관리형 IT에는 실제로 무엇이 포함되나요?

관리형 IT는 관리 서비스 제공자(Managed Services Provider, MSP)가 월별 비용을 받고 컴퓨터, 비즈니스용 앱, 인터넷에 연결된 장비, 그리고 일상적인 기술 요구 사항을 지원하는 ‘지속형 서비스’입니다. 문제가 생겼을 때만 연락하는 방식이 아니라, 제공자가 배경에서 정기 업무를 처리하고 이슈가 발생했을 때 지원을 돕는 형태입니다.

많은 중소기업에서 관리형 IT에는 직원용 헬프데스크 지원, 장비 설정, 소프트웨어 업데이트, 기본 사용자 계정 작업, 중요한 시스템 모니터링, 백업 점검, 백신 또는 기타 보안 도구, 교체나 개선에 대한 조언이 포함됩니다. 일부 제공자는 전략 지원, 벤더 조율, 규정 준수(컴플라이언스) 지원도 포함합니다.

중요한 포인트는 이것입니다. 관리형 IT는 하나의 단일 표준 패키지가 아닙니다. 어떤 업체는 더 많은 지원 시간, 더 강한 보안, 더 나은 백업 작업을 포함할 수 있고, 다른 업체는 이를 옵션(추가 항목)으로 가격 책정할 수 있습니다. 그래서 사업주는 비슷해 보이는 제안서를 비교하더라도, 실제로는 매우 다를 수 있음을 염두에 두는 경우가 많습니다.

주제를 막 접하는 단계라면, 저희 답변 페이지에 자주 묻는 질문을 쉬운 말로 정리해 두었습니다.

전형적인 관리형 IT 계약은 비즈니스가 돌아가게 만드는 ‘정기적인 업무’를 다룹니다. 보통 그 시작은 사용자 지원입니다. 직원이 로그인할 수 없거나, 이메일 동기화가 멈추거나, 프린터가 연결되지 않거나, 노트북이 이상하게 동작한다면 제공자가 보통 첫 번째로 연락받는 주체가 됩니다. 이를 흔히 헬프데스크라고 부릅니다.

또한 대개 장비와 시스템의 관리·감독이 포함됩니다. 제공자는 원격 모니터링 및 관리(Remote Monitoring and Management, RMM) 도구를 사용할 수 있습니다. 이는 누군가가 불평을 하기만 기다리지 않고, 비즈니스 장비에서 흔한 문제를 소프트웨어로 미리 찾아보는 데 도움이 되는 것들이라는 뜻입니다. 또한 패치 적용(소프트웨어 및 운영체제 업데이트를 설치하는 작업)과, 엔드포인트 보호(각 노트북, 데스크톱, 서버에 적용되는 보안 도구)도 처리할 수 있습니다. ‘엔드포인트’는 사람이 사용하든, 아니면 귀사의 네트워크에 연결되든 간에 어떤 장비든 가리키는 말입니다.

많은 요금제에는 기본적인 사이버보안 절차도 포함됩니다. 예를 들어, 로그인 시 두 번째 단계를 추가하는 다중 인증(Multi-Factor Authentication, MFA), 이메일 보안 설정, 그리고 엔드포인트 탐지 및 대응(Endpoint Detection and Response, EDR) 등이 포함될 수 있습니다. EDR은 의심스러운 활동을 장비에서 감지하는 데 더 진전된 도구입니다. 일부 제공자는 이를 기본값으로 포함합니다. 어떤 곳은 그에 대해 추가 비용을 청구하기도 합니다.

백업도 관리형 IT에서 흔히 포함되지만, 그 의미를 자세히 살펴보셔야 합니다. 제공자는 백업이 실행되고 있는지 모니터링하고, 때때로 복구가 정상적으로 되는지 테스트할 수 있습니다. 일부는 3-2-1 백업 방식을 따르는데, 이는 데이터 사본을 3개 보관하고 서로 다른 2가지 유형의 저장소에 나누어 보관하며, 1개 사본은 오프사이트에 보관하는 것을 의미합니다. 다만 백업이 곧 모든 파일이나 시스템을 항상 즉시 복원할 수 있다는 뜻은 아니므로, 정확히 무엇이 보호되는지와 복구가 어떻게 이뤄지는지에 대해 구체적으로 물어볼 만합니다.

많은 사업주가 관리형 IT에 모든 기술적인 것이 포함된다고 가정합니다. 하지만 보통 그렇지 않습니다. 신규 사무실 세팅, 대규모 클라우드 마이그레이션, 서버 교체, 사이버보안 감사, 직원 교육, 야간 작업, 현장 방문 등은 별도 비용으로 청구될 수 있습니다. 하드웨어, 소프트웨어 라이선스, 인터넷 회선, Microsoft 365 구독, 그리고 특수한 컴플라이언스 업무도 마찬가지일 수 있습니다.

또한 응답 시간이나 지원 가능 시간에 대한 제한이 있을 수 있습니다. 이런 내용은 종종 서비스 수준 계약(Service Level Agreement, SLA)에 설명되어 있습니다. SLA는 지원이 제공되는 시점, 제공자가 응답을 목표로 하는 속도, 어떤 유형의 이슈가 커버되는지 등을 계약서에서 풀어쓴 부분입니다. 좋은 SLA는 기대 수준을 명확하게 정해줍니다. 그리고 어떤 업체도 ‘무중단’이나 ‘해킹이 불가능한 네트워크’를 정직하게 약속할 수는 없습니다.

일부 제공자는 가상 최고정보책임자(vCIO, virtual chief information officer)를 통해 더 높은 수준의 기획 지원도 제공합니다. 이는 예산 편성, 교체 계획, 보안 우선순위, 기술 로드맵을 돕는 경험 많은 조언자입니다. 자체적으로 전일제 IT 리더가 없는 성장 기업에는 특히 유용할 수 있습니다.

제안서가 모호하게 느껴진다면 속도를 늦추라는 신호일 수 있습니다. ‘완전 관리(fully managed)’나 ‘완전 보호(complete protection)’ 같은 표현은 그럴듯해 보일 수 있지만, 실제로 어떤 작업이 포함되는지 알려주지 않습니다.

소규모 또는 중규모 비즈니스에서는 기술 문제가 ‘먼저’ 시간 비용으로 이어집니다. 직원이 일을 못 하게 되고, 고객은 더 오래 기다리게 되며, 단순한 작업도 지나치게 많은 노력이 들어갑니다. 관리형 IT는 정기 유지보수를 누군가의 일로 만들어 불필요한 중단을 줄이고, 도움을 필요로 할 때 팀이 갈 곳이 분명해지도록 해줌으로써 이를 완화할 수 있습니다.

또한 비즈니스 리스크는 더 이상 ‘고장 난 컴퓨터’에만 관련되지 않습니다. 이메일 사기, 분실된 장비, 약한 비밀번호, 지원이 종료된 소프트웨어, 실패한 백업 모두 값비싼 문제를 만들 수 있습니다. 좋은 제공자는 시간이 지나면서 더 나은 습관과 더 나은 시스템을 구축할 수 있도록 돕습니다. 이는 문제가 드러난 뒤에야 수리하는 것과는 다릅니다.

규제를 받는 업종의 경우, 관리형 IT가 컴플라이언스 업무를 지원하기도 합니다. 요구 사항은 업종과 주(州)에 따라 달라집니다. 예를 들어 헬스케어 비즈니스는 건강보험 양도·책임에 관한 법(Health Insurance Portability and Accountability Act, HIPAA) 관련 지원이 필요할 수 있습니다. 카드 결제를 처리하는 비즈니스는 결제 카드 보안 표준을 의미하는 PCI에 대한 도움이 필요할 수 있습니다. 일부 더 큰 고객사는 SOC 2도 문의할 수 있는데, SOC 2는 기업이 정의된 통제하에 데이터를 처리한다는 점을 보여주기 위해 사용하는 프레임워크입니다. 모든 MSP가 이를 깊이 다루는 것은 아니므로, 확인해보는 것이 현명합니다.

가장 큰 패키지를 사는 것이 목표가 아닙니다. 귀사의 인원 규모, 장비, 소프트웨어, 리스크 수준, 예산에 맞는 지원 수준을 확보하는 것이 목표입니다.

좋은 관리형 IT는 명확하고, 안정적이며, 실용적입니다. 무엇이 포함되는지 알고 계십니다. 직원들도 도움을 어디로 요청해야 하는지 압니다. 정기 작업은 소란 없이 처리됩니다. 제공자는 문제를 일상적인 언어로 설명하고, 장비가 너무 낡기 전에 또는 소프트웨어가 위험해지기 전에 의사결정을 돕습니다.

좋은 제공자는 온보딩, 지원 가능 시간, 보안 도구, 백업 범위, 그리고 어떤 일이 월별 계약 범위를 벗어날 때 어떻게 되는지에 대해서도 구체적으로 설명해야 합니다. 전문 용어 뒤에 숨지 않고, 추천 사항을 설명하는 데 편안해야 합니다. 영어가 모국어가 아니라면 인내심을 갖고 속도를 낮춰 주려고 해야 합니다.

또한 솔직한 가격 책정도 기대하셔야 합니다. 미국의 많은 소규모 사업장에서 관리형 IT는 종종 사용자 1인당 월 약 $100~$250 수준에서 시작하거나, 때에 따라 장비 기준으로 책정되기도 합니다(무엇이 포함되는지에 따라 달라집니다). 보안 중심 환경, 여러 지점, 서버, 컴플라이언스 요구, 그리고 많은 현장 지원이 필요하면 비용이 더 높아질 수 있습니다. 이런 범위는 견적이 아닙니다. 실제 금액은 인원 규모, 장비, 보안 요구, 그리고 귀하의 지역에 따라 달라집니다.

옵션을 정리하는 데 도움이 필요하시면 NodeBridge IT이 독립적인 관리형 IT 제공자를 찾는 데 도움을 드릴 수 있습니다. 저희는 무료 매칭 서비스입니다. 저희는 귀사의 시스템을 관리, 모니터링, 보안 처리, 수리, 또는 접근하지 않습니다.