본문 바로가기

 

금융분야 디지털 혁신에 따른 오픈소스 활용 및 관리의 중요성

 

- Open UP -

 

  • 금융 분야 디지털 혁신을 위한 규제 완화로 오픈소스의 활용이 증가하면서 오픈소스 관리의 중요성 증가
    1. 오픈소스 보안관리 정책을 수립·운영 중인 금융 기업은 전체 120개 사 中 27개사(23%)에 불과
    2. 금융 분야의 오픈소스 관리 미흡 등에 따른 보안사고 사전 예방 및 안전한 오픈소스 활용을 위해 오픈소스 거버넌스 구축의 필요성 증대

 

  •  금융분야 디지털 혁신을 위한 규제 완화로 오픈소스 활용 및 관리의 중요성 증가
  • 금융분야 디지털 신기술 도입 및 활용 등 혁신을 위한 금융 분야의 클라우드와 망분리 규제를 완화
    1. 지난해, 금융분야에서 디지털 신기술 도입 및 활용의 어려움으로 작용했던 클라우드 및 망분리 규제에 대한 개선방안을 발표
      1. * 개발·테스트 분야에 대한 망분리 규제 예외 적용을 통해 이용이 어려웠던 신기술 및 오픈소스 등을 효율적으로 이용할 수 있게 될 것으로 예상
    2. 엄격한 금융 보안 규제가 디지털 신기술 도입 및 활용 등 혁신을 저해한다는 지적에 따라 금융 분야의 클라우드와 망분리 규제를 완화하는 내용으로 전자금융 감독규정을 일부 개정, 2023년 1월부터 시행
      1. * 금융사가 연구·개발 목적(즉, 금융회사가 전자금융서비스 등 업무 수행에 필요한 프로그램, 정보처리 시스템 등을 제작)이거나 비중요 업무의 서비스형소프트웨어(SaaS) 이용 시 망분리에서 예외 적용
      2. * 카카오뱅크의 금융기술연구소가 2020년 4월 혁신금융서비스로 지정받아 망분리 규제 특례를 적용받았는데 운영성과와 안전성이 검증된 점도 고려됨
    3. 금융분야의 오픈소스 관리 미흡 등에 따른 보안사고를 사전 예방하고 안전한 오픈소스 활용환경을 조성하기 위한 필요성 증대
    4. 금융분야의 보안규제가 완화됨에 따라 금융분야의 안전한 오픈소스 활용을 위한 추진방안 논의를 위해 지난해 국민은행, 카카오뱅크, 신한라이프, 네이버파이낸셜 등 5개사가 참여하여 실무회의 진행하였으며,
    5. 금융감독원-금융보안원-금융업계가 함께 자율보안 체계 강화 및 안전한 오픈소스 활용지원을 위해 ‘오픈소스 소프트웨어 활용관리 안내서’ 배포(2023.02.)
    6.  
    7. [소프트웨어 활용관리 안내서 주요 내용]
      구분 주요 내용
      오픈소스 소개 오픈소스 선택시 기능성, 보안성, 공유 플랫폼의 활성화 수준 등에 대한 검토 필요성을 제시
      오픈소스 보안성관리 금융회사의 보안 고려 사항(보안성 테스트, 라이선스 검토, 취약점 모니터링 및 보안패치 등)을 제시하여 정보보안 리스크를 최소화
      오픈소스 세부관리절차 금융회사의 오픈소스 거버넌스 체계 구축을 지원하기 위해 관리 조직 구성 및 운영, 역할 등에 대한 사례를 제시
      자가점검 체크리스트 등 금융회사 스스로 정보보안 수준을 강화할 수 있는 ‘자가점검 체크리스트’ 및 오픈소스 활용관리체계 우수사례 등 안내
  • 국내 금융 기업의 오픈소스 활용 및 관리 현황
    1. 전체 금융 기업 중 오픈소스를 활용하고 있는 금융사는 115개로 96%에 해당(‘22.08)
    2. 주요 금융 기업의 오픈소스 활용 분야
    3. [2022년 기준 국내 주요 금융회사의 오픈소스 활용 분야]
      WAS DBMS OS 빅데이터 AI 클라우드 블록체인 IoT
      103
      (86%)
      97
      (81%)
      97
      (81%)
      52
      (43%)
      44
      (37%)
      33
      (28%)
      14
      (12%)
      1
      (1%)
    4.  
    5. 국내 금융 기업의 주요 활용 사례
      1. 오픈소스 기반 데이터베이스 관리시스템(DBMS)을 구축하여 최신 디지털 기술 활용 및 개발 효율성을 제고
      2. 오픈소스를 이용하여 클라우드 플랫폼을 구축하고 빅데이터 분석, 신용평가 모형분석 등에 활용
      3. 뱅킹시스템을 오픈소스로 전환하고 상용SW 구매를 최소화하여 IT 운영비용을 절감
      4. 오픈소스를 활용한 모바일 어플리케이션(App)을 개발하여 다양한 비대면 금융 서비스 출시
      5. AI를 통한 이미지, 음성 학습 및 분석을 위해 오픈소스 활용 등
    6.  
    7. 전국 권역별 주요 금융사에 대한 조사결과 오픈소스 보안관리 정책을 수립·운영 중인 금융 기업은 전체 120개사 중 27개사(23%)에 불과
    8. 국내 금융 기업의 주요 오픈소스 관리 사례
    9. 기업명 상세 내용
      카카오뱅크
      1. 컴플라이언스 및 거버넌스 투자 확대 및 오픈소스 기술 도입 가속화하고 있으며, 2022년 초 국내 금융사 최초로 국제표준화기구(ISO)의 ‘오픈체인(Open Chain)’ 국제 표준 인증을 획득
      2. 특히, 오픈소스 거버넌스 구축을 위해서 내부적으로 OSRB(Open Source Review Board)로 불리는 오픈소스 전문 협의체를 구성하여 오픈소스 프로그램 매니저와 법무담당, 인프라담당, 보안담당, 개발문화담당, 개발팀이 컴플라이언스 관련 문제를 공동으로 논의
      신한금융그룹
      1. 오픈소스 소프트웨어 활용 확대를 위한 지원체계 마련을 목적으로 그룹사별 환경과 조직 특성을 반영한 오픈소스 소프트웨어 활용지원 시스템 구축 예정
      2. 신한은행, 신한카드, 신한투자증권, 신한라이프 등 그룹사 별 그룹공통 영역과 연계 방안 등을 수립하고 그룹 공통으로 적용될 ▲OSS 반입 ▲활용 개선 ▲OSS 관리도구(취약점, 라이선스 진단) 개발 예정

 

□ 주목할 만한 월간 이슈(10월)

  • (AI) 오픈소스 진영, AI와 오픈소스를 합리적으로 결합할 수 있는 새 '정의' 작성
    1. 최근 생성형 인공지능(AI)의 인기와 더불어 AI로 만든 콘텐츠의 저작권을 둘러싼 논의가 활발함에 따라 오픈소스 진영이 AI와 오픈소스의 합리적인 결합을 위한 새 '정의'를 작성 논의 중
      1. * 미국 지디넷의 스티븐 보간니콜스는 GPL 라이선스, 아파치 라이선스, 모질라 퍼블릭 라이선스는 SaaS 또는 클라우드 서비스에 적합하지 않고, AI는 더 큰 문제를 안고 있다며 저작권법 기반을 갖춘 오픈소스 라이선스는 LLM에 적합하지 않다고 지적
    2. 오픈소스를 가져와 학습한 AI가 그를 바탕으로 콘텐츠를 만들어내는데 배포는 독점 라이선스로 배포되는 문제가 생김
      1. * 최근 깃허브에 제기된 소스코드 저작권 침해 소송이 대표적으로 AI로 제안되는 코드가 공개된 깃허브 저장소에서 수집한 거의 동일한 코드 문자열로 구성되지만 오픈소스 라이선스 속성을 갖지 못하는 사례임
    3. 오픈소스는 법적 효력 측면에서 오픈소스이니셔티브(OSI)가 '오픈소스'로 승인해야 해당 소스코드의 오픈소스로서 법적 권리가 확실히 인정됨
      1. * OSI는 오픈소스 정의(OSD)에 기반해 ‘오픈소스’를 판단하며 그 기준은 오픈소스SW의 6가지 요건으로 ▲자유로운 재배포 ▲소스코드 공개 ▲2차적 저작물 허용 ▲저작자 소스코드의 온전함 ▲차별금지 ▲라이선스의 배포 임
    4. 팔컨, 패스트챗-T5, 오픈라마 등과 같이 공개 LLM도 있지만, 대부분의 LLM은 소유자 독점 정보나 저작권 정보를 공개하지 않고 배포되어 OSD 원칙에 위배되기 쉬움
    5. 현재 OSI는 AI와 오픈소스의 관계를 정립을 위해 구글, 마이크로소프트, 깃허브, 오픈포럼유럽, 크리에이티브커먼스, 위키미디어재단, 허깅페이스, 리눅스재단, ACLU 모질라, 인터넷아카이브 등과 함께 정의 초안을 작성중
      1. * OSI의 스티파노 마풀리 전무이사는 2년전 깃허브 코파일럿 출시 후 프로세스를 시작했으며, 오픈소스 라이선스가 무너지기 시작하는 곳은 모든 데이터와 코드가 데이터세트, 모델, 가중치 등 AI 및 ML 아티펙트에서 함께 병합되는 곳에서 문제가 발생한다면서 오픈소스 AI에 대한 새로운 정의가 필요하다고 주장
  • (보안) 소나타입, 연례 소프트웨어 공급망 현황 보고서 발표
    1. 소프트웨어 공급망 관리 회사인 소나타입(Sonatype)이 소프트웨어 공급망 현황(Annual State of the Software Supply Chain) 보고서 를 발표
      1. * 보고서는 자바스크립트, 프로젝트 관리 도구 메이븐(Maven)을 통한 자바, PyPI 패키지 인덱스를 통한 파이썬, 누젯(NuGet) 갤러리를 통한 닷넷의 4가지 주요 생태계와 일부 고(Go) 프로젝트를 조사 대상으로 선정
    2. 117만 6,407개의 프로젝트를 평가한 결과 2023년 현재 활발하게 유지관리되는 프로젝트 18% 감소
      1. * 프로젝트의 11%인 11만 8,028개만이 유지관리가 활성화되어 있으며, 2022년 유지관리되던 자바 및 자바스크립트 프로젝트의 18.6%는 현재 더 이상 유지관리되지 않는 것으로 나타남
      2. * 지속적으로 유지관리되는 오픈소스 프로젝트가 소프트웨어 보안 모범사례에서 다른 프로젝트보다 우수한 성과를 보임
      3. * 보고서는 좋은 의존성을 선택해야 할 뿐만 아니라 품질 변화를 모니터링하고 특히 보안을 위해 코드 리뷰의 중요성을 강조
    3. 오픈소스 취약점 위험을 최소화하려면 유지 관리가 잘 되고 있으며 코드 리뷰를 수행하는 프로젝트를 선택해야 하며, 해당 프로젝트의 수명이 다하지 않았는지 모니터링해야 한다고 권고
    4. 다양한 오픈소스 생태계에서 탐지된 악성 패키지의 수가 전년 대비 3배 증가
      1. * 불과 1년 만에 전년도 누적 건수보다 2배나 많은 공급망 공격이 발생했다는 의미로 공격자가 악성 코드를 실행하기 위한 벡터로써 공급망의 역할이 빠르게 증가
    5. 오픈소스 다운로드 8건 중 1건은 알려진 위험이 존재하며, 다운로드된 취약 릴리즈 중 96%는 취약점이 없는 업데이트 버전이 존재
      1. * 소나타입의 소프트웨어 공급망 관리 도구 및 자바(Java) 구성 요소용 메이븐(Maven) 저장소에서 수집한 데이터에 의하면 2022년 다운로드된 구성 요소의 12%, 2023년에는 10%가 알려진 취약점이 있는 버전으로 이 중 3분의 1 이상은 치명적인 취약점이, 나머지 30%에는 심각한 결함이 존재
    6. 취약한 패키지에 따른 위협을 완화하기 위해 기업은 지속적으로 취약점에 대해 신경을 쓰고 이 문제를 해결할 자동화된 수단이 있어야 한다고 강조
    7. 그 외 보고서의 다른 결과를 요약하면,
      • 응답자의 67%는 애플리케이션이 알려진 취약한 라이브러리에 의존하지 않는다고 생각
      • 지난 12개월 동안 오픈소스 취약점으로 보안 침해가 발생했다고 답한 비율은 10%가량
      • 기업이 취약점 발견하는 데에 1~7일 정도는 39%, 1주일 이상은 29%, 28%는 하루가 걸렸다고 답하였으며 취약점을 완화하는 데 39%가 일주일 이상이 필요하다고 응답
      • 기업 환경 내에서 AI와 ML 소프트웨어 구성 요소의 사용은 지난해 135% 급증
      • 지난 2년 동안 오픈소스 소비에서 다운로드 성장률은 둔화 추세
  • (기술) 가트너가 선정한 2024년 기업들이 주목해야 할10대 전략 기술 트렌드
    1. 가트너가 ‘2024년 주요 전략 기술 트렌드'에서 제시한 기술을 살펴보면,
    2. 보편화된 생성형 AI(Democratized Generative AI) : 2026년 80% 이상의 기업이 생성형AI 애플리케이션 프로그래밍 인터페이스(API) 및 모델을 사용하거나 프로덕션 환경에 생성형AI 지원 애플리케이션(GenAI-enabled application)을 배포할 것으로 예측
      1. * 대규모 사전 학습된 모델, 클라우드 컴퓨팅 및 오픈 소스의 결합으로 생성형 AI가 보편화
    3. AI 신뢰, 리스크 및 보안 관리(AI Trust, Risk and Security Management, TRiSM) : 2026년까지 AI TRiSM 제어 기능을 적용하는 기업이 오류 및 불법 정보를 최대 80%까지 줄여 의사 결정의 정확성을 높일 것으로 예측
      1. * AI에 대한 접근이 보편화됨에 따라 AI 신뢰, 리스크 및 보안 관리(TRiSM)의 필요성이 이전보다 더 시급
      2. * AI TRiSM : 위험을 사전에 식별하고 완화하기 위한 솔루션 세트
    4. AI 증강 개발(AI-Augmented Development) : AI의 지원을 받는 소프트웨어 엔지니어링은 개발자의 생산성을 향상시키고 개발팀이 비즈니스 운영에 필요한 소프트웨어 수요 증가를 충족
      1. * AI 증강 개발 : 소프트웨어 엔지니어가 애플리케이션을 설계, 코딩, 테스트할 때 생성형 AI, 머신 러닝과 같은 AI 기술을 활용하는 것을 의미
    5. 지능형 애플리케이션(Intelligent Applications) : 2026년까지 새로운 애플리케이션의 30%가 AI를 사용하여 개인 맞춤형 사용자 인터페이스를 구동할 것, 현재는 5% 미만
      1. * 지능형 애플리케이션 : 머신 러닝, 벡터 저장소, 커넥티드 데이터와 같은 다양한 AI 기반 서비스의 구성을 통해 사용자에게 맞춰 유연하게 적응하는 경험을 제공
      2. * 가트너는 '지능'을 적절하고 자율적으로 대응할 수 있는 학습된 적응력으로 정의
    6. 증강-연결된 인력(Augmented-Connected Workforce) : 2027년까지 CIO의 25%가 증강 연결된 인력 이니셔티브를 활용하여 핵심 역할의 역량 확보 시간을 50% 단축할 것으로 예측
      1. * 직원들의 경험, 복지 및 자체 기술 개발 능력을 지원할 일상적인 환경과 지침을 제공하는 동시에 비즈니스 성과를 창출하고 주요 이해관계자들에게 긍정적인 영향을 미침
      2. * 증강 연결된 인력 : 인간 근로자의 가치를 최적화하기 위한 전략으로, 역량을 가속화 및 확장해야 할 필요성에 의해 주도되고 있음
    7. 지속적인 위협 노출 관리(Continuous Threat Exposure Management, CTEM) : 2026년까지 CTEM 프로그램을 기반으로 보안 투자에 우선순위를 두는 조직이 침해 사고의 3분의 2를 줄일 것으로 예측
      1. * 지속적인 위협 노출 관리 : 기업의 디지털 및 물리적 자산의 접근성, 노출 및 악용 가능성을 지속적이고 일관되게 평가하는 실용적이고 체계적인 접근 방식
    8. 기계 고객(Machine Customers) : 2028년까지 150억 개의 커넥티드 제품이 고객 역할을 할 수 있는 잠재력을 갖게 될 것이며, 이후 몇 년간 수십억 개의 제품이 더 등장할 것으로 예측
      1. * 기계 고객은 2030년까지 수조 달러에 달하는 매출의 기반이 되어 결국 디지털 커머스의 등장 이상의 중요한 역할을 하게 될 것
      2. * 기계 고객 : 사람 대신 고객의 역할을 하는 기계를 뜻하며 사람의 명령에 따라 상품 구매 행동을 하는 기계부터 사람을 대신하여 자율적으로 상품을 선택하고 구매하는 기계를 포괄함
    9. 지속 가능한 기술(Sustainable Technology) : 2027년까지 25%의 CIO들이 각자 활용하는 지속 가능한 기술의 영향력에 따라 개인적인 보상을 얻게 될 것으로 예측
      1. * 또한, 2027년까지 CIO의 80%는 IT 조직의 지속 가능성과 관련된 성능 지표를 갖게 될 것으로 예상
      2. * 지속 가능한 기술 : 장기적인 생태적 균형과 인권을 지원하는 환경, 사회 및 거버넌스(ESG) 성과 구현에 활용되는 디지털 솔루션 프레임워크
    10. 플랫폼 엔지니어링(Platform Engineering) : 2026년까지 대규모 소프트웨어 엔지니어링 조직의 80%는 애플리케이션 제공을 위한 재사용 가능한 서비스, 구성 요소 및 도구의 내부 공급자로 플랫폼 엔지니어링 팀을 설립할 것이라고 예측
      1. * 플랫폼 엔지니어링이 궁극적으로 소프트웨어 개발자와 운영자 간의 협력이라는 핵심 문제를 해결할 것으로 설명
      2. * 플랫폼 엔지니어링 : 가트너는 애플리케이션의 제공을 가속화하고 비즈니스 가치를 창출하는 속도를 높일 수 있는 새로운 기술 접근 방식으로 정의
    11. 산업 클라우드 플랫폼(Industry Cloud Platform, ICP) : 2023년 15% 미만이었던 기업의 ICP 사용률이 2027년에는 70% 이상으로 증가, 많은 기업들이 ICP를 활용해 비즈니스 이니셔티브를 가속화할 전망
      1. * ICP는 기본적인 서비스형 소프트웨어(SaaS), 서비스형 플랫폼(PaaS) 및 서비스형 인프라(IaaS)를 단일 제품 오퍼링으로 통합하고 구성 가능한 기능을 갖춰, 산업 관련 비즈니스 성과를 지원

 

□ 시사점

  • 전체 금융 기업 중 96%에 해당하는 금융사가 이미 다양한 분야에서 오픈소스를 활용하고 있음
  • 금융 분야의 클라우드 및 망분리 규제가 완화됨에 따라 클라우드, 빅데이터, AI 등 오픈소스 기반의 디지털 신기술 활용이 더욱 확대될 것으로 예상
  • 오픈소스 관리 미흡 등에 따른 보안사고를 사전 예방하고 금융 분야의 안전한 오픈소스 활용환경을 조성하기 위해 오픈소스 거버넌스 구축의 중요성은 더욱 증가할 것

 

※ 참고 Reference

 

 

Creative Commons LicenseOpen UP에 의해 작성된 이 저작물은 크리에이티브 커먼즈 저작자표시-비영리-변경금지 2.0 대한민국 라이선스에 따라 이용할 수 있습니다.
.
.
2023
공개SW 가이드/보고서 - 번호, 제목, 작성자, 조회수, 작성
번호 제목 작성자 조회수 작성
공지 [2024년] 오픈소스SW 라이선스 가이드 개정판 발간 file support 2541 2024-01-03
공지 [2024년] 기업 오픈소스SW 거버넌스 가이드 개정판 발간 file support 2201 2024-01-03
공지 [2024년] 공공 오픈소스SW 거버넌스 가이드 개정판 발간 file support 2153 2024-01-03
공지 공개 소프트웨어 연구개발(R&D) 실무 가이드라인 배포 file support 14491 2022-07-28
공지 공개소프트웨어 연구개발 수행 가이드라인 file OSS 14538 2018-04-26
480 [1월 월간브리핑]CES 2024, 더 나은 미래를 향한 기술 ‘오픈소스’ support 403 2024-01-29
479 [기획]CES 2024에서 눈에 띈 오픈소스 기술 support 366 2024-01-29
478 NIPA, 오픈소스SW 가이드 3종 2024년 개정판 발간 support 319 2024-01-29
477 [12월 월간브리핑]2023년 오픈소스의 대세가 된 OSPO(Open Source Program Office) 현황 support 593 2023-12-26
476 [기획] 깃허브 Octoverse로 본 2023년 오픈소스 트렌드 결산 support 1169 2023-12-26
475 [기고] 오픈소스 컨트리뷰션 아카데미 - 자기동기부여 개발자들의 행복한 놀이터 support 384 2023-12-26
474 [11월 월간브리핑]자동차 분야, 오픈소스SW로 소프트웨어 경쟁력 강화 support 608 2023-11-27
473 NIPA–현대자동차그룹, 자동차 제조업 분야 오픈소스SW 기반 디지털 전환 협력 support 509 2023-11-27
472 [기고] 자동차 제조업 분야의 오픈소스 소프트웨어 기반 디지털 전환 및 대·중·소 상생협력 생태계 조성 support 681 2023-11-27
471 [10월 월간브리핑]금융분야 디지털 혁신에 따른 오픈소스 활용 및 관리의 중요성 support 903 2023-10-30
맨 위로
맨 위로