국제 소프트웨어 품질보증 기준인 CMM(Capability Maturity Model)에 대한 관심이 높아지고 있는 가운데 인증 신뢰성 확보가 새로운 문제로 떠오르고 있다.
13일 관련업계에 따르면 최근 CMM 인증획득 자체에만 관심을 갖는 일부 업체들의 분위기에 편승해 질 낮은 해외 심사원들이 유입되면서 자칫 이름뿐인 인증이 난립할 조짐을 보이고 있다. 실제로 한 컨설팅전문업체 관계자는 “지난해 말 6개월만에 CMM 인증을 따게 해달라는 업체의 요구를 거절했는데 다른 컨설팅업체와 같은 조건으로 사업을 진행하고 있다”고 폭로했다. CMM을 개발한 카네기멜론대학 소프트웨어공학연구소(SEI)의 발표자료에 따르면 CMM 인증에서 레벨을 1단계 올리는데 필요한 기간은 평균 2년 정도. 그러나 최근 문제가 되는 국가의 경우 18개월만에 레벨 5까지 올라간 기업도 있어 국제사회에서 인증심사원의 자질문제가 대두되고 있다는 것이다.
최근 CMM 상위레벨 인증을 보유한 현지기업과 공동프로젝트를 진행했던 SI업체의 한 관계자는 “CMM에 대해 전혀 모르는 국내 하청업체보다도 체계가 잡혀 있지 않아 업무수행이 힘들었다”며 분통을 터뜨렸다.
상황이 이렇자 미국 국방부는 CMM 인증을 받은 업체에 대해서도 SCE(SW Capability Evaluation)라 불리는 CMM 재평가를 실시하는 등 보완책을 마련하고 있다.
대부분 해외진출시 유리한 평가를 받기 위해 인증획득에 나선 국내기업들이 심사원을 잘못 선택할 경우 자칫 큰 돈을 들여 획득한 CMM 인증을 활용하지 못할 수도 있는 것이다. 또 국가 신뢰도에도 영향을 줄 수 있어 정부차원에서의 대책 마련이 필요하다는 지적이다.
이와 관련, 내달부터 CMM 심사원 양성을 시작해 내년 7월까지 15명의 선임심사원을 배출할 계획인 한국소프트웨어공학센터(KSI·소장 강교철)는 자체심사원의 수준향상과 함께 해외심사원 관리에도 힘쓰기로 했다. 이 센터는 선임심사원을 양성할 컨설팅업체 선정에서는 최근 부실의혹이 제기되고 있는 국가의 업체를 배제하고 카네기 맬론대학 ISRI(Institute for Software Reserch, International)에서 직접 추천한 업체중 2∼3개사를 선정하는 한편, 수강자들이 해당 컨설팅 업체의 외국 프로젝트에 반드시 참여하게 하는 조항을 계약조건으로 내세울 계획이다.
이 센터는 또 ISRI와 함께 자문기구를 구성해 국내 심사원이 평가한 내용에 대해 사후심사를 진행하기로 했다. 정부와 협의 아래 정부프로젝트 진행시 KSI에서 인정한 심사원들에게 인증을 받았는지 여부를 점수에 포함시키는 방안도 마련할 예정이다.
강교철 KSI 소장은 “심사원 자질문제는 수치상으로는 나타나지 않지만 CMM 커뮤니티에서는 질 낮은 심사원을 따돌리는 분위기”라며 “국내 심사원에게 받은 인증이 전 세계에서 인정받을 수 있도록 심사원 관리에 만전을 기할 것”이라고 말했다.
한편 전문가들은 심사원에 대한 관리도 중요하지만 무엇보다 중요한 것은 국내 업체들이 CMM인증 자체에만 집착하지 말고 컨설팅을 통한 업무 프로세스 개선과정에 의미를 둬야 한다고 입을 모으고 있다.
<정진영기자 jychung@etnews.co.kr>