CMMI 심층분석 : 국내 CMMI 의현주소 최근국내많은기업들이소프트웨어및시스템개발관련사실상전세계산업계표준 (De Facto) 이되어버린 CMMI 레벨을받는데열심이다. 지난 2002년 CMMI 모델버전 1.1 이발표된이후지금까지 CMMI 공식심사는 2006년 6월말기준으로볼때, 전세계 50개국, 840개기업, 1,377개조직에대해총 1,581회가실시되었고이가운데 CMMI 최고등급인레벨 5에도달한조직이 251개, 그리고레벨 4와레벨 3에도달한조직이각각 61개와 465 개에달한다 ( 그림 1 참조 ). 한국의경우에도 2006년 11월말기준으로 4개기업이레벨 5에도달하였고레벨 4가 3개, 레벨 3가 27개, 레벨 2가 5개로총 39개기업이 CMMI에따른공식레벨을확보하고있으며연내공식심사를계획하고있는기업또한다수가있는것으로파악되어그수는늘어날것으로전망된다. < 그림 1> 전세계 CMMI 레벨현황 Source : Process Maturity Profile, CMU/SEI, 2006/09 그렇다면한국기업들은왜 CMMI 레벨을받으려고하는걸까? CMMI 레벨을받으려면공식심사비용등많은비용이들어가는데그럼에도불구하고 CMMI 레벨을받으면무엇이나아질까? 혹시라도남들이하니까나도덩달아하는식으로 CMMI를적용하고있는것은아닐까? 이에필자는국내기업의 CMMI 적용현황과 CMMI가정말국내기업에필요한지, 그리고앞으로 CMMI는어떻게발전되어나갈지등에대해그내용을심층분석해보고자한다. Page 1
국내 CMMI 도입현황 CMMI 는인증을받는것 (certified) 이아니라인정을받는것 (acknowledge) 이다. 국내에 CMMI의전신인 CMM 기반의프로세스개선활동이본격화되기시작한것은 1990년대후반으로몇몇대기업의 SI업체및소프트웨어개발업체를중심으로시작되었다. 국내기업의초기프로세스개선활동은, 물론다그런것은아니지만, 급변하는외부적인환경변화에대응하고자하는차원에서시작하게된경향이강하다. CMM이나 CMMI가소프트웨어산업계의능력을인정해주는국제인증장치로서입지를강화해가면서특히, 해외시장진입에있어 CMM이나 CMMI가하나의평가지표로활용되게되면서해외진출을노리는국내시스템통합 (System Integration, SI) 업체나소프트웨어패키지등을개발하는벤처기업에서 CMM이나 CMMI 레벨이수출을위한하나의수단이되었기때문이다. 아울러최근국내일부공공기관이나금융기관에서도소프트웨어개발프로젝트를발주할때에아예 CMMI에따른일정능력성숙도수준을확보한개발업체에대해서만입찰에참여할수있는자격을부여하거나또는지난 2006년 4월 24일자로개정, 시행되고있는정보통신부, 'SW기술성과평가기준' 에관한고시에따라제안서기술평가시가중점수를부여하고있어가뜩이나경쟁이치열한시스템개발및통합시장에서보다경쟁우위를확보하기위한자구책으로 CMMI 레벨이필요하게된것이다. 선두기업은선두기업대로남보다먼저최고레벨에도달하기위해관련사업을추진하고후발기업은후발기업대로가능한빨리선두기업의대열에합류하기위해안간힘을쓰고있는것이다. 물론국내기업의 IT 경쟁력강화를위해서는바람직한일이라할수있겠으나문제는일부지나친경쟁이몰고오는부작용이다. 제대로된프로세스개선활동을통한 CMMI 레벨달성이아닌단순히 CMMI 레벨을달성하기위한프로세스개선활동이이루어지는경우가그것이다. CMMI 공식심사는미국 SEI로부터심사에대한권한을인정받은선임심사원에의해수행된다. 일반적으로선임심사원 1명에심사대상조직의직원 3명에서 7명으로심사팀을구성하여심사를수행하고심사결과를 SEI에보고하게된다. 즉선임심사원 1명만심사대상조직외부의인원이고나머지는내부인원으로심사팀이구성된다는것이다. 만약심사대상조직이자체적으로선임심사원을보유하고있는경우에는심사팀전원을내부인원으로구성하는것도가능하다. 그러다보니심사팀의경우대체적으로두가지의상충하는목표를갖게된다. 우선그들은객관적인태도를유지하고가능한현조직의개선이필요한문제점을파악하려고노력하겠지만, 반면 CMMI 레벨을획득하고싶어하는회사의소망도무시할수없다. 만약에경영진으로부터 CMMI 공식심사와관련하여어떠한형태로든압력을받고있는경우라면더더욱심사에대한객관성을유지하기는사실상어려워진다. 그리 Page 2
고 CMMI 공식심사는 CMMI 요건에근거하여수행되어지기때문에만약심사대상조직이의도적으로레벨확보만을목적으로한다면실제해당조직에서의작업은 CMMI 요건과는상이하게수행되더라도요건에맞추어문서를준비해놓고심사에참여하는인터뷰대상자들을사전에훈련시킴으로써심사에서좋은결과를얻어낼수도있다. < 그림 2> CMMI 공식심사프로세스 Develop Appraisal Goals and Objectives Readiness Review Hold Opening Briefing Plan Appraisal Train Team Process PIIs Plan for On-site Confirming Practice Implementation Conduct Executive Session (Optional) Prepare and Present Final Findings Consolidate and Rate Characterize Organizational Unit Implementation Develop and Present Preliminary Findings Wrap-Up Source : SCAMPI Class A Method Overview, CMU/SEI, 2006/10 그렇다면이러한문제점이있음에도불구하고 SEI는왜이러한심사방법을사용하고있는가? 그것은심사대상조직스스로문제를찾아개선해나갈때진정한의미에서프로세스역량을확보하게되고 CMMI 레벨을획득하게되는것이지형식적으로눈가리고아웅하여얻게되는 CMMI 레벨은아무의미가없을뿐더러괜한비용만지출하는것이기때문이다. CMMI 공식심사를통한레벨획득을위해대다수의조직은외부컨설팅비용, 심사비용그외에내부인건비등많은비용을쓰게된다. 가령예를들어 1억의비용이든다고가정했을때만약 1억의비용을쓰지않는다면이는곧 1억의이익이발생한다고할수있다. 현재국내 SI업계의평균수익률이 5~7% 인데 5% 로잡았을때에 1억의이익이발생하려면 20억의매출을올려야한다. 그럴러면월단가 500만원의중급개발자 20명이 10개월간고생하며프로젝트를수행해야가능한데과연껍데기뿐인 CMMI 레벨이그만한가치가있는지에대해다시한번생각해보아야한다. CMMI 모델의심원함과변별력에대해서는소프트웨어개발전문가들도이견을제기하지않는다. 만약개발업체가진정으로 CMMI 모델에따라프로세스개선활동을수행하고이를 Page 3
통해계속상위레벨로올라간다면, 그개발업체는시간이흐르면서고객들에게더나은서비스를제공하게될것이며, 이것은많은사례가증명하고있다. 그러나 CMMI 레벨이높다고해서반드시고품질의서비스를보장하는것은아니다. CMMI는프로세스에대해서만말할뿐이다. CMMI란, 낮은레벨의개발업체가갖고있지못한, 소프트웨어개발과정을체크하고관리하는프로세스들을갖고있다는의미일뿐이다. 따라서그개발업체가그프로세스들을잘이용하고있음도보증하지못한다. CMMI 심사는일종의스냅사진과도같다. 대부분의개발업체는 CMMI 레벨을받은후에전사차원에서받은것처럼얘기하지만실제로는특정사업부문에대해받는경우가많고그나마도그사업부문에서수행되고있는모든프로젝트가아닌선별된몇개의프로젝트에대해서만심사가이루어지곤한다. 따라서대부분의개발업체들이특정사업부문대상으로받은 CMMI 레벨을마치전사차원에서획득한것처럼얘기하고또그들이확보한레벨이계속유지되고있는것처럼얘기하지만이는사실과다를수있다. 만약스냅사진이 2년전에찍은것이라면색이많이변질되어있을것은자명한이치인데이러한경우에도 CMMI 레벨을유지하고있다고말할수있을것인가? 그래서 SEI는 CMMI 공식심사결과에따른레벨을인증해주는것 (certified) 이아니라인정만을해주는것 (acknowledge) 이다. 즉, CMMI 공식심사시점에대상이되었던조직에대해서만인정을해줄뿐, 그개발업체가심사결과를어떠한형태로사용하던거기에대해서는어떠한책임도지지않는다. 그렇다고해서, 국내소프트웨어산업계모두가 CMMI 레벨달성에만관심을갖고있는것은아니다. 최근에는앞서언급한외부적요인즉, 소프트웨어의해외시장수출이나국내입찰경쟁참여등과는전혀무관한금융업종이나임베디드산업과같은곳에서도 CMMI 모델을통한프로세스개선활동을수행하고있으며시스템통합및소프트웨어개발업체의경우에도 CMMI 레벨획득과는무관하게프로세스개선활동을수행하고있는조직이점점늘어가고있다. 이는그동안의소프트웨어개발업무가계획적이고, 체계적이며, 표준화된업무수행이이루어지지않아그결과로인해소프트웨어개발시품질저하와재작업이과다하게수행되었을뿐만아니라개발이완료된후에도막대한유지보수비용이발생하는등여러문제들이나타나게됨에따라이를해결하기위한수단으로프로세스개선활동의필요성을인식하게된것으로풀이된다. CMMI 정말필요한가? 비용대비투자효과 4:1 로나타나. CMMI 모델을개발하여전세계에보급, 확산하고있는미국카네기멜론대학부설연구개발센터인소프트웨어공학연구소 (SEI) 가지난 2006년 6월에 CMMI 적용효과에대한기술보고서 (Technical Report) 를발표하였다. Page 4
전세계 30개조직을대상으로 CMMI 적용에따른효과를분석해본결과, 평균적으로개발비용이 34% 감소하였고생산성이 61% 향상하는등전반적으로투자대비 4배의효과가있는것으로조사되었다. < 그림 3> CMMI 기반의프로세스개선효과 Performance Category Cost Schedule Productivity Quality Customer Satisfaction Return on Investment Median Improvement 34% 50% 61% 48% 14% 4:1 Source : Performance Results of CMMI-Based Process Improvement, CMU/SEI-2006-TR-004 미국다음으로 CMMI 모델을활발하게적용하는나라가인도이다. 지난 2006년 6월말기준으로발표된 CMMI 기준의공식심사수행현황을보면미국이공식심사수행 598회로제일많고그다음이 177회인인도가차지하고있다. 이러한노력의결과로다수의 CMMI 레벨 4와레벨 5 기업을보유하고있는인도는전세계 100여개국에소프트웨어를수출하고있으며매출비중의약 60퍼센트가미국에서발생한다. 그렇다면그다음으로 CMMI 모델을적극적용하고있는나라는어디일까? 중국이 158회로 3위를차지하고있고일본이 155회로 4위에올라있다. 이렇듯앞서가는나라들의특징을살펴보면소프트웨어강국으로부상하기위해정부차원에서적극적으로지원을하고있다는것이다. 물론한국정부의경우에도한국소프트웨어진흥원을중심으로중소소프트웨어개발기업이 CMMI 공식심사를통해레벨을인증받는경우, 심사비용의최고 50퍼센트까지를지원해주고있으나아직까지는참여가저조한실정이다. CMMI의접근방법은지난 60년간지속적으로관심을기울여왔던제품품질관리의원칙을근거로한다. 1930년대에 Walter Shewhart에의해발표된통계적품질관리 (Statistical Quality Control, SQC) 개념은이후 W. Edwards Deming과 Joseph Juran 그리고 Phillip Crosby에의해더욱발전되고성공적으로증명되었다. 그리고이러한개념들은 SEI에의해받아들여져소프트웨어개발및유지보수프로세스를지속적으로개선하기위한모델을개발하는데기초가되었다. CMMI 모델이발표된이후, 이의접근법은전세계소프트웨어프로세스를개선하는데지대한영향을끼치게되었으며 CMMI에따른레벨판정은곧그기 Page 5
업의경쟁력을의미하게되었다고하여도지나친말이아닐정도로소프트웨어산업계에는인식이확산되고있다. 그러나 CMMI는단지모델일뿐이다. 우리가 IT 역량을강화시켜나가기위해무엇을해나가야하는지를보여줄뿐이지구체적인방법까지를제공해주는것은아니다. 따라서이모델을어떻게사용하는지에따라그결과는달라진다. 필자가가끔 IT 조직의관리자분들께여쭤보면대부분개발환경은 10여년전이나지금이나달라진것이없다고한다. 그동안많은신기술들이 IT에유입되어왔지만개발프로세스측면에서는여전히납기를맞추기에급급하고매번프로젝트를수행할때마다예산을초과하는것이비일비재하고이런와중에시스템은오픈후에도여러결함들로인해다운되기일쑤이고 만약이러한개발환경이그대로유지된다면 10년후에도나아질것은없을것이다. 이시점에서우리가꼭생각해봐야할것은우리는비록열악한개발환경에서매일야근에주말근무까지마다않고일을하고있지만과연이러한우리의개발환경을후배들에게까지물려주어야하느냐이다. 우리가어차피고생하는것조금만더고생하여후배들에게는보다나은개발환경을물려주자는사명감을갖고프로세스를개선하기위해노력한다면그순간여러분조직은 CMMI 레벨 5에도달한것이다. CMMI 의향후방향 원칙은유행을좇아나타났다사라지는것이아니라발전해나가는것이다. 간혹필자에게 CMMI 모델이얼마나오래갈까요? 라고질문을하시는분들이있다. 아마도대다수의인증모델이한때유행처럼나타났다가사라지기때문에 CMMI도마찬가지가아니겠느냐하는의미일것이다. 그런데 ISO나 CMMI와같은인증모델들은유행을좇아나타났다가사라지는것이아니다. 왜냐하면이러한모델들은소프트웨어개발및유지보수를위한원칙 (discipline) 을다루고있고이러한원칙들은바뀌는것이아니기때문이다. 원칙은바뀌는것이아니라 IT 환경의변화나산업계의요구에따라발전해나가는것이다. 1991년 CMM 버전 1.1이발표되고 10여년간소프트웨어산업계에적용되면서보다발전적인산업계의요구가있어왔고이를수용하여 2002년통합된 CMM 모델인 CMMI 버전 1.1이발표되었다. 그리고계속적인산업계의요구를수용하여지난 2006년 8월 25일자로 CMMI 버전 1.2가발표되었는데아마도머지않은기간내에또산업계의요구를받아들여보다발전적인 CMMI 버전 2.0이발표될것이다. CMMI 버전 1.2만하더라도최근발표된것은시스템개발활동을위한 CMMI(CMMI for Development) 이며 2007년 8월에는시스템획득을위한 CMMI(CMMI for Acquisition) 그리고 10월에는서비스를위한 CMMI(CMMI for Service) 가발표될예정이다. 지난 8 월 25 일자로 SEI 는 CMMI 버전 1.2 를발표하였다. 버전 1.2 의발표는내용상의변 Page 6
화뿐만이아니라 CMMI 적용에대한 SEI의정책변화도아울러의미한다. 최근들어 SEI는 CMMI 심사결과에따라부여되는레벨이일부에서잘못사용되고있음을인지하고이의통제를위해더욱더엄격한태도를취하기시작했다. 첫번째는 CMMI 선임심사원에대한자격요건강화이다. CMMI의경우에는레벨인증에대한권한을선임심사원이보유하고있기때문에혹시라도선임심사원이부적절한판단을통해레벨을부여하게되는경우해당조직은정당하지못한인증을받을수있게된다. 따라서 SEI는선임심사원에대한교육훈련을강화하고윤리강령에서명토록하고있으며 CMMI 심사과정에부적절한의혹이감지되거나보고를받게되는경우 (SEI는이를위해익명으로신고할수있는채널을운영하고있다 ), 실사를벌이기도한다. 또한 CMMI 레벨 4와레벨 5에대해서는비록선임심사원이라하더라도별도의자격을부여받아야심사를수행할수있도록운영할계획이다. 두번째는 CMMI 심사결과에대한검토강화이다. SEI 내부의품질보증조직을통해 CMMI 심사결과보고서를일일이검토하고미진한부분이있는경우추가적인증빙자료를요구하고있다. 또한 CMMI 선임심사원들로하여금심사공개진술서 (Appraisal Disclosure Statement) 란보고서를제출토록하고있는데, 이보고서에는 CMMI 심사대상조직의어떤영역과프로젝트들이심사되었는지, 그심사과정에참여한사람은누구였는지등이분명하게설명되어있어야한다. 그리고심사후원자로하여금필요시대상조직에대한실사를수행할수있도록서명을요구하고있다. 그동안전세계적으로 CMMI 모델을보급, 확산하는데주력하였던 SEI는이제는확산보다는모델의신뢰성확보에더욱초점을맞추기로하였다. 부적절한인증부여로모델에대한신뢰성이떨어지기전에관리감독을강화함으로써, 차라리레벨인증을받는것이어려워기업들이모델적용을꺼리는한이있더라도레벨인증을받은기업에게는그에상응하는효과를누릴수있도록방향을전환한것이다. 기업은수익을창출하는것이지상과제이다. 따라서, 아무리좋은국제표준이나선진모델을통해프로세스를개선하고내부역량을강화한다고해도당장에직접적인이익으로실현되지않으면오래지속되기는어렵다. 소프트웨어산업계에 ISO 인증이한때유행처럼나타났다가지금은거의유명무실하게된이유는다른산업계와는다르게 ISO 인증을받는다고해서사업을수행하는데에크게이로운점이없기때문이다. 그러한측면에서소프트웨어의최대시장인미국이 CMMI에따른레벨을개발업체를선정하기위한중요한평가항목으로삼고있다는것은우리가예의주시해볼필요가있는부분이다. 그리고이러한미국의움직임은유럽이나동남아등다른나라에도영향을주어점점더많은나라에서개발업체선정의잣대로 CMMI 레벨을삼고있다는점도간과해서는안될것이다. 끝. Page 7
필자소개 이민재티큐엠에스대표컨설턴트이민재티큐엠에스 (www.tqms.co.kr) 대표는미국테라퀘스트메트릭스사 (TeraQuest Metrics, Inc.) 제휴컨설턴트로써미국로체스터대학교를졸업하고뉴욕대학교정보기술대학원에서정보기술감리학을전공하였다. 현재 SEI 공인 CMMI 및 CMM 선임심사원으로써국내다수기업에대한프로세스개선컨설팅및 CMMI 공식인증심사를수행하고있다. 주요저서로는 Interpreting the CMMI 의번역서인 CMMI 의이해 와 국내기업 CMM 도입을위한안내서 등이있다. Page 8