미 국방부(DoD)가 2025 회계연도까지 총 109억 달러를 투입할 계획인 주요 IT 비즈니스 프로그램에 대해, 성과를 적절히 추적하고 보안을 확보하는 데 어려움을 겪고 있다는 정부 감사 결과가 나왔다.
GAO가 올해로 여섯 번째 실시한 국방부 IT 비즈니스 프로그램 연례 검토에서는, 의료·인사·재무 관리·물류·조달 등 핵심 기능을 담당하는 24개 주요 IT 투자 사업 전반에 걸쳐 성과 보고 및 사이버보안 계획에 심각한 공백이 있다는 사실이 드러났다.
감사 결과에 따르면 현재 운영 중인 19개 IT 프로그램 가운데 5개가 주요 항목 전반에 걸쳐 최소한의 필수 성과 지표조차 설정하지 않은 것으로 나타났다. 따라서 국방부 관계자들이 해당 시스템이 고객 만족도를 높이고 있는지, 재무적 성과를 내고 있는지, 혁신을 이끌고 있는지를 평가할 수 없는 상황이다. 전체 항목 중 1개 프로그램만이 모든 성과 목표를 달성했고, 17개는 일부 목표를 충족했으며, 1개는 단 하나의 목표도 달성하지 못한 것으로 알려졌다.
보고서는 “이들 5개 프로그램이 고객 만족도 향상, 재무 성과 제고, 혁신 제공에 얼마나 기여했는지 알 수 없다”라고 지적했다.
사이버보안 준비, 시한 못 맞춰
이번 평가는 디지털 위협이 고조되는 상황에서 미 국방부의 사이버보안 체계에 심각한 취약점이 있음을 드러냈다. 특히 2개 프로그램은 승인된 사이버보안 전략이 전혀 없었고, 4개 프로그램은 국방부가 설정한 2027년 시한에도 불구하고 ‘제로 트러스트’ 아키텍처 구현 계획을 아직 수립하지 않은 상태였다.
‘제로 트러스트(zero trust)’는 어떤 사용자나 기기도 자동으로 신뢰하지 않는 보안 모델로, 현재 연방 정부 사이버보안 전략의 핵심 요소로 자리 잡았다. 지난 바이든 행정부는 갈수록 정교해지는 사이버 공격에 대응하기 위해 연방 기관 전체에 제로 트러스트 원칙을 채택할 것을 의무화했다.
보고서는 “GAO는 국방부의 제로 트러스트 대응 계획 수립 상황을 계속 주시할 것”이라며, 해당 보안 취약점 해결의 시급성을 강조했다.
지속되는 예산 초과와 일정 지연
미 국방부 전체 IT 포트폴리오에서 재무 관리 문제도 여전히 심각했다. 24개 프로그램 중 14개는 2023년 1월 이후 예산 초과나 일정 지연, 혹은 둘 다 발생했다고 보고했다. 초과 비용은 610만 달러에서 8억 1,550만 달러까지 다양했으며, 프로그램당 평균 초과 비용은 1억 7,350만 달러였다.
보고서는 “이 중 12개 프로그램이 610만~8억 1,550만 달러의 예산 초과를, 7개 프로그램은 3개월에서 최대 48개월에 이르는 일정 지연을 보고했다”라고 밝혔다.
일정 지연 역시 심각한 수준으로, 최소 3개월에서 최대 4년까지 늘어났으며 지연 기간의 평균은 15개월에 달했다. 이는 노후화된 국방 시스템을 현대화하면서 동시에 작전 준비태세를 유지해야 하는 과제를 더욱 복잡하게 하고 있다.
특히 전체 포트폴리오에서 가장 규모가 큰 4개 프로그램이 총 계획 지출의 43%를 차지하고 있어, 재정적 리스크가 소수의 핵심 시스템에 집중되는 구조인 것으로 나타났다.
소프트웨어 개발 방식, 효과는 엇갈려
11개 프로그램이 애자일(Agile) 및 반복 개발(iterative development) 등 권장 소프트웨어 개발 방식을 채택했다고 보고했지만, 그 중 3개는 고객 만족도와 개발 진척 상황을 추적하는 핵심 지표나 관리 도구를 도입하지 않았다. 이는 현대적 소프트웨어 개발 방식의 이점을 약화시키고, 프로젝트 상태에 대한 가시성도 떨어뜨리는 요인으로 작용하고 있다.
GAO는 앞서 국방부에 유사한 문제 해결을 권고한 바 있다. 이는 국방부의 방대한 IT 조직 전반에서 업계 모범 사례를 채택하는 데 지속적인 어려움이 있음을 시사한다.
국방부 관계자들은 GAO의 새로운 권고, 즉 IT 비즈니스 프로그램이 성과 지표를 적절히 정의하고 보고할 수 있도록 보장하라는 내용에 동의했다. 국방부는 해당 권고를 해결하기 위해 현재 진행 중인 조치들을 설명했지만, 구체적인 일정이나 실행 세부 내용은 공개하지 않았다.
보고서는 “국방부는 GAO 권고에 동의했으며, 이를 해결하기 위한 조치들을 진행하고 있다고 밝혔다”라고 전했다.
또한 국방부는 비즈니스 시스템 투자 지침 개정, 엔터프라이즈 아키텍처 현대화, AI 도입 가이드라인 마련 등 IT 투자 관리 전반을 개선하기 위한 광범위한 노력을 계속하고 있다. GAO는 보고서에서 “법 및 정책 변화에 따라 IT 투자 관리를 개선하려는 노력이 이어지고 있다”라고 밝혔다.
기업이 주목할 시사점
이번 평가는 복잡한 IT 포트폴리오를 관리하는 데 있어 대규모 조직들이 직면하는 공통된 과제를 여실히 보여준다. 국방부가 겪는 성과 측정, 사이버보안 계획, 비용 통제 문제는 업계 전반의 CIO들이 마주하고 있는 현실이기도 하다.
보고서는 포괄적인 성과 지표 수립, 엄격한 사이버보안 운영, 효과적인 프로젝트 관리 체계의 구축이 얼마나 중요한지를 강조했다. 기업 리더들에게 국방부 사례는 대규모 IT 전환에서 거버넌스 부족이 초래할 수 있는 리스크를 보여주는 경고가 될 수 있다.
국방부가 직면한 과제는 많은 조직들이 혁신과 운영 안정성 사이의 균형을 맞추는 데 어려움을 겪고 있는 산업 전반의 흐름을 반영한다. GAO 보고서는 부실한 성과 측정이 핵심 비즈니스 성과를 가리는 동시에, 경영진이 IT 투자 정당성을 입증하거나 실패한 이니셔티브를 조기에 파악하지 못하게 만든다고 지적했다.
국방 분야가 국가 단위 공격자와 정교한 사이버 범죄조직의 주요 표적이 되는 현실을 고려할 때, 보안 미비는 특히 더 심각한 상황이다. 제로 트러스트 구현이 지연되고 있다는 점은 자금이 충분하고 명확한 전략을 가진 조직조차도 정해진 기간 안에 포괄적 보안 전환을 수행하는 데 어려움을 겪을 수 있음을 시사한다.
엔터프라이즈 IT 리더는 이번 보고서를 통해 명확한 책임 구조, 정기적인 성과 검토, 견고한 프로젝트 거버넌스 체계를 수립하는 것이 얼마나 중요한지를 확인할 수 있다. 국방부의 사례는 대규모 예산만으로는 성공적인 IT 성과를 보장할 수 없으며, 체계적인 관리와 일관된 감독이 필수적임을 보여준다.
한편 국가방위권한법(NDAA)에 따라 GAO는 2029년 3월까지 국방부 IT 관리에 대한 연례 평가를 계속 진행할 예정이다.
dl-ciokorea@foundryco.com
Read More from This Article: 美 국방부 IT 현대화 사업··· 예산 초과, 준비 미흡 등으로 난항
Source: News