S/4 HANA License 최적화
FUE 기준 License 산정 대응
2027년도 SAP사의 ECC ERP 유지보수 종료 기한을 앞두고 많은 회사들이 S/4 HANA로의 전환을 진행하거나 계획하고 있다.
S/4 HANA가 회사의 Digital Core로서의 역할을 제대로 수행하기 위하여는 많은 준비 사항이 필요할 것이다. 그 중 ERP 투자의 규모를 고려하면 S/4 HANA의 License 비용을 최적 관리하는 것도 중요한 영역이다.
통상의 SAP 버전 업그레이드에는 별다른 License 비용 추가가 많지 않았기 때문에 기술적인 업그레이드 항목 및 업무 혁신/지원 관점의 프로세스/데이터 설계/구현에만 관심을 가지고 진행했었다. 그러나 S/4 HANA에서는 S/W License 관점에서도 여러가지 변화로 인한 비용 증가 요소가 있기 때문에 정확하게 이해하고 예측하고 실행하는 것이 중요하다.
S/4 HANA 전환은 다양한 S/W 계약 형태가 존재하기 때문에 다양한 경우의 수가 있지만 지금 국내 시장에서 가장 보편적으로 이루어지 있는 S/4 HANA 전환 형태에 대하여 먼저 알아 보고 이 경우에 고려해야 하는 License 비용에 대하여 검토해 보기로 한다.
먼저 SAP사가 제공하는 S/4 HANA S/W의 Version은 크게 S/4 HANA On-Premise, S/4 HANA Private Cloud Edition(PCE), S/4 HANA Public Cloud Edition 3가지 유형으로 나뉠 수 있다. S/4 HANA 전환 관점에서도 크게 S/4 HANA Conversion과 Green Field S/4 HANA 구축의 2가지 유형으로 구분할 수 있다.
통상적으로 S/4 HANA On-Premise을 유지하고 싶은 고객들이 한국뿐만 아니라 해외 여러 국가들에서도 적지 않게 존재한다. 그러나 SAP사는 SAP ERP의 Cloud 전환을 강력하게 추진하고 있고 Enterprise 급의 회사들에게는 S/4 HANA Private Cloud Edition(PCE)를 S/4 HANA On-Premise보다 권고하고 마케팅 관점에서 강력하게 밀고 있어 보인다.
프로젝트 추진 유형 관점에서는 기술적으로 S/4 HANA Conversion을 수행한 후 개선/혁신 활동을 추가하는 경우와 S/4 HANA를 신규로 다시 구축하는 Green Field 프로젝트가 병존하고 있다.
이 글에서는 SAP S/W 비용 관점에서 변환가 많은 S/4 HANA PCE 구축을 중심으로 설명한다. 프로젝트 추진 유형 관점에서는 Conversion이나 Greed Field 구축이나 차이는 없다. S/4 HANA On-Premise 구축도 S/W 계약 관점에 따라 다르기는 하지만(Prouct Conversion vs Contract conversion) S/4 HANA PCE와 동일한 구조의 License 적용을 받을 수도 있기 때문에 PCE와의 차이를 이해하고 준비를 하는 것이 필요하다.
1. SAP S/4 HANA PCE License 체계
SAP사는 S/4 HANA 도입과 함께 아래와 같이 기존의 다양하게 존재하던 License 체계를 단순화하고 통일하여 적용하고 있다.
그림1과 같이 S/4 HANA License는 다음과 같은 4가지 유형으로 결정된다.
1) Direct User Access : 통상적인 Dialog 사용자가 S/4 HANA를 사용하기 위하여 Log-in하는 경우 필요한 License
2) Digital Access : Enterprise 시스템의 범위 확대 및 전문화에 따라 다양한 업무 시스템, B2B 시스템 등과의 연계가 필요하고 이러한 연계시 외부 시스템이 S/4 HANA에 Update Access를 하기 위하여 필요한 License
3) Industry and LoB Solutions : Industry solution과 각 기능 영역별 특화 솔루션들은 별도의 License 체계에 따라 별도의 산정이 이루어짐
4) Infrastructure Ass-Ons : S/4 HANA Cloud Edition(PCE, Public Cloud)은 S/4 HANA의 Infastructure를 SAP사가 제공하기 때문에 이 비용과 이를 관리하기 위한 Basis technology 관련 서비스 일부의 비용이 추가됨
이 중 통상적으로 가장 많은 부분을 차지하는 것이 Direct User Access 이고 S/4 HANA PCE의 경우 기존과 전혀 다른 산정 방식이 적용되기 때문에 이 글에서는 이 Direct User Access에 대하여만 집중적으로 설명하고자 한다.
2. S/4 HANA PCE User 등급 분류 체계 변화
산정방식을 살펴보기 전에 User의 분류 체계 변경부터 살펴 보자. 다음 그림과 같이 기존의 다양한 User의 분류가 S/4 HANA에서는 Professional User(HB), Functional User(HC), Productivity User(HD)의 3가지로 단순화 되었다. 이 명칭은 S/4 HANA On-Premise에서 사용되는 것이고 S/4 HANA Cloud 에서는 Advanced User(GB), Core User(GC), Self-service User(GD)로 구분된다.
HB, GB는 기존 ECC의 Professional User(52)로 이해하면 되고 HD, GD는 Employee User(54)로 이해하면 된다.
S/4 HANA Cloud 에서는 HB/GB 사용자 1명은 1 FUE(Full User Equivalent)로 산정된다. HC/GC는 5명의 사용자가 1 FUE로 산정되며 HD/GD는 30명의 사용자가 1 FUE로 산정된다. 그리고 1 FUE 당 User License 단가가 책정되어 전체 Direct User Access License 금액이 책정된다.
따라서 각 사용자가 어떤 등급을 갖게 되는지는 전체 License 금액을 산정하는데 중요한 출발점이다.
또 하나의 중요한 변화는 기존 ECC License 체계에서는 Professional User나 Employee User 간의 전환이 인정되지 않았다. 따라서 Employee User License 가 사용되지 않고 남아 있는 상황에서도 Professional User는 초과하는 것을 전환 비율을 고려하여 대체할 수 없었다. S/4 HANA에서는 전체 FUE로 계산하고 사용자 등급별로 계약되지 않기 때문에 User 등급의 조정이 수시로 이루어질 수 있다.
3. S/4 HANA PCE User License 산정 방식의 변화
전체 몇명의 사용자가 쓰고 있는지가 아니라 FUE를 기준으로 User License가 책정되고 관리되기 때문에 각 사용자가 어떤 User 등급에 해당하고 이를 FUE로 환산하는 방식으로 License 금액이 산정된다.
S/4 HANA Cloud 에서는 여기서 User 등급을 산정하는데 중요한 변화가 있다. 기존 ECC에서는 User 숫자를 결정하고 등급에 따라 정해진 단가를 사용하여 금액을 확정하고 사후 Audit해 나가는 기본 원칙은 해당 User가 시스템을 사용했는지에 기초했다. 사용자의 시스템 활용 여부에 따라 사용자의 등급의 조정 관리하고(관리자가 수작업으로) 이에 참조하여 SAP Audit에 대응해야 했다.
그러나 S/4 HANA Cloud에서는 사용자가 시스템을 사용했는지가 아니라 사용자에게 어떤 권한이 부여되었는지를 가지고 User 등급을 책정한다. 즉 사용기반이 아니라 권한 부여 기준이 것이고 이렇게 부여 받은 권한으로 실제 시스템을 사용했는지에 상관없이 사용자의 등급이 정해지는 방식이다.
그림 3에서 볼 수 있듯이 기존 ECC가 실제 Transaction 사용 실적 기반의 User Licensing 체계였다면 S/4 HANA Cloud에서는 사용자에게 부여된 권한(Role-Authorization)에 기반하여 사용자의 분류 등급을 산정한다.
이렇게 되면 불필요한 Role 및 권한을 부여하게 되면 데이터 보안, SoD(Segression of Duty), Compliance 등의 이슈 뿐만 아니라 앞으로는 과도한 SAP License 비용을 초래할 수도 있는 것이다. 특히 선진 기업에 비해 Role/권한에 대한 관리의 정확성이 상대적으로 낮게 유지되고 있는 기업들은 더더욱 그러한 위험에 노출될 수 밖에 없다.
따라서 Role/권한 설계 부여 시에 최소 권한을 실제 수요에 기반하여 Role/권한을 부여하는 것이 중요하다. 이를 위해 S/4 HANA 전환 프로젝트를 계획할 때 우리 회사에 필요한 최적의 User License(FUE)에 대하여 계획하고 운영 단계에서도 지속적으로 Role/권한 관리를 통하여 License 비용이 최적화되도록 관리의 노력이 추가되어야 한다.
4. S/4 HANA User License 최적화 필요성
이러한 산정 방식의 변화에도 불구하고 많은 기업의 실무자들이 이 내용을 정확하게 이해하기 힘들며 따라서 필요 이상 과도한 License 비용을 고민하고 있는 것이 현실이다.
통상적으로 S/4 HANA Cloud로 전환시에는 기존의 License 계약은 폐기 되고 새로운 계약이 체결되어야 하며 이때 새로운 User 등급 분류 방식이 적용된다. 이렇게 계산된 SAP사의 제안 금액은 통상 기존 비용의 몇 배에 해당하는 경우도 비일비재하다. 물론 In-Memory DB 등 Infrastructure 비용 추가, Basis Technology 서비스 비용 추가 등이 있기 때문에 전체 비용은 증가할 수 밖에 없을 것이지만 몇배씩 증가하는 것은 세밀한 검토가 필요한 것이다.
SAP사는 S/4 HANA Cloud로의 전환을 계획하고 있는 고객에게 새로운 계약을 위하여 예상되는 License FUE 및 비용을 제시하게 된다. 이때 제시되는 FUE는 STAR(S/4 HANA Trusted Authorization Review)서비스를 통하여 산정된다. 이 STAR 서비스는 현재 사용하고 있는 ECC ERP의 설정(Role/권한)에 따라 User License FUE를 산정한다. 현재 시스템이 Role/권한이 최적화되어 있어 필요한 사용자가 필요한 만큼만의 권한을 가지고 있다면 STAR 서비스에 의한 FUE 산정 값이 적절하게 제시될 것이다.
그러나 경험에 의하면 많은 한국 기업들이 Role/권한 관리가 잘 이루어지지 않고 사용자들이 시스템을 사용하는데 권한에 문제가 없도록 관리하는 수준인 경우가 많기 때문에 이런 경우 필요한 것보다 훨씬 많은 Role/권한을 가지고 있게 된다. 이렇게 되면 사용하지도 않는 Role/권한 때문에 필요 이상의 FUE가 산정되고 이에 근거한 License 비용은 불필요하게 증가될 수 밖에 없다. 경험에 의하면 통상적으로 STAR 서비스에 의하여 제시된 FUE 숫자는 ECC 상의 전체 사용자수와 비슷한 경우가 많았으며 이는 Role/권한을 최적으로 관리했을 때보다 많은 경우 2~3배 많은 사례도 있었다.
또한 경험에 의하여 최적의 User License 등급 분류와 FUE는 실제로 사용자들이 시스템을 사용한 log 데이터인 ST03N을 잘 분석해 보면 예측해 볼 수도 있는데 통상 이 ST03N 데이터에 의한 FUE 예측이 Role/권한 최적화에 의한 최적 FUE와 유사할 수도 있다고 전문가들은 보고 있다.
5. S/4 HANA User Classification(등급 분류) 점검
SAP사는 고객들이 S/4 HANA Cloud User License FUE를 산정해 볼 수 있도록 하는 기능을 제공하고 있다. 이를 통하여 우리 회사의 현재의 Role/권한 부여에 기초한 FUE를 확인 할 수 있으며 쉽지는 않기는 하지만 Role/권한의 최적화 가능성을 점검해 볼 수도 있다.
이 기능을 실행해 보기 위하여는 SAP Note 3113382를 적용해야 한다. 이 Note를 적용하면 다음 그림과 같은
T-Code(SLIM_UCH)를 실행할 수 있다.
이 T-Code는 현재 시스템의 Role/권한 부여 현황을 기준으로 사용자, Role의 Classification(등급 부여)를 확인할 수 있고 이를 저장하여 재 활용할 수도 있다. 이때 SAP Notes가 제공하여 시스템에 등록된 Ruleset을 활용하게 되며 이 Rule set은 SAP사가 SAP의 권한 Object/Field/Value 조합 값에 대하여 Classification을 책정하여 둔 것을 활용하여 사용자, Role의 등급 부여를 할 수 있도록 하는 기준을 제공한다.
개념적으로는 사용자가 Role에 메뉴 Object(T-Code 등) 등을 지정하면 SU24에 지정된 권한 Object 및 Field, Value 조합에 따라 해당 Role의 Classification 등급이 결정된다. 물론 사용자가 권한 Profile에서 Object, Field, value 값을 변경하면 이것도 반영되어 등급이 결정된다.
Role의 Classification 등급은 Role이 가지고 권한 Profile에 포함된 권한 Object/권한 Field/값의 조합에 부여된 등급 중 제일 비싼 등급이 Role의 등급이 된다.
Role은 사용자게에 지정된다. 사용자는 여러개의 Role을 가질 수 있으므로 사용자에게 지정된 여러개의 Role 중 가장 비싼 등급의 Classification이 해당 User의 License 등급이 된다.
위 T-Code 실행을 User Validation option 으로 실행해 보면 다음 그림과 같은 결과를 얻게 된다.
Current Classification(User Master에 등록된, 관리자가 입력한)별로 Role/권한 기반 등급을 GB, GC, GD, not classified로 분류하여 보여준다.
예를 들어 실제 관리자가 ECC에서 54, 즉 employee user로 License 관리를 하고 있는 사용자 284명 중 202명의 사용자가 GB Advanced User로 분류된 것을 볼 수 있다. 만약 이 것이 최적의 결과라면 202개의 User License가 비싼 등급의 License 를 구매해야 하는 상황이 되는 것이다.
각 숫자를 click 하면 해당 항목에 대하여 Usere별 Classification 화면으로 이동하여 해당 결과가 도출된 원인, 즉 각 User의 Classification을 확인할 수 있다.
위 그림에서 보면 사용자 별로 사용자 마스터(SU01-Lic.Data tab)에 등록된 현재의 User 등급과 Role/권한에 기반한 S/4 HANA 기준의 User Classification이 표시되며 Ratio 칼럼에서는 전체 해당 User가 가지고 있는 전체 Role 중 몇개가 해당 User가 해당 Classification을 가지고 있는지 보여준다.
이 화면에서 User ID를 더블 클릭하면 Role Classification 결과 화면으로 이동할 수 있다. Role Classification 화면에서는 해당 User가 가지고 있는 전체 Role에 대한 등급을 확인 할 수 있다.
그림 7의 예제 화면의 경우 해당 사용자는 5개의 Role을 가지고 있으며 이중 GB가 1개 있기 때문에 이 사용자는 GB 사용자로 분류된 것이다. Object 칼럼에서는 해당 Role이 가지고 있는 권한 Object 개수를 표시한다.
이 화면에서 Role을 더블 클릭하면 권한 Object 분류 상세 화면으로 이동한다. 이 화면에서는 해당 Role에 지정된 권한 Profile에서 가지고 있는 권한 Object 와 권한 Field 및 그 Field 값 조합에 따라 어떤 License 등급이 부여되었는지 학인할 수 있다. 이는 SAP사가 제시한 Rule Set에 기반한 것이다.
위 그림 예제에서 보면 이 Role은 27개의 권한 Object/Field/Value 값의 조합을 가지고 있으며 이중 1개의 조합이 GB이고 나머지 26개 조합은 GD이지만 최고 비싼 등급의 GD가 해당 Role의 등급이 된 것을 확인할 수 있다.
이러한 분석을 통하여 사용자에게 불필요한 Role이 지정되어 있는지, Role에 불필요한 권한 Object(불필요한 T-Code를 통하여)가 지정되어 있는지 확인할 수 있고 이를 토대로 Role/권한을 조정할 수 있다.
그러나 이 도구는 이러한 목적으로 만들어진 도구라 아니라 이 작업을 실제로 수행하는 것은 아주 난해한 작업이 된다. 따라서 SAP License 최적화 관점에서 Role 및 권한을 점검하고 Simulation하면서 조정할 수 있는 도구의 필요성이 생긴다.
6. SAP License 최적화 도구를 활용한 Role Clean-up, Role Redesign
SAP Security, SoD, Compliance 관점에서 SAP ERP의 Role Concept와 권한 부여를 분석해 보면 많은 사용자가 필요이상으로 많은 Role을 가지고 있으며 각 Role도 필요 이상의 많은 T-Code를 가지고 있는 것을 확인할 수 있다. 또한 각 Role에는 불필요한 권한 Object와 권한 필드 및 값을 가지고 있는 경우가 많다. 이런 상황은 앞의 관점에서도 이슈가 되지만 바뀐 S/4 HANA의 License 산정 체계에 따르면 불필요한 비용 지출을 수반하는 리스크를 증대시킨다.
이를 방지하기 위하여 Role Clean-up이나 Role Concept의 재설계가 필요하다. 통상 미국이나 유럽의 기업들은 SAP Security나 Compliance 관점에서 이러한 작업을 진행해 왔는데 최근에는 S/4 HANA License 최적화 관점에서도 이에 대한 필요성이 증가한 것이다. S/4 HANA로의 전환을 추진하는 기업들의 입장에서는 Conversion 프로젝트 준비하는 단계나 프로젝트 과정에서 Role Clean-up이나 Role Concept의 재설계를 진행할 최적의 기회가 될 것이다.
Role Clean-up이나 재설계를 수행하기 위하여는 적절한 도구의 지원이 필요하다. 이 것 없이는 지난한 수작업이 될 것이기 때문이다. 시장에는 2가지 유형의 Tool, 솔루션이 확인된다. 한가지 유형은 SAP License Audit 관련 서비스를 제공하는 Tool에서 출발하여 License 최적화 지원 기능을 추가한 유형(참조 : https://www.voquzlabs.com/)이고 또다른 유형은 Role/권한 관리를 지원하는 Tool에 SAP License 최적화 기능을 추가한 경우이다.
SAP License를 최적화하기 위하여는 결국 Role/권한 자체가 최적화되어야 하기 때문에 단순히 최적화된 숫자를 제시하는 SAP사의 STAR 서비스나 Audit 기반의 Tool보다는 Role/권한 설계, 테스트, 적용을 지원하는 도구가 필요하다.
여기서는 SAP Security 전문가들이 나와서 이 분야의 전문 회사를 설립하고 만든 솔루션이 XAMS(Xiting Authorization Management Suite)를 소개한다.
XAMS 솔루션은 현재 운영 시스템의 Role/권한 설정의 Quality를 점검하여 지속적으로 관리할 수 있도록 지원하며 Role Clean-up이나 Role Redesign 프로젝트를 수행할 때 다양한 Simulation이 가능한 환경을 제공하여 현재 시스템의 Role/권한 설정에 영향을 미치지 않고 다양한 Role/권한 조정을 Simulation 해 보고 최적의 설정을 만든 다음 이를 테스트하여 적용하는 과정을 거치게 도와준다.
Role Clean-up이나 Role Concept이 재설계시 어려운 작업은 최적의 Role/권한 체계를 설계하고 Role에 꼭 필요한 T-Code, 권한 Object 및 값을 부여하는 것도 있겠지만 이렇게 Simulation 해 본 안을 테스트를 통하여 문제를 사전에 점검해야 하는 작업일 것이다. XAMS 솔루션은 실제 운영 환경에서 사용자가 본인의 업무를 수행하는 과정에서 새로 설계한 Role도 같이 테스트되게 하는 획기적인 방법으로 권한 테스트를 자동화하는 기술은 제공한다.
XAMS Tool의 구성 모듈을 살펴 보면 아래 그림과 같다.(참조: https://xiting.com/en/xams/)
각 모듈은 다음의 기능을 수행한다.
• 모듈 1 Xiting Role Profiler : 현 Role과 권한의 현황을 점검하고 이슈를 찾도록 도와 줌
• 모듈 2 Xiting Role Designer : 사용실적(ST03N) 기반하여 Virtual 환경에서 Role을 Design Simulation 할 수 있음
• 모듈 3 Xiting Role Replicator Tools : 조직 Variant Role을 만들고 조직 필드와 값을 쉽게 관리
• 모듈 4 Xiting Times : Go-Live 전 Role Test 환경을 제공함
• 모듈 5 Xiting Automatic Role Builder : Xiting Time 모듈과 함께 운영 시스템에서 Role 테스트 가능
• 모듈 6 Xiting ABAP Alchemist : Custom ABAP 프로그램의 권한을 최적화 할 수 있도록 도와 줌
• 모듈 7 : Xiting Security Architect : 권한 설정의 체계적 문서화 가능
• 메뉴 항목 : Xiting Role Change Management Workflows
• 메뉴 항목 : Xiting SIEM Connector : SAP log를 SIEM(Security information and event management) 솔루션으로 전송
• 메뉴 항목 : Xiting Central Master Data & Utilities
SAP License 최적화 관점에서 보면 Role Profiler 모듈과 Role Designer 모듈이 주로 사용되게 되는데 Role Profiler에서의 현재 Role/권한 설정의 Quality 를 점검하고 License 현황을 확인할 수 있다.
Role Designer에서는 운영 시스템의 ST03N 데이터를 기반으로 Design Simulation Project Data 환경을 구성하고
1) 불필요한 메뉴 Object Role에서 제거
2) 불필요한 Role을 사용자에게서 제거
3) Role 세분화를 통하여 필요한 사용자에게만 필요한 T-Code 부여
4) Data Mining 기법을 이용하여 사용 실적 기반으로 T-Code 군을 분류하여 새로운 Role을 생성하고 지정
등 다양한 Role Design Simulation을 수행해 볼 수 있다. 이 모든 작업은 ST03N 사용 실적 기반으로 점검할 수 있다.
이러한 Role Clean-up, Redesign 과정에서 각 단계별로 해당 조치의 License 영향도 확인할 수 있다.
또한 새롭게 설계되고 있는 Role/권한에 따른 User Classification은 ST03N 실적의 기존의 사용(Usage)기반 User Classification과도 비교해 볼 수 있다.
위 그림의 숫자들이 정확한 예시는 아니지만 이를 근거로 설명해 보면 사용 실적 기반으로는 152개의 GB License 가 필요하지만 현재의 Role 설계 Version으로는 610개이 GB License가 필요하므로 더 많은 Role Clean-up 활동을 통해 Usage 기반의 숫자를 목표로 Role 기반의 User Classification을 최적화해 가는 과정이 필요하다.
7. 결론
Digital Core로서의 S/4 HANA ERP 시스템의 혁신은 CIO/CDO의 중요한 Agenda일 것이다. SAP ERP가 투자 비용 대신 효과에 있어 의심의 눈초리를 받아온 것도 사실이다. 따라서 S/4 HANA 전환을 통하여 Digital Core로서의 투자 가치를 만들어 가는 것도 중요하다. 이에 못지 않게 투자 비용을 최소화 하려는 노력 역시 중요하다.
SAP사는 S/4 HANA 도입과 함께 Cloud 솔루션의 특성에 맞는 새로운 License 체계를 제시하고 있다. 이는 기존의 시스템 사용 기반 License 산정 대신 Role/권한의 부여 기준 License 산정으로 요약할 수 있다. Role/권한을 세밀하게 관리하고 있지 않고 사용자가 시스템 쓰는데 문제 없는 수준으로 관리한 회사라면 더더욱 이러한 산정 체계의 변화로 인하여 불필요한 License 비용을 지출하게 될 위험성이 커졌다.
S/4 HANA 전환을 계획하고 있는 담당자는 이러한 상황에 대한 충분한 이해를 바탕으로 우리 회사에 필요한 최적의 User License 를 산정하고 이를 지속적으로 관리해 나가야 한다.