[CISA 이론 정리 - 3장] 07 비지니스 응용 시스템

1. 전자 상거래(Electronic Commerce)

(1) 의의

① 전자 상거래란 네트워크 상에서 자동화된 절차를 통해 수행하는 비즈니스 거래이다.

② 전자 상거래는 거래 처리의 비용과 시간을 절약해 주지만 보안 위험이 존재한다.

③ 특히 승인 받지 않은 접근, 거래의 중복 또는 누락, 거래 정보의 유출 등의 위험이 있다.

④ 암호화 및 사용자 환경에서의 직무 분리, 인증, 물리적/논리적 접근 통제도 중요하다.

(2) 전자 금융 및 전자 결제

① 전자 금융은 통신 네트워크를 통해 은행, 증권, 보험 등의 금융 거래를 수행하는 것이다.

② 전자 결제는 전자 자금 이체, 신용 카드 결제, 전자 수표, 전자 화폐 등에 특화되어 있다.

• 전자 자금 이체 - 송금자의 계좌에서 수금자의 계좌로 현금을 이체한다.

• 신용 카드 결제 - 편리하지만 거래 기록이 남기 때문에 프라이버시가 저하된다.

• 전자 수표 - 해외에서는 현금이나 종이 수표 대신 전자 수표로 결제하기도 한다.

• 전자 화폐 - 현금이 아니며 이자도 없지만 일부 거래에서 현금처럼 사용한다.

(3) 전자 정부

① 전자 정부 시스템은 각종 증명서 발급, 세무 업무 및 민원 처리 등의 서비스를 제공한다.

② 또한, 행정 기관의 업무 자동화 및 부서 간 연계 등을 지원한다.

(4) 전자 문서 교환(EDI: Electronic Data Interchange)

① EDI는 B2B의 일종으로서 업체 간 상호 협력을 증진하고 관계를 강화한다.

② EDI를 구축하려면 업체 간에 교환 약정 및 네트워크 약정을 먼저 체결해야 한다.

③ EDI 시스템을 구축하면 거래 주문과 처리 과정에서 수작업 데이터 입력이 최소화된다.

④ EDI 거래는 크게 아웃바운드 거래와 인바운드 거래로 구분할 수 있다.

아웃바운드 거래(구매/대금수령)

• 승인 받지 않은 거래 개시 및 거래 대금의 과다 지급을 통제한다.

• 접근 통제, 거래 개시와 전송의 직무 분리, 거래 승인을 적용한다.

• 주기적 거래 프로파일 비교, 거래 당사자 검증, 예외 사항 검토 등

인바운드 거래(판매/대금수령)

• 거래 처리 및 대금 청구가 누락되는 일이 없도록 통제한다.

• 거래 데이터의 합리성, 유효성, 무결성을 평가하고 기록한다.

• 통제 합계 비교, 세그먼트 카운트 합계(트레일러에 포함) 검증 등

⑤ EDI 시스템은 다음과 같이 구성되어 있다.

응용 시스템

• 최종 사용자가 거래 처리에 사용하는 시스템

• 예) 구매자: 구매 응용 시스템, 판매자: 판매 응용 시스템

EDI 인터페이스

- 응용 인터페이스

• 응용 시스템이나 EDI 번역기로부터 거래를 수신한다.

• 수신한 거래 데이터의 유효성을 검사하고 EDI 번역기(또는 응용 시스템)로 보낸다.

• EDI 번역기로부터 수령한 인바운드 거래에 대해서는 기능적 수령 확인(functional acknowledgment)을 보낸다.

※ 기능적 수신 확인은 거래의 감사 증적으로 사용된다.

- EDI 번역기

• 데이터를 상호 합의한 표준 또는 업계 표준(예: ANSI X.12) 형식으로 변환한다.

• 표준 방식으로 표현한 거래를 통신 처리기로 보낸다.

• 수신한 거래 데이터를 응용 인터페이스로 보낸다.

통신 처리기

• 거래 데이터를 네트워크를 통해 판매자에게 전송한다.

• 수신 받은 거래를 EDI 번역기로 보낸다.

2. 통합적이고 추상적인 분야에서의 IT 활용

(1) 전사적 자원 관리(Enterprise Resources Planning)

① ERP는 통합 제조 관리(Integrated Manufacturing Management)라고도 부른다.

② ERP는 MRP I과 MRP II의 뒤를 잇는 자원 관리 접근법이다.

③ ERP는 MRP II에 인사, 회계, 재무, CRM, SCM, CAD, CAM, CIM 등을 통합한다.

• MRP(Material Resources Planning), MRP I: 주로 자재 관리에 집중

• MRP(Manufacturing Resources Planning), MRI II: 제조/채권/채무 통합 관리

• CRM(Customer Relationship Management): 고객 관계의 유지 관리

• SCM(Supply Chain Management): 공급업체와의 관계 증진

• CAD(Computer Aided Design): 컴퓨터를 활용한 제품 도면 제작 및 유지

• CAM(Computer Aided Manufacturing): 컴퓨터를 활용한 제조 공정 제어

• CIM(Computer Integrated Manufacturing): CAD, CAM 등을 통합

(2) 의사 결정 지원 시스템(DSS: Decision Support System)

① 의사 결정 과정이 비구조직인 문제와 관련하여 특정 분야의 의사 결정을 지원한다.

② 사용자는 DSS와의 대화식 상호 작용을 통해 데이터를 입력한다.

③ 입력 데이터와 내장된 의사 결정 규칙들을 토대로 의사 결정의 결과와 영향을 보여 준다.

(3) 비즈니스 지능(BI: Business Intelligence)

① 기업의 방대한 데이터를 체계적으로 수집, 저장, 정리, 분석하도록 도와 준다.

② 이를 통해 효과적이고 효율적인 경영 의사 결정을 지원하는 방법이다.

③ 데이터 제공자들을 통해 입수한 데이터를 데이터 웨어하우스(data warehouse)에 보관하는 것이 필요하다.

④ 사안별로 데이터를 요청하고 OLAP(Online Analytic Process)를 통해 주제별로 분석한다.

⑤ 분석의 품질은 결국 확보하고 있는 원천 데이터의 양과 품질에 의존한다.

(4) 인공 지능(AI: Artificial Intelligence)

① AI 기술은 말 그대로 인간의 지능이나 지적 능력을 컴퓨터로 재현/모방하는 기술이다.

② ES(Expert System), 자연어 처리, 신경망, 패턴 인식, 음성 인식, 외국어 번역 등이 예이다.

③ 대표적인 AI 언어에는 LISP와 PROLOG가 있다.

④ ES는 숙련성이 높은 직원들의 전문성을 조직에 전수하는 데 기여한다.

⑤ ES는 가정과 판단 공식에 대한 엄격한 변경 통제를 해야 한다.

⑥  또한, 업무 상 접근이 필요한 직원에게만 접근 권한이 허락되어야 한다.

⑦ ES는 UI(사용자 인터페이스), 추론 엔진, DB, KB(지식베이스), 설명 모듈로 구성된다.

• UI - 사용자와 ES 간의 질의와 응답 과정을 표현한다.

• 추론 엔진 - 사용자가 입력한 정보를 토대로 분석과 결론을 도출한다.

• DB - 데이터 인터페이스를 통해 입력된 각종 외부 데이터가 저장된다.

• KB - 지식 페이스를 통해 전문적 판단 및 의사 결정 방법 등이 저장된다.

• 설명 모듈 - ES가 제시한 분석 및 결론의 근거를 설명한다.

⑧ KB에 지식을 저장하는 방식은 주로 세 가지 형태가 사용된다.

• 의사 결정 트리 - 일련의 질문에 대한 대답을 선택하다 보면 결론에 도달하는 방식

• 규칙(Rule) - If-then 방식으로 추론하는 방식

• DB - DFD 및 상속 개념을 적용한 논리적 네트워크 형태를 사용한다.

3. 기타

(1) POS(Point of Sales)

① 판매 시점에서 거래 처리 시점과 장소 및 부대 정보를 실시간으로 수집하는 시스템이다.

② 바코드 스캐너나 신용카드 리더와 연결되며 전자 결제 시스템과 연결되기도 한다.

③ POS 시스템의 특수한 사례로는 ATM(Automatic Teller Machine)이 있다.

④ ATM은 계좌 조회, 입금/출금/이체, 신용카드 관련 업무 등을 수행할 수 있는 무인 단말기이다.

⑤ ATM은 통행량이 많은 곳에 위치하는 경우가 많으므로 물리적/논리적 접근 통제가 중요하다.

⑥ 특히 철저한 사용자 인증과 거래 증적의 유지가 필수적이다.

⑦ 주기적으로 거래의 무결성을 검증하기 위해 메인프레임과 일일 거래 내역을 비교/조정해야 한다.

(2) 판매 및 구매 회계 시스템

① 판매 회계 시스템은 구입 주문 수신, 출고, 매출 채권 관리 등과 관련한 회계 처리를 한다.

② 구매 회계 시스템은 구입 주문 송신, 입고, 매입 채무 관리 등과 관련한 회계 처리를 한다.

(3) 사무 자동화(OA: Office Automation)

① 문서 작성, 전자 우편, 음성 전달, 시간 관리 등 일반적인 사무실 업무를 자동화한다.

② 특히 전자 우편은 인터넷 또는 인트라넷 서비스 중에서 가장 널리 사용되고 있다.

③ 전자 우편은 단순한 ASCII 코드 형식으로만 보내거나 이진 파일을 첨부하여 전송할 수도 있다.

④ 전자 우편은 악성 코드 및 도청 문제 등의 보안 문제를 대응해야 한다.

(4) 대화형 음성 응답(Interactive Voice Response)

① 콜 센터 등에서 널리 사용되며 ARS(Automatic Response Service) 시스템이라고도 한다.

② 사용자가 전화를 통해 기계적인 음성 지시에 따라 컴퓨터와 대화하는 시스템이다.

③ 사용자는 음성으로 지시를 하거나 버튼을 눌러 메뉴를 선택한다.

④ 금융 거래, 계좌 잔액 조회, 설문 조사, 예약 현황 조회 등의 서비스를 제공한다.

(5) 이미지 처리(Image Processing) 

① 하드카피 형태의 문서를 아날로그 또는 디지털 이미지로 변환하여 보관하는 기술이다.

② 종이 형태의 거래 증적을 다량으로 보존해야 하는 금융이나 의료 분야에서 이미지 처리 기술을 적용하면 문서 보관 비용과 공간을 절약할 수 있다.

③ 또한 다량의 콘텐트를 주기적으로 생산하는 잡지나 신문사 등에서도 많이 사용한다.

④ 아날로그 이미지 처리 기술로는 마이크로피시(microfiche) 또는 마이크로필름이 있다.

⑤ 디지털 이미지 처리 기술은 주로 고속의 고해상도 스캐너를 사용한다.

⑥ 이미지 처리의 경우 거래 증빙으로서의 효력이 인정 받지 못하는 법률적 위험이 있을 수 있다.

⑦ 따라서 사전에 법률적 자문을 받아야 하며, 스캐닝 품질과 더불어 향후 검색을 위한 인덱스 파일의 정확성을 철저히 보증해야 한다.

⑧ 또한, 이미지 처리 대행업체를 통한 파일 유출이 발생하지 않도록 잘 통제해야 한다.

(6) CRM(고객 관계 관리)과 SCM(공급 사슬 관리)

① CRM(Customer Relationship Management)은 고객과의 다양한 접촉 및 거래 이력을 기록하고 이에 근거하여 고객 성향을 분석한다.

② 이러한 분석 결과는 판매 전략 수립 및 마케팅에 활용되며 매출 및 이윤 증대에 기여한다.

③ CRM은 각종 이력 정보를 기록하는 운영 CRM과 분석을 수행하는 분석 CRM으로 구성된다.

④ SCM(Supply Chain Management)은 공급자, 유통업체, 제휴업체 등과의 전략적 연계를 강화하는 시스템이다.

⑤ SCM은 구매 거래의 효율 향상 및 불필요한 재고의 최소화 등에 기여한다.

⑥ CRM 및 SCM은 ERP 시스템과 연계하여 운영하기도 한다.