인사이트

인사이트리포트

디지털프렌스포메이션 최신 정보 및 트렌드를 제공합니다.

디지털 혁신 비즈니스 전략

시스템 통합 연계에 의한 보안 강화 및 관리 효율화

2023.04.14최영대 이사
다운로드

들어가며

기업이 활용하는 각 시스템의 연계, 즉 I/F(Interface)의 기술은 다양하다.  1971년에 도입된 FTP(File Transfer Protocol)를 비롯하여 DB Link(DataBase Link), RFC(Remote Function Call) 등 직접 연결 유형의 기술도 활용되었고 WMQ(WebSphere Message Queue), Web Service 등 EAI/ESB(Enterprise Application Integration/Enterprise Service Bus) 기술도 활용되었다.  여기서 중요한 건, 연계 기술에 따라 보안 수준이 다르고 일부 기술의 경우 EoS(End of Service)가 된다는 점이다.  이에 따라 최신 기술의 API(Application Programming Interface)를 활용하여 보안을 강화하고, 이와 함께 통합 연계 플랫폼을 SaaS(Software as a Service)로 활용함으로써 관리 효율성을 제고하는 방안이 시스템 연계를 위한 최선의 혁신으로 여겨진다.

한편으로는, API를 이용한 Device와 Cloud間 IoT(Internet of Things) 연계 서비스 기반 고객 대응 등 다양한 기술 환경의 I/F 개발 요구가 증가 추세다.  아래 그림은 API에 의한 가전 사업 등의 고객 대응 변화 예시다.

 

API에 의한 가전 사업 등의 고객 대응 변화 예시

거듭 언급하면, 다양한 舊 I/F 기술로 인해 API 대비 보안 취약 문제가 있고 低 개발 생산성, 高 운영 비용 구조의 연계 시스템 보유 기업들은 API 기반 서비스型(SaaS型) 통합 연계 플랫폼을 적용할지 여부에 대한 검토, 그리고 어떻게 적용할지에 대한 방안이 필요한 상황이다.

 

 

API 기반의 통합 연계 서비스

통합 연계 서비스(IIS, Integrated Interface Services)는 API에 의한 시스템間 연계로서 서비스型(SaaS型) 통합 연계 플랫폼의 개발 및 운영을 의미한다.  이는 개발 Lead Time의 단축, 보안 강화, 實사용자별 사용량 가시성 확보, 연계 거버넌스 등을 목표로 하며 고객에게는 SaaS 형태로 제공된다.  이러한 통합 연계 서비스 플랫폼의 구성 예시를 아래 그림에 표현하였다.

통합 연계 서비스 플랫폼의 구성 예시

 

연계 보안 강화

보안 강화는 통합 연계 서비스의 가장 주된 목적인데 Open API 기술을 활용하면서 기존의 ID/PW 대신(또는 병행하여) 토큰을 인증 키(Key)로 사용함이 핵심이다.  ID/PW는 이메일로 I/F를 신청하거나 별도 포탈에서 신청하는 방식이다.  반면 토큰의 경우는, 요청 담당자가 별도 포탈에서 토큰을 신청하면 발급된 토큰을 포탈에서 조회하고 API를 호출하며 토큰을 DB에 자동으로 암호화하여 저장한다.  발급된 토큰은 유효 기간을 정하여 관리하는데 만료 전 Open API 운영자가 수작업으로 갱신하게 된다.  아래 표는, 연계 기술에 따른 시스템間 연계의 전형적인 보안 체계 예시다.

 

연계 기술에 따른 시스템間 연계의 전형적인 보안 체계 예시

 

일정 주기의 토큰 재발급 및 Open API의 Library 적용, 유사 중복 연계 항목 표준화 및 제공 API의 포탈 등록, 시스템의 다중화(Redundancy)에 의한 HA(High Availability) 확보 등이 시스템 통합 연계에 의한 보안 강화의 기본 방향이다.  이 중 시스템의 다중화는 서버 증설에 의한 용량 확대가 일반적인 방법이었으나 SaaS, 즉 클라우드 서비스를 활용하면 직접적인 이슈는 되지 않는다.

보안 강화와 함께 통합 연계 서비스는 관리의 효율화를 추구해야 하며, 이는 결국 API 포탈의 기능 및 SaaS 구현이 일반적인 방향이다.  즉, 통합 연계 서비스 플랫폼은 보안이 강화된 Open API로 통합 연계 체계를 구현하고 시스템 안정성을 위한 충분한 용량 확보를 할 뿐만 아니라, 회사의 업무 프로세스에 근거한 기능을 구현하고 실제 사용자별 사용량을 명확하게 파악하도록 한다.

 

통합 연계 서비스를 위한 API 포탈의 기능

API 포탈의 기능은 업무 프로세스와 사용자의 요구에 따라 정의함이 원칙이다.  예를 들면, 업무 기능별로 통합 연계 API를 구성하기 위해 전사 업무 프로세스 기반의 기준정보 분류 체계를 수립, 적용하는 방식 등이다.  또한, 당연한 얘기지만 이러한 제공 API가 포탈에 등록이 되어야 한다.  즉, 앞서 언급한 토큰 기반 Open API로 통합한다.  제공자가 연계 API 서비스를 제공하고 사용자는 필요 時 API를 추가하는 방식이다.  결국, 업무 기능별 통합 연계 API 구성을 목표로 하는데, 아래 그림은 통합 연계 API를 구성하는 하나의 예시로서, 4개의 주문 기능을 하나의 주문 통합 API로 하여 API Workflow에 따라 순차적으로 자동 실행하는 모습이다.

 

API Workflow에 따라 순차적으로 자동 실행하는 모습

 

API 포탈의 중요한 기능 중 하나는 Tool에 의한 개발 API Code 자동 생성인데, 개발 생산성 향상에 큰 도움이 된다.  이를 위해서는 시스템 현황 분석, 연계 방향 설정, 아키텍처 설계, I/F 항목 표준화(항목 분류 및 정비, 유사 I/F 항목 통폐합), 개발 및 테스트 등의 단계를 거쳐야 한다.  이는 결국 시스템間 연계를 위해 REST(Representational State Transfer) API를 적용한 Open API 방식으로 연계 개발을 진행함이며, 아래 그림은 그러한 개발과 운영의 변화 예시다.

 

개발과 운영의 변화 예시

 

 

전사 시스템 연계 거버넌스

거버넌스는 결국 관리를 의미한다.  관리는 효율 추구가 원칙이며, 이는 경영 혁신의 영원한 주제다.  이에 따라 시스템 통합 연계의 거버넌스는 I/F Dashboard의 구축, 운영 및 I/F KPI(Key Performance Indicator)에 의한 정량 평가와 함께 연계 관리 R&R(Role & Responsibility) 명확화를 우선 포함하게 된다.  R&R은 대부분의 경우, 전사 조직과 이른바 현업 조직의 역할 범위가 논란 거리다.  이는 해당 기업의 조직 문화에 따라 달라지며 중요한 건 상호 합의와 지속적인 커뮤니케이션이다.  또한 시스템 구축 時의 연계 항목 중복 점검 및 표준 연계 기능(현재로서는 API를 의미) 사용 여부 관리 등을 수행하게 된다.  API 분류 및 Library化, 그리고 시스템 통합 개발 추진 체계가 그 세부 내용이자 결과물이다.  API 분류 표준화는, API 검색 및 관리 기준을 제공하고 업무별 API 再사용성을 제고하며 API 개발 및 운영의 품질 향상을 이끌어낸다.  아래 그림은 API 분류 체계의 예시로서, 제조업체의 전사 업무 프로세스에 근거하여 3단계까지 분해해 본 경우다.

 

제조업체의 전사 업무 프로세스에 근거하여 3단계까지 분해해 본 경우

 

시스템 통합 연계의 거버넌스에서 실제 기업들이 매우 중요하게 생각하는 부분 중 하나는 원가 관리다.  하나의 회사 안에서도 사업(부) 또는 조직 단위 별로 사용량 기반의 비용 배분이 필요하다.  관리회계 및 수익성 분석을 위해, 개발 소요 비용의 배분 기준 및 정산도 필요하고 운영 단계의 I/F, 인프라 등 사용량 모니터링 및 통계 분석에 따른 월 단위 과금(원가 배부) 체계도 필요하다.

 

 

통합 연계 서비스의 플랫폼 아키텍처

API 기반의 통합 연계 서비스는 플랫폼(API 엔진 및 포탈), 시스템 개발, 운영을 통합한 방법론으로 만들어진다.  아래 그림은 통합 연계 서비스 플랫폼의 아키텍처 예시다.

통합 연계 서비스 플랫폼의 아키텍처 예시

이러한 플랫폼, 시스템 개발, 운영 서비스 등을 전체적으로 한 회사가 독자 수행하기는 사실상 불가능하다.  API 검색을 위한 분류 체계 및 검색 엔진 활용과 모니터링 時 메일, 문자 메시지 전송 및 Data Check, 개발 Library 제공, API 교육 등이 필요하므로, 통합 연계 서비스를 위한 프로젝트 관리 방법론에 따라 분석, 설계, 개발, 운영 전반에 걸친 진척 및 품질 관리가 적절하게 이루어져야 한다.

 

마치며 – 시스템의 보안과 관리

지금까지 API 기반의 통합 연계 서비스에 의한 보안 강화 및 관리 효율화에 대해 살펴보았다.  사실 보안과 관리는 기업 전체를 놓고 볼 때 수동적인 관점으로 여겨진다.  마케팅이나 개발, 구매, 제조, 물류, 판매, 서비스 등의 핵심 업무 프로세스에 비해 부수적인 업무나 기능으로 덜 중요하게 생각되기도 한다. 마케팅, 개발 등에 의한 상품의 리더십이나 핵심 고객에 대한 토탈 서비스 등으로 경쟁자 대비 전략적 우위를 가져가는 게 원가 경쟁력보다 더 중요하다고 얘기하는 사람들도 종종 보게 된다.

진실을 단언하자면, 보안의 강화와 관리의 효율화는 절대 중요하다.  어느 회사의 어떤 조직이든 보안과 관리를 담당한다면 이른바 현업 인력들의 불평과 불만을 사기 일쑤지만, 그건 모두 그럴만한 가치가 존재하기 때문이다. 원가 경쟁력만이 아니라 상품의 리더십이나 對고객 토탈 서비스 등의 측면에서도 중요하다. 다만, 보안 강화와 관리 효율화를 더 잘하는 게 매우 중요하고 절대 필요하다. 다시 강조하자면, 보안과 관리를 지금보다 더 잘해야 한다.  더구나 시스템 연계의 보안 강화와 관리 효율화는 엄청난 기업 경쟁력 차이를 유발한다고 생각한다. 시스템 보안의 취약으로 인한 문제는 굳이 언급할 필요도 없고, 관리의 효율화는 전사 차원의 원가 경쟁력 강화로 이어져 제조업체의 경우라면 제품의 초기 설계 단계부터 적극적인 투자 및 운영 혁신을 추구할 여력을 만들어준다.

FTP, DB Link, RFC 등 오래된 I/F 기술로 인해 보안 취약 문제가 있고 개발 생산성이 낮으며 운영 비용이 높은 구조의 연계 시스템을 보유한 기업들은, Open API 기반 SaaS型 통합 연계로 보안을 강화하고 관리를 효율화 해야 한다.

# References

- https://www.techtarget.com/searchcloudcomputing/definition/iPaaS-integration-platform-as-a-service
- https://www.spiceworks.com/tech/cloud/articles/top-ipaas-companies/
- https://inter-operate.com/an-introduction-to-integration-platform-as-a-service/
- https://dbr.donga.com/article/view/1206/article_no/1805/ac/magazine
- https://koreascience.kr/article/JAKO201421762413469.pdf

최영대 이사

최영대 이사

컨설팅사업부 EPC PI 컨설팅그룹

5년 이상의 엔지니어 경험, 22년 이상의 경영 컨설턴트 경험을 기반으로 기업 등의 전략과 프로세스 관련 컨설팅을 수행합니다.

연관 아티클

  • 디지털 기술을 활용한 서비스 제품화
    비즈니스 전략2024.11.05

    디지털 기술을 활용한 서비스 제품화

    자세히 보기
  • 데이터 기반 경영관리 선행조건 마스터 데이터 표준화 & 운영정보 최적화
    데이터 관리2024.10.24

    데이터 기반 경영관리 선행조건 마스터 데이터 표준화 & 운영정보 최적화

    자세히 보기
  • Social Listening 기반 ESG 분석 : 글로벌 소비자 반응을 통한 기업 ESG 전략
    디지털마케팅2024.07.05

    Social Listening 기반 ESG 분석 : 글로벌 소비자 반응을 통한 기업 ESG 전략

    자세히 보기