API 거버넌스란 무엇인가요?

API 거버넌스는 API Management에 대한 프레임워크와 전략을 설정합니다. API 거버넌스의 목표는 검색 가능하고 안전하며 확장 가능하고 재사용 가능한 API를 생성하는 것입니다. 즉, 효과적인 API 거버넌스는 더 높은 품질, 더 가치 있는 API 및 더 나은 사용자 경험을 제공합니다.

API 거버넌스는 조직의 API 에코시스템 내에서 일관성을 유지하여 API가 공통 표준을 준수하고 비즈니스 전략에 부합하도록 합니다. 이러한 표준과 정책은 점검과 검증을 통해 시행됩니다. 예를 들어, 효과적인 거버넌스는 내부 및 외부 파트너가 메타데이터를 쉽게 사용하는 데 필요한 메타데이터가 API에 포함되어 있는지 확인하는 데 도움이 됩니다.

많은 조직, 특히 디지털 혁신을 진행 중인 조직은 기존 시스템을 최신 시스템과 통합해야 합니다. API 거버넌스는 프로토콜 및 언어와 같은 요소에 대한 표준을 설정하고 적용함으로써 API가 다양한 환경과 시스템에서 원활하게 작동할 수 있도록 지원합니다. 거버넌스 모델에는 조직이 특정 비즈니스 요구 사항 및 이니셔티브에 맞게 거버넌스를 맞춤화할 수 있도록 하는 다양한 API 프로토콜 또는 사용 사례에 대한 규칙의 하위 집합이 있는 경우가 많습니다.

또한 API 거버넌스는 중복성(팀이 기존 통합을 재사용하는 대신 새로운 서비스를 구축하는 경우)을 줄이고 조직이 필요하지 않은 서비스를 개발하거나 통합하는 것을 방지하는 데 도움이 됩니다. 이를 통해 API Management와 관련된 전체 비용을 절감할 수 있습니다. 또한 거버넌스는 API의 무분별한 확장(독립적으로 개발 및 관리되는 수많은 API가 여러 부서에 분산되어 있는 경우)과 API의 무분별한 확장으로 인해 발생할 수 있는 불일치 및 보안 취약성을 줄이는 데 도움이 됩니다.

API 거버넌스는 IT 환경이 더욱 복잡해지고 조직이 다양한 환경에 분산된 마이크로서비스 및 앱(예: SaaS 솔루션)에 더 많이 의존함에 따라 API 가용성과 보안을 보장하는 데 도움이 되기 때문에 중요합니다. API 거버넌스를 통해 조직은 비즈니스 역량과 기능을 안전하게 노출하여 내부 및 외부 고객이 모두 사용할 수 있도록 할 수 있습니다.

이는 수천 개의 API를 사용하는 대기업의 경우 특히 그렇습니다.¹ 효과적인 API 거버넌스는 조직의 API 프로그램이 효율적이고 일관성 있게 운영되고 비즈니스 목표에 부합하도록 보장합니다. 예를 들어 조직은 이를 통해 레거시 시스템을 복합 서비스에 통합하고 클라우드에 호스팅되는 최신 애플리케이션 및 서비스와 상호 작용하는 데 사용할 수 있는 API를 만들 수 있습니다.

API 거버넌스는 중복을 줄이고 API의 무분별한 확장에 수반되는 위험을 완화하는 데 도움이 되기 때문에 중요합니다. 거버넌스를 사용하면 이해관계자가 이미 존재하는 기능(및 사용 방법)과 개발이 필요한 기능을 더 쉽게 파악할 수 있습니다. API 거버넌스 정책은 API 설계 및 API 개발을 표준화하여 새로 개발된 API가 다른 모듈식 API와 함께 작동하도록 하는 데 도움이 됩니다. 또한 거버넌스는 API가 규제 기관의 규정을 준수하고 조직이 적절한 보안 조치를 제정하고 시행할 수 있도록 도와줍니다.

API 거버넌스는 API 우선 전략을 추구하는 조직에 특히 중요합니다. API 우선 전략에서 API는 애플리케이션 개발 후 처리해야 하는 대상이 아니라 개발 프로세스 중에 우선순위가 부여되는 전략적 비즈니스 자산으로 취급됩니다. 거버넌스 정책은 모든 API가 모듈화되고 상호 운용 가능하며, 환경에 추가되는 모든 새로운 API가 새로운 가치를 제공하고 의도한 대로 작동하도록 하는 데 도움이 될 수 있습니다.

이러한 용어는 API 라이프사이클의 모든 단계에서 API 상태에 필수적이고 관련되어 있지만, 서로 다른 개념입니다. API 거버넌스는 관리를 위한 API 전략 및 프레임워크를 제공하는 표준 및 모범 사례를 설정합니다. API Management는 API 포트폴리오 전반에 걸쳐 API 거버넌스 원칙을 구현하여 제어 및 분석을 중앙 집중화하는 것입니다. 효과적인 API Management는 조직이 OAuth 및 암호화 사용과 같은 보안 정책 및 프로토콜을 따르도록 합니다.

API Management는 API 환경 전반에서 일관성과 제어를 보장합니다. 이는 API 품질을 보장하고 조직이 API의 잠재력을 최대한 발휘할 수 있도록 지원하는 데 매우 중요합니다. API 관리 플랫폼은 제어를 중앙 집중화하고 도구 모음을 사용하여 팀 간 배포, 문서화 및 정보 공유를 최적화합니다.

관리 플랫폼에는 API Gateway, 개발자 포털, API 문서, API 카탈로그, 분석 툴 및 API 라이프사이클 관리 구성 요소가 포함되는 경우가 많습니다. API 관리 플랫폼을 통해 조직은 API를 신속하게 생성, 공유, 모니터링 및 조정하고, 라이프사이클 관측 가능성을 높이고, API 범위를 확장하고, API를 더 효과적으로 수익화할 수 있습니다.

API 보안은 악의적인 행위자, 오용 및 사이버 보안 위협으로부터 조직의 API를 보호하는 정책 및 절차를 말합니다. API 거버넌스 전략에 수립된 원칙은 API 보안 정책의 지침이 됩니다.

예를 들어, 보안 정책에 따라 SQL 인젝션 공격을 차단하기 위해 항상 API Gateway를 사용하여 백엔드 서비스와 프런트엔드 애플리케이션을 분리하도록 지시할 수 있습니다. 정책에 따라 모든 경우에 표준 인증 방법을 사용하거나 데이터 유형에 따라 다른 방법을 정의해야 할 수도 있습니다.

효과적인 API 거버넌스는 API Management 및 API 보안을 모두 아우르며 기업의 접근 방식을 형성합니다. API 거버넌스는 조직이 API를 효율적으로 사용하는 데 도움이 되는 정책을 정의하며, 여기에는 API를 관리하고 사이버 보안 위협으로부터 안전하게 유지하는 방법을 결정하는 것이 포함됩니다.

명확하고 일관된 API 표준을 만들려면 조직의 전체 API 환경을 포괄적으로 파악해야 합니다. 사용되는 API가 많을수록 이 작업은 더 복잡해질 수 있습니다. 효과적인 정책을 보장하기 위해 조직은 거버넌스 설계에서 다음과 같은 특정 모범 사례를 따르는 것을 목표로 합니다.

API 거버넌스를 도입하는 주된 이유 중 하나는 조직에서 사용하는 수많은 API를 고품질로 유지하고, 간소화 및 표준화하기 위해서입니다. 여기에는 REST API에 대한 표준 형식을 정의하는 OpenAPI 사양(OAS)과 같은 코딩 표준을 채택하는 것이 포함될 수 있습니다. 이러한 표준을 구현하면 API의 확장성도 개선할 수 있습니다.

또한 모든 API를 쉽게 검색하고 재사용할 수 있도록 API에 대한 메타데이터 필드를 일관되게 만드는 것이 중요합니다. 조직은 이러한 정책 및 절차를 액세스 가능한 중앙 위치에 저장하여 조직 내의 모든 사람이 액세스할 수 있도록 해야 합니다. 이러한 표준은 모든 API가 API 라이프사이클 전반에 걸쳐 동일한 모델을 따르도록 전사적으로 사용해야 합니다.

API가 항상 거버넌스 지침을 준수하는지 확인하는 것은 누군가가 모든 지침을 수동으로 확인해야 한다면 힘든 작업이 될 것입니다. 셀프 서비스 거버넌스 도구와 API Management 애플리케이션은 환경 전반에 걸쳐 조직의 거버넌스 정책을 검증하고 적용할 수 있으며 자동화를 통해 프로세스를 훨씬 더 안정적이고 효율적으로 만들 수 있습니다.

예를 들어 개발자가 공통 데이터 모델을 사용하도록 하는 등 API 검토 프로세스에 자동화된 거버넌스 검사를 구축함으로써 조직은 API가 개발부터 배포 및 사용에 이르기까지 지침을 준수하도록 할 수 있습니다. 자동화가 반드시 수동 검토를 대체하는 것은 아니지만(이 두 가지를 함께 사용할 때 가장 효과적임) 자동화는 검사 프로세스에서 오류를 제거하고 전달 속도를 높이며 거버넌스 정책을 보다 효율적으로 만드는 데 도움이 됩니다.

조직은 비즈니스 변화 및 확장에 따라 API의 효율성을 높이거나 워크플로를 최적화하기 위해 API를 테스트, 수정, 확장 및 재배포하는 경우가 많습니다. API가 모든 버전에서 거버넌스 정책을 준수하고 버전 간의 변경 사항을 추적하려면 API 버전 관리가 엄격하고 일관성 있게 이루어져야 합니다.

API 반복 작업을 투명하게 진행하고 이전 버전과 호환되는 변경 사항과 호환되지 않는 변경 사항을 명확하게 구분하면 시간, 비용 및 문제를 줄일 수 있습니다. 메이저, 마이너 및 패치 버전 관리를 따르는 것이 모범 사례로 간주됩니다.²

거버넌스 구조는 너무 경직되어 조직이 이점을 얻을 수 있는 API를 사용하지 못하게 하거나 개발 속도를 크게 늦추는 경우 유용하지 않습니다. 어떤 경우에는 한 사용 사례를 염두에 두고 작성된 거버넌스 규칙이 다른 사용 사례에 적합하지 않을 수도 있습니다. 예를 들어 내부 개발자 포털에서 사용되는 API에는 공용 마켓플레이스용 프로토콜과 다른 프로토콜이 필요할 수 있습니다.

다른 비즈니스 분야에서도 마찬가지입니다. 조직의 여러 부서가 동일한 API를 다른 방식으로 사용할 수 있습니다. 예를 들어, 한 팀은 다른 팀과 관련이 없거나 필요하지 않은 특정 조건이 트리거될 때 맞춤형 오류 코드가 필요할 수 있습니다. 거버넌스 정책은 이러한 예외를 허용할 수 있을 만큼 유연해야 하며 DevOps 및 기타 애자일 방법론을 방해해서는 안 됩니다.

API 거버넌스 정책이 의도한 대로 작동하려면 조직은 DevOps 팀과 기타 이해관계자가 외부 개입 없이 정책을 구현할 수 있도록 권한을 부여해야 합니다. 거버넌스 정책을 시행하려면 교육을 실시하고, 거버넌스를 더 쉽게 만들기 위한 새로운 API 툴을 개발하고, 거버넌스 정책에 대한 정보를 가능한 한 쉽게 이용할 수 있도록 해야 할 수 있습니다. API 우선 환경에서는 이러한 수준의 검색 가능성이 특히 중요합니다.

조직은 디지털 혁신을 진행함에 따라 더 많은 API를 사용하게 될 가능성이 높습니다. 종속성이 많은 복잡한 API 포트폴리오를 관리하면 창의성과 개발을 저해하지 않으면서도 포괄적인 API 거버넌스 정책을 만드는 것이 복잡해질 수 있습니다. API 배포 및 모니터링, 검사 및 검증과 같은 거버넌스 프로세스의 일부를 자동화하면 API 거버넌스의 이러한 측면을 간소화하는 데 도움이 될 수 있습니다. 또한 자동화는 API 환경이 더욱 복잡해짐에 따라 기업의 거버넌스 정책 및 전략 전반에 걸쳐 일관성을 높이는 데 도움이 될 수 있습니다.

API 거버넌스의 또 다른 주요 과제는 기업의 API를 보호하는 보안 정책을 만드는 것입니다. API 보안 침해는 결과적으로 데이터 유출 및 비즈니스와 고객을 위험에 빠뜨리는 기타 사고로 이어질 수 있습니다. API 거버넌스에 강력한 보안 정책을 구축하고 정책 준수 여부를 확인하는 자동화된 검사를 구현하면 민감한 데이터를 보호하고 시스템을 원활하게 가동하고 실행할 수 있습니다.

잘못된 API 거버넌스 정책은 개발 프로세스에 추가 단계를 도입하기 때문에 개발에 방해가 될 수도 있습니다. API 라이프사이클의 모든 단계에서 거버넌스 정책 및 점검이 이루어지도록 함으로써 조직은 규정 준수 점검이 산발적으로 또는 배포 전에만 수행될 때 발생하는 병목 현상을 방지할 수 있습니다.

유연성과 권한 부여를 염두에 두고 거버넌스 정책을 작성하는 것도 이러한 문제를 완화하는 데 도움이 되며, 거버넌스 리더가 의도한 대로 작동하지 않을 경우 거버넌스 정책을 검토, 테스트 및 변경해야 한다는 점을 이해하는 것도 도움이 됩니다.

API 거버넌스는 조직이 혁신과 성장을 주도하는 API 환경을 구축하는 데 도움이 되는 모범 사례와 표준을 수립합니다. 정책을 적절하게 구현하면 조직이 레거시 시스템과 데이터베이스를 통합하고 새로운 복합 서비스를 구축할 수 있는 일관되고 안전한 환경을 만들 수 있습니다.

또한 API 거버넌스는 다음을 수행할 수 있습니다.