ITA법 시행에 따른 정보시스템 감리
공공을 시작으로 민간 부분에의 감리 정착 이뤄져야

정보화 추진의 방향, 정보시스템 개발 및 운영상의 효율성, 데이터의 신뢰성 및 안전성 등을 종합적으로 검토함으로써 정보화 추진과정에서 발생할 수 있는 문제점들을 사전에 예방할 필수적인 수단으로 정보시스템 감리의 필요성이 날로 증가하고 있다. 이렇듯 정보시스템 감리에 대한 중요성이 커지고 있으며, 감리 시장 또한 증가하고 있는 추세이다.

프라임에이엔씨 조왕호 사장

컴퓨터가 도입 된지 약 반세기 만에 이제 정보시스템은 기업경영은 물론 우리의 생활에서도 빼놓을 수 없는 중요한 요소가 됐다. 어느 회사, 어느 가정이던 컴퓨터가 없는 곳은 거의 없게 되었으며 거의 모든 업무를 컴퓨터를 이용해 처리하게 됐다. 특히 전자정부 사업의 추진에 따라 웬만한 민원사무는 관공서를 가지 않고도 해결할 수 있는 시대가 된 것이다. 정보시스템이 없다면, 정보시스템이 마비된다면 이제는 아무것도 할 수 없는 세상이 되었다고 해도 과언이 아닐 것이다.

이처럼 정보시스템에 대한 의존도는 점점 심화되는 반면, 소프트웨어 개발 실패나 컴퓨터 사고 등으로 정보시스템의 안전성, 효율성, 효과성은 상대적으로 저하되는 문제가 발생하고 있다. 이를 보완하고자 마련된 것이 정보시스템감리다.

정보시스템 감리 정의 및 역사

정보시스템구축은 소프트웨어의 개발과는 차원이 다르다. 정보시스템은 단순 소프트웨어의 결합이 아니라 소프트웨어, 하드웨어, 시스템소프트웨어, 네트워크 및 데이터베이스 등 모든 시스템의 기술요소가 결합된 형태다. 이러한 정보기술의 적용에 있어 내재된 위험과 부작용을 예측 및 발견하고, 실행 가능한 해결책을 제시하는 것이 정보시스템 감리며, 이러한 정보시스템 감리의 정의는 감리를 시행하고 있는 나라마다 약간씩 다르게 정의하고 있으나, 정보시스템을 종합적으로 점검 및 평가한다는 공통의 시각을 갖고 있다.

그렇다면 정보시스템 감리는 언제부터 시작되됐을까 가장 먼저 감리를 시행한 미국의 경우 민간 중심으로 감리가 발전하기 시작하였으며, 1973년 Equity Funding 보험회사의 대형 컴퓨터 범죄사건을 계기로 1974년 미국공인회계사(AICPA)회에서 회계감사를 수행할 때 의무적으로 전산시스템의 내부통제를 검토하도록 함으로써 공식화되었다.(Equity Funding 보험사기 사건 : 1965년부터 1971년에 걸쳐서 Equity Funding이라는 보험회사가 컴퓨터를 이용해서 허위의 보험 방침을 만들어 내서 $27M에 달하는 돈을 고객들에게 부당하게 청구하였다)

일본의 경우 1985년 통산성에서 시스템감사기준을 제정 공표함으로써 시스템 감사제도의 발판을 마련하였으며, 1991년부터 통산성 주관 하에 ‘정보시스템감사기업대장 등록제도’를, 1999년 통상산업성에서 ‘시스템 감사인 인정제도’를 도입하여 시행하고 있다.

우리나라는 1986년 ‘전산망 보급확장과 이용촉진에 관한법’에 의거 한국전산원(현 한국정보사회진흥원)에서 처음 감리를 시작하였으며, 1997년 민간에게 이양되어 감리 법인이 탄생하게 되었고, 1999년에는 정보화촉진법에 정보시스템감리규정 및 감리기준을 고시함으로써 본격적인 정보시스템 감리가 시행되었으며, 2005년 ‘정보시스템 효율적 도입 및 운영 등에 관한 법률(법률제7816호)’(일명 ITA법)이 통과되어 법률에 의한 의무 감리가 시작되게 되었다.

이번에 제정된 정보시스템감리의 주안점은 ▶새로 개발된 시스템이 조직의 경영활동을 지원할 수 있는가 ▶정보시스템 구축과정 및 작성산출물(시스템포함)은 적합한 절차와 표준을 준수하고 있는가 ▶시스템의 기능은 고객의 요구사항을 모두 반영하여 충분하고 완전하며, 사용의 편리성을 확보하여 구현하였는가 ▶작성한 산출물은 품질목표 이상의 품질을 확보하고 있는가 ▶시스템 운영 시 데이터 및 전산자원이 보호되고, 적절한 성능이 확보 되었으며, 유지보수에는 어려움이 없는가 등으로 파악할 수 있다.

한편 정보시스템감리는 프로젝트 라이프사이클에 맞추어 실시하는 진행 감리(단계별 감리)와 프로젝트 현장에 감리원이 상주하여 감리를 실시하는 상주 감리로 크게 나눌 수 있다.

그러면, 정보시스템 감리를 수행할 수 있는 사람은 누구일까 법 시행 이전에는 고급기술자 이상이면 누구나 감리를 할 수 있었다. 그러나 이제는 정보시스템 감리는 정보시스템 감리원만이 할 수 있다. 법률에서는 정보시스템감리를 수행할 수 있는 감리원의 등급을 수석감리원과 감리원으로 명확히 구분하였고, 감리원이 되고자 하는 경우 각 등급별로 교육의 이수를 의무화하였으며, 신기술에 의한 전문역량을 강화, 유지하기 위하여 계속교육의 이수를 권고하고 있다.

수석감리원이 되기 위해서는 정보처리 기술사나 정보시스템감리사가 되어야 한다. 국가공인 정보시스템감리사 자격시험은 매년 1회 실시하고 있으며, 그 시기와 선발인원은 연초에 결정하는 것으로 알려져 있다. 시험의 주관 및 교육은 한국정보사회진흥원에서 실시하고 있으며, 응시자격은 기술사 자격을 보유하였거나, 고급기술자 이상이면 응시할 수 있다.

시험은 사업관리 및 품질보증, 응용시스템, 데이터베이스, 시스템구조 및 보안 등 4개 분야에서 총 100문제의 문제를 출제하며, 과목별 40점 이상인자 중에서 고득점자 순으로 선발하고 있으며, 특이한 것은 동점자가 있을 때는 연소자 순으로 선발한다는 것이다. 이렇게 필기전형에 합격하게 되면 인성 및 기술면접을 통과하여야 하고, 2주간에 걸친 이론교육 및 최소 1주간의 현장실무경험을 통과하여야만 감리사 자격증을 취득할 수 있으며, 이 자격증을 체신청에 제출하여야 수석 리원증을 발급 받을 수 있게 되는 것이다. 감리원의 경우 해당 자격기준을 증명할 수 있는 서류를 준비하여 정보사회진흥원에 교육신청을 하면되고, 기본교육을 이수하고, 교육 이수증과 함께 체신청에 감리원증 발급신청을 하면 된다.

현재 약 600여명의 감리사가 체신청에 등록되어 있는 것으로 파악되고 있으며, 그중 약 반 정도의 감리원이 감리 현장에서 활동하고 있는 것으로 조사되고 있다.

국가	정의	비고
미국	- 정보시스템의 기획, 개발, 운영, 유지보수 절반에 걸쳐 효과성, 효율성, 안전성 및 준거성에 반하는 위험을 예방하고 통제하는 수단을 확보할 수 있는 체계를 제공하는 것 - 컴퓨터화된 정보시스템과 그와 관련된 비 자동화된 프로세스 및 그들 간의 인터페이스에 관련된 모든 측면을 검토하고 평가하는 활동	ISACA (정보시스템감사통제협회)
일본	- 정보시스템을 종합적으로 점검. 평가하고, 조직체의 장에게 조언 및 권고하는 동시에 Follow-up하는 일련의 활동	시스템감사 기준
한국	- 감리 발주기관 및 피감리인의 이해관계로부터 독립된 자가 정보시스템의 효율성을 향상 시키고 안전성을 확보하기 위하여 제3자적 관점에서 정보시스템의 구축 및 운영에 관한 사항을 종합적으로 점검하고 문제점을 개선하도록 하는 것.	정보시스템 효율적 도입 및 운영 등에 관한 법률 (법률 제 7816호)

<표1. 정보시스템 감리의 정의>

감리 수행 절차

감리수행 절차에 대해서는 감리를 발주하였거나, 감리를 받아본 사람들은 잘 알고 있겠지만, 감리도 감리사업 발주에 의한 감리업체 선정 및 계약을 통하여 실시되고 있다. 일부 수의계약이 있기는 하지만, 대체로 RFP 발송-제안-기술평가 및 계약의 순서로 진행되고 있다. 이것은 일반 정보시스템 구축을 위한 업체 선정 수순과 크게 다르지 않다. 그러나 실제 감리를 위한 현장감리는 아래의 절차에 따라 이루어지게 된다.

이러한 감리를 수행함으로써 얻을 수 있는 효과로는 ▶고객관점의 사업관리 점검 및 지원 ▶위험요소의 사전도출 및 대응방안 제시 ▶프로젝트의 안전성과 신뢰성 제고 ▶구축된 정보시스템 및 산출물의 품질향상 등등을 들 수 있겠다.

한국정보사회진흥원에서는 정보시스템감리의 효과를 측정하기 위해 공공부문 정보화 사업에 직접 관여하고 있는 발주기관의 사업관리담당자와 개발자를 대상으로 설문을 실시하였는데, 그 결과에 의하면 설문 응답자 중 94%가 정보시스템감리가 필요하다고 응답하였고, 정보시스템 감리를 필요로 하는 이유는 사업 추진상 예측되는 문제에 대한 사전 도출과 예방, 공신력 있는 외부 기관을 통해 시스템이 사용자 요구사항 요건을 충족했는지의 여부 파악 및 정보기술, 통신기술의 복잡화, 고도화로 인한 자체 검토능력을 보완하는데 효과가 있기에 감리가 필요하다고 답한 것으로 조사되었다.

감리의 효과에 대한 단순질문에 대해서는 불만족 한다는 응답이 8%로 나타난 반면 만족한다는 응답은 50.6%로 나타나 감리에 대한 효과를 어느 정도 인정하고 있다고 볼 수 있다.

절차	세부절차	관련문서	활동내역
감리예비조사	예비조사	예비조사서	현장방문 및 사전문서 검토
감리계획수립	감리인 편성 중점검토항목	감리계획서	감리계획수립
현장감리	착수회의	감리계획서	감리인 소개, 감리일정 및 기준 등 발표
	본 조사실시	감리체크리스트	산출물검토, 담당자 면담
	감리보고서 초안작성 및 확인	감리보고서(초안)	발견된 문제점에 대한 확인 및 개선안 제시
	종료보고	감리결과보고서	감리결과 발표
보고서제출	결과보고서 제출	감리결과보고서	이의사항 접수 및 반영 감리보고서 완성
감리사후관리	시정조치 계획서 작성	시정조치계획서	문제점에 대한 조치방안 , 조치완료일자 등 계획수립 후 주관기관 및 감리팀에 제시
	시정조치 확인 요청	시정조치계획서조치내역서	주관기관에서 감리팀에 의뢰
	시정조치 결과보고	시정조치 결과 확인서	현장실사를 통한 조치내역 확인

<표2. 현장감리 절차>

그러나 현장에서 바라본 감리의 효과는 무엇보다도 제 3자에 의한, 객관적인 시각에서 프로젝트를 정리함으로써 미처 발견하지 못했던 위험이나, 정리하지 못했던 사안들에 대한 정리를 할 수 있게 된다는 것이다. 또 고객(주관기관)과 개발자간 서로 이런저런 관계로 인해 표현하지 못하였던 부분도 감리의 입을 통하여 자연스럽게 의사소통 할 수 있는 계기가 된 것도 장점으로 파악된다.

감리는 일반감사와는 다른 개념이다. 정보시스템감리는 컨설팅 개념을 포함하고 있어 문제의 지적으로 그치는 것이 아니라, 감리인이 가진 지식과 경험을 바탕으로 적절한 해결안을 제시하여야 한다. 하지만 감리의 대가가 정보시스템 구축대가에 미치지 못하고 있는 경우가 많아 우수 인력들의 시장 참여가 어려운 실정이다. 이런 현상은 감리 법인들간 과도한 경쟁과 감리 시장이 아직은 그리 크지 않다는데 있다.

운영감리의 의무화도 중요한 문제 중 하나다. 개발하고 있는 시스템에서는 사고가 발생하지 않는다. 감리의 역할이 위험의 조기 발견 및 해소란 측면에서 개발 감리가 시행되고 있지만, 감리가 종료되고 난 후의 운영중인 시스템의 변경사항에 대하여는 감리인으로서 속수무책일 수밖에 없다. 따라서 업계에선 기업이 회계감사를 받듯이 정보시스템을 도입한 기업이라면 적어도 일년에 한번은 시스템 운영 및 절차의 준수, 변경에 대한 통제, 보안 등에 대한 감리를 받음으로써 시스템 운영의 안정화를 꾀할 필요가 있다고 주장하고 있다.

공공부문 이외의 민간부문으로의 감리 확대도 중요한 문제다. 간혹 민간 부문에서 감리에 대해 의뢰를 하기는 하지만, 아직 정보시스템 도입규모에 비한다면 민간부분의 감리규모는 거의 없는 편이다. 하지만 이제 민간기업에서도 자사의 정보시스템의 안정을 위하여 새로이 도입하는 시스템에 대한 감리는 물론 정기적인 운영감리를 받아야 할 때가 도래한 것으로 파악된다.

이제 감리에 대한 기반은 마련되었고, 안정된 사업영역으로 살아남느냐의 여부는 시장에서 활동하고 있는 감리인들의 몫이다. 정보시스템감리라는 전문직으로 살아남기 위하여 개개인이 부단한 노력을 기울이는 것도 잊지 말아야 한다. 이런 노력들이 전제될 때에 비로서 언론에 발표되었듯이 미래의 유망직종으로 나서게 될 수 있을 것이다.

의무감리의 대상기관 및 대상사업


의무감리 대상기관은(법 제2조 및 시행령 제2조)

1. 중앙행정기관
2. 지방자치단체
3. “정부투자관리기본법” 제2조에 따른 정부투자기관
4. “지방공기업법”에 따른 지방공사 및 지방공단
5. 특별법에 따라 설립된 법인
6. 정부산하기관
7. 고등교육기관(대학, 산업대학, 교육대학, 전문대학, 방송통신대학 등)


의무감리 대상사업은

1.정보시스템의 특성이
·대국민 서비스를 위한 행정업무 또는 민원업무 처리용 시스템
·다수의 공공기관이 공동으로 구축 또는 사용하는 경우
·공공기관간의 연계 또는 정보의 공동이용이 필요한 경우
·그밖에 감리를 시행할 필요가 있다고 해당 공공기관의 장이 인정하는 경우

2.정보시스템 구축사업으로서 사업비(총사업비 중에서 하드웨어 및 소프트웨어의 단순한 구입비용 제외) 5억원 이상인 경우

3.정보기술아키텍처 또는 정보화 전략계획의 수립, 정보시스템의 운영유지보수 등을 위한 사업으로서 감리시행이 필요하다고 해당 공공기관의 장이 인정하는 경우로 정해졌으며,(시행령 제 11조) 정보시스템 감리업무 범위는(시행령 제12조)
·사업목표의 달성 및 요구사항의 충족여부에 대한 검토·확인
·사업관리·품질보증·응용시스템·데이터베이스·시스템구조 및 보안 등 감리분야별 정보시스템의 구축활동 및 산출물의 품질에 대한 검토확인
·관련 규정 및 지침 등의 준수 여부
·그 밖에 정보시스템의 효율성 및 안전성 검토 등에 관하여 감리기준(법 제11조제4항에 따른 감리기준을 말한다)에서 정하는 사항 등으로 정하고 있다.