[칼럼]변경과 구성요소 정보가 따로 노는(?) IT조직

변경은 기존에 IT가 제공하고 있는 서비스에 영향을 줄 수 있기 때문에 IT조직이 매우 신중하게 다루어야 하는 대상중의 하나다.

변경이 발생하는 ‘실체’적인 대상은 어플리케이션프로그램, 서버, 네트워크 장비와 같은 ‘구성요소’들이다.

변경을 ‘신중’하게 다룬다는 것은, IT조직이 변경이 발생하게 되는 ‘구성요소’들을 ‘이해’하고 ‘변경 전 후에 있어 달라지는 점’과 ‘달라진 이후에 이해당사자들에게 미치게 되는 영향’을 충분하게 검토한다는 것을 의미한다.

따라서, 변경을 충분하게 검토하기 위해서는 상세하고 정확한 구성요소 정보의 제공이 우선되어야 한다.

그러나, 국내 일부 IT조직들은 변경 검토에 활용할 수 있는 ‘수준’의 구성요소 정보를 보유하고 있지 않거나, 보유하더라도 구성요소 정보를 언제, 어떤 방법으로 변경 검토에 활용하는지를 제대로 모르고 있다.

이번 칼럼에서는 이처럼 변경 활동에 있어 구성요소 정보가 부실하거나 제대로 활용하고 있지 못하는 IT조직에 대해서 이야기해보겠다.

■잘못된 변경관리의 피해

변경은 IT분야 뿐만 아니라 제조 분야에도 중요하게 다룬다. 제품을 생산하는 생산 활동에서 공정표준이 변경되거나, 설계가 변경되는 경우, 제조 분야에서는 ‘변경점’ 관리 라는 용어를 사용하여 매우 신중하게 변경 관리를 수행한다.

변경점 관리를 잘못 하는 경우, 생산품의 불량이 대량으로 발생할 수 있기 때문에 제조 회사에서는 직접적인 재무 피해를 경험하게 된다.

IT분야의 경우, 어플리케이션, 서버 및 네트워크 장비 등에 대한 변경은 사용자 요청에 의하거나, 장애, 결함, 잠재적인 문제 등을 해결을 위한 목적으로 발생하게 된다.

변경을 처리하는 과정에서 변경의 당초 목적을 달성하는 데 실패하거나, 추가적인 장애를 발생하게 되는 경우, IT를 활용하는 사용자들에게 직간접적인 피해를 입히게 된다. IT피해의 경우 사용자 업무가 IT에 의존하는 정도가 높을 수록 IT장애로 인한 재무적인 피해가 명확하게 산정된다.

■변경관리의 어려움

만약 단 한 대의 장비에서 하나의 IT시스템을 제공할 수 있다면 변경의 측면에서 어떨까?

한 장비 내에서는 IT시스템의 기능을 제공하기 위해서는, 장비내의 각 하드웨어 모듈간의 통신이나 정보전달을 ‘배선’을 통해 작동하도록 하고, 소프트웨어적인 기능은 ‘임베디드’ 형태로 구현될 것이다. 따라서 변경 요청은 한 대의 장비에 대한 하드웨어와 임베디드 소프트웨어에 대한 변경에 국한될 것이기 때문에 당연히 변경 관리가 쉬워질 것이다.

IT시스템은 하나의 장비가 아닌 ‘여러 대’의 장비와 ‘여러 개’의 프로그램이 ‘보이지 않는’ 네트워크 연결을 통해 연결되어 기능을 제공하고 있다. 변경관리를 위해서는 이렇게 흩어져 있거나, 잘 보이지 않는 연결관계를 장악하고 있어야만 가능하므로, IT시스템에서의 변경관리는 상대적으로 어려울 수 밖에 없다.

게다가, IT조직에서는 장비, 프로그램, 그리고 네트워크를 담당하는 IT인력과 소속 팀이 서로 다른 경우가 많아, 변경이나 구성요소 정보에 관련된 의사소통이나 정보공유가 더욱 힘이 드는 상황이다.

특히 ‘보이지 않는’ 네트워크 연결은 서버<->서버, 서버<->소프트웨어, DB<->DB, 서버<->DB 등의 다양한 연결관계와 물리적이지 않는, 즉 논리적인 특성을 보유하고 있어 IT조직 내부의 어느 한 조직에서 통합관리하기가 어렵다.

‘보이지 않는’ 네트워크 연결은 IT시스템이 태동하게 된 IT프로젝트에서부터 잘 정의하고 관리해오지 않는다면, 운영과정에서 변경관리를 아무리 철저하게 한다 하더라도 현재 파악하고 있는 상태가 맞는 지를 확신할 길이 없다는 문제점도 존재한다.

IT에서의 변경 관리는 결국 변경 대상이 되는 구성요소의 정보와 상호간의 연결관계를 얼마나 잘 이해하고 있느냐가 관건이 된다.

■변경관리보다는 작업관리(?)

국내의 일부 IT조직들은 아직도 변경에 있어 구성요소의 정보와 상호간의 연결관계가 얼마나 중요한지를 이해하지 못하고 있다. 변경 요청이 오면 그저 요청이 오는 대로 ‘기능’을 구현하는 데만 초점을 맞추고 있어서 변경 관리라는 이름보다는 ‘작업’ 관리에 가깝다고 볼 수 있다.

이들 조직의 작업 관리 기록을 살펴보면, ‘직접’적인 변경 대상 구성요소만 포함되어 있을 뿐, 변경에 영향을 받는 ‘간접’적인 장비나 프로그램들에 대한 정보와 연결관계 정보는 거의 없다는 공통점이 있다.

■부실할 수 밖에 없는 ‘변경 영향 평가’

변경관리에 있어 가장 중요한 활동은 ‘변경 영향 평가’이다. ‘변경 영향 평가’ 활동은 변경에 대한 구성요소간의 연결관계를 포함하는 구성요소 정보를 바탕으로, 변경이 ‘실행되기 전에’ 그 영향이나 피해를 검토하는 예방적인(Proactive) 활동이다.

여기서 영향이나 피해는, 변경이 발생하게 되는 직접적인 구성요소, 상하 구성요소, 시스템적인 연결관계를 가지는 구성요소 또는 IT시스템을 대상으로 평가하며, 좀더 넓은 의미로는 IT의 사용자, IT조직의 운영자, 업무매뉴얼 등도 평가 대상에 포함시킨다.

‘작업’관리 수준의 변경관리를 수행하고 있는 IT조직들은 구성요소 정보의 ‘한계’로, 변경 영향 평가 활동을 정상적으로 수행하지 못할 수 밖에 없다. 부실한 변경영향평가 활동은 변경의 목적을 달성하는 데 실패하거나, 또 다른 영역의 장애를 유발할 가능성이 높다. 결국 구성요소 정보의 부재는 변경 영향 평가의 부실로 이어지고 이것은 변경관리 전반의 실패로 연결되게 된다.

■변경관리와 구성요소 정보의 긴밀한 관계 유지

변경관리를 하고 있다고 주장하는 IT조직들은 적어도 변경관리에 필요한 기본적인 구성요소 정보를 유지관리하고 있어야 한다. 그러나, 국내 일부 IT조직들의 경우 개발, 서버, 네트워크 담당자 별로 구성요소 정보를 보유하고 있지 않거나, 구성요소 정보의 상당수 또는 일부 항목들이 아예 없는 상태로 유지되고 있다. 또 구성요소 별로 어떠한 변경을 거쳐왔는지에 대한 이력(history)도 찾아내기가 어렵다.

변경관리를 왜 하는지를 근본적으로 이해하게 된다면, 변경관리에 있어 구성요소 정보가 필수적인 것이라는 사실에 대해 동의하게 될 것이다.