ISO 9001과의 비교
30.4.1. ISO 9001 개요
ISO 9001은 품질경영시스템(QMS, Quality Management System)에 대한 국제 표준입니다. 국제표준화기구(ISO)가 제정하였으며, 조직이 고객 요구사항과 규제 요구사항을 충족하는 제품 및 서비스를 일관되게 제공하기 위한 관리 체계를 정의합니다.
ISO 9001은 1987년 최초 발행 이후 여러 차례 개정되었으며, 현행 버전은 ISO 9001:2015입니다. 제조업, 서비스업, 건설업, IT 등 모든 산업에 적용 가능한 범용 표준이라는 점이 가장 큰 특징입니다. 전 세계적으로 가장 널리 보급된 경영시스템 표준이며, 170개 이상의 국가에서 100만 개 이상의 조직이 인증을 보유하고 있습니다.
소프트웨어 산업에서도 ISO 9001 인증을 취득하는 사례가 있습니다. 특히 공공 입찰이나 대기업 협력사 등록 시 요구되는 경우가 많습니다. 그러나 ISO 9001은 소프트웨어에 특화된 표준이 아니므로, 코드 품질이나 기술적 구현을 직접 검증하는 메커니즘은 포함되어 있지 않습니다.
30.4.2. 핵심 원칙
ISO 9001:2015는 7가지 품질경영 원칙을 기반으로 합니다.
| 원칙 | 설명 | 소프트웨어 적용 |
|---|---|---|
| 고객 중심 | 고객 요구사항을 이해하고 충족하며, 고객 기대를 초과 달성 | 사용자 요구사항 분석, UX 품질, 성능 기준 충족 |
| 리더십 | 경영진이 품질 방향을 설정하고 자원을 제공 | 기술 리더십, 품질 목표 설정, 도구/인프라 투자 |
| 인원의 적극 참여 | 모든 수준의 인원이 품질 달성에 참여 | 코드 리뷰 문화, 품질 인식 교육 |
| 프로세스 접근법 | 활동을 프로세스로 관리하여 일관된 결과 도출 | 개발 프로세스 표준화, CI/CD 파이프라인 구축 |
| 개선 | 지속적인 성과 개선을 추구 | 기술 부채 관리, 성능 최적화, 리팩토링 |
| 증거 기반 의사결정 | 데이터 분석에 기반한 의사결정 | 코드 메트릭, 커버리지 수치, 성능 측정 결과 기반 판단 |
| 관계 관리 | 이해관계자와의 관계를 관리하여 지속적 성과 도출 | 협력사/외주 개발사 품질 관리, 오픈소스 라이선스 관리 |
이 원칙들은 소프트웨어 개발에도 유의미하게 적용될 수 있습니다. 그러나 ISO 9001은 이 원칙을 "어떤 프로세스로 관리할 것인가"에 초점을 맞추며, "코드 수준에서 어떻게 구현할 것인가"에 대해서는 규정하지 않습니다.
30.4.3. 소프트웨어 분야 적용
30.4.3.1. ISO 9001의 소프트웨어 분야 요구사항
ISO 9001:2015의 주요 조항 중 소프트웨어 개발과 관련성이 높은 항목은 다음과 같습니다.
| 조항 | 제목 | 소프트웨어 분야 적용 |
|---|---|---|
| 7.1.6 | 조직의 지식 | 개발 표준, 기술 문서, 아키텍처 문서 관리 |
| 8.1 | 운영 계획 및 통제 | 개발 프로세스 정의, 릴리스 관리 절차 |
| 8.2 | 제품 및 서비스 요구사항 | 요구사항 명세, 변경 관리 |
| 8.3 | 제품 및 서비스의 설계와 개발 | 소프트웨어 설계, 리뷰, 검증, 유효성 확인 |
| 8.5 | 생산 및 서비스 제공 | 빌드, 배포, 운영 프로세스 |
| 8.6 | 제품 및 서비스의 출시 | 릴리스 승인, QA 절차 |
| 8.7 | 부적합 출력의 통제 | 결함 관리, 버그 트래킹 |
| 9.1 | 모니터링, 측정, 분석 및 평가 | 품질 메트릭 수집 및 분석 |
| 10.2 | 부적합 및 시정조치 | 장애 대응, 근본 원인 분석, 재발 방지 |
30.4.3.2. 소프트웨어 적용 시 한계
ISO 9001을 소프트웨어 분야에 적용할 때 다음과 같은 한계가 존재합니다.
코드 품질 직접 검증 불가
ISO 9001은 "설계와 개발의 출력이 입력 요구사항을 충족하는지 검증해야 한다"고 요구합니다. 그러나 "검증"의 구체적인 방법을 정의하지 않습니다. 테스트 커버리지가 몇 퍼센트여야 하는지, 코드 포매팅 규칙이 무엇인지, 어떤 린트 규칙을 적용해야 하는지는 조직이 자체적으로 결정해야 합니다.
범용 표준의 한계
ISO 9001은 제조업, 서비스업, 건설업 등 모든 산업에 적용되는 범용 표준입니다. 이러한 범용성은 장점이지만, 소프트웨어 고유의 특성(지속적 통합, 자동화 테스트, 코드 리뷰 등)을 반영하지 못하는 한계가 있습니다.
프로세스 중심 vs 산출물 중심
ISO 9001은 "올바른 프로세스를 따르면 올바른 결과가 나온다"는 철학에 기반합니다. 소프트웨어에서는 프로세스를 따르더라도 코드 품질이 보장되지 않을 수 있습니다. 코드 리뷰 프로세스가 존재하더라도 리뷰의 깊이와 질이 충분하지 않을 수 있으며, 테스트 프로세스가 정의되어 있더라도 테스트 커버리지가 충분하지 않을 수 있습니다.
기술 규격 부재
ISO 9001은 특정 기술 스택이나 도구를 요구하지 않습니다. "적절한 모니터링 및 측정 자원을 결정하고 제공해야 한다"고 요구하지만, 어떤 도구(ESLint, JaCoCo, Lighthouse 등)를 사용해야 하는지, 어떤 수치 기준(커버리지 80%, JS 번들 300KB 이하 등)을 충족해야 하는지는 규정하지 않습니다.
30.4.4. TQS와의 비교 분석
다음 표는 ISO 9001과 TQS를 핵심 비교 축에 따라 정리한 것입니다.
| 비교 축 | ISO 9001 | TQS |
|---|---|---|
| 인증 목적 | 품질경영시스템 구축 및 지속적 개선 | 코드 수준 기술 품질 검증 |
| 적용 범위 | 모든 산업 (범용) | 소프트웨어 개발 (특화) |
| 검증 수준 | 프로세스 수준 ("프로세스가 정의되어 있는가") | 코드 수준 ("코드가 기준을 충족하는가") |
| 품질 기준 | 조직이 자체 정의 (구체적 수치 없음) | 규격서에서 명시 (커버리지 80%, JS 번들 300KB 이하 등) |
| 검증 방법 | 문서 심사 + 현장 심사 (수동) | 자동화 도구 + 코드 리뷰 |
| 설계 검증 | "설계 출력이 입력 요구사항을 충족하는가" (추상적) | "Spring Boot 설정이 표준을 따르는가" (구체적) |
| 테스트 검증 | "테스트 프로세스가 정의되어 있는가" | "JaCoCo 라인 커버리지 80% 이상인가" |
| 코드 품질 | 직접 검증하지 않음 | Google Java Format, ESLint, Prettier 적용 여부 검증 |
| 모니터링 | "모니터링 자원을 제공해야 한다" (추상적) | "Lighthouse 성능 90점 이상, Core Web Vitals 충족" (구체적) |
| 인증 비용 | 중비용 (수백만~수천만 원) | 무료 (자체 내부 인증) |
| 갱신 주기 | 3년 (연 1회 사후심사) | 메이저 버전 단위 (CI 상시 검증) |
| 인증 기관 | 국제공인 인증심사기관(CB) | 티에니피아 기술표준위원회 |
30.4.4.1. 추상성 vs 구체성
ISO 9001과 TQS의 가장 두드러진 차이는 요구사항의 구체성입니다.
ISO 9001은 "조직은 제품 및 서비스의 적합성을 보장하기 위해 필요한 모니터링 및 측정 자원을 결정하고 제공해야 한다"고 요구합니다. 어떤 도구로 무엇을 측정하고, 기준값이 얼마인지는 조직이 결정합니다.
TQS는 "JaCoCo 라인 커버리지 80% 이상", "브랜치 커버리지 70% 이상", "초기 로드 JS 300KB 이하(gzip)", "Lighthouse 성능 점수 90점 이상"과 같이 구체적인 도구와 수치 기준을 명시합니다. 심사 시 이 수치를 자동화 도구로 측정하여 충족 여부를 객관적으로 판정합니다.
30.4.4.2. 프로세스 검증 vs 산출물 검증
ISO 9001은 "품질을 관리하는 프로세스가 올바르게 수립되고 운영되고 있는가"를 검증합니다. 코드 리뷰 프로세스가 존재하는지, 테스트 절차가 문서화되어 있는지, 릴리스 승인 프로세스가 정의되어 있는지를 확인합니다.
TQS는 "프로세스의 결과물인 코드, 설정, 빌드 산출물이 기준을 충족하는가"를 검증합니다. 코드 리뷰 프로세스의 존재 여부보다, 실제 코드가 컨벤션을 따르는지를 확인합니다. 테스트 절차의 문서화 여부보다, 실제 테스트 커버리지가 기준을 충족하는지를 확인합니다.
30.4.5. 보완 관계
ISO 9001과 TQS는 품질의 서로 다른 측면을 다루므로, 함께 적용할 때 품질 관리의 완성도가 높아집니다.
30.4.5.1. 보완 구조
| 계층 | 담당 인증 | 역할 | 질문 |
|---|---|---|---|
| 품질 관리 계층 | ISO 9001 | 품질경영시스템 수립 및 운영 | "품질을 어떻게 관리하는가?" |
| 품질 검증 계층 | TQS | 산출물(코드)의 품질 직접 검증 | "산출물이 품질 기준을 충족하는가?" |
30.4.5.2. ISO 9001 요구사항과 TQS 연계
ISO 9001의 주요 요구사항이 TQS에서 어떻게 구체화되는지 정리하면 다음과 같습니다.
| ISO 9001 요구사항 | ISO 9001 수준 | TQS 구체화 |
|---|---|---|
| 설계 및 개발 검증 (8.3.4) | "출력이 입력을 충족하는지 검증" | JUnit 5 테스트, 커버리지 80% 이상 |
| 모니터링 및 측정 (9.1.1) | "적절한 모니터링 자원 제공" | JaCoCo, Lighthouse, ESLint 자동화 검증 |
| 부적합 출력 통제 (8.7) | "부적합 제품 식별 및 통제" | CI/CD 빌드 실패 시 배포 차단 |
| 시정조치 (10.2) | "부적합 원인 제거" | 코드 리뷰, 린트 규칙 위반 자동 감지 |
| 지속적 개선 (10.3) | "QMS의 적합성, 적절성, 효과성 개선" | 테스트 커버리지 추이, 번들 크기 추이, 성능 점수 추이 |
| 문서화된 정보 (7.5) | "필요한 문서화된 정보 유지" | 프로젝트 구조 표준, API 문서(SpringDoc), 설정 파일 표준 |
30.4.5.3. 조합 적용 시나리오
ISO 9001과 TQS를 함께 적용하는 것이 효과적인 시나리오는 다음과 같습니다.
- 공공 입찰 참여 기업: 공공기관 입찰 시 ISO 9001 인증이 가점 요소이거나 필수 조건인 경우가 있습니다. ISO 9001로 품질경영 체계를 증명하고, TQS로 실제 코드 품질을 보증할 수 있습니다.
- 대기업 협력사: 대기업이 협력사에 ISO 9001 인증을 요구하는 경우, ISO 9001과 TQS를 함께 적용하면 프로세스와 산출물 양 측면에서 품질을 보증할 수 있습니다.
- 품질 문화 고도화 조직: ISO 9001로 품질 관리 기반을 구축한 후, TQS로 코드 수준의 품질 기준을 도입하여 품질 문화를 한 단계 높일 수 있습니다.
ISO 9001은 "품질을 관리하는 시스템"을 검증하고, TQS는 "시스템이 만들어낸 산출물의 품질"을 검증합니다. 두 인증은 품질 관리의 입력(프로세스)과 출력(산출물)을 각각 담당하는 보완적 관계에 있습니다.