심기보 숭실대학교 정보과학대학원 교수
▲ 심기보 숭실대학교 정보과학대학원 교수
퍼실리티 매니지먼트
퍼실리티란 IT인프라스트럭처를 수용하는 시설, 서비스 제공자나 서비스 이용자가 활동을 행하는 건물 등을 가리킨다. 퍼실리티 매니지먼트는 IT인프라스트럭처의 관리와 마찬가지로 IT서비스 매니지먼트에 필수적인 항목이다. 기본적인 사고방식은 IT서비스 자신의 관리와 같으면서도 속에는 퍼실리티 매니지먼트 독자의 개념이나 기술에 관여하는 부분도 있다. IT서비스 매니저는 가용성, 계속성 그리고 보안의 관점에서 퍼실리티에 대한 관리를 정체없이 수행할 책임이 있다.
퍼실리티 매니지먼트란
IT서비스 매니지먼트는 아무래도 그 IT서비스를 제공하고 있는 정보시스템(IT인프라스트럭처나 소프트웨어) 및 그 정보시스템이 관리하고 있는 각각의 데이터를 효율적으로 관리한다는 의식에 사로잡히기 쉽다. 하지만 실제로는 그 정보시스템을 수용하고 있는 건물이나 그 건물 내에 있는 설비에 대해서도 마찬가지의 매니지먼트를 행할 필요가 있다. IT인프라스트럭처를 수용하는 시설, 서비스 제공자나 서비스 이용자가 활동을 행하는 건물 등을 '퍼실리티'라한다.
퍼실리티 매니지먼트란 문자대로 퍼실리티에 대한 관리기법을 말하지만 퍼실리티에 대한 매니지먼트도 IT서비스 매니지먼트와 같은 사고방식으로 접할 필요가 있다. 제 2장에서든 인시던트관리나 문제관리와 같은 서비스 서포트 프로세스나 제 3장에서든 서비스레벨관리나 IT서비스 재무관리와 같은 기법은 퍼실리티를 유지·관리하고 퍼실리티 자신이 IT서비스를 제공하기 위한 기반으로서 가치를 계속 제공하는 역할을 유지하는 것에 공헌한다.
본 장에서는 특히 퍼실리티 매니지먼트의 가용성·계속성에 관한 분야와 보안에 관한 분야를 다루겠다. 그것은 동시에 퍼실리티에 대해 어떠한 리스크가 있는지를 식별·분류하고 각각의 리스크에 대해 효율적·효과적으로 대응하는 수단을 강구하는 것이나 다름없다. 리스크의 식별이나 리스크의 분류를 위한 기법은 IT서비스에 대한 리스크식별의 기법인 CFIA, FTA, CRAMM등을 그대로 이용할 수 있다. 여기서는 CRAMM에서 이용되고 있는 리스크의 식별방법을 이용해 퍼실리티에 대한 리스크의 조사를 행하는 방법에 대해 논한다.
CRAMM에서는 발생할 수 있는 리스크에 대해 관련된 자산, 위협, 취약성에 어떤 것이 있는지를 식별하고 리스크를 특정하는 방법을 취하고 있다. 여기서 자산, 위협, 취약성 및 리스크에 대해 설명한다.
•자 산 : 리스크에서 지켜야 하는 것을 말한다. 수용시설이나 건물 그 속에 있는 IT자산, 및 속에서 일하고 있는 종업원 등이 이에 해당된다.
•위 협 : 자산에 나쁜 영향을 줄 가능성이 있거나 일으킬 수 있는 현상을 말한다. 가용성에 있어서는 누전이나 정전, 계속성에 있어서는 재해나 테러, 보안에 있어서는 사이버 테러나 제3자의 침입 등이 이에 해당된다.
•취약성 : 위협이 발생할 가능성을 높이는 원인을 말한다. 건물의 설비가 오래됐다, 내진구조나 방화구조가 돼 있지 않다, 건물의 입구에 자물쇠가 걸려있지 않다, 등의 상황이 이에 해당된다.
•리스크 : 위협에 의해 자산에 야기되는 나쁜 영향 그 자체를 말한다. IT서비스가 정지한다, 데이터의 도난·개찬·파괴, 건물의 파괴, 등이 이에 해당된다. 같은 위협에 대해서도 취약성이 어떤지에 따라 리스크는 변한다. 예를 들면 지진이라는 위협에 대해 건물이 내진구조가 아니라는 취약성이 있는 경우는 그 건물이 파괴된다는 리스크가 존재하게 된다. 내진구조가 돼 있지만 면진구조가 돼 있지 않고 게다가 설비를 벽에 잘 고정하지 않았다는 취약성을 가진 경우는 건물 속에서 설비가 쓰러지거나 파괴되거나 하는 리스크가 존재하게 된다.
중요한 것은 자산에 대한 위협이나 취약성을 정확히 파악하고 일어날 수 있는 리스크를 정확히 판단함과 동시에 그 리스크에 대한 대책을 생각하고 그것을 도입하는 것이다. 또 도입한 효과는 반드시 측정하고 필요에 따라 개선해야 한다.
가용성·계속성에 관한 매니지먼트
퍼실리티에 관한 가용성이나 계속성은 IT서비스의 가용성이나 IT서비스 계속성과 마찬가지로 그 퍼실리티를 계속 쓸 수 있도록 하기 위한 다양한 계획과 그 계획을 실행에 옮긴 기술적 측면으로 구성된다.
계획단계에 관해서는 IT서비스의 가용성, 계속성과 거의 같으므로 여기서는 가용성, 계속성을 높이기 위한 다양한 기술이나 기법에 대해 설명한다.
<이하 상세 내용은 컴퓨터월드 8월 호 참조>