ITIL의 한계를 뛰어넘어 : ITIL, ISO17799, Cobit과의 상호 보완

[펌] "ITIL의 한계를 뛰어넘어 : ITIL, ISO17799, Cobit과의 상호 보..

프로세스_관리를_위한_Cobit과_ITIL의_통합(V1.1).doc

블로그 > ITSM(IT Service 관리)
http://blog.naver.com/domis72/80020324336

지난 11월에 회사 사보에 실은 보잘것 없는 제 글입니다만, 다른 분들과 공감하고 싶은 내용이 많아 감히 글을 올립니다.

1. 개요

최근 몇 년간 국내외에서는 'IT를 고객에게 제공하는 하나의 서비스'라는 인식이 널리 퍼지기 시작하면서 'IT 서비스 관리'라는 용어가 등장하기 시작했다. 이러한 IT 서비스 관리는 IT 관리 도구의 변천사와 밀접한 연관성을 갖고 있다. 즉 과거 메인프레임 환경의 IT 관리가 1990년 초 분산 환경의 네트워크 관리로, 그리고 90년 중반부터 현재까지 시스템 관리가 주류를 형성하면서 IT 서비스 관리라는 새로운 개념을 등장시켰다. 또한 IT 서비스 관리를 실 환경에서 적용할 수 있는 프로세스별 참조 모델을 제공하고 있는 'ITIL(IT Infrastructure Library)'가 등장하면서 이러한 'IT 서비스 관리'라는 개념은 더욱 더 각광 받고 있다.

2. ITIL
ITIL은 1980년대 영국 정부가 사업 목표에 부합하는 IT 실무사례를 확립하기 위해 개발한 일련의 가이드라인에서 처음 시작되었다. 이후, ITIL은 유럽과 북미 지역에서 폭 넓게 수용되어 왔으며, 지금은 IT 관리 Best Practice 정의에 있어 선도적인 역할을 인정받고 있다.
최근 2-3년간 국내에서도 이러한 ITIL에 대한 관심이 꾸준히 증가되어 왔으며, 여러 대기업을 비롯한 정부 기관에서 ITIL을 'IT 서비스 관리를 위한 표준 프레임워크'로 사용하려는 움직임이 일고 있으며, 이를 위한 시스템 도입에 적극 나서고 있다.

ITIL은 크게 2가지 영역으로 IT 프로세스 영역을 구분하고 있는데 첫 번째가 고객과의 서비스 수준 계약과 계약에 따른 서비스 수준 모니터링을 정의하는 '서비스 제공(Service Delivery)'이다. 또 다른 영역인 '서비스 지원(Service Support)'은 서비스 제공(Service Delivery)을 위한 운영 IT 프로세스를 정의하고 있다.
또한 기본적으로 ITIL은 ISO 9000 품질 시스템과 EFQM(European Foundation for Quality Management) 및 CMM(Capability Maturity Model)과 깊은 관계를 갖고 있으며 IT 서비스 관리에 필요한 주요 프로세스 및 실천 모델을 제공함으로써 이러한 품질 시스템을 지원하고 있다.
그러나 ITIL은 IT 서비스 관리를 위한 프로세스와 이를 어떻게(How), 누가(who) 관리할 것인가에 중점을 둔 반면에, 실제로 이러한 IT 서비스 관리를 위해 무엇(what)을 통제(control)할 것인지에 대한 언급이 없다. 또한 보안(Security)을 비롯한 신규 서비스 개발과 관련한 프로젝트의 관리 및 시스템 개발에 대한 내용이 부족하다는 한계를 지니고 있다.

2. ISO17799

기업이 e비즈니스의 장점을 충분히 활용하기 위해서 반드시 해결해야 할 가장 중요한 사안은 바로 보안 문제이다. 보안 문제가 해결될 때 기업은 고 부가가치 자원 및 지적 재산을 보호할 수 있으며, 고객 또한 보안을 유지해 주는 기업과는 안전한 느낌으로 거래를 할 수 있게 된다. ISO 17799는 영국정부의 IT 보안 표준인 BS7799를 기반으로 하고 있는 국제 정보 보안 표준으로 정보 보안 관리에 있어서 베스트 프렉티스를 정의하고 있다.
이러한 ISO 17799 표준은 첫째, 표준의 주요 목적을 정의하고 상기 목적을 충족시키기 위해 사용할 수 있는 일련의 보안 통제 방법 정의, 둘째 위험 관리 평가 결과를 기초로 BS7799 표준에 따라 IT기업에 대한 공식 인증서 발행 기반이 될 수 있는 보안 통제 방법 정의라는 두 부분으로 크게 나누어 볼 수 있다.
또한 ISO17799에서 정의한 일련의 표준들은 그동안 ITIL의 타 프로세스에 비해 상대적으로 취약하다고 지적되어 왔던 IT 서비스와 관련된 보안 문제에 대해 훌륭한 보안책이 될 수 있다.

예 를 들어 ITIL의 IT Security model을 살펴보면 그림1과 같이 우선 SLA (Service Level Agreement: 서비스 수준 협약)의 보안 부분을 기반으로 계획을 세운 후, 계획 단계에서는 위험 및 취약점을 이해하기 위해 기업 위험 평가 (Business Risk Assessment)를 실시한다. 그 후 계획 단계는 ISO 17799를 기반으로 철저히 시행되며, 그 결과 '제어'라고 알려진 실행 가능한 적절한 보안 방법을 선택하게 된다. 그 다음 이행 단계에서는 알맞은 툴과 프로시저를 이용하여 보안을 제어한다.
이 단계가 완료되면, 사용된 툴과 프로시저를 제어 (관리)함으로써 지속적으로 보안 정책과 상기 정책이 변경하는 비즈니스 조건과 연관성이 있는지의 여부를 평가하고 점검해야 한다.
이러한 과정을 통해 해당 기업의 보안 수준을 지속적으로 유지할 수 있는 보안 정책을 설정하고 SLA가 충족되었다는 것을 보장하는 보고서를 제출해야 한다.
이처럼 ISO 17799를 ITIL과 접목함으로써 ITIL의 IT Security 부분이 더욱 강화될 수 있으며 보다 완전한 IT 서비스 관리를 위한 Framework를 형성할 수 있게 된다.

3. Cobit

앞에서 언급한 ITIL이 IT 관리의 Best Practice를 집약한 것으로 IT 서비스 관리를 위한 프로세스와 그 운영 방법(How) 및 프로세스 구현을 위한 인력들의 역할과 책임(R& R)에 대해 중점적으로 다루고 있다면, CobiT(Control objectives for Information and related Technology)은 IT 서비스 관리를 위해 무엇을 관리하고 통제할 것인가(what)라는 문제를 집중적으로 다루고 있으며, 이를 위한 통제 및 매트릭스의 구현에 노력하고 있다.

CobiT은 미국의 ISACF(Information Systems Audit and Control Foundation)와 ITGI(IT Governance Institute)가 IT 보안 및 통제 부문에서의 모범적인 업무 수행 방법에 대한 일반적으로 적용 가능하고 인정되는 기준으로 개발되었다. 이는 다음과 같은 네 가지 영역의 IT 프로세스에 대해 일련의 상위 통제 목표를 제공하고 있다.

• 계획 수립 및 조직화(Planning and Organization(PO))
• 조달 및 구현(Acquisition and Implementation(AI))
• 분배 및 지원(Delivery and Support(DS))
• 모니터링(M)

이들 영역은 정보 및 이를 뒷받침하는 지원 기술의 모든 측면을 아우르도록 설계되었다.
즉 감사 담당자와 비즈니스 프로세스 책임자들은 이와 같은 통제 목표를 이용하여 IT 환경에 대한 내부통제시스템을 평가할 수 있으며, CobiT 상위 통제 목표에는 IT 거버넌스의 품질에 대한 객관적인 평가 척도를 제시하는 상세한 기준이 포함되어 있다.
이와 같은 통제 목표는 다음과 같다.

• 성숙도 모델 - IT 거버넌스 개선 경과를 판단하기 위한 로드맵
• CSF(Critical Success Factor) - IT 프로세스에 대한 내부통제시스템 구현을 위한 지침
• KGI(Key Goal Indicator) - 비즈니스 요구사항 이행 과정에서 IT 프로세스의 성공 여부에 대한 사후 평가 척도
• KPI(Key Performance Indicator) - 지속적인 IT 프로세스 성능 여부에 대한 평가 척도

CobiT은 ITIL이 제공하지 못하는 IT 서비스 관리와 관련한 통제(Control) 및 매트릭스(Metrics)를 제공함으로써 IT 서비스 품질에 대한 객관적인 평가 척도를 제시하고 있다는 장점이 있으나, 이 또한 ITIL에서 제공하고 있는 IT 서비스 관리를 위한 실질적인 프로세스는 담고 있지 못하고 있으며, 특히 보안(Security) 부문에 있어 ITIL과 같은 취약점을 내포하고 있다.
그러므로 IT 서비스 관리의 목표를 달성하기 위해서는 ITIL, ISO 17799, CobiT의 상호 비교를 통해 보다 효율적인 IT 서비스 관리를 위한 프레임워크를 구현할 필요가 있다.
[표 1]은 이러한 IT 서비스 관리를 위한 고려 사항과 여러 관점에 따라 어떠한 방법론이 상호 보완적으로 사용될 수 있는가를 매핑한 것으로, 이는 향후 보다 효율적인 IT 서비스 관리 프레임워크를 개발하는데 도움을 줄 수 있다.

4. 결론

대우정보시스템의 ITSM 운영모델인 DSOM(Daewoo Standard Outsourcing Model)은 ITIL과 HP의 ITSM 모델을 기반으로 하여 개발된 것이나,  CobiT에서 다루고 있는 전체 IT 서비스 영역을 다루지는 못하고 있으며, IT 보안(Security) 영역도 다른 프로세스 영역에 비해 상대적으로 취약하다는 한계를 지니고 있다. 따라서 향후 개발될 DSOM의 차기 버젼에서는 CobiT, ISO17799 등의 다양한 방법론, 프레임워크, 툴 등을 종합적으로 검토하고 고려하여 대우정보시스템에 가장 적합한 부분을 도출하고 이를 보완하는 작업이 필요하다 하겠다. 또한 [그림 2]와 같이 지속적인 IT 서비스 품질 향상 개선 프로세스를 통해 고객에게 제공하는 IT 서비스의 품질을 지속적으로 향상시켜 나가는 노력이 필요하다 하겠다.