96. ISO/IEC 20000 (IT 서비스 관리 국제 표준)

⚠️ 이 문서는 기업 내부의 전산실이나 IT 아웃소싱 업체(SI/SM)가 IT 서비스를 주먹구구식으로 운영하지 않고, 장애 처리, 변경 관리, 서비스 수준 협약(SLA) 등 운영의 모든 과정을 글로벌 베스트 프랙티스(ITIL)에 맞게 체계적으로 관리하고 있음을 객관적으로 인증받는 국제 표준 규격인 ISO/IEC 20000을 다룹니다.

핵심 인사이트 (3줄 요약)

  1. 본질: 영국에서 시작된 IT 운영의 교과서인 'ITIL(IT Infrastructure Library)'의 좋은 말씀(권고사항)들을, "우리 회사는 이 교과서대로 완벽하게 IT를 운영하고 있습니다"라고 도장 찍어주는 법적/공식적 **인증 잣대(Standard)**다.
  2. 가치: 고객(발주사)은 IT 아웃소싱 업체가 "우리 잘해요"라고 백 번 말하는 것보다 "ISO 20000 인증서가 있습니다"라는 증서 하나를 볼 때, 장애가 났을 때 우왕좌왕하지 않고 체계적인 프로세스에 따라 신속히 복구해 줄 것이라 확신할 수 있다.
  3. 기술 체계: 계획(Plan)-실행(Do)-점검(Check)-개선(Act)의 데밍 사이클을 기반으로 하며, SLA 관리, 사고/문제 관리, 변경/릴리스 관리 등 14개 이상의 핵심 서비스 관리 프로세스를 엄격하게 평가한다.

Ⅰ. ITIL과 ISO/IEC 20000의 관계

둘은 떼려야 뗄 수 없는 찰떡궁합이지만, 목적이 다르다.

  1. ITIL (Best Practice 가이드라인):
    • "서버가 죽었을 때는 원인을 찾기보다 일단 임시 조치(Workaround)로 살리는 게 좋아요(사고 관리). 원인은 나중에 천천히 찾으세요(문제 관리)."처럼 IT 운영을 잘하기 위한 전 세계 선배들의 지혜를 모아둔 두꺼운 참고서다. (인증 시험이 아님)
  2. ISO/IEC 20000 (국제 표준 인증):
    • "그럼 당신네 회사가 진짜로 그 ITIL 교과서대로 사고 관리와 문제 관리를 나누어서 하고 있는지 내가 심사표 들고 체크할게. 통과하면 자격증 줄게."라고 하는 국제표준화기구(ISO)의 엄격한 심사 기준이자 자격증이다.
  3. BS 15000에서 출발:
    • 영국의 국가 표준(BS 15000)이 국제 표준으로 채택되면서 ISO 20000이 되었으며, 정보 보안(ISO 27001) 등 다른 ISO 표준들과 함께 기업의 B2B 신뢰도를 높이는 필수 스펙이 되었다.

📢 섹션 요약 비유: ITIL이 요리를 맛있고 체계적으로 하는 방법을 적어놓은 백종원의 '만능 레시피 북'이라면, ISO 20000은 심사위원이 식당 주방에 직접 찾아와 그 레시피대로 정말 위생적이고 정확하게 계량해서 요리하는지 검사한 뒤 벽에 걸어주는 '미슐랭 3스타 인증 마크'입니다.

Ⅱ. ISO 20000의 핵심 심사 영역 (프로세스)

인증을 받으려면 주먹구구식 운영의 티를 완벽하게 벗어야 한다.

  1. 서비스 제공 프로세스 (Service Delivery):
    • SLA (Service Level Agreement): 고객과 "한 달에 서버 다운 타임은 1시간을 넘기지 않겠습니다"라고 명확히 문서로 계약하고, 매달 그 지표를 측정해 보고하고 있는가?
    • 용량 및 가용성 관리: 내년에 고객이 2배 늘어날 것을 대비해 디스크와 메모리를 언제 증설할지 미리 계획을 세워두었는가?
  2. 해결 프로세스 (Resolution):
    • 사고/문제 관리: 장애(Incident)가 났을 때 헬프데스크가 즉각 복구하고, 이후 엔지니어가 근본 원인(Problem)을 끝까지 추적해 KEDB(알려진 오류 DB)에 기록하고 있는가?
  3. 통제 프로세스 (Control):
    • 변경/구성 관리: "주말에 서버 패치 좀 할게"라고 카톡으로 말하고 끝내는 게 아니라, 변경 위원회(CAB)의 승인을 받고, 실패했을 때의 롤백(Rollback) 계획까지 다 세워놓고 인프라(CI)를 건드리고 있는가?

📢 섹션 요약 비유: 동네 구멍가게처럼 손님이 "컴퓨터 안 돼요" 하면 대충 와서 고쳐주고(주먹구구) 가는 것이 아니라, 접수창구에서 접수증(사고 관리)을 발행하고, 고친 뒤에는 사유서(문제 관리)를 남기며, 부품을 교체할 때는 반드시 결재를 올리는(변경 관리) 대기업 A/S 센터의 체계를 갖췄는지 심사하는 것입니다.

Ⅲ. 인증 도입의 파급 효과와 PDCA 지속 개선

인증은 한 번 받았다고 영원히 끝나는 것이 아니다.

  1. PDCA의 내재화:
    • ISO 표준의 핵심은 **지속적 개선(Continual Improvement)**이다.
    • 목표를 세우고(Plan), 실행하고(Do), SLA 지표가 잘 달성됐는지 검토하고(Check), 부족한 점을 매달 고쳐나가는(Act) 사이클이 회사 문화로 완전히 자리 잡아야 인증이 유지된다.
  2. 비즈니스 경쟁력 (수주 조건):
    • 정부의 거대한 공공 IT 사업이나 대기업의 전산 아웃소싱(IT Outsourcing) 입찰에 참여할 때, "ISO/IEC 20000 인증 기업만 입찰 가능"이라는 자격 제한이 붙는 경우가 많아 필수적인 영업 무기다.
  3. 투명성과 사일로 파괴:
    • IT 부서 내의 서버팀, 네트워크팀, DB팀이 각자 놀지 않고, 하나의 통일된 프로세스 위에서 서로의 작업 내역을 투명하게 공유하게 되어 운영 장애를 획기적으로 줄여준다.

📢 섹션 요약 비유: 헬스장에서 하루 바짝 운동해서 '다이어트 수료증(인증서)'을 받는 것이 목적이 아니라, 매일 닭가슴살을 먹고 체지방을 재고 운동 강도를 조절하는 건강한 생활 습관(PDCA) 자체를 몸에 완전히 배게 만들어 잔병치레(IT 장애) 없는 튼튼한 체질을 만드는 것이 궁극적 목표입니다.