ITSM의 성숙화 단계별 문제점과 해결 방안“ISO/IEC 20000 인증 획득이 ITSM의 완성 아니다”

 


'How do you become not optional?' 

OGC에서 2007년 5월에 발간한 ITIL V3 중 첫번째 책자인 "서비스 전략; Service Strategy'을 펼치면 나오는 첫 번째 글귀이다. 국내 뿐 아니라 전세계 산업계에서 현재의 IT 서비스 업계의 불편한 입장을 이렇게 간결하게 표현한 문장은 예전엔 없었던 것 같다. 

국내에 ITIL과 ITSM이 소개된 지 거의 10여 년이 다 되어 가고 있지만, 국내 IT서비스 산업이 실제 ITIL과 ITSM이 담고 있고 의미를 인식하기 시작한 것은 고작 5년 정도일 것이다. 다시 말해 현재 국내에서 운영하고 있는 ITSM은 대다수 초기 단계에 불과하다. 

최근 ITSM의 화두는 무엇보다 세계 금융 위기로 인한 산업계 전반에 거친 경기 불황에서 살아남을 수 있는 IT서비스, 바로 비용 효율적으로 서비스 생산성을 강화하는 'Smart ITSM"일 것이다.

국내에서 ITSM를 도입한 기업을 보면 나름대로 궁극적 목적의식을 가지고 도입한 경우도 있지만, 그렇지 않은 사례들도 다수 있다. 목적의식을 갖고 ITSM을 도입한 조직은 수년간의 운영으로 현재 ITSM의 가치를 현실화해 나가고 있지만, 그렇지 않고 대외적 마케팅에 초점을 두고 ITSM을 수립/운영한 조직들은 ITSM에 커다란 실망과 패배감마저 느끼고 있을 것이다. 

현재 전세계적으로 ITSM 성숙도 평가와 관련해 어떠한 표준 혹은 접근 방법도 공신력을 갖고 있지 않다. 하지만, 지난 2008년 베를린에서 개최된 ISO/IEC JTC1 SC7 국제 표준화 회의에서 ITSM의 성숙도와 관련해 'Maturity of Improving process is the simplest and the most exact ITSMS's Maturity barometer.'라는 의견을 제시한 이탈리아 정부 WG25(Working Group 25: SC7산하 ISO/IEC20000 시리즈 개정 및 개발 그룹) 대표 안토니오 콜레타 (Antonio Coletta)씨의 의견은 대다수 국가별 위원들로 부터 동의를 얻는데 성공했다.

ITSM 운영의 성공과 실패 사례  
궁극적인 목적 의식을 갖고 ITSM의 시스템 및 프로세스를 개선해온 조직은 'ITSM 성숙도 각 단계에서 도대체 어떤 모습과 어떠한 문제점을 가지고 있을까?' 라는 질문은 대다수 운영 조직과 컨설턴트들이 가장 궁금해 하는 부분일 것이다. 

필자는 itSMF 및 IRCA 공인 ISO/IEC20000 심사원으로 정기적인 ITSM 심사를 통해, 점진적 시스템의 개선을 관찰해온 경험을 토대로 ITSM 성숙도 개선 진행 단계를 기술하고자 한다.

물론 필자가 심사하는 여러 ITSM 운영 조직들도 시스템의 성숙도 개선 속도는 판이하게 다르다는 것을 미리 알려둔다. 

대체로 ITSM 운영 초기 조직은 ITSM의 핑크 빛 환상에 빠져 몽환적인 ITSM에 대한 기대를 가지고 운영을 시작하기 마련이다. ITSM 구축 이후 운영상의 변화는 조직, 고객 및 고객과의 관계 등 여러 변수에 따라 조금씩 다르게 나타난다. 

1단계 ITSM 운영: SLA(서비스 수준 협약) 
대체로 ITSM 운영 초기 단계는 많은 투자경영진의 관심 등의 지원으로 안정화되어 운영되는 것처럼 보이지만, 실제 내부적으로 많은 어려움을 가지고 있다. 익숙하지 않은 시스템 운영에 대한 문제는 일반적인 상황임으로 언급하지 않겠다. 외부 고객에게 IT 서비스를 제공하는 조직의 경우 대표적인 문제는 바로 형식적인 SLA로 인한 고객과의 갈등 문제이다. 

그 일반적인 원인은 짧은 컨설팅과 시스템 구축 기간으로 인해, 초기 고객과 충분한 IT서비스 수준에 대한 논의를 하지 못하기 때문이다. 이로 인해 IT서비스를 실제 구매하는 고객은 SLA가 ITSM를 통해 어떻게 현실화되는지, 어떠한 영향력을 가지고 있는지 알지 못하는 경우가 종종 발생한다. ITSM과 SLA에 대해 운영 조직과 더불어 고객의 수준 높은 이해는 성공적인 고객 관계는 물론 ITSM 운영에 필수적이다.

고객과의 서비스 수준 협약인 SLA를 기반으로 내부 ITSM 운영 조직이 각 프로세스들의 목표(CSF, KPI, Metrics 등)를 수립/운영하고 있기 때문에, 이러한 전반적 ITSM 운영의 기반인 SLA 문제로 인해, 단순히 고객과의 관계 악화 수준을 넘어, IT서비스 운영 조직 및 시스템의 붕괴 조짐이 나타날 만큼 심각한 경우도 있다. 일부 조직의 경우, SLA에 명시된 서비스 수준을 달성하지 못한 경우, 정기적인 서비스 보고(SLA 보고)에서 증적 데이터를 조작하는 경우도 흔히 나타난다. 이러한 문제는 ITSM 운영은 물론, 고객과의 신뢰관계 악화로 인한 불신만 키워나가는 원인으로 발전하기도 한다. 

이러한 경우에 대해 제시할 수 있는 방안은 다음과 같다. 

- ITSM 운영에 대한 SLA의 현실화 노력 
- SLA보고에 대한 신뢰성 회복 활동 

SLA 현실화를 위해서는 ITSM 운영 이전, 서비스 수준에 대한 명확한 이해를 기반으로 명문화될 SLA의 각 서비스 수준을 현실적으로 달성 가능한 수준으로 정의하는 것이다. 또한 SLA에 대한 신뢰성 강화를 위해, 현업 담당자와 정기적 회의를 통해 서비스 보고 데이터의 무결성을 확인하는 작업이다.

2단계 ITSM 운영: Resource Competence  
약 1년 가량 ITSM을 운영해온 조직들은 그 동안 수많은 어려움에 지쳐, 과거 업무 관행으로 다시 돌아가고자 하는 회귀 본능으로 가득 차있으며, 초기 환상에서 벗어나 ITSM에 대한 적대감, 반항심마저 느끼게 되는 시기이다. 이것은 일반적으로 나타나는 문제로 ITSM에 대한 신뢰감과 운영조직의 의지가 퇴색되는 시기이다.

특히 상당수의 프로세스 책임자 및 상위 관리자들조차 ITSM에 대한 궁극적인 목적과 방향성을 상실하는 경우도 발생한다. 

약 1년간의 시스템 운영 경험을 가진 조직은 운영 인력에 대한 ITIL 혹은 ITSM에 대한 중요성을 다시 일깨우는 리프레시 교육이 필요하며, 이러한 과정을 통해 이미 정의된 각 책임자들의 Role & Responsibility & Authority를 다시한번 강조함으로써 문제를 줄여 나갈 수 있다. 

3단계 ITSM 운영: 모니터링  
ITSM 수립 이후, 일정 기간 운영을 통해 수많은 현실적 문제들을 겪으며, 조직의 고유 특성을 고려해 시스템에 반영하는 노력을 기울여온 조직은 서서히 운영 편의와 내실화를 위해 시스템을 단순화 및 간소화를 진행하게 된다. 이러한 내부 효율화에 초점을 두며 시스템을 개선해 나가는 동안, 시스템과 프로세스 그리고 기능(Function) 단위 팀의 성과 측정에 관심을 두게 된다. 

물론 성과에 대한 모니터링 문제가 운영 초기에 발생되지 않는 것은 아니지만 대체로 1년 이상 ITSM을 운영한 조직에서 이러한 관심이 두드러지며, 측정에 대한 어려움이 또 다른 문제로 드러나기 시작한다.

이러한 문제에 대한 해결은 단기간의 노력으로 해결되기는 어렵다. 기본적으로 ITSM의 성과를 SLA의 달성에서 벗어나, ITSM의 ROI 측면을 고려해, 시스템의 효율화에 초점을 둔 ITSM 및 각 프로세스의 성과 그리고 개선에 대한 목표 수립이 필요하다. 물론 시스템 수립 초기 수립한 각 프로세스의 목표가 존재하고 있지만, 초기 안정화를 위한 목표가 대다수이거나 궁극적인 프로세스의 목표와는 동떨어진 경우를 흔히 볼 수 있다.

예를 들어 Problem management의 경우, ITSM 초기 단계에 월별 문제 해결 건수를 프로세스의 목표로 수립하는 경우가 종종 있다. 초기 문제 관리 (Problem management) 프로세스의 활성화를 위해 이러한 항목을 목표로 수립하지만, 시간이 지남에 따라 단순히 프로세스 목표달성을 위해 실제 문제가 아닌 사항을 등록/해결함으로써 목표를 달성한 것으로 오해하고 있다. 실제 문제 관리프로세스의 경우, 전체적인 Incident의 발생량을 줄이는데 그 프로세스 목적을 두어야 하며, 점진적으로 이러한 측정 방법과 목표로 전환이 필요하다.

전체 프로세스에 각 목표들을 궁극적인 목표에서 벗어난 허수로 수립해 운영하는 경우, 조직이 달성하고자 하는 ITSM의 성과 개선/서비스 생산성 향상은 거리가 멀어진다. 

운영 경험이 늘어날수록 지속적으로 시스템의 목적과 하부 각 프로세스의 상호 관계를 정확히 이해함으로써, 조직이 원하는 방향에 부합하는 프로세스의 목표 수립이 가능해진다. 

4 단계 ITSM 운영: Continual improvement process  
여러 조직의 ITSM 중, 자발적인 개선 프로세스를 운영하는 경우를 관찰한 경우는 단 한차례였던 것 같다. 앞서 언급한, 안토니오 콜레타(Antonio Coletta)씨의 의견과 같이, 일상적 운영노력을 통해 ITSM 시스템과 그 프로세스를 유기적인 지속적 개선을 가능케 하는 프로세스인 'SIP: Service Improvement process 혹은 CSI: Continual Service Improvement'를 구현한 사례가 이 단계를 의미한다. ITIL V3 의 저자이자 컨설턴트인 콜린 러드(Colin Rudd)씨도 국내 ITSM 운영 사례에서 발견된 자생적 SIP/CSI에 대해 매우 놀라움을 나타냈다. 그 이유는 ITSM의 본고장인 영국에서도 쉽게 찾아보기 힘든 사례이며, 국내 사례와 같이 짧은 운영 기간을 통해 지속적 개선 프로그램을 조직의 필요에 의해 자발적으로 구현한 사례는 없었기 때문이었다. 물론 컨설팅을 통해 개선 프로그램 프로세스를 구현한 사례를 찾아보기는 어렵지 않으나, 효과적으로 시스템에서 자연스레 이행되는 사례를 보기는 매우 어렵다. 

Improving Process는 기본적으로 Deming의 P-D-C-A 사이클에 따른 시스템/ 프로세스를 유기적으로 개선/관리할 수 있도록 하는 프로세스를 의미한다. 이를 위해서 경영 시스템 및 프로세스가 유연성을 가질 수 있도록 전반적 ITSM 체계 변화가 선행되어야 한다. 

지속적 개선 프로세스의 운영을 위해서는 초기 운영 단계에서부터 ITSM의 전체적 운영 방향을 책임지는 관리자의 선정이 필요하다. 전체 운영 책임자는 우선 SLA를 반영한 내부 OLA 및 각 프로세스 성과/개선 방향에 대한 체계적 관계 설정이 필요하며, 전체 시스템의 개선 방향에 대한 거시적인 계획 수립이 선행하여야 한다. 거시적 개선 방향 선정 이후, 개선에 필요한 데이터 수집 및 분석/이행에 대한 전체적인 프로세스 수립도 진행해야 하며, 개선을 위한 담당자 지정이 필수적이다. 

'Becoming not optional'해진다는 것이 그렇게 녹록한 일은 아닌 것 같다. IT 서비스 시장에서 제대로 된 ITSM을 통해 서비스를 제공하기 위해, ISO/IEC 에서는 4가지 원칙을 강조하고 있다.

첫째 'Customer Oriented System'; 고객중심의 ITSM 구축과 운영, 그리고 둘째 'Integrated Process Approach'; 통합된 프로세스 구현, 셋째 'E2E(End to End) Service'; 고객과의 약속인 SLA(Service Level Agreement)를 기반으로 OLA(Operational Level Agreement) 그리고 다시 UC(Underpinning Contract)의 일관된 서비스 관리, 마지막으로 'Continual improvement'; 지속적 개선의 노력이다. 지속적 개선이라 함은 P-D-C-A 의 Act(개선)을 의미하며, ITSM의 관리 시스템 및 프로세스를 그 대상으로 한다.

ISO/IEC 20000인증에 대한 오해과 우려  
국내 ITSM의 사례를 보면, 흔히 ISO/IEC 20000 인증을 하나의 완벽한 ITSM 시스템 완성으로 착각하는 경향이 크다. 

우선, ISO/IEC 20000 인증을 ITSM(ITO) 조직 혹은 팀장의 개인적 성과로 인식하여 연내 하나의 목표로 수립하여 진행하는 경우가 종종 있다. 일부는 ITSM 수립을 위한 노력은 전혀 없이, 단순 인증 획득을 그 목표로 하고 있어, 향후 이러한 IT서비스 관리 시스템을 상상해 보면 가슴이 답답해진다.

실상은 공인 ISO/IEC 20000인증을 획득함으로써, 이제 겨우 ITSM를 조직에 알맞게 개선해 나갈 준비가 된 것임에도 불구하고, 시스템이 완성되었다 착각을 하고 있는 것이다. 

필자는 향후 대한민국 IT서비스 시장의 성숙도는 현재 ITSM와 관련된 업무에 종사하고 있는 'ITSM 운영자/ ITSM 프로세스 컨설턴트/ ITSM Automation System 컨설턴트/ ISO/IEC20000 인증 심사원' 모두의 책임이라고 확신한다. 각자가 ITSM의 궁극적 초점을 놓치지 않고 제대로 컨설팅을 하고, 시스템을 구축/운영하고, 또 객관적이고, 개선에 도움이 되는 심사를 수행하는 것이 가까운 미래 국내 ITSM의 성숙도를 세계적인 수준으로 향상시킬 수 있을 것이다. 

1. ITSM 운영 조직에 대한 우려  
ITIL 각 프로세스와 기능의 궁극적 초점에 따라 국내 IT기업이 ITSM을 운영한다면, 초기 적용에 많은 노력과 비용이 소요되겠지만, 그 결과의 효과성과 효율성은 엄청날 것이다. ITSM의 도입은 운영 조직원 개개인을 위한 시스템이기 보다는 운영 조직, IT 서비스 사용자를 위한 시스템이며, 각 프로세스의 명확한 상관관계 정의 그리고 지속적 시스템 개선활동이 필요하다는 사실은 간과되지 않아야 한다. 적용을 통한 시스템의 안정과 개선은 고사하고, 심지어 이러한 변화에 반발하는 조직적 불안을 보이기도 한다. 

인증을 이미 획득한 조직은 점진적 ITSM의 범위 확대와 시스템의 내재화에 초점을 둬야 한다. 그리고, 궁극적인 목적(고객에게 고품질의 서비스 제공을 통한 만족/ 저렴한 서비스 비용)을 가지고 시스템을 운영할 때, 비로소 그 가치가 비용의 효율화라는 현실적 이익으로 돌아올 것이다. 

2. 프로세스 및 시스템 컨설턴트에 대한 우려  
국내 컨설팅 조직에서 저지르는 흔한 실수로는 ITIL을 과신하는 데 그 원인이 있다. 실제 ITIL이 유럽의 선진화된 IT업체들의 베스트 프랙티스를 집대성한 것으로 확신하는 사람들이 대부분일 것이다. 필자도 그 중 한 사람으로 ITIL의 광신도는 아니었는지 의심을 해본다. 실제 ITIL V3 저자들과 이야기를 나누다 보면, 성숙도 높은 ITSM에 대한 일부 상상력이 ITIL V3 내에 포함되었다는 것을 알 수 있다. 

ITIL 기반에서 고객 조직에 알맞은 프로세스를 설계해야 함에도 불구하고, ITIL을 그대로 옮기거나, 운영조직에 알맞게 ITSM을 변형시키는 유연성을 크게 발휘하지 못하는 경우가 있다. 이러한 문제는 컨설팅을 제공하는 조직이 ISO/IEC 20000의 관점과 요구사항을 정확히 이해하지 못하는 데서 발생한다. 다시 말하면, ISO/IEC 20000 인증에 ITIL을 필수적인 요건으로 이해하거나, 어느 정도의 유연함이 적용가능한지 알지 못하기 때문이다.

ISO/IEC20000 규격자체는 최소한의 요구사항만을 다룸으로서 조직의 크기와 무관하게 적용 가능하도록 구성되어 있다. 최근 조금씩, ISO/IEC 20000 규격이 궁극적으로 추구하는 방향에 대해 컨설팅 조직도 눈을 뜨는 것으로 보이지만, 일정 시간이 걸릴 것으로 생각된다. 

3. ISO/IEC 20000 심사원에 대한 우려  
국내의 경우, 실제 ITIL/ITSM과 ISO/IEC20000을 균형감 있게 이해하고 심사를 수행하는 심사원은 드물다고 할 수 있을 것이다. 실제 IT서비스 문화를 이해하고, 각 항의 궁극적 요구사항/목적을 이해하고, 고객의 시스템을 심사해야만 실질적 인증의 가치(지속적 ITSM의 개선을 통한 효과성/효율성 향상)를 기업에게 제공할 수 있으며, 또한 국내 IT 서비스 산업의 발전을 가져올 수 있다. 그렇지 않는 경우, 대다수 형식적인 심사(Compliance Audit)의 수행으로 그 가치가 제한될 수 있다. 

혹은 이보다 더 나아가, 인증 대상이 아닌 조직에 대해 심사를 수행해 인증서를 발행하는 경우도 있으며, 글로벌 itSMF의 인증 체계를 따르지 않고 심사를 수행하는 경우도 국내에서는 간혹 발생하고 있다. 가령, itSMF로부터 인증기관(RCB: Registered Certification Body)으로 자격을 갖추지 않은 조직이 인증 심사를 수행하며 공인과 비공인 인증의 차이를 모호하게 고객에게 설명해 비공인 심사를 공인 인증 심사인양, 진행하는 경우도 있다. 혹은 itSMF에서 지정한 교육기관(ACP: Accredited Course Provider)으로부터 적정한 교육/훈련을 통해 자격을 갖춘 심사원이 심사를 수행하지 않는 경우도 있으며, 이와 같은 부적절한 심사는 결국 ITSM에 대한 인증의 가치는 물론 국내 대다수 엄격한 기준으로 공인인증을 획득한 조직의 노력을 가볍게 치부하는 결과를 낳는다.

ISO/IEC 20000 국제 규격은 대규모의 외부 IT 아웃소싱 사업을 목적으로 하는 조직이든, 내부 IT 서비스 지원을 목적으로 하는 소규모 내부 IT 조직이든, 규격의 적용 및 인증은 가능하다. 다만 요구하고 있는 항목을 비즈니스에 따라 적절히 수행하여야 한다. 

현재로서 itSMF 공인 인증이 유일한 글로벌 공인 인증으로 통용되고 있으나, 2009년 내 국내 인증 체계 수립에 따라 ISO/IEC 20000 인증이 활발히 진행될 것으로 기대하고 있다. 또한 가까운 미래에 itSMF의 ISO/IEC 20000 인증기관 역할이 UKAS(United Kingdom Accreditation Service)로 전환될 것으로 기대되며, 이는 국내 인증 체계의 글로벌하게 공인되는 시기가 될 것이다. 

'뉴스' 카테고리의 다른 글

디지탈포렌식  (0) 2015.05.09
정보보호 클리핑  (0) 2015.05.09
5월 보안취약점 분석.평가  (0) 2015.05.08
ISO 26262  (0) 2015.03.30
o2o 비콘  (0) 2015.03.13
by 메렁키키 2015. 4. 6. 00:03