몇일 전 제로트러스트 가이드라인 1.0이 발표되어 한국인터넷진흥원 홈페이지에서 배포되고 있습니다.

 

KISA 한국인터넷진흥원

 

www.kisa.or.kr

이 가이드라인을 토대로 제로트러스트라는 용어에 대해서 이해를 높일 수 있도록 한번 정리해 보았습니다.

사이버 공격 침투방법 단계

① 최초 침투 단계 해커는 공격대상 기업의 사용자 계정 등을 다크웹 등에서 구입하거나 업무 관련으로 위장한 악성 메일를 보내 계정을 수집하는 등 다양한 방식을 활용하였으며, 일회용 비밀번호 등의 추가 계정 인증 요구도 우회하는 형태를 보임

② 내부망 침투 단계  내부 시스템에 침투한 이후, 다수 계정·단말을 관리하는 중앙서버 또는 기업 내 프로그램 관리 서 등에 접속하여 추가 정보 습득을 위한 악성코드를 배포하는 방식 등으로  접근하기도 함

③ 내부자료 유출 단계 내부망 침투 이후에는 제품 및 영업 관련 정보 또는 내부 직원 정보 등이 저장된 데이터 수집소에 접근한 뒤 관련 파일을 확보하여 외부 반출로 이어짐

사이버 보안 기술 이슈 및 동향

최근 발생한 수많은 해킹 및 랜섬웨어 공격 사례는 경계 기반 보안모델의 한계점을 드러내고 있으며, 최근 등장하는 보안 솔루션만으로는 완벽한 해결책을 제공하지 못함

기존의 경계기반 보안모델은  내부자에 대한 암묵적 신뢰와 함께 높은 권한을 부여함에 따라 고도화·지능화되는 보안 위협에 한계 노출
- 내부 접속 사용자·기기 또는 내부 트래픽에 대해 외부에서 요구하는 접속과 비교하여 높은 수준의 신뢰성을 부여
- 공격자는 악성코드, 크리덴셜 스터핑* 등을 통한 내부 시스템 침투 후 횡적이동**을 통한 DB 관리자 권한 획득 및 데이터 유출

전통적인 경계 기반 보안(Perimeter Security)으로는 업무 환경의 변화와 진화하는 사이버 위협에 효과적으로 대응하기 어려워 ‘제로트러스트(Zero Trust)’ 개념 등장

제로트러스트

제로트러스트(Zero Trust)란 보안위협이 언제 어디서든 발생 가능하다는 전제하에 요건*을 갖추지 않은 사용자·기기는 자원(데이터, 컴퓨팅 서비스 등) 접근을 제한하고, 신뢰도 평가, 지속적 인증, 세밀한 권한 부여 등 각종 접근제어 기관·기업의 ‘경계’ 기반 보안체계 구축보다 ‘내부 데이터 보호’에 집중하는 새로운 보안 패러다임을 의미.

기 존   경계 기반 보안모델은 네트워크 내부 접속 요구(사용자, 기기 등)는 어느 정도 신뢰할 수 있다는 가정에서 시작
- 반면, 제로트러스트 모델은 해커가 네트워크 내·외부 어디든 존재할 수 있으며, 모든 접속 요구는 신뢰할 수 없다는 가정에서 시작

경계 기반 보안모델은 신뢰하는 자원(내부 네트워크)과 신뢰하지 않은 자원(인터넷) 사이에 보안 경계의 벽을 세움
* 내부자 공모 또는 권한탈취 후 침투, 권한 상승 및 횡적이동을 통한 데이터 유출
- 반면, 제로트러스트 모델은 보호해야할 모든 데이터와 컴퓨팅 서비스를 각각의 자원(Resource)으로 분리·보호
* 모든 자원의 경계를 구분하여 분리·보호, 하나의 자원에 접속한 후에는 정해진 권한만큼만 활동이 가능하고, 인근 자원에 대한 추가 접속 요구 시 지속적 인증으로 침투 제한

제로트러스트는 ①SW Defined Perimeter, ②Micro-Segmentation, ③Enhanced Identity Governance에 기반을 두며, 각각의 자원에 대한 접속요구에 동적인증을 통한 선인증 후 접속, 이후에도 가시성 확보를 통한 지속적 모니터링으로 보안 수준을 높임

제로트러스트 기본철학

① 모든 종류의 접근에 대해 신뢰하지 않을 것(명시적인 신뢰 확인 후 리소스 접근 허용)
② 일관되고 중앙집중적인 정책 관리 및 접근제어 결정·실행 필요
③ 사용자, 기기에 대한 관리 및 강력한 인증
④ 자원 분류 및 관리를 통한 세밀한 접근제어(최소 권한 부여)
⑤ 논리 경계 생성 및 세션 단위 접근 허용, 통신 보호 기술 적용
⑥ 모든 상태에 대한 모니터링, 로그 기록 등을 통한 신뢰성 지속 검증·제어

기존 경계 기반 VS 제로트러스트 보안모델 비교

미국의 제로트러스트 도입 동향

美 민간의 제로트러스트 논의 및 도입, NIST의 문서 발표(’20.8월 SP 800-207) 후 미 연방 정부 행정명령(EO 14028)을 통해 연방정부 차원의 제로트러스트 본격 도입 중

출처 : 제로트러스트 가이드라인 1.0(KISA,2023)

 

개요

작년 미국의 국가 사이버 보안 강화 지침(2021년 5월)이 배포된 이후, 소프트웨어 산업의 다양한 채널에서 SBOM과 관련한 자문이나 회의가 생기고 있는 상황입니다. 

최근의 보안 위협은 공급망, 구축도구, 구축환경, 레파지토리등을 공격하는 추세가 많아지고 있는데 이 지침에서는 미국 연방정부가 사용하는 소프트웨어 공급망의 보안과 무결성을 개선하기 위한 조치를 지시하고 있습니다.

지침이 배포된 이후 미국 정부의 요청으로 미국의 90여개 소프트웨어 기업, 오픈소스 커뮤니티가 자문에 참여하여 의견을 제시히고, CISA, NTIA 에서는 이를 정리하여 SBOM 과 관련한 가이드라인 및 FAQ를 공개하였습니다.

 

SOFTWARE BILL OF MATERIALS | National Telecommunications and Information Administration

A “Software Bill of Materials” (SBOM) is a nested inventory for software, a list of ingredients that make up software components. The following documents were drafted by stakeholders in an open and transparent process to address transparency around sof

www.ntia.gov

 

SBOM 이란?

SBOM 은 SOFTWARE BILL OF MATERIALS 의 약자로 소프트웨어의 구성 요소를 나타내는 메타데이터를 의미하는데 이를 보다 쉽게 설명하자면 우리가 흔히 볼 수 있는 다음과 같은 제품의 성분표기를 떠올리면 됩니다.

성분표기를 통해서 알러지가 있는 사람은 해당 식품을 피하기도 하고, 공급자는 제품의 우수성을 홍보하기도 하고, 크게 성분에 신경쓰지 않고 그냥 사용하는 사용자도 있을 수 있죠.

이와 유사하게, SBOM은 공급되는 소프트웨어의 구성 목록을 잘 표시해서 공급자와 사용자가 이를 기반으로 의사결정에 활용할 수 있는 환경을 조성하는 것을 목표로 하고 있습니다.

NTIA 에서 발표한 SBOM의 필수 구성요소는 다음과 같이 구성되어 있습니다.

 

  • Supplier name
  • Component name
  • Version of the component
  • Cryptograph hash of the component
  • Any other unique identifier
  • Dependency relationship
  • Author of the SBOM data

 

이를 기반으로 작성한다면 다음과 같은 개념도로 표시할 수 있습니다.

National Telecommunications and Information Administration (NTIA) 에서는 오픈소스 소프트웨어나 상용 소프트웨어로 구분하지 않고 모든 공급되는 소프트웨어를 대상으로 광범위하게 적용할 수 있는 SBOM 적용을 위해 산업계의 여러 기업과 커뮤니티에 의견을 청취하고 이를 토대로 SBOM의 이해를 돕는 자료와 적용방법에 대하여 다양한 문서를 배포하고 있으니 아래 문서들을 참고하시기 바랍니다.

 

SPDX, OpenChain

이러한 소프트웨어 구성 목록을 기반으로 공급망의 투명성을 확보해야 한다는 필요성은 오픈소스 커뮤니티에서 10여년 전부터 논의되어 왔으며, 이를 해결하기 위해 실제 산업에서 SPDX와 OpenChain 이 많이 사용되고 있습니다.

  • SPDX는 라이선스 컴플라이언스, 보안 등과 같은 문제를 다루면서 진화해서 현재는 시장에서 가장 성숙한 SBOM으로 자리잡고 있습니다. (https://www.linuxfoundation.org/blog/what-is-an-sbom/)
  • 또한 오픈소스 라이선스 준수를 위한 ISO 국제표준(https://www.iso.org/standard/81039.html) 으로 오픈체인이 있으며, 이는 소프트웨어 공급망의 투명성을 강화하기 위하여 오픈소스 커뮤니티에서 고민하던 결과물입니다.

SBOM이 소프트웨어 보안의 모든 문제를 해결할 수는 없지만 보다 안전한 소프트웨어 사용에 필요한 기본을 제공하는 것은 분명히 필요한 일이며, 다양한 산업계의 의견을 토대로 만들어진 SBOM을 기반으로 소프트웨어 공급망의 투명성을 강화할 수 있는 미국의 이번 정책은 향후 IT 산업과 디지털 인프라의 소프트웨어 관리에 있어서 매우 중요하다고 생각됩니다.

'IT/비즈니스 컨설팅' 카테고리의 다른 글

제로트러스트  (0) 2023.07.12
미래교육을 위한 에듀테크 플랫폼  (0) 2019.10.30
4차산업혁명과 오픈소스거버넌스  (0) 2017.03.18
애자일 이야기  (0) 2016.09.25
IT 기획 전문가 학습로드맵  (2) 2013.11.16

4차 산업혁명 시대의 주도권 확보를 위한 교두보는 에듀테크 산업

에듀테크 분야는 전 세계 시장의 45%를 차지하는 세계 1위 산업 시장
- 미국 시장조사 업체 글로벌인더스트리애널리스츠(GIA)도 전 세계 에듀테크 시장 규모를 2017년 2200억달러(약 246조원)에서 2020년에는 4300억달러(약 481조원)까지 성장할 것으로 전망.
- 글로벌 선두 IT 기업은 에듀테크 산업의 주도권 확보 노력 중

이러한 추세를 입증하듯 글로벌 경쟁 국가들의 과감한 교육 혁신 도전이 이루어 지고 있습니다.

과거 1차, 2차 산업혁명을 통해 국가의 번영 경험이 있는 영국, 프랑스 미국 등의 국가들은 창의적 인재 육성을 위해 과감하고 다양한 교수학습 혁신 실험을 오래전부터 시도하고 있고, 작지만 우수한 성적을 보이고 있는 싱가포르, 에스토니아, 핀란드 등의 국가들 역시 미래 역량에 대한 사회적 공감대와 리더십을 기반으로 숨가쁘게 교육 혁신의 성공사례를 만들어내고 있습니다.

- 1987년 설립된 교육자치 실천 사례인 영국 샌즈스쿨, IT 기술 기반의 몬테소리 교육 형식을 도입한 네덜란드 스티브잡스 스쿨, 칸아카데미 플랫폼 기반 하에 운영 중인 실험 학교 칸랩스쿨, 기업가 정신 중심으로 교육과정을 운영하는 몬드라곤 대학, 토론 중심의 온라인 학습과 글로벌 7개국을 기반으로 실세계 프로젝트를 경험하는 미네르바 대학 등 혁신교육 등 다양한 사례가 있고 학교 밖에서도 학교 혁신을 지원하기 위해 프로젝트 학습 사례를 모으고 학교의 혁신을 지원하는 비아이이(BIE), 사회정서 학습 기반의 학교혁신을 지원하는 카셀(CASEL), 킥보드(Kickboard), 꺼꾸로 학습 모형을 확산하는 에프엘글로벌(Flglobal) 등의 비영리 조직들이 운영되고 있습니다.

빠르게 달라지는 교육 환경

한국의 미래교육에 대해 고민하는 여러분들과 의견을 나눌 기회가 있었습니다. 그 때 논의한 여러가지 에듀테크 시장과 관련한 변화를 알 수 있는 키워드를 한번 정리해보았습니다. 

세대 교체 - Generation Z

- 시각적 커뮤니케이션, 능동적 문제해결, 공유와 협업이 생활, 자기주도 학습, 글로벌 친화, e포트폴리오

IT기술을 융합하는 교수학습 설계모형 - Flipped Learning, Adaptive Learning

- 지식을 일방적으로 전달하는 방식이 아니라 자기 주도적 문제해결 능력을 강화할 수 있도록 교육 

수업이 게임이 되다 – Gamification

- 게임속에 있는 스토리, 다양한 미션, 재미 요소 등을 교육에 접목, 플레이어들 간에 자유로운 소통을 돕는 다양한 장치를 이용하여 학생과 교수 간 학습과정에서 서로의 생각을 나누며 성장시키는 과정이 있는 교육 가능

궁금하면 직접 하버드, MIT, 스탠퍼드 강의로 공부한다 – MOOC

- 온라인 공개 수업 수강생 간의 피드백, 상호 채점, 협동과제 - 온라인 퀴즈와 시험의 자동화된 채점 방식

에듀테크 산업의 플랫폼 전쟁

기술이 교육을 돕는 여러 분야 중 가장 두드러지는 현상은 학습자의 데이터를 기반으로 인공지능 기술을 적용하는 서비스가 급증하고 있으며 글로벌 Top3 공룡기업들은 모두 에듀테크 산업을 주도하기 위해 노력하고 있습니다.

우리나라의 경우 과거 이러닝 산업을 선도했으나 현재는 에듀테크 세계시장의 5% 미만 수준에 그치고 있는 현실이기에 향후 에듀테크 산업의 발전을 위해 다양한 노력이 중요하다고 생각됩니다. 우리나라가 에듀테크 산업을 선도하기 위해서는 기술을 활용하는 사람에 대한 부분도 필요하겠지만 기술을 사용할 수 있는 환경을 준비하는 것도 필수적이며 이를 위해서는 네트워크, 디바이스, 애플리케이션, 교육서비스플랫폼이 각각 준비되어야 합니다.

부문별 필요한 내용을 생각나는 대로 정리해보면 다음과 같습니다.

교육용 디바이스 부문

- 갤럭시탭, 아이패드, 노트북, 크롬북 등 다양한 디바이스가 존재하지만 점차 사용과 관리가 편한 기기로 시장이 집중되는 경향
- 가상 키보드 보다는 물리적 키보드가 있는 것이 다양한 활용 가능
- 클라우드 기반의 계정관리를 통한 사용자 데이터 복원
- 모든 데이터는 삭제하지 않는 한 보관이 영구적이며, 데이터 제한이 없는 저장소
- 화면잠금장치(Lock in mode)를 통해 현장 온라인 시험을 볼 수 있는 기능 
- 개별 학생의 앱(Applications)을 통제할 수 있는 교사의 통제권 
- 프로그램들은 더 이상 오프라인 기반 하드드라이브에 저장되는 것이 아닌 클라우드 링크로 바로 돌아가는 시스템. 

애플리케이션 및 소프트웨어 부문

- 클라우드 기반의 소프트웨어 제공이 쉬운 환경 조성
- 교육서비스를 제공하는 애플리케이션들이 디지털 교수도구들과 상호호환성을 보장해야 함
- 누구나 교육에 필요한 콘텐츠를 제작하고 관리할 수 있는 콘텐츠 관리도구의 공급 
- 블록체인 기술을 활용한 과정과 결과를 보존하는 e포트폴리오의 신뢰성 강화
- 인공지능 기술을 쉽게 활용할 수 있는 클라우드 기반의 SDK 또는 OPEN API
- 교사의 업무를 자동화 기술로 지원하는 소프트웨어 또는 서비스
- Edge AI 기술적용이 가능한 애플리케이션

교육 서비스 플랫폼 부문

- 누구나 참여할 수 있는 개방형 교육 플랫폼 생태계 필요
- 애플, 마이크로소프트 등 메이저 회사부터 중소 에듀테크 앱까지 자체 생태계로 영역을 확장·지속하려 해 왔으며 지나치게 폐쇄적인 생태계와 디지털 독과점을 자행
- 클라우드 시대에서 더 이상의 시장 확장과 지속성 유지를 힘들게 하고 있음
- 종국에는 사용자들 스스로 기존의 오프라인 툴과 연계성이 너무나 불편하다는 것을 자연스레 알게 되어 기기 뿐만 아니라 플랫폼까지도 갈아타는 중.
- UI(사용자환경) 측면에서 동시성과 연계성을 지녀야 그 범용성은 인정되고 편리한 사용 가능
- 인공지능이 활약하기 위해서는 더욱 편리하고 쉽게 빅데이터를 가용할 수 있는 플랫폼의 주도가 필요

모임에서 사용한 발표자료에 보다 상세한 내용이 있으니 아래 링크를 참고하세요

https://www.slideshare.net/chaeya/os-187603296

 

티스토리에 정착하여 글을 쓰기 시작한지 10년째 되었네요.

계속해서 매월 한 개 이상의 글을 적어왔는데, 최근 몇 년 동안은 포스팅을 거의 못했습니다.

시간이 지나고 업무경험이 쌓일수록 생각은 많은데 글을 쓰는 건 더 조심스러워 지네요.


오늘은 4차산업혁명에 대한 이해와 오픈소스는 어떤 역할을 하는지 생각해 보겠습니다.


마이클 포터 교수는 IT가 3번에 걸쳐 큰 변혁의 물결을 가져오고 있다고 이야기 합니다.

- 제 1 물결은 1960년대부터 70년대까지 주문처리나 경비지급, CAD, 생산관리 등 가치사슬의 개별활동을 자동화하면서 기존 수작업에 비해 비즈니스 생산성이 크게 향상.

- 제 2 물결은 1980년대 상용 인터넷이 탄생하고 90년대등러 고속 대용량화와 저가화가 진행되면서 인터넷을 통해 컴퓨터간 쉬운 연결이 가능.

- 제 3 물결은 최근에 나타나는 현상으로 제품에 센서와 프로세서, 소프트웨어, 연결 기능등이 내장되어 제품이 만들어 내는 데이터가 클라우드에서 수집, 분석되어 제품의 기능과 성능을 크게 향상.


이러한 제 3의 물결의 제품을 포터는 스마트 커넥티드 제품이라고 부르며 모니터링, 제어, 최적화, 자율성의 4단계로 구분되는 역량모델을 이야기합니다.



마이클 포터의 이러한 전망에 대해 PTC의 헤플만은 스마트 커넥티드 제품을 실현하기 위해서는 제품, 연결기능, 제품 클라우드, 보안기능, 외부 게이트웨이, 업무 시스템과 통합 등으로 구성된 새로운 기술 스택이 필요하다고 이야기 합니다.



제가 이해하고 있는 4차산업혁명은 온라인과 오프라인이 연결되는 온디멘드 서비스 유형에서 나아가, 모든것이 연결된 세상(IoT), IoT 로 수집되는 데이터의 CPS(Cyber-Physical System)에서 분석, 분석에서 나아가 기술과 사람의 의사결정력이 결합된 의사결정체계가 각 산업에서 분산을 통한 의사결정의 위임을 담당할때 성공적인 모습이라고 생각합니다. 따라서 많은 기업들이 자사의 제품 가치에 대한 높은 이해와 수집되는 데이터 분석기술에 대한 융합이 가능한 전문가를 요구하고 있으며 CDO(최고데이터책임자)를 둔 기업도 출현하고 있습니다.


IT 기업의 입장에서 보면 향후 4차산업혁명의 물결에 대응하기 위해서는 다양한 디바이스간의 연결이 가능한 기술(IoT framework, gateway, network protocol), 데이터를 수집하고 분석하는 기술(Bigdata analysis architecture, 분산파일시스템 응용기술), 데이터 기반 실시간 의사결정기술(AI, context decision making) 등이 중요하게 대두 될 것이라 생각됩니다.


현재 이러한 중요 기술들은 국내에서 원천기술을 확보하고 있는 경우가 거의 없으며, 대부분의 핵심기술은 오픈소스 프로젝트에서 제공됩니다. 따라서 앞으로는 시장에서 오픈소스를 활용한 기술개발이 더욱 심화될 것이고 기업에서 오픈소스 활용 거버넌스를 제대로 준비하고 않아서 발생되는 문제점도 커질 것입니다.  


때문에 향후 4차산업혁명의 성공을 위해서 조직은 오픈소스 기술에 대한 경험 축적과 함께 오픈소스 거버넌스의 조직 내 구축이 함께 되어야 할 것입니다.




일요일이라 밀린 일을 하러 사무실에 나왔다가 불현듯 셀프회고를 하게 되어서, 생각난 참에 예전 자료를 정리해봤습니다. 일하러 왔다가 딴길로 샌 하루네요 ㅎㅎ


예전에는 기술에 대한 관리업무가 저의 주 업무였는데 최근 몇년동안에 경영 전반에 대한 시야가 필요한 업무를 더 많이 하게 되었습니다. 지금 책상위의 내용을 보니 예전에 다루던 주제들이 많이 바뀌었다는걸 알 수 있네요.



사실 갑자기 애자일에 대한 기록을 돌아보게 된 것은 얼마전 링크드인을 통해서 모회사의 스크럼마스터 자리에 대한 제안이 있었습니다. 덕분에 정신없이 달려오던 지난 몇년을 돌아보게 되었죠. 


오늘은 애자일에서 제가 배운것과 여전히 남은 것에 대한 이야기입니다.


저의 애자일에 대한 시작을 더듬어보니 2006년 즈음에 켄트벡의 글을 만나면서 시작되었던 것 같습니다.



이 책을 통해 비슷한 고민에 대한 좋은 이야기를 접한 다음, 켄트벡, 김창준 이라는 키워드에서 TDD, 디자인패턴, 사용자스토리, 회고, xper 등으로 확산되었습니다.


애자일 프랙티스들을 여러 방식으로 적용해 보면서 익히고, 저의 주 업무가 변경되면서  그 과정에서 이런저런 현실적인 문제들을 만나서 현재 저에게 남은 것을 살펴보면 회고와 스크럼 보드 그리고 철학이네요.


우리는비슷한문제를풀고싶어하는다른이들과협업을즐기고, 개발하는내용을오픈소스화하고커뮤니티와정보를공유하며, 애자일한고객접근을통해고객의만족도를높이려고노력합니다


위의 글은 현재 회사의 웹사이트에 적어 둔 소개 내용입니다.


애자일이 저에게는 큰 영향을 주었던 것이 분명하고, 많은 것을 배웠습니다. 예전처럼 기술에 대한 고민은 자주 하지 못하지만 기업의 경영에서도 그 정신을 항상 잊지 않으려고 합니다.







얼마전부터 IT 기획을 배우고 싶은 주변 사람들끼리 모여서 매주 스터디를 하고 있습니다. 스터디 첫날에 각자가 생각하는 기획이란 무엇인가에 대해서 이야기 하는 시간이 있었는데, 기획이라는 단어는 다양한 계층에서 다양한 관점으로 해석이 되고 있더군요. 


다음 중 누가 기획자로 적절한지 한번 골라보세요.

1) 계획을 세우는 사람이라는 의미의 플래너(Planner)

2) 팀원을 조직화하고 조율한다는 의미의 코디네이터(Coordinator)

3) 제품의 원형이 되는 아이디어를 내놓고 이를 구체적으로 설계한다고해서 디자이너(Designer)

4) 제품의 질적 기준을 제시하고 이를 감독한다고 해서 디렉터(Director)

5) 전체 프로젝트를 성공으로 이끌수 있도록 관리하고 총괄한다는 의미에서 프로듀서(Producer)

6) 제품을 총괄 관리한다는 의미의 프로덕트 매니저(Product Manager)


제품 기획 또는 서비스 기획을 IT 기획자라고 이야기 할 수도 있지만, 제가 생각하는 IT 기획은 그것보다는 좀 더 광의의 의미이며 그 내용을 정리해 보고 학습 로드맵을 정리해 보려고 합니다.



1. IT 기획의 정의


기획(企劃)이란 단어의 뜻을 네이버에서 확인하니 아래처럼 나오네요.


국어사전 : 일을 꾀하여 계획함.

행정학사전 : 어떤 대상에 대해 그 대상의 변화를 가져올 목적을 확인하고, 그 목적을 성취하는 데에 가장 적합한 행동을 설계하는 것을 의미


기획이란 보다 효과적이고, 효율적으로 목표달성을 하기위해 가장 적합한 행동을 설계하는 것을 의미한다고 할 수 있고, IT 기획이란 IT의 목표를 달성하기 위한 적합한 행동을 설계하는 것이라고 할 수 있겠죠. 


그럼 IT의 목표는 무엇일까요?

IT의 목표는 비즈니스를 돕는 IT와 IT 제품/서비스를 제공하는 IT 본연의 비즈니스 관점으로 생각해 볼 수 있습니다.


첫번째, 비즈니스를 돕는 관점에서 보면 기업은 업무를 지원하는 역할을 IT에 기대하고 MIS, EIS, SCM, CRM 등의 분야에 IT 기술을 활용합니다. IT 기술을 업무 지원에 사용하거나, 원가절감과 시간단축을 기대하고 IT를 사용하는 유형입니다.


두번째, IT 본연의 관점에서 보는 경우는 IT 기술을 이용하여 제품이나 서비스를 판매하거나, IT 서비스 또는 프로젝트 중심의 비즈니스를 통하여 수익을 발생시키는 유형입니다.


이 두가지 유형의 기업들은 IT를 통하여 새로운 비즈니스 창출을 통해 신규수익을 발생 시키거나, 경쟁우위 무기로 활용 기존의 매출을 증대시키거나, 내부혁신 촉매로 활용하여 업무 생산성을 증대하는 것이 주요 목적이 됩니다.


따라서 IT 기획이란 IT를 통한 신규 비즈니스의 창출, 경쟁우위로 활용, 내부혁신의 촉매로 활용하기 위한 적합한 행동을 설계하는 것을 의미합니다.



2. IT 기획의 대상


IT의 목표를 달성하기 위한 IT 기획업무의 대상은 아래의 3가지로 구분할 수 있습니다.


1) 전략

2) 사업

3) 제품/서비스


전략을 수립하기 위해서는 전체 경영진이 경영 목표를 명확하게 이해해야 하고, 그 전략을 토대로 각각의 사업이 기획되며, 제품/서비스도 사업에 적합하게 기획되어야 합니다. 각 영역에 필요한 기술과 지식이 별도로 필요하며 각 계층은 상호 긴밀하게 연관성이 있습니다. 


3. IT 기획 전문가 학습 로드맵

각 부문별 학습 로드맵은 다음과 같이 구성될 수 있습니다.

1) 전략 부문

- 어떻게 효과적으로 정보기술을 연계하고 적용할 것인가에 대하여 전략 및 해결책을 찾고 실행계획을 수립하는 과정 : 정보화 전략 계획 수립(ISP: Information Strategy Planning)

- IT 체계에 대한 효과적인 분석 및 활용 기법 : EA(Enterprise Architecture)

- 비즈니스 프로세스에 대한 효과적인 개선안 수립 기법 : BPR (Business Process Re-engineering), PI (Process Innovation)


2) 사업 부문

- 환경분석

- 업무분석

- 문제해결/이슈분석 기법

- 조사방법 활용

- 변화관리방법론

- 전략개발방법론

- 리스크 관리방법론


3) 제품/서비스 부문

- 제품/서비스 및 산업에 대한 이해

- 제품/서비스 기획 프로세스 지식

- 제품/서비스 기획 점검

- 제품/서비스 기획 리뷰

- 제품/서비스 기획 평가방법




최근 회사의 업무 아키텍처를 개선하는 작업이 진행되어 조직도, 업무프로세스, R&R, 복지정책 등 다양한 관점에서 변화가 많았습니다. 그러다 보니 이번에 새로 팀장이 된 사람도 있고, 팀의 R&R이 변경되어 팀 비전을 새로 수립하는데 고민하는 팀장도 있는 상태입니다. 팀의 리더들이 고민이 많은 시점이죠.


조직의 성패에서 리더의 중요성은 다들 인식을 하고 있지만, 정작 리더가 되어야 하는 순간에는 별도의 지식체계를 따르는 것이 아니라 타고난 기질과 성장배경 그리고 현장에서 부딪치면서 자연스럽게 리더십을 배우게 됩니다. 과연 모든 사람에게 통하는 보편적인 리더십은 어디에 있을까요?


리더십은 다음의 두 단계를 거치면서 결정됩니다.

1) 조직에 의해서 리더의 지위를 획득하는 단계

2) 팀원들에게 리더십을 얻는 단계


간혹 팀장이라는 지위를 얻으면서 의욕이 앞서서 무리수를 두는 경우를 보게 되는데, 아무리 지위를 얻었다고 해도 진심으로 따르는 사람이 없다면 진정한 리더가 아니라는 것을 명심해야 합니다.


리더십을 결정하는 것이 조직과 팀원이라는 것을 이해한다면 아래 그림과 같은 질문을 해보게 되죠.

"나는 어떤 리더일까?"



조직은 성과를 원하고 팀원은 인정과 칭찬을 원합니다.

결국 리더십을 배운다는 것은 조직과 팀원에게 모두 인정받는 아래의 방법을 배우는 것을 의미하는 것이죠.

1) 팀원들을 섬기는 서번트 리더십 

2) 팀원들의 부족한 능력을 향상시켜서 성과를 만드는 방법


따라서 좋은 팀장이 되기 위해서는 가장 먼저 리더 자신이 전문 분야에 능력 있는 사람이 되고, 자신의 능력을 팀원들에게 잘 전수하는 커뮤니케이션 능력을 키워서 진심으로 따르는 팀원이 많아지도록 계속 노력해야 합니다.


물론 쉽지 않습니다 :-)


이번 달 사내 북데이에 발표한 책이 '내 인생의 작전타임' 이라는 도서인데 이 책은 21억의 팔로워를 가진 예수님의 내용을 토대로 리더십에 대한 이야기를 하고 있습니다. 전 세계에서 가장 많은 팔로워를 가진 분의 리더십이야기는 흥미로운 내용이었고, 팀장이 되어 고민을 하는 분에게는 일독을 권합니다.







오늘은 팀원과 서로가 원하는 이상적인 팀의 운영이란 어떤것인지 팀 운영방식에 대한 이야기를 할 기회가 있었습니다.

좋은 팀이란 무엇보다도 상대에 대한 이해를 기반으로 해야 하는데, 대화를 해보니 팀 리딩에 있어서 팀원들과 함께 팀의 미래에 대한 비젼을 공유하지 못하고 있는 것 같아서 좋은 팀에 대한 제 생각을 한번 정리해 보려고 합니다.


지난 몇년간 애자일하게 일하는 SW기업이 되고자 이런저런 고민을 많이 하고 있습니다.

그 중 'Self-Organizing Team' 이라는 키워드는 매력적이었고 제가 원하던 모델이었죠.


저는 전통적인 조직운영 방식에서 보이는 강력한 중앙집중형 리더십이 조직을 이끌어가는 형태가 아니라

통제가 적고 구성원의 자유도가 높은 리더십으로 운영이 되는 애자일한 조직운영을 하고 싶었습니다. 


Source : http://blogs.seapine.com



제가 이해한 'Self-Organizing'은 멋진 용어이지만, 실제 현업에서 몇년간 해보니

자율적인 업무결정권을 자유로운 업무방식으로 오해하는 팀원이 생기고 그로인해 갈등이 심해지는 경우들이 발생되었습니다.


프로젝트에서 너무 적은 리더십을 가진 스크럼마스터는 팀원이 상호작용하여 협업이 되도록 하기에는 부족하였고

팀원에게 많은 결정사항을 위임하는 자율적 결정방식은 수동적이 지시에 의존해온 팀원들에게 괴로움만 가중시키게 되었습니다.


'서툰 목수가 연장을 탓한다'고 하더니 이게 그런 모습이네요. ㅎㅎ

사실 이것은 리딩을 제대로 못한 저의 무능력 때문이지, 자기조직적팀(Self-Organizing Team)이 잘못된 것은 아니라고 생각합니다.


제가 생각하는 자기조직적인 좋은 팀이란?


프로젝트의 핵심가치를 위반하지 않고 유연하게 해당 업무를 수행할 수 있는 능력이 충분한 사람들의 모임.

- 상호간 업무수행에 있어서 친화력(affinity)이 있을 것.

- 핵심가치를 달성하기 위하여 충분한 자격(competent)을 가질 것

- 팀의 공동문화에 대한 이해와 지지

- 리뷰는 각각의 일정에서 가장 높은 우선순위로 처리하는 태도

- 핵심가치의 달성이라는 목표의 업무안에서는 자체적인 활동

- 중앙집중형 의사결정이 아니라 팀에 의사결정 권한을 분산하고 결과에 대한 책임도 공유

- 개개인은 문제해결을 위하여 능동적인 대응


최근에는 운영방식을 좀 변경했는데 최종결정을 내리는 의사결정프로세스를 명확하게 하여 팀원의 책임을 덜어주면서

팀원들이 능력을 최대한 발휘할 수 있도록 독려하는 형태를 유지하려고 하고 있습니다.


모든 일을 잘하는 슈퍼개발자를 원하는 것은 아니지만 분석, 설계, 코딩, 테스트, 배포를 할수 있는 스크럼 팀원이 다수 있어야 하는데 자원의 확보(항상 팀원이 부족합니다 ㅎㅎ)부터 교육이나 인적자원 관리 등의 이슈가 많아서 팀 리딩이 어려운것은 여전합니다. 하지만, 팀원들이 모두 잘 따라주어서 예전 보다는 훨씬 나아졌으니 앞으로 점점 좋아질거라고 믿습니다.





요즘 잉여시간이 없어서 포스팅을 못하고 있었는데 오늘 이메일로 팀원중의 한명이 다음과 같은 질문을 해왔습니다.


처음에는 재미있고 열정이 가득했던 일이 시간이 지나면서 점점 단조로워지고 예전처럼 재미가 없어서 열정이 줄어드는 문제에 대해서 어떤 해결책이 있을까요?


이와 비슷한 문제를 저도 예전에 고민했던 기억이 나서 답변을 위해서 좀 생각을 해보았는데 딱히 정답이 있는 것이 아니니 제가 생각해 왔던 이야기를 해주는 것이 좋을 것 같아서 글로 정리를 해보았습니다.


어느 조직에서나 조금 경력이 쌓이고 후임자들을 관리해야 하는 자리에 가게되면 팀원들 효율적 생산성 제고 방안에 대하여 생각하게 되죠. 저 역시 SW기업의 좋은 팀워크에 대한 고민이 항상 많습니다. 


개인의 욕구와 동기부여를 위한 이 부분의 설명을 위하여 가장 알려진 것은 매슬로우의 욕구5단계입니다. 매슬로우는 인간의 내부에는 다섯가지의 욕구단계가 존재한다는 논리(인간의 동기와 성격-Motivation and Personality)를 주장하는데 개인에게 동기를 부여하기 위해서는 단계별로 상승하는 인간의 욕구를 제대로 이해해야 한다는 것이죠.




이 5단계는 다시 1~4단계의 결핍욕구와 5단계의 성장욕구로 나눌수 있습니다. 결핍욕구는 주로 연봉이나 근무시간 등의 외부요인으로 충족이 되는 반면 자아실현의 욕구는 자신의 내부요인에 의해서 충족될 수 있다고 합니다. 이 논리가 문화적 차이가 있는 외국에서 정립된 것이므로 우리의 조직문화에서 정답이 되기는 어려울 수 있지만, 제가 팀원들에게 동기를 부여하여 자기실현을 위한 코칭을 할 때 판단기준으로 잘 사용하고 있습니다.


이메일로 받은 질문에 대한 저의 답변은 "아래의 순서대로 해 보세요" 입니다. 

1) 현재의 상태를 진단해본다

2) 자기실현문제가 아니라면 외부환경을 개선해서 해결해 본다

3) 자기실현의 문제라면 자기실현에 성공한 사람들의 특징을 이해하고, 자신의 삶에 적용해 본다

4) 잘 안되었으면 다시 해본다.

음.. 쓰고보니 자주 보시던 점진적 SW개발방법론과 비슷하네요.


저의 경우에는 자기실현의 문제가 있어서 고민을 했었고 제가 이 경우에 적용해본 방법은 팀 스터디를 하거나 오픈소스SW 프로젝트에 참여하거나 특정한 문제를 해결하는 능력을 배양하거나 하는 등의 '최대한 많은 것을 알고 경험하기(peak experiences)' 입니다. 


자기실현에 성공한 사람들의 특징에는 사생활을 즐길수도 있고, 인간관계를 깊이 하는 것도 있고 여러가지 공통된 특징이 발견되었으며 이런 특징을 모두 가지고 있다고 해서 반드시 멋진 인생을 살게 된다고 할수도 없습니다. 따라서 제가 적용한 이 방법이 모든 경우에 적용가능한 은총알이 될 수 없겠죠. 그렇지만 "어떤 인생을 살 것인가"에 대한 고민이 될 때 이런 방법을 고민해 보는 것도 좋을거라고 생각합니다.




벤처기업 육성정책, 소프트웨어 분리발주, 대기업참여 하한제, 소프트웨어 인력양성 등
이러니 저러니 말이 많지만 국가에서 소프트웨어 기업의 생존을 위해서 많은 노력을 하고 있는것을 알고 있습니다.
하지만 저는 이런방식이 정말 소프트웨어 산업발전을 이루는 좋은 방법인지는 의문입니다.

소프트웨어 기업의 경쟁력을 제고하는 일은, 외부의 도움만으로 이루어질수 없음에도 불구하고 여전히 대부분의 소프트웨어 산업진흥 정책은 기업을 보호하고 시장구조를 조정하기 위한 방향으로 이루어지고 있는것 같습니다.

제가 고민하는 부분은 소프트웨어 산업의 발전을 만들어가는 사람 자체에 대한 영역입니다. 소프트웨어 기업에서 일을하는 사람이 행복해하지 않는데, 그 산업의 발전이 긍적적인 결과를 얻기는 어렵겠죠. 따라서 우리는 사람을 행복하게 하는 요소를 다른 도메인의 산업이나 역사적 기록에서 분석해보고, 인간이 가진 행복에 대한 생각을 더듬어볼 필요가 있습니다. 다행스럽게도 최근의 소프트웨어 업계의 동향은 기술분야에서 그치지 않고, 인문학적인 접근을 중요시하는 풍토가 조성되고 있는것으로 느껴지고, 최근 일을하는 사람들과의 관계를 중시하는 애자일기법도 널리 퍼지고 있습니다.

저는 소프트웨어 산업발전을 위한 출발점을 "인간의 행복한 인생에 대한 고찰"에서 시작되어야 한다고 생각합니다.


얼마전 행복한 인생에 대한 서울대 최인철교수님의 강의 이야기를 전해들었습니다.
행복한 삶을 위해서 Joyful, Meaningful, Mindful 의 세가지 트라이앵글을 만족해야 한다는 것이 주요내용입니다.( http://nownflow.com/372)
그 외에 이전에 읽은 책들도 좋은 내용들이 있었으니 한번 읽어보셔도 좋겠네요.
- 하버드대학의 긍정심리학에 대한 이야기 '해피어' 리뷰(http://yes.imhappyo.com/330)
- 법정스님의 잠언집 "살아있는것은 다 행복하라"(http://yes.imhappyo.com/335)


Source) http://prezi.com/xgnwwbf5emzy/copy-of/


행복한 인생을 이루는 이 세가지 요소에 소프트웨어 개발을 여기에 대입해보면 Meaningful, Mindful 은 어느정도 만족할 수 있지만 Joyful은 심각한 수준이라고 생각됩니다. 때문에 소프트웨어 산업발전을 위해서 우선 소프트웨어 개발을 재미있게 만드는 것이 필요하지 않을까요?





+ Recent posts