연합 시스템 위험 분석을 위한 책임 모델링

초록

본 논문은 클라우드와 시스템‑오브‑시스템 환경에서 형성되는 ‘연합 시스템(CoS)’의 사회기술적 위험을 식별하기 위해 책임 모델링 기반 위험 분석 방법을 제시한다. 인간·조직·기술 에이전트가 맡은 책임과 필요한 자원을 그래프 형태로 모델링하고, ‘조기·지연·미발생·불능·불충분·손상·변경’ 등 위험 키워드를 적용해 위험 조항을 도출한다. 영국 석유·가스 기업의 클라우드 마이그레이션 사례를 통해 책임 누락, 자원 부족, 외부 서비스 의존성 등 구체적 위험이 밝혀진다.

상세 분석

이 논문은 기존의 FRAM·STAMP과 같은 사고·위험 분석 기법이 시스템‑오브‑시스템(SOS) 수준에서 기술적 상호작용에 초점을 맞추는 반면, 연합 시스템(CoS)에서는 참여 조직 간의 이해관계 겹침이 핵심 위험 요인임을 강조한다. 책임 모델링은 ‘책임(Responsibility)’, ‘에이전트(Agent)’, ‘자원(Resource)’이라는 세 가지 기본 요소와 ‘책임 할당(Responsibility For)’, ‘보유(Has)’, ‘연관(Association)’ 관계를 통해 복합적인 사회기술 구조를 시각화한다. 특히 책임을 “조직·사회·문화 규범에 부합하도록 특정 상태를 달성·유지·회피하도록 요구되는 의무”로 정의함으로써, 책임 불이행 시 발생할 법적·계약적 책임을 명시적으로 드러낸다.

위험 식별 단계에서는 제한된 키워드 집합(조기, 지연, 미발생, 불능, 불충분, 손상, 변경)을 활용해 ‘위험 조항(Risk Clause)’을 구성한다. 각 조항은 대상(Target), 위험(Hazard), 조건(Condition), 결과·책임(Consequences) 네 요소로 이루어지며, 이는 HAZOP 방식과 유사하지만 책임·자원 관점에 특화돼 있다. 예를 들어, “EC2 지원 서비스가 지연(Late)될 경우, 지원 매니저의 SLA 위반 책임 발생”과 같은 구체적 시나리오를 도출한다.

사례 연구에서는 기존 온프레미스 시스템(‘as‑is’)과 클라우드 전환 후 시스템(‘to‑be’)을 각각 책임 모델로 표현하고, 두 모델 간 차이를 비교한다. 주요 발견은 다음과 같다. ① 클라우드 서비스 도입으로 내부 통제 영역이 축소되고, 외부 공급자(Amazon EC2)의 서비스 가용성·지원 품질에 대한 의존도가 급증한다. ② 책임이 이전된 자원(예: 물리적 서버, 네트워크 회선)과 새로운 자원(가상 인스턴스, 클라우드 스토리지) 사이에 ‘불충분’ 혹은 ‘변경’ 위험이 존재한다. ③ 조직 내부의 재무·영업·고객 관계 부서까지 책임 전이가 확대돼, 비기술 부문의 위험 인식이 필요함을 보여준다.

이러한 분석은 책임 모델링이 대규모 CoS의 사회기술적 위험을 빠르게 파악하고, 이해관계자 간 계약·SLA 재정립을 촉진하는 실용적 도구임을 증명한다. 또한, 책임이라는 자연스러운 언어적 단위가 인터뷰와 워크숍에서 쉽게 추출될 수 있어, 대규모 시스템에 적용 가능한 확장성을 제공한다.