월요일 아침, 고객사(중견 제조사)에서 전자계약 시스템 구축 RFP가 도착합니다. 80페이지, 요건은 어림잡아 120개. 제출까지 12일.
옆자리 신입 PM은 곧장 제안서 표지부터 만듭니다. "우리 회사 소개 멋지게 넣고, 다 할 수 있다고 쓰면 되죠."
당신은 다르게 시작합니다. 제안서를 쓰기 전에 요건을 셀 수 있는 단위로 분해합니다. 각 요건에 번호를 붙이고, 필수인지 선택인지, 기술·보안·운영 중 어디에 속하는지 분류합니다. 그러자 보이지 않던 것이 보입니다 — "전자서명은 공인전자서명 수준"이라는 한 줄이 사실 법적 요건이고, "기존 ERP와 연동"이라는 한 줄은 범위가 모호해 양쪽으로 해석된다는 것을.
신입은 "다 하겠다"고 적었다가 계약 후 적자를 봅니다. 당신은 모호한 건 질의로 확정하고, 못 하는 건 정직하게 부분 준수로 적고, 리스크는 미리 목록으로 관리합니다. RFP 분석은 화술이 아니라 요구사항을 추적 가능하게 만드는 관리 기술입니다.
이 캡스톤에서는 이 트랙에서 배운 요구사항 관리·AI 분석·리스크 관리를 하나로 묶어, 하나의 RFP를 끝까지 분석한 산출물 세트를 만들어 봅니다.
- 1RFP 요건을 고유 ID로 식별하고 필수/선택·기술/보안/운영으로 분류한 요구 분류표를 만들 수 있다
- 2기술·보안·운영 요건을 각 관점에서 분석하고, 모호하거나 위험한 요건을 가려낼 수 있다
- 3해석이 갈리는 요건을 질의사항 목록으로 전환해 범위를 확정하는 절차를 설명할 수 있다
- 4요건별 준수 상태(준수/부분/미준수)와 근거를 담은 제안 대응(준수) 매트릭스를 작성할 수 있다
- 5RFP 리스크를 목록으로 식별하고, AI 분석 결과를 사람이 검증해 산출물에 반영하는 흐름을 종합할 수 있다
RFP 분석이라는 종합 시나리오
RFP는 '글쓰기'가 아니라 '추적 가능성' 싸움이다
RFP(제안요청서) 대응을 잘한다는 것은 화려한 제안서를 쓰는 것이 아니라, 발주사가 요구한 것을 하나도 빠뜨리지 않고, 우리가 할 수 있는 것과 없는 것을 정직하게 매핑하는 것입니다. 평가자는 미사여구가 아니라 "필수 요건을 충족했는가, 근거가 있는가, 위험을 알고 있는가"를 봅니다.
그래서 RFP 분석은 이 트랙의 세 가지 기술을 한 자리에서 씁니다.
- 요구사항 관리 — 요건을 ID로 식별하고 분류·추적한다(요구 분류표 → 준수 매트릭스).
- AI 활용 분석 — 긴 RFP에서 요건을 빠르게 추출·분류하되, 사람이 검증한다.
- 리스크 관리 — 모호·법적·일정·기술 위험을 미리 목록화해 대응을 설계한다.
이 캡스톤의 산출물은 다섯 가지가 한 세트로 묶입니다. 이 다섯이 서로를 참조하며 하나의 추적 체계를 이룹니다.
| 산출물 | 무엇인가 | 답하는 질문 |
|---|---|---|
| 요구 분류표 | 요건을 ID·영역·필수여부로 정리 | "발주사가 무엇을 요구했나" |
| 기술/보안/운영 요건 분석 | 영역별 관점에서 충족 가능성·난이도 평가 | "우리가 할 수 있나, 어렵나" |
| 질의사항 목록 | 모호·해석 갈림 요건을 공식 질의로 | "무엇을 확정해야 하나" |
| 리스크 목록 | 위험을 식별·평가·대응 | "무엇이 우리를 다치게 하나" |
| 제안 대응(준수) 매트릭스 | 요건별 준수 상태와 근거 | "우리는 무엇을, 어떻게 충족하나" |
그림: 요구 분류표가 모든 산출물의 뿌리이며, 영역별 분석을 거쳐 질의·리스크·준수 매트릭스로 분기하는 추적 가능성 싸움이다.
가상 RFP — 전자계약 시스템 구축
이 캡스톤에서 다룰 RFP 요건(발췌)
실제 RFP는 수십~수백 개 요건을 담지만, 여기서는 분석 흐름을 익히기 위해 대표 요건 일부를 가상으로 발췌해 사용합니다. 고객사는 종이 계약을 전자계약 시스템으로 전환하려 합니다.
RFP 원문에서 발췌한 문장 예시는 다음과 같습니다(아직 분류 전, 자연어 그대로).
- 전자서명은 공인전자서명에 준하는 법적 효력을 가져야 한다.
- 계약 문서는 위·변조 방지를 위해 무결성을 보장해야 한다.
- 기존 사내 ERP(계정·조직 정보)와 연동되어야 한다.
- 동시 접속 사용자 500명을 안정적으로 지원해야 한다.
- 모바일(iOS/Android)에서도 서명·열람이 가능해야 한다.
- 시스템 가용성은 연 99.5% 이상이어야 한다.
- 장애 발생 시 4시간 이내 복구(RTO)를 목표로 한다.
- 관리자 화면에서 계약 현황 통계를 제공하면 가점.
- 다국어(영어) 지원 시 가점.
여기서 이미 두 가지 신호가 보입니다. "법적 효력"·"무결성"은 타협 불가 필수이고, "ERP와 연동"은 범위가 모호합니다(어느 시스템과, 어느 수준으로?). 분석은 이 신호를 구조화하는 일입니다.
산출물 1 — 요구 분류표
요건에 ID를 붙이고 필수/선택·영역으로 나눈다
가장 먼저 자연어 문장을 추적 가능한 항목으로 바꿉니다. 각 요건에 고유 ID(영역 약자 + 번호)를 부여하고, 필수/선택(가점)과 영역(기술/보안/운영)을 분류합니다. 이 표가 이후 모든 산출물의 뿌리가 됩니다.
| 요건 ID | 요건 요약 | 영역 | 필수/선택 |
|---|---|---|---|
| REQ-SEC-01 | 공인전자서명에 준하는 법적 효력 | 보안 | 필수 |
| REQ-SEC-02 | 계약 문서 위·변조 방지(무결성 보장) | 보안 | 필수 |
| REQ-TEC-01 | 기존 사내 ERP(계정·조직)와 연동 | 기술 | 필수 |
| REQ-TEC-02 | 동시 접속 500명 안정 지원 | 기술 | 필수 |
| REQ-TEC-03 | 모바일(iOS/Android) 서명·열람 | 기술 | 필수 |
| REQ-OPS-01 | 연 가용성 99.5% 이상 | 운영 | 필수 |
| REQ-OPS-02 | 장애 시 RTO 4시간 이내 | 운영 | 필수 |
| REQ-TEC-04 | 계약 현황 통계 대시보드 | 기술 | 선택(가점) |
| REQ-TEC-05 | 다국어(영어) 지원 | 기술 | 선택(가점) |
분류 원칙 세 가지입니다.
- 하나의 ID는 하나의 검증 가능한 요건 — "연동되고 빨라야 한다"처럼 두 가지가 묶이면 둘로 쪼갠다.
- 필수와 가점을 반드시 구분 — 필수 미충족은 탈락 사유, 가점은 더하기. 자원 배분 우선순위가 다르다.
- 영역 분류는 분석 담당자를 정하기 위함 — 보안 요건은 보안 담당이, 운영 요건은 운영 담당이 검토한다.
산출물 2 — 기술/보안/운영 요건 분석
영역별 관점에서 '할 수 있나, 어렵나, 위험한가'를 본다
분류표가 "무엇을 요구했나"라면, 요건 분석은 "우리가 어떻게 충족하며 어디가 어려운가"입니다. 영역별 관점이 다릅니다.
- 기술 분석 — 우리 솔루션·아키텍처로 충족 가능한가, 커스터마이징 규모는, 연동 대상 시스템의 인터페이스는 확인됐는가. (REQ-TEC-01의 ERP는 표준 API가 없으면 큰 위험.)
- 보안 분석 — 법·규제 요건인가, 인증·암호화 수준은. 공인전자서명(REQ-SEC-01)은 관련 법령과 인증서 체계를 충족해야 하므로 타협 불가.
- 운영 분석 — SLA·가용성·RTO를 우리 운영 체계로 보증할 수 있는가. 99.5%(REQ-OPS-01)는 이중화·모니터링 비용을 동반한다.
분석 결과를 한눈에 정리하면 충족 난이도와 위험이 드러납니다.
| 요건 ID | 충족 가능성 | 난이도/주의점 |
|---|---|---|
| REQ-SEC-01 | 가능(인증 솔루션 연계) | 법적 효력 — 근거 법령·인증서 명확히 |
| REQ-SEC-02 | 가능(해시·타임스탬프) | 무결성 검증 방식 문서화 필요 |
| REQ-TEC-01 | 조건부 — ERP 인터페이스 미확인 | 연동 범위·방식이 모호(질의 대상) |
| REQ-TEC-02 | 가능 | 부하 테스트로 500명 입증 필요 |
| REQ-OPS-01 | 가능(이중화 구성) | 99.5%는 추가 인프라 비용 동반 |
여기서 REQ-TEC-01이 빨간불입니다. "ERP와 연동"이 어느 ERP·어느 데이터·실시간인지 배치인지에 따라 공수가 몇 배 차이가 납니다. 이건 분석으로 끝낼 게 아니라 질의사항으로 넘겨야 합니다.
모호하거나 위험한 요건을 어디로 보낼지 결정하기
같은 요건이라도 명확한가와 충족 가능한가에 따라 가는 곳이 달라집니다. 명확하고 충족되면 준수 매트릭스로, 모호하면 질의사항으로(공식 Q&A로 범위를 확정한 뒤 매트릭스에 반영), 필수인데 충족이 어려우면 부분 준수나 리스크 목록으로 흩어집니다. 핵심은 거짓 준수를 적지 않는 것 — 특히 법적·규제 요건은 근거 법령·인증으로 못 박아야 합니다. RFP 분석이 '글쓰기'가 아니라 '추적 가능성' 싸움인 이유가 여기 있습니다. 모든 요건이 ID를 달고 한 갈래로 분류돼야 빠짐이 안 생깁니다.
직접 해보기 — 질의·리스크·준수 매트릭스 완성
산출물 2의 분석 결과를 바탕으로, 각 요건을 위 DecisionTable 기준에 따라 세 갈래로 보냅니다.
먼저 질의사항 목록입니다. 모호한 요건을 발주사에 물을 공식 질문으로 바꿉니다.
| 질의 ID | 관련 요건 | 질의 내용 | 기대 답변 형태 |
|---|---|---|---|
| Q-01 | REQ-TEC-01 | "ERP 연동 대상 시스템·연동 데이터·방식(실시간/배치)을 명확히 해 주십시오." | 대상 시스템명, 인터페이스 규격 |
| Q-02 | REQ-OPS-01 | "가용성 99.5%의 측정 기준(연/월, 계획정비 포함 여부)을 확인 바랍니다." | 산정 기준 명문화 |
| Q-03 | REQ-SEC-01 | "공인전자서명의 적용 법령·인증서 요건 범위를 확인 바랍니다." | 근거 법령·인증 범위 |
다음으로 리스크 목록입니다. 위험을 식별·평가하고 대응을 적습니다.
| 리스크 ID | 내용 | 발생가능성 | 영향 | 대응 |
|---|---|---|---|---|
| R-01 | ERP 인터페이스 미공개로 연동 공수 폭증 | 높음 | 높음 | Q-01로 범위 확정, 미확정 시 가정 명시 |
| R-02 | 99.5% 기준 해석 차이로 SLA 페널티 | 중간 | 높음 | Q-02로 산정 기준 합의 |
| R-03 | 일정 12일로 타이트, 검토 누락 위험 | 중간 | 중간 | 요구 분류표로 추적, 담당 분담 |
이제 두 결과를 합쳐 제안 대응(준수) 매트릭스를 완성합니다. 모든 필수 요건이 한 줄씩 들어가야 합니다.
질의사항 목록 · 리스크 목록 · 준수 매트릭스- 요구 분류표의 모든 필수 요건이 준수 매트릭스에 빠짐없이 한 줄씩 등장하는가 (누락 0건이 목표)
- 준수 상태는 준수/부분 준수/미준수 셋 중 하나로만 적고, 각 줄에 근거가 비어 있지 않은가
- 부분 준수·미준수 요건이 리스크 목록 또는 질의사항 목록과 ID로 연결되는가
- 모호했던 REQ-TEC-01이 질의(Q-01)·리스크(R-01)로 분기되어, 매트릭스에는 가정과 함께 기재되었는가
- 가점 요건(REQ-TEC-04/05)은 필수 충족을 끝낸 뒤 차별화 포인트로 다뤄졌는가
완성된 제안 대응(준수) 매트릭스 예시
요건·필수여부·준수상태·근거 — 네 칸이 핵심
준수 매트릭스는 평가자가 "이 제안사가 무엇을, 어떤 근거로 충족하는가"를 한 표로 확인하는 핵심 산출물입니다. 정직함이 곧 신뢰입니다.
| 요건 ID | 필수여부 | 준수상태 | 근거 |
|---|---|---|---|
| REQ-SEC-01 | 필수 | 준수 | 인증 솔루션 연계, 근거 법령·인증서 체계 충족 |
| REQ-SEC-02 | 필수 | 준수 | 문서 해시 + 타임스탬프로 무결성 검증 제공 |
| REQ-TEC-01 | 필수 | 부분 준수 | 표준 API 연동 가능, ERP 규격 미확정(Q-01)으로 범위는 가정 기준 산정(R-01) |
| REQ-TEC-02 | 필수 | 준수 | 동시 500명 부하 테스트 결과 첨부 예정 |
| REQ-TEC-03 | 필수 | 준수 | iOS/Android 네이티브 서명·열람 지원 |
| REQ-OPS-01 | 필수 | 준수 | 이중화 구성, 측정 기준은 Q-02 합의 전제 |
| REQ-OPS-02 | 필수 | 준수 | 백업·복구 체계로 RTO 4시간 이내 보증 |
| REQ-TEC-04 | 선택 | 준수 | 관리자 통계 대시보드 기본 제공(가점 대응) |
| REQ-TEC-05 | 선택 | 부분 준수 | 영어 UI 지원, 계약 본문 번역은 범위 외 명시 |
이 표의 힘은 모든 필수 요건이 한 줄씩 추적되고, 부분 준수가 질의·리스크 ID와 연결된다는 데 있습니다. REQ-TEC-01을 거짓 '준수'로 적었다면 계약 후 ERP 규격이 드러나는 순간 분쟁이 됩니다. '부분 준수'로 정직하게 적고 가정·질의·리스크를 함께 보인 제안이 결국 신뢰를 얻습니다.
현장에서 자주 보는 함정
증상: 제안 평가는 높은 점수로 통과했습니다. 그런데 구축이 시작되자 "ERP 실시간 연동"이 사실상 불가능했고, "가용성 99.5%"의 측정 기준이 발주사와 달라 SLA 페널티를 물게 됩니다. 영업은 "일단 따고 보자"며 모두 준수로 적었던 것입니다.
원인: 준수 매트릭스를 수주 도구로만 보고 이행 약속으로 보지 않았습니다. 모호한 요건(ERP 연동)을 질의로 확정하지 않고 임의로 넓게 해석했고, 충족 못 하는 필수를 '부분 준수'로 정직하게 적는 대신 '준수'로 덮었습니다. 리스크 목록도 형식적으로만 채웠습니다.
해결 방향(이 캡스톤의 절차):
- 모호한 요건은 임의 판단하지 말고 질의사항으로 범위를 확정한다(확정 전이면 가정을 명시).
- 못 하는 필수는 '부분 준수'로 정직하게, 충족 범위·대안·이행 시점을 근거에 적는다.
- 위험은 리스크 목록에 발생가능성·영향·대응으로 실질화하고 매트릭스와 ID로 연결한다.
- AI로 빠르게 추출했더라도 사람이 원문과 대조해 필수/선택·누락을 검증한 뒤 매트릭스에 반영한다.
준수 매트릭스는 잘 보이려는 표가 아니라, 계약 후 우리가 책임질 약속을 미리 정직하게 정의하는 표입니다.
이 캡스톤이 향하는 자리는 SI 사업의 제안 PM·사업관리(PMO), 그리고 발주사 쪽 IT 기획·구매 담당입니다. 한국의 공공·금융·대기업 SI 시장은 RFP로 시작해 제안평가로 사업자를 정하고, 제안서에 적은 준수 매트릭스가 계약과 검수의 기준이 됩니다.
이 자리에서 당신은 직접 코딩하기보다 "이 RFP가 무엇을 요구하는지 빠짐없이 분해하고, 우리가 할 수 있는 것과 없는 것을 정직하게 매핑하며, 모호한 것은 질의로 확정하고, 위험은 미리 관리하는" 사람입니다. 영업은 "다 된다"고 말하고 싶어 하지만, 거짓 준수가 만든 적자와 분쟁의 책임은 결국 사업관리가 집니다.
그래서 요구 분류표·요건 분석·질의사항·리스크 목록·준수 매트릭스를 하나의 추적 체계로 묶어 다루는 능력이 핵심 역량입니다. 기술을 아는 사업관리자는 협력사·평가자와 대등하게 대화하고, AI가 뱉은 분류를 검증 없이 옮겨 적는 실수를 하지 않습니다.
관련 모듈로 더 깊이:
- 범위와 요구사항 — 요구사항을 분류하고 범위를 정의하는 기본 원리
- 요구사항정의서·검수확인서·릴리즈노트·SLA 리포트 — 요구사항·검수 문서로 약속을 추적하는 법
- 계약·과업범위·M/M·검수 — 계약·범위·검수가 RFP 준수와 어떻게 이어지는가
다음 모듈에서는 이렇게 사람이 설계한 RFP·요구사항 분석 흐름을 AI PM 자동화로 종합해, 추출·분류·질의·리스크·매트릭스 초안 작성을 어디까지 자동화하고 어디서 사람이 검증해야 하는지를 한 흐름으로 정리합니다.