추철호 | 제임스마틴코리아 대표 컨설턴트
COBIT(Control Objectives for Information and related Technology)는 1969년에 창립된 미국의 국제정보시스템감사통제협회(ISACA)에서 1992년에 초판을 출간한 이후로 IT 거버넌스 협회(ITGI)를 통해 발간되고 있다. ‘Control Objectives’를 초판으로 하는 COBIT는 1996년에 정식으로 COBIT라는 이름으로 발간됐으며, 2년 뒤 제 2판이 발간됐다. 2000년에는 IT 거버넌스 개념이 포함된 3번째 버전이 발간됐으며, 가장 최신 버전인 COBIT 4.0은 지난해 12월에 출간됐다.
COBIT 4.0은 ITIL이나 CMMI, COSO, PMBOK, ISO 17799 등 기타 표준들이 채택하고 있는 정의나 개념을 수용하면서 IT 거버넌스를 위한 보다 구체적인 내용을 담고 있다.
(그림 1)에서 보는 바와 같이 COBIT는 시대의 변화에 따라 COBIT 1.0에서부터 감사→통제→관리→거버넌스 순으로 지속적으로 확장 혹은 진화되고 있음을 알 수 있다.
한편, (그림 2)를 살펴보면 COBIT는 ITIL이나 CMMI, PMBOX 등 다른 관련 표준과 비교했을 때, 내용이나 깊이 측면에서 상대적으로 훨씬 상세하고 포괄적인 내용을 다루고 있음을 알 수 있다.
COBIT의 구성과 특성
COBIT는 ▲고위 경영진과 이사회 ▲비즈니스나 IT 관리자 ▲거버넌스나 보증, 통제, 보안 전문가들을 지원하기 위해 (그림 3)와 같이 세 가지 수준으로 구성돼 있다.
‘IT 거버넌스 이사회 브리핑(Board Briefing on IT Governance)’은 고위 경영진들이 IT 거버넌스가 왜 중요하고, 관련된 이슈에는 어떤 것들이 있으며, IT 관리에 있어 그들의 책임이 무엇인지를 이해할 수 있도록 고안됐다.
주로 비즈니스나 IT 관리자들이 관심을 가지는 부분인 ‘관리지침서(Management Guideline)’는 책임을 할당하고, 성과를 측정하며, 역량을 벤치마킹해 격차를 해소하는 것을 도와주는 도구다.
거버넌스나 보증, 통제, 보안 전문가들은 ‘프레임워크(Framework)’나 ‘통제목적(Control Objectives)’에 관심을 가질 것이다. 프레임워크는 COBIT가 IT 거버넌스의 목적과 베스트 프랙티스들을 IT 도메인과 프로세스로 조직화하고, 이들을 비즈니스 요구사항과 연계하는 방법을 설명한다. 통제목적은 모든 IT 활동에 대한 일반적인 베스트 프랙티스 관리 목적을 제시한다. 참고로 미국의 ITGI에서 COBIT 4.0을 다운로드 받을 수 있는데, 4.0에는 관리지침서, 프레임워크, 통제목적이 모두 포함돼 있다.
조직은 다음과 같은 기능을 수행하는 IT 거버넌스 혹은 통제 프레임워크를 도입해 구축하지 않고서는 비즈니스나 거버넌스를 위한 요구사항을 충족시킬 수 없다.
·비즈니스 요구사항과의 연계
·이런 요구사항에 대한 성과의 투명성 확보
·일련의 활동들을 널리 인정받고 있는 프로세스 모델로 조직화
·활용할 주요 자원의 식별
·고려해야 할 관리 통제목적의 정의
이런 요구에 대응해 비즈니스에 초점을 맞추고(business-focused), 프로세스 지향적이며(process-oriented), 통제를 기반으로 하는(control-based) 측정 주도적인(measurement-driven) COBIT 프레임워크가 개발됐다. COBIT 프레임워크의 특성을 정확하게 파악하는 것이 COBIT를 보다 잘 이해할 수 있는 첩경이기에 각각의 특성별로 구체적으로 살펴보자.
비즈니스에 초점
비즈니스 지향성은 COBIT의 주된 주제이다. COBIT는 서비스 제공자와 사용자, 감사인 뿐만 아니라 보다 중요한 대상인 경영진과 비즈니스 프로세스 책임자들을 위한 종합적인 지침이 될 수 있도록 고안됐다.
COBIT는 (그림 5)와 같은 원칙을 기반으로 하고 있다. 즉, 조직이 그 목적을 달성하는데 필요로 하는 정보를 제공하기 위해서는 요구되는 정보 서비스를 제공하기 위한 일련의 구조적인 프로세스를 이용해 IT 자원을 관리하고 통제할 필요가 있다는 것이다.
·COBIT의 정보기준(Information Criteria)
정보가 비즈니스 목적을 만족시키기 위해서는 일련의 통제 기준을 준수해야 한다. COBIT는 이를 ‘정보에 대한 비즈니스 요구사항(Business requirements for information)’이라 부르며, 보다 광범위한 품질과 주주에 대한 수탁책임, 보안 요구사항 등을 기반으로 다음과 같은 7개의 정보 기준을 정의했다.
– 효과성(Effectiveness) : 적시에 정확하고 일관성 있으며, 사용 가능한 방식으로 정보 제공
– 효율성(Efficiency) : 최적의(가장 생산적이며 경제적인) 자원 활용을 통한 정보 제공
– 기밀성(Confidentiality) : 민감한 정보를 불법적인 유출로부터 보호
– 무결성(Integrity) : 비즈니스 가치와 기대에 합당한 것뿐만 아니라 정보의 기밀성과 완전성 제공
– 가용성(Availability) : 현재와 미래에 비즈니스 프로세스가 요구할 때 이용 가능한 정보
– 준거성(Compliance) : 내부정책과 외부에서 부과된 비즈니스 기준 준수
– 신뢰성(Reliability) : 경영진이 조직을 운영하고 주주에 대한 수탁책임과 거버넌스 책임을 수행하기 위한 적절한 정보의 제공
·비즈니스 목표와 IT 목표
정보 기준이 비즈니스 요구사항들을 정의하기 위한 일반적인 방법을 제시하는 반면, 일련의 일반적인 비즈니스나 IT 목표를 정의하는 것은 비즈니스 요구사항들을 수립하고, 이런 목표 대비 측정 기준을 개발하기 위한 비즈니스 지향적이고 정교한 기반을 제공한다. COBIT의 부록 1에서는 일반적인 비즈니스 목표와 IT 목표의 측정 기준을 제시하고, 이런 목표들이 정보 기준에 어떻게 매핑되는지를 보여준다. 이같은 예들은 조직의 비즈니스 요구사항이나 목표, 측정 기준 등을 결정하는데 지침으로 활용될 수 있다.
참고로 (그림 6)에서 보면, 비즈니스 목표가 BSC(Balanced Score Card) 방법을 토대로, 즉 재무와 고객, 내부 프로세스, 그리고 학습이나 성장 관점에서 정리돼 있다는 것을 알 수 있다. IT 목표가 숫자로 표시돼 있는 것은 지면의 한계로 다 나타낼 수 없기 때문이며, 숫자에 해당하는 IT 목표는 COBIT 부록 1에 구체적으로 정리돼 있다. 그리고 비즈니스 목표와 IT 목표가 어떤 정보 기준과 밀접하게 관련돼 있는지도 명시돼 있다.
·IT 자원
COBIT에서는 IT 자원을 다음과 같이 정의하고 있으며, 각 프로세스별로 어떤 자원과 밀접하게 연관되어 있는지를 제시하고 있다.
– 애플리케이션(Applications) : 정보를 처리하는 자동화된 사용자 시스템과 수작업 절차
– 정보(Information) : 비즈니스 부문에 의해 사용되는 모든 형태의 데이터로, 정보시스템에 의해 입력이나 처리, 출력되는 모든 형식의 데이터
– 인프라(Infrastructure) : 애플리케이션의 처리를 가능하게 해주는 기술과 시설(하드웨어, 운영체계, DBMS, 환경 등)
– 인력(People) : 정보시스템이나 서비스에 대한 계획 수립과 조직화, 획득, 구현, 제공, 지원, 모니터링과 평가하는 사람.
프로세스 지향적
COBIT는 IT 활동을 4개의 도메인을 갖춘 하나의 일반적인 프로세스 모델로 정의하고 있다. 그 프로세스 모델은 (그림 7)과 같이 계획수립과 조직화(Plan and Organize), 도입과 구축(Acquire and Implement), 운영과 지원(Deliver and Support), 모니터링과 평가(Monitor and Evaluate)라는 도메인으로 구성돼 있다. 이런 도메인은 IT 부문의 전통적인 책임 영역인 계획 수립, 구축, 운영, 모니터링에 매핑된다.
(그림 7)에서 도메인 명칭 아래에 있는 숫자(예 : PO 10Ps)는 그 도메인을 구성하고 있는 프로세스의 개수를 뜻한다. 예를 들어 계획 수립과 조직화 도메인은 PO로 표시돼 있으며, 10개의 프로세스로 구성돼 있다는 의미다. 참고로 온더넷에 IT 거버넌스에 관한 연재를 시작하면서 9월 호에 COBIT 프로세스 모델 전체를 제시한 바가 있으니 참조하기 바란다(온더넷 9월호, 124쪽)
한편, COBIT는 이런 프로세스 별로 수행 활동이나 입출력물을 명시하고 있으며, 책임이나 역할에 있어서도 RACI 차트로 보다 구체적으로 제시하고 있다. RACI 차트란, Responsibility(수행책임), Accountability(최종책임), Consulted(자문), Informed(통보)를 나타내는 말이다.
통제 기반
통제는 비즈니스 목적을 달성하고 바람직하지 못한 사건들의 예방과 탐지, 수정을 적절하게 보증하기 위한 정책이나 절차, 사례, 조직구조 등으로 정의된다.
IT 통제 목적이란 특정한 IT 활동에 통제 절차를 구현함으로써 달성하려는 결과나 목적을 선언한 것이다. COBIT에서 제시하는 통제 목적은 개별 IT 프로세스의 효과적인 통제를 위한 최소한의 요구사항들이다. 각각의 프로세스에 대한 통제 목적은 다음 호에서 구체적으로 설명하기로 하자.
(그림 8)은 표준적인 통제모델을 제시하고 있는데, 다음과 같은 비유를 통해서 설명할 수 있다.
“난방시스템(Process)으로 실내온도(Standard)를 설정할 때, 현재의 실내온도(Control Information)를 지속적으로 점검하고(Compare), 온도를 높이거나 낮추는 신호를 보낸다(Act).”
·IT 일반통제와 애플리케이션통제
일반통제(General controls)는 IT 프로세스나 서비스에 내재된 통제를 말하는 것으로, 시스템 개발이나 변경관리, 보안, 컴퓨터 운영 등을 포함한다. 반면 비즈니스 프로세스 애플리케이션에 내재된 통제를 흔히 애플리케이션통제(Application controls)라 하는데, 완전성이나 정확성, 타당성, 승인, 직무분리 등이 이에 속한다
COBIT는 자동화된 응용통제의 설계와 구현 IT 부문의 책임이고, (그림 7)에서 살펴본 프로세스 모델의 ‘도입과 구축’ 도메인에서 수행하는 활동으로 간주하고 있다. 하지만 애플리케이션통제의 운영적인 관리와 통제 책임은 IT 부문이 아닌 비즈니스 프로세스 부문의 몫이라고 말한다.
COBIT의 IT 프로세스들은 애플리케이션통제가 아닌 IT 일반통제를 담당하고 있다. 애플리케이션통제는 비즈니스 프로세스 부문의 책임이면서 비즈니스 프로세스에 통합돼 있기 때문이다.
한편, COBIT는 다음과 같은 일련의 애플리케이션통제 목적 그룹들을 권고안으로 제시하고 있다. 각 통제목적 그룹별로 구체적인 통제목적을 포함하고 있다.
– 데이터 생성/승인 통제
– 데이터 입력 통제
– 데이터 처리 통제
– 데이터 출력 통제
– 주변 통제
측정 주도
모든 조직의 기본적인 요구는 자신들의 IT 시스템 현황을 이해하고, 조직이 제공해야 할 관리나 통제 수준을 결정하는 것이다. 하지만 조직의 성과 수준에 대한 객관적인 시각을 확보하는 것이 용이한 일은 아니다. 무엇을 측정하고 어떻게 측정해야 하는지, 그리고 현재 자신들의 위치가 어디쯤이며 어느 부문에 개선이 필요한지를 측정하고, 이런 개선을 모니터링하기 위한 관리 도구들을 구현해야 한다.
이런 질문에 대한 답을 제시하기 위해 COBIT는 성숙도 모델(Maturity Model)과 성과목표와 측정 기준(Performance goals and metrics), 활동 목표(Activity goals) 등을 제공하고 있다.
·성숙도 모델
조직은 비용 대비 효과를 고려해 적절한 수준의 관리와 통제를 수행해야 한다. COBIT의 성숙도 모델은 이를 위해 미국의 SEI(Software Engineering Institute)가 소프트웨어 개발 역량 부문에서 정의한 성숙도 모델을 기반으로 작성됐다. 성숙도 모델을 이용해 조직 내 실제 성과조직의 현재 위치나 업계의 현황, 조직의 개선 목표나 조직이 원하는 위치 등과 같은 사항을 파악할 수 있다.
성숙 단계는 현재는 물론 미래의 상태에 대한 설명으로 인식할 수 있는 IT 프로세스의 프로파일로 작성됐다. 이 성숙 단계는 하위 단계의 모든 조건들을 충족시키지 않고는 다음 단계로 발전할 수 없는 임계치(Threshold) 모델로 개발된 것은 아니다.
COBIT의 성숙도 모델 각 단계에 대한 일반적인 설명은 (그림 10)과 같다.
조직은 COBIT의 34개 IT 프로세스 각각에 대해 부재 단계(0 단계)부터 최적 단계(5 단계) 중의 하나로 평가할 수 있다. COBIT는 각 프로세스별로 0∼5 단계에 대한 성숙도 모델을 제시하고 있기 때문에 이를 활용해 체크 리스트나 진단표를 만들어 설문을 통해 판단할 수 있다.
성숙도 모델은 (그림 10)과 같은 일반적인 정성적 모델로부터 출발해 단계가 올라갈수록 다음과 같은 속성들에 대한 원칙들이 점차 추가된다.
– 인식 및 전파
– 정책, 표준 및 절차
– 도구 및 자동화
– 스킬 및 전문성
– 수행 책임 및 최종 책임 소재
– 목표 설정 및 측정
여기서 우리가 알아둬야 할 것은 COBIT의 성숙도 모델은 역량(Capability)에 초점을 맞춘 것이지 성과(Performance)에 중점을 둔 것은 아니라는 점이다. 그리고 이런 역량의 달성 정도는 비용 대비 효과에 입각한 의사결정에 따른다. 예를 들면, 높은 수준의 보안관리는 조직에서 가장 중요한 시스템에만 초점을 맞추면 되는 것이다.
·성과 측정
COBIT에서 목표와 측정 기준은 다음과 같은 세 가지 수준으로 정의된다.
– IT 목표와 측정 기준 비즈니스가 IT로부터 기대하는 것
– 프로세스 목표와 측정 기준 IT 프로세스가 IT 목적을 지원하기 위해서 제공해야 하는 것
– 프로세스 성과 측정 기준 목표가 충족될 가능성이 있는지를 나타낼 수 있도록 프로세스가 얼마나 잘 수행되고 있는지 측정하는 것
한편, COBIT는 두 가지 종류의 지표를 사용한다. 목표지표와 성과지표가 그것으로, 하위 수준에서의 목표지표들은 상위 수준에서의 성과지표가 된다.
핵심목표지표(Key Goal Indicator, KGI)는 IT 프로세스가 비즈니스 요구사항을 달성했는지를 사후적으로 말해주는 지표로, 보통 정보기준 용어로 표현된다. 반면 핵심성과지표(Key Performance Indicator, KPI)는 IT 프로세스가 목표를 달성할 수 있도록 얼마나 잘 수행되고 있는지를 파악하는 지표로, 목표의 달성 가능성을 나타내는 선행지표 역량이나 사례, 스킬 등을 잘 나타낸다.
지금까지 COBIT의 진화, 구성, 프레임워크의 4가지 특성을 간단하게 살펴봤다. 아직까지 COBIT의 각 프로세스별 상세사항을 다루지 않았기에 독자들이 다소 피상적으로 느끼리라 생각하지만, 다음 호를 보면 COBIT가 얼마나 구체적이고 포괄적인 내용을 담고 있는지 알 수 있을 것이다. 설레는 마음으로 다음 호에서 여러분을 만나기를 고대한다. 월간 온더넷 2006년 10월호
참고문헌 1. ITGI, COBIT 4.0, 2005년 2. ITGI, Board Briefing on IT Governance, 2nd Edition, 2003. 3. ITGI, COBIT Mapping; Overview of International IT Guidance, 2ndEdition, 2006 4. 황경태, COBIT 4.0 한글판, 한국정보시스템감사통제협회, 2006년
Kommentare