COBIT: ISACA IT 거버넌스 프레임워크 실무 가이드

조직은 거버넌스 요구 사항이 하나의 영역에만 국한되지 않고 데이터 품질, 서비스 관리, 보안 운영 등 여러 영역에 걸쳐 있을 때 COBIT®를 활용합니다. COBIT 프레임워크는 보다 전문화된 프레임워크와 함께 사용됩니다. COBIT는 통합을 목적으로 설계되었기 때문에, 조직은 COBIT를 엔터프라이즈 거버넌스 계층으로 활용하는 한편 운영 수준의 세부 사항은 도메인별 프레임워크에 맡깁니다.

COBIT은 엔터프라이즈 정보와 기술의 거버넌스 및 관리를 위한 ISACA의 프레임워크입니다. 데이터에 특화된 프레임워크는 아닙니다. COBIT의 목적은 더 광범위합니다. 구조화된 거버넌스 체계를 통해 조직이 IT를 엔터프라이즈 목표에 맞게 조정하고, 위험을 관리하며, 리소스를 최적화할 수 있도록 지원하는 것입니다.

COBIT 2019는 현재 버전이자 COBIT 5의 후속 버전입니다. COBIT는 높은 수준에서 정보와 기술을 통해 가치를 창출할 수 있도록 지원하며, 이를 위해 가치 실현과 위험 및 리소스 최적화 간의 균형을 추구합니다. 이러한 이유로 COBIT는 데이터 팀에만 국한되지 않고 감사, 아키텍처, 보안, 규정 준수 및 운영 전반에 걸쳐 적용됩니다.

COBIT 2019가 여전히 널리 사용되는 실질적인 이유 중 하나는 조직의 상황에 맞게 조정할 수 있도록 설계되었다는 점입니다. ISACA는 조직이 자체 환경에 맞춰 거버넌스 체계를 구성할 수 있도록 이 프레임워크를 설계했습니다. 이는 엔터프라이즈 전략, 위험 프로필, 소싱 모델, 조직 규모 및 구현 접근 방식과 같은 변수를 고려한다는 의미입니다.

이러한 이유로 COBIT은 전문화된 프레임워크보다 상위에 위치하는 경우가 많습니다. COBIT는 다른 프레임워크를 어떻게 운영하고, 모니터링하며, 엔터프라이즈 목표에 맞게 정렬할 것인지를 결정하는 데 도움을 주는 거버넌스 체계를 제공합니다. 예를 들어, COBIT은 ITIL 및 TOGAF와 같은 프레임워크를 보완합니다. TOGAF가 엔터프라이즈 아키텍처를 어떻게 설계할 것인지를 안내하고 ITIL이 서비스를 어떻게 제공하고 관리할 것인지에 초점을 맞춘다면, COBIT는 두 프레임워크가 비즈니스 목표, 위험 관리 및 가치 실현에 부합하도록 합니다.

COBIT 2019를 이해하는 가장 쉬운 방법은 서로 연결된 세 가지 계층을 살펴보는 것입니다. 첫째는 거버넌스 체계를 이끄는 원칙, 둘째는 해당 체계를 구성하는 구성 요소, 셋째는 실제 거버넌스 및 관리 활동을 체계화하는 도메인과 목표입니다.

첫 번째 계층은 거버넌스 체계 원칙으로 구성되며, 이는 거버넌스 체계가 어떻게 작동해야 하는지를 정의하는 설계 원칙 역할을 합니다. COBIT 2019의 원칙은 다음과 같습니다.

두 번째 계층은 거버넌스 체계의 7가지 구성 요소로 이루어져 있으며, 이는 조직이 실제로 활용하는 구성 요소입니다.

COBIT는 실제 거버넌스 및 관리 활동을 5개 도메인에 걸친 40개의 거버넌스 및 관리 목표로 체계화합니다. 이는 조직이 성숙도를 평가하고, 책임을 할당하며, 거버넌스 요구 사항을 운영 관행과 연결할 때 가장 많이 활용하는 COBIT의 영역입니다.

COBIT은 DCAM 같은 데이터 관리 프레임워크와 상호 대체되는 개념이 아닙니다. COBIT는 엔터프라이즈 정보 및 기술을 위한 거버넌스 전략 계층 역할을 하는 반면, DAMA-DMBOK 및 DCAM과 같은 전문 프레임워크는 데이터가 어떻게 정의되고, 데이터 스튜어드십이 어떻게 수행되며, 어떻게 측정되고 운영상 관리되는지에 대해 더 깊이 다룹니다.

COBIT은 데이터를 독립된 도메인과 별도의 통제 세트를 가진 영역으로 보기보다, 아키텍처, 보안, 책임성, 운영, 보증의 영향을 받는 대상으로 다룹니다. COBIT의 데이터 거버넌스는 APO14(관리형 데이터)를 중심으로 구성되며, APO01(IT 관리 프레임워크 관리), APO03(관리형 엔터프라이즈 아키텍처), APO13(보안 관리), DSS05(보안 서비스 관리)와 같은 관련 목표와도 연결됩니다.

이사회, 감사 기능 또는 거버넌스 조직은 COBIT를 활용해 감독, 책임, 보고 및 통제에 대한 기대 사항을 정의할 수 있습니다. 이후 데이터 팀은 전문 프레임워크나 내부 운영 표준을 활용해 스튜어드십, 메타데이터, 품질 및 수명 주기 관행을 더 구체화합니다. 프레임워크를 함께 사용하면 COBIT은 거버넌스 격차를 드러내고, 데이터 프레임워크는 그 아래의 프로세스 계층을 채우는 역할을 합니다.

Snowflake는 여러 COBIT 목표를 지원할 수 있습니다.

Snowflake Horizon Catalog는 액세스 제어를 적용하고, 분류를 통해 민감 데이터를 식별하며, 동적 데이터 마스킹 및 행 액세스 정책을 지원하고, 데이터 계보를 시각화하는 거버넌스 및 검색 계층입니다. 이러한 기능 조합은 APO14를 운영에 적용하는 데 유용합니다. 관리형 데이터는 자산을 식별하고, 거버넌스 맥락을 연결하며, 여러 환경에 걸쳐 정책을 보다 일관되게 적용할 수 있어야 하기 때문입니다. 또한 Snowflake의 데이터 품질 모니터링 기능은 팀이 거버넌스가 적용된 데이터 자산에 측정 가능한 검사를 연결할 수 있도록 지원함으로써 APO14를 뒷받침합니다.

역할 기반 액세스 제어(RBAC), 네트워크 정책, 동적 데이터 마스킹, 행 수준 정책 적용은 액세스를 제어하고, 민감 데이터 보호를 지원하며, 통제의 감사 가능성을 높이는 내장형 방식입니다. 이러한 기능은 액세스 및 보호 규칙을 거버넌스가 적용된 데이터 자체에 가깝게 배치함으로써 보안 및 보안 서비스 목표를 지원합니다.

Snowflake의 ACCESS_HISTORY 뷰는 모든 읽기 및 쓰기 활동을 기록하며, ACCOUNT_USAGE 및 ORGANIZATION_USAGE 스키마를 통해 사용할 수 있습니다. 최근 365일 동안의 쿼리 기록을 확인할 수 있는 Account Usage View도 제공됩니다. ACCOUNT_USAGE 스키마는 계정 수준의 과거 사용량 데이터와 오브젝트 메타데이터도 제공합니다. 이를 통해 감사, 거버넌스, 규정 준수 팀은 액세스와 사용이 정책에 부합하는지 모니터링할 수 있는 실질적인 증거 계층을 확보합니다.

Snowflake의 공유 메타데이터, 데이터 계보, 권한 모델 및 사용 데이터는 엔터프라이즈 아키텍처 활동에 활용될 수 있습니다. 특히 팀이 거버넌스가 적용된 데이터가 어디에 존재하는지, 어떻게 이동하는지, 그리고 플랫폼에 어떤 기본 통제 메커니즘이 존재하는지를 이해해야 할 때 유용합니다. 이는 아키텍처 거버넌스가 실제 플랫폼과 통제 지점에 대한 정확한 정보에 의존하기 때문입니다.

조직은 COBIT를 거버넌스와 관리를 구분하면서 이사회 수준의 감독부터 운영 수준의 검증 가능한 근거까지 연결할 수 있는 거버넌스 언어로 활용합니다. COBIT는 조직이 자체 환경에 맞게 거버넌스 체계를 조정할 수 있도록 하며, 그 아래에 보다 전문화된 프레임워크를 둘 수 있는 여지도 제공합니다. 이러한 이유로 COBIT는 감사, 보안, 규정 준수, 아키텍처 및 데이터 거버넌스에 관한 논의에서 동시에 언급됩니다.

데이터 거버넌스 팀의 관점에서 COBIT를 가장 실용적으로 이해하는 방법은, COBIT를 데이터 거버넌스의 방향을 설정하고, 이를 모니터링하며, 엔터프라이즈 IT 거버넌스와 연계하는 방식을 조직 전반에 제시하는 계층으로 보는 것입니다.