ITSM 활용한 내부회계관리제도 ITGC 대응 방안
상태바
ITSM 활용한 내부회계관리제도 ITGC 대응 방안
  • 데이터넷
  • 승인 2022.05.24 08:30
  • 댓글 0
이 기사를 공유합니다
CI/CD 도구 연계 통한 데브옵스 확장 가능…서비스 운영 만족도 제고

[데이터넷] 정보기술 일방통제 대상 시스템이 늘어남에 따라 다양한 IT 시스템에서 산출되는 데이터를 신뢰하고 이용하기 위한 적절한 통제활동이 필요하다. 이에 ITSM 도구가 고려되고 있지만, 단지 솔루션을 도입했다고 해서 모든 문제가 해결되는 것은 아니다. 기업의 니즈와 환경에 최적화된 관리 방안을 고민하고 발전시켜 나가야 한다.

박수훈 GS ITM SolutionLab 팀장
박수훈 GS ITM SolutionLab 팀장

기업의 내부회계관리 활동에 대한 투명성 확보가 그 어느 때보다 중요해지고 있다. 주식회사 등의 외부감사에 관한 법률(이하 ‘외감법’) 제8조에서는 신뢰할 수 있는 회계정보의 작성과 공시를 위해 기업이 내부회계관리제도를 갖춰야 함을 규정하고 있다. 이와 함께 내부회계관리제도 운영의 의무는 2019년부터 기업의 자산 규모에 따라 순차적으로 적용되고 있다.

자산 규모가 5000억원 미만인 기업이 전체 상장사 중 약 74%를 차지하고 있다는 점을 감안할 때 개별·별도 재무제표 기준으로 대부분의 상장사가 올해와 내년 내부회계관리제도에 대응해야 해 어깨가 무거워진 상황이다.

강화된 내부회계관리제도에 있어 기업이 어려움을 겪는 요소 중 하나가 바로 정보기술 일반통제(ITGC)다. 내부회계관리제도의 주요 원칙 중 하나인 ITGC는 IT 시스템에서 산출된 정보의 신뢰성을 확신할 수 있도록 통제하는 IT 관리 구조의 기반을 뜻한다. 재무보고와 연관된 중요 시스템, 즉 ERP를 중심으로 재무보고에 영향을 미칠 수 있는 모든 시스템이 ITGC 범위에 포함된다.

내부회계관리제도 감사 적용 시기
내부회계관리제도 감사 적용 시기

IT 시스템의 역할이 더욱 커지는 상황에서 정보기술 일반통제의 대상 시스템은 늘어나고 있다. 게다가 감사인의 요구사항에 대응하기 위해서는 요청부터 배포까지 모든 결재 이력과 로그 등이 1년 이상 보관돼 있어야 한다.

이에 따라 1) 신뢰성 검증을 위한 자동 통제 2) 수작업 통제 3) IT 기반 수작업 통제까지 시스템에서 산출되는 데이터를 신뢰하고 이용하기 위한 적절한 통제활동이 요구되는 상황이다. 때문에 많은 기업이 ITGC 전담 조직 구성의 필요성을 체감하고 있다.

내부회계관리제도 정보기술 일반통제 영역
내부회계관리제도 정보기술 일반통제 영역

ITGC 위한 도구 활용
ITGC를 위한 조직을 구성한 후 가장 먼저 검토하게 되는 것은 IT 도구의 도입이다. 자동 결재 시스템, 권한 관리 시스템, 업무 자동화 처리 도구 등 통제활동의 운영과 평가를 위한 여러 IT 도구들을 활용할 수 있다. 하지만 최우선으로 도입을 고려할 도구는 바로 IT 서비스 관리(ITSM)다.

ITSM은 IT 서비스 관리에 대한 프레임워크 구현을 돕는 모범안(Best Practice) 문서들의 집합이자 전 세계 IT 서비스 관리에 대한 실질적 표준인 ITIL(IT Infrastructure Library)을 구현한 시스템이다. IT 서비스 영역에 대한 ITIL의 수명주기(서비스 전략, 서비스 설계, 서비스 전환, 서비스 운영, 서비스 개선 등)를 통제한다면 IT 운영의 위험성을 줄이고 내부감사에 효율적으로 대응할 수 있다.

뿐만 아니라 형상 관리, 배포 관리 도구와 연계해 대상 시스템에 대한 접근을 제한하고 담당자의 역할과 책임을 분리함으로써 통제활동에 대한 이력을 관리하는 기반도 제공 가능하다.

많은 기업이 ITGC를 위해 ITSM을 이미 도입했거나 도입을 고려하고 있다. 그러나 이것이 ITSM의 효과적인 작동을 의미하지는 않는다. ITSM이 제대로 활용되지 못하는 주요 원인은 무엇일까?

ITSM의 핵심은 조직의 체계를 반영해야 한다는 것에 있다. 다시 말해 조직에 적합한 프로세스를 설계하고 솔루션을 구축해야만 충분한 도입 효과를 누릴 수 있는 것이다. 그러므로 ITSM을 도입하기 전에 조직의 체계와 비즈니스 모델을 정확하게 진단한 후 가치를 창출할 수 있는 프로세스를 설계하는 과정이 반드시 선행돼야 한다.

ITSM 활용한 CI/CD 연계 구현
ITSM을 통해 프로세스, 역할, 책임 등을 정의함으로써 통제를 강화했다면, 다음은 ITSM 기반의 시스템 확장을 고려해야 한다. 감사인의 요구에 효과적으로 대응하기 위해서는 요청에서 배포에 이르기까지 모든 증적자료를 보관하고 관리하는 일 역시 매우 중요하기 때문이다.

이러한 업무를 자동화하기 위해서는 ITSM 도입 후 지속적 통합/배포(CI/CD) 도구와의 연계가 필수적이다. 다양한 도구와 방식이 존재하지만 기업은 개별 IT 운영관리 수준과 환경을 정확히 분석해 적절한 선택지를 파악해 적용해야 한다. 일반적으로는 형상 관리 체계 강화 → 릴리스 정책 수립, 수행 통제 강화 → 자동 빌드/배포 체계 도입 → ITSM과의 CI/CD 연계 순으로 진행할 수 있다.

프로세스 및 시스템 관점에서 ITSM과 CI/CD 연계
프로세스 및 시스템 관점에서 ITSM과 CI/CD 연계

형상 관리 체계 강화 단계에서는 형상 관리 정책과 기준을 정비하고 형상 관리 도구를 개선함으로써 형상 불일치의 위험성을 사전 차단한다. 또 소프트웨어 개발 수명 주기(SDLC)에 따른 소스 형상의 변화 이력을 용이하게 추적하고 관리할 수 있도록 변경 및 릴리스 단계와 연계한 체계를 마련해야 한다.

릴리스 정책 수립, 수행 통제 강화 단계에서는 IT 변경사항 릴리스로 인한 위험을 사전에 방지하며, 수행·작업 기간에 사용자 영향을 최소화할 수 있는 방안을 수립한다.

자동 빌드/배포 체계 도입 단계에서는 운영 환경으로의 수작업 배포를 통제한다. 이를 통해 릴리스 과정의 휴먼 에러를 예방할 수 있으며, 릴리스의 수행·변경 이력을 ITSM과 연계함으로써 어떤 요청에 의해 형상이 변경 및 릴리스됐는지 ITSM에서 추적 가능하도록 구현해야 한다. 여기에는 변경 요청에 대한 승인과 검토, 처리 이력도 포함된다.

마지막으로 ITSM과 CI/CD 연계 단계에서는 크게 두 가지 방안을 고려해볼 수 있다. 첫 번째는 지라(Jira) 등 별도의 CI/CD 파이프라인을 지원하는 상용 도구를 사용해 최종적으로 ITSM과 연계하는 방안이다. 도구의 기능을 활용하면 추가 확장이 용이하다는 장점이 있다.

반면 비용이나 유지보수 측면에서는 부담이 크게 늘어날 수밖에 없다. 따라서 예산을 충분히 확보하고 있으며 ITSM을 자체 구축하고자 하는 기업에 적합하다.

두 번째는 ITSM과 CI/CD 도구를 직접 연계하는 방안이다. 상용 도구를 사용하지 않으므로 비용 부담을 상당 부분 절감할 수 있다. 여기에 연계 개발의 비용까지 줄이고 싶다면 CI/CD와 연계된 ITSM 솔루션을 사용하는 것도 좋은 방법이다.

GS ITM ITSM 솔루션 ‘U.STRA ITSM’ CI/CD 연계 구성도
GS ITM ITSM 솔루션 ‘U.STRA ITSM’ CI/CD 연계 구성도

CI/CD가 연계된 ITSM 솔루션의 구성을 통해 보다 빠른 이해가 가능하다. 사용자의 요청이 발생하면 서비스 데스크 담당자는 해당 요청에 대한 변경 필요 여부를 판단한 후 변경 관리자에게 전달한다. 이렇게 변경 요청이 접수되면 변경관리위원회(CAB)를 통해 변경 내용을 통제하게 된다.

변경의 범위가 결정되고 나면 해당 시스템의 변경 관리자는 변경 계획 수립 단계에 접어든다. 이때 ITSM은 연계된 형상 관리 도구를 통해 자동으로 이슈 번호를 발급하고 변경 브랜치(branch)를 생성해 변경 담당자에게 통보한다.

변경 담당자가 변경 브랜치에서 작업을 수행하면 ITSM은 해당 요청에 대해 변경 사항의 이력을 추적하며, 형상 관리자는 형상관리 도구에 별도로 접속하지 않아도 변경 내용에 대한 상태값(merged/open/closed)을 확인할 수 있다.

릴리스(이행) 담당자는 젠킨스 마스터와 같은 배포 관리 도구에 직접 접속하지 않아도 ITSM에서 배포를 원격으로 수행할 수 있으며, 배포 이력도 확인 가능하다. 아울러 일괄 배포 기능을 활용함으로써 클릭 한 번으로 여러 서비스에 대한 배포를 처리할 수 있다. 이는 다수의 배포 작업 시 발생할 수 있는 휴먼 에러 가능성을 줄여주기도 한다.

마지막 단계에서는 작업이 완료된 브랜치가 자동으로 삭제된다. 형상 관리자 입장에서는 종료된 브랜치를 일일이 확인할 필요가 없어 관리 대상이 줄어든다. 또 서비스의 실제 운영 시 배포된 소스와 배포의 이력이 생성되며, ITSM은 이러한 데이터들을 자동으로 취합한다. 따라서 요청부터 배포까지 ITGC 및 감사 대응에 필요한 모든 이력을 편리하게 조회하고 활용할 수 있게 된다.

ITSM 중심으로 데브옵스 확장
ITSM을 관리하는 조직은 개선사항을 지속적으로 추적하고 반영하는 동시에, 기 구축된 CI/CD 연계 시스템을 기반으로 데브옵스(DevOps) 개념까지 확장 가능하다는 사실에 주목할 필요가 있다.

데브옵스는 분리돼 있던 개발과 운영 조직의 경계를 허물고 하나의 팀으로 통합하고자 하는 문화이자 철학이다. ITSM을 중심으로 통합된 다양한 자동화 도구는 이러한 데브옵스의 개념과 문화를 지원하며 궁극적으로 IT 조직과 회사는 물론 고객에까지 다양한 이점을 제공한다.

  • 신속한 배포
    오늘날 기업의 경쟁력은 상당 부분 ‘속도’에 기인한다. 비즈니스 요구사항에 민첩하게 대응하고 개선을 이어가야 하기 때문이다. 견고하며 지속적인 테스트 및 CI/CD 환경이 갖춰져 있다면 그리고 ITSM을 통해 접근 권한을 적절히 통제하고 있다면 간단한 변경 대상에 한해서는 배포 절차를 생략하고 유연하게 진행함으로써 속도를 높일 수 있을 것이다.
  • 통합된 서비스 모니터링 및 알람
    서비스 데스크의 주요 성과 지표는 배포 이후 서비스 장애나 오류 상황을 신속하게 파악하고 문제를 해결할 수 있는지에 있다. 이를 위해 APM 도구, 문자, 메신저 등 다양한 채널을 통해 상황을 인지하지만, 연관된 데이터 및 조치사항 등을 통합적으로 공유하기란 쉽지 않다. 일련의 과정들을 ITSM을 중심으로 통합하고 공유하며 협력한다면 빠르게 원인을 분석하고 배포함으로써 문제를 해결할 수 있을 뿐만 아니라 데브옵스 환경의 구축 기반까지 마련할 수 있다.
  • 서비스 품질·안정성 향상
    ITSM을 중심으로 개발부터 배포까지 자동화된 CI/CD 파이프라인, 운영 단계에서의 모니터링 및 신속한 문제해결 방식은 이해 관계자들의 적극적인 참여를 유도하며 비즈니스에 집중할 수 있는 환경을 제공한다. 이는 서비스 품질 강화와 안정성 향상으로 이어져 성공적인 서비스 운영과 만족도 제고라는 성과로 나타날 것이다.
ITSM 중심 데브옵스 확장 예시
ITSM 중심 데브옵스 확장 예시

장기적 관점서 ITSM 이점 극대화
강화된 내부회계관리제도와 함께 ITSM에 대한 관심이 높아지고 있는 것은 사실이다. 그러나 조직의 체계나 사업 모델 등을 충분히 고려하지 않고 ITSM을 섣불리 도입한다면 비용과 인력을 들이고도 제자리걸음에 지나지 않을 수 있다. 다시 말해 IT 조직이 ITSM을 기반으로 기업의 니즈와 환경에 최적화된 관리 방안을 고민하고 발전시켜 나갈 때 가장 효과적일 수 있는 셈이다.

ITSM은 내부회계관리제도 ITGC의 효과적 목적 달성을 위한 핵심 요소인 동시에 데브옵스로의 확장을 위한 단계이며, IT 조직의 데브옵스 문화를 구축하고 유지하는 과정의 일부가 되기도 한다. ITIL의 수명주기 통제에서 시작해 ITGC, CI/CD 연계, 나아가 데브옵스 구축까지 장기적인 관점에서 고려한다면 ITSM 도입으로부터 시작되는 이점을 극대화할 수 있을 것이다.

저작권자 © 데이터넷 무단전재 및 재배포 금지
데이터넷
데이터넷 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사