타이트한 IT 예산으로 운영하는 비영리단체

이 비영리단체는 작은 팀을 가지고 있었고, 몇 명의 파트타임 직원과 자원봉사자들이 수시로 드나들었습니다. 많은 지역 단체처럼, 돈 한 푼 한 푼이 이미 할 일이 정해져 있었습니다. 기술은 중요했지만, 대체로 무언가가 고장 났을 때만 주목을 받곤 했습니다.

이들은 사무실에 구형 노트북이 섞여 있고, 공유 파일과 이메일 계정, 기본적인 인터넷 환경을 사용하고 있었습니다. 지역의 IT 담당자가 때때로 도와주기는 했지만, 명확한 지속 운영 계획은 없었습니다. 리더십은 더 안정적인 운영을 원했지만, "관리형 IT"가 비용이 너무 많이 들거나 너무 복잡할까 봐 걱정했습니다.

또한, 기술 용어로 가득 찬 긴 영업 프로세스도 원하지 않았습니다. 그냥 쉬운 답이 필요했습니다. 제공업체는 매달 실제로 무엇을 해주며, 추가 비용이 드는 항목은 무엇이고, 그들이 보기엔 규모에 비해 정말 필요한 것은 무엇인지 말해주길 원했습니다?

간단한 미팅(발견/진단) 대화 이후, 가장 큰 공백은 화려한 것들이 아니었습니다. 팀이 바쁜 상황에서는 흔히 건너뛰게 되는 기본 항목들이었습니다. 소프트웨어 업데이트가 일관되지 않았습니다. 백업 작업은 존재했지만, 아무도 그 결과를 꼼꼼히 확인하지는 않았습니다. 직원들은 방식이 각자 달랐고, 온보딩(시작)과 오프보딩(퇴사/해지) 절차에 대한 문서화된 프로세스도 없었습니다.

또한 계정 보호에 대한 명확한 기준도 없었습니다. 한 제공업체가 나중에 MFA, 즉 멀티팩터 인증(multi-factor authentication)을 권했습니다. 이는 사용자가 비밀번호로 로그인한 뒤 앱 코드나 알림(프롬프트) 같은 두 번째 단계로 한 번 더 확인하는 방식입니다. 이것이 시스템을 절대 해킹 불가능하게 만드는 것은 아니고, 어떤 정직한 제공업체도 그렇게 약속하면 안 되지만, 흔히 발생하는 계정 위험을 줄이는 데는 도움이 될 수 있습니다.

다른 공백은 엔드포인트 보호였습니다. 엔드포인트(endpoint)는 노트북, 데스크톱, 휴대폰 같은 업무용 장치를 말합니다. 제안서에는 EDR, 엔드포인트 탐지 및 대응(endpoint detection and response)이 포함된 경우가 있었습니다. 이는 해당 장치들에서 의심스러운 활동을 탐지하는 데 도움을 주고, 조사 및 대응을 지원하는 소프트웨어입니다. 비영리단체는 이런 용어를 이전에도 들어본 적은 있었지만, 아무도 평이한 말로 그 의미를 설명해주지는 않았습니다.

백업은 가장 큰 고민이었습니다. 팀은 백업이 있다고 믿고는 있었지만, 얼마나 자주 실행되는지, 얼마나 오래 보관되는지, 복구가 실제로 어떻게 되는지는 확실하지 않았습니다. 한 제공업체는 간단한 설명으로 3-2-1 백업 접근법을 알려줬습니다. 중요한 데이터를 3개의 복사본으로 만들고, 서로 다른 2가지 유형의 저장공간에 나눠 보관하며, 그중 1개는 오프사이트(외부 장소)에 보관하는 방식입니다. 그 설명 덕분에 리더십이 선택지를 비교하기가 훨씬 쉬워졌습니다.

NodeBridge IT는 그들을 대신해 어떤 것도 관리하지 않았고, 비밀번호나 네트워크 접근, 시스템 접근을 요구하지도 않았습니다. 우리는 사무실 구성, 인원 수(헤드카운트), 핵심 불편(페인 포인트), 예산 범위를 설명하는 것을 도와준 뒤, 비슷한 규모의 조직을 대상으로 일하는 독립적인 관리형 IT 제공업체들과 연결해드렸습니다. 이 과정이 어떻게 진행되는지 보고 싶다면 여기부터 시작하세요: get matched.

가장 유용했던 부분은 ‘비교’였습니다. 한 개의 제안서만 따로 떼어보는 대신, 비영리단체는 3곳을 비교했습니다. 세 제공업체 모두 어떤 형태로든 관리형 IT 지원을 제공하고 있었습니다. MSP는 managed service provider의 약자로, 계약을 바탕으로 지속적인 IT 지원과 모니터링을 처리하는 회사를 의미합니다. 하지만 월 비용을 ‘뒤로 하고’ 자세히 보면 제안 내용은 모두 같지 않았습니다.

한 제공업체는 월 금액이 가장 낮았지만, 백업 저장공간, 야간/연장(업무 외 시간) 도움, 신규 사용자 설정은 별도 청구 항목이었습니다. 다른 곳은 더 폭넓은 지원, 패치(patching), 계정 관련 도움을 포함했습니다. 패치는 벤더가 제공하는 수정 사항으로 소프트웨어와 시스템을 최신 상태로 유지하는 것을 뜻합니다. 세 번째 제안은 가장 완전했지만, 비영리단체가 아마 필요하지 않을 도구와 회의 일정까지 포함돼 있었습니다.

이런 나란한 비교는 대화의 방향을 바꿨습니다. 리더십은 더 이상 “어느 곳이 제일 싸요?”만 묻지 않고, “정확히 무엇이 포함이고, 우리에게 어떤 문제를 해결해주나요?”라고 묻기 시작했습니다. 이런 지점이 보통 더 나은 결정을 시작하는 출발점이 됩니다.

비영리단체는 실무적으로 필요한 짧은 질문 목록에 집중했습니다. 제공업체는 사무실 직원뿐 아니라 원격 근무자도 지원하나요? 백업 모니터링이 포함되나요? 보안 도구가 포함되나요, 아니면 별도 판매인가요? 지원 요청은 어떻게 처리되고, 업무 외 시간에는 어떤 방식인가요?

또한 서비스 계약서를 살펴봤습니다. SLA는 service level agreement(서비스 수준 계약)의 약자입니다. 쉬운 말로 하면, 제공업체가 얼마나 빨리 응답하려는지, 무엇이 포함되는지, 무엇은 범위 밖(out of scope)인지 적어둔 부분입니다. SLA는 중요하지만, 어떤 상황에서도 무정지 가동(제로 다운타임), 완벽한 보안, 즉각적인 복구가 보장된다는 의미는 아닙니다.

한 제공업체는 vCIO 지원도 제공했습니다. vCIO는 virtual chief information officer의 약자로, 보통 정기적인 계획 수립 도움, 예산 가이드, 향후 기술 의사결정에 대한 조언을 의미합니다. 더 큰 조직이라면 가치가 있을 수 있습니다. 하지만 이 비영리단체에는 있으면 좋았지만, 1순위 우선순위는 아니었습니다.

그들이 본 월 비용 범위는 작은 조직에서 흔히 보이는 수준이었지만, 사용자 수, 장치 수, 보안 도구, 지원 범위에 따라 달랐습니다. 미국의 많은 시장에서는 소규모 사무실이 완전 관리형 지원을 사용자 1인당/장치 1대당 대략의 단가로 보거나, 월 묶음 플랜 형태로 보게 되는 경우가 많습니다. 간단한 지원은 아주 작은 팀의 경우 월 수백 달러대에서 시작할 수 있지만, 백업 감독, 보안 툴링, 더 빠른 응답까지 포함한 더 포괄적인 지원은 월 낮은 천 달러대까지 올라갈 수 있습니다. 이는 견적서가 아니라 ‘범위’입니다. 실제 금액은 직원 수(헤드카운트), 장치, 보안 요구사항, 지역에 따라 달라집니다.

그들은 가장 싼 옵션을 선택하지 않았습니다. 그들이 일하는 방식에 맞는 범위를 제공하는 곳을 선택했습니다. 그 제공업체는 정기적인 패치, 백업 모니터링, 직원용 헬프데스크 지원, 그리고 불필요할 가능성이 큰 ‘추가 옵션’으로 제안서를 지저분하게 만들지 않으면서도 더 강한 계정 보호 기준을 함께 제공했습니다.

마찬가지로 중요한 점은 제공업체가 한계를 명확하게 설명해줬다는 것입니다. 그들은 해킹이 불가능한 네트워크를 약속하지 않았습니다. 장애(다운타임)는 절대 없을 거라고 말하지도 않았습니다. 무엇을 모니터링할지, 무엇을 지원할지, 그리고 비영리단체가 현실적인 관점에서 위험과 복구를 어떻게 생각해야 하는지를 설명해줬습니다.

리더십 입장에서는 이런 솔직함이 중요했습니다. 월 비용은 여전히 예산 항목에서 크게 다뤄야 하는 부분이었지만, 무엇을 위해 돈을 쓰는지 볼 수 있으니 승인하기가 더 쉬운 느낌이었습니다. 애매한 회색 지대가 줄어들었고, 숨겨진 추가 옵션도 줄었습니다.

지금 옵션을 비교 중이라면, 일반적인 서비스를 살펴보고 실무적으로 결정을 내리려는 조직들의 더 많은 익명 사례도 확인해볼 수 있습니다.

빠듯한 예산이라고 해서 항상 가장 싼 IT 플랜을 사야 하는 건 아닙니다. 오히려 범위(scope)를 더 꼼꼼히 확인해야 한다는 뜻인 경우가 많습니다. 더 낮은 월 금액은 백업, 보안 기본 항목, 온보딩, 업무 외 시간 지원 등이 별도로 청구되면 더 비싸질 수 있습니다.

보통 다음 단계의 가장 좋은 방법은 가능한 모든 도구를 요구하는 게 아닙니다. 실제 필요가 무엇인지부터 명확히 하는 것입니다. 직원과 장치는 각각 몇 명/몇 대인가요? 사람들이 원격으로 일하나요? 민감한 고객, 후원자, 결제, 또는 건강 정보를 다루나요? 요구사항은 업종과 주(지역)마다 달라서, 한 비영리단체에 맞는 구성이 다른 곳에 그대로 맞지 않을 수 있습니다.

좋은 질문을 하기 위해 용어(전문 jargon)를 다 알 필요도 없습니다. 매달 무엇이 포함되는지 물어보세요. 무엇이 추가 비용인지 물어보세요. 백업이 어떻게 확인되는지 물어보세요. 새 사용자가 어떻게 추가되고, 이전 사용자는 어떻게 제거되는지 물어보세요. 지원 요청이 어떻게 처리되는지 물어보세요. 명확한 답은 보통 길고 복잡한 기술 제안서보다 더 많은 정보를 줍니다.