지난 10월 대영도서관의 Windows 컴퓨터를 대상으로 한 Rhysida 랜섬웨어 공격은 대중의 기억에 남을 만한 물리적 측면은 없었지만, 기업 IT를 담당하는 사람이라면 누구나 기억해야 할 사건입니다. 5개월이 지난 지금도 중요한 시스템은 복구되지 않았을 뿐만 아니라 영원히 사라졌습니다. 복구 작업과 재구축으로 인해 7년 동안 사용할 수 있는 현금 보유고가 고갈될 것입니다. 상황이 좋지 않았고 지금도 좋지 않습니다. 더욱 예외적인 것은 이제 우리는 무슨 일이 왜 일어났는지 알 수 있다는 것입니다.

대영도서관이 직접 발간한 방대하고 상세한 보고서에는 이 모든 내용이 담겨 있습니다. 새벽 2시에 데이터 센터로 달려 오라는 전화가 걸려올 위험이 있다면, 특히 10분 후에 CEO가 Teams 회의를 소집하는 상황이라면 더욱더 꼭 읽어야 할 보고서입니다. 사실, 보고서가 무엇을 나타내는지 알고 나면 읽는 것 이상의 가치가 있습니다. 이에 도달하기 위해 기관이 실제로 무엇을 나타내는지 살펴봅시다.

실패의 대헌장

대영도서관에는 다양한 성격을 가지고 있습니다. 독특하고 복잡한 역할이 있으며, 법에 의해 고유하게 규제됩니다. 다른 측면에서 보면, IT 인프라가 오랫동안 구축된 핵심 서비스와 리소스를 놓고 경쟁하며 종종 실패한다는 점에서 국가 및 기타 대규모 기관의 전형적인 모습입니다. 다른 측면에서 보면 모든 조직이 어느 정도는 마찬가지입니다. 대영도서관의 상황은 어떤 일이 잘못될 수 있는지를 보여주는 훌륭한 사례일 뿐입니다. 이 모든 관점이 사실이지만 마지막 관점이 가장 시사하는 바가 큽니다.

이 게임에서 몇 년이라도 플레이한 경험이 있다면 보고서에서 재난을 유발하는 것으로 확인된 몇 가지 요인을 직접 경험해 보셨을 것입니다. 너무 오래되어 안전하지 않은 레거시 시스템, 교체하기에는 시간과 비용이 너무 많이 드는 반면 더 시급한 요구사항이 존재하는 경우. 너무 적은 인력으로 너무 많은 일을 해야 하는 사람들. 복잡성의 치명적인 관성. 새로운 프로젝트로 인해 오래된 시스템은 그늘에서 시들어갑니다. 잘못된 것을 엄격하게 방어하는 보안. 이 보고서는 기관 자체에 걸맞게 중요한 이야기를 종합적으로 담고 있습니다.

업계에서 이러한 문서가 있다는 것은 매우 행운입니다. 재난 후 더러운 세탁물을 감춰야 한다는 평판과 상업적 압력으로 인해 일반적으로, 그리고 종종 피해를 입은 조직 자체 내에서 교훈을 얻지 못합니다. 조직이 클수록 세탁은 더 어려워집니다.

여기서는 아닙니다. 칭찬할 만한 솔직함이라고 부르든, 공공 서비스 제공업체의 적절한 대응이라고 부르든 상관없습니다. 전 세계 엔터프라이즈 IT 인프라 업계는 자체적인 관행을 있는 그대로 감사하고 그 결과를 실제로 확인할 수 있는 기회를 얻었습니다. 내부 보고서를 작성하고 모든 수준에서 사례를 만들어 지혜와 인식을 바탕으로 계획, 재구축, 관리 및 우선순위를 정할 수 있습니다.

가능성이 희박합니다. 우리가 기대할 수 있는 최선은 판매할 것이 있는 사람들이 이 보고서를 끝없는 웨비나, 사례 연구 및 백서로 재구성하는 것입니다. 업계 컨퍼런스, 교과서, 유튜브 동영상에서 괜찮은 강연이 있을 수 있지만, 조직의 인프라 책임에 대한 궁극적인 권력 브로커인 최고위 정책 결정권자에게는 그 어떤 것도 보이지 않을 것입니다.

이것은 거의 범죄에 가까운 관리 부실 사건이어야 합니다. 만약 항공 사고 조사 보고서에서 대영도서관 보고서의 범위와 조직적인 잘못이 드러난다면 항공 업계는 리벳이 터질 정도로 크게 흔들릴 것입니다. 미국 연방항공청이나 캐나다 연방항공청처럼 강력한 외부 규제 기관이 없고 자율 규제에 대한 취향이 없는 항공업계에는 개혁을 위한 엔진도, 책임에 대한 로드맵도 없습니다.

그게 중요하지 않은 것도 아닙니다. 대영도서관이 경험한 것처럼 시스템 무결성의 중대한 실패로 인해 사망하는 사람은 아무도 없습니다. 그러나 병원, 안전에 중요한 서비스 및 물리적 인프라도 정기적으로 공격을 받고 있으며, 잘못된 업계 표준과 같은 잘못된 관행을 공유하고 있습니다. 이러한 경우 지연 또는 전용된 리소스로 인한 피해는 계량화할 수 없을 정도로 크지만, 고장 나지 않는 것, 우리가 고장 나도록 방치한 것에 의존한 피해자는 항상 존재합니다.

조직이 IT를 바라보는 방식에 있어 지속 가능한 정신이 없다면 대영도서관 보고서는 전복을 통해 여전히 유용할 수 있습니다. 내부 보고서에 포함된 증거와 주변에서 벌어지고 있는 일 사이에 평행선을 그리며 내부 보고서를 작성하세요. 요점을 간결하게 정리하고, 짧게 작성하여 인쇄하고, 구식 노란색 펜으로 좋은 부분을 강조하고, 익명의 사본을 곳곳에 남겨두세요. CEO의 사무실 문 아래에 하나씩 붙여두세요. 기업 문화에 걸맞게 창의적으로 장난을 치거나 그렇지 않을 수도 있습니다. 좋은 스토리의 힘을 활용할 수 있는 기회를 놓치지 마세요.

알렉산드리아 도서관은 줄리어스 시저에 의해 불에 탔을 수도 있고 아닐 수도 있지만, 고의가 아니었을 수도 있고 재건되었을 수도 있습니다. 실제로는 정치와 자원 부족으로 인한 느린 목 졸림이 원인이었습니다. 시대를 초월한 진정한 공포가 바로 여기에 있습니다.