역사적으로 IT 업계를 되돌아보면 직장 내 PC 도입은 사용자가 일으킨 쿠데타라 해도 과언이 아니다. 지난 1980년대 말부터 대기업 직원은 일반 IT부서 영역 밖에서 스프레드시트, 워드프로세싱, 첨단 계산, CAD 등을 위해 PC를 사용하기 시작했다.
사용자 기반이 확대되면서 IT에 익숙한 직원들이 PC에서 기업형 애플리케이션 접근 권한을 요구하기 시작했고, 기업 내 IT부서들은 몇 년을 버틴 끝에 결국 PC에 클라이언트 서버 환경을 통합하기 시작했다. 이는 1980년대 말에서 1990년대 초까지 일어난 움직임이며, 클라이언트 서버 혁명으로 알려져 있다.
모바일 기기에서도 이와 같은 역사가 되풀이될 것인가. 대부분 기업에서 사용자는 e메일 접속에 보안 문제가 있음에도 불구하고 IT부서와의 투쟁에서 승리를 거뒀다. 사용자들은 개인용 블랙베리와 아이폰, 심지어 킨들이나 아이패드에서도 고객관계관리(CRM)와 인적자원관리(HRM)를 비롯한 온갖 기업형 애플리케이션에 접근하길 원한다.
그렇다면 IT부서는 어떻게 대응해야 하는가. PC 시대에서도 그랬듯이 가능한 한 오래 버티다가 항복해야 할까, 아니면 이미 패배할 것이 자명하니 치명적인 손실을 입기 전에 백기를 들어야 할까.
PC와 모바일 기기를 같은 시각에서 바라봐서는 안 될 것이다. 모바일 기기를 기업 IT 환경에 통합하는 작업은 PC보다 훨씬 어렵고 복잡한 일이기 때문이다. 이는 기술적 관점과 비즈니스적 관점에 모두 적용된다.
#PC보다 복잡한 모바일 보안
PC가 개인업무 지원 수단으로 다수 기업에 도입됐지만 직원들이 자비로 PC를 구입해 직장에 몰래 반입한 것은 아니었다. 그도 그럴 것이 1980년대 말에서 1990년대 초 쓸 만한 PC나 워크스테이션 가격은 대당 5000달러 이상으로, 소형 자동차 가격의 60%에 육박했다. 그래서 기업에서는 투자 수익을 보장하는 업무 담당자나 생산성이 높은 소수 직원에게만 PC를 지원했고, 이런 직원들은 다양한 기업형 IT 애플리케이션에 접근해야 할 이유를 정당화할 수 있었다.
수천대의 PC를 기업 IT 환경에 통합하는 것은 까다롭고 많은 비용이 드는 작업이긴 했지만, 데이터나 네트워크에 대한 보안 리스크는 그다지 크지 않았다. 당시 PC는 사무실에서 빼내기에 너무 무겁고 투박했을 뿐만 아니라, 인터넷 도입 이전에는 기업 네트워크가 마치 외딴 섬과 같아 전 세계의 해커와 컴퓨터 바이러스로부터 안전했기 때문이다. 또 PC와 워크스테이션은 기업 소유여서 직원 사용에 제한을 둘 수 있었다.
모바일 기기는 전혀 다르다. 대부분 기업 직원들은 자신의 블랙베리나 아이폰 등의 모바일 기기를 자비로 구입하고 고액의 월 사용료도 직접 낸다. 모바일 기기를 소유한 사람은 누구나 PC와 동일한 수준의 기업형 애플리케이션을 이용하려 한다. 또 개개인이 모바일 기기나, 통신 서비스 사용에 대해 갖는 우선순위는 저마다 다르다. 더욱 걱정스러운 것은 사용자들이 지하철, 택시, 고객이나 공급업체의 사무실에서 자주 휴대폰을 분실한다는 점이다. 인터넷 연결로 컴퓨터 바이러스에 쉽게 감염될 수 있고 무선 신호 송신조차 보안 취약점이 될 수 있다.
사실 정부와 금융업계에서 흔히 사용되는 해결책이 있기는 하다. 직원들에게 2개의 기기를 소지하게 하는 것이다. 기업이 지급한 표준 모바일 기기는 업무에 사용하게 하고, 개인적으로 소유한 기기는 다른 용도에 사용하게 하면 된다. 현재 기업이 지급한 기기를 원격 제어하는 것은 기술적으로 가능하다. 기기에 저장된 데이터와 기기에서 구동되는 애플리케이션을 제어할 수 있는 것은 물론이고 분실한 기기나 퇴사한 직원의 기기 속 데이터를 삭제할 수도 있다.
하지만 경제적인 측면을 고려한다면 효과적인 해결 방법이라고 하기 어렵다. 북미 지역에서 무제한 음성 및 데이터 요금은 기기당 월 75달러(약 8만3250원), 연간 900달러(약 99만9000원)다. 모바일 기기와 네트워크 교체 속도를 감안한다면 기업은 최소 24개월에 한 번은 교체 주기를 맞게 된다. 일반 기업용 모바일 기기를 400달러(약 44만4000원)라고 가정할 때 로밍 비용을 제외하더라도 사용자 한 명당 연간 약 1100달러(약 122만원)의 비용이 든다. 화면이 작고 키보드 사용이 불편하다는 점을 고려할 때 모바일 기기가 아직 PC를 완전히 대체할 수는 없다고 판단되기 때문에 여전히 각 직원에게는 PC도 별도로 지급해야 한다.
10만명의 직원이 있는 기업이 업무용 모바일 기기를 직원에게 지급한다고 가정하면, 연간 IT비용 증가분은 무려 1억1000만달러(약 1221억원)에 이른다. 이 점을 고려했을 때 현재 다수의 기업에서 직원들이 기꺼이 자비로 모바일 기기를 구입하고 월 사용료를 내고 있다는 것은 참으로 다행스러운 일이다.
비용을 감안할 때 대부분 기업은 소수의 선택된 직원에게만 업무용 기기를 지급할 가능성이 높아 보인다. 그러나 이러한 조치는 기업이 개인 모바일 기기 지원 수혜 직원과 비수혜 직원 간 갈등을 해결해야 한다는 문제로 다시 회귀하게 된다.
기업이 지급하는 모바일 기기를 유용하게 활용하려면 웹에 접근할 수 있어야 하며, 이는 기기가 컴퓨터 바이러스, 해킹, 피싱을 비롯한 인터넷의 온갖 위험과 해악에 노출된다는 것을 의미한다. 그러나 모바일 기기는 PC와 달리 기업 방화벽으로 보호할 수가 없다.
게다가 문서 스캐닝과 교육 등 업무 목적으로 내장 카메라와 스트리밍 동영상을 활용하는 사례가 늘고 있다. 기업이 지급한 기기에서 이런 기능을 활용하면 개인의 목적 달성을 위한 사적인 이용은 피할 수 없을 것이고 업무용 기기와 개인용 기기 간 구분이 점차 모호해질 것이다. 마지막으로 두 세트의 충전기와 케이블을 포함한 두 개의 기기를 가지고 다니고 연락처를 두 기기에서 관리하며 소셜네트워킹 사이트 등에 이중으로 로그인하고 암호를 관리해야 하는 번거로움을 감안할 때 복잡한 제한 규정을 위반하는 일이 이를 모두 준수하는 것보다 훨씬 쉬울 것이다.
대부분의 사람들은 업무적 용도와 사적인 용도를 구분짓지 않고 모바일 기기를 사용해 왔기 때문에 이를 일부러 구분짓는 것은 장기적으로 성공적인 해결책이 되기 어렵다.
#기업과 직원의 협조와 양보 필요
그렇다면 더 나은 방법은 무엇인가. 기업의 목표는 표준화, 프로세스 제어, 데이터 손실이나 도용의 방지, IT 비용 절감 등인 반면에 직원의 목표는 편의성과 개인 선택에 대한 존중이다.
직원이 기업의 목표에 반기를 들지 않고 기업도 직원의 필요에 반대하지 않는다 해도 양측의 제어를 벗어난 요인들, 즉 소지품을 분실하는 습관이라든지 직원이 선택할 수 있는 다수의 기기에 동일한 기업용 애플리케이션을 공급하는 기술적 어려움 등이 기업과 직원을 대립하게 할 수 있다. 마치 한 쪽이 이기려면 다른 쪽이 져야 하는 제로섬 게임과도 같아 보인다.
흔히 ‘죄수의 딜레마’로도 일컬어지는 게임이론으로 이와 같은 상황을 분석해 보면 양쪽 모두에게 가장 좋은 전략은 서로 대립하는 것이 아니라 협력해서 게임 자체에 대항하는 것이다. 한 쪽이 협조하지 않으면 어떻게 될까. 이 경우 게임이론에 의하면 최상의 전략은 보복이다. 신뢰를 갖고 협조하는 것으로 시작하되 한 쪽이 배신하면 신속하게 보복해 상대방이 규정에 따르도록 만들고 다시 협조하되 원한을 가져서는 안 된다.
이것이 실제 상황에서 의미하는 바는 무엇인가. 일단 기업의 IT부서는 이동성이 오늘날 전 세계를 휩쓸고 있는 가장 강력한 기술적 움직임이라는 사실을 인식하고 받아들여야 한다. 전 세계 인구의 약 60%가 휴대폰을 가지고 있으며 2013년까지 이 수치는 80%로 증가할 것으로 전망된다. 일본과 한국에는 3세대(3G) 휴대폰과 네트워크가 본격적으로 도입됐고 유럽과 다수의 신흥시장에서도 도입이 확대되고 있다.
무엇보다도 새로운 기기와 네트워크는 새로운 기능을 제공한다. 모바일 기기와 환경 간의 커뮤니케이션을 지원하는 근거리무선통신(NFC), 위치 및 상황 기반 서비스, 동영상 스트리밍, 개선된 사용자 인터페이스 등이 그 예다. 모바일 기기는 이처럼 기업과 직원, 직원과 직원, 직원과 고객, 공급업체, 기타 비즈니스 협력자 간 가장 중요한 유비쿼터스 커뮤니케이션 및 서비스 채널이 될 수 있다.
기업은 이 같은 현실을 인정하고 받아들여야만 새로운 기능을 충분히 활용할 수 있다. 구체적인 예로 영업 직원을 위한 고객 및 영업 데이터의 실시간 접근, 이동형 동영상 기반 교육, NFC 지원 기기를 통한 고객 주문이나 결제 수령 등을 들 수 있다.
둘째, 기업은 직원들의 현실을 받아들이고 이들의 모바일 기기가 계속해서 일과 개인적 삶의 교차점에 존재할 것이란 사실을 인정하고 받아들여야 한다. 직원들의 휴대폰에서 카메라, MP3플레이어, 엔터테인먼트 기능을 제한한다면 이들은 넘쳐나는 무료 소프트웨어 프로그램을 내려받을 것이고 이런 프로그램들은 컴퓨터 바이러스, 스파이웨어 등을 동반하는 경우가 많다. 이는 기업이 의도했던 보안 제어의 목적에 잠재적인 위협이 될 것이다.
셋째, 기업과 직원 간의 협력을 장려하기 위해 직원들을 교육해야 한다. 데이터 도용과 손실, 규제, 개인정보보호 위반에 따른 벌금 등 실제적인 위험에 대한 직원들의 이해를 높이고 규제에 부합할 수 있는 절차, 도구, 주의사항 등을 인지시켜 기업과 직원이 협력해서 데이터 도용을 방지할 수 있어야 한다.
넷째, 기기와 네트워크 이질성을 줄이기 위해 직원을 기기 기능 선호도에 따라 분류한다. 젊은 직원들은 엔터테인먼트 기능을, 임원들은 글로벌 음성 및 데이터 커뮤니케이션 기능을 선호할 것이며, 영업직 사원들은 고객에게 보여줄 수 있는 고화질 오디오 및 동영상 브로슈어에 접근하고 싶어할 것이다. 이와 같은 분류에 기반해 소수의 기기와 통신사를 선택하고 협상을 통해 대량구매에 따른 기업할인을 받아야 한다. 기업 IT부서는 이를 통해 지원해야 하는 기기의 수를 줄일 수 있고, 직원들은 원하는 기기를 할인된 요금으로 사용할 수 있다.
다섯째, 기기가 직원 소유라 해도 원격 데이터 삭제 및 암호화 소프트웨어 등 상호 동의를 거친 소수의 제한을 받아들이도록 법적 계약을 체결해야 한다. 최종 사용자, 비즈니스 담당 임원, IT 담당 임원으로 구성된 대표 위원회를 조직하고 이들이 동의한 제한사항을 받아들이는 조건 하에 기업 데이터 및 애플리케이션 접근을 제공해야 한다. 지나치게 까다로운 조건은 합리적이고 협조적인 직원들조차 위반하게 만들기 때문에 지양해야 한다.
마지막으로 비록 소수 불량한 직원들의 위반 가능성을 제어하는 것이 아닌 대다수 직원들의 생산성을 극대화하는 방침을 세웠다 하더라도, 위반 사례가 발생했을 때는 맞대응 원칙에 입각해 신속하게 대처해야 한다. 리스크와 보상은 동전의 양면으로 일컬어진다. 모바일 기기도 리스크와 보상을 수반한다. 그러나 모바일 기술이 진보할수록 보상이 리스크를 압도하게 될 것이다. 이를 충분히 인식하고 리스크를 관리하면서 보상을 극대화하기 위해 효과적으로 대처하는 기업은, 리스크에만 집중하고 보상은 무시하는 기업을 추월하게 될 것이다.
김종훈 액센츄어 TGP 부장 ryan.kim@accenture.com
관련 통계자료 다운로드 직원의 모바일 기기 이용 시 보안 확보를 위한 조언