2019년 6월 23일 일요일

국제화 #2 - "소프트웨어 국제화"가 왜 어려운가?




마케팅과 같은 비기술분야 사람들은 여러 나라를 지원하는 기능을 "소프트웨어 글로벌화"라는 추상적인 용어를 사용하지만 그건 비전문가들이 알아듣기 쉬우라고 사용하는 용어이고 이 분야의 기술적인 용어로는 정확하게는 Internationalization(국제화) Localization(지역화)라는 고유명사를 사용한다.. Internationalization을 약자로 I18n이라고 하고 Localization L10n이라고 한다

필자가 소프트웨어 국제화/지역화에 몸을 담게 된 계기는 1990년 초에 Sun Microsystems(지금은 Oracle)의 국제화 부서에서 일하면서였다. Sun Unix OS Solaris 전체를 국제화한 부서였다. 세밀하게는 국제화와 지역화의 두 단계로 나누어져 있는데 난이도로 말하면 국제화가 지역화의 100배쯤 어렵다. 국제화를 제대로 한다는 것은 전 세계의 언어뿐 아니라 문화까지도 알고 있어야 가능하기 때문이다. 썬마이크로시스템즈, 마이크로소프트, 애플과 같은 미국 회사의 국제화는 항상 미국본사에서 수행하고 각 나라의 지역화 업무는 각 나라의 지사에서 국제화의 결과로 정해진 규칙에 따라 시키는 대로 수행하는 것이다. 즉 한글화를 했다고 해도 국제화를 이해한 것은 아니다. 사실은 국제화를 해 본 적도 없다는 것이 정확한 표현이다. 설계도에 따라 건물을 시공했다고 해서 설계를 이해하는 것은 아닌 것과 같다.

국제화 자체가 방대한 주제인 만큼 국제화의 모든 기술을 설명한다는 것 자체가 많은 시간이 걸리는 일이다. 국제화에 수십 년의 경험을 가진 전문가들이 존재한다. Sun에서 일할 때 같이 Consortium으로 일했던 여러 회사의 동료들이 아직도 Unicode를 포함한 국제화 분야에서 일하고 있기도 하다.

국제화를 하기 위해서는 알아야 하는 다른 나라의 문화들 중 몇 개만 예로 들어 보자.
       일본어와 중국어 문장에는 빈칸도 없고 마침표 “.” 를 사용하지 않는다
       01/02/03” 이 몇 년 몇 월 몇 일을 의미하는가? 나라에 따라 다르다.
       독일에서 숫자 “12.456,789” 는 무엇인가?
       프랑스에서 노트북 가격이 “1  199,01  EUR” 라고 적혀 있는데 저렴한 것처럼 보이니 사야 하나?
       다음과 같은 사람 이름이 있다. 누구인지는 웹에서 검색해 보면 나온다. 성과 이름이 무엇인가?
       Sheikha Manal bint Mohammed bin Rashid Al Maktoum
       Victoria Mary Augusta Louise Olga Pauline Claudine Agnes
       여권에 적힌 이름이 한 단어밖에 없다. Pal” 이라는 인도 사람인데 성인가 이름인가?

이 예는 다른 나라 문화의 극히 일부분을 보여 주는 것이고 이런 분류체계만 수 백 개의 카테고리가 있다.
국제화를 제대로 한다는 것은 이런 모든 경우들을 나라별, 언어별, 지역별로 제대로 표현되도록 해야 하는 것이다. 국제화를 제대로 하기는 거의 불가능할 만큼 어렵다.

지금 사용하는 언어 코드체계인 Unicode도 전세계 모든 나라의 언어를 포함하는 합집합으로 만들어 놓은 것이다. Microsoft, Sun, Apple등이 회원이었던 Unicode Consortium에서 모든 나라의 언어들을 모아서 최초로 정리하는데도 많은 시간이 걸렸고 몇 십 년이 지난 지금도 계속 진화하고 있을 정도로 국제화는 변화한다.

국제화에 필요한 수 백 개의 분류 항목 중 오래 전에 POSIX X/OPEN의 표준이라고 정해 놓은 6개가 있다. 문자타입, 시간형식, 숫자형식, 정열방법, 화폐단위, 메세징 이다. 6개가 가장 기본적인 것이긴 하지만 그 외에도 많은 중요한 비표준인 분류가 있고 또 새로 생겨나기도 했다. 결국 국제화를 제대로 하기 위해서는 이런 모든 분류항목을 고려해 보고 어떻게 할 것인지를 결정해야 한다.

눈에 보이는 화면이나 번역했다고 국제화를 한 것이 아니다. 그렇더라도 역시 가장 중요하고 사용자가 즉시 부딪치는 것이 화면에 보이는 것이다. 이를 메세징(Messaging)이라고 한다.  이번 포스트는 국제화에 대한 소개 단계이기 때문에 모든 사람들이 쉽게 이해하는 메세징에 대해 간단한 소개만 한다.

메세징에는 각 나라 언어에 따른 번역이 따른다. "Open" 이라는 버튼이 있으면 한국에서는 "열기" 로 번역을 해야 한다. 다섯 언어를 제공해야 한다면 다섯 언어로 번역을 해야 한다.  당연히 "Open"이라는 영어 원문과 "열기" 라는 한글 번역본이 어딘가에 존재하게 된다. 통상적으로 각 나라의 "언어팩" 이라고 불리는 패키지에 그 나라 번역결과가 포함되어 있다. 리눅스나 마이크로소프트의 윈도즈를 설치하다 보면 각 나라의 언어팩을 원하는 대로 언제든지 추가 설치할 수 있다는 것을 알 수 있다.

메세징에서 개발자들의 가장 원초적인 생각은 번역 결과물을 소스코드에서 분리하여 관리하겠다는 것이다. 옳은 생각이긴 하나 이런 분리 방식은 50년 이전부터 여러 언어를 지원하기 시작한 최초의 시점부터 실행되어온 방법으로 너무 당연하다. catgets 와 같은 표준 방식이 그들 중 하나이다.

어떤 방법을 사용하든 결국은 "메세지 아이디"(msgid)"메세지 번역결과"(msgstr)의 쌍을 포함하는 "메세지 카탈로그"라는 목록을 언어별로 관리해야 한다. 이를 위해서는 순진한 개발자들의 머리에서 고안된 수 많은 방법이 있다. 가장 간단한 세가지 예를 들면 msgid가 영어 원문, 심볼이름, 숫자로 된 경우이다.

·         open=열기

·         1=열기

·         ID_OPEN=열기

여기에 예로 나열한 방법들을 사용하여 메세지를 번역하고 소프트웨어가 제대로 구동되면 국제화가 되었다고 생각할 수 있으나 이는 시작에 불과하다. 이제부터 메세징의 진정한 문제가 시작된다. 특히 소프트웨어가 규모가 커지고 여러 나라를 지원해야 할 필요가 있으면 문제는 기하급수적으로 커진다. 즉 제품이 잘 팔리기 시작하면 문제가 나타나기 시작한다. 소스코드의 변경에 따른 필연적인 msgid의 변경으로 이어져 과거에 번역해 놓은 결과가 수정, 삭제, 추가 되는 과정에서 100개의 언어를 지원해야 한다만 악몽이 시작된다. 아직 이런 악몽을 겪지 않았다면 아직은 소규모의 소프트웨어이다. 글로벌 소프트웨어가 되기 위한 첫 단계에 신고식처럼 큰 장애물이 있는 것이다. 국내에서만 팔겠다면 국제화는 걱정할 필요가 없다. 하지만 아무리 제품전략이 좋고 훌륭한 개발자가 있어도 이 국제화 기술 하나가 잘못 채택되면 글로벌 소프트웨어를 만들 수 없다. 필자의 20년 국내 경험상 국제화 메세징 기술은 국내 소프트웨어 회사가 글로벌 회사에 비해 적어도 20년 이상 뒤떨어진 분야이다. 국제화 교육이 있기도 하지만 그것은 입문자를 위한 소개 코스에 불과하다.

국제화는 구현의 문제가 아니고 구조적인 아키텍처의 문제이다. 적어도 글로벌 소프트웨어가 목표라면 누구나 생각할 수 있는 단순한 방법으로 과연 글로벌 소프트웨어를 만들 수 있을까 하는 의심을 해 보는 것이 좋다. 구체적으로 소프트웨어의 생존주기에 벌어지는 일을 고려하고, 소프트웨어 규모가 커지고, 지원해야 할 언어가 100개로 증가하면 어떻게 할까 하는 전략을 생각해 봐야 한다. 한 번 잘못 시작된 국제화 아키텍처는 제대로 만들기가 어렵다. 거의 모든 소스코드에 영향을 미치는 대규모 수정이기 때문에 시간과 비용이 들 뿐 아니라 현재 진행되던 개발에 영향을 미치는 "브랜치와 머지" 문제가 발생하기 때문에 쉽게 할 수도 없다. 현실적으로 이미 잘못된 메세징 방식은 변경하기가 어렵다. 새로운 버전을 개발할 때 제대로 하는 것이 현실적인 권장 사항이다. 이런 문제를 시행착오 경험으로 배우려면 회사가 잘 되어야 한다. 그런데 그 때 알게 되면 늦는다는 딜레마가 있다. 처음부터 전문가의 조언을 받는 것이 좋다.

국제화 분야의 하나인 메세징도 겉으로는 모든 개발자가 할 수 있을 것처럼 쉬워 보이지만 극히 고도의 전략과 기술이 필요한 전문 분야이다. 처음에 잘못하면 미래의 발전을 꽉 막아버리는 중요한 기술이다. 앞에서 언급했듯이 글로벌 회사의 한국지사에서 수행하는 소프트웨어 지역화는 매우 단순한 개발이나 번역작업이기 때문에 이는 고도의 전문성이 필요한 국제화와는 다르다.

메세징만 해도 깊고 방대한 주제이기 때문에 여기서는 이 정도로 소개하고 글로벌 회사들이 사용하는 방법에 대해 깊이 있게 서서히 소개하기로 한다. 


2019년 5월 26일 일요일

국제화 #1 - 유럽 개인정보보호법(GDPR)과 글로벌 소프트웨어


GDPR(General Data Protection Regulation)은 EU가 제정한 현존하는 가장 강력한 개인정보보호법이다. 2016년 5월부터 2년간의 유예를 거쳐 2018년 5월25일 발효되었다. 발효 즉시 몇 시간 지나지 않아 페이스북과 구글이 소송을 당했다. GDPR의 벌금액은 상상을 초월한다. 가벼운 위반 사항은 1000만 유로(125억)나 회사매출의 2%, 무거운 위반사항은 2000만유로(250억)나 회사매출의 4%중 큰 금액이 최대 벌금액일만큼 심각한 법이다. 지금까지는 적당히 개인 정보에 대한 법을 무시해 왔다면 지금부터는 장난이 아니다.

지금까지 대부분의 소프트웨어 회사들이 도덕적 해이로 혹은 기술상의 어려움으로 개인정보보호에 소홀히 해온 것이 사실이다. 그래서 개인 정보 DB가 해킹도 당하고 범죄자들에게 이용당하기도 했다. GDPR과 같은 강력한 법령은 당연히 장단점이 있기 마련이다. 불편성과 안전성의 트레이드오프이다. 근래에 웹에 접속할 때 매번 Cache 규정에 대한 응답을 하도록 귀찮게 구는 것이 바로 GDPR의 영향 때문이다. 사용자에게도 불편을 초래하지만 소프트웨어 개발사에게는 엄청난 부담이 된다.

이름이나 전화번호와 같은 개인정보는 물론이고 심지어는 서버에 개인 패스워드까지도 보관했던 과거도 있었다. 잊어버린 패스워드를 이메일로 보내주는 코미디 같은 시절도 오래 전의 얘기가 아니다. 그래서 필자는 조금이라도 위험성이 있거나 엉성한 사이트에는 모든 사람이 알아도 무방한 패스워드를 사용하거나 아예 회원 등록을 하지 않는다. 혹시 암호화 기술을 모르는 독자들을 위해 간단하게 설명하자면 로그인 패스워드는 해시(hash)라는 기술로 원복 불가능한 암호화 방식으로 저장하며 사용자가 입력한 패스워드와 값이 일치하는 지만 확인하여 접속을 허용한다. 이런 방식에서 DB에 패스워드가 직접 저장되지는 않지만 당연히 프로그래머라면 그 과정에서 아주 쉽게 한두 줄의 코딩으로 얼마든지 패스워드를 훔쳐낼 수가 있다. 그래서 필자의 패스워드는 몇 가지 등급으로 나누어 훔쳐가도 무방한 패스워드를 사용하는 사이트도 많다. 특히 중국의 사이트에서 그렇게 한다. 구글과 같은 글로벌 업체들의 경우 적어도 프로그래머가 장난을 치지는 않을 것이라는 믿음을 가지고 사용하는 수 밖에 없다.

가장 중요한 로그인 패스워드마저도 이런 기술의 무지나 의도적인 해킹에 노출되어 있는데 일반적인 개인 정보는 더욱 위험할 수 밖에 없다. 인터넷에 수집되는 정보에는 상상을 초월할 정도로 개인의 사생활 정보가 노출된다. 편리함을 위하여 필수적인 정보들이 수집되기 때문이다. 이런 모든 개인정보들을 보호하기 위한 것이 GDPR이다. GDPR 규정은 너무 방대하기 때문에 전문 컨설팅을 받아야 할 정도로 복잡하고, 조항도 많고, 이해하기도 힘들다. 그 중에는 당연히 입력된 개인정보를 암호화해서 숨기기 위한 Tokenization이나 Pseudonymisation과 같은 암호화 기술도 언급된다. 많은 소프트웨어 제품의 경우에 암호화에 필요한 패스워드를 프로그램에 포함하는 엉터리 암호화 흉내는 무지한 대중을 상대로 홍보용으로 사용되어 오기도 했지만 GDPR에는 당연히 허용될 수 없다. 이제는 더 이상 눈 가리고 아웅하는 식의 가짜 암호화 방식은 사용될 수 없는 상황이 된 것이다. 너무나 당연한 결과이다.

여기서는 GDPR 규정 자체를 설명하는 것은 불가능하고 각자 알아서 연구할 일이지만 GDPR로 인한 전세계 소프트웨어 회사들의 동향을 소개하려고 한다. 먼저 GDPR의 대상이 되는 경우는 EU 국가 중의 국민이 한 명 이라도 개인 정보를 입력하고 저장되는 소프트웨어 패키지나 웹사이트이다. 그러므로 기본적으로 글로벌 소프트웨어라고 말하는 모든 소프트웨어가 대상이 된다.

구글과 페이스북이 2년의 유예기간을 포함하여 수년간 준비를 했음에도 불구하고 발효 즉시 소송을 당할 정도로 준수하기 어렵다. 애플과 아마존도 추가적인 소송대상에서 벗어나지 못했다. 발효 후 1년이 지난 지금까지 10만개 정도의 소송이 생긴 것으로 보고되어 있다. 어떤 소프트웨어 회사들은 아예 EU에서의 접속을 차단하고 사업을 중지하기도 했다. 전세계 행동기반 온라인 광고 유럽 매출이 2018년 5월 25일 발효 즉시 25~40%가 감소했다. 벌금을 내느니 차라리 유럽고객을 차단하는 것이 좋다고 생각했기 때문이다.

GDPR은 이제 발효 후 1년이 지난 태동 단계인 만큼 지금은 거대 기업들부터 순차적으로 고발과 소송이 진행되고 있지만 언젠가는 EU 국가에 사용자가 있는 모든 소프트웨어 회사들이 소송의 대상이 될 것이다. 한 번에 완벽한 준수는 어렵지만 점진적으로 개발해 나가고 있는 것이 현실이다. 작은 회사의 경우일수록 조금 더 시간 여유가 있겠지만 언젠가 자기 차례가 돌아오기 전까지 준비를 해 놓아야 한다. 악의에 찬 고객 한 명이 고발을 할 정도로 쉬우니 피해갈 생각은 하지 않는 것이 좋다.

그런데 국내 회사들의 상황은 어떤가? 전세계에서 난리인 GDPR이라는 용어를 아는 사람도 국내에는 많지 않다. 전세계에 전자제품을 수출하는 대기업들은 이미 준비를 해서 대웅하고 있지만 대부분의 국내 소프트웨어 회사들에게는 GDPR은 관심의 대상이 아니다. 대부분 Active-X 사용, 주민등록 번호, 공인인증서, 은행과의 연계 등 국내인이 아니면 거의 사용 불가능한 국내용 소프트웨어이기 때문이다. 국내 온라인 사이트는 외국인 특히 유럽인을 상대로 사업을 하는 경우가 거의 없다. 이런 상황에서 글로벌 소프트웨어를 추구하겠다는 회사들에게는 GDPR은 생각지도 못했던 큰 짐이다..

GDPR은 소프트웨어 요구사항 분석 과정에서 명시된 소프트웨어 국제화(Internationalization)와 안전성(Security) 요구사항 중의 하나이면서 가장 중요한 항목으로 추가 되었다. 필자가 늘 얘기하듯이 영원히 국내에서만 판매하겠다는 소프트웨어라면 값비싼 국제화나 GDPR을 걱정할 필요가 없다. 하지만 나중에 필요한 때가 되면 국제화 개발이나 GDPR을 준수하겠다는 순진한 생각은 전략도 없이 아무 때나 조그만 기능하나 추가하면 되겠지 라는 큰 착각이다. 그렇게 간단하다면 구글이나 페이스북이 수년간 못했을 리 없다. 소프트웨어의 뼈대라고 하는 아키텍처의 중요성이 국제화와 GDPR 준수의 핵심이다. 아키텍처를 변경한다는 것은 재개발이나 마찬가지일 만큼 방대하고 어렵다. 대부분의 회사는 아키텍처가 중요하다는 인식을 했을 때는 이미 늦었다.

GDPR에 대한 국내 소프트웨어 회사들의 인지도나 관심 혹은 실제 행동여부로 보면 과연 글로벌 진출을 하겠다는 의지나 역량이 있는 것인지 의심이 간다. 그러지 않아도 어려운 소프트웨어의 글로벌화에 거대한 장벽이 하나 더 생긴 것이다. 전세계에서 몇 십 년 동안 연구되어온 소프트웨어 국제화라는 거대한 주제도 국내에서는 개발자들 한두 명의 머리에서 나온 자화자찬의 방식으로 진행해서는 글로벌에서 이미 이삼십 년 전에 버려진 경쟁력 없는 방식의 재현이 되기 쉽다. 자연 진화의 필연적인 시행착오의 결과이다.

필자가 경험한 거의 모든 국내 소프트웨어 회사들은 그런 자연진화론적 방식으로 진행되어 왔다. 이미 글로벌 기술보다 이십 년 이상 뒤떨어진 국제화 방식으로 글로벌 경쟁력이 생기기도 어려운데 GDPR이라는 거대한 장벽까지 생겼으니 소프트웨어의 글로벌 진출이 더 어려워진 것은 엄연한 사실이다. 국내에서만 사업을 하겠다면 이 복잡한 것 필요 없이 마음 편하다. 하지만 “진정으로 깨달았을 때는 관속에 들어가기 하루 전”이라는 속담도 있지만 글로벌화를 주장한다면 이제부터라도 과연 소프트웨어 글로벌화가 무엇인지 혹은 구체적으로 수십 개의 국가나 언어를 지원하기 위해 지금 충분한 아키텍처가 고려되어 있는지에 대한 심각한 고찰이 필요할 때다.

2019년 1월 10일 목요일

분석 #10. 잘못된 국내 Outsourcing 계약 방식과 글로벌 계약 방식


이 기사는 일전에 게재한 기사인 “분할발주의 허구와 진실” 과 바로 앞 기사인 베트남의 Outsourcing 회사에 관한 기사와 연관되어 있다. 국내 개발 Outsourcing 생태계의 도전적인 숙제이자 염원이기도 한 “분할 발주”도 하고 싶고 글로벌 고객을 상대로 개발 Outsourcing 비지니스도 하고 싶겠지만 열정과 의지만으로 되는 것은 아니고 그를 수행할 수 있는 기본 역량부터 있고 다양한 고객을 상대할 수 있는 경험도 있어야 한다.

대부분의 국내 회사는 거의 미신과 같은 국내의 기존 관행에 몇십년을 젖어 있었기 때문에 우물안 개구리의 문제점을 눈치 채기도 어렵다. 이 기사를 읽어도 눈치 챌 수 있는 사람은 극히 소수일 것이다. 꿈속에서 사는 삶이 있고 현실의 삶이 따로 있는데 이런 추상적인 문제에서는 계속 꿈속에서 사는 것이 통상적이다. 영화 매트릭스에서 얘기한 빨간 약을 먹으면 계속 행복한 환상의 세계에서 살고 파란 약을 먹으면 고통스러운 진실과 마주한다는 것과 같다. 현실에서는 진실을 모르는 것이 더 좋은 경우가 더 많다. 어느 쪽을 택할 지는 순전한 각자의 선택이다.

먼저 소프트웨어 외주 개발 계약의 방식부터 간단히 살펴보자. 필자의 저서와 블로그에서 여러 번 언급했듯이 계약에는 Time and Material(T&M)과 Turn-key 의 두 가지 방식이 있다.

T&M은 인력의 노동시간(Time)으로 비용을 지불하는 방식이다. 발주자나 인력 업체나 간단하다. 인력을 어떻게 사용할지는 발주자가 알아서 관리한다. 계약한 숫자의 인력만 제대로 공급해주면 법적인 소송의 여지도 없다. 주로 개발 앞쪽의 분석 단계에서 사용된다. 산출물에 대한 객관적인 기준을 정할 수 없는 경우에는 T&M 방식이 가장 좋다. 정확하게 말하면 인력의 시간외에 실제 들어가는 장비나 물품((Material)이 포함한다.

반면에 Turn-key 방식은 서로 약속한 제품을 미리 정해진 가격(Fixed Price)과 일정에 개발해 주기로 하는 것이다. 즉 한 사람이 개발하건 10명이 개발해 주건 상관할 필요가 없다. 예를 들어 책상을 주문했는데 몇 명이 만들 건 상관이 없다. 원하는 제품을 만들어 주면 되는 것이다. 자동차를 주문해도 마찬가지이다. 몇 명이 만들었는지도 모르고 알 필요도 없다. 그런 자유가 있는 반면에 책임도 크다. Turn-key 방식은 약속한 물품을 제 일정에 배달하지 못하면 당연히 피해 보상등 법적 소송의 문제가 발생한다.

소송에서 시시비비를 판단하려면 제품에 대한 정확한 스펙(SRS)이 있어야만 가능하다. 정확한 스펙을 작성하는 것이 얼마나 어려운 지는 그 동안 필자가 누누히 설명했다. 정밀도의 문제와 같다. 1센티를 따지는 스펙과 1밀리미터를 따지는 스펙은 양과 질에서 차이가 난다. 소프트웨어도 홈페이지 만드는 정밀도와 금융 소프트웨어를 만드는 정밀도가 다르다. 간단한 홈페이지 프로젝트는 적당한 계약에 애자일 방법론도 좋고 주먹구구식으로 개발해도 큰 문제가 없다. 문제가 있으면 별 피해 없이 고치면 된다. 금융 소프트웨어는 1분만 다운되어도 피해보상 소송이 빗발치니 처음부터 문제 없도록 개발해야 한다.

스펙에 대해서는 여러 곳에서 충분히 설명했기 때문에 여기서 생략하고 Turn-Key 계약에 스펙보다 더 핵심인 인수테스트(Acceptance Test Plan, ATP)를 추가로 소개한다. 회사마다 용어가 약간 다를 수 있으나 가장 혼란 없이 이해하는 용어인 ATP를 사용하기로 한다.

위에서 말한 T&M 방식의 계약에는 인력 공급 내용만 있지 산출물은 정해지지 않았기 때문에 검증할 인수 조건이 없다. 쉽게 말해 일당으로 비용이 계산되는 일용직 고급 근로자라고 보면 적절하다. 통상적으로 분석이나 설계 작업과 같이 하루에 수천불 가격인 매우 비싼 직업이다. 개발의 첫 단계에서는 계약에 명시할 스펙도 없고 인수 조건도 나올 수 없다. 이런 비싼 고급 전문가를 잘 사용하고 관리하는 것은 전적으로 발주자의 역할이다. 전문성이 높은 분석가나 아키텍트인 만큼 대부분은 발주자를 리드하고 주도해서 일을 할 수 있는 능력이 있다. 그런 능력 때문에 비싼 값을 지불한다.

Turn-Key 방식의 핵심이 스펙이라고 이전에 필자가 계속 말해 왔는데 일부만 사실이다. 진짜 핵심은 인수조건이다. 인수테스트로 대표되는 인수조건이 핵심이다. 하지만 인수테스트만 가지고는 개발을 할 수 없기 때문에 개발할 내용을 설명하는 스펙이 필요한 것이지 법적인 상황에서는 스펙보다는 ATP로 시비를 가린다. 근본적으로 ATP를 통과하면 계약은 종료된 것이고 ATP 중에 하나라도 실패하면 계약이 종료되지 않은 것이다. 개발사가 폭포수 모델로 개발하건, 애자일방식으로 개발하건 반복적모델로 개발하건 상관이 없다. 100개가 넘는 시중의 개발방법론, 또 수만개는 되는 다양한 종류의 템플릿 중에 어떤 것을 사용하건 상관할 필요가 없다. 그냥 약속한 일정에 ATP를 통과한 물품을 배달하기만 하면 된다. 이상적인 상황이라면 중간에 서로 대화를 할 필요도 없다. 배달 날자까지 기다렸다가 인수를 하든지 피해보상 소송을 하든지 둘 중의 하나이다. 이 부분은 명백한 흑백논리가 적용된다. 예를 들어 ATP에 포함된 10,000개의 테스트 케이스 중에서 1개라도 실패하면 실패한 것이다.

Turn-key 계약의 인수조건은 아주 명백하지만 아무나 이렇게 하기 어려운 두가지 이유가 있다. ATP에 포함되는 테스트 케이스를 만들기 어렵다. 국내에서 ATP를 이용해서 계약을 한 회사는 필자는 본 적이 없다. 대부분은 엉성한 스펙만으로도 몇 백억짜리 프로젝트도 계약 한다. 성공하면 기적이다.

누가 테스트 하느냐에 따라서 ATP에 들어가는 테스트 케이스의 개수는 10배도 더 차이가 난다. 회사의 내부에서 제품도 잘 알고 늘 테스트 해 오던 사람들이 하는 경우와 외부의 인력이 테스트 할 경우에 테스트 케이스의 숫자가 10배 정도의 차이가 날 수 있다. 전혀 모르는 사람에게 스펙을 적어 줄 때도 마찬가지이다. 내부 인력이라면 10 페이지 적으면 되는 양을 외주 계약을 위해서는 100 페이지를 적어야 하는 경우가 전혀 이상한 것이 아니다. 필자에게 “스펙이나 ATP를 얼마나 자세히 적어야 됩니까?” 라는 질문을 많이 하는데 고객과 상황에 따라 다르다는 답 밖에 없다. 이런 상황에 따른 유연성이 진정한 소프트웨어 공학의 영역이다. 건강에 좋은 음식이 사람에 따라 다른 것과 마찬가지이다. 만약 누가 정형화된 답을 준다면 그것은 이론이며 가짜 소프트웨어 공학인 것이다.

우여 곡절 끝에 많은 시간을 들여서 외부 사람들을 위한 방대한 ATP 테스트 케이스를 작성했다고 가정하자. 그렇다고 개발업체만 믿고 계약 마지막 날에 완성이 될 것이라고 기다리기에는 불안하다. 100만원에 1주일짜리 프로젝트라면 그렇게 해도 괜찮겠지만 100억에 1년 걸리는 프로젝트를 하는데 그렇게 할 수는 없다. 그래서 ATP는 완료 평가의 척도는 되지만 중간에 개발이 제대로 진행되는지 확인하기 위해서는 다른 방법이 필요하다. 그래서 Design Review, Integration Test, 몇 번의 Iteration등 중간 중간에 진행 상황을 검증할 수 있어야 한다. 물론 여기에서도 몇 명이 개발하는지는 중요하지 않다. 천재 1명이 개발하든 초급개발자 100명이 개발하든 그건 개발업체의 선택이다.

정확한 스펙과 ATP도 없이 수행하는 Turn-key 계약은 근본적으로 거대한 위험성을 내포하고 있다. 성공할 가능성은 없다고 보면 된다. 나중에 그냥 서로 눈감고 대충 넘어가거나 소송으로 가거나 둘 중의 하나이다. 거대한 제품을 개발했는데 인수를 거절해서 소송이 벌어진 경우도 있다. 정확한 스펙과 ATP 없이 계약하려고 하니까 뭔가 안전장치를 만들어야 하고 담당자는 책임도 회피해야 하니 투입할 인력을 명시하게 된다. 더군다나 발주자가 확인할 수 있는 장소에 상주하도록 요구한다. 그러다 보니 Turn-key 계약에 액수, 일정, 인력까지 명시하는 것이다. 상식적으로 말이 안되지만 담당자가 책임을 회피하기 위해서는 가장 쉬운 방법이 인력이다. 그러니 원래 어려운 원격 개발은 이래저래 더 어렵다.

그래서 T&M 방식도 아니고 Turn-key 방식도 아닌 비상식적인 계약이 그동안 국내에서 멀쩡하게 사용되어 왔다. 그럴 수 밖에 없는 근본적인 원인은 스펙의 부정확성, ATP의 부족이나 부재, 그리고 중간에 Monitoring 할 수 있는 역량이 부족하기 때문이다. 국내에서는 이런 식의 계약에도 거부감을 느끼지 못하겠지만 이런 비상식적인 계약은 소프트웨어 선진국의 정상적인 상황에서는 존재할 수 없다. 발주자인 갑의 역량부족으로 인해서 생긴 계약의 횡포일 뿐이다. 이 모든 문제를 해결하려면 ATP를 작성할 수 있는 역량이 있어야 하는데 ATP를 만들기 위해서는 정확한 스펙이 있다는 가정하에서만 가능하다.

진정한 Turn-key로 계약하고 관리할 수 없는 회사에서 과연 훌륭한 소프트웨어를 만들어 낼 수 있을까? 없다고 생각한다. 전략 없는 숙련공들의 혼란스러운 개발이 될 수 밖에 없다. 스펙을 개발 도중에 변경하는 일도 빈번하고 따라서 회의나 번잡스러운 일이 많아지고 관리비용이 엄청나게 추가된다. 개발보다는 관리에 더 집중하기 쉽다. 그래서 관리를 잘해 보겠다고 또 새로운 시스템을 도입하거나 PMO니 하는 얘기가 나오는데 방향을 잘못 잡는 것이다. 합리화 하기 위한 방법으로 실리콘밸리의 영웅담 같은 얘기는 꼭 인용한다. 악순환이 계속된다. 대부분의 문제는 관리로 해결될 수 있는 문제가 아니기 때문이다. 좌절한 개발자가 중간에 사라지는 것도 늘 보는 현상이고 납기 지연은 너무 당연하다. 종종 나오는 뉴스가 알만한 큰 프로젝트들이 지연되었다는 기사이다.

국내는 인간 관계로 적당히 실패를 덮어 버릴 수 있다. 그러나 그럴 수 없는 국제간의 심각한 계약을 한다고 생각해 보면 ATP를 작성할 수 있는 역량이 없으면 T&M 방식으로 계약하는 방법 밖에 없다. 글로벌 회사에서는 발주자나 개발업체나 둘 다 엉성한 Turn-key 계약은 할 수 있는 근거도 없고 그런 위험하고 무책임한 계약은 하지도 않는다.

거의 모든 국내 소프트웨어 관련 소송은 이 부류에 속한다. 소송 당사자들은 국내 관행대로 했는데 왜 소송을 당했는지를 이해하지 못한다. ATP와 같은 객관적인 평가 기준이 없으니 자신들 유리한 대로 해석하고 서로 상대방만 비난한다. 개발업체는 몰상식한 악덕 발주자를 만나서 억울하다고 하고 발주자는 회사에 손해를 끼친 엉터리 개발업체라고 분에 차있다. 처음부터 사기를 치려고 하지 않았다면 대부분의 경우 둘 다 50% 씩 잘못이다. 이 모두 ATP만 있었다면 소송에 갈 필요도 없다.

분할 발주, 원격 개발, 탄력있는 근무 시간등 아주 듣기 좋은 말들이다. 정부가 강제로 계약에 관련된 이런 정책을 법제화 하려고 하는 것은 좋지만 생태계가 준비되지 않은 상태에서는 더 큰 문제를 불러 올 수 있다. 근본적인 이해 없이 눈 앞의 증상만을 치료해 보고자 하는 단세포적인 정책은 또 다른 문제를 불러온다. 극히 조심해야 한다.

스펙이나 ATP 작성 역량은 계약을 위한 역량뿐은 아니고 소프트웨어를 제대로 개발하기 위해 꼭 필요한 역량이다. 이런 기초 체력 없이 소프트웨어 강국이 되려는 생각은 허황된 망상에 불과하다. 그냥 국내에서 국내 고객을 위해 국내용 소프트웨어를 개발하는 정도로 만족해야 한다. 그것도 하나의 훌륭한 성공이다. 많은 시간과 경험이 필요한 이런 역량을 교육으로 해결하겠다는 생각을 하는 사람들도 많이 봤는데 태권도를 이론 교육으로 가르치려는 것과 같다. 이는 학교에서는 절대 가르칠 수 없는 현실의 문제이고 바로 진정한 소프트웨어 공학 역량이다.