[칼럼]'IT 서비스 종료' 이렇게 해라!

IT의 속을 들여다보면 그 내부는 애플리케이션, 서버, 네트워크 및 데이터베이스가 유기적으로 연결돼있다. 우리가 흔히 시스템이라고 부르는 것도 단위 구성요소의 복합체를 지칭하기에 가장 적합한 단어라고 생각해서 그런 것이다.

2000년대 후반으로 오면서 IT를 ‘서비스’라고 부르기 시작한 것은, IT내부의 입장에서 들여다보고 있는 ‘시스템’의 단계에서 한 발 더 나아가, IT조직의 시야를 IT 소비자 중심으로 확대한 것이라 볼 수 있다.

IT서비스들은 사용자들을 위해 새로 만들어지고 사용자 요구에 의해 변화가 일어나게 된다. 그리고 용자의 관심이 멀어지게 되면 다른 IT서비스와 교체되거나 아예 사라지게 되는 과정을 겪는다.

필자의 경험에 따르면, 국내 IT조직의 경우 앞서 언급한 IT서비스의 라이프 사이클 중에서 IT서비스를 종료하는 과정이 불분명한 경우가 많다. IT서비스 종료 과정이 매끄럽지 않으면 IT운영과 보안상의 문제들이 불거질 수 밖에 없다.

■잔존하는 IT서비스

기존 IT서비스를 교체하거나 종료시키는 ‘새로운’ IT서비스는 대부분 IT프로젝트를 통해 만들어진다. IT프로젝트가 완료돼 사용자들에게 제공될 때까지, IT조직의 모든 관심은 새로운 IT서비스에 쏠릴 수 밖에 없다.

교체되거나 종료될 IT서비스는 IT프로젝트의 종료가 임박한 순간부터 IT조직의 관심에서 멀어지면서 일찌감치 (IT조직의) 통제 바깥에 놓이게 되는 경우가 많다.

새로운 IT서비스가 시작되면 기존 IT서비스는 즉각 퇴출되는 것이 아니다. 기존 IT서비스 중에서 특정 사용자들이 유예기간을 요청한 기능들이 존재할 수 있다.

예를 들면 특정 사용자 부서에서는 업무 방식이 새로운 IT서비스를 받아들일 준비가 충분하게 되지 않은 경우도 있을 수 있다. 특히 외부와의 인터페이스가 있는 경우 그 외부 회사의 준비가 되지 않아서 시간이 필요한 경우도 있다.

이처럼 새로운 IT서비스가 가동됐지만 사용자들의 요청이나 기술적인 한계 등으로 인해 특정 기간 동안 연명하게 되는 IT서비스를 ‘잔여 IT서비스’라고 불러보자.

■잔여 IT서비스의 종류

잔여 IT서비스는 새로운 IT서비스가 도입된 이후 다음의 두 가지의 형태로 존재할 수 있다.

첫째는 상시 서비스 제공의 형태다. 특정 사용자나 외부 인터페이스를 위해 항상 온라인 상태로 살려놓는 경우다. 이 형태의 잔여 IT서비스는 늘 접속 가능한 상태로 존재한다.

둘째는 임시 서비스 제공의 형태다. 평소에는 서비스를 오프라인 상태로 두다가 특정 사용자로부터 요청이 있을 경우 온라인 상태로 바꾸는 것이다. 평소에는 접속 불가능하지만 요청이 있을 경우 접속 가능한 상태로 바뀐다. 그러나 특정 사용자가 업무가 종료돼 오프라인 상태로 바꾸어달라고 요청하지 않으면 IT담당자가 온라인 상태로 그냥 두는 경우가 발생할 수 있다.

■잔여 IT서비스에 대한 프로세스 부재

국내 대부분의 IT조직들은 잔여 IT서비스를 다루기 위한 프로세스를 가지고 있지 않다. 언뜻 이해하기 어려울지 몰라도 사실이다.

대부분의 IT조직들은 새로운 IT서비스를 도입하는 프로세스는 보유하고 있지만 잔여 IT서비스를 다루는 프로세스는 가지고 있지 않다.

여기에는 IT조직의 경영층이나 중간관리자의 ‘무심함’이 숨어있다. 스포트라이트를 받는 새로운 IT서비스 외에는 관심이 없으며, 새로운 IT서비스가 서비스를 재개하는 순간, 기존 IT서비스는 바로 종료되는 것으로 오해하고 있는 것이다.

잔여 IT서비스를 다루는 ‘프로세스의 부재’와 ‘상위 관리자의 무심함’이 결합되면, 잔여 IT서비스의 존재와 관련된 모든 활동들은 IT조직의 운영 아젠다에 포함될 가능성이 제로다.

이 상황은 심각한 보안의 문제점을 야기한다.

■높아지는 보안의 위험들

잔여 IT서비스가 제공하는 가장 큰 보안 문제점 중의 하나가 바로 기존 접근권한의 방치다. 대부분의 사용자들은 새로운 IT서비스로 갈아탄 상태이지만 잔여 IT서비스는 모든 사용자들에게 부여해 온 접근권한을 그대로 허용하고 있는 경우가 많다.

잔여 IT서비스가 모든 사용자들에게 접근권한을 허용하고 있는 상황은 즉각적으로 보안 사고를 유발하지 않는다. 시간이 경과함에 따라 보안 사고의 발생 위험이 증가한다. 왜냐하면 접근권한을 가진 사용자들이 전배하거나 퇴직하는 등의 인사변동은 시간 경과에 따라 누적되기 때문이다.

보안을 이론으로만 알고 있는 사람들 중에는, 요즘 IT조직에는 통합인증시스템이나 단일인증시스템(Single Sign On)이 대부분 갖추어져 있어서 이런 문제가 발생할 리가 없다고 주장하는 사람들이 있다. 이론계가 현실계를 모두 설명할 수 있다고 믿는 IT조직이나 담당자들은 보안의 덫에서 헤어날 수가 없다. 과거의 IT서비스들이 현재의 기술이나 이론에 따라 매끈하게(?) 만들어졌다고 장담할 수는 없다는 것을 알아야 한다.

■변경 프로세스의 통제를 벗어나는 위험

잔여 IT서비스의 또 다른 문제점은 IT조직의 운영 통제를 받지 않을 가능성이 높다는 것이다. 잔여 IT서비스에 대해서 접근권한을 추가 요청하거나 하부 장비의 변동이 발생하는 경우, 기존 IT서비스에서 마련해 놓은 높은 수준의 보안 설정이 해체될 수 있다는 점이다.

잔여 IT서비스를 지원하는 하부 장비들은 IT조직의 구성요소 목록상에서 ‘유휴’나 ‘폐기’로 잘못 표기되어 있을 가능성이 있다. 따라서 통상적으로 유휴나 폐기로 식별된 장비들은 변경 프로세스의 대상에서 아예 빠져버리기 때문에 변경을 검토하는 활동으로 이어지지 못한다.

변경 프로세스를 거치지 않고 IT담당자선에서 비공식적으로 변경이 처리되면, 이 역시 시간이 경과함에 따라, 높은 수준의 보안 설정들이 하나씩 해체되면서 보안의 약점들을 하나 둘씩 노출하게 만든다.

■바람직한 통제 방법

IT조직은 새로운 IT서비스의 도입이 결정되고, 서비스 시작되기 이전에 잔여 IT서비스에 대한 전략을 수립해야 한다.

잔여 IT서비스를 어떤 사용자를 대상으로 언제까지 제공할 것인지, 존속하는 동안 운영 통제를 어떻게 적용할 것인지, 그리고 기존의 보안 수준을 어떻게 지속할 수 있을 지에 대한 방법 등을 결정해야 한다.

잔여 IT서비스에 대한 전략이 결정되면, 잔여 IT서비스에 대해서 다음과 같은 항목에 대해 변경 영향 검토와 위험 제거 활동을 시작해야 한다.

첫 번째는 잔여 IT서비스와 하부의 장비의 ‘상태 정보’에 대해서 변경 영향 평가를 수행한다. 여기서 상태 정보라는 것은 ‘대기’ ‘개발’ ‘테스트’ ‘운영’ ‘유휴’ ‘폐기’ 등과 같이 서비스나 하부 장비의 용도를 의미한다.

기존 IT서비스가 잔여 IT서비스로 변경되는 과정에서 운영의 용도가 ‘유휴’나 ‘폐기’로 바뀌게 되는 장비들이 존재할 수 있으므로 상태 정보를 구성정보 목록이나 구성정보 데이터베이스에 정확하게 기록한다. 이 과정에서 잔여 IT 서비스에 계속 기여하는 장비를 실수로 유휴나 폐기로 잘못 변경하지 않도록 세심하게 살펴봐야 한다.

유휴나 폐기로 결정된 장비들에 대해서는 이것들을 운영환경으로부터 분리하는 활동을 수행해야 한다. 운영환경에서 분리하는 활동은 네트워크를 분리하는 작업과 데이터를 삭제하는 작업이 병행되어야 한다.

두 번째는 접근권한 조정을 포함한 보안에 대한 변경 영향 평가를 수행한다. 잔여 IT서비스의 특성상 사용자의 폭이 좁아지게 되므로 불필요한 사용자들의 접근권한을 제거해야 하고, 외부의 인터페이스가 더 이상 필요하지 않은 경우 이를 차단하는 작업도 수행해야 한다.

■도입만큼 중요한 서비스 종료 과정

IT조직은 사용자를 중심으로 서비스 제공과 중단의 라이프사이클을 객관적으로 바라보는 시각을 가져야 한다. 이러한 시각은 IT서비스의 도입과정만큼 IT서비스의 종료 과정도 중요하다는 것을 깨닫게 한다.

관련기사

게다가 IT서비스는 한번에 용도가 종료되는 것이 아니라 몇 단계의 과정을 거쳐 종료된다. 이 때문에 여기에 맞는 세밀한 프로세스를 접목해야만 IT조직의 운영 목적과 보안 목적들을 달성할 수 있다.

IT조직은 IT서비스와 하부 장비들이 IT조직의 바깥으로 완전히 퇴출될 때까지는 절대로 방심하지 말아야 한다.

*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.