044. TOGAF (The Open Group Architecture Framework)

⚠️ 이 문서는 전 세계 80% 이상의 글로벌 기업이 IT와 비즈니스를 정렬하기 위해 사용하는 사실상의 업계 표준 엔터프라이즈 아키텍처(EA) 방법론인 TOGAF를 다룹니다.

핵심 인사이트 (3줄 요약)

  1. 본질: TOGAF (The Open Group Architecture Framework)는 기업의 비즈니스 비전을 달성하기 위해 IT 인프라, 데이터, 애플리케이션의 현재 상태(As-Is)를 파악하고 목표 상태(To-Be)로 이행하기 위한 **'단계별 건축 방법론(ADM)'**이다.
  2. 가치: Zachman Framework나 SABSA가 아키텍처의 빈칸을 채우는 '분류표(What)'라면, TOGAF는 아키텍처를 실제로 어떻게 설계하고 단계적으로 구축하며 거버넌스를 통제할 것인지 구체적인 순서도인 **ADM (Architecture Development Method)**이라는 '행동 지침(How)'을 제공한다.
  3. 융합: TOGAF 자체는 범용 IT 아키텍처 방법론이지만, 보안 설계를 누락하지 않기 위해 SABSA(보안 프레임워크)의 철학을 TOGAF의 ADM 각 단계(Phase A~H)에 강제로 주입하여 **보안 내재화(Security by Design)**를 달성하는 융합 전략이 필수적이다.

Ⅰ. 개요 및 필요성 (Context & Necessity)

IT 부서가 비즈니스 부서와 따로 놀면 재앙이 벌어진다. 마케팅팀은 전 세계를 묶는 실시간 플랫폼을 꿈꾸는데, IT 팀은 낡은 사내망 데이터베이스를 고치고 있다면 회사의 경쟁력은 사라진다.

TOGAF는 이러한 간극을 좁히기 위해 비즈니스, 데이터, 애플리케이션, 기술의 4대 아키텍처를 하나의 톱니바퀴처럼 맞물려 돌아가게 만드는 체계적인 프레임워크다. 1995년 미 국방성의 TAFIM을 기반으로 The Open Group이 발전시켰으며, 단순히 도면을 그리는 법이 아니라 '비즈니스 전략을 IT 시스템으로 변환하는 순환 사이클'을 제시한다.

📢 섹션 요약 비유: 요리를 할 때 냉장고에 있는 재료(As-Is)를 파악하고, 오늘 저녁에 먹을 요리(To-Be)를 정한 다음, 시장을 보고 순서대로 썰고 볶고 끓이는 완벽한 '레시피북(방법론)'이 바로 TOGAF입니다.

Ⅱ. TOGAF의 핵심 엔진: ADM (Architecture Development Method)

TOGAF의 심장부는 ADM이라는 8+1 단계의 순환형 생명주기(Lifecycle) 프로세스다. 중앙의 요구사항 관리를 중심으로 계속해서 쳇바퀴를 돌며 기업의 아키텍처를 진화시킨다.

ADM의 핵심 단계

  • 예비 단계 (Preliminary): 아키텍처 프로젝트를 위한 원칙 수립, 스폰서 확보, 조직 준비.
  • Phase A (아키텍처 비전): "무엇을 만들 것인가?" 비즈니스 목표 설정과 아키텍처의 큰 그림(To-Be) 스케치.
  • Phase B (비즈니스 아키텍처): 목표 달성을 위한 기업의 조직 구조, 프로세스, 비즈니스 전략 모델링.
  • Phase C (정보 시스템 아키텍처): 데이터를 어떻게 다루고(Data), 어떤 앱(App)을 쓸지 설계.
  • Phase D (기술 아키텍처): 클라우드, 서버, 네트워크 등 물리적 IT 인프라 설계.
  • Phase E (기회 및 솔루션): "어떻게 넘어갈 것인가?" 현재(As-Is)와 미래(To-Be)의 격차(Gap) 분석 및 이행 방안 도출.
  • Phase F (마이그레이션 계획): 세부적인 도입 프로젝트 계획 및 우선순위 선정.
  • Phase G (구현 거버넌스): 실제 시스템 구축이 설계도대로 진행되는지 감독(감리).
  • Phase H (아키텍처 변경 관리): 시스템 오픈 후 발생하는 새로운 요구사항이나 기술 변화 수용.
┌─────────────────────────────────────────────────────────────────────────────────────┐
│           TOGAF ADM 순환 주기와 단계별 보안(Security)의 주입                        │
├─────────────────────────────────────────────────────────────────────────────────────┤
│                                                                                     │
│       [ A. 아키텍처 비전 ] ──────────▶ [ B. 비즈니스 아키텍처 ]                     │
│            (보안 정책 선언)                    (비즈니스 위험 식별)                 │
│                ▲                                │                                   │
│                │      [ 요구사항 관리 ]          ▼                                  │
│       [ H. 변경 관리 ]      (보안 규제)     [ C. 정보시스템 (앱/데이터) ]           │
│         (새로운 위협 대응)                       (접근 통제, 암호화 설계)           │
│                ▲                                │                                   │
│                │                                ▼                                   │
│       [ G. 구현 거버넌스 ] ◀────────── [ D. 기술 아키텍처 ]                         │
│          (보안 감사 및 통제)                   (방화벽, ZTNA 물리배치)              │
│                                                                                     │
│  * E(기회/솔루션)와 F(마이그레이션)는 B~D에서 도출된 격차를 메우는 프로젝트 계획임  │
└─────────────────────────────────────────────────────────────────────────────────────┘

[다이어그램 해설] ADM의 거대한 순환 구조 한가운데에는 '요구사항 관리'가 있다. 보안 요구사항(예: 개인정보보호법 준수)이 가운데에서 중심을 잡고, 각 단계(Phase)가 진행될 때마다 보안 담당자가 참여하여 도면을 검토해야만 나중에 시스템을 다 짓고 나서 보안 패치를 하느라 시스템을 뜯어고치는 불상사를 막을 수 있다.

  • 📢 섹션 요약 비유: ADM은 거대한 공장 컨베이어 벨트입니다. A에서 밑그림을 그리고, B/C/D에서 구체적인 부품을 조립한 뒤, E/F에서 포장하여 배송합니다. 이 벨트가 끊임없이 돌면서 회사의 IT 시스템을 계속해서 현대화시킵니다.

Ⅲ. TOGAF와 정보 보안의 융합 (SABSA 연계)

TOGAF의 가장 큰 비판점 중 하나는 **"보안을 다루는 명확한 Phase(단계)가 따로 없다"**는 것이다. TOGAF는 보안을 별도의 계층으로 보지 않고, 모든 단계에 스며들어야 하는 범용 속성으로 간주한다.

실무적 해결책: TOGAF-SABSA 융합 모델

IT 프로젝트를 총괄하는 PM은 TOGAF ADM을 돌리고, 보안 아키텍트는 SABSA 프레임워크를 들고 각 ADM 단계에 뛰어들어 톱니바퀴를 맞춘다.

  • Phase A (비전) 진행 시 $\rightarrow$ SABSA의 Contextual(비즈니스 관점) 매트릭스를 작성하여 비즈니스 보안 목표(규제 준수 등)를 확립한다.
  • Phase B/C/D (아키텍처 설계) 진행 시 $\rightarrow$ SABSA의 Logical/Physical 매트릭스를 채우며 데이터 암호화, 네트워크 세그멘테이션 도면을 TOGAF 설계도에 강제로 통합시킨다.
  • Phase G (거버넌스) 진행 시 $\rightarrow$ SABSA의 **Operational(운영 관점)**을 기반으로 모의해킹이나 취약점 점검을 수행하여 설계대로 지어졌는지 확인한다.

이러한 융합(Security by Design)을 통해 기업은 비즈니스 경쟁력(TOGAF)과 철벽 방어(SABSA)라는 두 마리 토끼를 동시에 잡게 된다.

📢 섹션 요약 비유: TOGAF가 집을 짓는 '현장 소장'이라면, SABSA는 소장 옆을 졸졸 따라다니며 도면에 소화기와 비상구 위치를 그려 넣으라고 잔소리하는 '안전 감리원'입니다. 둘이 콤비를 이뤄야 완벽하고 안전한 집이 탄생합니다.

Ⅳ. 엔터프라이즈 거버넌스와 연속성 (Continuum)

TOGAF는 설계도를 모아두는 거대한 창고인 엔터프라이즈 컨티뉴엄(Enterprise Continuum) 개념을 제공한다. 회사 내부에서 썼던 훌륭한 설계도, OSA에서 가져온 오픈소스 보안 패턴, 다른 회사의 모범 사례(Best Practice)들을 창고에 잘 분류해 둔다. 나중에 새로운 프로젝트를 할 때 ADM의 Phase C나 D 단계에서 백지부터 그리지 않고 창고(Continuum)에서 레고 블록을 꺼내와 조립함으로써 개발 비용과 시간을 폭발적으로 단축시킨다.

  • 📢 섹션 요약 비유: 천재 요리사가 자기가 개발한 마법의 소스 비율이나 성공한 식단표를 '비법 노트(Continuum)'에 차곡차곡 모아두는 것과 같습니다. 다음번에 비슷한 요리를 할 때는 이 비법 노트만 꺼내면 순식간에 요리가 끝납니다.

📌 관련 개념 맵

  • 상위 개념: 엔터프라이즈 아키텍처 (EA)
  • 구성 엔진: ADM (Architecture Development Method)
  • 상호보완 프레임워크: SABSA (보안 통제 결합), OSA (아키텍처 패턴 제공)
  • 핵심 도메인: 비즈니스, 데이터, 애플리케이션, 기술 (BDAT)

👶 어린이를 위한 3줄 비유 설명

  1. 장난감 공장을 지으려고 하는데, 기계를 어디에 둘지 창고는 어떻게 지을지 너무 막막하죠?
  2. TOGAF는 "1단계: 공장 목표 정하기, 2단계: 필요한 기계 고르기, 3단계: 전선 연결하기"처럼 공장을 완벽하게 짓는 '따라 하기만 하면 되는 마법의 순서도'예요.
  3. 전 세계의 엄청나게 큰 회사들은 모두 이 마법의 순서도를 보면서 컴퓨터와 인터넷 시스템을 짓고 있답니다!