SABSA (Sherwood Applied Business Security Architecture)
개요
SABSA(Sherwood Applied Business Security Architecture)는 비즈니스 요구사항 기반의 보안 아키텍처를 설계하고 관리하기 위한 프레임워크로, 기업의 전략적 목표와 보안 통제를 체계적으로 연결하는 보안 거버넌스 모델이다. IT 중심의 보안이 아닌, 비즈니스 가치 중심(Security by Design) 접근을 통해 정보보호, 리스크 관리, 규제 준수를 통합적으로 지원한다.
1. 개념 및 정의
SABSA는 1995년 John Sherwood에 의해 개발된 보안 아키텍처 프레임워크로, TOGAF(Enterprise Architecture)와 같은 엔터프라이즈 아키텍처 모델에 보안 계층을 통합하기 위한 표준 접근 방식을 제공한다.
핵심 개념은 ‘보안은 비즈니스 목표를 달성하기 위한 수단이어야 한다’는 것으로, 보안 통제가 단순한 기술 대응이 아니라, 기업 전략, 운영, 기술, 인프라의 각 계층에 맞춰 정렬되어야 한다.
2. 특징
| 항목 | 설명 | 비고 |
| 계층적 구조 | 6개 계층으로 구성 (Contextual~Component) | Zachman Framework 기반 |
| 비즈니스 연계성 | 보안을 비즈니스 요구와 직접 연결 | 전략 중심 보안 모델링 |
| 리스크 기반 접근 | 리스크 식별 및 완화 중심 설계 | 거버넌스 강화 |
| 프레임워크 통합성 | TOGAF, ITIL, COBIT과 연계 가능 | 하이브리드 적용 가능 |
| 반복적 개발 프로세스 | 지속적 보안 성숙도 향상 | PDCA 사이클 구조 |
→ SABSA는 기술 중심이 아닌 ‘비즈니스 목표 지향 보안 프레임워크’로 차별화된다.
3. 구성 요소
| 계층 | 설명 | 산출물 |
| Contextual (비즈니스 계층) | 보안 비전 및 전략 정의 | 보안 정책, 목표, 가치 지표 |
| Conceptual (개념 계층) | 보안 원칙 및 모델 수립 | 보안 모델, 리스크 프레임워크 |
| Logical (논리 계층) | 논리적 보안 아키텍처 설계 | 접근통제, 인증 모델 |
| Physical (물리 계층) | 물리적/기술적 통제 설계 | 시스템, 네트워크 구성 |
| Component (컴포넌트 계층) | 보안 솔루션 구성 요소 매핑 | 방화벽, IDS, IAM 등 |
| Operational (운영 계층) | 보안 운영 및 모니터링 | 로그관리, 정책검토, 감사 |
→ 각 계층은 ‘Why, What, How, Who, Where, When’의 질문에 대응하여 완성된다.
4. 기술 요소
| 기술 요소 | 설명 | 관련 표준 |
| Risk Management | 비즈니스 리스크 식별 및 관리 | ISO 31000, NIST RMF |
| Security Policy Modeling | 보안 요구사항을 정책으로 모델링 | ISO/IEC 27001 |
| Architecture Mapping | 비즈니스-기술 간 매핑 구조 | TOGAF ADM, COBIT 2019 |
| Governance Framework | 보안 관리체계 및 KPI 설정 | GRC(Governance, Risk, Compliance) |
| Continuous Improvement | 지속적 보안 성숙도 향상 | PDCA 모델 |
→ SABSA는 기존 보안 프레임워크(ISO 27001, NIST)보다 전략적 연계성과 체계적 정렬성을 강조한다.
5. 장점 및 이점
| 구분 | 설명 | 효과 |
| 비즈니스 정렬 | 보안을 기업 전략과 연계 | 보안의 ROI 명확화 |
| 구조적 일관성 | 6계층 아키텍처로 관리 | 복잡한 보안 요구 체계화 |
| 리스크 중심 | 리스크 완화 중심 설계 | 위협 대응 효율화 |
| 표준 연동 | 다양한 IT 거버넌스 모델과 통합 | 유연한 기업 적용 |
| 성숙도 향상 | 지속적 개선 프로세스 내장 | 장기적 보안 역량 강화 |
→ SABSA는 ‘보안을 경영 전략의 일부로 통합’하는 가장 성숙한 모델 중 하나로 평가된다.
6. 주요 활용 사례 및 고려사항
| 사례 | 내용 | 기대 효과 |
| 금융기관 보안 거버넌스 | 리스크 기반 정책 프레임워크 수립 | 규제 대응 및 감사 효율화 |
| 공공기관 정보보호 체계 | 정책-운영 간 통합 거버넌스 구축 | 정보보호 성숙도 향상 |
| 대기업 IT 아키텍처 통합 | TOGAF + SABSA 연계 설계 | 보안 내재화 (Security by Design) |
| 클라우드 보안 전략 | 비즈니스 요구 기반 접근통제 설계 | 멀티클라우드 리스크 관리 |
고려사항: 초기 도입 시 프레임워크 구조가 복잡해, 충분한 아키텍처 전문성과 경영진 지원이 필요하다.
7. 결론
SABSA는 보안을 기술 중심에서 비즈니스 가치 중심으로 전환시킨 대표적 아키텍처 프레임워크다. Zachman Framework를 확장하여 기업의 전략적 목표, 리스크, 보안 요구를 하나의 구조적 모델로 통합하며, 보안 거버넌스의 표준으로 자리잡고 있다. 클라우드, 제로트러스트, ESG 거버넌스 등 새로운 IT 환경에서도 SABSA의 철학은 핵심적 역할을 수행한다.