기술 부채가 IT 조직을 마비시킬 위협 요인으로 떠오르자 상당수 CIO가 레거시 소프트웨어와 시스템 유지보수·업그레이드를 위해 서드파티 서비스 업체에 눈을 돌리고 있다. 매니지드 서비스 업체 엔소노(Ensono)가 실시한 설문조사 결과, IT 리더 100명 가운데 95명이 레거시 IT를 현대화하고 기술 부채를 줄이기 위해 외부 서비스 업체를 활용하고 있는 것으로 나타났다.

이 같은 움직임은 부분적으로 레거시 IT 비용 증가에서 비롯됐다. 응답자 가운데 거의 절반은 지난해 노후 IT 시스템 유지보수에 예산보다 더 많은 비용을 지출했다고 답했다. 더 큰 문제는 레거시 애플리케이션과 인프라가 IT 조직의 발목을 잡고 있다는 점이다. IT 리더 10명 가운데 9명은 레거시 유지보수가 AI 현대화 계획에 걸림돌이 되고 있다고 지적했다.

엔소노의 CTO 팀 베어먼은 “레거시 시스템 유지보수가 현대화 노력에 큰 방해가 되고 있다”라며, “전형적인 혁신가의 딜레마다. 혁신보다는 노후 시스템과 그 해결 방안에만 집중하고 있다”라고 지적했다.

일부 CIO는 레거시 시스템 운영을 서비스 업체에 맡기거나 외부 IT팀을 활용해 기술 부채를 정리하고 소프트웨어와 시스템을 현대화하고 있다. 베어먼은 레거시 시스템을 외부에 맡기는 기업이 증가하는 배경으로 고령화된 인력을 꼽았다. 기업 내부의 레거시 시스템 전문가가 은퇴하면서 축적된 지식도 함께 빠져나가고 있다는 의미다.

베어먼은 “이 일을 내부에서 직접 처리할 수 있는 인력이 많지 않다. 조직 내 인력이 고령화되고 퇴직자가 늘어나는 상황에서, 필요한 인재를 채용하기 어려운 영역에서는 외부에서 전문 인력을 찾아야 한다”라고 설명했다. 또, “MSP 모델 자체는 수십 년 전부터 존재했지만, 최근에는 예산을 확보하고 AI를 도입할 시간을 만들기 위해 MSP를 기술 부채 관리 수단으로 활용하는 흐름이 커지고 있다”라고 분석했다.

AI처럼 새로운 기술이 빠르게 확산되는 것도 이런 흐름에 일조하고 있다. 베어먼은 “한쪽에는 관리·유지해야 하는 레거시 문제가 있고, 다른 한쪽에는 수년 동안 경험하지 못한 속도로 발전하는 최신 기술이 있어 양쪽을 동시에 따라가기 어렵다”라고 덧붙였다.

위험의 아웃소싱

사이버 보안 서비스 업체 뉴빅(Neuvik)의 CEO 라이언 레이르빅은 레거시 IT 관리를 서비스 업체에 맡기는 흐름이 확대되고 있다는 점에 동의했다. 레이르빅은 레거시 시스템에 적합한 전문가를 매칭하는 등 여러 장점을 언급하면서도, CIO가 위험 관리를 위해 MSP를 활용하는 경향도 있다고 지적했다.

레이르빅은 “많은 장점 가운데 자주 언급되지 않는 핵심은 취약점 악용이나 서비스 중단 위험을 서비스 업체에 맡길 수 있다는 점”이라며, “취약점 발견과 패치, 전반적인 유지보수에 지속적으로 많은 비용이 드는 환경에서는 잘못 대응했을 때 발생하는 위험을 서비스 업체가 떠안게 되는 경우가 많다”라고 설명했다.

미 국방부(US Department of Defense)에서 비서실장 겸 사이버 부문 부국장을 지낸 레이르빅은 레거시 IT 유지보수 예산을 초과 집행한 IT 책임자가 많다는 것이 놀랄 일은 아니라고 말한다. 많은 조직이 현재 보유한 IT 인프라와 앞으로 전환해야 할 인프라 사이에서 필요한 인재 역량이 맞지 않는 상황에 놓여 있다고 지적하며, 레거시 소프트웨어와 시스템의 지속적인 유지보수 비용이 예상보다 더 많이 드는 경우도 잦다고 말했다.

레이르빅은 “초기 도입 비용이 1이라면, 유지보수 비용은 1X이기 때문에 예상하지 못한 거대한 유지보수 꼬리가 생긴다”라고 덧붙였다.

레거시 유지보수의 덫에서 벗어나려면 적절한 서드파티 업체를 고르는 선견지명과 선택 기준이 필요하다. 레이르빅은 “장기적인 관점에서 해당 업체와 향후 5년 계획이 맞물리는지 반드시 확인해야 한다. 또 조직의 목표와 업체가 제공하려는 지원 방향이 일치하는지도 점검해야 한다”라고 조언했다.

두 번 지불하는 비용

일부 IT 리더가 레거시 시스템 현대화를 서드파티 업체에 맡기고 있지만, IT 서비스 관리 및 고객 서비스 소프트웨어 업체 프레시웍스(Freshworks)가 최근 공개한 보고서는 이런 현대화 노력이 과연 효율적인지에 의문을 제기했다.

프레시웍스의 조사에서 응답자의 3/4 이상은 소프트웨어 도입에 예상보다 더 많은 시간이 걸린다고 답했고, 프로젝트 가운데 2/3은 예산을 초과했다고 응답했다. 프레시웍스의 CIO 아슈윈 발랄은 서드파티 서비스 업체가 이 문제를 해결해 주지 못할 수도 있다고 경고했다.

발랄은 “레거시 시스템이 너무 복잡해지면서 기업이 도움을 구하려고 서드파티 업체와 컨설턴트에 점점 더 의존하고 있지만, 실제로는 수준 이하의 레거시 시스템을 다른 수준 이하 레거시 시스템으로 바꾸는 결과에 그치는 경우가 많다”라며, “서드파티 업체와 컨설턴트를 추가하면 기존 문제를 해결하기보다는 새로운 복잡성만 더해 문제를 악화시키는 사례도 적지 않다”라고 지적했다.

해법은 서드파티 업체를 늘리는 것이 아니라 별도의 복잡한 작업 없이 바로 쓸 수 있는 새로운 기술을 도입하는 데 있다. 발랄은 “이론적으로 서드파티 업체는 전문성과 속도를 제공한다. 하지만 현실에서는 복잡한 기술을 도입하는 데 한 번, 해당 기술이 제대로 작동하도록 컨설턴트를 투입하는 데 또 한 번 등 두 번 비용을 지불하는 경우가 많다”라고 꼬집었다.

피하기 어려운 서드파티 업체 활용

사이버 보안 솔루션 업체 워치가드 테크놀로지스(WatchGuard Technologies)의 필드 CTO 겸 CISO 애덤 윈스턴은 상당수 IT 리더가 일정 수준의 서드파티 지원을 사실상 피할 수 없는 선택으로 보고 있다. 윈스턴은 오래된 코드를 업데이트하거나 워크로드를 클라우드로 이전하고 SaaS 도구를 도입하고, 사이버보안을 강화하는 등 대부분의 과제에서 이제 외부 지원이 필요하다고 말했다.

윈스턴은 노후 원격접속 도구와 VPN을 포함한 레거시 시스템이 쌓이면 기술 부채가 눈덩이처럼 불어나 조직을 짓누를 수 있다고 경고했다. 또, 아직 많은 조직이 클라우드나 SaaS 도구로 완전히 현대화하지 못한 상태이며, 전환 시점이 오면 외부 업체에 도움을 요청할 수밖에 없을 것이라고 내다봤다.

윈스턴은 “대부분 기업은 자체 애플리케이션을 설계·개발·운영하지 않고, 그런 영역에 기술 부채가 쌓여 있는 상황에서 하이브리드 IT 구조를 유지하고 있다”라며, “여전히 코로케이션과 온프레미스 중심이던 시절의 환경을 유지하는 기업도 많고, 이런 환경에는 거의 예외 없이 레거시 서버와 레거시 네트워크, 현대적인 설계나 아키텍처를 따르지 않는 레거시 시스템이 포함돼 있다”라고 설명했다.

이런 기업의 IT 리더는 노후 기술을 단계적으로 퇴역시키는 계획을 세우고, IT 투자가 가능한 한 최신 상태를 유지하도록 솔루션 업체의 책임을 명확히 하는 서비스 계약을 체결해야 한다. 윈스턴은 많은 솔루션 업체가 신제품을 내놓으면서 기존 제품 지원을 너무 쉽게 중단한다고 지적했다.

윈스턴은 “업그레이드를 하지 않을 계획이라면 레거시 지원 비용을 면밀히 따져 보고, 업그레이드할 수 없다면 어떻게 격리할 것인지에 대한 답을 준비해야 한다”라며, “업그레이드가 불가능할 경우 위험을 옮기기 위한 이른바 ‘무덤 격리 전략(graveyard segmentation strategy)’을 어떻게 설계할지도 고민해야 한다”라고 강조했다. 또 “솔루션 업체 실사 과정에서 이런 논의가 빠지는 경우가 많고, 그러다 문제가 터지면 조직이 뒤늦게 놀라게 된다”라고 덧붙였다.

그렇다고 CIO가 레거시 IT 전문성을 쌓는 방향으로 커리어를 설계하는 것은 피해야 한다. 윈스턴은 “소프트웨어나 구축 비용을 충분히 상각하지 못했다면, 앞으로 도입하는 모든 신규 애플리케이션에는 최신 컴포넌트를 사용하겠다고 스스로 다짐해야 한다”라고 강조했다.
dl-ciokorea@foundryco.com

As tech debt threatens to cripple many IT organizations, a huge number of CIOs have turned to third-party service providers to maintain or upgrade legacy software and systems, according to a new survey.

A full 95% of IT leaders are now using outside service providers to modernize legacy IT and reduce tech debt, according to a survey by MSP Ensono.

The push is in part due to the cost of legacy IT, with nearly half of those surveyed saying they paid more in the past year to maintain older IT systems than they had budgeted. More importantly, dealing with legacy applications and infrastructure is holding IT organizations back, as nearly nine in 10 IT leaders say legacy maintenance has hampered their AI modernization plans.

“Maintaining legacy systems is really slowing down modernization efforts,” says Tim Beerman, Ensono’s CTO. “It’s the typical innovator’s dilemma — they’re focusing on outdated systems and how to address them.”

In some cases, CIOs have turned to service providers to manage legacy systems, but in other cases, they have looked to outside IT teams to retire tech debt and modernize software and systems, Beerman says. One reason they’re turning to outside service providers is an aging employee base, with internal experts in legacy systems retiring and taking their knowledge with them, he adds.

“Not very many people are able to do it themselves,” Beerman says. “You have maturing workforces and people moving out of the workforce, and you need to go find expertise in areas where you can’t hire that talent.”

While the MSP model has been around for decades, the move to using it to manage tech debt appears to be a growing trend as organizations look to clear up budget and find time to deploy AI, he adds.

“If you look at the advent of lot of new technology, especially AI, that’s moving much faster, and clients are looking for help,” Beerman says. “On one side, you have this legacy problem that they need to manage and maintain, and then you have technology moving at a pace that it hasn’t moved in years.”

Outsourcing risk

Ryan Leirvik, CEO at cybersecurity services firm Neuvik, also sees a trend toward using service providers to manage legacy IT. He sees several advantages, including matching the right experts to legacy systems, but CIOs may also use MSPs to manage their risk, he says.

“Of the many advantages, one primary advantage often not mentioned is shifting the exploitation or service interruption risk to the vendor,” he adds. “In an environment where vulnerability discovery, patching, and overall maintenance is an ongoing and expensive effort, the risk of getting it wrong typically sits with the vendor in charge.”

The number of IT leaders in the survey who overspent their legacy IT maintenance budgets also doesn’t surprise Leirvik, a former chief of staff and associate director of cyber at the US Department of Defense.

Many organizations have a talent mismatch between the IT infrastructure they have and the one they need to move to, he says. In addition, the ongoing maintenance of legacy software and systems often costs more than anticipated, he adds.

“There’s this huge maintenance tail that we weren’t expecting because the initial price point was one cost and the maintenance is 1X,” Leirvik says.

To get out of the legacy maintenance trap, IT leaders need foresight and discipline to choose the right third-party provider, he adds. “Take the long-term view — make sure the five-year plan lines up with this particular vendor,” he says. “Do your goals as an organization match up with where they’re going to help you out?”

Paying twice

While some IT leaders have turned to third-party vendors to update legacy systems, a recently released report from ITSM and customer-service software vendor Freshworks raises questions about the efficiency of modernization efforts.

More than three-quarters of those surveyed by Freshworks say software implementations take longer than expected, with two-thirds of those projects exceeding expected budgets.

Third-party providers may not solve the problems, says Ashwin Ballal, Freshworks’ CIO.

“Legacy systems have become so complex that companies are increasingly turning to third-party vendors and consultants for help, but the problem is that, more often than not, organizations are trading one subpar legacy system for another,” he says. “Adding vendors and consultants often compounds the problem, bringing in new layers of complexity rather than resolving the old ones.”

The solution isn’t adding more vendors, but new technology that works out of the box, Ballal adds.

“In theory, third-party providers bring expertise and speed,” he says. “In practice, organizations often find themselves paying for things twice — once for complex technology, and then again for consultants to make it work.”

Third-party vendors unavoidable

Other IT leaders see some third-party support as nearly inevitable. Whether it’s updating old code, moving workloads to the cloud, adopting SaaS tools, or improving cybersecurity, most organizations now need outside assistance, says Adam Winston, field CTO and CISO at cybersecurity vendor WatchGuard Technologies.

A buildup of legacy systems, including outdated remote-access tools and VPNs, can crush organizations with tech debt, he adds. Many organizations haven’t yet fully modernized to the cloud or to SaaS tools, and they will turn to outside providers when the time comes, he says.

“Most companies don’t build and design and manage their own apps, and that’s where all that tech debt basically is sitting, and they are in some hybrid IT design,” he says. “They may be still sitting in an era dating back to co-location and on-premise, and that almost always includes legacy servers, legacy networks, legacy systems that aren’t really following a modern design or architecture.”

Winston advises IT leaders to create plans to retire outdated technology and to negotiate service contracts that lean on vendors to keep IT purchases as up to date as possible. Too many vendors are quick to drop support for older products when new ones come out, he suggests.

“If you’re not going to upgrade, do the math on that legacy support and say, ‘If we can’t upgrade that, how are we going to isolate it?’” he says. “‘What is our graveyard segmentation strategy to move the risk in the event that this can’t be upgraded?’ The vendor due diligence leaves a lot of this stuff on the table, and then people seem to get surprised.”

CIOs should avoid specializing in legacy IT, he adds. “If you can’t amortize the cost of the software or the build, promise yourself that every new application that’s coming into the system is going to use the latest component,” Winston says.