"신규 시스템 개발시 가용성 등 3개 요건이 견적에 큰 영향"

[심기보의 AI프로젝트 성공 비결⑫] 요건 정의-비 기능 분야

(지디넷코리아=심기보 전 정보통신기술사협회장)요건정의 공정에서는 시스템 구성에 영향이 큰 비(非) 기능 요건만 우선 결정한다. 비 기능 요건이 AI 프로젝트 구축 시 인력(Man/Hour)이나 비용(코스트)에 영향을 미치기 때문이다. 일반적으로 신규 시스템 개발 시 견적에 큰 영향을 주는 것은 **가용성, 성능 및 확장성, 보안(시큐리티) 등 세 요건이다.

이번 회에서는 요건정의 마지막 작업인 비 기능 요건정의를 알아본다. 먼저 성능이나 보안(시큐리티) 등 기능 이후 요건을 정리한다(그림1).

가용성 요건에서 재해 대책을 필수 요인으로 했다고 가정해보자. 서울과 부산 등 멀리 떨어진 복수 장소에 동일한 시스템 인프라를 보유할 필요가 있으므로 인프라 설계 작업 견적과 인프라 구축 및 운영 코스트에도 영향을 미친다. 이런 항목은 우선적으로 검토해야 한다. 반대로 운영 및 보수 요건 등 시스템이나 애플리케이션 설계를 어느 정도 한 후 검토하면 좋은 항목도 있다. 우선도가 높은 항목이 무엇인지는 프로젝트 특성에 따라 다르다. 이 때문에 각각의 프로젝트에서 판단이 필요하다. 앞서 말한 것처럼

신규 시스템 개발시 견적에 큰 영향을 주는 건 가용성 요건과 성능 및 확장성 요건, 시큐리티 요건 등 3가지다.

■가용성 정도에 따라 코스트가 변해

시스템이나 시스템의 계속 가동을 어느 정도까지 담보할지를 정의하는 것이 가용성 정의다. 예를 들어

웹(Web) 시스템이라면 24시간 365일 제공하는 것이 일반적이지만, 일부 금융기관 시스템은 심야에는 제공하지 않는 경우도 있다.

또, 인터넷 뱅킹 같은 시스템은 장해 등으로 정지 시간을 한정하지 않고 제로로 하는 것이 요구된다. 그 때문에 1개의 서버가 정지되어도 다른 서버에서 동작할 수 있는 백업 구성을 해야한다. 최근에는 스마트폰 애플리케이션이나 웹 시스템 구축 기반에 AWS(Amazon Web Services)나 마이크로소프트 애저(Microsoft Azure), GCP(Google Cloud Platform) 등의 클라우드 시스템을 이용하는 경우가 많아지고 있다.

클라우드에도 물리적인 서버는 어딘 가에 배치돼 있다. 예를 들어, AWS를 사용해 한국에서 시스템을 제공하는 경우 서울 주변 서버(서울지역)를 이용하는 것이 일반적이다. 서울에서 대규모 재해가 있어 AWS 서버가 정지되어도 시스템을 운영할 수 있게 하려면 서울 지역뿐 아니라 부산이나 해외 등 지리적으로 떨어진 장소에도 동일한 인프라를 준비할 필요가 있다.

복수의 거점에 인프라를 두면 그 만큼 비용(코스트)이 더 든다. 데이터나 애플리케이션 동기 처리도 시행할 필요가 있기 때문에 그 비용도 발생한다. 이처럼 가용성을 어디까지 요구하는가에 따라 작업량이나 코스트가 크게 변한다. 이 점은 요건정의 공정에서 확실히 정리해 둘 필요가 있다.

■시스템 부하도 예상해야

성능 및 확장성 요건은 어느 정도의 유저가 액세스할 가능성이 있는가(액세스 유저 수), 또 어느 정도의 처리 스피드를 요구하는가(응답시간 요건) 등을 말한다. 기간계(Core) 시스템은 기업 직원이나 관계자가 이용하는 것으로 액세스 수가 크게 변동하는 경우가 크지 않다. 그러나 Web 시스템, 특히 소비자용 시스템의 경우 유저 수가 고정돼 있지 않으므로 어느 정도의 증감이 있을 수 있을 지를 예측해야 한다.

적은 유저를 예상하고 서버를 구성한 경우, 돌발적으로 대량의 유저가 액세스하면 처리가 대폭 지연되거나 서버가 다운되는 등의 문제가 생긴다. AWS 등의 클라우드에서는 유연하게 서버 성능이나 대수를 변경할 수 있기 때문에 시스템 부하에 따라 순차 스케일 업(성능을 높이는 것), 혹은 스케일 아웃(대수를 늘리는 것)을 하면 좋다고 하는 생각도 있다. 이는 기술적으로는 맞지만 비용면에서 유저 수나 액세스 수를 예측하는 것이 필요하다. 일반 기업에서는 시스템 운용 비용의 예산을 취득할 필요가 있으므로 인프라 코스트의 1년간 견적이 필요하다.

사업 계획을 정리하는 단계에서 매년 예상 회원 수를 산출하고 있으므로 이를 바탕으로 실제 이용율(액티브 율) 등을 고려해 액세스하는 유저 수를 예측해야 한다. 각종 이벤트나 캠페인 등으로 돌발적으로 액세스가 증가할 가능성도 고려해 최대 어느 정도 유저가 액세스할 가능성이 있을지를 정의한다.

■성능 요건은 ‘조작 감'으로 정해야

기간계 시스템은 응답시간(Response time)이나 스루풋(Throughput)을 시작으로 하는 성능 요건을 정한다. 응답시간은 시스템에 처리 요청(Request)을 하고 나서 응답이 돌아올 때까지의 시간이다. 온라인 처리의 경우 ‘데이터 참조에 3초, 경신에 5초'와 같이 응답시간 요건을 정한다. 스루풋은 일정 시간 당 처리할 수 있는 데이터의 양이다. 예를 들면, '양식(Form) 출력에 1초 동안 몇 장 출력할 수 있는가'라는 요건이 된다.

웹 시스템의 경우 성능 요건 개념은 기간계 시스템과 조금 다르다. 즉, 회원 등록 버턴을 눌러 5초 동안 응답이 없으면 ‘헤비(Heavy)한 시스템이구나!'는 인상을 준다. 이에 5초 보다 빨리 유저에게 무언가의 메시지를 표시할 필요가 있다. 또, 일반적으로 액세스가 집중되면 아무래도 처리 지연이 발생해 정의한 응답시간을 지키지 못할 경우도 있다. 웹 시스템은 너무 엄밀히 몇 초라고 하는 요건을 정하는 것보다 유사 시스템을 검토해 '이 시스템과 동일한 조작감을 실현한다'와 같은 요건으로 하는 것이 현실적이다.

■시스템 내용에 따른 시큐리티 확보해야

시큐리티(Security) 요건에서는 확보할 시큐리티 레벨을 정한다. 시큐리티 레벨도 시스템 구성이나 코스트에 크게 영향을 준다. A사의 빵 정기 배달 시스템 경우 이름만이  아니라 주소 정보를 보유한다. 신용(크레딧)카드 지불을 가능하게 하는 경우는 카드 번호 입력도 요구한다. 이러한 점에서 상당히 강력한 시큐리티가 필요하다고 할 수 있다. 인프라로는 파이어월(Firewall)은 물론 악성코드(Malware) 등의 침입 검지 구조 도입도 필요하다. 침입 검지 구조는 고가인 경우가 많으므로 인프라 코스트에 크게 영향을 미친다. 애플리케이션 면에서도 위조 방지를 위한 강력한 인증 기능이 요구된다. 휴대전화 번호를 사용해 SMS를 송신, 본인 확인 등의 기능이 필요할 지도 모른다. SMS를 송신하는 경우 그 처리에도 코스트가 발생한다.

시스템 구성 이외에도 잊어서는 안 되는 것이 제3자에 의한 ‘취약성 시험’을 할지의 여부다. 기업이 소비자용 시스템을 제공하는 경우는 그 기업의 시큐리티 정책상 필요하게 되는 경우가 많이 있다. 취약성 시험 내용에도 따르지만, 대기업 벤더에 의뢰하면 그만큼의 비용이 발생한다. 코스트만이 아니라 스케줄면에서도 취약성 시험을 실시하는 것을 전제로 한 계획이 필요하다. 이렇게 시큐리티 요건도 시스템 구성만이 아니라 작업 부하나 금전적 코스트에 크게 영향을 준다. 제공하는 시스템의 내용에서 볼 때 어떤 리스크가 예상될지, 또 그 대책으로 무엇이 필요한지를 정의해 둘 필요가 있다.

*참고문헌

-기획입〮안에서 시스템 개발까지 실제로 사용하는 DX프로젝트의 교과서 (일경BP사, 2020년3월)

■필자 심기보는...

1976년부터 한전에서 SW개발자로 전산업무를 시작했다. 30여년간 정보화 사업 기획, 개발, 운영업무를 수행하면서 SI사업 등 발주관리 전문가로 일했다.

심기보 전 정보통신기술사협회장

국내 최초로 FP(기능점수)법에 의한 SW사업대가 기준연구 및 보급으로 SW사업 선진화에 기여했다. SEC 정책자문위원과 SW사업분쟁조정위원회위원, 정보통신기술사협회장, KAIST 전산학부 겸직교수, SW정책연구소 초빙연구원 등을 지냈다. 숭실대 대학원에서 'FP법을 이용한 다중회귀 분석적 SW사업대가 산정모델 연구'로 박사 학위를 받았다. 현재는 심기보기술사설계사무소를 설립해 SW설계‧견적‧감정 일을 하고 있다. 특히 SW사업 분쟁방지를 위한 SW사업 요건정의 및 기본설계 전문가로 활동하고 있다.

심기보 전 정보통신기술사협회장(pmodosa@naver.co.kr)