최근 몇건의 대형 정보통신 사고가 일어났다. 지난 9월 차세대 사회보장정보시스템 오류가 있었고, 앞서 8월에는 무료백신 알약(ALYac) 랜섬웨어 탐지오류가, 또 10월에는 통신망 장애 사고도 있었다. 이러한 사고는 우리사회에 큰 영향을 미친다. 이런 정보통신 사고에는 공통점이 있다. 근본 원인이 소프트웨어엔지니어링 역량 부족이라는 것이다.
차세대 사회보장정보시스템 오류사태는 53개 하도급 중소기업 개발사의 SW엔지니어링 역량 부족과 SW인력의 잦은 이탈에 따른 프로젝트 전반의 품질저하가 원인이며, 무료백신 알약(ALYac) 랜섬웨어 탐지 오류 사태는 내부적인 시스템 패치 오류로 랜섬웨어 태스트 프로세스가 원인이며, 통신망 장애사고는 협력업체 직원이 표준작업절차를 지키지 않고 작업한 명령문 오류가 원인이다.
이를 통해 우리는 몇가지 시사점을 발견할 수 있다. 첫째 모든 작업을 원청업체가 수행할 수 없으므로 하도급업체의 도움을 받아야 하는데 하도급업체의 역량을 확인 할 수 있는 방법이 없다는 것 둘째, 고도의 집중이 필요한 SW개발이나 유지보수 작업에서 표준작업절차가 없거나 절차가 있어도 준수 하지 않는 경우가 많는 것 셋째, SW개발 테스트는 모든 경우의 수를 테스트할 수 있는 방법은 없다는 것 등이다.
따라서 앞으로 발생할 수 있는 정보통신 사고를 줄이기 위해서는 다음과 같은 대책이 필요하다. 먼저 하도급업체 선정을 위한 정부기준을 좀 더 철저히 준수해 품질 역량을 갖춘 기업에게 기회를 줘야 하며 역량이 부족한 기업에 대한 정부 지원이 강화돼야 한다. 이에 대한 관련지침 과 기준도 있다. 소프트웨어사업 계약 및 관리감독에 관한지침(과학기술정보통신부고시 제2021-100호) 제 19조(하도급의 계획 및 적정성 판단 사전공개) 3항으로, 하도급계약의 적정성 판단 세부기준에 관한 사항을 말하고 있다.
정보통신 사업 기반이 소프트웨어에서 출발하고 좋은 소프트웨어를 만들기 위한 역량의 기초가 SW품질에 있다는 원초적인 논리를 다시한번 세겨야 한다. ISO9126의 국제적인 SW품질특성을 보면 SW안전이나 SW보안 또한 SW품질에 기반하고 있음을 말하고 있다. 안전과 보안은 강조하면서 SW 품질을 강조하지 않는 건 어불성설이다.
정보통신이 현재 우리사회의 각 분야에 많은 변화와 영향을 미치고 있는 것은 누구도 부정하는 사람이 없을 것이다. 하지만 우리는 이러한 정보통신 산업의 원천기술인 SW엔지니어링 기술에 대한 성장과 발전에 대해 얼마나 고민하고 노력하고 있는지 생각해 봐야 한다.
현재 빈번히 발생하고 있는 정보통신 사고 원인은 결코 우연이 아니라 인재다. 앞으로 더 많은 분야에서 정보통신 역할이 증가 할 것으로 예상되고 있는데 이제라도 정보통신산업의 핵심인 SW엔지니어링에 대한 인식 변화와 SW엔지니어링 역량 강화를 위한 노력이 요청된다. 이는 향후 발생할지 모르는 더 큰 사고를 예방하기 위해서도 필요하다.
특히 SW 등 표준절차에 따른 업무 수행은 모든 산업에서 강조되고 있고, 정보통신과 같이 고도의 기술력과 여러사람이 협업하는 일은 더 그렇다. SW엔지니어링 활동의 기초적인 프로세스 역량 향상을 위한 모델로는 미국을 시작으로 세계적으로 적용되고 있는 CMMi 모델과 유럽에서 출발한 SPICE 모델이 지속적으로 연구, 적용되고 있다. 국내에서 연구하고 개발,적용되고 있는 것은 SP인증모델이 있다.
이러한 모델을 적용한 SW프로세스 역량 향상 노력이 기업에서 지속돼야 한다. 그리고 정부는 국내에서 연구하고 개발해 적용되고 있는 SP인증 모델에 대한 지속적인 발전과 활성화를 위한 노력을 기울여야 한다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.
