Towards Viewpoint-centric Artifact-based Regulatory Requirements Engineering for Compliance by Design

이 논문은 소프트웨어 공학에서 규제 준수를 설계 단계에 통합하기 위해 다양한 관점과 산출물을 중심으로 한 '규제 요구사항 공학을 위한 산출물 모델 (AM4RRE)'을 제안하고, 이를 통해 체계적인 규제 요구사항 공학 프로세스 구축을 위한 향후 연구 방향에 대한 피드백을 구하고 있습니다.

핵심

🏗️ 1. 문제 상황: "법규는 왜 자꾸 뒤늦게 등장할까요?"

소프트웨어 개발 회사들이 법규 (예: 개인정보 보호법, 사이버 보안법 등) 를 준수하려고 할 때 겪는 문제는 다음과 같습니다.

• 비유: 건물을 지을 때, "화재 안전 규정"이나 "장애인 접근성 규정" 같은 법규는 보통 설계도가 다 그려진 뒤에야 "아, 이거 법에 안 맞네요!"라고 지적하는 경우가 많습니다.
• 현실: 개발팀은 "우리는 이미 다 만들었으니, 법규만 따로 떼어서 붙이면 되겠지?"라고 생각하지만, 그렇게 하면 건물이 무너지거나 (시스템 오류), 다시 처음부터 고쳐야 하는 (비용 낭비) 일이 생깁니다.
• 핵심 문제: 법 전문가 (변호사) 와 소프트웨어 개발자 (엔지니어) 는 서로 다른 언어를 씁니다. 법은 추상적이고 유연한 반면, 코드는 구체적이고 딱딱합니다. 이 두 그룹이 서로의 말을 이해하지 못해 소통의 단절이 발생합니다.

🧩 2. 연구자의 제안: "법과 공학을 연결하는 '중간 다리' 만들기"

저자 (올렉산드르 코센코프 박사) 는 이 문제를 해결하기 위해 **"법규 중심의 요구사항 공학 (Regulatory RE)"**이라는 새로운 방식을 제안합니다.

• 기존 방식 (활동 중심): "먼저 A 를 하고, 그다음 B 를 하라"라는 작업 순서를 따릅니다. 하지만 법규는 상황에 따라 달라지기 때문에 이 방식은 실패합니다.
• 새로운 방식 (산출물 중심): "우리가 무엇을 (What) 만들어야 법을 지킬 수 있을까?"에 집중합니다.
  • 비유: 요리할 때 "먼저 채소를 자르고, 그다음 불을 켜라" (작업 순서) 라고 말하는 대신, **"이 요리를 완성하려면 '소금'과 '마늘'이 꼭 필요하다" (필요한 재료/산출물)**라고 정의하는 것과 같습니다.

🛠️ 3. 해결책: AM4RRE (법규 요구사항을 위한 산출물 모델)

저자가 개발한 핵심 도구는 AM4RRE라는 모델입니다. 이는 마치 건축 설계도처럼, 각 전문가가 어떤 정보를 만들어내야 하는지 정의합니다.

이 모델은 5 가지 핵심 요소로 이루어져 있습니다:

1. 누가 (역할): 변호사, 도메인 전문가, 요구사항 엔지니어, 소프트웨어 아키텍트 등 각자의 역할을 정의합니다.
2. 왜 (목표): 각자가 무엇을 달성하려는지 (예: "법적 처벌을 피한다", "시스템을 안정화한다") 를 정합니다.
3. 어떤 맥락 (프로젝트 상황): 어떤 법규를 적용하는지, 어떤 프로젝트인지 설명합니다.
4. 언제 (마일스톤): 정보를 언제 만들어내야 하는지 순서를 정합니다.
5. 무엇을 (내용): 가장 중요한 부분입니다. 각자가 만들어야 할 구체적인 문서나 데이터 (예: "법적 주체", "데이터 주체", "나이" 등) 를 정의합니다.

🔗 4. 어떻게 작동할까? "맞춤형 번역기"와 "연결고리"

이 모델이 실제로 작동하는 과정은 **세 가지 단계 (Tailoring)**로 나뉩니다.

• 1 단계: 법규에 맞춰 다듬기 (T1)
  • 특정 법규 (예: GDPR) 를 가져와서, 그 법에 나오는 핵심 단어들을 찾아냅니다.
  • 비유: "이 레시피에는 '소금'이 필수야"라고 법규에서 찾아낸 것입니다.
• 2 단계: 공학 언어로 연결하기 (T2)
  • 법의 '소금'을 개발자의 '데이터 필드'와 연결합니다.
  • 비유: "법에서 말하는 '소금 (개인정보 보호)'은 개발자가 만드는 '사용자 정보 테이블'의 '이메일' 필드와 연결되어야 해"라고 매칭합니다. 이렇게 하면 법과 코드가 서로 겹치지 않고 자연스럽게 연결됩니다.
• 3 단계: 목표에 맞춰 조정하기 (T3)
  • 회사의 목표에 따라 필요한 정보를 골라냅니다. (선택 사항)

🚀 5. 결론 및 향후 계획

이 연구의 목표는 법규를 소프트웨어 개발의 처음부터 끝까지 자연스럽게 녹여내는 것입니다.

• 현재 상태: 이 모델 (AM4RRE) 을 이론적으로 완성했고, 법 전문가들과 개발자들이 함께 테스트해 볼 준비를 하고 있습니다.
• 앞으로 할 일: 실제 현장에서 이 모델을 어떻게 사용할지 (체크리스트나 템플릿 형태로), 그리고 이것이 정말로 법규 준수를 도와주는지 실험을 통해 검증할 예정입니다.

💡 한 줄 요약

"법률가와 개발자가 서로 다른 언어로 대화하며 혼란을 겪는 대신, '무엇을 만들어야 하는지'를 공유하는 공통의 설계도 (AM4RRE) 를 만들어, 처음부터 법을 지키는 소프트웨어를 짓자!"

이 논문은 복잡한 법규와 소프트웨어 개발 사이의 간극을 메우기 위해, 체계적이고 유연한 '공통 언어'를 만드는 노력을 보여줍니다.

기술 요약

논문 요약: 관점 중심의 아티팩트 기반 규제 요구사항 공학 (Regulatory RE) 을 통한 설계 준수 (Compliance by Design)

1. 문제 정의 (Problem)

소프트웨어 공학 (SE) 에서 규제를 요구사항으로 변환하여 규제 준수를 달성하는 작업은 규제의 양, 복잡성, 범위가 지속적으로 확대됨에 따라 심각한 과제로 대두되고 있습니다.

• 현황의 한계: 연구 커뮤니티는 새로운 규제 요구사항 공학 (Regulatory RE) 접근법을 제안하고 있으나, 산업계는 여전히 비체계적이고 임시방편 (ad-hoc) 인 방식으로 대응하고 있습니다.
• 통합의 어려움: 규제 요구사항은 법적 지식의 강도, 기능 간 소통, 다양한 관점 (Viewpoint) 간의 일관성 유지 등 고유한 특성을 가지며, 기존 RE 방법론이나 애자일 프로세스에 자연스럽게 통합되지 못합니다.
• 주요 문제점:
  • 규제 요구사항은 보통 다른 요구사항과 동시에 공학화되지 않고, 시스템 명세가 어느 정도 완성된 후 '사후적'으로 처리됩니다.
  • 규제 요구사항은 비규제 요구사항에 영향을 미쳐 수정을 요구하며, 이로 인해 별도의 규제 RE 프로세스가 고립되어 운영되는 경우가 많습니다.
  • 법적 관점과 공학적 관점 간의 번역 (Translation) 이 어렵고, 목표가 상충하여 효과적인 조정이 이루어지지 않습니다.

2. 방법론 (Methodology)

저자는 규제 RE 의 실무적 도전 과제를 이해하고, 이를 해결하기 위한 통합 모델을 개발하기 위해 다음과 같은 연구 과정을 거쳤습니다.

• 연구 질문 (RQs):
  1. 규제 RE 와 '설계 시 프라이버시 (Privacy by Design)'에 대한 기존 연구의 도전 과제와 접근법은 무엇인가?
  2. 실무에서 규제 RE (관점 조정 포함) 는 어떻게 구현되며, 설계 준수를 위해 어떤 RE 방법이 필요한가?
  3. 관점 간 조정이 설계 준수를 위한 규제 RE 에 어떻게 기여할 수 있는가?
• 연구 수행:
  • 문헌 연구: 체계적 매핑 연구 (Systematic Mapping Study) 와 문헌 고찰을 통해 규제 RE 의 주요 도전 과제 (법적 지식 부족, 추상성, 전문가 간 소통 문제 등) 와 '설계 시 프라이버시'를 위한 RE 방법론의 특성을 분석했습니다.
  • 실무 분석 (Empirical Studies): GDPR 준수, 유럽 접근성 법 (European Accessibility Act) 준수 등 5 개의 실증 연구를 통해 인터뷰, 포커스 그룹, 사례 분석을 수행했습니다. 이를 통해 법적 해석의 비선형성, 공학 - 법적 역할 간의 소통 단절, 애자일 환경에서의 준수 어려움 등을 확인했습니다.
  • 모델 개발: 기존 '도메인 독립 요구사항 공학 아티팩트 모델 (AMDiRE)'을 확장하여 **규제 요구사항 공학 아티팩트 모델 (AM4RRE)**을 제안했습니다. 이 모델은 '활동 (Activity)' 중심이 아닌 **'아티팩트 (Artefact)'**와 **'관점 (Viewpoint)'**의 조정에 초점을 맞춥니다.

3. 주요 기여 (Key Contributions)

이 논문의 핵심 기여는 AM4RRE (Artefact Model for Regulatory Requirements Engineering) 모델의 제안과 그 구성 요소입니다.

• 관점 중심의 아티팩트 기반 접근: 규제 RE 를 활동 순서가 아닌, 각 역할이 생성해야 할 아티팩트 (명세) 의 내용과 관계로 정의합니다.
• AM4RRE 의 5 가지 구성 요소:
  1. 역할 모델 (Role Model): 법적 전문가, 도메인 전문가, 요구사항 엔지니어, 소프트웨어 아키텍트 등 참여자의 책임과 자격 정의.
  2. 목표 모델 (Goal Model): 각 역할이 추구하는 규제 RE 목표 정의.
  3. 프로젝트 컨텍스트 모델 (Project Context Model): 규제 RE 에서 해결해야 할 과제와 활동의 우선순위.
  4. 마일스톤 모델 (Milestone Model): 명세 항목의 지정 순서.
  5. 콘텐츠 모델 (Content Model): 각 역할이 생성하는 명세 (법적 명세, 소프트웨어 컨텍스트, 요구사항, 시스템 명세) 의 내용과 개념 구조.
• 맞춤형 적용 (Tailoring) 전략: AM4RRE 를 실제 프로젝트에 적용하기 위한 3 단계 맞춤화 전략 제시:
  • 규제별 맞춤 (T1): 특정 규제의 텍스트를 주석 처리하여 법적 개념을 식별하고 콘텐츠 모델을 구성.
  • 콘텐츠별 맞춤 (T2): 법적 명세와 공학적 명세 (요구사항, 시스템) 간의 개념 매핑 및 관계 설정 (중복 방지 및 일관성 확보).
  • 목표 기반 맞춤 (T3): 조직의 목표에 따라 필요한 콘텐츠 항목을 선별하여 범위 설정.

4. 결과 및 검증 계획 (Results & Future Work)

• 중간 결과:
  • 규제 RE 는 법적 해석을 통해 추상적인 규정을 구체적인 프로젝트 요구사항으로 전환하는 과정이 필수적임을 확인했습니다.
  • 법적 개념 (예: '법적 주체', '연령' 등) 을 요구사항 및 시스템 아키텍트 관점에 매핑하는 프로세스가 법적 도메인 지식 포착에 유효함을 검증했습니다.
  • 실무자들은 방법론의 '특징'보다 '목표'를 통해 더 쉽게 사고하므로, 목표 중심 평가 프레임워크의 필요성이 대두되었습니다.
• 향후 작업:
  • AM4RRE 의 최종 완성 및 실무자 검증을 계획 중입니다.
  • 민감한 주제 (규제 준수) 로 인한 실무자의 참여 꺼림을 고려하여, 체크리스트와 템플릿을 활용한 운영화 방안을 모색 중입니다.
  • 4 가지 관점 (법적, 비즈니스, 요구사항, 아키텍트) 을 가진 전문가들이 참여하는 워크스루 (Walkthrough) 및 실험을 통해 모델의 유효성을 검증할 예정입니다.

5. 의의 (Significance)

• 이론적 기여: 규제 요구사항 공학의 고유한 특성 (법적 지식 의존성, 관점 간 긴장 관계) 을 체계적으로 모델링한 최초의 통합 프레임워크 중 하나로, 기존 RE 방법론의 한계를 극복합니다.
• 실무적 기여:
  • 설계 준수 (Compliance by Design) 실현: 규제가 소프트웨어 설계 단계부터 자연스럽게 통합될 수 있는 구체적인 방법론을 제공합니다.
  • 소통 효율화: 법적 전문가와 공학자 간의 소통 장벽을 아티팩트 기반의 공통 언어 (Concepts) 로 해소하여, 일관성 있고 검증 가능한 준수 상태를 보장합니다.
  • 유연성: 애자일 환경에서도 적용 가능하도록, 활동 중심이 아닌 아티팩트와 관계 중심의 유연한 프로세스를 제안합니다.

이 논문은 규제 RE 의 복잡성을 해결하고, 소프트웨어 개발 생명주기 (SDLC) 전반에 걸친 체계적인 규제 준수를 가능하게 하는 중요한 이정표로 평가됩니다.