189. 예방 감리 / 상주 감리 체제 (Preventive & Resident Audit)

핵심 인사이트

본질: 감리는 발주자를 대신하여 사업 수행의 적정성·품질을 독립적으로 검증하는 제3자 통제 수단이며, 예방 감리는 문제 발생 전 단계별 체크, 상주 감리는 실시간 현장 밀착 통제다.

가치: 단계 종료 전 결함을 조기에 발견·시정하여 재작업 비용을 절감하고, 법적 요건 충족으로 발주기관의 행정 책임 리스크를 차단한다.

판단 포인트: 기술사 답안에서는 "감리 시점 → 활동 내용 → 산출물 검토 기준 → 법적 근거(소프트웨어산업진흥법 제47조)"를 삼위일체로 논해야 설득력이 높다.

Ⅰ. 개요 및 필요성

정보시스템 감리(IS Audit, Information System Audit)는 독립된 감리법인이 발주기관을 대신하여 사업 진행 전반에 걸쳐 적정성·효율성·보안성을 검토하는 제도다. 국내에서는 「소프트웨어산업진흥법」제47조와 「정보시스템 감리기준」(과학기술정보통신부 고시)에 따라 일정 규모 이상의 공공 사업에는 감리가 의무화되어 있다.

예방 감리(Preventive Audit)는 각 개발 단계(분석·설계·구현·전환·운영) 종료 시점에 집중적으로 수행하여 해당 단계의 산출물이 기준을 충족하는지 확인하고, 다음 단계로 진입하기 전에 문제를 예방하는 방식이다. 반면 상주 감리(Resident Audit)는 감리원이 프로젝트 현장에 상시 배치되어 일일 단위로 진척 현황, 품질 이슈, 변경 사항을 실시간 모니터링하는 체제다.

두 방식은 상호 배타적이지 않으며, 고위험·대규모 사업에서는 예방 감리 + 상주 감리를 병행하여 단계별 체크포인트와 상시 감시를 동시에 확보한다. 감리 수행의 궁극적 목적은 발주기관의 사업 목표 달성 보증, 계약 이행 적정성 검증, 정보보호 및 개인정보보호 법령 준수 확인이다.

📢 섹션 요약 비유: 예방 감리는 비행 전 체크리스트로 이륙 전 문제를 잡고, 상주 감리는 부기장이 항공기 내내 조종사 옆에서 실시간 모니터링하는 것과 같다.

Ⅱ. 아키텍처 및 핵심 원리

감리 유형별 수행 시점과 활동

┌─────────────────────────────────────────────────────────────────┐
│              정보시스템 감리 체계 (IS Audit Framework)           │
├─────────────┬───────────────────────────┬───────────────────────┤
│  감리 유형  │       수행 시점           │    주요 활동           │
├─────────────┼───────────────────────────┼───────────────────────┤
│ 예방 감리   │ 각 단계 종료 시점(Gate)   │ 산출물 검토, 기준 적합│
│ (단계별)    │  ▸ 분석 단계 종료         │ 성 검사, 이슈 기록    │
│             │  ▸ 설계 단계 종료         │ 및 시정 조치 확인     │
│             │  ▸ 구현 단계 종료         │                       │
│             │  ▸ 전환/인수 시점         │                       │
├─────────────┼───────────────────────────┼───────────────────────┤
│ 상주 감리   │ 사업 전 기간(상시)        │ 진척 모니터링, 변경   │
│ (상시)      │  ▸ 착수~종료까지          │ 통제, 일일 보고,      │
│             │  ▸ 필요 시 재투입         │ 리스크 조기 경보      │
├─────────────┼───────────────────────────┼───────────────────────┤
│ 병행 감리   │ 단계별 Gate + 상시        │ 두 방식 통합 적용     │
│ (하이브리드)│ (고위험 대형 프로젝트)    │ 최고 수준 통제 확보   │
└─────────────┴───────────────────────────┴───────────────────────┘

단계별 예방 감리 주요 점검 항목

단계	주요 산출물	핵심 점검 항목
분석	요구사항 정의서, ISP (Information Strategy Plan)	요구사항 완전성·일관성·추적 가능성
설계	시스템 설계서, DB 설계서, 인터페이스 정의서	요구사항과의 정합성, 보안 설계 포함 여부
구현	소스코드, 단위·통합 테스트 결과서	코딩 기준 준수, 테스트 커버리지, 시큐어 코딩
전환	전환 계획서, 데이터 전환 결과서	데이터 무결성, 롤백 계획, 운영 전환 완전성
운영	운영 매뉴얼, SLA (Service Level Agreement) 지표	서비스 수준 충족, 유지보수 체계 적정성

감리 법적 의무 규정 요약

「소프트웨어산업진흥법」제47조에 따라 40억 원 이상 또는 새로 구축하는 공공 정보시스템은 감리가 의무적이다. 감리법인은 과학기술정보통신부에 등록된 독립 기관이어야 하며, 감리원은 소프트웨어 감리사 자격을 보유해야 한다. 감리 결과는 발주기관과 사업자 모두에게 공식 통보되고, 중요 지적 사항은 시정 확인 감리를 통해 이행 여부를 재검증한다.

📢 섹션 요약 비유: 단계별 예방 감리는 건물 시공 시 기초→골조→마감 각 단계마다 구청 감리관이 도면과 시공 상태를 대조 확인하는 것과 같다.

Ⅲ. 비교 및 연결

구분	예방 감리	상주 감리
투입 시점	단계 종료 시 집중 투입	사업 전 기간 상시 배치
감리 밀도	저강도 반복 (Gate 마다)	고강도 지속 (매일)
주요 산출물	단계별 감리보고서	일일 감리 일지, 이슈 로그
비용 구조	게이트 수 × 단가	기간 × 인일 단가
적합 사업 유형	중형 공공 SI 사업	대형·복잡도 높은 사업, 해외 연계
법적 근거	소프트웨어산업진흥법 §47	동일 + 발주기관 자체 규정
리스크 발견 시점	단계 완료 후	발생 즉시
사후 시정 가능성	중간 단계 수정 가능	즉각 시정 지시 가능

감리 기준 관점에서, 예방 감리는 **산출물 중심(Document-centric)**이고 상주 감리는 **프로세스 중심(Process-centric)**이다. 두 방식을 결합하면 산출물 품질과 과정 품질을 동시에 통제하는 이중 안전망이 구성된다.

📢 섹션 요약 비유: 예방 감리는 학기말 시험으로 결과를 평가하는 것이고, 상주 감리는 담임교사가 매일 수업을 관찰하며 피드백하는 것이다.

Ⅳ. 실무 적용 및 기술사 판단

실무 시나리오 1 — 공공기관 행정 시스템 재구축(100억 원 규모)
예방 감리 4회(분석·설계·구현·전환)와 상주 감리를 병행한다. 구현 단계 감리에서 시큐어 코딩 준수율이 60% 미달로 판정되면 즉시 시정 조치를 요구하고, 상주 감리원이 일일 단위로 재작업 진행률을 추적한다.

실무 시나리오 2 — 클라우드 전환 사업(하이브리드 클라우드)
전통적 IS 감리 기준이 클라우드 환경에 맞지 않을 수 있다. 이 경우 CSAP (Cloud Security Assurance Program) 인증 요건을 감리 체크리스트에 추가하고, 클라우드 아키텍처 적정성을 설계 단계 감리에 포함한다.

기술사 답안 포인트
① 법적 근거(소프트웨어산업진흥법 §47) 명시 → ② 감리 유형 구분 및 시점 → ③ 단계별 주요 점검 항목 열거 → ④ 감리 결과 활용(시정 조치, 단계 진입 판단 기준) → ⑤ 한계와 개선 방향(AI 기반 자동화 감리 도입 등) 순서로 전개하면 고득점이 가능하다.

📢 섹션 요약 비유: 시공 현장에서 감리 기록부를 매일 작성하는 상주 감리사는 준공 허가의 마지막 보루다 — 기록이 없으면 준공 불가.

Ⅴ. 기대효과 및 결론

예방·상주 감리 체제는 공공 IT 사업의 **품질 하한선(Quality Floor)**을 제도적으로 보장한다. 사전 예방으로 재작업 비용을 최소화하고, 상주 감시로 은폐·지연 리스크를 조기에 제거하여 사업 실패율을 낮춘다. 감리 데이터가 누적될수록 업계 전반의 표준 산출물 수준이 향상되는 긍정적 외부 효과도 있다.

미래 방향으로는 AI 기반 코드 정적 분석과 감리 자동화(Auto-Audit) 도구를 활용하여 감리원의 반복 체크 부담을 줄이고, 감리 결과를 데이터 기반으로 추적 관리하는 디지털 감리 플랫폼이 부상하고 있다. 또한 아자일 방법론 확산에 따라 스프린트 단위의 경량 감리 모델도 표준화가 진행 중이다.

📢 섹션 요약 비유: 감리 제도는 식품 위생 검사관과 같다 — 소비자(국민)는 직접 주방을 볼 수 없지만, 검사관이 위생 기준을 강제하기에 안심하고 먹을 수 있다.

📌 관련 개념 맵

개념	설명	연관 키워드
소프트웨어산업진흥법 §47	공공 IS 감리 의무 근거 법령	감리 의무 규모 기준, 등록 감리법인
감리 보고서 (Audit Report)	단계별 검토 결과와 지적 사항 기록 문서	시정 조치, 단계 진입 판단
SLA (Service Level Agreement)	서비스 수준 지표 협약	운영 단계 감리 기준, KPI
시큐어 코딩 (Secure Coding)	구현 단계 감리의 핵심 점검 항목	행안부 47개 보안 약점, OWASP
CSAP	공공 클라우드 보안 인증 프로그램	클라우드 감리 체크리스트 연계

👶 어린이를 위한 3줄 비유 설명

예방 감리는 마치 학교 숙제를 선생님이 단원이 끝날 때마다 검사하는 것처럼, 프로젝트 각 단계가 끝날 때마다 잘 됐는지 확인해요.
상주 감리는 항상 교실 뒤에 앉아 수업 내내 지켜보는 참관 선생님처럼, 매일 현장에서 모든 것을 지켜봐요.
두 감리가 함께 있으면, 숙제 검사도 하고 수업도 매일 보는 덕분에 나쁜 일이 생기기 전에 바로 고칠 수 있어요.