“CMMI는 만능 아니다. 품질 프로세스 혁신 원칙일 뿐”
최근 들어 CMMI 심사 주체나 대상 모두 내실화되고 있다. 과거에는 피심사 대상 기업들이 오직 인증 획득만을 목표로 했지만, 최근에는 내부 프로세스의 혁신 방안으로 제대로된 인증 획득 활동을 보여주고 있다. 또 CMMI를 관할하는 미국 카네기멜론대학 부설 연구개발센터인 소프트웨어공학연구소(SEI)에서 1.2로 버전을 새로 내놓으면서 기존보다 기준안을 강화했다."
이민재 티큐엠에스 대표 컨설턴트는 CMMI 버전 1.2 선임심사원 자격을 국내에서 처음으로 획득한 이 분야의 베테랑 중의 베테랑이다. 현재 국내 CMMI 1.1 버전의 선임심사원 11명 중 이 대표를 포함해 4명만이 1.2 버전의 자격을 갖추고 있는 점은 그의 무게감을 더해준다. 1년에 100여일 이상을 CMMI의 심사 활동에 매달리며 바쁜 나날을 보내고 있는 이민재 컨설턴트를 만나 국내 CMMI 인증 현황과 문제점 등을 들어봤다.
형식적인 인증 획득 막는다
"CMMI 모델이 1.2로 업그레이드되면서 기존에 선택 영역이었던 일부 프로세스가 필수 항목으로 바뀌었고 모델의 내용도 강화되었다."
이민재 대표의 설명에 따르면 업그레이드 된 CMMI는 내용상의 변화보다는 제도적인 부분에 초점을 맞춰 개선된 점이 특징이다. 인증 기간에 대한 유효제를 적용하고, CMMI 선임심사원에 대한 자격 요건을 강화했으며, CMMI 심사 결과에 대한 검토를 강화한 점 등이 뼈대를 이루고 있다.
SEI가 새로운 버전을 내놓으면서 이처럼 기준안을 강화할 이유는 무엇일까?
"CMMI는 내부 프로세스 혁신을 목표로 출발했다. 그런데 기업들이 형식적인 획득에만 머무를 뿐 실제 프로세스 혁신은 뒷전에 두는 문제점이 생겼다. 그래서 새로운 버전에서는 보급 확산보다는 모델의 신뢰성을 높이는 방안에 초점을 맞춰 심사원 양성 뿐만 아니라 심사 기준을 좀 더 실질적으로 강화했다."
과거에는 인증을 한번 받고 나면 그만이라는 의식이 강했지만, 이제는 그렇게 할 수 없는 제도를 마련한 셈이다. 새로운 기준은 최종 공식 심사일로부터 3년만 인증을 허용하기 때문에 CMMI를 받은 기업도 3년 안에 레벨 업을 하거나 동 레벨에 대한 재인증을 받아야 한다. 또한 선임심사원에 대한 교육훈련 강화와 윤리강령 서명 의무화로 부적절한 의혹이 심사과정에서 감지되거나 보고를 받게 되면 실사가 수행된다. 이를 위해 SEI는 익명으로 신고할 수 있는 채널을 운영하고 있다. 최근 일부 심사원의 비양심적 인증이 문제가 되면서 해당 자격을 박탈하는 사례도 있었다고 한다. 특히 CMMI 레벨 4와 5에 대해서는 선임심사원이라 하더라도 별도의 자격을 부여받아야 심사를 수행할 수 있게 됐다.
SEI는 CMMI 심사 결과의 검토를 강화하는 방안으로 SEI 내부에 품질 보증 조직을 두어 심사 결과 보고서를 검토하여 미진한 부분이 있는 경우 추가로 증빙 자료를 요구하는 체제를 갖추고 있다. 또 CMMI 선임심사원들에게 심사 공개 진술서를 제출하도록 하고 있어 CMMI 심사 대상 조직의 어떤 영역과 프로젝트들이 심사되었는지, 심사 과정에 참여한 사람은 누구였는지 등도 분명하게 설명되도록 하고 있다.
내용적인 면에서는 1.1 버전에 담고 있던 4개의 원칙을 하나로 통합한 'CMMI for Development v 1.2'로 진화했다. 기존 버전은 ▲CMMI for SE/SW, ▲CMMI for SE/SW/IPPD, ▲CMMI for SE/SW/IPPD/SS, ▲CMMI for SW 등 4개의 원칙과 이들 각각의 단계에 대한 2개의 표현 등 전체 8개의 모델로 구성되었다.
CMMI 선임심사원으로 가는 길 '험난'
기존의 선임심사원들도 1.2 버전의 심사를 위해서는 자격을 높여야 한다. 기존 심사원의 자격 업그레이드는 정규교육, 면대면(Face to Face) 교육, 업그레이드 시험 등으로 이뤄진다.
하지만 신규로 선임심사원이 되기는 만만치 않다. 우선 IT 분야의 경력이 최소 10년에, 2년 이상은 PM 경험이 있어야 한다. 그래야 Introduction to CMMI와 Intermediate Concepts of CMMI라는 기본 교육과 시험을 볼 수 있는 자격이 주어진다.
이민재 대표는 "특히 선임심사원 교육을 수강하기 전에 2년 내 CMMI 공식 심사 팀원으로 최소 2회 이상의 심사에 참여해야 한다"며 "일반 직장인이 선임심사원 자격을 얻기란 그리 쉽지 않다"고 얘기한다.
그러나 여기가 끝이 아니다. 이러한 과정을 거쳐야 CMMI 선임심사원 후보로서 활동하는 자격이 부여되지만, 1년 내에 SEI의 감독관의 관찰 아래 CMMI 공식 심사를 팀 리더로서 활동해야 하며 인정을 받아야 한다. 그렇게 해서 부여받는 기간은 3년. 이 후에도 자격을 유지하기 위한 품행유지(Code of Conduct)와 3년 동안 최소 2회 이상의 공식 심사 참여(그 가운데 최소 1회는 팀 리더로서 참여)해야 한다는 규정이 붙어있다.
SEI가 이처럼 까다로운 자격 조건과 내용을 규정한 이유는 기업들이 CMMI를 영업 활동에 활용하면서 인증 자체의 신뢰성이 떨어지고 있다는 판단에 따른 것이다. 국내에서도 인증을 받은 기업이 현재 40여개에 이르는데 영업 활동의 무기로 쓰는 곳이 적지 않다는 게 그의 설명이다.
이민재 대표는 "보통 인증을 받고 상위 레벨로 올라가는데 18개월 이상의 시간이 필요하다. 우리나라의 경우는 1년도 채 안 걸린다. 인증을 받는 것 보다는 인증 이후에 어떻게 프로세스를 꾸준히 개선해 나갈 것인지가 중요하다"고 힘주어 말한다.
CMMI 인증 이후가 더 중요하다
그는 또 CMMI 인증을 받으면 만사형통이라는 시각도 개선돼야할 점이라고 목소리를 높인다. "CMMI 인증을 받았다고 하더라도 모든 것이 저절로 개선되는 것은 아니다. 기업과 조직원들 스스로 꾸준히 노력해야 한다. 그런데 인증을 받고나면 활동을 중단해 버리는 일이 벌어지고 있다."
이런 상황에서 최근 아시아나 IDT가 지난해 일부분에서 받은 CMMI 인증을 전사적으로 확대 적용해 기업 전체의 내실을 강화한 점은 돋보인다. 이처럼 기업 전체에 CMMI를 적용하기 위해서는 적지않은 시간과 비용이 투자된다. 보통 공식 심사를 받기 전에 예비 심사 과정을 거치는데 심사비용이 레벨과 심사일수에 따라 결정된이다. 최소 비용이 하루 2백만원이며, 높은 레벨로 인증을 받을 경우 시간과 함께 비용도 함께 올라간다.
이 때문에 기업 내부에 내부심사원 자격을 갖고 있는 사람이 있으면 외부 선임심사원과 함께 심사를 할 수 있도록 했다. 내부심사원은 일정기간 이상의 경력과 CMMI 개요 교육을 받으면 자격이 부여된다.
하지만 내부 심사원과 일할 때 갈등을 겪을 수 밖에 없는 상황이 연출되어 곤혹스러운 경우도 발생한다고 귀띔한다. 회사에 몸담고 있는 내부 심사원은 아무래도 인증 획득에 유리한 점수를 주고 싶어하기 때문이다. 이민재 대표는 이 대목에서 외부 심사원의 역할이 중요하다고 얘기한다.
국내에서 CMMI 인증 획득에 나선지 10년이 흘렀지만 본래의 취지가 퇴색한 감이 없지 않다. 앞으로는 CMMI의 인증 획득을 외부에 과시하기 위해서가 아니라 실질적인 기업 내부의 품질 프로세스의 혁신에 적극 활용해야 할 것이다.
최은주 기자 ejchoi@rfidjournalkorea.com
이민재 티큐엠에스(www.tqms.co.kr) 대표 컨설턴트는 미국 SEI 공인 CMMI 1.2 선임심사원으로 국내 다수 기업에 대한 프로세스 개선 컨설팅 및 CMMI 공식 인증 심사를 수행하고 있다. 선임심사원으로서 2006년 공식 심사만 3건을 포함해 10여건의 심사를 한 베테랑이다. 국내 11명의 선임심사원 중에서 처음으로 CMMI 1.2 버전으로 심사할 수 있는 자격을 획득했다. 미국 로체스터대학교를 졸업하고 뉴욕대학교 정보기술대학원에서 정보기술 감리학을 전공했다.