2019.01.17

IT거버넌스 프레임워크 COBIT 2019, 무엇이 어떻게 달라졌나

Sarah K. White | CIO
COBIT은 ISACA가 개발한 IT 관리 프레임워크로 기업이 정보관리 및 거버넌스와 관련된 전략을 개발하고, 조직하고, 이행하는 데 유용하다.  
 
Credit: Daderot

1996년 처음 발표된 COBIT(Control Objectives for Information and Related Technologies – 정보기술 관리 목적)은 원래 금융 감사 커뮤니티가 IT환경의 성장을 좀더 원활하게 조정하는 데 도움을 주는 일련의 IT 제어 목적으로 고안됐다. 1998년 ISACA는 버전 2를 발표하였고, 이때부터 프레임워크는 감사 업계 외부로 확대되었다. 이후 2000년대에 ISACA는 버전 3을 개발했고, 여기서는 오늘날 이 프레임워크에서 볼 수 있는 IT 관리 및 정보 거버넌스 기법들이 등장한다. 

COBIT 4 버전은 2005년 발표되었고, 2007년에 COBIT 4.1이 나왔다. 이 개정판에는 정보통신기술의 거버넌스에 관한 정보가 더 많이 포함되었다. 2012년에는 COBIT 5가 발표되었고, 2013년에는 COBIT 5의 애드-온이 발표됐다. 여기서는 기업의 위험 관리 및 정보 거버넌스에 관한 정보가 보강되었다.  

ISACA는 2018년 COBIT의 개정판을 발표하면서, 기존의 버전 번호를 버리고 이를 COBIT 2019로 명명하였다. ISACA에 따르면 이 COBIT 개정판은 빈번하고 유연한 업데이트로 지속해서 발전할 수 있도록 설계되었다. COBIT 2019는 좀더 유연하고, 협력적이고, 나아가 새롭고 변화하는 기술에 대응해 거버넌스 전략을 구축할 수 있도록 도입된 프레임워크다.  

COBIT 2019에 담긴 내용 
COBIT 2019는 새로운 동향, 기술, 보안 요구에 따라 현대의 기업에 맞게 프레임워크를 갱신했다. 이는 다른 IT 관리 프레임워크, 예컨대 ITIL, CMMI, TOGAF 등과 여전히 조화롭게 작용하기 때문에, 프로세스를 전사적으로 일원화하는 포괄적 프레임워크로서 탁월한 선택지다. 

새로운 개념 및 전문용어와 함께 COBIT 코어 모델은 거버넌스 프로그램을 정립하기 위한 40가지 거버넌스 및 관리 목적을 서술한다. 이제 성과 관리 시스템은 성숙도 및 능력 측정치를 이용해 유연성이 한층 높아졌다. 전체적으로, 프레임워크는 기업이 IT 거버넌스 전략을 커스터마이징 할 때 더 많은 재량을 가질 수 있도록 설계되었다. 

다른 IT관리 프레임워크와 마찬가지로, COBIT은 비즈니스 목표와 IT 목표 사이의 연결을 확립하고, 아울러 IT(또는 IT 사일로)와 외부 부서 간의 간극을 메울 수 있는 프로세스를 생성함으로써 두 목표를 일치시키는 데 유용하다. 

COBIT과 여타 프레임워크 사이의 한가지 중요한 차이점이라면 이는 보안, 위험 관리, 정보 거버넌스에 특화되었다는 점이다. 이는 COBIT이 무엇이고, COBIT이 아닌 것은 무엇인가를 더 정확히 정의한 COBIT 2019에서 특히 두드러진다. 예를 들어, ISACA는 COBIT 2019가 비즈니스 프로세스를 조직하고, 기술을 관리하고, IT 관련 결정을 내리고, IT 전략 또는 아키텍처를 지정하는 프레임워크가 아니라고 밝혔다. 오히려 이는 전사적인 IT 거버넌스 및 관리를 위한 프레임워크로서 엄격히 설계되었다. 이는 이 개정판에서 더욱 명확해졌고, 따라서 COBIT을 이용하거나 구현하는 방식에서 혼란이 줄어들었다.  

COBIT 2019의 목표 
ISACA에 따르면 COBIT 2019는 아래의 사항을 포함하도록 개정되었다: 
•    중점 분야 및 설계 요소에 의해 거버넌스 시스템을 비즈니스 요구에 맞춰 좀더 정확하게 생성 
•    글로벌 표준, 프레임워크 및 모범 사례와의 정렬을 강화해 프레임워크의 적합성을 확장 
•    세계의 거버넌스 커뮤니티로부터의 피드백을 허용하는 오픈소스 모델로 신속한 업데이트와 보강  
•    정규 업데이트를 수시로 발표  
•    최적의 거버넌스 시스템을 개발할 수 있도록 지원하는 지침과 툴을 추가해 COBIT 2019를 규범이 되도록 만듦 
•    IT 성과 및 CMMI와의 정렬을 측정하는 향상된 툴 
•    새로운 온라인 협업 기능 등 의사 결정 지원 확대 

또한 COBIT 2019는 특정 거버넌스 주제 및 문제를 서술하는 ‘중점 분야’ 개념을 도입하였다. 중점 분야는 관리 또는 거버넌스 목적에서 다루어진다. 중점 분야의 실례는 중소기업, 사이버보안, 디지털 트랜스포메이션, 클라우드 컴퓨팅 등이다. 중점 분야는 동향, 연구, 피드백을 바탕으로 수시로 추가되고 변경될 것이다. COBIT 2019에 추가될 수 있는 중점 분야 수는 제한이 없다. 

COBIT 2019 구성 요소 
•    COBIT 2019 프레임워크, 서론 및 방법론, 기본적인 COBIT 원리와 함께 전체 프레임워크의 체계를 소개하는 주 안내서 
•    COBIT 2019 프레임워크, 거버넌스 및 관리 목적, COBIT 코어 모델 및 40가지 거버넌스 및 관리 목적을 상세히 다룬 동반 안내서. 각 목적에서는 의의, 기업과 목적을 연결하는 방식, 조직 목표와 목적을 정렬하는 방식 등을 서술한다. 
•    COBIT 2019 설계 지침: 조직의 독자적인 맞춤형 거버넌스 시스템의 개발을 심층적으로 다룬 동반 안내서 
•    COBIT 2019 이행 지침: 프레임워크의 4번째 동반 안내서로서 거버넌스 전략의 개발 후 이행 과정을 종합적으로 지도한다. 예컨대 모범 사례, 실패를 피하는 법, COBIT 2019 전략을 COBIT 5 전략과 통일하는 방법 등이다. 

COBIT 원리 및 혜택 
COBIT 2019에서 중요한 변화 한가지는 이를 이행하는 커뮤니티의 피드백을 장려한다는 점이다. COBIT 2019 설계 지침을 구매할 수 있지만, 2019년 초에 ISACA는 COBIT의 크라우드소싱 버전 역시 발간할 것이고, 여기서는 COBIT을 실행하는 조직이 의견을 개진하거나, 개선을 제안하거나, 새로운 개념 및 발상을 제시할 수 있다. 

COBIT 2019는 기업이 거버넌스 전략 개발을 지도하기 위한 규범이 되도록 설계되었고, 또한 최적의 독자적 거버넌스 전략을 좀더 수월하게 도출할 수 있게 해준다. ISACA에 따르면 COBIT 2019는 ‘거버넌스 시스템: 프로세스, 정책 및 절차, 조직 구조, 정보 흐름, 기술력, 인프라, 문화 및 행동을 구축하고 유지하는 컴포넌트’를 정의한다. COBIT 5에서 ‘이행 툴’로 지칭되었던 이들 컴포넌트는 강력한 거버넌스 시스템에 필요한 것을 한층 명확히 정의한다. 

ISACA에 따르면 COBIT 2019는 다중 프레임워크, 예컨대 ITIL, ISO/IEC 2000, CMMI 등을 이용하면서 자체 프레임워크나 표준을 이용하는 IT내의 특정 사일로를 가진 고객에게 가장 적합하다. 아울러 정부 및 지방 단체가 정한 규제적 지침을 준수할 의무가 있는 조직에도 매우 적합하다. 

COBIT 2019 프레임워크는 조직 내의 기존의 프레임워크들을 정렬시키는데, 그리고 각 프레임워크를 종합 전략에 합치시키는 방식을 파악하는 데 유용하다. 또한 보안 컴플라이언스, 정보 보안, 위험 관리 측면에서 타 프레임워크의 성능을 모니터링하는 데에도 유용하다. 

또한 이는 조직 목표와 IT를 어떻게 합치시킬 것인가에 대한 통찰을 경영진에게 제공할 수 있도록 설계되었다. ISACA에 따르면 프레임워크의 특정 측면들로 취약점을 직접 연결할 수 있고, 이는 ‘제어 중심의 IT’의 필요를 두드러지게 한다. 이 프레임워크는 CIO와 여타 IT임원이 일정 IT 프로젝트의 ROI를 입증할 방법을 제공하고, 아울러 프로젝트가 핵심 비즈니스 목표를 달성하는 데 어떻게 기여하는지를 설명할 수 있게 해준다. 
 
COBIT 인증 
ISACA를 통해 이미 COBIT 5 인증을 받았거나, 인증 과정을 진행 중이라면 ISACA는 COBIT 5 교육 및 자격증을 계속 지원할 것이고, 이는 COBIT 2019 교육과 병행해 지속될 것이다. 

COBIT 2019 인증은 아래의 사항을 포함한다. 
•    COBIT 브리지 워크숍: COBIT 2019에 나온 개념, 모델, 핵심 정의를 다루고, COBIT 5와 COBIT 2019의 차이에 집중하는 1일 교육 과정 
•    COBIT 2019 재단 시험: COBIT 2019 재단 인증 시험을 준비하는 과정으로, ‘전후 배경, 컴포넌트, 혜택, 그리고 COBIT이 정보 기술 거버넌스 프레임워크로 사용되는 핵심 이유’를 아우른다. 2일 교육 과정 후 COBIT 2019 재단의 인증을 받을 수 있다. 
•    COBIT 2019 설계 및 이행 시험: 이 인증은 2019년 4월 시작될 예정이고, COBIT을 이용해 최적의 맞춤형 거버넌스 시스템을 설계하는 것을 다룬다. 

위 내용은 COBIT 2019 인증 체계에 관한 모든 정보를 망라한다. 그러나 ISACA는 “COBIT 2019 제품 계열 및 교육은 확정적이 아니다”고 밝히면서 “ISACA는 피드백과 시장 요구에 따라 향후 교육 모듈의 개발을 지속해서 판단할 것이다”고 전했다. ciokr@idg.co.kr



2019.01.17

IT거버넌스 프레임워크 COBIT 2019, 무엇이 어떻게 달라졌나

Sarah K. White | CIO
COBIT은 ISACA가 개발한 IT 관리 프레임워크로 기업이 정보관리 및 거버넌스와 관련된 전략을 개발하고, 조직하고, 이행하는 데 유용하다.  
 
Credit: Daderot

1996년 처음 발표된 COBIT(Control Objectives for Information and Related Technologies – 정보기술 관리 목적)은 원래 금융 감사 커뮤니티가 IT환경의 성장을 좀더 원활하게 조정하는 데 도움을 주는 일련의 IT 제어 목적으로 고안됐다. 1998년 ISACA는 버전 2를 발표하였고, 이때부터 프레임워크는 감사 업계 외부로 확대되었다. 이후 2000년대에 ISACA는 버전 3을 개발했고, 여기서는 오늘날 이 프레임워크에서 볼 수 있는 IT 관리 및 정보 거버넌스 기법들이 등장한다. 

COBIT 4 버전은 2005년 발표되었고, 2007년에 COBIT 4.1이 나왔다. 이 개정판에는 정보통신기술의 거버넌스에 관한 정보가 더 많이 포함되었다. 2012년에는 COBIT 5가 발표되었고, 2013년에는 COBIT 5의 애드-온이 발표됐다. 여기서는 기업의 위험 관리 및 정보 거버넌스에 관한 정보가 보강되었다.  

ISACA는 2018년 COBIT의 개정판을 발표하면서, 기존의 버전 번호를 버리고 이를 COBIT 2019로 명명하였다. ISACA에 따르면 이 COBIT 개정판은 빈번하고 유연한 업데이트로 지속해서 발전할 수 있도록 설계되었다. COBIT 2019는 좀더 유연하고, 협력적이고, 나아가 새롭고 변화하는 기술에 대응해 거버넌스 전략을 구축할 수 있도록 도입된 프레임워크다.  

COBIT 2019에 담긴 내용 
COBIT 2019는 새로운 동향, 기술, 보안 요구에 따라 현대의 기업에 맞게 프레임워크를 갱신했다. 이는 다른 IT 관리 프레임워크, 예컨대 ITIL, CMMI, TOGAF 등과 여전히 조화롭게 작용하기 때문에, 프로세스를 전사적으로 일원화하는 포괄적 프레임워크로서 탁월한 선택지다. 

새로운 개념 및 전문용어와 함께 COBIT 코어 모델은 거버넌스 프로그램을 정립하기 위한 40가지 거버넌스 및 관리 목적을 서술한다. 이제 성과 관리 시스템은 성숙도 및 능력 측정치를 이용해 유연성이 한층 높아졌다. 전체적으로, 프레임워크는 기업이 IT 거버넌스 전략을 커스터마이징 할 때 더 많은 재량을 가질 수 있도록 설계되었다. 

다른 IT관리 프레임워크와 마찬가지로, COBIT은 비즈니스 목표와 IT 목표 사이의 연결을 확립하고, 아울러 IT(또는 IT 사일로)와 외부 부서 간의 간극을 메울 수 있는 프로세스를 생성함으로써 두 목표를 일치시키는 데 유용하다. 

COBIT과 여타 프레임워크 사이의 한가지 중요한 차이점이라면 이는 보안, 위험 관리, 정보 거버넌스에 특화되었다는 점이다. 이는 COBIT이 무엇이고, COBIT이 아닌 것은 무엇인가를 더 정확히 정의한 COBIT 2019에서 특히 두드러진다. 예를 들어, ISACA는 COBIT 2019가 비즈니스 프로세스를 조직하고, 기술을 관리하고, IT 관련 결정을 내리고, IT 전략 또는 아키텍처를 지정하는 프레임워크가 아니라고 밝혔다. 오히려 이는 전사적인 IT 거버넌스 및 관리를 위한 프레임워크로서 엄격히 설계되었다. 이는 이 개정판에서 더욱 명확해졌고, 따라서 COBIT을 이용하거나 구현하는 방식에서 혼란이 줄어들었다.  

COBIT 2019의 목표 
ISACA에 따르면 COBIT 2019는 아래의 사항을 포함하도록 개정되었다: 
•    중점 분야 및 설계 요소에 의해 거버넌스 시스템을 비즈니스 요구에 맞춰 좀더 정확하게 생성 
•    글로벌 표준, 프레임워크 및 모범 사례와의 정렬을 강화해 프레임워크의 적합성을 확장 
•    세계의 거버넌스 커뮤니티로부터의 피드백을 허용하는 오픈소스 모델로 신속한 업데이트와 보강  
•    정규 업데이트를 수시로 발표  
•    최적의 거버넌스 시스템을 개발할 수 있도록 지원하는 지침과 툴을 추가해 COBIT 2019를 규범이 되도록 만듦 
•    IT 성과 및 CMMI와의 정렬을 측정하는 향상된 툴 
•    새로운 온라인 협업 기능 등 의사 결정 지원 확대 

또한 COBIT 2019는 특정 거버넌스 주제 및 문제를 서술하는 ‘중점 분야’ 개념을 도입하였다. 중점 분야는 관리 또는 거버넌스 목적에서 다루어진다. 중점 분야의 실례는 중소기업, 사이버보안, 디지털 트랜스포메이션, 클라우드 컴퓨팅 등이다. 중점 분야는 동향, 연구, 피드백을 바탕으로 수시로 추가되고 변경될 것이다. COBIT 2019에 추가될 수 있는 중점 분야 수는 제한이 없다. 

COBIT 2019 구성 요소 
•    COBIT 2019 프레임워크, 서론 및 방법론, 기본적인 COBIT 원리와 함께 전체 프레임워크의 체계를 소개하는 주 안내서 
•    COBIT 2019 프레임워크, 거버넌스 및 관리 목적, COBIT 코어 모델 및 40가지 거버넌스 및 관리 목적을 상세히 다룬 동반 안내서. 각 목적에서는 의의, 기업과 목적을 연결하는 방식, 조직 목표와 목적을 정렬하는 방식 등을 서술한다. 
•    COBIT 2019 설계 지침: 조직의 독자적인 맞춤형 거버넌스 시스템의 개발을 심층적으로 다룬 동반 안내서 
•    COBIT 2019 이행 지침: 프레임워크의 4번째 동반 안내서로서 거버넌스 전략의 개발 후 이행 과정을 종합적으로 지도한다. 예컨대 모범 사례, 실패를 피하는 법, COBIT 2019 전략을 COBIT 5 전략과 통일하는 방법 등이다. 

COBIT 원리 및 혜택 
COBIT 2019에서 중요한 변화 한가지는 이를 이행하는 커뮤니티의 피드백을 장려한다는 점이다. COBIT 2019 설계 지침을 구매할 수 있지만, 2019년 초에 ISACA는 COBIT의 크라우드소싱 버전 역시 발간할 것이고, 여기서는 COBIT을 실행하는 조직이 의견을 개진하거나, 개선을 제안하거나, 새로운 개념 및 발상을 제시할 수 있다. 

COBIT 2019는 기업이 거버넌스 전략 개발을 지도하기 위한 규범이 되도록 설계되었고, 또한 최적의 독자적 거버넌스 전략을 좀더 수월하게 도출할 수 있게 해준다. ISACA에 따르면 COBIT 2019는 ‘거버넌스 시스템: 프로세스, 정책 및 절차, 조직 구조, 정보 흐름, 기술력, 인프라, 문화 및 행동을 구축하고 유지하는 컴포넌트’를 정의한다. COBIT 5에서 ‘이행 툴’로 지칭되었던 이들 컴포넌트는 강력한 거버넌스 시스템에 필요한 것을 한층 명확히 정의한다. 

ISACA에 따르면 COBIT 2019는 다중 프레임워크, 예컨대 ITIL, ISO/IEC 2000, CMMI 등을 이용하면서 자체 프레임워크나 표준을 이용하는 IT내의 특정 사일로를 가진 고객에게 가장 적합하다. 아울러 정부 및 지방 단체가 정한 규제적 지침을 준수할 의무가 있는 조직에도 매우 적합하다. 

COBIT 2019 프레임워크는 조직 내의 기존의 프레임워크들을 정렬시키는데, 그리고 각 프레임워크를 종합 전략에 합치시키는 방식을 파악하는 데 유용하다. 또한 보안 컴플라이언스, 정보 보안, 위험 관리 측면에서 타 프레임워크의 성능을 모니터링하는 데에도 유용하다. 

또한 이는 조직 목표와 IT를 어떻게 합치시킬 것인가에 대한 통찰을 경영진에게 제공할 수 있도록 설계되었다. ISACA에 따르면 프레임워크의 특정 측면들로 취약점을 직접 연결할 수 있고, 이는 ‘제어 중심의 IT’의 필요를 두드러지게 한다. 이 프레임워크는 CIO와 여타 IT임원이 일정 IT 프로젝트의 ROI를 입증할 방법을 제공하고, 아울러 프로젝트가 핵심 비즈니스 목표를 달성하는 데 어떻게 기여하는지를 설명할 수 있게 해준다. 
 
COBIT 인증 
ISACA를 통해 이미 COBIT 5 인증을 받았거나, 인증 과정을 진행 중이라면 ISACA는 COBIT 5 교육 및 자격증을 계속 지원할 것이고, 이는 COBIT 2019 교육과 병행해 지속될 것이다. 

COBIT 2019 인증은 아래의 사항을 포함한다. 
•    COBIT 브리지 워크숍: COBIT 2019에 나온 개념, 모델, 핵심 정의를 다루고, COBIT 5와 COBIT 2019의 차이에 집중하는 1일 교육 과정 
•    COBIT 2019 재단 시험: COBIT 2019 재단 인증 시험을 준비하는 과정으로, ‘전후 배경, 컴포넌트, 혜택, 그리고 COBIT이 정보 기술 거버넌스 프레임워크로 사용되는 핵심 이유’를 아우른다. 2일 교육 과정 후 COBIT 2019 재단의 인증을 받을 수 있다. 
•    COBIT 2019 설계 및 이행 시험: 이 인증은 2019년 4월 시작될 예정이고, COBIT을 이용해 최적의 맞춤형 거버넌스 시스템을 설계하는 것을 다룬다. 

위 내용은 COBIT 2019 인증 체계에 관한 모든 정보를 망라한다. 그러나 ISACA는 “COBIT 2019 제품 계열 및 교육은 확정적이 아니다”고 밝히면서 “ISACA는 피드백과 시장 요구에 따라 향후 교육 모듈의 개발을 지속해서 판단할 것이다”고 전했다. ciokr@idg.co.kr

X