Home

The Journal of Korean Institute of Information Technology - Vol. 21 , No. 1


[ Article ]
The Journal of Korean Institute of Information Technology - Vol. 21, No. 1, pp. 1-10
Abbreviation: Journal of KIIT
ISSN: 1598-8619 (Print) 2093-7571 (Online)
Print publication date 31 Jan 2023
Received 31 Aug 2022 Revised 10 Jan 2023 Accepted 13 Jan 2023
DOI: https://doi.org/10.14801/jkiit.2023.21.1.1
중소기업 소프트웨어 개발 결과에 대한 품질평가
한수진^* ; 이부형^**
*공주대학교 컴퓨터공학부 공학석사
**공주대학교 컴퓨터공학부 교수(교신저자)
Quality Evaluation to Small Scaled Software Implementation Result
Soo-Jin Hahn^* ; Boo-Hyung Lee^**


Correspondence to : Boo-Hyung Lee Dept. of Computer Engineering&Science, Kongju National University, Budae-dong, Cheonan-si, Chungcheongnam-do, 330-717, Korea Tel.: +82-41-521-9232, Email: BHL1998@kongju.ac.kr

초록

중소기업 및 소규모 회사에서 사용되는 소프트웨어의 개발은 초기에 정보시스템 개발 기준에 맞추기 보다는 임의로 필요에 따라 개발함으로써 개발 후 잦은 프로그램 수정, 보안등의 위협요인으로 인해 많은 비용이 요구된다. 본 논문에서는 중소기업에서 정보시스템 개발 기준을 고려하지 않고 개발된 소프트웨어가 국내·외 정보시스템 개발기준에 어느 정도 만족하는지에 대해 평가 하고 분석하였다. 국내정보시스템 개발기준은 정보화진흥원의 정보시스템감리기준에 따라 평가하고 분석하였으며, 국외 정보시스템 개발기준은 COBIT(Control Objectives for Information and Related Technologies), CMMI(Capability Maturity Model Integration) 및 ITIL(Information Technology Infrastructure Library)의 기준을 활용하였다. 분석결과 전체적으로 70%의 만족도를 보였으나 더 높은 품질향상을 위해서는 개발계획을 위한 가이드라인, 판매용 소프트웨어에 대한 보안, 성능 등에 대한 기본적인 권고기준 등 평가과정에서 나타난 문제점을 보완하여야 할 것이다.

Abstract

In this paper, we evaluated and analyzed on how the software that was developed without regard to any IS(Information System) development standards meets requirements in domestic and foreign IS development standards. The domestic standard is Korean IS audit standard that was introduced by Korean Government at 1987 and the foreign standards are COBIT(Control Objectives for Information and Related Technologies), CMMI(Capability Maturity Model Integration) and ITIL(Information Technology Infrastructure Library). In the evaluation result, the software showed 70% satisfaction rate on average for requirements in 4 IS development standards. The comlemetary measures for the problems that appeared in the evaluation process are needed.


Keywords: quality evaluation, IS development standards, korean audit standard, COBIT, CMMI, ITIL

Ⅰ. 서 론

개인 또는 집단(또는 기업)에게 유용한 정보를 제공하는 정보시스템은 자료를 효과적으로 처리하여 의사결정에 유용한 정보를 제공하거나 의사결정과정에 정보를 제공하여 기획, 통제 및 운영 등의 기능을 조정하는 역할을 한다. 특히 기업에서의 정보시스템은 기업경영의 주된 역할을 하며 목표 달성을 효과적 효율적으로 달성하도록 지원하고 구현하는 목적을 가지는 중요한 역할을 한다. 또한 공공기관에서의 정보시스템은 국민의 생명 · 재산 등에 미치는 영향이 커짐에 따라 사용자의 만족도 향상과 서비스 안전성을 제고해야할 필요성이 높아지고 있다[1]. 대기업 및 중견기업에서는 자체 개발된 개발기준을 이용하여 품질평가를 진행하며, 공공기관에서는 개발과정에서 국내 정보시스템 감리기준에 따른 감리를 수행하게 된다[2].

그러나 대부분의 중소기업에서는 시스템적으로 정보시스템 개발기준 등이 마련되어 있지 않거나 기준을 설정할 필요성을 가지고 있지 않아 감리 및 품질평가를 사전에 진행하지 않는 경우가 많으며, 이는 결국 개발상의 문제점이나 위협요인을 사전에 파악할 수 있는 시간이 부족하여 개발 후에 다시 보완하는 과정을 거쳐야하기 때문에 많은 비용(시간, 인력, 금전)이 요구되며 품질 또한 보증할 수 없는 것이 현실이다[3]-[6].

본 논문에서는 특정한 기준이 없이 개발된 중소기업 소규모 정보시스템 구축 결과에 대해 국내·외 정보시스템 개발기준에 얼마만큼 부합되는지 조사하여 개발상에 또는 개발 후에 어떤 문제가 발생될 수 있는지를 평가해보고 효과적으로 프로그램을 개발하고 비용을 효율적으로 관리하기 위한 방향을 제시하고자 한다.

2장에서는 기 구축된 정보시스템을 평가하기 위한 국내 기준인 국내·외 정보시스템 개발 기준에 대해 설명하고 3장에서는 국내·외 정보시스템 개발기준에 따른 기 구축시스템 평가 및 분석을 4장에서는 결론에 대해 기술한다.

Ⅱ. 국내·외 정보시스템 개발 기준

2.1 국내 정보시스템 구축 및 개발기준

본 논문에서 사용되는 국내 정보시스템 개발기준은 1987년 정보화진흥원에서 개발한 정보시스템 감리기준 프레임워크 및 감리기본 점검표를 기준으로 하며 감리기본 점검표 내 감리 점검 항목을 중심으로 기 개발된 소프트웨어를 평가하고자 한다.

정보시스템감리는 그림 1과 같이 사업유형/감리시점, 감리영역, 감리관점/점검기준이라는 세 축으로 구성된 감리점검프레임워크를 기반으로 감리 수행의 기본 골격을 구성하고 있다[7][8].

Fig. 1.
IS audit check framework

사업유형은 정보기술 아키텍쳐(EA, Enterprise Architecture), 정보화 전략계획수립(IS, Information Strategy), 시스템 개발(SD, System Development), 데이터베이스 구축(DB, Database), 시스템 운영(OP, Operation) 및 유지보수(MA, Management)의 6개이며 공통영역인 사업관리를 포함하여 7개의 사업유형으로 구성된다.

사업유형별 감리 시점은 정보기술 아키텍쳐(EA)의 경우 1. 기반정립 및 현행 아키텍쳐 수립 시점과 2. 목표 아키텍쳐 구축 및 이행계획수립 시점 2개로 이루어진다. 또한 정보화 전략계획수립(IS)은 2개의 감리 시점, 시스템 개발(SD)은 5개의 감리 시점, 데이터베이스 구축(DB)은 2개의 감리시점, 시스템 운영(OP)은 1개의 감리 시점, 유지보수(MA)는 1개의 감리시점을 갖는다. 감리 영역은 감리 평가를 수행하는 표준화된 단위(영역)로서, 사업 유형 별, 감리 시점에 따라 감리영역을 규정하고 있다.

그림 1에서 사업유형이 시스템 개발(SD)이고 감리시점이 1. 요구분석(분석)인 경우에 시스템 아키텍쳐, 응용시스템, 데이터베이에 대해 감리평가가 수행됨을 알 수 있다. 품질보증활동은 공통항목임을 알 수 있다.

셋째, 감리관점/점검기준은 감리 시행 시 감리관점별로 점검을 위한 기준이 되는 것으로, 각 감리 관점을 구성하는 요소의 특성 또는 품질 기준이라 할 수 있다. 감리영역별로 감리는 절차, 산출물, 성과 등을 기준으로 감리를 수행하게 된다.

감리점검항목은 상기 감리영역에 대해 상세하게 점검해야 할 내용을 점검 항목으로 구분해 놓았으며 이를 감리 기본 점검표라고 한다. 각 감리영역별로 해당 분야에 대한 개요와 점검하여야 할 기본 점검 항목이 정의되어 있으며, 사업유형별로 정보기술 아키텍쳐구축(EA)의 경우 45개, 정보화 전략계획수립(IS)의 경우 26개, 시스템 개발(SD-객체지향/컴포넌트 기반 개발모델)의 경우 55, 데이터베이스 구축(DB)의 경우 14, 시스템 운영(OP)의 경우 6개, 마지막으로 유지보수(MA)의 경우 14개의 점검항목으로 이루어져 있다[9]. 본 논문에서 하고자 하는 정보시스템 품질평가는 사업유형중 시스템개발에 포함되며, 시스템개발의 여러 가지 개발모델 중 객체지향/컴포넌트 기반 개발모델에 대한 점검항목 55개를 기준으로 정보시스템 평가를 진행한다.

2.2 국외 정보시스템 구축 및 개발기준

2.2.1 COBIT(Control Objectives for Information and Related Technologies)

1996년 처음 발표된 COBIT은 ISACA가 개발한 IT 관리 프레임워크로 기업이 정보관리 및 거버넌스와 관련된 전략을 개발하고, 조직하고, 이행하는 데 유용하다. 전사적 전략, 목표 및 규모, IT의 역할, 규정준수 요구 사항 등의 설계 요소(Design factors)와 SME, 보안, 위험, 개발 및 운영 등의 초점영역(Focus area)을 토대로 정보 및 기술을 위한 맞춤형 전사적 거버넌스 시스템이 구성됨을 볼 수 있다. 맞춤형 거버넌스 시스템은 우선순위 거버넌스 및 관리 목표, 초점영역의 특정 지침, 목표 용량 및 성능 관리 지침 등의 주요 지침서로 구성되어 있다[10]. COBIT은 개발프로세스 점검 항목을 도메인과 프로세스로 정의하고 있으며 자세한 사항은 그림 2와 같이 EDM(평가, 지휘, 모니터링) 5개 항목 , APO(연계, 기획, 조직화) 14개 항목, BAI(구축, 획득 및 구현) 11개 항목 , DSS(제공, 서비스, 지원) 6개 항목 및 MEA(모니터링 평가 및 진단) 4개 항목으로 구성되어 있다[11][12]. 본 논문에서는 BAI, DSS, MEA 3개 영역의 전체 점검 항목 21개를 기준으로 정보시스템 평가를 진행한다.

Fig. 2.
Domain and process of COBIT 2019[8]

2.2.2 CMMI(Capability Maturity Model Integration)

CMMI는 1930년대에 Walter Shewhart에 의해 발표된 통계적 품질관리(SQC, Statistical Quality Control)개념을 1991년 미국 카네기 멜론대 부설 소프트웨어 공학 연구소(SEI, Software Engineering Institute)가 받아들이면서 소프트웨어 개발 및 유지보수 프로세스를 지속적으로 개선하기 위한 모델이다[13][14].

CMMI는 개발프로세스 기준은 표 1과 같이 PA(Practice Area)로 정의되며 이는 18개의 CORE PA와 2개의 DEV PA로 구분되어 있음을 알 수 있다. 각각 PA는 점검 항목을 포함하고 있다.

Table 1.
CMMI 2.0 Practice Area(PA)

Sector	Practice area
CORE PA	Configuration Management(CM)
	MANAGING PERFORMANCE AND MEASUREMENT (MPM)
	Process Quality Assurance(PQA)
	Monitoring and Control (MC)
	PLANNING (PLAN)
	ESTIMATING(EST)
	SUPPLIER AGREEMENT MANAGEMENT(SAM)
	REQUIREMENTS DEVELOPMENT AND MANAGEMENT (RDM)
	GOVERNANCE(GOV)
	IMPLEMENTATION INFRASTRUCTURE(II)
	CAUSAL ANALYSIS AND RESOLUTION(CAR)
	Decision Analysis and Resolution(DAR)
	RISK AND OPPORTUNITY MANAGEMENT(RSK)
	Organizational Training(OT)
	PROCESS ASSET DEVELOPMENT(PAD)
	PEER REVIEWS(PR)
	VERIFICATION AND VALIDATION(VV)
	PROCESS MANAGEMENT PCM)
DEV PA	TECHNICAL SOLUTION(TS)
DEV PA	Product Integration (PI)

Practice Area는 CORE PA와 DEV PA로 구분되는데 성숙도 수준 레벨 2에서는 CORE PA의 형상관리에서 인프라 이행까지 모두 이행되어야 함을 나타내고, 성숙도 레벨 5에서는 MPM과 CAR이 반드시 이행되어야 한다. 표 1에서와 같이 전체 PA는 20개이며 각 PA 별 점검 항목을 합산하면 전체 185개의 점검 항목이 존재한다. 본 논문에서는 이들 20개 PA별 전체 점검 항목 185개를 기준으로 정보시스템 평가를 진행한다.

2.2.3 ITIL(Information Technology Infrastructure Library)

1980년대 후반, 영국정부에 의해 만들어진 ITIL은 IT서비스 관리 분야에서 전 세계적인 “de-facto”표준으로 IT서비스를 지원 구축, 관리하기 위한 일련의 IT서비스 관리 “Best Practice”로 Enterprise 기업이 고객에게 고품질의 IT서비스를 제공함으로써 비즈니스 목표를 달성할 수 있는 기반을 제공한다. ITIL 4는 서비스 Value에 중점을 둔 SVS(Service Value System)을 기반으로 운영된다. 그림 3에서와 같이 SVS는 조직의 가치 창출을 위한 구성요소와 활동이 체계적으로 함께 작동하는 방법을 설명하는 가치 체계를 기반으로 한다[15][16].

Fig. 3.
Structure of SVS(Service Value System)

그림 3에서 SVS의 핵심 입력은 기회(Opportunity)와 수요(Demand)이며, 출력은 제품과 서비스가 제공하는 가치이다. SVS의 구성 요소는 Guiding Principles, Governance, Service Value Chain, Practice, Continual Improvement의 5개 영역으로 구성된다. 여기에서 프랙티스(Practice)는 ITIL이 개발프로세스 점검 항목으로 규정한 것을 의미하며, 표 2와 같이 일반 관리영역, 서비스 관리 영역, 기술 관리영역으로 구분되며, 각각 14개. 17개, 3개로 본 논문에서는 점검 항목 34개를 기준으로 정보시스템 평가를 진행한다.

Table 2.
ITIL practice

General management practices
Architecture management
Continual improvement
Information security management
Knowledge management
Measurement & reporting management
Organisational change management
Portfolio management
Project management
Relationship management
Risk management
Service financial management
Strategy management
Supplier management
Workforce talent management management
Service management practices
Availability management
Business analysis
Capacity and performance management
Change enablement
Incident management
IT asset management
Monitoring and event management
Problem management
Release management
Service catalogue management
Service configuration management
Service continuity management
Service design
Service desk
Service level management
Service request Management
Service validation and testing
Technical management practices
Deployment management
Infrastructure and platform management
Software development and management

Ⅲ. 국내·외 정보시스템 감리기준에 따른 평가 및 분석

2장에서 설명된 국내·외 정보시스템 개발기준에 따라 직접 개발한 소프트웨어를 평가하고 그에 따른 분석결과를 도출하고자 한다.

3.1 자체개발 소프트웨어 개요

본 논문에서 사용하게 될 기 개발된 소프트웨어는 두 가지로 첫 번째 소프트웨어는 약 5,000여명이 사용하는 프로그램으로 기업 내 물류, 재무, 회계, 재고 등 경영 활동에 관련된 프로세스를 연계하여 관리할 목적으로 2019년도에 안드로이드 기반 애플리케이션으로 개발된 것으로 국내·외 어떠한 개발기준을 고려하지 않고 개발한 프로그램으로 현재까지 계속 수정보완을 통해 사용중에 있다.

각 기업별 데이터베이스는 MySQL로 구성되어 있으며, PHP를 통하여 해당 데이터를 조회, 삽입, 수정, 삭제를 할 수 있다. 유통 ERP 앱을 사용하는 업체별로 다른 데이터베이스를 가지고 있어 최초 프로그램 사용 시 해당 업체의 데이터베이스로 접속을 하여 프로그램을 동작시킨다. 사용자는 원하는 데이터를 조회하기 위하여 조회하고자 하는 조건을 선택하면, 해당 조건에 맞추어 결과를 보여준다. 데이터를 등록하기 위하여, 주어진 양식에 맞추어 입력하면 등록된 데이터를 확인할 수 있다.

3.2 국내·외 정보시스템 감리기준에 따른 평가

3.1의 소프트웨어를 국내·외 정보시스템 감리기준에 따라 평가를 진행하였다. 그림 1의 정보시스템 감리 프레임 워크 내 사업유형은 시스템 개발(SD)이며(개발모델 중 객체지향/컴포넌트 기반 개발모델), 감리 시점은 요구분석, 분석/설계, 구현의 이며, 각 감리 시점 별 감리영역은 시스템 아키텍쳐, 응용시스템, 데이터베이스이며, 감리영역에 대한 점검 항목수는 전체 55개 이다.

3.2.1 국내 정보시스템 감리기준에 따른 평가 분석

유통 ERP앱에 대해 55개의 감리점검항목에 따라 평가를 진행하였으며, 감리점검항목이 정성적인 항목으로 구성되어 있어, 항목별 ‘상’(H), ‘중’(M), ‘하’(L)로 구분하여 각각의 개수로 평가하여 표 3과 같이 정리하였다.

Table 3.
Evaluation result by domestic IS audit standards

Audit timing	Audit areas	Audit check lists	Evaluation results(number)
Audit timing	Audit areas	Audit check lists	H	M	L
Reauirement & analysis	System architecture	6	1	3	2
	Application system	7	1	2	4
	Database	3	1	2	0
Total		16	3	7	6
Analysis/design	System architecture	7	1	3	3
	Application system	6	4	2	0
	Database	7	5	1	1
Totla		20	10	6	4
Implementation	System architecture	7	2	3	2
	Application system	8	2	5	1
	Database	4	1	2	1
Total		19	5	10	4
Sum		55	18	23	14

표 3에서 감리 시점을 중심으로 요구분석 시점에서 ‘상’은 3개, ‘중’은 7개, ‘하’는 6개임을 알 수 있으며, ‘상’의 개수는 18.8%로 중, 하에 비해 낮음을 알 수 있다. 분석/설계 시점에서 ‘상’은 10, ‘중’은 6, ‘하’는 4개이며, ‘상’의 개수는 50%로 높음을 알 수 있다. 구현 시점에서 ‘상’은 5, ‘중’은 10, ‘하’는 4개임을 알 수 있다. 전체적으로 ‘하’로 평가된 항목이 25.5%임을 알 수 있다. 55개의 항목 중 ‘하’로 평가된 14개 점검항목 중 보안은 5개 항목, 계획은 4개의 항목, 표준은 2개 항목, 문서화는 2개 항목, 기타 사항은 1개 항목이다.

보안 및 계획 영역에서 ‘하’로 평가된 항목이 많음을 알 수 있는데 이는 보안 관련 내부규정이 없는 상태에서 개발되었음을 의미하며. 중소기업의 특성상 시작 단계에서 명확한 개발 계획 없이 개발자의 능력에 따라 계획이 유동적으로 쉽게 변경될 수 있음을 보여준다.

요구분석 시점에서 시스템 아키텍쳐, 응용시스템영역에서 ‘상’이 1개씩으로 낮은 평가가 나왔는데 이는 프로그램 개발시 요구분석이 충분히 이루어지지 않았음을 알 수 있다. 반면 모든 감리 시점에서 데이터베이스 감리영역에서는 ‘하’가 적어 개발자가 데이터베이스 개발에 높은 역량 및 많은 주의를 가지고 임했음을 알 수 있다.

3.2.2 COBIT 기준에 따른 평가 및 분석

그림 2에서와 같이 COBIT 2019 도메인 및 도메인별 점검항목에 따라 평가를 진행하였으며, COBIT점검항목은 정성적인 항목으로 구성되어 있어, 항목별 ‘상’, ‘중’, ‘하’로 구분하여 표 4와 같이 나타내었다.

Table 4.
Evaluation result by COBIT standards(number)

Domain	Evaluation results in domain(number)
Domain	H	M	L
BAI	4	6	1
DSS	3	3	0
MEA	2	2	0
total	9	11	1

또한 COBIT 2019에서는 CMMI 성능 관리 체계를 사용하고 있기 때문에 도메인 내 점검 항목과 Level별로 세분화하여 개발프로세스 기준이 제시되어, 그에 따라 평가를 하였으며 그에 대한 결과를 표 5에 나타내었다. BAI의 항목 중 Level3 수준을 성취하기 위해서는 Level 미 설정 항목과 Level3에 해당하는 항목을 모두 충족 해야한다.

Table 5.
Evaluation result 1 by COBIT standards(level)

	Check lists in domailn(number)
	BAI			DSS			MEA			Total
Level/ Class	H	M	L	H	M	L	H	M	L	H	M	L
Unclassed	3	4	1				1	0	0	4	4	1
Level2				1	1	0	1	2	0	2	3	0
Level3	0	1	0	0	1	0				0	2	0
Level4	1	1	0	2	1	0				3	2	0
Total	4	6	1	3	3	0	2	2	0	7	11	1

표 4에서 ‘하’ 항목이 BAI(구축, 획득 및 구현)도메인에서 1개 밖에 나오지 않았음을 알 수 있으며 전체 21개 항목 중 ‘상’의 개수는 9개. ‘중’의 개수는 11개이며, ‘상’의 경우 전체 43%임을 알 수 있다. 따라서 개발 프로그램이 COBI 기준에는 상당히 만족함을 알 수 있다. COBIT 점검 항목 중 ‘하’로 평가된 항목은 조직에서 조직변경관리 한 개의 항목이다.

3.2.3 CMMI기준에 따른 평가 및 분석

2017년 9월부터 2020년 7월까지를 기준으로 한국의 CMMI 인증 건수를 수준별로 분류했을 때 Level 2와 Level 3의 수준을 취득한 기업은 총 70개로, 비율은 약 80%를 차지하고 있으며 CMMI의 성숙도 수준 중 Level 3~5의 경우 Practice Area 구성이 동일하여 본 연구의 평가 기준을 Level 2~3으로 삼았다[17]. CMMI의 경우 성숙도에 따라 항목이 Level별로 분류되어 있으며, 정량적 체크 리스트로 항목별 구분되어 있어 ‘상’, ‘중’, ‘하’가 아닌 Pass/Fail로 구분하여 평가하였으며 평가 결과를 표 6에 나타내었다. 표 내 숫자는 점검 항목 수를 ( )로 나타냈으며 점검 항목 수 앞에 Pass개수를 표현하였다. 예로 1(2)은 점검 항목 수 2개에 Pass개수 1을 의미한다.

Table 6.
Evaluation result by COBIT standards(level)

Practice area	Evaluation result by Level (Pass number(Check item number))
Practice area	Level 1	Level 2	Level 3	Level 4	Level 5	%
CM	1(1)	6(6)				100
MPM	2(2)	5(6)	3(6)	1(5)	0(3)	50
PQA	1(1)	3(4)	1(1)			83
MC	2(2)	4(4)	3(4)			90
PLAN	2(2)	7(7)	1(4)	0(1)		71
EST	1(1)	3(3)	1(2)			83
SAM						-
RDM	1(1)	6(6)	7(7)			100
GOV	1(1)	3(4)	0(2)	0(1)		63
II	1(1)	1(2)	2(3)			83
CAR	1(1)	2(2)	3(5)	0(2)	0(1)	55
DAR	2(2)	1(5)	0(1)			38
RSK	1(1)	2(2)	2(5)			63
OT	1(1)	1(2)	1(6)			33
PAD	1(1)	3(3)	3(7)			64
PR	1(1)	4(4)	1(1)			100
VV	2(2)	3(3)	1(2)			86
PCM	2(3)	1(2)	4(6)	0(1)		58
TS	1(1)	3(3)	5(6)			90
PI	1(1)	5(6)	3(3)			90
Total	25(26)	63(74)	41(71)	1(10)	0(4)	70
%	96.2	85.1	57.7	10	0

표 6에서 해당 프로그램은 Level 1~2에 대한 사항은 대부분 충족하는 것으로 파악되며, Level 3에 대한 사항 또한 57.7%에 해당되어, 감리를 하지 않고 개발된 프로그램이 개발자 기본 역량만으로 CMMI Level 2~3수준이 충족된 것으로 평가된다.

평가 결과 총 PA는 20개이며 각 PA 별 점검 항목 185건을 통하여 점검을 한 결과 Pass는 130건이고, Fail은 55건이다. Level 별 Fail 건수는 Level 2가 11건, Level 3이 30건으로, Level 2에 비해 Level 3의 Fail율이 3배가 높다. 본 평가의 기준인 Level 2~3 중 ‘Fail’로 선택된 항목은 총 41개 항목에서 ‘Fail’로 선택이 되었다. 조직교육훈련(OT)영역에서 6개 항목이 ‘Fail’로 가장 많았으며, 의사결정 분석/해결(DAR)항목은 5개, 성과 및 측정 관리(MPM)항목은 4개이다. 중소기업의 경우 개발 관련 인력이 부족한 경우가 상당수이기 때문에 관련된 교육지원과 유지보수 및 개발의 대체인력 확보의 어려움이 OT 항목의 Fail율을 상승시키는 요인이 되었다고 판단된다. 특히 내부 절차 및 표준이 존재하지 않으며, 패키지 개발업체의 특성상 성과 및 측정에 대한 관리 기준이 없이 지속적으로 유지보수를 한 점이 기타 요인의 Fail율을 높이는 요인이 되었다고 추측된다.

3.2.4 ITIL기준에 따른 평가 및 분석

ITIL기준에 따른 평가는 표 2의 ITIL Practice에 따라 평가를 진행하였으며, 정성적인 항목으로 개발프로세스 점검 항목이 구현되어 있어, 항목별 ‘상’, ‘중’, ‘하’로 구분하였으며 결과를 표 7에 나타내었다. 일반 관리영역에서는 ‘상’은 28.6%, ‘중’은 57.1%, ‘하’는 14.3%였으며, 서비스 관리영역에서는 ‘상’, ‘중’ 각각 47%, ‘하’는 5.9%였으며 기술관리 영역에서는 ‘하’로 평가된 항목은 없는 것으로 나타났다.

Table 7.
Evaluation result 1 by ITIL standards

Practice	Evaluation result
Practice	H	M	L
General management practices	4(28.6%)	8(57.1%)	2(14.3%)
Service management practices	8(47%)	8(47%)	1(5.9%)
Technical management practices	1(33.3%)	2(66.7%)	0
Total	13(38.2%)	18(52.9%)	3(8.8%)

3.2.5 종합분석

기 개발된 소프트웨어에 대해 국내·외 정보시스템 개발기준에 따라 수행한 평가결과 표 3, 표 4, 표 6을 바탕으로 정성적인 항목을 가진 국내 정보시스템 감리기준, COBIT, ITIL의 경우에는 ‘상’인 항목은 5점, ‘중’인 항목은 3점, ‘하’인 항목은 1점으로 측정하여 계산하였고, 정량적인 항목을 가진 CMMI는 ‘Pass’인 항목은 1점, ‘Fail’인 항목은 0점으로 측정하여 계산하여 종합적으로 비교하였다. 결과는 표 8과 같으며 국내감리기준에 의한 평가가 가장 낮게 나왔으며 COBIT에 의한 평가가 가장 높게 나왔다. 평균적으로 70%정도의 점수를 얻은 것으로 평가되었다.

Table 8.
Total comparative analysis

	Korean audit	COBIT	CMMI	ITIL
Score	181 (65.8%)	79 (75.2%)	130 (70.3%)	122 (71.8%)

또한 정보시스템 감리기준, COBIT, ITIL의 경우 ‘하’로 평가된 항목을, 정량적인 개발프로세스 기준인 CMMI의 경우 ‘Fail’로 평가된 항목들을 분석해 볼 때 ‘구현’, ‘조직’, ‘보안’ 등의 순으로 누락된 항목이 많은 것으로 집계되었다. 구현의 경우, 사내 표준 및 프로세스가 부재하여 누락되는 사항이 가장 많았다. 조직의 경우, 인력 개발을 위한 교육과정이 존재하지 않거나, 각 프로세스 별 담당 관리자의 부재 및 역할 분담이 명확히 이루어지지 않아 누락되는 사항이 발생하였다. 보안의 경우, 내부 기준이 없어 개발자의 역량에 따라 개발이 되어 역량 별 누락되는 편차가 큰 것으로 확인되었다. 감리를 받지 않는 경우, 문서화, 표준화, 프로세스화와 같이 정량적인 기준을 만들고, 그에 따라 관리를 하는 부분에서 부족한 부분이 가장 많은 것으로 판단된다. 개발 시 정해진 표준에 따라 설계, 분석, 구현이 이루어져야 할 것으로 생각되며, 이를 통하여 위험 예방을 할 수 있을 것으로 판단된다.

Ⅳ. 결 론

본 논문에서는 정보시스템 개발기준이 없이 중소기업에서 개발된 유통 관련 ERP 프로그램과에 대해 국내·외 정보시스템 개발기준에 어느 정도 부합되는지를 평가하였으며 평가 결과를 토대로 어떤 문제점이 있는지 분석하였다. 기 개발된 두 개의 프로그램을 평가하기 위해 사용된 국내·외 정보시스템 개발기준은 국내의 경우 1987년 도입된 정보시스템 감리기준이며, 국외의 경우 정보시스템 개발프로세스 기준인 COBIT, CMMI 및 ITIL이다.

국내 정보시스템 감리기준 평가에서는 요구분석 시점에서 낮은 평가가 나와 프로그램 개발시 요구분석이 충분히 이루어지지 않았음을 알 수 있었다.

국외 정보시스템 평가에서는 COBIT의 경우 대체적으로 만족할 만한 평가가 이루어졌으나 BAI(구축, 획득 및 구현)도메인에서 ‘상’평가가 1개 밖에 나오지 않았다는 것은 프로그램 개발을 위하여 준비해야 할 절차(문서, 표준, 방안 등)가 존재하지 않았음을 알 수 있다. CMMI의 경우 개발된 프로그래밍이 Level 1~2에 대한 사항은 대부분 충족하는 것으로 파악되며, Level 3에 대한 사항 또한 57.7%에 해당되어, 감리를 하지 않고 개발 된 프로그램이 개발자 기본 역량만으로 COBIT Level 2~3수준이 충족된 것으로 평가된다. 그러나 OT항목은 6개 항목이 ‘Fail’로 가장 많았다.

ITIL의 경우 ‘일반 관리영역’에서 ‘상’의 평가가 낮게 나타난 이유는 프로그램 개발을 위한 준비 및 관리 사항에 대한 절차가 부족함에 기인된 것으로 판단된다.

위의 분석 결과에 따라 개발 표준과 개발 계획에 따른 과제의 연구가 필요하다. 개발 계획을 위한 가이드 및 판매용 S/W에 대한 보안, 성능 등에 대한 권고안을 규정해야 하며 이에 대한 세부 사항으로는 운영체제의 사양에 영향이 없이 동일하게 동작하는지 여부, 로그인 시 암호화 처리, 로그 수집, 악성코드 배포 여부 확인 등에 대한 점검 항목이 추가되어야 하며 이에 대한 내용을 필수적으로 계약서에 명시하는 것과 같은 법률적인 제제가 필요하다고 판단된다. 향후 중소기업에 맞는 국내·외 정보시스템 개발기준에 따른 평가방법에 대한 연구를 진행되어야 할 것이다.

References


1.	J. Shin, D. Kim, and H. Kim, "Information system audit improvement plan in requirements engineering-based quality assurance and project management", Journal of Service Science Research, Vol. 11, No 1, pp. 45-58, Nov. 2021.
2.	J. S. Lee, "The Effects of Information System Quality and Service Quality of Small and Medium Enterprises on Business Performance", Journal of CEO and Management Studies, Vol. 17, No. 4, pp. 45-66, 2014.
3.	G. Y. Yi, Y. H. Kim, and G. J. Han, "A Quantitative Method for Quality Improvement of Information System Audit Evaluation", Journal of Computer Information, Vol 17, No 4, pp. 173-184, Apr. 2012.
4.	D. S. Kim, "Comparison analysis of PMO and information system audit based ISO 25010 quality characteristics", Master thesis, Graduate School of Information and telecommunication, Kon-Kuk University, 2017.
5.	S. U. So and S. H. Kim, "Proposal of Informatization Performance Management Model for the ETO-based Shipbuilding and Marine Industry", The Journal of The Institute of Internet, Broadcasting and Communication(IIBC), Vol. 21, No. 2, pp. 157-167, Apr. 2021.
6.	T. D. Kim, "Measurement of S/W Development Processes and Maturity using Agile Methodologies", The Journal of The Institute of Internet, Broadcasting and Communication(IIBC), Vol. 15, No. 6, pp. 147-154, Dec. 2015.
7.	NIA, 「Infomation System Audit standard check Items (ver. 1.0-2011.07)」
8.	NIA, 「Information System Audit Check Manual v3.0(.3.3.).pdf」
9.	Information System Audit Standard, Ministry of the Interior and Safety, 2004-2020.
*10.*	「COBIT 2019 and COBIT 5 Comparison」 https://www.isaca.org/resources/news-and-trends/industry-news/2020/cobit-2019-and-cobit-5-comparison, ISACA,2020. [accessed: Apr. 05, 2021]
*11.*	Heba FASIHUDDIN, Somayah ALHARBI, Alanoud ALSHEHRI, Azzah ALZAHRANI, Hanin FATANI, "Measuring the maturity of Information Technology", Romanian Journal of Information Technology and Automatic Control, Vol. 32, No. 2, pp. 65-78, 2022.
*12.*	Sandhy Fernandez, Muhammad Imanullah, M. Yoka Fathoni, and Pahrizal Pahrizal, "Utilization of the COBIT 2019 framework to identify the level of governance in internet services", Vol. 14, No. 3, Aug. 2022.
*13.*	CMMI Institute, 「CMMI V2.0 MODEL AT A GLANCE」 2019.
*14.*	Valeria Henriquez, Ana M. Moreno, and Sabrina Gutiérrez, "Organizational training in agile settings under the lens of CMMI V2.0", Journal of Software: Evolution and Process, Aug. 2022.
*15.*	Beyond20, https://www.beyond20.com/itil-4-complete-guide [accessed: Mar. 21, 2021]
*16.*	Yahya Al-Ashmoery, Hisham Haider, Adnan Haider, and Najran Nasser, "Impact of IT Service Management and ITIL Framework on the Businesses", 2021 International Conference of Modern Trends in Information and Communication Technology Industry(MTICTI), Dec. 2021.
*17.*	Software Stat, "CMMI Certification Acquisition Status by levles(Korea)", https://stat.spri.kr/posts/view/22303?code=stat_sw_quality_certification# [accessed: Apr. 03, 2021]

저자소개

한 수 진 (Su-Jin Han)

2016년 2월 : 공주대학교 공과대학 컴퓨터공학부(공학사)

2019년 8월 : 공주대학교 공과대학 대학원 컴퓨터공학과(공학석사)

2019년 ~ 현재 : 네패스 대리

관심분야 : 데이터베이스, IT 거버넌스, 품질관리

이 부 형 (Boo-Hyung Lee)

1983년 2월 : 숭실대학교 전자공학과(공학사)

1989년 8월 : 숭실대학교 전자공학과(공학석사)

1998년 2월 : 숭실대학교 전자공학과(공학박사)

2021년 1월 ~ 현재 : 공주대학교 컴퓨터공학부 교수

관심분야 : 실시간 영상처리, 컴퓨터비젼, 물체인식, 증강현실, IT거버넌스