큰 인식의 차이가 존재하고 있
다는 결론을 내리고 그 차이를 분석하고 있습니다. IT 리스크에 대한 내부적 시각의 차이, 그리고 IT 리스크 관
리 프로그램과 전반적인 기업 목표의 연계 실패는 그 자체적으로 리스크를 발생시킵니다. 이러한 문제는 리스
크 관리 프로그램이 비즈니스의 특정 리스크 프로파일에 최적화되어 있지 않은 경우, 또는 전체 기능 조직 및
비즈니스 부서에 걸쳐 조율되어 있지 않은 경우에 발생하며, 투자의 미비 또는 과도한 투자를 낳는 원인이 됩
니다. IT 리스크에 대한 인식 제고와 교육을 위한 조직의 지원이 부족한 것도 효율적인 연계를 저해하는 중요
한 원인으로 작용합니다.
효율적인 IT 리스크 관리를 위해서는 IT 리스크의 인지도 제고, 비즈니스에 미치는 영향의 정량화, 인력/프로
세스/테크놀로지 전반에 대한 솔루션 설계 및 구축, 유지 가능한 IT 리스크 관리 프로그램의 구현, 지속적인 개
선을 위한 성과 측정 및 모델링 등을 포함하는 원칙적인 접근이 필요합니다. 또 단계별 프로그램의 시행을 통
해 각 단계마다 혜택, 리스크, 비용의 균형을 이루는 것 또한 도움이 됩니다.
�
하이라이트
본 보고서는 경영, 재무, IT 관리 등 IT 리스크 관리에 관련한 책임을 갖는 기업 임원들을 대상으로 작성되었습
니다. 이 보고서는 다양한 업종, 지역의 IT 전문가들이 축적한 폭넓은 경험을 바탕으로, 각 기업 환경에 적합한
리스크 관리 프로그램의 이해를 제공하는 것을 목적으로 합니다.
<IT 리스크 관리 보고서>의 주요 내용은 아래와 같습니다.
• 재무, CRM 프로세스는 가장 높은 IT 리스크를 수반합니다. 제 1 장의 "IT 리스크의 요인" 부분을 참고하시기
바랍니다.
• IT 리스크 분야의 선두를 달리고 있는 관리자들은 IT 리스크에 대한 노출이 증가하는 반면 사고의 건수는 감
소하고 있다고 증언합니다. 제 2 장의 "효율적인 IT 리스크 관리" 부분을 참고하시기 바랍니다.
• 자산 관리는 가장 리스크 영향력이 적은 IT 프로세스입니다. 제 2 장의 "프로세스의 효율성" 부분을 참고하
시기 바랍니다.
• IT 리스크 전략과 비즈니스 리스크 프로파일이 올바르게 연계되지 못하는 경우, 오히려 비즈니스 리스크가
증가할 수 있습니다. 제 3 장의 "IT 리스크의 연계가 중요한 이유" 부분을 참고하시기 바랍니다.
• 뛰어난 기업은 프로세스/테크놀로지 컨트롤의 전반적인 측면에서 우수한 성과를 보이는 반면, 위협에 직면
한 기업들은 일부 타겟 영역에만 집중하는 경향을 보입니다. 제 5 장의 "효과적인 IT 리스크의 경감" 부분을
참고하시기 바랍니다.
귀사의 고객은 귀사의 시스템과 네트워크에
연결하여 고객 자신의 미래 재무 상태를 확인
하고 있습니다.
제 1 장
리스크는 기업의 가치에 피해를 입힐 수 있는 잠재 요소입니다. 리스크
는 프로세스 및 이벤트에 대한 부적절한 관리로 인해 발생하기도 합니다.
기업 조직에 대한 IT 의 영향력이 늘어나고 많은 경우 전체 비용 지출의
50% 이상을 차지하기도 하면서, IT 리스크가 전체 비즈니스 리스크에서
차지하는 비중이 증가하고 있습니다. IT 리스크는 아래와 같이 분류될 수
있습니다.
• 보안 리스크 – 정보에 대한 불법적인 접근, 조작, 이용으로 인한 리스크
• 가용성 리스크 – 비즈니스 프로세스 또는 데이터의 접근 차단으로 인한 리스크
• 성능 리스크 – 비즈니스 프로세스 또는 데이터에 대한 접근 지연으로
인한 리스크
• 컴플라이언스 리스크 –법규 또는 IT 정책의 위반으로 인한 리스크
IT 리스크의 이해
�
�
IT 리스크의 이해
IT 리스크란 무엇인가?
비즈니스 리스크는 일상적인 운영 문제에서 흔치 않은 재난 상황에 이르기까지 다양한 형태로 존재합니다.
기업이 당면한 리스크의 유형과 수준은 기업의 비즈니스 또는 선호하는 리스크 프로파일에 따라 달라집니다.
예를 들어, 강력한 브랜드 이미지를 기반으로 많은 수의 고객에게 서비스를 제공하는 엔터테인먼트 회사의 리
스크 프로파일과 외부 인지도는 낮은 반면 보호해야 할 거래/설계 정보가 많은 제조업체의 리스크 프로파일은
서로 다를 수 밖에 없습니다. 또 높은 성장률을 보이는 개발도상국의 금융 기관이 가용성/성능 리스크에 관심
을 집중하는 반면, 선진국의 금융 기관은 보안/컴플라이언스 리스크에 초점을 맞추는 경향이 강합니다.
비즈니스 리스크는 크게 재무적 요소와 운영적 요소로 구분됩니다. 재무적 리스크는 상대적으로 이해하기
쉬우며, 재무 리스크 관리를 전문으로 하는 세계 유수의 업체들이 신용, 환율, 가격 등의 재무적 리스크의
관리/이전 업무를 지원하고 있습니다.
운영 리스크는 거래가 아닌 운영으로부터 발생하며, 자연 재해, 법률 개정과 같은 외부 이벤트, 또는 제품 품질,
기업 성과, 지적 자산의 손실, 감독/법률 통제 등과 관련한 내부 프로세스가 원인이 됩니다.
IT와 비즈니스 운영의 관계가 점점 밀접해지면서, IT 리스크가 전체 운영 리스크에서 차지하는 비중 또한 증가
하고 있습니다. 이제 IT 리스크 관리는 단순한 운영 리스크 관리의 일부로서가 아닌 별도의 영역으로 인식되
고 있습니다. IT가 오늘날의 조직에서 차지하는 비중이 그만큼 특별해졌기 때문입니다.
• IT는 대부분의 비즈니스 운영 및 거래의 핵심이 되고 있습니다. 예를 들어 금융 기관과 온라인 소매 기업의
경우, 전체 비즈니스가 IT 시스템과 네트워크를 기반으로 수행되고 있습니다.
• IT 리스크의 진화 속도는 테크놀로지가 변화하는 속도에 비례합니다. 예를 들어, 온라인 피싱(phishing)과 IT
컴플라이언스 이슈는 불과 3 년 전까지만 해도 거의 알려져 있지 않았습니다.
사람의 일생에는 휴대폰 통화 품질의 저하와 같은 사소한 문제에서 전쟁, 기근, 질병에
이르기까지 다양한 리스크가 수반됩니다. 각 개인과 조직에 수반되는 리스크의 종류는
다양합니다. 또 세계가 변화하면서 우리가 직면하는 리스크의 원인과 유형 또한 변화
하고 있습니다.
�
• IT 리스크의 확인, 측정, 분석, 관리를 위해서는 전문적인 지식과 기술이 필요합니다. (IT 리스크 관리를 포함
하는) IT 기술과 프로세스를 기업 목표와 연계하는 것은 기업이 지속적으로 해결해야 하는 과제입니다.
그림 1: IT 리스크는 4 개의 영역으로 구분되며, 각 영역은 서로 다른 요인과 잠재적 영향력을 가집니다.
IT 리스크의 분류
IT 리스크를 이해/분석하고 리스크의 경감을 지원하기 위해, 시만텍은 리스크가 기업에 미치는 영향을 기준으
로 리스크를 분류하기 위한 프레임워크를 정의하였습니다. 시만텍의 프레임워크는 IT 리스크를 아래와 같이
분류합니다.
• 보안 리스크 (security risk) – 허용되지 않은 사용자의 정보 수정, 접근, 사용으로 인한 리스크
• 가용성 리스크 (availability risk) – 시스템 장애 또는 자연 재해로 인한 정보 또는 애플리케이션 접근 차단의
리스크
• 성능 리스크 (performance risk) – 시스템, 애플리케이션, 관리 인력 또는 IT 전반의 성능 저하로 인한 비즈니
스 생산성/가치 저하의 리스크
• 컴플라이언스 리스크 (compliance risk) – 정보 처리/프로세싱 과정에서의 법규, IT/비즈니스 정책의 위반으
로 인한 리스크
이러한 4대 분류는 우리가 기업에서 발견하는 IT 리스크의 모든 요소를 포함하고 있습니다. 표 1은 각 분류별
로 리스크의 원인 및 잠재적 영향을 상세하게 비교하고 있습니다.
이 보고서는 보안 리스크와 컴플라이언스 리스크에 초점을 맞추고 있습니다. 하지만 IT 리스크의 특정 영역이
다른 영역보다 우선함을 의미하는 것은 아닙니다. 각각의 기업은 서로 다른 IT 리스크 프로파일을 가집니다.
효율적인 IT 리스크를 구현하기 위해서는 먼저 각 요소의 우선 순위를 결정하는 것이 중요합니다.
IT리스크
표 1: IT 리스크 분류별 원인 및 잠재적 영향의 예
�
리스크 분류
보안 정보, 정보와 관련된 신뢰, 정보 관리를 위한 테크놀로지/프로세스의 손실
가용성 비즈니스 거래 및 운영에 필요한 IT 프로세스/정보 제공의 실패 또는 지연
성능 비즈니스 거래 및 운영을 지원하기 위한 IT 프로세스 운영 성능의 저하
컴플라이언스 법규 또는 규정 준수의 실패 또는 IT 정책의 위반으로 인한 벌금, 제재 및 기업 평판의 추락
원인
- 외부 공격
- 악성 코드
- 물리적 파괴 행위
- 불법적 접근
- 불만을 가진 직원
- 지나치게 다양한 플랫폼 및 메시징 타입
- 하드웨어 장애
- 네트워크 장애
- 변경 관리 프로세스의 미비
- 데이터 센터 장애
- 불가항력
- 잘못된 시스템 아키텍처
- 네트워크 경합
- 비효율적인 코드
- 용량 부족
- 각 지역별 법규:
• Graham-Leach-Bliley Act
• EU Data Protection Directive
• Health Insurance Portability and Accountability Act (HIPAA)
• Sarbanes-Oxley Act
- 법률 소송
- 컴플라이언스 지원을 위한 내부 IT 조치
- 부적합한 외부 컴플라이언스 표준
- 중앙집중적 환경에서 엔드포인트 컴플라이언스 환경으로의 확산
잠재적 영향
- 정보의 손상
- 외부인 사기
- 신원 도용
- 재무 자산의 도난
- 기업 평판 및 브랜드 이미지 저하
- 자산의 피해
- 거래 취소 및 영업 기회 손실
- 고객, 파트너, 직원 신뢰의 저하
- 비즈니스 크리티컬 프로세스의 중단 또는 지연
- IT 조직 생산성의 저하
- 고객 만족도의 저하
- 고객/파트너 충성도의 저하
- 사용자 생산성의 저하
- 비즈니스 크리티컬 프로세스의 중단 또는 지연
- IT 생산성의 저하
- 기업 평판의 저하
- 고객 기밀 정보의 유출
- 소송
- 기업 임원의 생산성
IT 리스크의 원인은 무엇인가?
2005년 10월에서 2006년 10월의 기간 동안, 시만텍은 IT 리스크를 주제로 528 명을 대상으로 한 서베이를
수행하였습니다. 서베이에 참여한 전문가들은 다양한 규모, 업종, 지역의 기업에서 다양한 직책을 담당하고
있습니다. 부록에서 상세한 인구 통계 정보를 확인하실 수 있습니다.
핵심 비즈니스 프로세스에 수반되는 IT 리스크의 비중을 평가하기 위해, 우리는 응답자 중 일부(n = 310)*를
대상으로 자신의 기업에서 7 가지 주요 비즈니스 프로세스에 수반되는 IT 리스크를 평가할 것을 요청하였습
니다.1 그 결과는 그림 2에서 확인하실 수 있습니다.
그림 2: 7 가지 핵심 프로세스에 수반되는 IT 리스크. 재무/관리 프로세스(왼쪽 상단)의 IT 리스크가 High 또는 Critical 수준으로 평
가되었고, 고객 대응 및 운영 업무가 그 다음 순위를 차지했습니다. 연구 및 공급망 프로세스는 가장 낮은 리스크를 수반하는 것으
로 평가되었습니다.
�
LowNil Moderate High Critical
0%
20%
40%
60%
80%
100%
Finance, Admin.
CRM Operations BusinessIntel.
Corp.Resources
R&D Supply Chain
비즈니스 프로세스별 IT 리스크
응답자 비율
고객 관계 관리 (CRM) – 세일즈 및 전자 상거래
공급망 관리 (SCM) – 소스에서 엔드 유저에 이르는 전체 제품 가치 체인 관리
운영 관리(Operations Management) – 지속적 서비스 및 제품 프로세스의 운영 컨트롤
연구 / 개발 (Research & Development) – 제품 사이클 및 서비스 개발
비즈니스 인텔리전스 (Business Intelligence) – 정확한 최신 정보를 기반으로 비즈니스 결정을 수행할 수 있는 능력
재무 및 관리 (Finance & Administration) – 재무/관리 프로세스
기업 리소스 (Corporate Resources) – 기업 조직 전반의 지원을 위한 비즈니스 기능
비즈니스 프로세스의 정의
* 본 연구 작업은 두 가지 서로 다른 서베이 양식을 기반으로 수행되었습니다. 괄호 안의 숫자("n=")는 각 그래프 또는 데이터 비교에서 사용된 서베이의 표본 수를 의미합니다. 자세한 정보는 부록의 "서베이 양식" 부분을 참고하시기 바랍니다.
재무/관리 업무를 지원하는 시스템과 프로세스는 가장 높은 IT 리스크를 수반하는 것으로 평가되었으며, 66%
의 응답자들이 그 수준을 High 또는 Critical로 평가하였습니다. 영업, 운영 및 비즈니스 인텔리전스 프로세스
가 그 두 번째로, 53%의 응답자가 세 가지 모두에 대해 Critical 또는 High로 평가하였습니다. 연구 개발 및
공급망 관리 시스템/프로세스는 가장 낮은 IT 리스크를 수반하는 것으로 평가되었으며, 27%의 응답자만이
SCM 리스크를 High 또는 Critical로, 33%가 R&D 리스크를 같은 수준으로 평가하였습니다.
이러한 결과로부터 두 가지 중요한 결론을 얻을 수 있습니다. 먼저, IT 리스크는 모든 비즈니스 프로세스 영역
에 영향을 미치고 있음을 확인할 수 있습니다. 리스크 수준이 가장 낮은 것으로 평가된 영역에 대해서도 3 분
의 1에 가까운 응답자가 High 또는 Critical로 평가하고 있습니다. 두 번째로, 핵심 운영 업무 또는 핵심 기밀
정보를 관리하는 업무에서 IT 리스크가 가장 높게 평가되었으며, 매출 또는 고객 경험과의 관련성이 낮은 업
무에서는 IT 리스크가 낮게 평가되었습니다.
우리는 또 컴플라이언스 리스크의 구성 요소에 대한 분석을 수행하였습니다. 응답자들을 대상으로 기업에 적
용되는 법규의 6 가지 카테고리에 대한 리스크를 평가해 달라고 요청하였으며, 그 결과는 그림 3에서 확인하
실 수 있습니다(n= 528, Data Retention의 경우 n = 310).
그림 3: 컴플라이언스의 6개 영역에 대한 IT 리스크 지표 평가. 데이터 보호, 데이터 보존의 경우 High, Critical 평가 비율이 가장 높았으며,
그 다음으로 기업 거버넌스가 높게 평가되었습니다.
응답자들은 데이터 보호/보존에 관련한 컴플라이언스 리스크가 가장 높은 것으로 평가하였습니다. 각각 66%,
70%의 응답자들이 이 두 가지 리스크를 High 또는 Critical로 평가하였습니다. 기업 거버넌스에 관련한 컴플
라이언스가 세 번째로 높게 평가되었으며, 55%가 High 또는 Critical로 평가하였습니다. 절반 가량의 응답자
가 지적 자산에 관련한 리스크를 High, Critical로 평가하였으며, 국가 안보, 형법/민법에 관련한 리스크는 각
각 36%, 44%로 가장 낮게 평가되었습니다.
10
LowNil Moderate High Critical
0%
20%
40%
60%
80%
100%
DataRetention
DataProtection
Corp.Governance
IP Civil,Criminal
NationalSecurity
컴플라이언스 영역별 IT 리스크
응답자 비율
비즈니스 프로세스의 경우와 마찬가지로, 응답자들은 전체 컴플라이언스 영역에 걸쳐 IT 리스크에 대한 강력
한 우려를 표시했습니다. 리스크 비중이 가장 낮게 평가된 영역에 대해서도 응답자의 3 분의 1 또는 절반 가량
이 심각한 위협으로 인식하고 있습니다. 더욱 중요한 사실은, 응답자의 절반 이상이 기업의 운영 및 정보의 보
호에 관련한 영역의 IT 리스크를 High 또는 Critical로 분류하고 있다는 것입니다. 이러한 우려는 담당하는 역
할과 업종에 무관하게 표출되고 있으며, 기업의 핵심 인력들이 이러한 리스크가 올바르게 관리되지 못하고 있
다고 이해하고 있는 것으로 평가할 수 있습니다.
컴플라이언스 프로세스에 수반되는 IT 리스크의 영향을 이해하기 위해, 우리는 6 가지 컴플라이언스 영역의
상대적 중요성을 측정하기 위한 지표를 정의하고 각각 다른 특성을 갖는 기업에 적용해 보았습니다.
그 결과로 기업의 규모가 컴플라이언스 리스크의 인식을 좌우하는 중요한 요인임을 확인하였습니다. 한 예로,
2만 명 이상의 직원을 보유한 기업 중 33%가 컴플라이언스 리스크가 매우 중요한 이슈라고 인식하고 있는 반
면, 2만 명 이하의 기업은 15%만이 같은 반응을 보였습니다. 이러한 차이를 보이는 이유에 대해서는 좀 더 조
사가 필요하겠지만, 비즈니스 프로세스 및 운영 업무의 복잡성, 업무의 지리적 분산도가 증가할 수록 외부 법
규에 대한 노출이 증가하고 보다 엄격한 내부 정책의 감시 및 거버넌스가 요구된다는 일관적인 결과를 얻을
수 있었습니다.
우주항공, 국방 분야의 경우에는 거의 모든 응답자들이 컴플라이언스 리스크를 'Critical'로 평가하고 있습니다.
이에 반해 매우 엄격한 법규가 적용되는 금융 서비스 및 의료 보건 분야의 경우, 각각 28%, 4%만이 컴플라이
언스 리스크를 'Critical'로 평가하였습니다. 유럽, 중동 및 아프리카 지역의 응답자들은 미국 지역에 비해 컴플
라이언스 리스크의 수준을 낮게 평가하는 경향을 보였습니다. 제 5 장에서는 높은 리스크가 수반되는 환경의
기업들이 리스크 수준을 낮게 평가하는 이유에 대해 살펴 보겠습니다.
11
데이터 보호 (Data Protection) – 개인 정보의 기밀을 유지하고 신원 도용 등의 위협에 대처
데이터 보존 (Data Retention) – 기업 데이터가 안전하게 저장되고 합법적인 사용자에 의해서만 접근될 수 있음을 보장
기업 거버넌스 (Corporate Governance) – 기업이 공시한 자료가 기업의 성과를 정확하게 반영하고 있음을 보장
국가 안보 (National Security) – 테러리즘, 전쟁, 자연 재해로부터 시민과 국가 인프라를 보호
민법/형법 체계 (Civil & Criminal Legal Framework) – IT 시스템과 네트워크 시스템이 전자 서명, 데이터 이동 및 IT 리소스 사용에 관련한 법적 체계를 지원함을 보장
지적 자산 보호 (Intellectual Property Protection) – 개인 및 기업의 지적 자산을 보호
컴플라이언스 정의
의료 기관이 전송, 저장하는 진단 기록에는
환자의 건강과 프라이버시가 "연결"되어
있습니다.
제 2 장
효율적인 IT 리스크 관리를 위해서는 프로세스와 테크놀로지에 투자하고
경쟁력을 확보해야 합니다. 다양한 규모, 업종, 지역의 기업 담당자들을
대상으로 조사한 결과, IT 리스크 관리 테크놀로지를 적용하는 능력이
프로세스를 적용하는 능력에 비해 효율적임을 확인할 수 있었습니다.
IT 리스크 관리의 프로세스/테크놀로지 효율성
1�
IT 리스크 관리 프로세스/테크놀로지
IT 리스크 관리를 위한 컨트롤
그간 리스크 관리 원칙에 대해 많은 논의가 이루어졌지만, IT 리스크 관리 프로그램을 실제로 도입한 기업의
수는 아직까지 소수에 불과합니다. 하지만 지난 수 년 동안, 많은 기업들이 IT 리스크 관리를 위한 CRO(Chief
Risk Officer) 등의 직책을 신설하거나 ITIL®(IT Infrastructure Library), ISO 17799, COBIT®와 같은 서비스 관리
표준을 도입해 왔습니다.
실제로 효율적인 IT 리스크 관리 프로그램은 이러한 테크놀로지와 베스트 프랙티스 프로세스를 적절하게 조
합하여 잘 정의된 컨트롤을 구현하고 있습니다. 우리는 IT 리스크 관리의 베스트 프랙티스를 대표하는 8 가지
테크놀로지와 8 가지 프로세스 컨트롤을 정의하였습니다. ("IT 리스크 관리를 위한 프로세스/테크놀로지 컨트
롤"을 참고하십시오.) 이 정의는 정보 보안 관리를 위한 프랙티스 코드(ISO/IEC 17799:20052), COBIT3 , 대영
제국 상무성에 의해 발표된 ITIL4 등을 포함하는 국제 표준을 바탕으로, 업계 선두의 기업 고객으로부터 얻은
시만텍의 경험을 가미하고 보안/컴플라이언스에 더하여 성능 및 가용성 분야를 포함할 수 있도록 확장되었습
니다.
우리는 서베이 가입자들에게 프로세스/테크놀로지에 대한 각각의 IT 리스크 관리 컨트롤의 성과를 평가할 것
을 요청하였습니다. 우리는 또 기업들이 당면한 리스크의 수준을 평가함으로써, 보다 높은 리스크를 수반하는
기업들이 보다 효율적인 컨트롤을 구현하고 있는지 확인하고자 했습니다.
14
기업들은 리스크 관리와 IT의 관련성을 인정하면서도 그 원칙을 실제로 적용하는
데에는 어려움을 겪고 있습니다. IT 리스크 관리를 위한 프로세스/테크놀로지 구현의
효율성에 대한 응답자들의 평가는 기업의 업종, 규모, 지역과 같은 인구통계학적
요인에 의존하고 있을 뿐 아니라, 조직 내에서의 각 응답자의 인식에 따라 차이를
보이기도 합니다.
1�
프로세스 컨트롤
IT 및 보안 전략 관리, 정책 및 아키텍처 – IT 서비스의 실행을
위한 아키텍처, 정책 및 정략
조직 구조, 역할 및 책임 – 그룹 간의 상호 작용, 보안 및 외부
보안 관련 커뮤니케이션의 책임을 위한 표준
교육 및 인지 제고 – 보안 리스크의 가시성 및 지식의 향상을 위
한 프로세스
진단 및 감사 – 전략의 실현에 필요한 환경, 컨트롤, 정책, 프로
세스를 진단하기 위한 프로세스
인증, 권한 할당 및 접근 관리 – 사용자의 신원 및 리소스 접근
의 통제를 위한 프로세스와 테크놀로지
운영 설계, 워크플로우 및 자동화 – 자동화된 솔루션의 설계/구
현, 워크플로우 및 리소스 관리
자산 인벤토리, 분류 및 관리 – 자산의 확인 및 분류, 자산 분류
별 정책의 실행을 지원하기 위한 프로세스
사고 대처 및 대응 – 사고의 대응 및 준비를 위한 표준
테크놀로지 컨트롤
애플리케이션 설계, 개발 및 테스트 – 신규/변경된 애플리케이
션이 적절하고, 효율적이고, 안전함을 보장하기 위한 프로세스,
절차 및 방법론
시스템 구현 및 구축 – 신규/변경 시스템의 효율적이고 안정적
인 구축을 보장하기 위한 시스템 및 테크놀로지
데이터 라이프사이클 관리 – 데이터의 이동, 복제, 보호를
위한 테크놀로지
구성 및 변경 관리 – 변경 작업의 통제를 위한 도구 및 프로세스
탄력적 인프라스트럭처 – 가용성에 관련한 취약점을 확인, 해결
하기 위한 테크놀로지 (예: 이중화 및 페일오버)
성능 관리 – 시스템 성능의 모니터링 및 관리를 위한 테크놀로지
네트워크 프로토콜 및 호스트 보안 – 세그멘테이션, 프로토콜,
변경 보안 및 가용성을 포함하는 네트워크 설계 및 인프라스트
럭처
물리적 보안 – IT 인프라스트럭처 및 시설에 대한 접근을 보호
하기 위한 테크놀로지
IT 리스크 관리를 위한 프로세스 및 테크놀로지 컨트롤
프로세스의 효율성
우리는 IT 전문가로 구성된 모집단(n=310)을 대상으로, 그들의 기업이 8가지 프로세스 기반 컨트롤을 구현하
는데 있어 얼마나 효율적이었는지 평가할 것을 요청했습니다. 그 결과는 그림 4에서 확인할 수 있습니다.
그림 4: 기업의 IT 리스크 관리 프로세스 효율성의 평가(효율성의 평가 수준을 기준으로 정렬).
"인증, 권한 할당 및 액세스"가 가장 높은 효율성을 보인 것으로 평가되었으며, 88%의 응답자가 자신의 기업이
75% 이상의 효율성을 보인 것으로 평가하였습니다. "자산 인벤토리 분류 및 관리"는 가장 낮게 조사되었으며,
38%만이 자신의 기업이 75% 이상의 효율성을 보였다고 평가하였습니다.
이번 조사를 통해 대부분의 IT 전문가들이 자신이 담당하는 전술적인 컨트롤 구현, 즉 기업 구조, 인증, 권한 할
당, 접근 등의 측면에서 가장 효율적이었다고 느끼고 있음을 확인할 수 있었습니다. 반면, 이들은 정책 설정,
컴플라이언스, 진단, 감사, 사고 대응 등에 대한 효율성을 중간 수준으로 평가하였습니다. 또 이들은 직원 및 IT
스탭의 교육 및 인지도 제고, 운영 설계, 자산 관리 등의 측면에서 효율적인 성과가 있었다고 답변하였습니다.
이번 조사를 통해, 기본적인 성과를 내는 수준에서 베스트 프랙티스 환경으로 전환하기 위해서는 외부 악성
위협의 차단에 초점을 맞춘 사후대응적인 IT 리스크 관리 프로그램에서 벗어나야 할 필요성을 확인할 수 있었
습니다. 그 대신, IT 리스크에 대한 인지도를 제고하고 기업 조직 전반의 리스크를 경감하기 위한 프로그램이
구현되어야 합니다.
응답자들은 "자산 인벤토리 분류 및 관리"가 가장 비효율적이었다고 응답했습니다. 하지만 이 원칙은 IT 리스
크 관리 프로그램을 구현하는데 있어 가장 핵심적인 요소의 하나입니다. 효율적인 리스크 진단이 뒷받침되지
않는다면, 모든 자산은 동등하게 취급될 수 밖에 없고 결과적으로 과잉 투자 또는 투자 부족의 결과를 낳게 됩
니다.
1�
100%
80%
60%
40%
20%
0%Authent.,
Authorization,Access
OrganizationalStructure
IncidentResponse
IT PolicyManagement,Architecture
Assessment,Audit
Training,Awareness
OperationalDesign
Asset Inv.,Classification,Management
IT 리스크 관리 프로세스의 효율성
응답자 비율
테크놀로지의 효율성
아래 그림 5는 기업이 테크놀로지 컨트롤을 구현함에 있어서 얼마나 효율적인지를 평가하고 있습니다.
그림 5: 기업 테크놀로지 효율성의 평가(효율성의 평가 수준을 기준으로 정렬).
"네트워크 프로토콜 및 호스트 보안"과 "물리적 보안"이 테크놀로지 컨트롤 중 가장 높게 평가되었으며, 각각
76%, 73%의 응답자가 자신이 소속된 기업이 75% 이상의 효율성을 보인 것으로 평가하였습니다. "구성 및
변경 관리"는 55%의 응답자가, "성능 관리"는 51%의 응답자가 같은 평가를 내렸습니다. "보안 애플리케이션
개발"은 가장 낮은 응답률을 보였으며, 43%의 응답자만이 75% 이상의 효율성을 보인다고 평가하였습니다.
구성 및 변경 관리, 성능 관리의 평가가 낮게 나온 점은 주목할 필요가 있습니다. 기업은 이 테크놀로지를 이
용하여 IT 자산의 구성과 성능 수준을 이해하고, 여기에서 얻은 정보를 서비스 장애를 최소화하고 처리 속도
를 개선하기 위해 활용하고 있습니다. 따라서 시스템을 안정적으로 유지하고 성능을 최적화하고 최신 상태를
보장하기 위해서는 이러한 테크놀로지들이 필수적입니다. 구성 및 변경 관리가 효과적으로 이루어지지 않는
경우 새로운 기회 또는 위협에 대응하여 시스템을 현대화하기 위한 노력이 제약될 수도 있습니다.
서베이를 통해 변경 관리 영역에 문제가 있음을 확인하였지만, 개선되는 조짐 또한 나타나고 있습니다.
Evergreen Systems는 "ITIL 변경 관리 성숙도 벤치마크 연구"5 보고서를 통해, "IT 임원들이 변경 관리 절차,
프로세스, 도구 등을 기업의 핵심 구성 요소로 통합하고 내재화하려는 노력이 증가하고 있다"고 평가하고 있습
니다. 제 4 장에서 이러한 원칙이 IT 조직의 성능 개선 노력의 중요한 동기로 작용하고 있음을 확인하게 될 것입
니다.
1�
0%
20%
40%
60%
80%
100%
Network,Protocol,
Host Security
PhysicalSecurity
ResilientInfrastructure
Secure DataLifecycle
Management
SecureSystems
Config. and Change
Management
Perform.Management
SecureApplication
Development
IT 리스크 관리 테크놀로지의 효율성
응답자 비율
애플리케이션의 취약점을 소스 레벨에서 제거하기 위한 노력의 필요성을 IT 전문가들이 인지하게 되면서, 애
플리케이션 보안 설계의 중요성이 점차 증가하고 있습니다. 애플리케이션 보안 설계는 매우 일찍부터 투자가
이루어져야 하는 기술입니다. 따라서 보안 애플리케이션의 개발이 장기적으로 매우 비용효율적인 것은 사실
이지만, 실제로 기업의 도입 수준은 초기 단계에 불과합니다.
테크놀로지/프로세스 효율성 지표
우리는 기업의 업종, 지역, 규모, 응답자의 직무 별로 IT 리스크 관리 프로세스/테크놀로지의 효율성을 비교하
기 위해 두 가지 지표를 정의하였습니다. 첫 번째 지표는 8가지 프로세스 컨트롤의 평균적인 평가 결과를, 두
번째 지표는 8가지 테크놀로지 컨트롤의 평균적인 평가 결과를 반영하고 있습니다. 우리는 이러한 컨트롤의
구현 수준에 따라 Strong, Good, Weak, Poor로 구분하였습니다.
그림 6은 이러한 효율성 평가 결과를 비교하고 있습니다. 결과를 통해, 일반적으로 기업이 프로세스보다는 테
크놀로지의 구현에 보다 효율적임을 확인할 수 있습니다. Technology Effective Index에서는 33%가 Strong
으로 분류된 반면 Process Effectiveness Index에서는 25%만이 Strong으로 분류되었습니다.
그림 6: 테크놀로지/프로세스 컨트롤의 구현 효율성을 평가하기 위한 기업 효율성 지표. 각각의 지표는 8 가지 평가 기준의 평균값
을 반영하고 있습니다. 전반적으로 프로세스 컨트롤에 비해 테크놀로지 컨트롤의 평가가 높음을 확인할 수 있습니다.
최근 들어 ITIL, ISO, COBIT6 등의 프레임워크에 대한 관심이 증가하고 있음에도, 여전히 프로세스의 효율성은
테크놀로지에 비해 뒤떨어지고 있는 것이 현실입니다. 보다 상세한 결과를 얻기 위해, 우리는 인구통계학적
분류를 기준으로 데이터를 분석하였습니다.
업종, 규모, 지역, 응답자의 직무 등과 무관하게 테크놀로지 컨트롤이 프로세스 컨트롤에 비해 상대적으로 높
은 효율성을 보이는 것으로 평가되었습니다.
1�
Poor Weak Good Strong
Effectiveness Index
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
IT 리스크 관리 프로세스/테크놀로지의 효율성 비교
응답자 비율
• 정부, 의료 보건, 제조 업종에서는 프로세스 컨트롤의 효율성과 테크놀로지 컨트롤의 효율성이 동등한 수준
으로 평가되었습니다. 하지만 어떤 업종에서도 프로세스 컨트롤이 더 높은 효율성을 갖는 것으로 평가된 경
우는 없었습니다.
• 대규모 기업과 글로벌 기업은 테크놀로지/프로세스 컨트롤 모두에서 높은 효율성을 보이는 것으로 평가되
었습니다. 하지만 각 분류별로 테크놀로지 컨트롤이 프로세스 컨트롤보다 높은 효율성을 보인 것으로 평가
되었습니다.
• 매니저급의 평가는 디렉터 또는 임원급의 평가보다 높게 나타났습니다. 하지만 모든 그룹이 IT 리스크 관리
의 프로세스 컨트롤보다 테크놀로지 컨트롤의 효율성을 높게 평가하고 있었습니다.
IT 리스크와 사고 발생률
기업이 IT 리스크 관리에 있어 "업계 최고(Best-in-Class)"로 인정받기 위한 요소가 무엇인지 이해하기 위해,
우리는 310 명의 응답자들을 앞에서 확인한 16 가지 프로세스/테크놀로지 컨트롤의 효율성 평가 결과를 기준
으로 아래와 같이 4분하였습니다.
• Best in Class – 최상급 (76% 이상, n=77)
• Better – 2위 그룹 (51-75%, n=78)
• Good – 3위 그룹 (26-50%, n=77)
• Worst – 4위 그룹 (25% 이하, n=78)
각각의 그룹별로, 우리는 IT 리스크 관리의 효율성(8가지 법규 관련 리스크 및 8가지 운영 관련 리스크 기준)
을 계산하고 각 그룹이 실제로 IT 사고를 경험한 빈도를 분석하였습니다. 그 결과를 그림 7에서 확인할 수 있
습니다.
그림 7: IT 리스크 관리 성과 그룹별 IT 사고 비율과 IT 리스크 카테고리 분석. IT 관리의 효율성이 증가함에 따라, IT 리스크의 인지도가 증
가하는 반면 IT 사고의 경험 비율은 감소하는 것을 확인할 수 있습니다.
1�
1
2
3
4
5
Worst
Ind
ex
eBdooG stBetter
Regulatory Risk Business Process Risk Incidents
IT 리스크 관리 효율성 기준 IT 리스크 인지도 및 사고 비율평가 그룹별
이 결과를 통해 IT 리스크 관리의 효율성을 높게 평가하는 기업일 수록 법률(Regulatory)/운영(Operational) 리
스크의 수준 또한 높게 평가하고 있음을 확인할 수 있습니다. 우리는 애초에 리스크 수준이 높을 수록 사고 비
율 또한 높을 것으로 예상했었습니다. 이는 리스크 노출 수준이 높을 수록 피해 또한 증가할 가능성이 높고,
기업이 과거의 사고 경험을 바탕으로 리스크 수준을 인지할 가능성이 있기 때문입니다. 하지만 결과는 정반대
로, 효율적인 기업은 리스크 수준이 높은 상황임에도 불구하고 사고 비율이 낮은 것으로 나타났습니다.
이 결과를 통해 IT 리스크 노출에 대한 인지도를 제고하고 리스크를 경감하기 위한 테크놀로지 및 프로세스를
개선함으로써, 보다 안전한 환경에 있음에도 비효율적으로 대처하는 기업에 비해 사고 비율을 실제로 낮출 수
있음이 확인되었습니다. 또 리스크가 높지 않다는 사실에 안주하고 효율적인 테크놀로지/프로세스 컨트롤의
구현에 소홀한 기업에게는 이 결과가 하나의 경고가 될 수 있을 것입니다.
효율적인 IT 리스크 관리
기업의 IT 리스크 관리 컨트롤과 사고 비율의 관계에 대해 좀 더 자세히 살펴 볼 필요가 있습니다. 한 예로,
"Best-in-Class"로 구분되는 기업의 경우 리스크의 수준이 매우 높음에도 불구하고 IT 리스크가 현실화되는
비율이 낮음이 확인되었습니다. 그렇다면, 이 기업들이 무엇인가 제대로 된 조치를 취하고 있음이 분명해 보
입니다. 그것은 과연 무엇일까요?
서베이를 수행하기 전부터, 우리는 앞에서 정의한 16 가지 프로세스/테크놀로지 컨트롤이 기업의 내부/외부
IT 리스크를 경감하기 위한 효과적인 대응 수단이 될 수 있음을 확신하고 있었습니다. 이러한 가정을 테스트
하기 위해, 우리는 앞에서 구분한 평가 그룹(Best-in-Class, Better, Good, Worst)별로 각 프로세스/테크놀로
지 컨트롤의 구현 효율성을 평가해 보기로 하였습니다.
그림 8의 그래프에서 각 평가 그룹별로 효율성의 차이를 확인할 수 있습니다. 예를 들어 그림 7에서 "Worst"
그룹과 "Good" 그룹의 "교육 및 인지도 제고" 효율성이 크게 차이가 나는 것을 볼 수 있습니다. 또 각 컨트롤
요소 간 균형 수준의 확인이 가능합니다. 예를 들어, "네트워크 프로토콜, 호스트 보안" 테크놀로지의 효율성
수준이 전체 평가 그룹에 대해 높게 나타나고 있음을 확인할 수 있습니다.
"Worst" 그룹의 경우 두 가지 프로세스 영역(조직 및 인증/권한 할당/접근)과 두 가지 테크놀로지 영역(네트
워크 및 물리적 보안)에서 그리 나쁘지 않은 성과를 보이고 있습니다. 이 영역은 "전술적"인 성격을 가질 뿐
아니라 구현 작업이 가장 단순하며, 따라서 모든 기업에 있어 하나의 출발점으로 간주되고 있습니다. 하지만
"Worst" 그룹은 다른 컨트롤에 대한 구현 작업이 매우 경미하거나 전혀 이루어지지 않았으며, 그 효율성이 매
우 낮은 것으로 평가되고 있습니다.
�0
IT 리스크 관리를 위한 컨트롤의 효율성
그림 8: 성과 기준별 프로세스(상단) 및 테크놀로지(하단) 컨트롤의 효율성 점수. 높은 성과를 보인 것으로 평가된 기업은 대부분 또
는 전체 요소에 대해 높은 점수를 얻은 반면, 낮은 성과를 보인 기업은 특정 요소에만 집중하고 있음을 확인할 수 있습니다.
가장 낮은 효율성을 보이는 그룹과 가장 높은 효율성을 보이는 그룹을 비교하면 분명한 차이점을 확인할 수 있
습니다. 가장 효율적인 기업의 경우, 구현하는 컨트롤의 수가 많을 뿐 아니라 각 컨트롤의 구현 효율성 또한 개
선되고 있습니다. 효율성 기준 상위 2개 그룹(Best in Class와 Better)의 경우, 물리적 보안, 인증/권한 할당/접
근 등의 영역에서의 ROI가 감소하는 반면 구성/변경 관리, 데이터 라이프사이클 관리, 운영 설계, 교육 및 인지
도 제고 등의 영역에서 ROI가 개선되고 있음을 확인하고 있었습니다. 따라서 IT 리스크 관리를 근본적으로 개
선하기 위해서는, 전략적, 기술적, 사후대응적인 접근 방식에서 전략적, 확장적, 사전예방적 접근 방식으로의
전환이 필요합니다. 또 모든 16 개 항목을 진단하고 최적화하기 위해 인력과 비용을 점진적으로 투자할 수 있
는 균형 잡힌 프로그램이 필요합니다.
�1
핵심적인 연결에는 전혀 새로운 리스크가 수
반되며, 따라서 특별한 대비책이 필요합니다
제 3 장
기업이 기회를 포착하고 비용을 통제하기 위해서는 리스크의 관리가 반
드시 필요합니다. IT 리스크에 대한 서로 다른 관점과 활동을 서로 연계
하고, 기술 담당 직원, 중간 관리자, 경영진, 그리고 서로 다른 부서와 지
역 간의 시각 차이를 좁힘으로써 중복적 투자와 낭비를 피할 수 있습니다.
IT/비즈니스 리스크의 연계
��
IT 리스크 전략과 기업 목표의 연계IT 리스크 관리 전략 – 연계의 중요성
IT와 비즈니스 전략의 연계는 지난 몇 년 동안 IT 전문가와 업계 매체를 통해 반복적으로 회자되어 온 주제입
니다. 하지만 그 진전은 더디게만 보입니다. 최근 CIO 매거진은 독자들의 2007년 우선 순위 과제가 (전년과
마찬가지로) IT와 비즈니스 목표의 연계라고 보도했습니다.7 연계가 이처럼 중요한 과제라면, IT 리스크 관리
프로그램에는 어떻게 응용될 수 있을까요?
비즈니스와 IT가 연계된 환경에서는, 어떤 IT 자산/운영이 어떤 비즈니스 업무를 지원하며 어떤 가치를 창출하
는지에 대한 명확하고 가시적인 연결점을 확인할 수 있습니다. 이러한 가시성을 통해 IT 조직을 비용 센터(cost
center)에서 비즈니스 가치를 창출하는 가치 센터(value center)로 전환할 수 있습니다. IT와 비즈니스의 연계
를 통해, 제품을 시장에 보다 신속하게 공급하고, 고객에게 보다 효율적인 서비스를 제공하고, 새로운 매출원
을 창출하기 위한 IT 리소스의 활용 방안을 도출해 낼 수 있습니다.
기업의 IT 리스크 전략과 비즈니스 전략을 연계하는 것도 운영의 연계와 마찬가지로 중요합니다. 기업의 리스
크 프로파일은 기업의 업종과 전략에 따라 달라집니다. IT 조직은 비즈니스 목표의 지원을 위해 IT 운영 업무
를 연계하는 한편으로 리스크 관리 전략의 연계를 위한 노력 또한 기울여야 합니다. 비즈니스에 대한 영향도
가 높은 리스크의 경감에 우선적으로 투자하는 한편, 가능성 또는 영향이 낮은 리스크 영역의 위협 노출이 증
가할 가능성을 가정해야 합니다.
기업의 리스크 프로파일과 리스크 허용 수준에 관계없이, 리스크 경감이란 보다 큰 규모의 리스크 포트폴리오를
관리하는 능력을 의미합니다. 기업은 연계 노력을 통해 기업 전략과 IT 리스크 전략 사이에 존재하는 간극을
해서할 수 있습니다. 또 리소스 낭비를 유발하는 중복/과잉 투자를 막고 불필요한 IT 복잡성과 비용을 절감할
수 있습니다. 마지막으로, 적절한 IT 리스크 관리 계획을 수립하여 시스템 설계 및 의사 결정을 위한 가이드라
인으로 활용함으로써 운영 효율성을 개선하고, 혁신을 위한 역량을 강화하고, IT 비용을 절감하는 것이 가능합
니다. 결과적으로, IT 리스크 경감을 위한 효율적인 전략은 기업을 불의의 사고로부터 보호하고 IT 비용 및 복
잡성을 줄이는 효과를 제공합니다.
�4
전세계 IT 임원들에게 있어 기업 전략과 IT 운영 업무의 연계는 최우선 과제의 하나입니다.
효율적인 IT 리스크 관리 프로그램을 통해 기업의 전체적인 목표를 지원하는 IT 리스크
프로파일을 구현하고, 비즈니스 영향도가 낮은 적은 영역의 리스크를 안정적으로 확대하는
한편으로 영향도가 높은 영역의 리스크를 긴밀하게 통제할 수 있습니다.
이번 서베이를 통해 IT 부서 내부적으로, 또는 IT 부서와 다른 기업 조직 간에 IT 리스크의 진단에 대한 연계가
부족함을 확인할 수 있었습니다.
IT 리스크의 내부적인 연계 확보
본 서베이에서는 응답자의 직책을 Executive, Director, Manager, Professional의 4 가지로 분류하였습니다.
Professional의 경우 IT와 무관한 직원, 컨설턴트 및 제 3 자를 포함하고 있으므로, 분석 작업은 Executive,
Director, Manager의 세 그룹에 초점을 맞추어 진행되었습니다. 응답자들은 법규 준수, 비즈니스 수행의 두
가지 측면에서 자신이 인식하는 IT 리스크의 수준을 평가하였습니다.
그림 9는 서베이에 참여한 응답자들이 인식하는 컴플라이언스 IT 리스크의 수준을 보여 주고 있습니다. 이 결
과를 통해 IT 프로그램의 구현과 내부 리스크에 대한 책임을 지는 Manager와 기업의 비즈니스 방향을 결정
하고 외부 리스크에 대한 책임을 갖는 'Executive' 사이에 매우 심각한 인식의 차이가 존재함을 확인할 수 있
습니다. 이러한 인식 격차는 Director 레벨의 Critical 리스크에 대한 인식에서도 확인됩니다. Director들은 컴
플라이언스 IT 리스크를 Critical 수준으로 평가하는 경향이 가장 낮은 것으로 나타났습니다. Executives와
Manager의 22%가 이와 같이 답변한 반면, 같은 답을 제시한 Director는 16%에 불과했습니다. High 리스크
로 응답한 비율은 거의 비슷한 수준이었습니다. 44%의 Director가 컴플라이언스 IT 리스크의 수준을 High로
평가하였습니다. 같은 답을 제시한 Manager의 비율은 Director와 같았고, Executives는 2% 낮았습니다.
그림 9: 4개 직급별 응답자들의 컴플라이언스 IT 리스크에 대한 평가 수준 Director는 Executive 또는 Manager에 비해 컴플라이언스 IT
리스크의 수준을 낮게 평가하는 것으로 나타났습니다.
��
Low Moderate High Critical
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%Executive Director Manager Professional
응답자 직급별 컴플라이언스 IT 리스크에 대한 인지도
직급별
응답자 비율
그림 10은 운영 IT 리스크(Operational IT Risk)에 대한 분석 결과를 보여 주고 있습니다. 운영 IT 리스크에 대
한 인식은 더욱 극적인 부조화를 보이는 것으로 확인되었습니다. 하지만 그 결과는 정반대였습니다. 21%의
Director들이 운영 IT 리스크를 Critical 수준으로 인식한 반면, 같은 답변을 한 Manager와 Executive의 비율
은 8%에 불과했습니다.
그림 10: 4개 직급별 응답자들의 운영 IT 리스크에 대한 평가 수준 Director는 Executive 또는 Manager에 비해 컴플라이언스 IT 리스크의
수준을 높게 평가하는 것으로 확인되었습니다.
직급 간의 인식 차이는 프로세스/테크놀로지의 효율성에 대한 평가에서도 확인되었습니다. 제 2 장에서 프로
세스/테크놀로지의 효율성에 대한 평가 결과를 설명한 바 있습니다. 이 통계를 좀 더 분석해 본 결과, 39%의
Manager들이 테크놀로지 효율성을 75% 이상으로 평가한 반면 임원은 27%만이 동일한 답변을 제시했습니다.
다시 한 번 IT 전문가들의 리스크 관리 환경에 대한 평가가 직급에 따라 달라지고 있음을 확인할 수 있습니다.
물론 응답자들이 서로 다른 기업으로부터 샘플링 되었음을 감안한다면, 전체 샘플 내에서의 직급별 비교보
다는 동일 기업 내에서의 직급별 비교가 보다 정확한 결과를 보증할 수 있을 것입니다. 하지만 Executive,
Director, Manager 직급 간에 나타나는 인식의 근본적인 차이는, 일반적인 경험상 기대되는 수치를 훨씬 벗어
난 것입니다.
설문 데이터뿐 아니라 별도로 수행한 세부 인터뷰를 통해서도, IT 프로그램 구현 작업의 직접적인 책임을 갖는
운영 스탭이 보다 내부적으로 초점이 맞추어진 시각을 가지고 있으며 개별 취약점에 대한 인지도가 높다는 사
실이 확인되었습니다. 일상적인 운영 업무로부터 배제된 상위 경영진 역시 IT 리스크에 대한 인지도가 높지만,
경영진의 인식은 외부적인 요소 및 알려지지 않은 위협에 근거하고 있습니다. 운영적인 관점과 전략적인 관점
을 중재하기에 가장 이상적인 직급인 Director 레벨의 경우, 실제로는 외부적 컴플라이언스 리스크보다는 전
술적 운영 리스크에 편향되는 경향을 보이고 있습니다. 이러한 경향은 Director 직급이 운영 IT 리스크에 직접
적인 책임을 갖는다는 사실에서 찾을 수 있겠지만, 내부적인 시각 차이와 연계 실패의 잠재적인 원인으로 작
용하고 있음이 분명해 보입니다.
��
0%
20%
40%
60%
80%
100%
Low Moderate High Critical
Executive Director Manager Professional
응답자 직급별 비즈니스 프로세스 IT 리스크에 대한 인식
직급
응답자 비율
IT 리스크의 연계가 중요한 이유
인식과 행동의 부조화는 IT 리스크 관리 정책의 내부적인 불일치의 원인을 제공할 뿐 아니라, 그 자체가 IT 리
스크의 원인으로 작용하기도 합니다. 이러한 부조화는 두 가지 형태로 발생하며, 어떤 경우든 리스크를 증가
시키는 요인이 됩니다.
첫 번째 부조화의 유형으로 내부 조직과 IT의 부조화를 들 수 있으며, 시스템이 프로세스 개발, 구축, 관리 방
법의 간극을 초래합니다. 이러한 간극은 문제가 발생하기 전까지는 가시화되지 않으며, 갑작스런 서비스 레벨
의 저하, 시스템 다운타임, 보안 사고 등을 통해 현실화됩니다. 실제로 이러한 부조화 현상은 부서 간에 발생
하는 경우가 많습니다. 예를 들어 보안, 컴플라이언스, 운영, 비즈니스 연속성/가용성을 책임지는 부서와 임원
들 간에 인식의 차이가 나타나기도 합니다. 특히 메시징과 같은 솔루션은 보안, 가용성, 컴플라이언스 등의 모
든 요구 사항이 수렴되어 구현되며, 조직 간의 이러한 부조화로 인해 효율적인 구현 노력이 저해될 수 있습니다.
��
IT 컨퍼런스, 라운드테이블 등의 행사에서 우리는 조화(alignment)라는 주제를 반복적으로 듣게 됩니다. 응답자들은 사용자에게
IT 및 보안 리스크에 대한 교육을 실시하는 것이 가장 어려운 과제의 하나라고 답변하였습니다. 제 2 장의 그림 4에서, 8 가지
프로세스 컨트롤 중 "교육 및 인지도 제고"의 효율성이 6 번째 순위를 차지함을 확인한 바 있습니다. 응답자들은 테크놀로지 기반
의 컨트롤에는 한계가 있으며, IT 리스크를 효과적으로 경감하기 위해서는 기업 전반에 걸쳐 엔드 유저의 행동 변화가 요구된다고
답변하였습니다.
행동 변화를 유도하기 위해 필요한 요소로 두 가지가 자주 언급되었습니다. 첫 번째는 전체 기업에 대한 가치를 정량화하는
것입니다. 기업의 주주들의 입장에서는 정보 손실, 시스템 다운타임, 프로세스의 법규/정책 위반 등이 미치는 영향이 그들에게
의미 있는 기준(영업 손실, 고객 만족도 저하, 생산성 저하 등)으로 설명되지 않는 이상, 주주들의 관심을 끌기 어렵습니다. 대규모
시스템 장애, 또는 100 년에 한 번 올까 말까 한 자연 재해와 같은 극단적인 이벤트만으로는 최소한의 동기 유발 이상의 효과를
기대할 수 있습니다.
두 번째 요소는 바로 문화입니다. 기업은 각각 다른 리스크 프로파일을 가지며, 리스크 프로파일의 성격에 따라 IT 리스크 프로그램
의 구현 방식도 달라집니다. 또 기업의 인력 조직과 문화에 따라 IT 정책에 대한 인식 수준과 준수 여부가 달라질 수 있습니다.
예를 들어 평균 연령이 24 세인 수만 명의 직원을 보유한 기업은, 보다 높은 연령대의 직원을 보유한 중소 기업과는 다른 IM/웹
액세스 관리 정책을 필요로 할 것입니다. 무조건적이고 비현실적인 원칙을 적용하기 보다는 선택적이면서고 가시적인 정책을
채택하는 것이 바람직합니다. 지나치게 엄격한 정책은 기업 문화에 수용되지 않을 가능성이 높기 때문입니다.
연계 – 비즈니스적 측면
두 번째 부조화의 유형으로 IT 조직과 다른 비즈니스 조직 간에 존재하는 인식의 차이를 들 수 있습니다. IT 리
스크 관리 프로그램이 기업 전반의 요구 사항을 충분히 반영하고 있지 못할 수 있으며, 이로 인해 민첩성의 저
하 또는 리스크의 증가가 초래될 수 있습니다. 또는 기업의 각 조직이 IT 리스크에 대해 충분히 인지하지 못할
수도 있습니다. 이러한 연계 실패는 IT 관련 영역에 대한 과잉 투자를, 기업 목표에 핵심이 되는 영역에는 투자
저하를 유발할 수 있습니다. 두 가지 모두 기업의 전반적인 성공에는 크게 도움이 되지 못합니다.
IT 리스크의 적극적인 관리 및 경감을 위해서는, IT 부서가 부조화로 인해 발생되는 리스크를 회피하기 위해
노력해야 합니다. 첫 번째로, IT 부서가 내부적으로 효과적으로 연계되고 있는지 확인해야 합니다. CIO에서
백업 관리자에 이르기까지, 부서의 모든 직원들이 IT 리스크와 우선 순위를 공유해야 하며 각자 자신의 책임
영역을 이해하고 있어야 합니다. 두 번째로, IT 관리자들은 기업 고객과 주주들과 긴밀하게 협력하면서, IT
우선 순위가 기업의 목표를 반영하고 있음을 확인하고 IT 리스크 관리 정책의 준수를 유도해야 합니다. 이처럼,
내부적 연계 및 비즈니스 연계의 조합을 통해 적절한 리소스 배분 및 운영 효율성을 보장할 수 있습니다.
IT 리스크 관리를 위한 베스트 프랙티스를 준수하는 기업들은 기업의 연간 계획 프로세스를 통해 IT 리스크 전
략을 구현함으로써 IT와 비즈니스의 연계를 보장하고, 경영진 레벨에서 그 성과를 추적합니다.
��
��
귀사의 사고 발생률은 서베이에 참여한 기업들과 비교할 때 어떤 수준입니까? 아래 네 가지 질문에 답변한 후, 보고서의 마지막 페
이지에 제시된 통계와 비교해 보시기 바랍니다.
아래에서 귀사의 사고 발생 빈도와 가장 일치하는 항목을 선택하시기 바랍니다.
1. 법규 미준수로 인한 귀사가 관련 법규를 준수하지 않는 것으로 판명되는 빈도는
컴플라이언스 관련 사고 얼마나 됩니까?
전혀 없음
5 년에 한 번
2 년에 한 번
1 년에 한 번
1 년에 여러 차례
2. 심각한 정보 정보 손실, 기밀 유출, 무결성/가용성의 저하(예: 데이터 센터 장애,
손실 데이터 손상, 보안 침해)로 인해 서비스가 영향 받는 빈도는
얼마나 됩니까?
전혀 없음
5 년에 한 번
1 년에 한 번
1 년에 2 번
1 년에 3 번 이상
3. 심각한 IT 장애 IT 시스템의 심각한 장애로 인해 클라이언트 또는 서버의 10% 이상에 영향을 미치고,
핵심 시스템의 일부가 중단되는 상황이 발생하는 빈도는 얼마나 됩니까?
5 년에 한 번
1 년에 한 번
1 년에 2 번
1 년에 5 번
1 년에 6 번 이상
4. 경미한 IT 장애 IT 시스템의 경미한 장애로 인해 클라이언트 또는 서버의 10% 이상에 영향을 미치고,
개인 또는 그룹의 작업이 저해되는 빈도는 얼마나 됩니까?
1 년에 한 번
1 년에 10 번
1 년에 20 번
매일
하루에 여러 번
샘플 질문
47 페이지의 '셀프-테스트를 위한 답변' 참조.
기업의 비즈니스는 공급업체, 유통 채널,
고객과의 안정적인 연결을 바탕으로
합니다.
제 4 장
기업은 다양한 IT 테크놀로지/프로세스 컨트롤을 구현함으로써 효율적인
IT 리스크 관리 목표를 달성할 수 있습니다. IT 리스크 관리를 개선하기
위해서는 먼저 광범위한 IT 리스크의 진단에서 지속적, 반복적인 개선
프로세스에 이르기까지 구조적, 원칙적인 프로그램을 기반으로 다양한
영역에서 효율성을 향상시켜 나가야 합니다.
효과적인 IT 리스크 관리의 이해
�1
효율적인 IT 리스크 관리의 이해
"Best-in-Class" IT 리스크 관리 환경의 실현
본 서베이에서 "Best-in-Class"로 구분하는 수준의 IT 리스크 관리 성과를 확보한 기업의 수는 소수에 불과합
니다. 그 수는 증가하는 추세이지만, 아직 대부분의 기업들이 통합적인 방식으로 IT 리스크에 대응할 수 있는
준비를 갖추지 못한 상태입니다. 모든 기업들이 동일한 수준의 IT 리스크에 직면하고 있는 것도, 또 유사한 리
스크 프로파일을 공유하는 것도 아닙니다. 하지만 변화에 대한 요구는 분명하게 감지됩니다. 보안, 가용성, 성
능, 컴플라이언스 등의 다양한 영역에 걸쳐 기업의 사고가 증가하고 있으며, 이로 인해 기업의 매출, 평판, 생
산성, 비용에 심각한 피해가 발생하고 있습니다. 미 Computer Security Institute와 FBI에 의하면, 2006년 정
보에 대한 불법적인 접근 사고의 건당 평균 비용이 85,000 달러로 계산되었다고 합니다.8 또 시스템 다운타임
의 비용은 시간 당 수만 달러에 달하고 있습니다.9 이미 이러한 사고로 인해 기업의 성장이 심각하게 저해 받
을 수 있는 상황이 되었습니다.
어떻게 하면 IT 리스크 관리 관행을 업계 최고 수준으로 개선할 수 있을까요? IT 리스크를 효과적으로 관리하
기 위해서는 IT 리스크 포트폴리오의 이해, 기업 리스크 프로파일을 기준으로 한 정량화 및 우선순위 설정, 대
응 조치를 위한 효율적인 프로그램 구현 등의 과제가 완수되어야 합니다.
시만텍은 기업이 IT 리스크를 관리하고, 대응을 위한 로드맵을 개발하고, 궁극적으로 효율적, 지속적인 IT 리
스크 관리 프로그램을 구현할 수 있게 하는 포괄적인 5단계 프로세스를 개발하였습니다. 그림 11에 제시된
5단계 프로세스는 이미 잘 알려진 내용을 바탕으로 하고 있지만, 이를 지원하기 위한 툴과 태스크는 매우 높은
가치를 가집니다. 또 각 단계 간의 연계를 통해 기업의 목표에 집중하고 지속성을 확보하는 것이 가능합니다.
��
어떻게 하면 IT 리스크 관리를 위한 기업 역량을 확보할 수 있을까요? 어떤 일원화된
공식이 있는 것은 아닙니다. 하지만 광범위하게 적용 가능한 진단, 정량화, 설계, 연계, 측정
프로그램을 이용하고 리소스를 효과적으로 활용함으로써 실질적이고 지속적인 IT 리스크
관리 개선 효과를 얻을 수 있습니다. 또 이 과정에서 IT 인프라스트럭처와 프로세스의
복잡성 및 비용을 절감하는 것도 가능합니다.
그림 11: 시만텍의 5 단계 IT 경감 프로세스
1 단계 – IT 리스크의 인지도 제고
IT 리스크 경감을 위해서는 먼저 다음과 같은 포괄적인 작업이 선행되어야 합니다.
• 프로그램 범위의 정의 (IT 리스크에 대한 시야를 얼마나 확대할 것인가?)
• 기업의 우선 순위를 기준으로 리스크 프로파일 정의
• IT 리스크의 주요 영역 확인
많은 기업에게 있어, IT 리스크 관리의 첫 단계는 새로운 리스크 영역을 확인하고, IT 베스트 프랙티스를 기준
으로 진단 및 리스크 프로파일의 평가를 수행하고, 기업이 이미 인지하고 있는 수십, 수백여 종류의 IT 리스크
를 구조화하는 것입니다.
이 단계에서 자주 제기되는 질문이 다음과 같습니다. "이미 알고 있는 이슈들을 어떻게 진단/우선순위 설정이
가능한 포괄적, 구조적인 프레임워크 안에 조합할 것인가?" 명확한 프레임워크를 구현하기 위해서는 핵심 IT
자산이 무엇인지, 이 자산들을 이용하여 핵심 비즈니스 프로세스를 어떻게 지원할 수 있는지 파악해야 합니다.
핵심 자산에는 기업 운영의 기반을 이루는 테크놀로지 인프라스트럭처, 기업 정보에 대한 관리 권한을 갖는
인력, 그리고 기업의 IT 운영 프로세스 등이 포함됩니다.
또 진단 과정에서 기업의 현재 요구 사항, 역량 및 취약점이 고려되어야 합니다. 요구 사항은 법규, 계약, SLA
등의 법적 요구 사항과 개인정보보호, 비즈니스 정보의 가용성, 무결성과 같은 비즈니스 요구 사항을 포함합
니다.
마지막으로 위협, 이슈, 취약점, 약점 등을 확인/분류하고 각각의 리스크에 우선 순위를 부여해야 합니다. 취
약점과 약점을 확인하는 과정에서 애플리케이션, 인프라스트럭처, 운영, 조직 등의 요소가 모두 검토되어야
합니다.
��
IT 리스크 진단 및 관리 프로세스
2 단계1 단계 3 단계 4 단계 5 단계
IT 리스크 인지도의 제고
비즈니스 영향의 정량화
솔루션의 설계
IT/비즈니스 가치의 연계 및 솔루션의 구현
통합적인 역량의 구현 및 관리
2 단계 – 비즈니스 영향의 정량화
비즈니스 영향을 정량화하는 것은 가장 어려울 뿐 아니라 가장 중요한 단계입니다. 각 IT 리스크 영역의 긍정
적/부정적인 영향을 정량화하기 전까지는, 기업 내부 이해 관계자들의 관심을 얻거나 리스크 경감을 위한 자
금을 확보할 수 없습니다.
비즈니스 케이스의 가치는 비즈니스의 성격과 리스크 영역에 따라 달라집니다. 웹 사이트 장애는 소매점의
매출/영업 손실, 기업의 브랜드 이미지 저하, 제조업체의 생산성 저하 등을 초래할 수 있습니다. 핵심은 각
기업의 환경에서 가장 높은 가치를 갖는 비즈니스 케이스를 구현하는 것입니다.
시만텍은 다음과 같은 2 단계 접근법을 따르고 있습니다. 첫 번째로, 기업의 리스크 프로파일 및 (시간으로 측
정한) 리스크 경감의 난이도, 인력 자원, 투자 등을 기준으로 잠재적인 비즈니스 영향에 기반한 전체 리스크
포트폴리오의 개략적인 우선순위를 정의합니다. 두 번째 단계에서는 중요 영역으로 확인된 리스크에 대해 세
부적인 비즈니스 케이스를 구현합니다. 이 모델은 반복적으로 실행될 수 있으며, 반드시 조직 및 IT 계획 사이
클과 연동하여 주기적으로 수행되어야 합니다.
3 단계 – 솔루션의 설계
이제 기업은 리스크 관리 프로그램의 범위와 구성 요소, 프로그램의 현재 상태, 각 IT 리스크 영역의 우선 순위
및 정량화 방법론에 대해 이해한 상태입니다.
다음 단계에서는 인력, 프로세스, 테크놀로지 등의 고전적인 기업 요소 전반에 대해 일련의 대응 솔루션을 설
계하고, 각각에 대해 요구 사항, 세부 제원, 목표, 기능 등을 정의해야 합니다. 어떤 기업에는 가장 시급한 리
스크 영역에 초점을 맞춘 작업이 될 수 있고, 다른 기업에는 일련의 순차적인 프로젝트 수행을 동반하는 장기
적인 프로그램으로 구현될 수도 있습니다.
이 단계에서는 기업 목표와 프로젝트의 비용 및 혜택을 연계하기 위한 상세한 비용 분석 작업이 수행됩니다.
예를 들어, 데이터 유형 또는 비즈니스 유형에 따른 우선 순위를 기준으로 계층화된 서비스 레벨을 제공하기
위한 모델이 설계될 수 있습니다.
리스크를 경감하기 위한 솔루션이 복잡성/비용의 절감 혜택을 동시에 제공하는 경우가 많습니다. 특히 리스크
가 지나치게 복잡하거나 잘못 관리되고 있는 프로세스, 조직 모델 간의 부조화, 불명확한 요구 사항/정책 등으
로 인해 발생하는 경우에 더욱 그러합니다.
�4
4 단계 – IT/비즈니스 가치의 연계; 솔루션의 구현
정량화는 가장 어려운 단계입니다. 하지만 대부분 프로그램의 성공은 솔루션 구현 작업의 성공 여부에 따라
좌우됩니다. 솔루션 구현을 위해서는 기업 내 이해 당사자들의 긴밀한 참여 하에 인력, 프로세스, 테크놀로지
전반에 걸쳐 리스크 경감을 위한 노력이 성공적으로 안배되었는지 확인하고, 소프트웨어/장비를 통해 측정 가
능한 IT 프로젝트를 구현하고, 운영자들을 교육해야 합니다.
긴밀한 측정 및 지속적인 개선 작업은 필수적입니다. 일관적이고 체계적인 지표 및 성능 관리 환경을 이용하여,
기업은 베이스라인 데이터의 수집, 성능 감시를 수행하고 비즈니스 목표를 기준으로 프로그램의 효율성을 평
가해야 합니다.
5 단계 – 통합적인 역량의 구현 및 관리
IT 리스크 솔루션의 1 차적인 구현 작업이 진행되는 마지막 단계에서, 기업은 IT 리스크 관리 프로그램의 지속
적인 개선 및 감시를 위한 체계를 마련해야 합니다.
다른 변경 관리 프로그램과 마찬가지로, IT 리스크 관리는 전술적 기반에서 업계 최고 수준의 성능으로 진화
하는 성숙도 모델을 따릅니다. 대부분의 기업에 있어, 성숙도 모델에서의 기업의 위치는 기업의 리스크 프로
파일과 조직, 프로세스, 테크놀로지에 관련한 발전 상태에 따라 달라집니다. 기업의 경험과 효과적인 노력을
바탕으로 성숙도를 향상시켜 나감으로써, 아래와 같은 가장 일반적이고도 어려운 과제를 회피 또는 극복할 수
있습니다.
• 추측에 기반한 환경에서 IT 리스크 관리 노력과 투자의 정량화, 우선순위 정의가 가능한 환경으로 전환
• 간헐적, 사후대응적인 프로젝트 환경에서 장기적으로 지속적인 개선이 가능한 프로그램 환경으로 전환
• 단순한 추론적 환경에서 벗어나 장기적인 투자를 통해 IT 리스크를 경감할 수 있는 명확한 컨센서스를 확보
��
새로운 연결은 기회와 리스크를
동반합니다. 이를 관리하는 것은 모두의
책임입니다.
��
제 5 장
기업의 IT 리스크 전략에 대한 이해를 높이기 위해, 우리는 IT 리스크
레벨과 IT 리스크 관리 효율성을 기준으로 응답자들을 프로파일
그룹으로 분류하였습니다. 리스크의 성공적인 관리를 위한 방법에는
여러 가지가 있지만, 그 결과로 조직에 수반되는 리스크와 비용은 크게
달라질 수 있습니다. 성공적인 기업은 투자와 리스크 노출을 연계함으로써,
가장 중요한 영역에 관심과 리소스를 집중합니다.
리스크의 경감: 그 절차와 혜택
IT 리스크 경감을 위한 프로파일
효율적인 리스크 경감
리스크 경감 효과의 한계를 확인하기 위해, 우리는 클러스터 분석(n=310)을 통해 서베이 응답자의 리스크 노
출도, 경감 노력의 효율성, 사고 발생률 등에서 일관적으로 나타나는 패턴을 분석해 보았습니다. 분석 결과 서
로 다른 특성을 갖는 3 가지의 그룹이 확인되었습니다.
• At-Risk – 35%의 응답자들은 IT 리스크의 대응에 어려움을 겪고 있었습니다. 이들은 자신의 기업의 IT 리
스크 수준을 Medium에서 High로 진단했지만, 프로세스 및 테크놀로지를 통해 리스크를 경감하려는 노력의
효율성을 매우 낮게 평가하고 있었습니다. 이 그룹에 포함되는 기업들은 일반적으로 높은 사고 발생률을 경
험하고 있습니다.
• IT Risk Mitigator – 23%의 응답자들은 효율적인 IT 리스크 관리 프로그램을 구현하고 있지만 실제로 당면
한 IT 리스크 수준은 낮은 것으로 답변하고 있습니다. 이 그룹에 포함되는 과도한 투자를 통해 IT 리스크를
해결하고 있으며, 리스크는 경감되고 있지만 높은 비용이 수반되고 있습니다.
• IT Risk Balancer – 42%의 응답자들은 기업이 당면한 높은 수준의 IT 리스크에 대응하는 전략을 추진하고,
프로세스와 테크놀로지를 이용하여 매우 효율적인 경감 노력을 진행하고 있었습니다. 이 그룹에 포함되는
기업의 상당수는 "Best in Class"로 분류되고 있습니다.
그림 12(다음 페이지)는 클러스터 분석을 통해 분류된 3가지 그룹의 성과를 보여 주고 있습니다. 클러스터 분
석 과정에서는 하나의 통합 스코어가 사용되었지만, 이 그림에서는 통합 스코어의 바탕을 이루는 5가지 측정
기준을 모두 제시하고 있습니다. 가장 흥미로운 결과는 IT Risk Mitigator 클러스터에서 확인할 수 있습니다.
Mitigator는 Balancer와 마찬가지로 매우 높은 프로세스/테크놀로지 효율성을 보여주고 있지만, 다른 어떤 그
룹보다 낮은 리스크 레벨에 직면하고 있습니다. 인구통계에서도 Mitigator와 Balancer는 차이를 보이지 않습
니다. 하지만, Mitigator는 상대적으로 낮은 수준의 IT 리스크에 대응하기 위한 IT 리스크 관리 전략을 선택하
고 IT 리스크 관리 프로세스 및 테크놀로지를 높은 수준으로 유지하기 위한 투자를 수행하였다는 점에서 차별
화됩니다. Mitigator 그룹의 경우 낮은 사고율을 경험하고 있지만, 발견(Discovery) 및 정량화(Quantification)
과정에서 과잉 투자로 인한 비용 상승 및 기회 손실이 발생할 가능성이 높습니다.
��
기업이 환경의 변화를 관리하는 방법에 따라 방어적, 사후대응적인 환경에서 리스크를
선택/집중하고, 효율적으로 대처하고, 독자적인 방법론을 활용하는 적극적인 환경으로
전환이 가능합니다.
그림 12: 클러스터별 5 가지 측정 기준 적용 결과. Mitigator의 경우 컴플라이언스/운영 리스크의 수준이 상대적으로 낮음에도 불
구하고 높은 수준의 테크놀로지/프로세스 효율성을 보이고 있습니다.
그림 13은 서베이를 통해 수집된 샘플이 다양한 IT 리스크 영역과 IT 리스크 관리 효율성 수준에 걸쳐 고르게
분포되어 있음을 보여 주고 있습니다.
그림 13: IT 리스크 노출 및 IT 리스크 경감 효율성을 기준으로 한 기업 성과 데이터의 클러스터 분석 결과 Balancer와 Mitigator가 서로 다
른 리스크 레벨을 가짐에도 불구하고 가장 효율적인 컨트롤을 확보하고 있음을 확인할 수 있었습니다.
클러스터 분석 결과에서는 4 번째 그룹, 즉 IT 리스크 수준이 낮으며 IT 리스크 관리 프로그램이 비효율적으로
구현된 응답자 그룹이 확인되지 않았습니다. 우리는 이러한 결과가, 4 번째 그룹에 속하는 기업들이 IT 리스크
관리를 주제로 한 서베이 또는 이벤트에 참여할 가능성이 낮은 때문이 아닌가 추측하고 있습니다.
��
IT RiskMitigators
23%
IT RiskBalancer
42%
IT RiskDeniers
At-Risk35%
리스크 관리 패턴 - 클러스터 분석
IT 리스크 관리의 효율성
IT 리스크 노출 수준
낮음
높음
낮음/중간 높음
우리는 이 그룹이 낮은 수준의 리스크에 직면하고 있으며, IT 리스크 관리 프로그램의 구현 효율성 또한 낮은
것으로 추정합니다. IT Risk Denier의 IT 리스크 전략은 (명문화되어 있을 가능성이 높지만) 상황에 따라 단편
적으로 대응하거나, 대응이 미흡하거나 부적절한 상황에서 발생하는 사고 비용을 감수하는 것을 기조로 할 가
능성이 높습니다. 일부 기업의 경우 사고 복구 비용을 예산의 일부로 할당하고 이를 일종의 자체적인 "보험"으
로 활용하고 있을 수도 있습니다.
리스크의 경감: 그 한계는 어디까지인가?
효율적인 IT 리스크 관리 전략을 통해 IT 리스크를 완전히 제거하는 것이 과연 가능할까요? 연구 결과와 우리
의 상식에 비추어 볼 때 그 대답은 부정적입니다. 설사 가능하다 해도 합리적인 수준의 비용으로는 불가능할
것입니다. IT 리스크는 관리되어야 할 대상입니다. 비즈니스 성과를 희생하지 않는 한도 내에서 기업에 가장
중요한 영역의 리스크와 비용을 최소화하기 위해 노력해야 합니다.
기업이 장기적으로 발전하는 과정에서 비즈니스 우선 순위가 변경되고, 새로운 법규가 제정되고, 정보 및 인
프라스트럭처에 대한 신종 외부/내부 위협이 하루가 다르게 출현합니다. 변화하는 IT 리스크 환경은 새로운
형태의 IT 리스크에 대응하기 위한 지속적이고 체계적인 관리를 요구합니다. 제 4 장에서 설명된 5단계 접근
법은 지속적인 개선 작업의 일부로서 리스크에 대응하기 위한 반복 및 관리의 중요성을 강조하고 있습니다.
리스크 포트폴리오를 효과적으로 관리하는 기업에는 새로운 기회가 제공됩니다. 기업은 정확한 정보에 근거
하여 추가적인 리스크를 언제, 어떤 방법으로 대응할 것인지 결정할 수 있습니다. 개선된 IT 리스크 관리 역량
을 활용하여 혁신을 주도하고 다양한 비즈니스 대안을 모색할 수 있습니다. 이처럼 유연한 혁신 능력은 IT 조
직이 기업에 제공하는 가장 중요한 비즈니스 가치가 될 것입니다.
40
41
우리는 IT 리스크와 리스크 관리를 위한 테크놀로지/프로세스 컨트롤의 효율성을 이해하기 위해 이번 연구를 진행하였습니다. 우
리는 Best-in-Class, Balancer, Mitigator 그룹에 포함되는 기업이 운영 리스크 경감을 목적으로 노력을 진행하고 있다고 가정하였
습니다. 이러한 가정은 사실일 수도 있지만 이야기의 전부는 아닐 수도 있습니다. 기업은 운영 효율성의 개선을 1 차적인 목표로 하
여 프로세스/테크놀로지 개선에 투자하고 있을 수도 있습니다. Mitigator 클러스터의 리스크 레벨이 낮게 나타나고, Best-in-Class
의 사고 발생률이 낮게 나타나는 것은 운영 효율성을 위한 노력에서 얻어진 부산물일 수도 있습니다. 이번 연구 결과에서는 응답자
들의 동기가 분명하게 확인되지 않고 있습니다.
하지만 동기가 무엇이든, 이러한 원칙이 긍정적인 영향을 미치고 있는 것은 분명합니다. 리스크 관리를 위한 투자는 사고 발생률을
저하시키고 기업이 보다 확신을 갖고 민첩성 있게 경쟁할 수 있는 환경을 제공합니다.
운영 효율성 – 같은 여정, 다른 목표
결론IT 네트워크 및 시스템 전반에 존재하는 취약점을 타겟으로 하는 내부/외부 위협으로 인해 기업의 자산, 운영,
인력이 피해를 입을 수 있습니다. 기업의 목표와 연계한 IT 리스크 관리는 이번 보고서의 주제이자, 이번 시리
즈의 목적이기도 합니다.
1 년에 걸친 연구를 통해, IT 전문가들은 자신이 소속된 기업의 IT 리스크 관리를 위한 컨트롤 구현 노력에 존
재하는 심각한 간극과 문제점을 보고하였습니다. 응답자들은 기업의 업종, 지역, 규모, 직무와 무관하게 자신
의 기업이 리스크 관리를 위한 테크놀로지 구현 노력이 프로세스 구현 노력보다 효율적이었다고 답변하였습
니다.
또 (IT 리스크의 통제에 있어 가장 핵심적인 요소인) IT 자산의 관리, 구성/변경 관리에 관련하여 문제가 있음
을 증언하였습니다. 응답자들은 자신의 직책에 따라 리스크를 바라보는 시각의 차이를 드러내었으며, IT 리스
크 관리와 기업의 거시적인 목표를 연계하는데 심각한 문제가 있음을 확인하였습니다. 이러한 부조화는 그 자
체로서 IT 리스크로 작용합니다. IT 조직과 다른 비즈니스 조직 간의 인식 차이 또는 우선 순위의 차이, 우선
순위가 낮은 영역에 대한 과잉 투자 및 균형 상실과 같은 리스크가 수반될 수 있습니다.
"Best-in-Class"로 구분되는 기업은 상대적으로 높은 수준의 IT 리스크에 직면하고 있음에도 보다 적은 빈도
의 사고를 경험하고 있으며, 이는 용의주도한 투자를 통해 전체 테크놀로지/프로세스 컨트롤에 걸쳐 높은 효
율성을 유지하고 있기 때문입니다.
본 보고서는 기업이 일관적이고, 측정 가능하고, 장기적인 프로그램을 구현하고, 과잉/과소 투자를 방지하고,
목표에 대한 컨센서스를 바탕으로 지속적인 개선을 이루기 위한 5 단계 프로세스를 제시하고 있습니다.
IT 리스크의 관리는 우리 모두의 책임입니다. CIO에서 백업 관리자에 이르기까지, 부서의 모든 직원들이 IT 리
스크와 우선 순위를 공유해야 하며 각자 자신의 책임 영역을 이해하고 있어야 합니다. IT 관리자는 비즈니스
조직과의 긴밀한 협력을 통해 전체 비즈니스의 목표를 반영하는 우선 순위를 설정해야 합니다. 이처럼 내부적
연계 및 비즈니스 연계의 조합을 통해 적절한 리소스 배분 및 운영 효율성을 보장할 수 있습니다.
4�
4�
부록 조사 방법론
데이터 수집
2005년 10월부터 2006년 10월까지의 기간 동안, 시만텍은 시만텍이 후원하는 IT 이벤트에 참여하는 IT 전문
가들로부터 528 개의 답변을 수집하였습니다. 응답자들은 설문지를 작성한 후 그 결과를 시만텍에 직접 제출
하였습니다. 응답자들에게는 리포트 분석 및 벤치마크 결과가 설문지 작성에 대한 보상으로 제시되었습니다.
정확한 답변을 유도하고 응답자들의 프라이버시를 보호하기 위해, 시만텍은 버지니아 주 비엔나에 본사를 둔
Ecosystems LLC에 설문 결과를 수집, 처리, 합산하고 참여자들의 개인 정보를 보호하는 작업을 의뢰하였습
니다.
설문 양식
시만텍은 두 가지 설문 양식을 사용하여 528 개의 답변을 수집하였습니다. 218 명의 응답자가 참여한 첫 번째
설문 양식은 컴플라이언스 리스크, 사고 발생률, 테크놀로지 효율성, 프로세스 효율성 등에 대한 평가를 포함하
고 있습니다. 두 번째 양식에는 비즈니스 프로세스 리스크에 대한 평가 항목이 새로 추가되었으며, 컴플라이언
스 리스크, 테크놀로지 효율성, 프로세스 효율성에 대한 질문이 추가되었습니다. 새로운 양식에는 310 명의 응
답자가 참여하였습니다.
두 양식을 통해 제시된 대부분의 질문은 동일하게 작성되었으며, 따라서 두 양식을 취합하여 528 건의 표본
집단을 확보할 수 있었습니다. 단, 두 번째 양식에 추가된 질문으로 인해 일부 분석 작업에서는 전체 표본을
활용할 수 없었습니다. 따라서 보고서 내용의 상당 부분은 두 번째 서베이에서 수집된 310 개의 답변을 바탕
으로 하고 있으며, 다른 부분은 보다 넓은 표본 집단과 포괄적인 질문에 기반하고 있습니다.
인구통계
우리는 두 가지 설문 양식을 광범위한 인구통계학적 그룹에 적용하고, 업종, 직원 수, 응답자의 직무, 비즈니스
수행 지역(글로벌/로컬) 등의 기준에 따라 분류하였습니다. 이러한 인구통계학적 분류 작업을 통해 분석에 필요
한 여러 가지 변수를 추출할 수 있었습니다.
업종은 37 개의 세그먼트와 7 개의 그룹으로 분류되었습니다. "기타" 업종 그룹의 경우 농업, 광업, 건설, 소매,
도매 및 에너지를 포함하고 있습니다.
44
그림 A1: 응답자 528 명의 업종별 분류. 상세한 정보는 아래 텍스트를 참고.
우리는 1, 2 차 서베이를 통해 각각 161 명과 308 명의 응답자로부터 담당 직급에 대한 답변을 확보하였습
니다. 1차 서베이에서 직급 응답률이 적게 나온 것은 유럽 지역 응답자들이 프라이버시 문제에 민감하게 반
응했기 때문입니다. "Professional" 그룹의 경우 비즈니스 직무, 컨설턴트 및 기타 IT 비관련 직무 등을 포함
합니다.
그림 A2: 응답자의 직급별 분류. 상세한 정보는 아래 텍스트를 참고.
4�
0 10 20 30 40 50 60 70 80 90
응답자 업종별 분포
공공 부문
금융 서비스
서비스
제조
기타
통신, 미디어
의료보건
응답자 수
1차 서베이 2차 서베이
Professional
Executive
Director
Manager
0 20 40 60 80 100 120
응답자 직급별 분포
응답자 수
1차 서베이 2차 서베이
본 보고서는 직원 수를 기준으로 기업의 규모를 측정하고 있습니다. 아래에서 확인할 수 있듯, 1차 서베이에
참여한 215 명의 응답자와 2차 서베이에 참여한 299 명의 응답자 모두 자신이 소속된 기업의 전체 직원 수에
대한 답변을 제공하였습니다.
그림 A3: 응답자의 기업 규모별 분류. 상세한 정보는 아래 텍스트를 참고.
우리는 설문 응답자들에게 자신의 회사가 비즈니스를 수행 중인 주요 지역이 어디인지 질문하였습니다. 응답
자들이 여러 지역을 동시에 선택할 수 있도록 하였으며, 따라서 답변의 수는 응답자의 수보다 많은 것으로 나
타나고 있습니다. 본사가 위치한 국가에 대해서는 질문이 제공되지 않았으며, 따라서 지역을 기준으로 한 분
류는 불가능했습니다. 하지만 운영 및 글로벌화의 관점에서 리스크 관리 행태의 지역적 분포를 이해하는 것은
가능했습니다.
그림 A4: 응답자 528 명이 소속된 기업의 운영 지역별 분류. 상세한 정보는 아래 텍스트를 참고.
4�
0 20 050401 3 10807060 0090
응답자 기업 규모별 분포
직원 수
20,000 명 이상
직원 수
5,001 - 20,000 명
직원 수
1,001 - 5,000 명
직원 수
1,000 명 이하
응답자 수
1차 서베이 2차 서베이
0 50 100 150 200 250 350300
응답자 운영 지역별 분포
북미
아시아 태평양
유럽, 중동 및 아프리카
라틴아메리카
응답자 수
1차 서베이 2차 서베이
우리는 전체 528 개 중 92 개의 답변을 유럽 및 남아프리카 지역에서 시행된 이벤트("International
Responses")를 통해 수집하였으며, 나머지 이벤트의 대부분은 영국에서 개최되었습니다. 필요한 경우, 이 결
과를 다른 데이터 셋과 비교하기 위한 시도 또한 수행되었습니다. 상세한 정보는 리포트 본문을 참고하시기
바랍니다.
지표의 활용
본 보고서에서 사용된 지표(index)는 리스크 영향의 중요도, 효율성, 사고 발생률 등을 측정하기 위한 기준으
로 사용되고 있습니다. 분석 단계에서, 우리는 수집된 데이터를 이용하여 질문에 대한 평균적인 답변을 요약
하기 위한 6 가지 지표를 추출하였습니다. 그리고 각각의 지표를 인구통계학적 그룹 또는 응답자 그룹별로 적
용하고, 상관관계 및 비교 분석을 수행하였습니다.
분석 과정에서 사용된 6 가지 지표가 아래와 같습니다.
• 컴플라이언스 지표 (Compliance Index) – 컴플라이언스 리스크 (페이지 11 참고)
• 비즈니스 프로세스 지표 (Business Process Index) – 비즈니스 프로세스 리스크 (페이지 19 참고)
• 사고 발생률 지표 (Incident Rate Index) – 사고 발생 횟수 (페이지 19 참고)
• 프로세스 효율성 지표 (Process Effectiveness Index) – 프로세스 컨트롤의 구현에 관련한 기업의
효율성 수준 (페이지 18 참고)
• 테크놀로지 효율성 지표 (Technology Effectiveness Index) – 테크놀로지 컨트롤의 구현에 관련한
기업의 효율성 수준 (페이지 18 참고)
• 전체 효율성 지표 (Overall Effectiveness Index) – 프로세스/테크놀로지 효율성 지표의 조합
셀프-테스트를 위한 답변
2차 서베이에서 310 명의 응답자가 보고한 사고 발생률을 기준으로 여러분의 응답이 갖는 수준을 평가하려면,
가장 낮은 점수의 답변을 선택했을 때 "1"의 값을, 그 다음 값의 경우 "2"의 값을, 그리고 가장 높은 점수의 답
변을 선택했을 때 "5"의 값을 부여합니다. 4 개의 점수를 합산한 뒤, 이 테이블에서 사용된 서베이 샘플과 비
교합니다:
Best in Class = 6 포인트 미만
Good performance = 6 – 10 포인트
Underperforming = 11 포인트 이상
4�
참고 자료각주 정보1 Michael Porter. Competitive Advantage: Creating and Sustaining Superior Performance. (New York: The Free Press,
1985).
2 Information Technology – Security Techniques – Code of Practice for Information Security Management. (ISO/IEC 17799:2005(E) (Geneva: International Organization for Standardization, 2005).
3 Aligning COBIT, ITIL and ISO 17799 for Business Benefit. (Rolling Meadows, IL: IT Governance Institute and Norwich, UK: Office of Government Commerce, 2005).
4 IT Infrastructure Library, http://www.itil.co.uk. (Norwich, UK: Office of Government Commerce).
5 ITIL Change Management Maturity Benchmark Study. (Sterling, VA: Evergreen Systems, Inc., July 2006).
6 Sunny Gupta. "ITIL Adoption." E-Business Blog, http://www.line56.com. (Los Angeles: Line56.com, Oct 13, 2006).
7 Edward Pruitt and Lorriane Cosgrove Ware. The State of the CIO 2006 – The Survey, http://www.cio.com/state. (Boston: International Data Group, 2007).
8 Lawrence Gordon, Martin Loeb, William Lucyshyn and Robert Richardson. 2006 CSI/ FBI Computer Crime and Security Survey. http://www.goCSI.com. (San Francisco: Computer Security Institute, 2006).
9 "From Contingency to Continuity." Information Age, http://www.information-age.com. (London: Infoconomy, Ltd. February
10, 2004)
일반 참고 자료
Adner, Ron. "Match Your Innovation Strategy to Your Innovation Ecosystem." Harvard Business Review, April 2006: reprint.
Broussard, Frederick, Stephen Elliot, and Tim Grieser. ITIL Penetration is Moving Faster than You Might Think: Some Results of the System Management Software Strategies Study. Framingham, MA: IDC, March 2006.
Champy, James. “Four Steps to Successful IT/Business Alignment” SearchCIO.com. Needham, MA: TechTarget, May 11, 2005.
Craig, David, and Ranjit Tinaikar. "Divide and Conquer: Rethinking IT Strategy." McKinsey on IT, Fall 2006: 4-13.
Froot, Kenneth, David Scharfstein, and Jeremy Stein. "A Framework for Risk Management." Harvard Business Review, November-December 1994: reprint.
Hughes, Greg. "Five Steps to IT Risk Management Best Practices." Risk Management Magazine, July 2006: 34-40.
Kolodgy, Charles J., Christian A. Christiansen, Brian E. Burke, Sally Hudson, Allan Carey, Rose Ryan, J.D. Top 10 Predictions for Security in 2006: Countering Crafty Criminals and Insidious Insiders. Framingham, MA: IDC, March 2006.
Lassiter, Lee. CIO Guide to Sarbanes Oxley. Edgewater, MD: ReymannGroup, Inc., January 2005.
Macauley, Tyson. "Operational Risk and Resiliency Frameworks, A tale of five risk management characters and how they fit into your organization." http://www.csoonline.com. Framingham, MA: CXO Media, October 30, 2006.
META Group. "Enterprise Application Trends." META Trends 2005/2006. Stamford, CT: Gartner, Inc. 2005. Rasmussen, Michael. Enterprise Risk Management, Measuring and Gaining Control of Risk. Cambridge, MA: Forrester Research, Inc., December 29, 2004.
Vijayan, Jaikumar. "Defending Data will be IT Manager 2007 Focus." http://www.computerworld.com. Framingham, MA: IDG Network, November 8, 2006.
4�
NO WARRANTY. 본 문서의 정보는 "원본" 그대로의 상태로만 제공되며, 시만텍은 정보의 정확성 및 활용에 관련하여 어떠한 보증도 제공하지 않습니다. 본 문서에 포함된
정보의 활용으로 인한 책임은 전적으로 사용자에게 있습니다. 문서는 기술적인 오류 또는 기타 부정확한 정보 및 오탈자를 포함하고 있을 수 있습니다. 시만텍은 사전 공지
없이 본 문서의 정보를 변경할 수 있는 권한을 갖습니다.
Copyright ©2007 Symantec Corporation. All rights reserved. Symantec, Symantec 로고, INFORM은 시만텍 및 시만텍의 자회사가 미국 및 기타 국가에서 등록한
공식등록상표입니다. 다른 이름은 해당 기업의 공식등록상표일 수 있습니다.
�0
시만텍 소개
시만텍은 인프라스트럭처 소프트웨어의 세계적
선두 기업으로 상호 연결된 세계에서 개인 및
기업이 신뢰를 가질 수 있도록 합니다. 시만텍은
보안, 가용성, 컴플라이언스 및 성능과 관련된 각종
리스크를 해결할 수 있는 소프트웨어와 서비스를
제공하여 고객의 인프라스트럭처, 정보, 상호 정보
교류를 보호할 수 있도록 지원합니다. 본사는 미국
캘리포니아 쿠퍼티노에 위치하고 있으며, 현재
전세계 40여 개국에 지사를 두고 있습니다. 보다
자세한 정보는 www.symantec.co.kr에서 확인하실
수 있습니다.
각 지사의 사무실 위치 및 전화번호를
확인하시려면 시만텍 웹 사이트를
참고하시기 바랍니다. 한국 지역의
경우 시만텍코리아 영업본부
(02-3468-2000)로 연락 주시기
바랍니다.
시만텍코리아(주)
서울시 강남구 역삼 1동 737
강남파이낸스센터(스타타워) 28층
TEL: 02 - 3468 - 2000
FAX: 02 - 3468 - 2001
www.symantec.co.kr
Copyright © 2007 Symantec Corporation. All rights reserved.
Symantec, Symantec 로고는 Symantec Corporation 및 계열사
에 의해 미국 및 기타 국가에서 등록된 공식등록상표입니다. 다른
이름은 해당 기업의 공식등록상표일 수 있습니다.
02/07 WP-00146-KR
Confidence in a connected world
