몇 가지 중요한 정보시스템 관련 사건 사고가 발생해 사회적으로 큰 혼란을 겪었다. 정부가 수행하는 사회보장업무의 중추신경에 해당하는 사회보장정보시스템에 오류가 생겨 개통이 지연되고, 개통 이후에도 여러 가지 결함이 발견됨으로써 취약계층의 삶을 위협받는 사태가 발생했다. 민간기업이 제공하지만, 수많은 국민이 업무와 사회활동에 이용하는 카카오톡과 다음 메일이 데이터센터 화재로 셧다운을 일으켜 세상이 멈춘 듯한 먹통사태가 한 주 가까이 지속됐다.
이처럼 사회적 중요성이 높은 시스템은 설계단계는 물론 운영단계에서도 지속적인 점검과 확인이 이뤄져야 하는데, 이를 위한 정보시스템 감리제도의 개선이 과제로 떠오르고 있다. 삼풍백화점같은 대형 구조물이 붕괴되면 감리가 제대로 실시됐는 지를 따져 법적 책임을 묻는다. 그러나 정보시스템이 먹통이 돼 수많은 이용자가 경제적·사회적 손실을 입은 경우에는 책임을 따질 정보시스템 감리 자체가 실시되지 않고 있다.
우리나라는 일찍부터 전자정부를 추구해 행정의 생산성, 투명성 및 민주성을 높이는 데 크게 기여해 왔다. 전자정부법에서는 행정기관 및 공공기관이 구축 ·운영하는 정보시스템에 대해 감리를 실시함으로써 정보시스템의 효율성과 안전성을 확보하도록 했다.
즉, 정보시스템 중 대국민 서비스를 위한 행정업무 또는 민원업무 처리용 시스템이거나 여러 중앙행정기관 등이 공동으로 구축하거나 사용하는 경우와 사업비가 5억원 이상인 경우에만 감리가 법적 의무사항으로 규정돼 있다. 그 결과, 정보시스템이 개발·구축된 이후 운영 및 유지보수 사업을 발주하더라도 이는 감리 의무 대상이 아니다.
그러나 민간 분야에서 개발·운영 중인 정보시스템은 국민에게 영향이 많은 경우에도 감리 실시에 대한 법적 강제가 없다. 아울러 정부나 공공기관의 정보시스템도 감리대상은 일부분에 국한돼 있다.
유지 보수에 대한 운영감리는 지난 정부에서 의원입법으로 법안 발의는 됐지만 입법화에는 이르지 못해 현재 대부분 행정기관 등에서는 정보시스템 운영 및 유지보수 사업은 감리를 실시하지 않고 있는 실정이다.
소프트웨어 생명주기 모형에 따라 차이가 일부 있으나, 일반적으로 정보시스템은 분석→설계→구축→테스트→운영 및 유지보수 순서로 생명주기를 갖는다. 정보시스템 구축은 1~2년 정도지만 운영 및 유지보수 기간은 5년, 10년 또는 그 이상으로 장기이고, 또 운영 및 유지보수에 사용하는 비용은 전체 비용의 70%를 상회한다. 이처럼 기간과 비용측면에서 보았을 때 정보시스템 운영 및 유지보수 사업은 개발·구축단계보다 많은 기간과 비용이 소요된다.
그렇다면 정보시스템 운영 및 유지보수 사업에 대한 감리 기준을 정해 감리를 실시하는 것이 필요하다. 개발·구축사업의 의무감리수준에 맞추어 운영 및 유지보수사업도 포함해 제도의 완결성이 필요하다.
대부분 정보시스템이 구축 효과를 내는 데까지 시간이 소요되며 운영 및 유지보수 단계에서 실효적인 정보시스템이 완성되는 것이다.
감리제도가 비교적 잘 정착돼 있는 건축 분야에서는 신축 이후 개축이나 대수선 등은 필수적으로 뒤따르는 것이 아니지만, 정보시스템은 고정적(static)이지 않고 사용과정에서 계속적으로 변경이 발생하는 특성을 갖는다. 변경의 유형을 보면 오류를 해결하기 위한 정정(correction), 새로운 환경 변화에 따른 개작(adaption), 기능 추가나 개선 또는 성능 개선을 위한 기능 보강(enhancement) 등 세 가지가 있는데 이러한 사항에 대한 감리가 실시되지 않으면 개발 구축단계에서 아무리 감리를 철저히 시행했더라도 시스템의 안전을 보장하지 못한다.
행정기관 등에서 개발·구축하는 정보시스템 감리제도는 그동안 정보시스템 발전에 많은 기여를 하고 있었다.
민간 분야에서도 카카오와 같이 국민생활의 필수요소로 자리잡은 정보시스템에 대해 상시적인 운영상태에 대한 모니터링을 행했더라면 충분히 막을 수 있는 것이었다.
민간이 개발·운영하는 정보시스템을 개발·구축단계에서는 법적 강제가 없더라도 최고의 기술력을 활용해 소비자에게 어필할 수 있는 정보시스템을 개발할 수 있다. 그러나 사회적 필수 인프라로 자리잡은 다음에는 이윤 추구 등 근시안적 경영에 치우쳐 시스템의 유지 관리에 소홀할 수 있기 때문에 이들에게는 운영감리에 대한 법적 강제가 더 필요할 수도 있다.
재난에 가까운 사태를 맞아 재발을 방지하기 위한 대책이 다각도로 논의돼야 할 것이고, 여기에 정보시스템 감리제도라는 안전장치를 보강하는 것도 포함돼야 할 것이다. 정현수 숭실대 정보과학대학원 교수 hsj6553@ssu.ac.kr