엔드유저 컴퓨팅 정책 도입과 위험 관리 사례 연구

초록

본 논문은 영국의 보험사인 웨슬리언 어슈어런스 소사이어티에서 엔드유저 컴퓨팅(EUC) 정책을 새롭게 도입한 과정을 사례 연구로 제시한다. 정책은 복잡성, 중요도, 통제 수준을 기준으로 위험 등급을 산출하는 자체 위험 평가 애플리케이션을 중심으로 설계되었으며, 위험 기반 접근법을 통해 고위험 영역을 우선적으로 식별·완화한다. 도입 과정에서 직면한 조직·기술·문화적 도전과 이를 극복한 구체적 방안을 상세히 기술한다.

상세 분석

이 연구는 엔드유저 컴퓨팅(EUC)이 기업 전반에 미치는 위험을 체계적으로 관리하기 위한 정책 설계와 실행 과정을 심층적으로 분석한다. 첫 번째 핵심은 위험 평가 모델이다. 저자들은 복잡성(Complexity), 중요도(Materiality), 통제(Control) 세 축을 정량화하여 위험 점수를 산출하고, 이를 ‘Low’, ‘Medium’, ‘High’ 등 위험 등급 밴드로 매핑한다. 복잡성은 애플리케이션의 기능적 범위와 연동 시스템 수, 데이터 흐름의 복잡성을 평가하고, 중요도는 재무적·규제적 영향을 기준으로 정의한다. 통제는 기존 IT 거버넌스와 보안 절차가 얼마나 적용되는지를 점검한다. 이러한 3요소 가중치를 조정함으로써 조직 특성에 맞는 맞춤형 위험 프로파일을 생성한다는 점이 혁신적이다.

두 번째는 정책 적용 메커니즘이다. 정책은 ‘위험 기반 우선순위(Risk‑Based Prioritisation)’ 원칙에 따라 고위험 EUC 애플리케이션부터 통제·감시 체계를 강화한다. 이를 위해 위험 평가 결과를 자동으로 대시보드에 시각화하고, 담당 부서에 알림을 전송하는 워크플로우를 구축했다. 또한, 위험 등급에 따라 ‘재설계’, ‘폐기’, ‘통제 강화’ 등 구체적인 조치 옵션을 사전 정의함으로써 의사결정 지연을 최소화한다.

세 번째는 조직 문화와 변화 관리이다. EUC는 일반 사용자에게 개발 권한을 부여함으로써 민첩성을 높이는 반면, 통제 부재가 위험을 초래한다는 인식이 부족했다. 저자들은 정책 도입 전후에 전사적인 교육 프로그램과 인식 제고 캠페인을 실시했으며, 특히 위험 평가 애플리케이션 사용법을 실습 중심으로 교육함으로써 사용자의 자발적 참여를 유도했다. 또한, ‘EUC 챔피언’ 역할을 부서별로 지정해 정책 시행을 현장 수준에서 지원하도록 했다.

마지막으로 기술적 구현 측면을 살펴보면, 위험 평가 애플리케이션은 웹 기반 인터페이스와 백엔드 데이터베이스로 구성돼 기존 IT 자산 관리 시스템과 연동된다. 입력된 애플리케이션 메타데이터를 기반으로 자동 점수 산출 로직을 적용하고, 결과는 API를 통해 다른 거버넌스 툴에 전달된다. 이때 데이터 보안과 접근 권한 관리를 철저히 하여 민감 정보가 외부에 노출되지 않도록 설계했다. 전체적으로 이 논문은 위험 기반 정책 설계, 자동화된 위험 평가, 조직 문화 변화 관리라는 세 축을 통합함으로써 EUC 위험을 효과적으로 감소시킨 사례를 제시한다.