[칼럼]'좋은 의도' 그러나, '나쁜 결과'

IT조직들이 ‘잘’ 운영하고 있다고 ‘주장’하는 IT프로세스들의 이면을 들여다보면, 당황스러운 현실을 발견하게 된다.

조직은 본능적으로 외부인들에게는 잘 하고 있다고 선언(declare)하게 되지만, 조직의 내부를 구체적으로 들여다보게되면, 결국 그렇지 않은, 엄연한 현실이 존재한다.

철학자의 표현에 의하면, ‘진실’이란 ‘인식’과 ‘현실’이 ‘만나는’ 순간이라고 한다. 조직이, 내부의 현실은 엉성하지만, 외부에 홍보만 치중하는 것은, 그 조직의 고객을 포함한 외부인들에게는 인식과 현실을 결국 만나지 못하게 ‘지체’시키는 것이다.

IT조직의 ‘경영층’도 외부인과 동일한 착시 현상을 가질 수 있다. 중간관리자로부터의 보고는 언제나 ‘잘 되고 있고. 문제가 없다’이다. 하지만 경영층과 중간관리자를 제외한 모든 IT직원들은 그렇지않은 현실에 괴로워하고 있다.

IT조직내에, 이러한 상황이 발생하는 원인중의 하나는, ‘좋은 의도’를 가지고 구축한 IT프로세스가 의도와는 다른, ‘나쁜 결과’를 낳게 될 때이다.

■경주의 사례

올 초에, 천년고도 경주를 방문했다. 어릴때 수학여행 이후로, 맘 먹고 경주를 관광한 것은 처음이었다. 경주 시내를 돌아다니면서, 의아한 점을 발견했다. 천년 전의 왕릉들과는 어룰리지 않는 낡은 가정집(실제 거주하시는 분들께는 죄송합니다.)들이 눈에 거슬렸다.

먼거리에서 바라보면 재개발 대상이나 될 법한 가정집들이, 왕릉들 사이사이에 끼어있는 형국이었다. 천년고도라는 관광도시의 가치를 생각해본다면, 당연히 손을 댔을 법도 한데, 방치되고 있는 이유를 알 수가 없었다.

하지만 그날 지인과의 대화를 통해 이유를 알게 되었다. 문화재보호를 위한 법이, 그 원인인 것이다. 천년고도의 문화재를 보호하기 위해, 가정집을 포함한 모든 시설의 증개축을 제한한 것이다.

법이 발효된 과거에는 반짝 효과가 있었을지 몰라도, 결국 수십년을 거쳐 오면서 그 반대의 결과를 초래하고 말았다. 일반 가정집들은 문화재보호법을 충족하면서까지 증개축을 할 수 있는 돈이 없기 때문에 그냥 살아온 것이다. 시에서는 세금으로 이들을 지원할 여력은 없어 보였다.

■이상한 보안 등급

수 년전 방문했던 일종의 금융 관련 회사의 이야기다.(옛날 이야기이길 바란다.)

회사의 정보를 철저하게 보호하기 위해, 생성하는 모든 문서나 파일에 대해서 보안 라벨링을 하도록 정보 보안 기준을 강화했다. ‘대외비’ 이상에 해당하는 모든 정보를 대장에 기록하고 시건장치가 있는 장소, 즉 캐비넷이나 내화금고에 저장하고, 열람이나 복사를 하는 경우 역시, 대장에 기록하도록 했다.

그 결과는 어떠리라 예측하는가?

도입의도와는 다른 ‘나쁜 결과’가 나타났다.

대외비 이상의 문서는 극소수에 불과하고, 대부분의 문서나 파일은 ‘일반’이라고 ‘선언’하여 사용하고 있었다. ‘관리’에 자신있는 문서나 파일 몇 개만 대외비 이상으로 정의하고, 캐비넷에 보관하여 대장을 유지하고 있었다. 이 회사는 대부분의 연구정보, 고객정보 또는 전략정보 등을 ‘일반’ 등급이라고 주장했다.

갑자기 ‘에어플레인’이라는 영화의 한 장면이 떠오른다. 엑스레이장비를 모니터링하는 공항검색대의 안전요원이, 총이나 바주카포를 ‘대놓고’ 들고 다니는 테러리스트는 통과시키면서, 애꿎은 할머니를 ‘위험’하다며 과격하게 진압하는 장면이 나온다.

만약 이 회사에 갓 입사한 신입사원이, 순진하게 자신이 작성한 IT시스템구성도를 ‘대외비’로 보안등급을 부여해서 사용했다가는, 영화에서의 할머니처럼 수모를 당하게 된다.

■강화된 변경프로세스, 그러나…

이제 IT프로세스의 예를 들어보자. 수 년 전 방문한 금융회사의 IT조직의 경우다.

이 회사의 IT조직은, 변경을 잘못 다루어서 장애가 발생하는 것을 막고자, 대대적으로 엄격한 변경프로세스를 적용하기로 했다. 모든 변경은 기획부서,개발부서,인프라부서의 팀장과 담당자의 승인이나 합의를 반드시 거치도록 하고, 단 한 명의 관리자나 담당자라도 변경을 거부한다면, 변경이 통과하지 못하도록 했다. 그리고 변경의 통과 비율은 변경 의뢰자의 평가에 반영하였다.

자, 그 결과는 어떻게 되었을까?

이 IT조직에는 ‘변경’이 거의 발생하지 않았다. 변경을 잘 다룰려고 하는 의도로, 강화된 변경프로세스를 도입했지만, 그 결과는 변경이 ‘안’ 생기는 것이다.

좀더 엄밀하게 얘기하자면, 변경이 오히려 ‘음성적’으로, 지하세계에서 처리되고 있다고 보는 것이 맞다. 숨기기 어렵고, 명백하고 크며, 자신있는 ‘변경’만 변경프로세스를 거치게 하고, 그 나머지 변경들은 담당자선에서 알아서 처리하는 것이다.

장애를 예방하기위해, ‘강화된 장애프로세스’를 도입한 IT조직으로부터도, 유사한 사례를 발견할 수가 있다.

■나쁜 결과가 생기는 이유?

IT조직에서 좋은 의도로 도입한 프로세스가, 결과적으로는 나쁜 결과를 얻게 되는 이유는 무엇일까?

이것은, 프로세스를 수행하는 사람 또는 조직의 인센티브(incentive)에 대한 문제로 보인다.

변경이 생길 때마다, 골치아프게 변경프로세스로 등록해서 처리하는 것보다는, 변경을 숨기는 것이, 담당자나 담당자가 속한 팀에는 결과적으로 더 나은 인센티브가 제공될 것이라는 것을, 담당자나 담당자가 속한 팀은 ‘경험적’으로 알고 있다.

프로세스를 지키기위해, 변경을 열심히 등록하다가 ‘실수’하는 바람에, 내부감사나 외부감사에 의해 ‘혼’나는 것보다는, 변경이 아예 없는 척해서, 내부를 깊숙이 들여볼 ‘능력’이 없거나, 그럴 ‘의도’가 없는 감사자에게, 외면상 성공적인 증빙을 제공하는 것이 낫다는 것이다.

■좋은 의도를 ‘좋은’ 결과로..

좋은 의도가 나쁜 결과를 초래하는 이러한 ‘부조리’한 현상을 깨는 것은 결국 인센티브를 조정할 수 있는 능력에 달려있는 것으로 보인다.

이러한 인센티브 조정 능력은 IT조직의 경영층에 주어져 있는 것이 일반적이다.

따라서, IT조직의 경영층은, 숨기는 것보다는, 드러내고 실수하는 것에 더 나은 인센티브를 IT직원들에게 제공할 것이라는, 실천의지와 실질적인 보상을 약속해야만, 나쁜 결과를 방지하고, 좋은 결과를 이끌어 낼 수 있다.

IT조직만이 이러한 부조리를 가지고 있는 것은 아니다. 오히려 IT조직이 다른 분야에 비해 훨씬 덜 할지도 모른다.