엔드유저컴퓨팅 혁신 관리 요약

초록

본 논문은 AIB 캐피털 마켓스에서 엔드유저 컴퓨팅(EUC) 관리 체계를 구축한 과정을 요약한다. 정책 수립, 핵심 EUC 애플리케이션 등록, 통제 환경 전환 절차와 주요 발견 사항 및 타 조직을 위한 실무적 권고안을 제시한다.

상세 분석

AIB 캐피털 마켓스는 전통적인 IT 거버넌스와는 별도로, 비즈니스 사용자들이 스프레드시트, 데이터베이스, 매크로 등 자체 개발 도구를 활용하는 엔드유저 컴퓨팅(EUC) 현상이 급증함에 따라 위험 관리와 효율성 제고가 필요하다고 판단했다. 이를 위해 먼저 전사 차원의 EUC 정책을 정의했으며, 정책은 책임 주체, 위험 평가 기준, 통제 수준, 변경 관리 절차 등을 명문화하였다. 정책 수립 단계에서는 기존 IT 거버넌스 프레임워크와의 정합성을 검토하고, 규제 요구사항(예: 바젤 III, IFRS)과 내부 감사 지침을 반영하였다.

다음으로 핵심 EUC 애플리케이션을 식별하기 위한 레지스터 구축 작업을 진행했다. 이 과정은 전사 설문, 인터뷰, 시스템 로그 분석을 결합한 혼합 방법론을 사용했으며, 애플리케이션의 비즈니스 중요도, 데이터 민감도, 사용자 수, 자동화 수준 등을 평가 기준으로 삼았다. 결과적으로 250여 개의 EUC 도구가 후보로 도출됐고, 이 중 45개가 ‘핵심’으로 분류되어 별도 관리 대상이 되었다.

핵심 EUC 애플리케이션은 통제된 환경으로 이전하기 위해 세 단계 프로세스를 적용했다. 첫째, 현재 개발 및 운영 절차를 문서화하고, 코드 리뷰와 테스트 자동화를 도입해 품질을 확보했다. 둘째, 기존 사용자 권한과 접근 로그를 정밀 분석해 최소 권한 원칙을 적용, 불필요한 권한을 제거했다. 셋째, 중앙 관리형 플랫폼(예: SharePoint 기반 워크플로우, 버전 관리 시스템)으로 마이그레이션함으로써 변경 이력과 감사 추적을 체계화했다. 이 과정에서 자동화 도구와 스크립트를 재작성하거나, 필요 시 IT 부서와 공동 개발하여 보안 패치를 적용했다.

프로젝트 수행 중 발견된 주요 이슈는 다음과 같다. 첫째, 비즈니스 사용자는 기존 도구에 대한 높은 의존성을 보였으며, 통제 도입 시 업무 중단에 대한 우려가 컸다. 이를 완화하기 위해 단계적 전환과 파일럿 테스트를 실시했다. 둘째, 일부 EUC 애플리케이션은 설계 단계부터 문서화가 부족해 재현성이 낮았다. 이에 대한 해결책으로 표준 템플릿과 개발 가이드라인을 제공했다. 셋째, 통제 환경 구축 후에도 지속적인 모니터링과 정기적인 재평가가 필요함을 확인했다.

마지막으로, AIB는 프로젝트 결과를 토대로 향후 EUC 관리 모델을 지속 가능하게 만들기 위한 조직 구조 개편과 교육 프로그램을 도입한다. EUC 거버넌스 위원회를 설립해 정책 업데이트와 위험 평가를 주기적으로 수행하고, 전사 교육을 통해 사용자 인식을 제고한다. 이러한 접근은 EUC 위험을 최소화하면서도 비즈니스 민첩성을 유지하는 데 기여한다.