한국의 경우에도 2006년 11월말 기준으로 4개 기업이 레벨 5에 도달하였고 레벨 4가 3개, 레벨 3가 27개, 레벨 2가 5개로 총 39개 기업이 CMMI에 따른 공식 레벨을 확보하고 있다. 연내 공식 심사를 계획하고 있는 기업이 적지 않은 것으로 파악되어 그 수는 더욱 늘어날 것으로 전망된다.
그렇다면 한국 기업들은 왜 CMMI 레벨을 받으려고 하는 걸까? CMMI 레벨을 받으려면 공식 심사비용 등 많은 비용이 들어가는데도 CMMI 레벨을 받으면 무엇이 나아질까? 혹시라도 남들이 하니까 나도 덩달아 하는 식으로 CMMI를 적용하고 있는 것은 아닐까?
필자는 국내 기업의 CMMI 적용 현황과 CMMI가 정말 국내 기업에 필요한지, 그리고 앞으로 CMMI는 어떻게 발전되어 나갈지 등에 대해 심층 분석해 보고자 한다.
국내 CMMI 도입 현황
"CMMI는 인증을 받는 것(certified)이 아니라 인정을 받는 것(acknowledge)이다."
국내에 CMMI의 전신인 CMM 기반의 프로세스 개선 활동이 본격화되기 시작한 것은 1990년대 후반으로 몇몇 대형 SI업체 및 소프트웨어 개발업체를 중심으로 시작되었다. 국내 기업의 초기 프로세스 개선 활동은 대부분 급변하는 외부적 환경 변화에 대응하고자 하는 차원에서 시작됐다.
CMM이나 CMMI가 소프트웨어 산업계의 능력을 인정해 주는 국제 인증 장치로서 입지를 강화하고, 특히 해외 시장 진입에 하나의 평가 지표로 활용되면서 해외 진출을 노리는 국내 SI업체나 소프트웨어 패키지 업체들이를 이를 수출 수단으로 삼고 인증 획득에 적극 나서고 있는 것이다.
아울러 최근 국내 일부 공공기관이나 금융기관에서 소프트웨어 개발 프로젝트를 발주할 때 아예 CMMI에 따른 일정 능력 성숙도 수준을 확보한 개발 업체에게만 입찰에 참여할 수 있는 자격을 부여하거나 지난 2006년 4월 24일자로 개정·시행되고 있는 정보통신부, 'SW기술성과평가기준'에 관한 고시에 따라 제안서 기술 평가 시 가중 점수를 부여하고 있는 상황은 기업들에게 CMMI 레벨 인증 획득을 부추기고 있다.
물론 이러한 현상은 국내 기업의 IT 경쟁력 강화를 위해서는 매우 바람직한 일이다. 그렇지만 문제는 일부에 국한된 것이지만 너무 지나친 경쟁으로 부작용을 낳고있다는 점이다. 이를테면 제대로 된 프로세스 개선 활동을 통한 CMMI 레벨 달성이 아니라, 단순히 CMMI 레벨을 획득하기 위한 프로세스 개선 활동이 이뤄지는 경우가 대표적이다.
CMMI 공식 심사는 미국 SEI로부터 심사에 대한 권한을 인정받은 선임심사원에 의해 수행된다. 일반적으로 선임심사원 1명에 심사 대상 조직의 직원 3명에서 7명으로 심사 팀을 구성하여 심사를 수행하고 심사 결과를 SEI에 보고하게 된다. 즉 선임심사원 1명만 심사 대상 조직 외부의 인원이고 나머지는 내부 인원으로 심사 팀이 구성되어 있다. 만약 심사 대상 조직이 자체적으로 선임심사원을 보유하고 있는 경우에는 심사팀 전원을 내부 인원으로 구성할 수 있다.
껍데기 뿐인 CMMI 레벨 의미없어
그러다 보니 심사팀의 경우 대체적으로 두 가지의 상충하는 목표를 갖게 된다. 우선 그들은 객관적인 태도를 유지하고 가능한 현 조직이 개선해야할 문제점을 파악하려고 노력하겠지만, CMMI 레벨을 획득하고 싶어하는 회사의 소망도 무시할 수 없다. 만약에 경영진으로부터 CMMI 공식 심사와 관련하여 어떠한 형태로든 압력을 받고 있다면 더더욱 심사에 대한 객관성을 유지하기는 사실상 어려워진다.
그리고 CMMI 공식 심사는 CMMI 요건에 근거하여 수행되어지기 때문에 만약 심사 대상 조직이 의도적으로 레벨 확보만을 목적으로 한다면 실제 해당 조직에서의 작업은 CMMI 요건과는 상이하게 수행되더라도 요건에 맞추어 문서를 준비해 놓고 심사에 참여하는 인터뷰 대상자들을 사전에 훈련시킴으로써 심사에서 좋은 결과를 얻어낼 수도 있다.
그렇다면 이러한 문제점이 있음에도 불구하고 SEI는 왜 이러한 심사 방법을 사용하고 있는가? 그것은 심사 대상 조직 스스로 문제를 찾아 개선해 나갈 때 진정한 의미에서 프로세스 역량을 확보하게 되고 CMMI 레벨을 획득하게 되는 것이지 형식적으로 '눈 가리고 아웅'하는 식으로 얻는 CMMI 레벨은 아무 의미가 없을 뿐더러 괜히 비용만 지출하는 것이기 때문이다.
CMMI 공식 심사를 통한 레벨 획득을 위해 대다수의 조직은 외부 컨설팅 비용, 심사 비용, 그 외에 내부 인건비 등 많은 비용을 쓰게 된다. 예를 들어 1억의 비용이 든다고 가정했을 때 만약 1억의 비용을 쓰지 않는다면 이는 곧 1억의 이익이 발생한다고 할 수 있다. 현재 국내 SI업계의 평균 수익률이 5~7%인데, 5%로 잡았을 때에 1억의 이익이 발생하려면 20억의 매출을 올려야 한다. 그럴러면 월 단가 500만원의 중급 개발자 20명이 10개월간 고생하며 프로젝트를 수행해야 가능한데 과연 껍데기뿐인 CMMI 레벨이 그만한 가치가 있는지에 대해 다시 한 번 생각해 보아야 한다.
CMMI 모델의 변별력 문제 있다
CMMI 모델의 심원함과 변별력에 대해서는 소프트웨어 개발 전문가들도 이견을 제기하지 않는다. 만약 개발업체가 진정으로 CMMI 모델에 따라 프로세스 개선 활동을 수행하고 이를 통해 계속 상위 레벨로 올라간다면, 그 개발업체는 시간이 흐르면서 고객들에게 더 나은 서비스를 제공하게 될 것이며, 이는 많은 사례가 증명하고 있다. 그러나 CMMI 레벨이 높다고 해서 반드시 고품질의 서비스를 보장하는 것은 아니다. CMMI는 프로세스에 대해서만 말할 뿐이다.
CMMI는 낮은 레벨의 개발업체가 갖고 있지 못한, 소프트웨어 개발 과정을 체크하고 관리하는 프로세스들을 보유하고 있다는 의미일 뿐이다. 해당 개발업체가 그 프로세스들을 잘 이용하고 있는지는 보증할 수 없다.
CMMI 심사는 일종의 스냅 사진과도 같다. 대부분의 개발업체는 CMMI 레벨을 받은 후에 전사 차원에서 받은 것처럼 얘기하지만 실제로는 특정 사업부문에 대해 받는 경우가 대부분이다. 그나마 그 사업부문에서 수행되고 있는 모든 프로젝트가 아닌 선별된 몇 개의 프로젝트에 대해서만 심사가 이루어지곤 한다. 따라서 대부분의 개발업체들이 특정 사업부문 대상으로 받은 CMMI 레벨을 마치 전사 차원에서 획득한 것처럼 얘기하고, 또 그들이 확보한 레벨이 계속 유지되고 있는 것처럼 주장하지만 이는 사실과 다르다. 만약 스냅 사진이 2년 전에 찍은 것이라면 색이 많이 변질되어 있을 것은 자명한 이치인데 이러한 경우에도 CMMI 레벨을 유지하고 있다고 말할 수 있을 것인가?
그래서 SEI는 CMMI 공식 심사 결과에 따른 레벨을 인증해 주는 것이 아니라 인정만을 해주는 것이다. 즉, CMMI 공식 심사 시점에 대상이 되었던 조직에 대해서만 인정을 해줄 뿐, 그 개발업체가 심사 결과를 어떠한 형태로 사용하던 거기에 대해서는 어떠한 책임도 지지 않는다.
그렇다고 해서 국내 소프트웨어 산업계 모두가 CMMI 레벨 달성에만 관심을 갖고있는 것은 아니다. 최근에는 앞서 언급한 외부적 요인 즉, 소프트웨어의 해외 시장 수출이나 국내 입찰 경쟁 참여 등과는 전혀 무관한 금융업종이나 임베디드 산업과 같은 곳에서도 CMMI 모델을 통한 프로세스 개선 활동을 수행하고 있다.
시스템 통합 및 소프트웨어 개발 업체의 경우에도 CMMI 레벨 획득과는 무관하게 프로세스 개선 활동을 수행하고 있는 일이 점점 늘어가고 있다. 이는 그동안 소프트웨어 개발 업무가 계획적이고 체계적이며, 표준화된 방식으로 이뤄지지 않고, 이에 따라 소프트웨어 개발 시 품질 저하와 재작업이 과다하게 수행되고, 개발이 완료된 후에도 막대한 유지보수 비용이 발생하는 등 여러 문제들이 나타났기 때문으로 풀이된다. 즉 이러한 문제를 해결하는 수단으로 프로세스 개선 활동의 필요성을 인식하고 있는 셈이다.
CMMI 정말 필요한가?
"비용 대비 투자 효과 4:1로 나타나"
CMMI 모델을 개발하여 전 세계에 보급, 확산하고 있는 미국 카네기멜론대학 부설 연구개발센터인 소프트웨어공학연구소(SEI)가 지난 2006년 6월에 CMMI 적용 효과에 대한 기술 보고서(Technical Report)를 발표하였다.
전 세계 30개 조직을 대상으로 CMMI 적용에 따른 효과를 분석해 본 결과, 평균적으로 개발 비용이 34% 감소하였고, 생산성이 61% 향상하는 등 전반적으로 투자대비 4배의 효과가 있는 것으로 조사되었다.
미국 다음으로 CMMI 모델을 활발하게 적용하는 나라가 인도이다. 지난 2006년 6월말 기준으로 발표된 CMMI 기준의 공식 심사 수행 현황을 보면 미국이 공식 심사 수행 598회로 제일 많고, 그 다음이 177회인 인도가 차지하고 있다. 이러한 노력의 결과로 다수의 CMMI 레벨 4와 레벨 5 기업을 보유하고 있는 인도는, 전 세계 100여 개국에 소프트웨어를 수출하고 있으며 매출 비중의 약 60퍼센트가 미국에서 발생한다.
그렇다면 그 다음으로 CMMI 모델을 적극 적용하고 있는 나라는 어디일까? 중국이 158회로 3위를 차지하고 있고 일본이 155회로 4위에 올라 있다. 이렇듯 앞서 가는 나라들의 특징을 살펴보면 소프트웨어 강국으로 부상하기 위해 정부차원에서 적극적으로 지원을 하고 있다는 것이다. 물론 한국 정부의 경우에도 한국소프트웨어진흥원을 중심으로 중소 소프트웨어 개발 기업이 CMMI 공식 심사를 통해 레벨을 인증 받는 경우, 심사비용의 최고 50%까지를 지원해 주고 있으나 아직까지는 참여가 저조한 실정이다.
열악한 개발환경을 후배들에게 물려줄 것인가?
CMMI의 접근 방법은 지난 60년간 지속적으로 관심을 기울여 왔던 제품 품질 관리의 원칙을 근거로 한다. 1930년대에 Walter Shewhart에 의해 발표된 통계적 품질관리(Statistical Quality Control, SQC) 개념은 이후 W. Edwards Deming과 Joseph Juran, 그리고 Phillip Crosby에 의해 더욱 발전되고 성공적으로 증명되었다. 그리고 이러한 개념들은 SEI에 의해 받아들여져 소프트웨어 개발 및 유지보수 프로세스를 지속적으로 개선하기 위한 모델을 개발하는 데 기초가 되었다.
그러나 CMMI는 단지 모델일 뿐이다. 우리가 IT 역량을 강화시켜 나가기 위해 무엇을 해 나가야 하는지를 보여 줄 뿐이지 구체적인 방법까지를 제공해 주는 것은 아니다. 따라서 이 모델을 어떻게 사용하는지에 따라 그 결과는 달라진다.
필자가 가끔 만나는 IT 조직의 관리자들에게 물어보면 대부분 개발 환경은 10여 년 전이나 지금이나 달라진 것이 없다고 한다. 그동안 많은 신기술들이 IT에 유입되었지만 개발 프로세스 측면에서는 여전히 납기를 맞추기에 급급하고 매번 프로젝트를 수행할 때 마다 예산을 초과하는 것이 비일비재하고 이런 와중에 시스템은 오픈 후에도 여러 결함들로 인해 다운되기 일쑤이다. 만약 이러한 개발 환경이 그대로 유지된다면 10년 후에도 나아질 것은 없을 것이다.
이 시점에서 우리가 꼭 생각해 봐야 할 것이 있다. 열악한 개발 환경에서 매일 야근에 주말 근무까지 마다하지 않고 일을 하고 있는데 과연 이러한 개발 환경을 후배들에게 물려주어야 하느냐이다. 어차피 고생하는 것 조금만 더 고생하여 후배들에게는 좀 더 나은 개발 환경을 물려주겠다는 사명감을 갖고 프로세스의 개선에 노력한다면 그 순간 조직은 CMMI 레벨 5에 도달한 것이다.
CMMI의 향후 방향
"원칙은 유행을 쫓아 나타났다 사라지는 것이 아니라 발전해 나가는 것이다."
간혹 필자에게 "CMMI 모델이 얼마나 오래갈까요?"라고 질문을 하는 사람들이 있다. 아마도 대다수의 인증 모델이 한 때 유행처럼 나타났다가 사라지기 때문에 CMMI도 마찬가지가 아니겠느냐 하는 의미일 것이다. 그런데 ISO나 CMMI와 같은 인증 모델들은 유행을 쫓아 나타났다가 사라지는 것이 아니다. 왜냐하면 이러한 모델들은 소프트웨어 개발 및 유지보수를 위한 원칙을 다루고 있고 이러한 원칙들은 바뀌는 것이 아니기 때문이다. 원칙은 바뀌는 것이 아니라 IT 환경의 변화나 산업계의 요구에 따라 발전해 나가는 것이다.
1991년 CMM 버전 1.1이 발표되고 10여 년간 소프트웨어 산업계에 적용되면서 좀 더 발전적인 산업계의 요구가 있어 왔고 이를 수용하여 2002년 통합된 CMM 모델인 CMMI 버전 1.1이 발표되었다. 그리고 계속적인 산업계의 요구를 수용하여 지난 2006년 8월 25일자로 CMMI 버전 1.2가 발표되었는데 아마도 머지않은 기간 내에 산업계의 요구를 받아들여 더욱 발전적인 CMMI 버전 2.0이 발표될 것이다.
CMMI 버전 1.2만 하더라도 최근 발표된 것은 시스템 개발 활동을 위한 CMMI(CMMI for Development)이다. 2007년 8월에는 시스템 획득을 위한 CMMI(CMMI for Acquisition), 그리고 10월에는 서비스를 위한 CMMI(CMMI for Service),가 발표될 예정이다.
지난 8월 25일자로 SEI는 CMMI 버전 1.2를 발표하였다. 버전 1.2의 발표는 내용상의 변화뿐만이 아니라 CMMI 적용에 대한 SEI의 정책 변화도 아울러 의미한다. 최근 들어 SEI는 CMMI 심사 결과에 따라 부여되는 레벨이 일부에서 잘못 사용되고 있음을 인지하고 이의 통제를 위해 더욱 더 엄격한 태도를 취하기 시작했다.
첫 번째는 CMMI 선임심사원에 대한 자격 요건 강화이다. CMMI의 경우에는 레벨 인증에 대한 권한을 선임심사원이 보유하고 있기 때문에 혹시라도 선임심사원이 부적절한 판단으로 레벨을 부여하게 되는 경우 해당 조직은 정당하지 못한 인증을 받을 수 있게 된다. 따라서 SEI는 선임심사원에 대한 교육훈련을 강화하고 윤리강령에 서명토록 하고 있으며 CMMI 심사 과정에 부적절한 의혹이 감지되거나 보고를 받게 되는 경우(SEI는 이를 위해 익명으로 신고할 수 있는 채널을 운영하고 있다), 실사를 벌이기도 한다. 또한 CMMI 레벨 4와 레벨 5에 대해서는 비록 선임심사원이라 하더라도 별도의 자격을 부여 받아야 심사를 수행할 수 있도록 운영할 계획이다.
두 번째는 CMMI 심사 결과에 대한 검토 강화이다. SEI 내부의 품질보증 조직을 통해 CMMI 심사 결과 보고서를 일일이 검토하고 미진한 부분이 있는 경우 추가적인 증빙 자료를 요구하고 있다. 또한 CMMI 선임심사원들에게 심사공개진술서라는 보고서를 제출토록 하고 있는데, 이 보고서에는 CMMI 심사 대상 조직이 어떤 영역과 프로젝트들을 심사하였는지, 그 심사 과정에 참여한 사람은 누구였는지 등이 분명하게 설명되어 있어야 한다. 그리고 심사 후원자에게 필요할 경우 대상 조직에 대한 실사를 수행할 수 있도록 서명을 요구하고 있다.
CMMI 확산보다는 신뢰성 확보에 초점
그 동안 전 세계적으로 CMMI 모델을 보급, 확산하는 데 주력하였던 SEI는 이제는 확산보다는 모델의 신뢰성 확보에 더욱 초점을 맞추기로 하였다. 부적절한 인증 부여로 모델에 대한 신뢰성이 떨어지기 전에 관리 감독을 강화함으로써, 차라리 레벨 인증을 받는 것이 어려워 기업들이 모델 적용을 꺼리는 한이 있더라도 레벨 인증을 받은 기업에게는 그에 상응하는 효과를 누릴 수 있도록 방향을 전환한 것이다.
기업은 수익을 창출하는 것이 지상 과제이다. 따라서, 아무리 좋은 국제 표준이나 선진 모델을 수립해 프로세스를 개선하고 내부 역량을 강화한다고 해도 당장에 직접적인 이익으로 이어지지 않으면 오래 지속하기는 어렵다. 소프트웨어 산업계에 ISO 인증이 한 때 유행처럼 나타났다가 지금은 거의 유명무실하게 된 이유는 다른 산업계와는 다르게 ISO 인증을 받는다고 해서 사업을 수행하는 데에 이로운 점이 그리 많지 않기 때문이다.
그러한 측면에서 소프트웨어의 최대 시장인 미국이 CMMI에 따른 레벨을 개발 업체의 선정을 위한 중요한 평가 항목으로 삼고 있는 것은 우리가 예의 주시해야할 대목이다. 이러한 미국의 움직임은 유럽이나 동남아 등 다른 나라에도 영향을 끼쳐 점점 더 많은 나라에서 개발 업체 선정의 잣대로 CMMI 레벨을 삼고 있다는 점도 간과해서는 안될 것이다.
이민재
티큐엠에스 대표컨설턴트
미국 로체스터 대학교를 졸업하고, 뉴욕대학교 정보기술대학원에서 정보기술감리학을 전공했다. 현재 미국 SEI 공인 CMMI 선임심사원으로써 국내 다수 기업에 대한 프로세스 개선 컨설팅 및 CMMI 공식 인증 심사를 수행하고 있다.