Home > 전체기사
[주말판] IT 담당자들을 위한 ‘시민 개발자’ 육성법
  |  입력 : 2020-10-24 13:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
시민 개발자, IT 전공이 아니더라도 누구나 개발할 수 있게 하는 조직 문화
하지만 누구나 개발한다는 건 IT 담당자들에게 큰 혼란…관리와 계획 필요해


[보안뉴스 문가용 기자] ‘시민 개발자’라는 개념이 큰 인기를 얻고 있다. 가트너(Gartner)에 의하면 시민 개발자란 “기업이 제공하고 승인한 개발 및 런타임 환경을 사용해 업무용 애플리케이션을 직접 개발함으로써 다른 사람들에게도 도움을 주는 사용자”이다. 즉 개발자가 아닌 일반 임직원이 자신의 전문 영역을 살리는 애플리케이션을 개발하여 기업에 기여하는 행위가 각광받기 시작했다는 것이다. 작년 가트너는 조사를 통해 기업들의 41%가 이미 ‘시민 개발자’들을 조직 내에 두고 있다는 사실을 발표한 바 있다. 20%는 “육성 중에 있다”고 답했었다.

[이미지 = utoimage]


시민 개발자들은 정식으로 IT 교육을 받지 않았던 사람들이다. 따라서 시민 개발자를 기업의 전략으로써 가져가고자 한다면 조직 차원에서의 지원이 필수다. 교육적 지원과 기술적 지원 모두를 의미한다. 이걸 기업들이 잘 알고 있어서인지 현재 시장에 초보자들을 위한 ‘쉬운 코딩’ 툴들이 쏟아져 나오고 있다. 이런 것에 예산을 어느 정도 투자하는 것도 좋은 방법이다.

하지만 더 중요한 건 시민 개발자들이 만든 애플리케이션들이 실제 업무 환경 가운데 사용되도록 여건을 마련해주는 것이다. 이는 사실 조직 내 IT 담당자들이 맡아주어야 한다. 그저 보상 차원에서 조직 네트워크 내에 통합해주는 게 아니라, 규정과 표준, 정책을 준수할 수 있도록 가다듬는 과정을 거쳐야 한다. 그래야 가트너가 정의한 “기업이 제공하고 승인한 개발 및 런타임 환경”에 맞는 애플리케이션이 된다. 즉, ‘시민 개발자’를 지원하기 위해서는 전문 IT 인력이 필요하다는 것이다. 이번 주 주말판에서는 시민 개발자 육성에 도움이 될 만한 팁들을 제공하고자 한다.

1. 파트너링
‘누구나 애플리케이션을 개발한다’는 건 IT 개발자들에게 있어 그리 달갑지 않은 상황이다. 개발을 하면서 지켜야 할 표준과 규정 등이 있기 마련인데 코드 자체에 집중하기에 바쁜 초보들이 이를 잘 지키기는 힘들기 때문이다. 이러한 상황을 초장부터 다잡지 않으면 ‘은둔의 IT’, 즉 기업이 승인하지 않은 각종 코딩 도구 및 소프트웨어들이 네트워크 내에서 걷잡을 수 없이 증식하는 걸 지켜보게 된다. 컴플라이언스는 저만치 날아간다.

그래서 개발에 사용할 수 있는 도구를 정해서 제공해주는 게 중요하다. 물론 이것만으로는 불충분하다. 적극적인 파트너링이 있어야 한다. 개발 과정 중간중간 들여다보고, 조언을 해주고, 규정 준수나 보안의 측면에서 위험한 부분은 짚어서 알려줌으로써 교육도 시키고 위험의 싹을 시작부터 제거해야 한다. 이는 IT 담당자가 더 많은 일을 해야 한다는 의미가 되지만, 꼭 그렇지도 않다.

만약 ‘시민 개발자’와 IT 담당자의 관계가 ‘사제’처럼 된다면 IT 담당자의 업무 부담은 크게 증가한다. ‘시민 개발자’도 결국 IT 담당자에 대한 의존도가 높아지고 스스로 개발에 관한 공부를 하기보다는 IT 담당자가 내주는 숙제만 하게 된다. ‘시민 개발자’ 육성 프로젝트의 의미가 완전히 사라진다. 앱 개발 그 자체보다 서로 동등한 위치에서 아이디어를 공유하고 조합함으로써 새로운 뭔가를 합작해 탄생시키는 것이 중심인 관계가 되어야 한다.

2. 자산 관리
‘은둔의 IT’의 증식을 위에서 잠깐 언급했는데, 사실 이걸 완전히 막을 방법은 존재하지 않는다. 컴퓨터를 다룰 줄 아는 일반 사용자들이 편안하게 사용할 만한 애플리케이션들이 세상에 너무 많이 존재하기 때문이다. 어느 시점에는 분명히 상용 애플리케이션이 조직 내 네트워크에 등장하게 되어 있다. 이 때문에 시민 개발자를 육성하려는 조직은 ‘은둔의 IT’ 침투 방지와 더불어 디지털 자신 관리에도 집중해야 한다.

작은 조직이라면 주기적으로 네트워크 모니터링을 하는 것도 나쁘지 않다. 직접 직원들의 책상을 점검해 회사가 모르는 장비가 연결되어 있지는 않은지, 컴퓨터에 엉뚱한 소프트웨어가 설치되어 있지는 않은지 살피는 것도 좋은 방법이다. 하지만 IT 자산 관리 솔루션을 구매하고 구축해 새로 연결된 장비나 소프트웨어를 자동으로 탐지하는 게 가장 안전하고 효과적이다. 시민 개발자들의 실수를 가장 빨리 알아내고 도와줄 수 있는 방법이기도 하다.

3. 소통과 협업
사람은, 더군다나 바쁜 현대인이라면, 당장 눈앞으로 다가오는 마감과 실적에 신경이 집중될 수밖에 없다. 하지만 IT 담당자로서 최종 사용자들의 목소리를 꾸준하게 찾아 듣는 건 마감을 잘 지키는 것만큼이나 중요한 일이다. 그리고 대부분의 고급 IT 인력들은 사용자들의 목소리를 즐겨 듣는다. 그래야 다음 프로젝트의 방향이 올바르게 설정된다는 걸 잘 알기 때문이다.

시민 개발자 육성이라는 과업이 주어졌다면, ‘최종 사용자의 목소리 듣기’의 기회로써 활용하는 것이 현명하다. 개발에 참여하고 있다고는 하지만, 그래도 일반 사용자 혹은 최종 사용자에 더 가까운 사람들이 그들이기 때문이다. 또한 적극적인 ‘파트너링’을 통해 편안한 관계에 있기 때문에 보다 솔직한 이야기를 해줄 가능성이 높다. 개발의 과정을 이해시키면서, 반대로 사용자의 입장을 보다 잘 이해할 수 있는 기회로 삼으라.

4. 중앙화 된 데이터 관리
251~500명 규모의 중소기업이라면 평균 123개의 애플리케이션들을 사용한다고 한다. 1000명이 넘어가는 규모의 조직이라면 평균 203개의 애플리케이션이 활용된다. 이 애플리케이션 대부분 사용자들이 각자의 필요 때문에 들여오는 것이며, 따라서 독립적으로 운영된다. 그 안에서 생성되는 데이터들도 역시나 독립적으로 보관된다. 때문에 이렇게 많은 앱과 시스템들이 있지만 이른바 ‘시너지’ 효과를 내기가 힘들다. ‘시민 개발자’가 앱 개발을 위해 데이터를 분석하려고 해도 실제 접근할 수 있는 데이터가 무척이나 한정적일 수밖에 없다.

‘시민 개발자’를 육성하고 운영하려는 목적이 무엇인가? 사업 운영에 조금이라도 더 도움이 되기 위해서다. 그런데 이 ‘시민 개발자’들이 적은 데이터를 기반으로 해 프로젝트 방향을 잘못 잡고 오류가 심한 결과물을 내놓는다면 도움은커녕 큰 방해 혹은 위협이 될 수 있다. 조직은 이렇게 각 책상마다 흩어져 있는 데이터들을 전부 끌어모으고 관리함으로써 현재 조직 내에서의 상황을 최대한 ‘투명’하고 ‘사실적’으로 간파하고 있어야 한다. 그리고 그 단 하나의 사실만이 사업 운영에 적용될 수 있도록 해야 한다.

그렇다고 모든 데이터를 한 하드드라이브에 다 저장해두라는 게 아니다. 이는 보안의 큰 저해 요소가 될 뿐이다. IT 담당자들은 시민 개발자들이 최대한 올바르게 각자의 일을 진행할 수 있도록 최대한 많은 데이터를 편리하게 제공할 방법을 모색해야 한다. 그래야 ‘시민 개발자’를 두는 의미가 생긴다.

5. 상태 보고서 및 애플리케이션 활용 현황 확인
계절마다 청소를 하듯, 사용자 보고서를 주기적으로 청소하는 조직이 많을 것이다. 접수된 모든 보고서를 다시 한 번 들여다보고 유용한 것들을 간추리고 더 이상 참조하지 않는 것들을 버린다. 이 과정을 생략하면 쌓여가는 보고서를 감당할 수 없게 된다.

시민 개발자들이 만든 애플리케이션과 관련 보고서들 역시 주기적인 정리를 필요로 한다. 정제되어 쌓이는 데이터의 힘을 무시해서는 안 된다. 그것이 아무리 아마추어들에게서 나온 것이라 해도 말이다. 또한 이런 개발자의 ‘정리 습관’을 시민 개발자들도 보고 배워야 한다. 초보 개발자들의 가장 안 좋은 습관 중 하나가 데이터 및 디지털 자산을 규칙 없이 저장해두기만 하는 것이다. 그리고 언젠가 그 산적한 데이터 속에서 갈 길을 잃는다.

6. 보안과 제로트러스트 기반 네트워크
일반화시키려는 의도는 아니지만 아직도 제조업이나 창고 관리 분야에 종사하는 직원들은 자신들의 ID와 비밀번호를 발설하고 주고받는 것에 큰 거부감이 없는 편이다. 교대를 하면서 서버실을 꼼꼼히 잠그는 경우도 의외로 보기 힘들다. 그냥 다음 근무자에게 ‘서버실 열려 있다’고 말해줄 뿐이다. IT와 보안을 잘 모르기 때문이다. 그들은 제조와 창고 관리에 전문성을 가지고 있으니, 당연하다.

그렇기 때문에 오히려 제로트러스트 개념을 도입하는 게 가장 무난하고 안전하다. 특정 부서나 사람, 장비나 애플리케이션을 못 믿는 게 아니라 전부를 못 믿겠다는 개념이니 가르치기도 쉽고 받아들이는 데에 거부감도 적다. 시민 개발자들에게 보안 개념을 가르칠 때 역시 이 제로트러스트가 도움이 된다. 다만 IT 담당자들은 이 제로트러스트 개념이 잘 실천되고 있는지 원격에서 모니터링 할 수 있어야 한다. 즉 교육과 모니터링을 동시에 이루는 게 IT의 몫이라는 것이다.

7. 훈련
IT 부서가 외딴 사무실에서 고고하게 자리를 지키며 조직 내 모든 IT 관련 업무를 관장하고 규범과 정책까지 결정하던 시대는 오래 전에 지나갔다. 오히려 지금은 IT 자산들을 제어하고 관리하는 ‘보모스러운’ 역할이 주어지고 있다.

‘보모스러운’ 역할에는 ‘교육과 훈련’도 포함이 된다. 아이가 길을 안전하게 건너는 법을 몰라 사고 직전의 상황이 하루에 열 번씩 닥치고, 그럴 때마다 몸을 던지는 게 보모의 역할이라고 한다면, 누가 아이를 돌볼까. 안전하게 길 건너는 법을 알려주고, 직접 해보게 하고, 몸에 배이게 해야 한다. 막 개발을 시작한 시민 개발자들에게도 이런 식으로 접근해야 한다.

위에서 ‘사제지간이 아니다’라고 강조했다. 그건 ‘과제를 주고 점검하는 관계를 형성하지 말라’는 것이지, 이제 막 개발에 입문한 사람들의 뒷바라지까지 하지 말라는 뜻은 아니다. 이제와 프로그래밍 전공을 다시 할 수도 없는 사람들에게 있어 버팀목은 IT 담당자들 뿐이다. 최소한 읽으면 좋은 책을 이따금씩 추천해 준다거나, 질문에 충실히 답해주는 것 정도는 하다.

8. 벤더사 관리
또 하나 IT 전문가들과 비전문가들을 가르는 중요한 지점은 ‘벤더사 관리’ 부분이다. 사용자들은 벤더사가 만든 제품을 결제해서 설치하고 활용할 줄은 아는데, 그 벤더사 자체와도 관계를 맺을 수 있다는 것을 잘 모른다. 벤더사도 사람으로 구성된 회사다. 그들의 제품이 어느 순간 회사와 산업 혹은 국가적 정책이나 표준을 위반할 수 있다. 지원이 약속했던 것보다 부실해질 수도 있다. 그럴 때 취할 수 있는 여러 가지 방법을 알고 있는 건 현장 경험이 풍부한 IT 담당자들이다.

물론 ‘과장님, 이게 갑자기 잘 안 되네요’라고 묻는 직원에게 ‘네가 알아서 설치한 프로그램이니까, 네가 알아서 해결해’라고 말하고 싶은 유혹이 강력하게 치밀어 오를 것이다. 하지만 몇 번 정도는 그런 프로그램 개발자 혹은 개발사들과 어떤 식으로 문제를 해결해 가야 하는지를 보여주는 것이 장기적으로는 큰 도움이 된다.

글 : 매리 셰클렛(Mary Shacklett), Transworld Data
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 한해 동안 가장 큰 관심을 갖고 있는 보안 분야는 무엇인가요?
인공지능(AI) 보안
비대면(언택트) 보안
데이터3법/개인정보보호
빅데이터 보안
클라우드 보안
자율주행차 보안
사물인터넷 보안
스마트시티 보안
기타(댓글로)