핵심 인사이트
- 자크만 프레임워크(Zachman Framework)는 엔터프라이즈 아키텍처(EA)를 6가지 관점(이해관계자)×6가지 질문(What/How/Where/Who/When/Why)의 36셀 매트릭스로 체계화한 온톨로지로, 아키텍처 산출물을 분류하고 누락을 방지하는 메타프레임워크다.
- 보안 관점에서 자크만 프레임워크는 ISMS-P(정보보호 관리체계)·SABSA(Sherwood Applied Business Security Architecture) 등 보안 아키텍처 설계에서 각 계층의 보안 요구사항을 빠짐없이 도출하는 구조화 도구로 활용된다.
- 자크만 프레임워크는 프로세스(방법론)가 아닌 분류 체계(Taxonomy/Ontology)로, TOGAF·DoDAF 등 실제 EA 방법론과 결합하여 아키텍처 산출물의 완전성(Completeness)을 검증하는 기준으로 사용된다.
Ⅰ. 자크만 6×6 매트릭스
자크만 프레임워크 구조:
6행 (관점/이해관계자):
Row 1: 경영자 (Executive) - 비즈니스 컨텍스트
Row 2: 사업 관리자 (Business Mgmt) - 개념 모델
Row 3: 아키텍트 (Architect) - 논리 모델
Row 4: 엔지니어 (Engineer) - 물리 모델
Row 5: 기술자 (Technician) - 상세 표현
Row 6: 기업 (Enterprise) - 실제 구현
6열 (질문 = 추상화 관점):
What: 데이터 (목록/관계)
How: 기능 (프로세스)
Where: 네트워크 (위치/연결)
Who: 사람 (역할/조직)
When: 시간 (일정/이벤트)
Why: 동기 (목표/규칙)
매트릭스: 6×6 = 36셀
각 셀 = 특정 관점에서 특정 측면의 아키텍처 산출물
📢 섹션 요약 비유: 자크만은 건물 설계 도면 분류 체계 — 건축주(경영자)부터 배관공(기술자)까지, 구조(What)부터 일정(When)까지 모든 관점의 도면을 체계화.
Ⅱ. 자크만 셀 예시
주요 셀 예시:
Row 1 × What (경영자 × 데이터):
"우리 사업에 중요한 것은 무엇인가?"
산출물: 비즈니스 용어 목록, 비즈니스 객체
Row 3 × What (아키텍트 × 데이터):
"어떤 엔티티가 필요하고 관계는?"
산출물: 논리 ERD (Entity-Relationship Diagram)
Row 4 × What (엔지니어 × 데이터):
"어떤 테이블, 컬럼, 데이터 타입?"
산출물: 물리 데이터 모델, DDL
Row 2 × How (사업 관리자 × 기능):
"어떤 프로세스를 수행하는가?"
산출물: 비즈니스 프로세스 모델 (BPM)
Row 3 × How (아키텍트 × 기능):
"어떤 애플리케이션 기능이 필요한가?"
산출물: 기능 분해도, 유즈케이스
Row 3 × Where (아키텍트 × 네트워크):
"어떤 시스템/노드가 어디에 위치?"
산출물: 아키텍처 다이어그램, 배포도
📢 섹션 요약 비유: 자크만 셀은 신문 기사의 6하원칙처럼 — Who(누가), What(무엇을), Where(어디서), When(언제), How(어떻게), Why(왜)로 각 계층 아키텍처를 완성.
Ⅲ. 보안 아키텍처 적용 (SABSA)
SABSA (Sherwood Applied Business Security Architecture):
자크만 프레임워크를 보안에 특화 적용
SABSA 레이어 매핑:
Contextual (자크만 Row 1): 비즈니스 보안 요구
Conceptual (Row 2): 보안 개념 모델
Logical (Row 3): 논리 보안 서비스
Physical (Row 4): 물리 보안 메커니즘
Component (Row 5): 보안 제품/기술
Operational (Row 6): 운영 보안 절차
보안 질문 (6열 적용):
What: 어떤 정보 자산을 보호하는가? (자산 분류)
How: 어떤 보안 기능이 필요한가? (통제)
Where: 어디서 보안을 적용하는가? (경계, 구간)
Who: 누가 접근 권한이 있는가? (IAM)
When: 언제 보안 이벤트가 발생하는가? (타임라인)
Why: 왜 이 보안이 필요한가? (규제, 리스크)
ISMS-P 연계:
자크만/SABSA 기반 정보보호 대책 도출
계층별 보안 아키텍처 완전성 검증
📢 섹션 요약 비유: SABSA는 자크만을 보안 렌즈로 본 것 — 건물 보안 도면 분류처럼, 비즈니스부터 기술까지 모든 보안 관점을 체계화.
Ⅳ. EA 방법론과 자크만
EA 방법론과 자크만 관계:
자크만 = 분류 체계 (Ontology)
"무엇을 만들어야 하는가?"
프로세스(방법론) 없음
TOGAF = 방법론 (프로세스)
ADM (Architecture Development Method)
"어떻게 만드는가?" 프로세스 정의
DoDAF = 미국 국방부 EA 프레임워크
작전, 시스템, 기술 뷰
결합 사용:
자크만: 산출물 완전성 체크리스트
TOGAF ADM: 실제 개발 프로세스
EA 4대 도메인 (TOGAF):
비즈니스 아키텍처 (자크만 Row 1~2)
데이터 아키텍처 (자크만 What 열)
애플리케이션 아키텍처 (자크만 How 열)
기술 아키텍처 (자크만 Row 4~5)
국내 정보화 사업:
EA 법적 의무화 (전자정부법 제56조)
ISP/BPR 산출물 = 자크만 셀 매핑 가능
📢 섹션 요약 비유: 자크만 + TOGAF는 설계 체크리스트 + 건축 시공 순서 — 체크리스트로 빠진 도면 없는지 확인하고, TOGAF로 순서대로 진행.
Ⅴ. 실무 시나리오 — ISP 산출물 자크만 매핑
정보화 전략 계획(ISP) 자크만 매핑:
ISP 핵심 산출물 → 자크만 셀 매핑:
비즈니스 현황 분석:
Row1×Why: 비즈니스 목표/전략
Row2×How: AS-IS 비즈니스 프로세스
IT 현황 분석:
Row3×What: 현행 데이터 아키텍처
Row3×How: 현행 애플리케이션 아키텍처
Row3×Where: 현행 기술 아키텍처
To-Be 아키텍처 설계:
Row3×What: 목표 데이터 모델
Row3×How: 목표 애플리케이션 목록
Row3×Where: 목표 인프라 구성도
보안 요구사항:
Row3×How × 보안: 보안 서비스 모델
Row4×How × 보안: 보안 메커니즘 (방화벽, IAM)
완전성 검증:
자크만 매트릭스로 36셀 중 빈 셀 = 산출물 누락
감리원이 ISP 완전성 검증에 자크만 활용
📢 섹션 요약 비유: 자크만으로 ISP 검토는 36칸 빙고 게임 — 모든 칸이 채워져야 아키텍처가 완전하고, 빈 칸이 있으면 누락된 산출물.
📌 관련 개념 맵
자크만 프레임워크
+-- 구조
| +-- 6행 (관점: 경영자~기업)
| +-- 6열 (질문: What/How/Where/Who/When/Why)
| +-- 36셀 (아키텍처 산출물 분류)
+-- 보안 적용
| +-- SABSA (보안 아키텍처 특화)
+-- EA 방법론 연계
| +-- TOGAF (ADM 프로세스)
| +-- DoDAF (국방)
| +-- 전자정부 EA (국내)
+-- 활용
+-- ISP 산출물 완전성 검증
+-- 감리 체크리스트
📈 관련 키워드 및 발전 흐름도
[자크만 프레임워크 발표 (1987)]
IBM Systems Journal
EA 분류 체계 최초 제안
|
v
[TOGAF 1.0 (1995)]
EA 방법론으로 발전
Open Group 표준화
|
v
[전자정부 EA 도입 (한국, 2005~)]
범정부 EA 프레임워크
EA 법제화 (전자정부법)
|
v
[SABSA (1996~)]
보안 아키텍처 특화 적용
|
v
[현재: 디지털 전환 EA]
클라우드/AI 환경 EA 갱신
마이크로서비스 아키텍처 EA 적용
👶 어린이를 위한 3줄 비유 설명
- 자크만 프레임워크는 IT 시스템을 6가지 관점(경영자, 설계자, 개발자 등)과 6가지 질문(무엇, 어떻게, 어디서, 누가, 언제, 왜)으로 나눈 36칸 체크리스트예요.
- 이 36칸을 모두 채우면 "이 IT 시스템에 대해 모든 이해관계자가 필요한 정보를 가지고 있다"는 것을 보장할 수 있어요.
- 보안 분야에서도 이 틀을 써서 비즈니스 레벨부터 기술 레벨까지 빠짐없이 보안 요구사항을 정리해요!