애자일·데브옵스는 '다다익선'··· 전사적 확장 가이드

CIO
많은 기업이 애자일과 데브옵스를 디지털 트랜스포메이션 여정의 핵심 단계로 간주한다. 그러나 소규모 팀 단위에서만 변화가 진행됨에 따라 그 효과가 제한적인 경우가 많다. 애자일과 데브옵스를 전사적으로 도입한다면, 더 큰 규모의 프로세스를 개선하여 상당한 이익을 얻을 수 있다.  

애자일은 소프트웨어 최종 사용자를 비롯한 현업 및 IT 부문의 다양한 전문가들이 모여 이들의 협업을 근간으로 하는 개발 기법이다. 이는 소프트웨어 및 서비스의 개발 속도와 품질을 향상시키는 데 목적이 있다. 데브옵스는 개발 생애주기를 단축하고, 고품질의 애플리케이션을 빠르게 배포하기 위해 개발과 운영을 통합하는 방법론이다.

애자일과 데브옵스의 활용은 디지털 트랜스포메이션을 가속화하고, 업무 진행 방식에 큰 영향을 가져올 수 있다. 특히 더 많은 사용자와 프로젝트가 참여할 때 그 효과가 더 크다. 전사적으로 애자일과 데브옵스를 성공시키는 몇 가지 방법을 살펴본다. 
 
ⓒFlorian Olivo / Nathan Dumlao / Modified by IDG Comm.https://unsplash.com/photos/mNLymMqX7iE (CC0)

가장 중요한 것은 ‘문화’다
애자일과 데브옵스 방법론을 도입하는 기업은 팀이 오너십과 책임감을 갖는 문화를 형성해야 한다. 에너지 관리 및 자동화 기업 슈나이더 일렉트릭의 CDO 허브 쿠레일은 "데브옵스 역량과 DNA가 전사적으로 광범위하게 확산돼야 한다. 기업 문화의 일부가 되어야 한다는 의미다"라고 강조했다. 

일부 전문가에게 책임을 국한해서는 애자일과 데브옵스에 성공할 수 없다. 쿠레일은 “데브옵스 모범 사례에 부합하는 빠른 배포가 한 명의 개인이 아닌 팀 전체의 책임이 되어야 한다”라고 말했다.

그는 "슈나이더 일렉트릭은 애자일과 데브옵스로 전체적인 운영 모델을 바꾸는 데 목적이 있었다"라며, "모든 부문에서 지속적이면서 투명하게 커뮤니케이션 흐름이 구현되도록 애자일 방법론을 시행하고 있다. 이는 포트폴리오 관리, 재무 관리, 제품 관리, 제품 엔지니어링, 아키텍처, 전문 서비스, 최종 소비자 등을 포함한다"라고 설명했다. 

2019년 초 슈나이더 일렉트릭은 애자일 트랜스포메이션 연구소를 신설했다. 각 팀이 디지털 제품을 더 신속하고, 더 향상된 품질로 전달할 수 있도록 지원하기 위해서다. 

쿠레일은 “전사적으로 디지털 트랜스포메이션을 확대하기 위해 ‘웨이브 앤 스파이크(Wave and Spike)’라는 접근 방식을 도입하고 있다. ‘웨이브’의 일부로 선택한 모든 도구들은 새로운 운영 모델에 적용된다. 해당 도구에는 스크럼과 칸반, CI/CD 그리고 지속적인 피드백, 린 포트폴리오 관리 등이 있다”라고 말했다.

슈나이더 일렉트릭은 스크럼을 체험해 볼 수 있는 워크숍을 개최하고, 애자일을 더욱 효과적으로 활용할 수 있도록 돕는 코치를 배정했다. 이 회사는 현재 모든 개발 프로젝트에서 애자일 프레임워크 방법론을 활용하고 있다.

개선 사항을 측정하라 
애자일과 데브옵스를 전사적으로 도입하는 것으론 불충분하다. 기업은 모든 과정에서 해당 이니셔티브가 제공하는 가치를 평가해야 한다. 

쿠레일은 “현 상태를 기준으로 핵심 성과 지표를 정의한다. 그리고 반복적으로 평가하고 발전시켜야 한다”라며, “팀의 기존 역할과 업무 관행을 이해하는 것이 선행되야 한다. 그리고나서 업무 방식과 개선이 필요한 부분을 파악해야 한다”라고 조언했다.

슈나이더 일렉트릭에는 워터폴 방식으로 개발을 진행했던 팀들이 있었다. 이는 각 단계가 이전 단계의 결과물에 따라 달라지는 순차적인 개발 프로세스다. 이들은 스크럼 애자일 프로세스 프레임워크(Scrum agile process framework)로의 전환을 시도했다. 

쿠레일은 “스크럼을 일부 시행한 다른 팀도 있었지만, 꾸준하지 못했다. 우리는 팀 자체 평가 템플릿을 만들었다. 팀이 애자일 모범 사례와 자체적인 방식, 개선이 필요한 부분에 대한 이해를 높일 수 있도록 말이다”라고 전했다.

IT 서비스 공급업체인 인사이트 엔터프라이즈의 수석 디지털 트랜스포메이션 아키텍처 조나단 파넬도 개선 사항을 측정하기 위해 ▲기술적 발전, ▲제품 파이프라인 트렌드, ▲리소스 소비, ▲제품 품질, ▲성과, ▲비즈니스 결과 등을 평가한다고 말했다. 그는 구체적으로 프로세스 진행에 걸린 시간, 문제 완화에 걸린 시간, 제품 결함을 해결하는 데 든 비용 등의 요소를 검토한다고 덧붙였다. 또한 직원과 문화 측면에서는 팀의 활력, 프로세스 오버헤드, 신뢰도, 의욕, 동기 부여 등을 확인한다. 

지나친 도구 사용은 과유불급이다 
데브옵스 도입과 활용에 도움을 주는 도구들이 많다. 상당수가 아주 유용하다. 하지만 과도한 도구 사용은 오히려 사용하지 않는 것보다 못하다. 

쿠레일은 도구가 너무 많으면 팀 간의 행동 방식이 달라지고, 공유 문화가 제한될 수 있다고 지적했다. 이어서 그는 “모범 사례와 기준을 적용하기가 더 어려워진다. 또한 사이버 공격 표면이 커지고, 이로 인한 비용 지출이 불가피할 수 있다”라고 설명했다.

슈나이더 일렉트릭의 데브옵스 아키텍처들은 도구를 유지, 관리하는 책임을 맡고 있다. 새로운 사용 사례나 기술이 포함될 수 있도록 지속적으로 검토하고, 필요할 때 변화를 준다. 쿠레일은 계속해서 기술을 주시해야 한다고 강조했다. 

생산성을 높이고 보안을 보장하기 위해 슈나이더 일렉트릭은 클라우드 기반 애플리케이션, IoT 애플리케이션에 사용되는 센서 등 다양한 기술과 시나리오를 포괄하는 상호적인 데브옵스 도구를 유지하고 있다. 

보안과 거버넌스 체계를 수립한다 
애자일과 데브옵스 이니셔티브를 시작할 때부터 보안을 고려하는 것이 중요하다. 안전한 소프트웨어 개발 생애주기를 구현하기 위해서다. 파넬은 “보안이 속도와 확장성의 병목이자 저해 요소였다. 신뢰와 동기 부여 수준이 크게 어긋나 있었다. 모든 사람들이 보안에 대해 책임감을 갖고 있었던 것은 아니다”라고 진단했다.

인사이트 엔터프라이즈의 경우 보안에 대한 적절한 고려 없이 최종 사용자에만 초점을 맞춰 개발을 진행했다. 그는 “기술적으로 중요한 관점 하나를 놓쳤다. 보안을 품질을 일부로, 그리고 보안 위반을 버그와 결함으로 간주하지 않은 것이다. 애자일과 데브옵스 이니셔티브를 시작할 때부터 보안을 고려하는 것이 중요하다. 안전한 소프트웨어 개발 생애주기를 구현하기 위해서다. 우리는 이 문제를 해결하기 위해 먼 길을 돌아가야 했다”라고 언급했다.

현재 이 회사는 여러 보안 기반 요소들을 배치하고 있다. 위협 모델을 고려한 정책, 개발과 설계부터 보안을 내재화한 ‘시큐리티 바이 디자인(Security-by-design)’ 등을 예로 들 수 있다.

파넬은 “처음부터 보안을 고려하지 않은 결과는 상당했다. 기술 부채를 청산하고, 보안을 고려하는 문화와 인식을 전파하는데 1년이라는 시간이 소요됐다”라고 말했다.

애자일과 데브옵스에 관한 거버넌스도 중요하다. 금융서비스 업체인 마스터카드 CTO 스티브 배그비는 “애자일이 ‘모든 사람들이 자신이 원하는 일을 하는 것’으로 변질되는 것을 막아야 한다. 이렇게 되면 혼란이 초래되고, 운영 능력과 시스템 보안 능력이 저하된다. 그리고 궁극적으로 고객 만족도가 저하된다”라고 강조했다.

마스터카드는 몇 년 전부터 애자일 원칙을 토대로 엔지니어 팀을 구성해 운영하고 있다. 배그비는 “우리가 하는 일의 대부분이 서비스 전달이다. 항상 운영 용이성을 추구하는 것이 필수적이다”라고 전했다.

‘교육’을 강조하라
애자일과 데브옵스를 전사적으로 확장하기 위해서는 많은 직원이 이러한 방법론에 익숙해야 하고, 개발 프로세스에 필요한 변화를 도입할 준비를 해야 한다.

쿠레일은 “실제 상황을 학습하는 대면 교육 등 교육 프로그램을 조기에 그리고 자주 실시해야 한다. 우리는 실무 교육 세션을 수십 차례 진행했다. 이후 전담 코치를 통해 소규모 교육을 실시, 모범 사례를 강화했다”라고 설명했다. 교육 콘텐츠는 인터랙티브 학습 포털을 통해 모두 지원했다. 그는 “포털을 통해 누구나 의견을 제시하거나, 내용을 추가할 수 있다”라고 언급했다.

인사이트 엔터프라이즈는 개발자, DB 관리자, IT운영, 네트워킹, 보안, 현업 부문을 포함해 12~15명으로 CFT를 구성했다. 파넬은 “처음부터 CFT를 대상으로 애자일과 데브옵스 개념, 기초적인 사항, 모범 사례, 명명법 등을 학습할 수 있는 워크숍을 진행했다. 이는 매우 중요하다. 기초적인 부분이 준비되지 않는다면 흐름을 구현하기 거의 불가능하기 때문이다”라고 말했다.

또한 인사이트 엔터프라이즈는 CFT의 각 개인의 동기 부여 요소가 다르고, 일부는 그 차이가 아주 크다는 점을 발견했다. 그는 “예를 들자면 개발자는 속도와 탄력성을 원했지만, 운영과 보안 담당자들은 안정성과 안전성을 요구했다. 객관적인 증거들을 토대로 공격(기회 모색)과 수비(위험 및 불확실성 관리)의 균형을 찾는 것이 중요했다”라고 전했다.
 
---------------------------------------------------------------
데브옵스&애자일 인기기사
->데브옵스로 변화하는 IT··· 의미는? 가치는? 역량 개발 방법은?
->기고 | '개념에서 의의까지' 데브옵스 따라잡기
->완벽한 데스옵스를 위한 7가지 유용한 도구
->애자일 프로젝트 관리 A to Z
-> 'FAQ로 알아보는' 애자일 입문 가이드
-> 애자일 실패를 초래하는 7가지 실수
---------------------------------------------------------------

모범 사례를 공유하라
앞선 단계에서 이미 사례 공유가 포함돼 있지만, 이를 별도로 짚고 넘어갈 필요가 있다. 애자일과 데브옵스의 성공적인 확장에 중요하기 때문이다. 따라서 모범 사례를 공유하기 위한 메커니즘이 필요하다.

미국 손해보험사 리버티 뮤추얼은 개발팀이 애자일과 데브옵스에 성숙해지도록 도움을 주는 애자일 이네이블먼트 연구소(Agile Enablement Office)를 만들었다.

리버티 뮤추얼의 호스팅 서비스 부문 SVP 마크 크레시는 “팀이 모범 사례를 체화할 수 있도록 스크럼 마스터 같은 외부 전문가를 채용했다. 이들은 내부 스크럼 인력을 양성하기 위한 교육을 진행했다. 일부는 직접 업무에 참여하기도 했다”라고 말했다. 

이어서 그는 “팀이 각기 다른 방향을 추구하지 않도록 만드는 것이 중요하다. 애자일, 애자일 트랜스포메이션, 데브옵스에 대한 외부 지식으로 이들을 지원한 것이 성공에 아주 중요한 역할을 했다”라고 덧붙였다.

또한 모범 사례 공유는 여러 팀에게 현 진행 상황과 문제에 대한 의견을 청취해야 한다는 의미다. 크레시는 “애자일이 0%에서 100%로 가는 일직선 형태는 아니다. 우리는 프로세스를 진행하는 내내 그리고 피드백을 바탕으로 다른 방향을 추구할 필요가 있을 때 팀의 의견을 경청했다. 효과가 있는 부분이나 없는 부분에 대한 중요한 피드백을 얻기 위해 특정 부분이나 활동을 잠시 중단하거나 리셋하기도 했다”라고 말했다.

경영진과 협력 관계를 구축하라
애자일과 데브옵스 개념이 생소한 기업들이 많다. 이러한 기업에서는 고위 임원과 경영진의 지원이 성공에 아주 중요한 역할을 한다.

금융서비스 업체 캐피털 원의 중소기업 및 해외 담당 CTO 마크 매튜슨은 “모두가 애자일을 이미 도입했거나 이를 원한다고 말한다. 그러나 제대로 애자일을 도입해 활용하기 위해서는 최고 경영진이 이 개념을 완전히 받아들여야 한다. 나는 임원들이 비용과 규모 등과 관련된 모든 부분을 지원해야 한다는 점을 발견했다”라고 설명했다.

캐피털 원은 7년째 대규모의 기술 트랜스포메이션을 진행하고 있다. 그동안 인재와 문화, 업무 방식, 기술 인프라를 종합적으로 쇄신했다. 매튜슨은 “소프트웨어 배포에 애자일 모델을 100% 도입했다. 또한 확장된 엔지니어링 조직을 구현했다”라고 전했다.

이 회사는 클라우드 마이그레이션, 데브옵스 확대, 오픈소스 도입에도 3년을 투자했다. 그리고 이제 유연성이 제공하는 혜택을 누리기 시작했다. 

매튜슨은 “개발자의 참여는 운영 부서로 전달한 이후에 끝나곤 했다. 데브옵스를 시행하는 오늘날 개발자의 오너십이 더 높아졌다. 업타임과 지원, 모니터링에 선행적으로 관여할 수 있게 됐다”라고 말했다. ciokr@idg.co.kr