CDMC 클라우드 데이터 관리 역량 프레임워크 실무 가이드

클라우드 환경은 데이터 관리 방식을 변화시켰습니다. 이제 데이터는 리전 간에 이동하고, ID는 페더레이션되며, 스토리지와 컴퓨팅은 독립적으로 확장됩니다. 또한 액세스 의사 결정은 사후 점검이 아니라 지속적으로 평가해야 하는 API, 정책, 메타데이터에 점점 더 의존하고 있습니다.

CDMC(클라우드 데이터 관리 역량) 프레임워크는 조직이 클라우드, 멀티 클라우드, 하이브리드 클라우드 환경에서 데이터를 관리하고 제어하는 방식을 평가하고 개선하도록 지원합니다.

CDMC는 모범 사례 기반의 평가 및 인증 프레임워크입니다. 이 프레임워크는 100개 이상의 조직에서 300명 이상이 참여한 CDMC Working Group에 의해 개발되었으며, 최초의 CDMC 통제 항목은 2021년에 발표되었습니다. 이 프레임워크는 EDM Council이 내부 사용을 위한 무료 라이선스로 제공합니다.

CDMC는 프레임워크인 DAMA-DMBOK나 DCAM과는 다릅니다. DAMA-DMBOK는 데이터 관리를 하나의 전문 분야로 다루는 지식 체계인 반면, DCAM은 더 광범위한 엔터프라이즈 데이터 관리 역량을 평가합니다. CDMC는 이러한 기반의 중요성을 인정하면서도, 자동화, 정책 집행 및 지속적인 증거 수집이 사후에 추가되는 선택적 기능이 아니라 설계의 일부인 클라우드 환경에서 민감 데이터를 관리하기 위해 필요한 통제 항목에 초점을 맞춥니다.

CDMC는 핵심적으로 6개 영역에 걸쳐 구성된 14개의 주요 통제 및 자동화 항목을 중심으로 구성되어 있습니다.

CDMC의 14가지 통제 항목은 이를 지원하는 6가지 운영 영역을 기준으로 살펴보면 이해하기가 더 쉽습니다.

1. 거버넌스 및 책임성은 기본적인 제어 영역을 다룹니다. 여기에는 데이터 통제 규정 준수, 소유권, 권위 있는 데이터 소스 및 프로비저닝 지점, 그리고 데이터 주권과 국경 간 데이터 이동이 포함됩니다. 팀은 민감한 자산의 소유자가 누구인지, 해당 자산의 출처가 어디인지, 규정 준수가 어떻게 모니터링되는지, 그리고 관할권 간 데이터 이동이 적절하게 관리되고 감사 가능한 상태인지 입증할 수 있어야 합니다.
2. 카탈로그화 및 분류는 민감 데이터가 생성 또는 수집 시 자동으로 카탈로그화되고 분류되는지, 그리고 이 프로세스가 환경 전반에서 일관되게 유지되는지를 다룹니다. 이것은 CDMC가 얼마나 클라우드 지향적인지 보여주는 가장 명확한 사례 중 하나입니다. 프레임워크가 데이터 카탈로그를 정적인 인벤토리가 아닌, 실시간으로 작동하는 제어 인터페이스로 전제하기 때문입니다.
3. 액세스 가능성 및 사용은 권한, 액세스 기본값, 데이터 사용 목적을 다룹니다. 민감 데이터에 대한 접근 권한은 기본적으로 생성자와 소유자에게만 부여되어야 하며, 모든 접근 내역은 추적 가능해야 합니다. 또한 민감 데이터가 포함된 데이터 공유 계약의 경우 데이터 사용 목적도 명시되어야 합니다.
4. 보호 및 개인정보 보호는 민감 데이터에 적합한 보안 통제와 관할 지역의 요구 사항에 따라 개인정보에 대한 데이터 보호 영향 평가(DPIA)가 자동으로 수행되도록 하는 체계를 다룹니다. 이 영역에서 CDMC는 거버넌스 요구 사항을 개인정보 보호 운영 및 증거와 가장 명확하게 연결합니다.
5. 데이터 수명 주기는 데이터 보존, 아카이빙, 삭제 및 데이터 품질 측정을 다룹니다. EDM Council의 다이어그램은 데이터 품질 측정을 별도의 최상위 품질 영역이 아닌 이 영역에 포함하고 있습니다. 이는 데이터 품질이 단순한 분석 과제가 아니라 지속적인 수명 주기 통제의 일부로 간주된다는 점을 보여주는 의미 있는 신호입니다.
6. 데이터 및 기술 아키텍처는 비용 지표와 계보를 다룹니다. CDMC는 조직이 데이터 사용, 스토리지, 이동과 관련된 비용 지표를 카탈로그에서 확인할 수 있게 하고, 민감 데이터의 계보 정보도 제공할 것을 요구합니다.

EDM Council의 CDMC 벤치마크 자료는 증거 기반 스코어링 모델을 사용하며, 프로세스, 참여도, 증거와 연결된 평가 결과를 통해 성숙도를 설명합니다. 실제로 조직은 이러한 평가 결과를 활용해 통제 항목별 성숙도 현황을 파악하고, 자동화, 메타데이터, 정책 적용 범위 또는 모니터링 측면에서 추가 개선이 필요한 영역을 보여주는 개선 히트맵을 작성합니다.

다음은 6개 영역에서 성숙도가 실제로 어떤 모습으로 나타나는지 이해하는 데 도움이 되는 실용적인 예시입니다.

CDMC는 벤더 중립적인 프레임워크이며 구현 방식은 조직마다 다를 수 있지만, Snowflake는 이러한 통제 항목의 여러 측면을 지원하는 기능을 제공합니다.

Snowflake Horizon Catalog는 메타데이터, 계보, 정책 컨텍스트를 통합하며, Snowflake의 민감 데이터 분류는 민감한 것으로 식별된 컬럼에 시스템 정의 태그를 적용합니다. Horizon은 여러 환경 전반에 보존 및 액세스 정책을 적용하도록 지원하며, 이를 통해 카탈로그화 및 분류가 능동적인 통제 계층으로 작동해야 한다는 CDMC의 요구 사항을 지원할 수 있습니다.

Snowflake는 동적 데이터 마스킹 및 행 액세스 정책을 지원합니다. 동적 데이터 마스킹 기능은 마스킹 정책을 사용해 쿼리 시간에 테이블 및 뷰 컬럼의 일반 텍스트 데이터를 선택적으로 마스킹하고, 행 액세스 정책은 테이블 또는 뷰에서 표시되는 행을 제어합니다. 이러한 기능을 함께 활용하면 보안 통제 및 개인정보 보호 중심의 액세스 관리와 관련된 CDMC 요구 사항을 지원할 수 있습니다.

Snowflake는 최대 90일의 Time Travel과, Time Travel 보존 기간이 종료된 후 7일 동안 유지되는 Fail-safe 기능을 제공합니다. 이러한 기능은 플랫폼 내 보존 및 복구 제어 요구사항을 지원할 수 있는 내장형 기능을 제공합니다.

데이터 수명 주기 내 데이터 품질 측정 컨트롤과 관련해, Snowflake의 데이터 품질 모니터링과 데이터 메트릭 함수는 일반적인 데이터 품질 속성을 측정할 수 있는 내장형 및 사용자 지정 방식을 제공합니다. 시스템 데이터 메트릭 함수는 테이블 또는 뷰에 할당할 수 있으며, 거버넌스 및 컴플라이언스 목적에 활용할 수 있어 CDMC Control 11의 요구 사항을 충족하는 실용적인 방법이 될 수 있습니다.

Snowflake의 액세스 모델은 역할 기반 액세스 제어(RBAC), 소유권 및 권한을 중심으로 구성되며, 그 위에 다양한 정책 기반 통제가 적용됩니다. 이는 해당 프레임워크의 권한 부여와 액세스 측면을 지원하며, 태그와 메타데이터는 액세스 결정을 민감도 및 사용 컨텍스트와 연결하는 데 도움이 됩니다.

Horizon Catalog의 메타데이터 및 계보 모델은 CDMC를 단순한 통제 항목 모음이 아니라 조직이 실제로 평가 가능한 프레임워크로 만들어 줍니다. 이 프레임워크는 조직이 민감한 자산을 식별하고, 해당 자산에 거버넌스 컨텍스트를 연결하며, 그 자산이 거치는 시스템, 변환 과정 및 의존 관계에 있는 다운스트림 오브젝트를 추적할 수 있다고 전제합니다. 메타데이터는 소유자 정보, 분류, 태그 및 관련 통제와 같은 맥락 정보를 제공하며, 계보는 데이터가 어떻게 이동하는지와 이러한 통제가 어디까지 유지되어야 하는지를 보여줍니다.

Snowflake는 CDMC가 전제로 하는 제어 컨텍스트를 수립하도록 지원합니다. 해당 프레임워크는 단순히 민감 데이터가 분류되고 보호되는지를 확인하는 데 그치지 않습니다. 조직이 해당 데이터의 소유자가 누구인지, 어떤 데이터 소스가 기준 소스인지, 규정 준수가 어떻게 모니터링되는지, 그리고 환경 또는 관할권 간 데이터 이동이 정책에 따라 검토 가능한지를 입증할 수 있는지도 요구합니다.

Snowflake는 공유 메타데이터, 소유자 정보, 태그, 정책 적용 및 활동 가시성을 통해 조직이 컴플라이언스 관련 프로세스를 구현하고 운영하며 모니터링할 수 있도록 지원하는 기능을 제공합니다. 이를 통해 거버넌스는 데이터 스튜어드와 통제 책임자가 실제로 확인할 수 있는 활동이 됩니다.

다음은 주요 역량과 기능의 관계를 간단히 정리한 것입니다.

CDMC의 진짜 차별점은 클라우드 데이터 관리에 자동화, 증빙 마련, 지속적인 재평가가 가능한 통제 항목이 필요하다고 전제하는 데 있지 않습니다. 왜냐하면 그것은 오늘날의 현대적인 플랫폼들이 실제로 작동하는 방식이기 때문입니다. 이 프레임워크의 가치는 단순히 통제 항목을 정의하는 데 있는 것이 아닙니다. 조직이 카탈로그 메타데이터가 어디에서 채워지는지, 접근 통제가 어떻게 적용되는지, 데이터 품질 검사가 수작업 개입 없이 수행되는지, 그리고 감사 담당자나 규제 기관이 증빙을 요구할 경우 무엇을 제시할 수 있는지와 같은 핵심 질문을 직시하도록 만드는 데 있습니다.