Brain핵심 인사이트
- 본질: COBIT 2019(Control Objectives for Information and Related Technology — 정보 및 관련 기술 통제 목표)는 IT 거버넌스와 IT 관리를 위한 40개의 목표(Objective)를 6개 도메인(EDM·APO·BAI·DSS·MEA)으로 구조화한 ISACA의 종합 프레임워크다.
- 가치: COBIT은 단순 IT 통제 체크리스트가 아니라, 이사회의 거버넌스 목표(EDM 5개)와 경영진의 관리 목표(35개)를 명확히 분리해 각 계층의 책임을 구체화한다. 기업 규모·목표에 따라 40개 중 우선순위 목표를 선택적으로 적용하는 맞춤형 설계가 COBIT 2019의 혁신이다.
- 판단 포인트: COBIT 5와 COBIT 2019의 핵심 차이는 유연성이다. COBIT 5는 모든 조직에 동일 프레임워크를 적용했지만, COBIT 2019는 설계 요인(Design Factor) 11개를 고려해 조직별 맞춤 거버넌스 시스템을 설계한다.
Ⅰ. 개요 및 필요성
COBIT의 역사 — COBIT 1에서 2019까지
ISACA(Information Systems Audit and Control Association — 정보 시스템 감사 및 통제 협회)는 1996년 COBIT 1을 발표했다. 이후 1998년 COBIT 2, 2000년 COBIT 3, 2005년 COBIT 4.0/4.1, 2012년 COBIT 5, 2019년 COBIT 2019로 진화했다. 각 버전은 IT 환경의 변화를 반영해 범위와 구조를 발전시켰다. COBIT 2019는 클라우드·애자일·DevOps·사이버보안 등 디지털 전환 요구사항을 전면 반영했다.
COBIT이 필요한 이유
규제 요구사항(SOX, GDPR, 국내 전자금융거래법), 이해관계자 기대치(주주·이사회·고객), IT 리스크 증가가 교차하는 지점에서 기업은 "IT가 올바르게 운영되고 있다"는 것을 증명해야 한다. COBIT은 이 증명의 표준 언어를 제공한다. IT 감사, 규제 기관 검사, 인증(CISA·CISM) 시험의 핵심 기준이다.
COBIT 2019 설계 요인 (Design Factors)
COBIT 2019는 11개 설계 요인을 기반으로 조직 맞춤형 거버넌스 시스템을 설계한다: 기업 전략, 기업 목표, 리스크 프로파일, IT 관련 이슈, 위협 환경, 컴플라이언스 요건, IT의 역할(제공자·사용자·적용자), 기업 규모, 조달 모델, IT 배포 모델, 기업 부문.
📢 섹션 요약 비유: COBIT은 IT 운영의 법전이다. 40개 조항(목표)이 있지만 모든 기업이 40개를 다 지킬 필요는 없다. 중소 스타트업과 대형 금융기관에게 같은 조항을 강요하면 안 된다 — COBIT 2019는 회사 규모와 상황에 맞는 조항을 선택할 수 있게 해준다.
Ⅱ. 아키텍처 및 핵심 원리
COBIT 2019 6대 도메인 구조
┌──────────────────────────────────────────────────────────────┐
│ 거버넌스 (Governance) │
│ ┌────────────────────────────────────────────────────────┐ │
│ │ EDM — Evaluate, Direct and Monitor (평가·지시·모니터) │ │
│ │ 목표 5개: EDM01~EDM05 │ │
│ │ 책임 주체: 이사회 (Board) │ │
│ └────────────────────────────────────────────────────────┘ │
├──────────────────────────────────────────────────────────────┤
│ 관리 (Management) │
│ ┌──────────────┐ ┌──────────────┐ ┌──────────────────────┐ │
│ │ APO │ │ BAI │ │ DSS │ │
│ │ Align, Plan │ │ Build, Acq. │ │ Deliver, Service │ │
│ │ Organise │ │ Implement │ │ Support │ │
│ │ 목표 14개 │ │ 목표 11개 │ │ 목표 6개 │ │
│ │ APO01~APO14 │ │ BAI01~BAI11 │ │ DSS01~DSS06 │ │
│ └──────────────┘ └──────────────┘ └──────────────────────┘ │
│ ┌────────────────────────────────────────────────────────┐ │
│ │ MEA — Monitor, Evaluate and Assess (모니터·평가·검토) │ │
│ │ 목표 4개: MEA01~MEA04 │ │
│ └────────────────────────────────────────────────────────┘ │
└──────────────────────────────────────────────────────────────┘
총 40개 목표 = EDM(5) + APO(14) + BAI(11) + DSS(6) + MEA(4)
EDM 거버넌스 목표 5개 상세
| 목표 코드 | 명칭 | 핵심 내용 |
|---|---|---|
| EDM01 | 거버넌스 프레임워크 구축·유지 | IT 거버넌스 원칙·정책·구조 수립 |
| EDM02 | 혜택 전달 보장 | IT 투자의 비즈니스 가치 창출 확인 |
| EDM03 | 리스크 최적화 보장 | IT 관련 리스크 수용·관리 |
| EDM04 | 자원 최적화 보장 | IT 자원(인력·기술·정보) 최적 사용 |
| EDM05 | 이해관계자 참여 보장 | 정보·보고의 투명성·신뢰성 |
APO/BAI/DSS/MEA 관리 목표 주요 항목
| 도메인 | 주요 목표 | 핵심 내용 |
|---|---|---|
| APO | APO02 전략 관리 | IT 전략·로드맵 수립 |
| APO | APO07 인적 자원 관리 | IT 인력 계획·개발·평가 |
| APO | APO12 리스크 관리 | 리스크 식별·분석·대응 |
| APO | APO14 데이터 관리 | 데이터 품질·거버넌스 |
| BAI | BAI01 프로그램 관리 | IT 포트폴리오·프로젝트 관리 |
| BAI | BAI06 IT 변경 관리 | 시스템 변경 통제·승인 |
| DSS | DSS01 운영 관리 | IT 운영·인프라 관리 |
| DSS | DSS05 보안 서비스 관리 | 정보 보안·접근 통제 |
| MEA | MEA01 성과·적합성 모니터링 | IT KPI·목표 달성 측정 |
| MEA | MEA04 내부 통제 보증 | 내부 감사·통제 평가 |
📢 섹션 요약 비유: COBIT 6개 도메인은 기업 운영의 6가지 기능이다. 이사회(EDM)가 목표를 정하면, 기획팀(APO)이 계획하고, 개발팀(BAI)이 구축하며, 운영팀(DSS)이 서비스하고, 감사팀(MEA)이 점검한다.
Ⅲ. 비교 및 연결
COBIT 5 vs COBIT 2019 핵심 차이
| 항목 | COBIT 5 | COBIT 2019 |
|---|---|---|
| 발표 연도 | 2012년 | 2019년 |
| 목표 수 | 37개 프로세스 | 40개 목표 (APO +2, MEA +1 추가) |
| 원칙 | 5개 원칙 | 6개 원칙 (변경) |
| 성숙도 모델 | 6단계 성숙도 모델 | 능력 수준(Capability Level) 0~5단계 |
| 맞춤화 | 동일 프레임워크 적용 | 설계 요인 11개 기반 맞춤 설계 |
| 디지털 반영 | 제한적 | 클라우드·애자일·DevOps·AI 반영 |
| 용어 변경 | 프로세스(Process) | 목표(Objective), 관행(Practice) |
COBIT 2019와 다른 프레임워크 연계
| 영역 | COBIT 2019 | 연계 프레임워크 |
|---|---|---|
| IT 서비스 관리 | DSS01~DSS06 | ITIL 4 |
| 정보 보안 | APO12, DSS05 | ISO 27001, NIST CSF |
| 엔터프라이즈 아키텍처 | APO03 | TOGAF, Zachman |
| 프로젝트 관리 | BAI01 | PMBOK, PRINCE2 |
| 위험 관리 | APO12, EDM03 | ISO 31000, COSO ERM |
📢 섹션 요약 비유: COBIT 2019와 ITIL은 쌍둥이 법전이다. COBIT이 "IT를 어떻게 통제하고 거버넌스할 것인가"를 다루고, ITIL은 "IT 서비스를 어떻게 운영·관리할 것인가"에 집중한다. 겹치는 부분도 있지만 초점이 다르다.
Ⅳ. 실무 적용 및 기술사 판단
COBIT 2019 구현 7단계 (Implementation Guide)
- What are the drivers? 변화 필요성 파악 (규제·사고·경영 요구)
- Where are we now? 현재 거버넌스 현황 진단 (능력 수준 평가)
- Where do we want to be? 목표 능력 수준 설정
- What needs to be done? 개선 과제 도출
- How do we get there? 구현 계획·로드맵 수립
- Did we get there? 실행 결과 측정·평가
- How do we keep the momentum going? 지속 개선 체계화
금융권 COBIT 2019 적용 사례
국내 대형 시중은행은 금융감독원 IT 검사 대비 COBIT 2019를 기반으로 IT 내부통제 체계를 재설계했다. EDM03(리스크 최적화), APO12(리스크 관리), DSS05(보안 서비스 관리)를 우선 성숙도 목표 수준 4로 설정하고, MEA01·MEA04로 분기별 모니터링 체계를 구축했다.
기술사 핵심 논술 포인트
- COBIT 2019의 40개 목표 구조: EDM(5) + APO(14) + BAI(11) + DSS(6) + MEA(4)
- 거버넌스(이사회: EDM) vs 관리(경영진: APO·BAI·DSS·MEA) 책임 분리
- COBIT 2019 vs COBIT 5: 맞춤화(설계 요인), 목표 수 변화, 디지털 반영
- ITIL·ISO 27001·TOGAF 등 타 프레임워크와의 통합 운영
📢 섹션 요약 비유: COBIT 구현 7단계는 건강 관리 프로그램과 같다. 왜 건강 관리가 필요한지(1단계) → 현재 건강 상태 검진(2단계) → 목표 체중 설정(3단계) → 운동 계획(4~5단계) → 3개월 후 재검진(6단계) → 평생 습관화(7단계).
Ⅴ. 기대효과 및 결론
IT 통제의 표준화와 감사 효율화
COBIT 2019를 기반으로 IT 통제 체계를 구축하면 내·외부 감사, 규제 기관 검사에서 표준화된 언어로 대응할 수 있다. IT 감사인(CISA — Certified Information Systems Auditor)이 COBIT을 감사 기준으로 사용하므로, 기업이 COBIT 체계를 갖추면 감사 효율이 극적으로 향상된다.
비즈니스와 IT의 정렬 강화
COBIT의 EDM(거버넌스)과 APO(계획·조직)는 이사회·경영진이 IT 의사결정에 능동적으로 참여하는 구조를 만든다. IT를 "블랙박스"로 취급하던 경영진이 COBIT을 통해 IT 현황·리스크·가치를 이해하는 언어를 갖게 된다.
디지털 신뢰(Digital Trust) 기반 구축
COBIT 2019는 "정보와 기술 신뢰"를 핵심 목표로 설정한다. AI·데이터·클라우드 환경에서 고객·파트너·규제 기관이 기업의 IT를 신뢰할 수 있도록 하는 투명성과 통제 체계가 디지털 시대 경쟁력의 기초다.
📢 섹션 요약 비유: COBIT 2019는 IT 거버넌스의 헌법이자 법전이다. 이사회부터 운영 팀까지 각자의 역할과 책임을 40개 목표로 명확히 정의해, IT가 조직 전체를 위해 올바르게 기능하도록 보장하는 법 체계다.
📌 관련 개념 맵
| 개념 | 설명 | 연관 키워드 |
|---|---|---|
| COBIT 2019 | ISACA의 IT 거버넌스·관리 40개 목표 프레임워크 | ISACA, IT 거버넌스 |
| EDM (Evaluate-Direct-Monitor) | 이사회 수준 거버넌스 목표 5개 — 평가·지시·모니터 | 이사회, 거버넌스 |
| APO (Align-Plan-Organise) | 정렬·계획·조직화 관리 도메인 — 14개 목표 | 전략, 리스크 관리 |
| BAI (Build-Acquire-Implement) | 구축·취득·구현 관리 도메인 — 11개 목표 | 프로젝트, 변경 관리 |
| DSS (Deliver-Service-Support) | 서비스 제공·지원 관리 도메인 — 6개 목표 | IT 운영, 보안 |
| MEA (Monitor-Evaluate-Assess) | 모니터·평가·검토 관리 도메인 — 4개 목표 | IT 감사, 성과 측정 |
| 설계 요인 (Design Factor) | COBIT 2019 맞춤 거버넌스 시스템 설계 기준 11개 | 맞춤화, 조직 특성 |
| CISA (Certified Information Systems Auditor) | 정보 시스템 감사 전문가 자격증 — ISACA | IT 감사, COBIT |
| COBIT 5 vs COBIT 2019 | 목표 수·맞춤화·디지털 반영 차이 | 프레임워크 진화 |
👶 어린이를 위한 3줄 비유 설명
- COBIT 2019는 학교 규칙집이야. 이사회(교육청)가 교육 방향(EDM)을 정하면, 교장(APO)이 계획하고, 선생님(BAI)이 수업을 만들고, 학생(DSS)이 배우고, 학부모(MEA)가 점검해.
- 40개 규칙이 있지만 초등학교와 대학원에 같은 규칙을 적용하면 안 되니까, 학교 규모와 상황에 맞게 골라서 쓰는 거야.
- 규칙을 잘 따르는 학교는 감사(IT 감사)에서도 좋은 점수를 받고, 학생(사용자)도 믿을 수 있게 되는 거야!