코드 기술 부채 항목의 생존 기간: 산업 현장과 오픈소스 시스템의 비교 분석

초록

본 연구는 SonarQube를 이용해 두 개의 산업용 시스템과 31개의 Apache 오픈소스 프로젝트에서 133,670개의 코드 기술 부채 항목(TDI)을 추적·분석하였다. 버그, 코드 스멜, 취약점 세 종류의 생존 기간을 비교한 결과, 오픈소스에서는 TDI가 장기간 남아 있는 반면 산업 현장에서는 비교적 빠르게 제거되는 경향을 보였다. 특히 버그는 가장 빨리 사라지고, 코드 스멜과 취약점은 오래 지속되는 것으로 나타났다.

상세 분석

연구는 SonarQube의 정적 분석 결과를 기반으로 커밋 수준에서 TDI의 도입·제거 시점을 파악하고, 생존 모델(survivability model)을 적용해 각 항목의 평균 생존 기간을 추정하였다. 산업 시스템 1은 1백만 라인 이상의 규모와 10년 이상의 개발 이력을 갖고 9,331개의 커밋에서 33,974개의 TDI를, 산업 시스템 2는 60,000 라인 규모와 4년 이력을 갖고 8,414개의 커밋에서 1,398개의 TDI를 제공한다. 오픈소스 31개 프로젝트는 총 193,196개의 커밋을 분석했으며, 이 중 98,298개의 TDI가 발견되었다.

통계적 검증으로는 Kaplan‑Meier 생존 곡선과 로그‑랭크 검정을 사용해 유형별·시스템별 차이를 검증했으며, 결과는 다음과 같다. (1) 버그는 평균 생존 기간이 23개월 수준으로 가장 짧았다. (2) 코드 스멜은 평균 79개월, 취약점은 8~12개월로 비교적 오래 지속되었다. (3) 오픈소스 프로젝트에서는 80% 이상의 TDI가 1년 이상 남아 있었으며, 특히 취약점은 1.5년 이상 지속되는 경우가 다수였다. 반면 산업 시스템에서는 60% 이상이 6개월 이내에 해결되었다.

이러한 차이는 조직의 품질 관리 프로세스와 개발 문화 차이에서 기인한다. 산업 현장은 SonarQube와 같은 정적 분석 도구를 CI 파이프라인에 통합하고, TDI를 정량적 지표로 활용해 지속적인 리팩터링을 수행한다. 반면 오픈소스 커뮤니티는 기여자들의 자발적 참여에 의존하며, 보안 취약점이나 심각한 버그 외에는 TDI 해결에 대한 우선순위가 낮은 경향이 있다. 또한, 연구는 SonarQube 규칙 설정이 결과에 미치는 영향을 언급했으며, 규칙이 과도하게 엄격하면 ‘거짓 양성’이 늘어나 제거율이 낮아질 수 있음을 지적한다.

본 연구는 기존 코드 스멜 중심의 생존 연구를 확장해 버그와 취약점까지 포함함으로써, 기술 부채 관리의 전반적인 그림을 제공한다. 특히, 산업 현장에서의 빠른 TDI 회수는 비용 절감과 유지보수 효율성 향상에 직접적인 영향을 미치며, 오픈소스 프로젝트는 보다 체계적인 부채 관리 정책 도입이 필요함을 시사한다.