IT 서비스 위한 '청사진'…ITIL, COBIT, ISO17799 집중 분석

IT는 끊임없는 '변화'를 요구한다. 대부분의 IT 전문가들이 변화가 '게임'의 일부분이라는 것을 이해하고 있지만 이들이 지원하는 조직은 이를 거부하거나 이해하는데 어려움을 겪는 일이 많다. CIO들은 혁신을 추진할 때 모든 사람들이 수용할 수 있는 '표준'을 만들어 대비해야 한다. 이러한 변화에 대처하기 위해 리더십이나 카리스마에만 의존할 수는 없다. 확실한 '청사진'을 제시함으로써 조직의 목표를 설정하고 정해진 방향으로 나아가도록 해야 한다.

많은 조직들이 청사진 마련에 나서고 있다. 하지만 IT 부서가 목표를 정의하기란 간단치 않으며 서비스를 포지셔닝하고 지속적인 진화에 대응하며 그 기능과 서비스를 각 부서별 고객과 커뮤니케이션하기가 쉽지 않은 상황이다. 희소식은 청사진 마련에 모두가 공감하고 있다는 것이다.


COBIT의 오각형
Cobit은 비즈니스의 필요 사항을 이해하고 가능한 한 최대의 효율성에 초점을 맞춰 실행할 수 있도록 하는 것이 목표이다. 전략 배치는 IT와 기획이 동기화되도록 해준다. 가치 제공은 전략적인 가치를 취합해 제공하도록 한다. 리소스 관리를 통해 IT 부서는 실효성이 가장 큰 분야에 투자할 수 있으며 위험 관리는 기업 경영진과 IT 임원들의 대화를 통해 시스템이 전사적으로 적용되어 위험성을 회피하도록 해준다. 성과 관리는 IT의 구축 상황을 모니터링해 성공과 향상의 측정 수단을 제공한다.




이를 위해 IT 서비스 관리의 세계 표준화 참조모델인 ITIL(Information Technology Infrastructure Library) 지침이 새롭게 마련되고 있다. 지난 2000년 마련된 버전 2.0의 업그레이드 버전인 3.0은 글로벌 비즈니스 환경 변화에 맞춰 중소기업을 위한 ITIL 지침을 설정하고 신속한 ITIL 프로세스 구현 등에 초점을 맞추고 있다.

하지만 회의론자들은 ITIL이 너무 전문적이라고 이의를 제기하고 있다. 이를 보완하기 위해, IT 부서는 보다 광범위하게 생각해야 한다. 즉, 더 포괄적인 스펙과 ITIL을 결합해야 한다.

보안에 특화된 ISO 17799를 비롯해 COBIT(Control Objectives for Information and Related Technology) 등을 수용하면서 IT 거버넌스를 위한 청사진의 토대로 삼아야 한다는 의견이 제기된다.

COBIT, ITIL, ISO 17799=COBIT, ITIL, ISO 17799 등 세가지 관리 스펙을 혼용하는 것은 효과가 탁월하다. COBIT의 경우 모니터링과 제어에 효과적이며 ITIL은 프로세스 구현 방법을 제시한다. ISO/IEC 17799:2000는 이러한 서비스를 보호하고 법률적인 요구 사항에 대응할 수 있는 프로세스를 마련할 수 있게 해준다.

COBIT는 IT Governance Institute가 제정한 것으로, 높은 수준의 거버넌스와 제어 프레임워크로 포지셔닝되어 있다. 이 프레임워크는 IT 프로세스를 위한 34개의 통제 목표(control objectives)를 규정하고 있다. 34개의 통제 목표는 다시 318개의 상세 통제 목표로 나뉘어 관리 인증 및 향상을 위한 제언 기능을 제공한다.

ISO/IEC 17799:2000는 정보 보안 관리를 위한 프레임워크로 ISO(International Organization for Standardization)와 IEC(International Electrotechnical Commission)이 발간했다. 처음 발간된 해는 2000년이었으며 2005년 6월에 업데이트되었다. 12개 분야의 보안을 위한 '베스트 프랙티스'가 명시되어 있으며 개인 정보와 내부 정보, 지적 재산권 보호 등의 주제에 대한 지침을 제공한다.

ITIL은 영국정부에서 80년대부터 개발되었으며 IT 서비스 제공에 대한 베스트 프랙티스를 제공한다. 첫 번째 버전은 48권으로 이루어져있었으며 이후 IT 프로세스에 초점을 맞춘 10권으로 줄어들었다.

서비스 관리=ITIL은 고객 지향적이며 전체론적이다. ITIL의 기본적인 목표는 기업들에게 고품질의 신뢰성 있는 서비스를 제공하는 것이다. 이러한 목표를 달성하기 위해, ITIL은 고객 접점의 IT 담당자들이 사용자들과 컨설팅하고 서비스를 활용할 수 있도록 지원하며 의견을 수렴하고 서비스 성과를 모니터링하며 변화를 관리하는 능력을 부여하고 있다.


ITIL 프로세스의 두 정의


이와 함께, ITIL은 전체론적인 서비스 디자인을 유도하고 있다. 특정 서비스 제공과 관련된 모든 사항들이 고려 대상으로, 기능적인 기술 요인과 이러한 요인을 제공 및 유지하는데 필요한 인력 확보, 서비스 기능을 보장하는데 필요한 프로세스 확보 등이 포함된다. 기존 컴퓨팅 환경에서의 위험 요소를 평가하는 것도 고려 대상이다. 물론 향후 서비스 요구 사항도 포함된다. ITIL의 다섯 가지 도서

다음과 같은 도서 5가지는 IT 서비스 관리를 위한 최적의 실행 방안을 기술하고 있다.

서비스 전략(Service Strategy). 새로운 서비스에 대한 시장 기회를 규명하는 방법이 서술되어 있으며 서비스 포트폴리오 관리(Service Portfolio Management)와 파이낸셜 관리(Financial Management)가 포함되어 있다.

서비스 디자인(Service Design). 가용성 관리(Availability Management), 지속성 관리(Continuity Management), 보안 관리 등으로 구성된 디자인 문서로 전략을 개발하는 방법을 제시한다.

서비스 전환(Service Transition). 서비스 디자인 구현 방안과 기존 서비스를 바꾸는 방법이 제공된다. 여기에는 변화 관리(Change Management), 컨피규레이션 관리(Configuration Management), 서비스 지식 관리(Service Knowledge Management)가 포함되어 있다.

서비스 운영(Service Operation). 서비스 전환 부분과 밀접한 관계가 있으며 서비스를 운영하는 방법과 서비스 수준 협약에 부합하는 방법이 다루어지고 있다. 사건 관리(Incident Management)와 문제 관리(Problem Management), 요청 실행(Request Fulfillment) 등의 분야가 포함된다.

지속적인 서비스 향상(Continual Service Improvement). 일관되고 반복적인 프로세스에 초점을 맞춘 것으로, SLA 메트릭스를 사용해 서비스의 개선 상황을 추적한다.





ITIL의 작동 방법을 예로 들어보자. 시스코가 IOS 업그레이드를 발표하는 등 이벤트가 발생하게 되면 일부 조직은 자기들의 인프라에 이를 단순히 적용시킨다. 하지만 ITIL 기반의 프로세스라면 보다 정교하게 조직 내에 통합시키고 변화에 대한 우선 순위를 할당하며 요구 사항을 철저히 분석하는 작업이 선행된다.위의 사례에서는 네트워크 관리자 역할을 하는 Change Initiator가 변경 사항을 데이터베이스에 입력하라고 요청한다. 이러한 요청은 특별한 식별기로 구성된다. 요청 사항이 관리자의 매니저인 Change Manager로 전송되어 IT 목표와의 상관 관계를 검토한다.

변경 사항이 승인되면 Change Initiator가 상세한 변경 내용에 대한 기획안을 만들어 서비스 및 사용자에 대한 영향이 어느 정도인지를 분석한다, 이 기획안은 기술적인 정확도에 대한 검토 작업을 위해 Change Manager에게 전달되어 승인을 받는다.

이처럼 ITIL에서의 문제 해결은 체계화되어 있으며 철저하다. 또한 사후 및 사전 프로세스가 모두 이루어진다. 사건 관리 프로세스는 특정 문제를 해결할 수 있다.

또한 문제 해결에는 문제 관리 프로세스와 같이 적극적인 수단이 개입된다. 이러한 프로세스 하에서는 다양한 사건의 중요성을 측정하고 그 원인을 조사할 수 있게 된다. 해결이 완료되면 기업의 지식 기반으로 축적되어 향후 서비스 데스크에서 활용될 수 있다.
종합해볼 때, COBIT과 ISO 17799, ITIL이 서로 결합될 경우 IT 거버넌스를 위한 프레임워크를 가장 완벽하게 마련할 수 있다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지