실제 SLA가 필요했던 법률사무소

소규모 법률회사는 비공식적인 기술 지원이 더 이상 통하지 않는 단계까지 성장했습니다. 한동안은 지역 기술자가 무언가가 고장 나면 도와주고, 몇몇 소프트웨어 벤더의 지원 전화선을 이용하고, 그리고 사무실에서 컴퓨터를 가장 편하게 다루는 사람이 담당하는 방식으로 버텼습니다.

처음에는 그게 현실적으로 보였습니다. 익숙했고, 더 저렴해 보였기 때문입니다. 하지만 시간이 지나면서 단순한 문제도 너무 오래 걸리기 시작했습니다. 프린터 문제가 반나절 동안 주고받는 연락전으로 번졌습니다. 신입 직원은 노트북 설정을 며칠씩 기다려야 했습니다. 인터넷 장애가 생기면 벤더들 사이에 서로 탓하는 일이 발생했습니다. 누가 무엇을 책임지는지 아무도 확신하지 못했습니다.

그들은 특별히 화려한 것을 원한 게 아니었습니다. 흔히 MSP라고 부르는 관리형 IT 서비스 제공업체가 필요했습니다. 전화 한 통으로 연결되는 한 번호, 명확한 프로세스, 그리고 실제로 이해할 수 있는 서면 서비스 수준 계약서인 SLA가 필요했습니다. SLA는 서비스 계약서의 일부로, 어떤 종류의 지원이 포함되는지, 요청은 어떻게 처리되는지, 그리고 일반적인 응답 목표가 무엇인지 설명합니다.

그들은 마법 같은 것을 요구하지 않았습니다. 정직한 제공업체는 무정지 가동이나 해킹이 불가능한 네트워크를 약속할 수 없다는 것도 알고 있었습니다. 그들이 원한 것은 더 단순한 것, 그리고 책임 소재였습니다.

가장 큰 문제는 단순히 속도가 아니었습니다. 불확실성이었습니다. 직원이 도움을 요청하는 이메일을 보내도, 종종 누가 봤는지조차 알 수 없었습니다. 전화를 하면 나중에 음성사서함으로 연결될 수도 있었습니다. 누군가 뒤늦게 방문하면, 무엇을 했는지, 무엇이 아직 진행 중인지, 그리고 같은 문제가 이전에도 있었는지에 대한 기록이 없었습니다.

이건 법률사무소에서 특히 중요합니다. 변호사와 직원은 마감 기한에 맞춰 일합니다. 민감한 고객 정보를 다룹니다. 그래서 시스템은 일관되게 구성되어야 하고, 업데이트는 추적되어야 하며, 지원 요청이 어딘가로 사라져 버리는 일이 없어야 합니다. 요구사항은 진료/업무 분야, 주(州), 그리고 해당 법률회사가 사용하는 특정 도구에 따라 달라지지만, 대부분의 회사는 사용자 설정 처리, 장비 지원, 이메일 문제, 파일 접근 이슈, 그리고 기본 보안 단계가 명확하길 원합니다.

그들은 또한 반복적인 업무를 둘러싼 구조도 부족했습니다. 패칭(patching)은 승인된 소프트웨어와 운영체제 업데이트를 적용하는 것을 말합니다. 엔드포인트(endpoint)는 사람들이 사용하는 장치로, 노트북, 데스크톱, 휴대전화 등이 해당됩니다. 회사는 기술적으로 복잡해질 필요는 없었습니다. 다만 제공업체가 이러한 기본 사항을 누가 처리하는지, 그리고 얼마나 자주 하는지를 평이한 말(plain English)로 설명해줄 수 있어야 했습니다.

그들은 보안에 대한 기대치도 이해하고 싶어 했습니다. 다중 인증(Multi-factor authentication, MFA)은 사용자가 앱 코드나 알림 프롬프트 같은 두 번째 단계로 로그인 인증을 확인하는 것을 말합니다. 엔드포인트 탐지 및 대응(Endpoint Detection and Response, EDR)은 장치에서 의심스러운 활동을 감지하고 조사 및 대응을 지원하는 소프트웨어입니다. 이 용어들은 들어본 적이 있었지만, 자기 회사 규모의 비즈니스에 무엇이 적절한지, 그리고 이미 무엇이 갖춰져 있는지는 아무도 설명해주지 않았습니다.

서면 SLA는 회사가 더 좋은 질문을 할 수 있게 도와줬습니다. 문서가 모든 문제를 해결해주지는 않지만, 모두가 기본을 정의하도록 강제하기 때문입니다. 사용자는 어떤 방식으로 지원 요청을 열까요? 무엇이 긴급한 것으로 간주될까요? 지원 가능 시간은 언제인가요? 야간(After-hours)에도 도움이 가능한가요? 신입 직원 설정이 포함되나요? 인터넷, 전화, 소프트웨어 문제처럼 벤더와 관련된 이슈가 겹칠 때는 호출이 조율되나요?

그러한 구조가 없으면 매번의 문제가 개인적인 일처럼 느껴지고 즉흥적으로 처리됩니다. 그게 있으면 사무실 관리자는 사람을 쫓아다니는 대신 프로세스를 가리킬 수 있습니다. 변호사들은 직원과 기대치를 정할 수 있습니다. 제공업체는 작업 우선순위를 더 일관되게 정할 수 있습니다. 결국 모두에게 더 좋습니다.

또한 회사는 가장 좋은 SLA가 항상 가장 긴 것이 아니라는 점도 배웠습니다. 읽기 쉬워야 합니다. 사무실 규모와 맞아야 합니다. 막연한 약속이 아니라 실제 업무 흐름을 설명해야 합니다. 제공업체가 원격 모니터링 및 관리(Remote Monitoring and Management, RMM)를 사용한다면, 이는 장치의 상태를 지켜보고 정기적인 지원 작업을 관리하는 데 도움을 주는 소프트웨어 도구를 의미합니다. 회사는 그 도구들에 직접 접근할 필요가 없었습니다. 단지 제공업체가 그런 시스템을 갖고 있다는 것을 알고 싶었을 뿐입니다.

계획을 세우는 과정에서 그들이 원하는 것은 제공업체가 전략적 조언을 제공하는지도 듣는 것이었습니다. 일부 MSP는 가상 최고정보책임자(vCIO, virtual Chief Information Officer)를 포함합니다. vCIO는 비즈니스가 기술 의사결정, 예산, 그리고 장기적인 우선순위를 계획할 수 있도록 돕는 사람입니다. 소규모 법률회사의 경우 이것이 완전한 프로그램일 수도 있고, 단순히 주기적인 조언일 수도 있습니다. 어떤 형태든 명확하게 정의되어 있다면 유용할 수 있습니다.

사무실 관리자는 수주 동안 기술 관련 웹사이트를 뒤지고 영업 전화를 정리하는 데 시간을 쓰고 싶지 않았습니다. 그 지점에서 NodeBridge IT가 등장했습니다. 우리는 MSP, IT 회사, 또는 보안 회사가 아닙니다. 시스템을 관리하지도 않고, 네트워크를 모니터링하지도 않으며, 컴퓨터를 수리하지도 않고, 계정에 접근하지도 않습니다. 독립적인 관리형 IT 제공업체를 위한 일반 교육 정보와 무료 매칭을 제공합니다.

회사는 사무실 규모, 위치, 가장 큰 고충, 그리고 어떤 종류의 지원 경험을 원했는지 같은 기본 비즈니스 정보를 공유했습니다. 비밀번호, 네트워크 자격 증명, 시스템 접근 권한을 넘겨줄 필요는 없습니다. 그건 우리의 프로세스에 포함되지 않습니다. 적합성(fit)을 기준으로, 회사가 원하는 구조를 제공할 가능성이 더 높은 제공업체를 매칭해드렸습니다. 그 구조에는 서면 SLA와 명확한 지원 프로세스가 포함됩니다.

대화의 방식이 달라졌습니다. 전문 용어부터 시작하는 대신, 실용적인 항목을 비교할 수 있었습니다. 티켓은 어떻게 추적되는지, 전화는 누가 받는지, 온보딩과 오프보딩(업무 시작/종료)은 포함되는지, 벤더는 어떻게 조율되는지, 리포트는 어떤 형태로 제공되는지, 청구는 어떻게 설명되는지 등을 확인할 수 있었습니다. 목표는 완벽한 제공업체를 찾는 것이 아니었습니다. 사무실의 규모, 업무 속도, 그리고 기대치에 맞는 제공업체를 찾는 것이었습니다.

많은 소규모 회사처럼 비용도 중요했습니다. 미국에서 관리형 IT의 가격은 지속적인 지원 기준으로 보통 사용자 1명당 월 약 $100~$250 수준이지만, 보안, 컴플라이언스 지원, 여러 위치, 야간 커버리지, 또는 복잡한 법률 소프트웨어가 포함되면 더 높은 비용이 발생할 수 있습니다. 프로젝트 작업, 온보딩, 장비는 종종 별도입니다. 이는 견적이 아니라 일반적인 범위입니다. 실제 금액은 인원 수, 장비 수, 보안 요구, 그리고 지역에 따라 달라집니다.

가장 큰 개선점은 모든 문제가 사라진 것이 아니었습니다. 지원이 예측 가능해졌다는 점이었습니다. 직원들은 요청을 어디로 보내야 하는지 알게 되었습니다. 사무실 관리자는 이슈가 접수되었는지 확인할 수 있었습니다. 신입 채용 때마다 매번 처음부터 다시 고민할 필요가 없어졌습니다. 일상 업무는 짐작해서 넘기는 대신 정해진 방식으로 배정되었습니다.

회사는 백업과 복구에 대한 논의도 더 명확해졌습니다. 3-2-1 백업 접근 방식은 데이터를 세 가지 사본으로 유지하고, 두 가지 서로 다른 유형의 저장소에 저장하며, 그중 한 사본은 오프사이트에 보관하는 것을 의미합니다. 이것은 모든 상황에서 복구가 보장된다는 뜻은 아니지만, 계획을 세울 때 유용한 틀을 제공합니다. 법률회사의 입장에서는 또한 누가 백업을 확인하는지, 복구 테스트를 얼마나 자주 하는지, 그리고 어떤 시스템이 포함되는지를 묻는 데에도 도움이 됩니다.

또한 그들은 더 좋은 컴플라이언스 질문을 하는 법도 배웠습니다. HIPAA는 Health Insurance Portability and Accountability Act로, 특정 사안이나 고객의 경우 보호 건강 정보(Protected Health Information)를 다루면 적용될 수 있습니다. PCI는 Payment Card Industry Data Security Standard의 약자로, 카드 데이터를 저장, 처리, 또는 전송하는 비즈니스라면 중요합니다. SOC 2는 많은 소프트웨어 벤더가 특정 보안 통제를 설명하기 위해 사용하는 보고 프레임워크입니다. 모든 법률회사가 이들 각각에 동일한 수준의 관심을 가져야 하는 것은 아니며, 요구사항은 업종과 주(州)에 따라 달라지지만, 좋은 제공업체는 어떤 부분이 중요하고 어떤 부분은 그렇지 않은지 설명할 수 있어야 합니다.

무엇보다도 그들은 기억과 호의에만 의존하는 일을 멈췄습니다. 정의된 서비스, 문서화된 기대치, 그리고 관리할 수 있는 한 명의 주요 관계로 옮겼습니다.

비즈니스 규모가 커져서 즉흥적인 IT 지원으로는 감당이 안 된다면, 처음부터 더 많은 도구가 필요하진 않을 수 있습니다. 먼저 더 명확한 책임 소재가 필요할 수 있습니다. 서면 SLA는 모든 문제를 해결하지는 못하지만, 지원을 측정 가능하고 이해하기 쉬우며 관리하기 더 편하게 만들어줄 수 있습니다.

기본 질문부터 시작하세요. 도움을 요청하는 방법은 무엇인가요? 누가 응답하나요? 무엇이 포함되나요? 무엇이 추가되나요? 긴급한 이슈는 어떻게 처리하나요? 어떤 리포트를 받나요? 신입과 퇴사 직원은 어떻게 처리하나요? 현재 구성 때문에 이 질문들에 답하기 어렵다면, 옵션을 비교할 때일 수 있습니다.

이와 같은 사례를 더 읽어볼 수도 있고, 비즈니스에 맞는 독립적인 관리형 IT 제공업체를 찾는 데 도움이 필요하다면 매칭을 받을 수도 있습니다. 저희는 간단하게 진행하며, 서비스는 비즈니스를 대상으로 무료로 제공됩니다.