CIO는 항상 기술 부채가 초래하는 리스크, 비용, 복잡성과 씨름한다. 레거시 시스템의 영향은 수치로 드러나지만, 기술 부채는 IT 생태계 전반에 더 은밀하게 스며들어 있는 경우가 많아 모든 문제와 리스크를 완전히 파악하기 어렵다.
포레스터에 따르면 IT 리더 30%는 심각하거나 치명적인 수준의 부채에 대응 중이며, 49%는 중간 수준의 부채에 직면해 있다. 중간 혹은 낮은 리스크라고 해도, 비즈니스 요구가 바뀌는 순간 기술 부채의 영향력은 순식간에 커질 수 있다. 핵심 애플리케이션에서 발생하는 작은 문제도, 디지털 전환 프로젝트에 맞춰 해당 앱을 현대화해야 할 때는 큰 걸림돌로 바뀐다.
액센추어는 기술 부채의 주요 원인으로 엔터프라이즈 애플리케이션, AI, 엔터프라이즈 아키텍처를 꼽았다. 물론 이 세 가지도 주요 요인이지만, 데이터, 보안, 조직 문화, 과거의 편의적 결정이 지금의 리스크로 이어지는 지점 역시 주목할 필요가 있다. 무엇보다, 기회가 있을 때 해결 가능한 부채와 비즈니스를 위협할 수 있는 핵심 부채를 어떻게 구분할 수 있을지도 중요하다.
조직의 디지털 전환을 방해할 수 있는 명확하지 않은 요인까지 고려하려면, CIO는 다음의 7가지 기술 부채 유형과 그 심각성을 파악하고 적절한 대응 전략을 마련해야 한다.
1. 의사결정을 방해하는데이터 부채
필자는 ‘디지털 트레일블레이저(Digital Trailblazer)’라는 책에서 어느 비상장 기업이 흑자를 기록했다고 이사회에 보고했다가, 휴가 후 돌아와 보니 데이터 품질 문제와 계산 오류로 실제는 적자였다는 사례를 소개했다.
조직 문화를 데이터 중심으로 바꾸고, 시민 데이터 과학을 도입하려는 CIO일수록 데이터 부채의 영향을 크게 받는다. 날짜, 금액, 임계값 등을 잘못 해석하거나 계산하면 잘못된 의사결정으로 이어질 수 있기 때문이다. 대표적인 데이터 부채에는 다크 데이터, 중복 레코드, 마스터 데이터와 통합되지 않은 정보 등이 있다.
대규모 언어 모델(LLM), 생성형AI 모델, AI 에이전트에 기업 데이터를 활용할 경우, 리스크는 더 커진다. 데이터 편향, 분류 오류, 권한 정책이 미흡한 데이터 소스는 잘못된 의사결정, 규제 위반, 고객 피해로 이어질 수 있다. 이 때문에 데이터 부채가 많은 조직은 생성형AI를 도입하는 과정에서 더 큰 위험과 복잡성을 마주하게 된다.
- CIO가 해야 할 일: 애자일 데이터 팀 내 데이터 거버넌스와 분석 책임을 분명히 하고, 데이터 관측 도구와 품질 지표를 도입해 데이터 부채를 예방하고 줄여야 한다.
2. 성능을 저해하는 데이터 관리 부채
데이터 관리 부채는 한순간에 발생할 수도 있고, 시간이 지나며 누적되거나 자동화 부족, 장애 대응으로 인해 발생할 수도 있다. 좀 더 자세히 이야기하자면 다음과 같다.
- 갑작스러운 전환: 대형 데이터베이스를 클라우드로 ‘리프트 앤 시프트’했지만 아키텍처 최적화를 하지 않은 경우, 장기적으로 관리 부채가 심화된다.
- 누적: 데이터베이스의 크기, 복잡성, 사용량이 커지면 아키텍처와 모델을 재설계해야 할 필요성이 점점 커진다.
- 자동화 부족: 데이터베이스 관리자가 수동으로 백업, 권한 설정, 데이터 동기화, 인프라 프로비저닝을 수행해야 하는 상황은 비효율을 키운다.
- 장애 대응: 일상적인 문제 해결, 주요 사고 대응, 근본 원인 분석 등에 매달리다 보면, 선제적인 업무는 뒷전으로 밀린다.
영국 데브옵스 솔루션 기업 레드게이트(Redgate)의 최고기술책임자(CTO) 그레이엄 맥밀런은 “데이터베이스 도구에 소폭만 투자하고 일부 데이터 관리 부채를 줄이더라도, 관리자가 수동 업데이트나 문제 감시에 쏟는 시간을 줄일 수 있다”라며 “그렇게 확보된 시간은 데이터 보안 강화나 고객을 위한 혁신적인 솔루션 개발에 쓸 수 있다”라고 말했다.
- CIO가 해야 할 일: 수동 작업과 장애 대응에 얼마나 많은 시간이 투입되고 있는지 측정해 데이터 관리 부채 수준을 파악해야 한다. 이후 작업 자동화, 데이터베이스 서비스(DBaaS)로의 전환, 오래된 데이터셋 아카이빙 등을 통해 부채를 줄일 수 있다.
3. 데브옵스를 가로막는 오픈소스 의존 부채
소프트웨어 개발자 입장에서는 직접 코드를 작성하는 것이 남이 쓴 코드를 이해하고 활용하는 것보다 훨씬 수월하게 느껴진다. 특히 마감에 쫓기고 배포 주기가 짧은 상황에서 오픈소스 라이브러리나 컴포넌트를 검색하고 통합하는 일은 부담 없이 쉽게 느껴진다. 하지만 장기적인 유지보수를 고려하지 않으면 기술 부채는 쌓이기 마련이다.
소프트웨어 공급망 솔루션 기업 소나타입(Sonatype)의 CPDO 미첼 존슨은 “많은 팀이 오픈소스 의존성 관리를 소홀히 해, 오래되거나 중복되거나 더 이상 지원되지 않는 컴포넌트를 방치한다”라며 “평균 애플리케이션에는 약 180개의 컴포넌트가 포함돼 있으며, 이를 업데이트하지 않으면 보안 취약점, 코드 비대화, 기술 부채 증가로 이어진다. 미션 크리티컬 시스템을 10년 된 하드웨어로 운영하지 않듯, 현대적인 SDLC와 데브옵스 환경에서도 소프트웨어 의존성은 최신 상태로 유지하고 효율적으로 관리해야 한다”라고 설명했다.
블랙덕이 공개한 ‘2025 오픈소스 보안 및 리스크 분석 보고서’에 따르면, 분석된 코드베이스 중 81%에서 심각하거나 치명적인 보안 취약점이 발견됐고, 90%는 최신 버전보다 10개 이상 구버전 컴포넌트를 사용 중이었다. CIO는 다음과 같은 징후가 나타날 때 오픈소스 의존 부채가 데브옵스 생산성을 떨어뜨리고 있다고 판단해야 한다. 예를 들어, 코드 업데이트로 인한 잦은 중단, 보안 경고 증가, 의존성 충돌 해결에 소요되는 시간 등이 있다.
- CIO가 해야 할 일: 데브옵스 팀에 오픈소스 보안 리스크에 대해 교육하고, 오픈소스 패키지 평가 및 승인 절차에 대한 거버넌스를 수립해야 한다. 또한 정적 애플리케이션 보안 테스트(SAST) 도구를 활용해 코드 취약점을 조기에 발견하는 것도 중요하다.
4. 대대적인 재작업을 요구하는 AI 부채
생성형AI 도구와 기능이 확산되면서 기술 부채의 새로운 유형이 등장하고 있다. CIO가 AI 거버넌스를 갖추고 있다 해도, 빠르게 바뀌는 생성형AI 모델, 규제 환경, 에이전트형 AI 역량은 새로운 AI 부채를 만들어낸다.
클라우드 기업 페이지듀티의 최고정보책임자(CIO) 에릭 존슨은 “AI 시스템의 기술 부채는 전통적인 아키텍처 부채와 다르게 나타난다”라며 “단순히 코드 유지관리 문제가 아니라 데이터와 모델 거버넌스 전반을 포함한 생애주기 관리가 핵심”이라고 설명했다. 이어 그는 “요즘 많은 기업이 자체 AI 솔루션을 빠르게 구축하려는 가운데, 과거 아키텍처보다 훨씬 복잡하고 비용이 큰 기술 부채를 양산할 위험이 있다”라며 “AI를 도입하기에 앞서 데이터 거버넌스와 인프라 기반을 먼저 제대로 구축하는 것이 중요하다”라고 말했다.
AI 부채는 지속적인 유지관리 이슈로 나타나기도 하지만, 모델 성능이 조금씩 저하되는 ‘모델 드리프트’처럼 점진적으로 쌓이는 경우도 있다. 그러나 일부 AI 부채는 단순한 유지보수로는 해결되지 않으며, 아예 기존 기능을 폐기하고 새로운 모델로 전환해야 할 수도 있다. 예컨대 성능이나 정확도, 비용 측면에서 현저히 개선된 새 모델이 등장한 경우, 기존 모델은 낡은 자산으로 전락할 수 있다. 또 규제로 인해 전체 모델을 재학습해야 하는 상황이 발생할 경우, 기존 방식을 포기하고 완전히 다른 대안을 찾아야 할 수도 있다.
- CIO가 해야 할 일: AI 기반의 대규모 워크플로우를 유연하게 전환하려면 회귀 테스트 및 변경관리 프로세스에 대한 투자로 리스크를 줄여야 한다.
5. 레거시 시스템으로 퇴화하는 아키텍처 부채
일부 애플리케이션 아키텍처 부채는 현대화, 새로운 플랫폼으로의 이전, 생성형AI를 활용한 레거시 코드 문서화 등을 통해 해결할 수 있다. 하지만 보다 근본적인 아키텍처 부채의 주요 원인은 다음과 같다.
- ERP 및 기타 엔터프라이즈 시스템 내 과도한 코드 커스터마이징
- 데이터 패브릭이나 통합 플랫폼 없이 시스템 간 포인트 투 포인트 방식의 통합
- 보안, 테스트, 버전관리, 관측 기준 없이 배포된 마이크로서비스 및 API
- 초기 이점에 초점을 맞춰 구성된 멀티클라우드 아키텍처로 인해 지속적인 비용·시간·전문성 부담이 발생하는 상황
아키텍처가 복잡하게 얽혀 있는 CIO는 먼저 아키텍처 단순화를 검토하고, 아키텍처 관측 체계를 수립하는 것이 필요하다. 이를 위해 애플리케이션 수준의 모니터링, 코드 품질, 총비용, 데브옵스 사이클, 장애 지표 등을 통합해 아키텍처와 플랫폼 성능을 측정하는 지표 체계를 마련해야 한다. 이는 아키텍처가 비즈니스 운영에 미치는 영향을 평가하는 유용한 도구가 될 수 있다.
소프트웨어 현대화 자동화 플랫폼 기업 브이펑션(vFunction)의 공동 설립자이자 CTO 아미르 랩슨은 “아키텍처 관측과 거버넌스가 없는 상태에서 AI 기반 개발을 진행하면 마이크로서비스가 무분별하게 늘어나고, 아키텍처가 일관성을 잃으며, 숨겨진 종속성이 발생해 결국 심각한 기술 부채로 이어진다”라고 설명했다. 그는 “이런 부채는 성능과 확장성에 가장 큰 악영향을 주는 유형”이라며 “엔지니어링 팀은 새로운 기능 개발보다는 뒤엉킨 서비스 간 상호작용 해결에 허덕이게 된다. 생성형AI는 강력한 도구지만, 장기적인 혁신을 이루기 위해서는 아키텍처 관측 체계가 반드시 필요하다”라고 말했다.
- CIO가 해야 할 일: 기술 발전은 필연적으로 아키텍처 부채를 만들며, 이를 방치하면 감당하기 어려운 레거시 시스템으로 전락할 수 있다. 이에 대한 대응으로는 첫째, 코드에 내장되는 복잡한 비즈니스 규칙을 피하기 위해 커스터마이징 범위와 방식을 명확히 통제해야 한다. 둘째, 아키텍처 검토위원회의 역할을 재정립하고, 애자일 개발팀과 아키텍트의 의사결정 범위를 명확히 나눈 뒤, 실무에 바로 쓸 수 있는 현실적인 기준을 세워야 한다.
6. AI 구현에 있어 설명할 수 없는 보안 부채
보안 부채는 실행 가능한 정책 부재, 최종 사용자 교육 부족, 데브옵스 과정에서 보안을 사전 반영하지 않는 관행 등 다양한 형태로 나타난다. CISO는 이러한 보안 격차를 메우기 위해 끊임없이 대응에 나서야 한다.
그러나 AI 모델에서는 이런 대응이 쉽지 않다. 기업이 비공개 정보를 AI 학습에 사용하는 것을 막기 위한 조치를 취할 수는 있지만, 모델에 어떤 민감 정보가 포함돼 있는지, 그것을 삭제할 수 있는지조차 명확하지 않은 경우가 많다.
네덜란드 IT 서비스 업체 지비아(Xebia) 데이터 부문 전무 지오반니 란차니는 “생성형AI 모델은 모델 자체의 취약성, 데이터 유출, 적대적 공격 등 새로운 보안 리스크를 초래할 수 있다”라며 “이러한 위협에 적절히 대응하지 않으면 보안 부채가 점점 쌓인다”라고 지적했다.
란차니는 한 은행의 고객 대응용 챗봇 사례를 예로 들었다. 해당 챗봇에는 생성형AI 프레임워크가 적용됐으며, 금융 조언을 피하거나 은행에 대한 부정적 발언을 막기 위한 프롬프트 보안 장치가 포함돼 있다. 또 모든 개인정보를 익명 처리해 클라우드 상에서 작동하는 챗봇이 민감한 정보를 학습하지 않도록 설계돼 있다.
- CIO가 해야 할 일: 기존 데브섹옵스 보안 관행은 CI/CD 자동화보다 느리게 따라가고 있으며, 시민 데이터 과학 도입 과정에서 데이터 거버넌스가 뒷전으로 밀린 경우가 많다. AI 거버넌스 역시 뒤처질 경우, 기업 및 고객 대상 AI 시스템에서 심각한 리스크로 이어질 수 있다.
7. 비즈니스 혼란을 가속하는 문화적 부채
디지털 전환에서 가장 어려운 부분은 초기 사용자 확보, 변화관리 추진, 그리고 저항 세력의 반발 대응이다. 생성형AI는 여기에 더해 조직 문화 부채까지 더하고 있다. 특히 조직의 핵심 지식을 가진 전문가가 퇴직하면서 AI 도구를 활용할 수 있는 직원에게 업무가 제대로 인계되지 않는 상황이 생기고 있다.
미국의 개발 및 배포 관리 플랫폼 업체 런치다클리(LaunchDarkly) 필드 CTO 조 번은 “조직 문화 부채는 여러 문제를 일으킨다”라며 “특히 AI와 관련해서는 잘못된 개발 관행, 새로운 기술에 대한 저항, 베테랑의 노하우가 제대로 전해지지 않는 정보 단절, 그리고 현대적인 업무 방식 도입 실패 등이 AI를 효과적으로 활용하는 데 큰 장애물이 된다”라고 밝혔다.
- CIO가 해야 할 일: AI를 단순히 생산성 향상 수단이 아니라, 조직의 변화를 이끄는 도구로 활용하려면 직원이 AI에 대해 불안해하지 않도록 해야 한다. 단순히 자동화가 아니라, AI를 통해 자신의 역량을 확장할 수 있다는 점을 이해하도록 이끄는 것이 중요하다.
CIO는 AI 및 기타 최신 기술을 빠르게 도입해야 한다는 압박을 받고 있다. 그러나 기술 부채를 과도하게 남긴 채 진행하는 전환은, 궁극적으로 조직의 혁신과 성장을 가로막는 장애물로 작용할 수 있다.
[email protected]
Read More from This Article: 칼럼 | AI 시대, 진화하는 기술 부채··· CIO가 관리해야 할 주요 영역 7가지
Source: News