본문 바로가기

오픈소스SW 라이선스 컴플라이언스의 중요성과 당면 과제

 

- OpenUP -

 

클라우드, 데이터 과학, 생성 AI 등 혁신적인 기술들은 우리 삶을 놀라운 속도로 변화시키고 있습니다. 이러한 혁신의 핵심에는 바로 개방‧공유‧협력을 기반으로 하는 오픈소스SW 기술이 자리 잡고 있습니다. 오픈소스SW는 소프트웨어 개발의 효율성을 높이고 협업을 촉진하여 디지털 기술 혁신을 이끌고 있습니다. 끊임없이 발전하는 소프트웨어 개발 환경에서 오픈소스SW는 이제 어디에나 존재하며 필수적인 역할을 수행하고 있습니다.

 

최근 소프트웨어 생태계는 오픈소스SW의 증가뿐만 아니라 클라우드 서비스의 증가, 새로운 라이선싱 제도, 그리고 오픈소스SW를 사용하여 학습된 AI 생성 코드 등으로 인해 더욱 복잡해졌습니다. 그러나 아직도 많은 기업들이 오픈소스SW 관련 정책 수립 및 라이선스 관리 프로세스 구축에 소홀한 모습을 보이고 있습니다.

 

2022년 NIPA 오픈소스SW 실태조사 결과를 보면, 개발 소프트웨어에 사용한 오픈소스를 확인하는 라이선스 검증의 절차가 있는 기업은 32.1%이며, 오픈소스SW 관련 정책을 수립하고, 라이선스를 관리하는 등의 전담 조직이 있는 기업은 단지 30% 정도입니다.

 

오픈소스SW 정책 및 라이선스 관리 프로세스의 부재는 법적 분쟁 발생, 평판 손상, 개발 지연, 보안 취약점 발생 등 심각한 문제로 이어질 수 있습니다. 그러므로 오픈소스SW 라이선스 컴플라이언스는 기업의 혁신과 성장을 위한 필수적인 요소입니다.

 

리눅스 재단 Ibrahim Haddad(이브라힘 하다드)의 보고서 ‘Open Source License Compliance: Challenges Ahead’를 보면 오픈소스SW 라이선스 컴플라이언스의 주요 과제에 대해 자세히 설명합니다. 기업이 오픈소스SW 라이선스 컴플라이언스 과제를 효과적으로 해결하여 관련된 리스크를 최소화하고 오픈소스SW의 잠재력을 최대한 활용할 수 있도록 구체적인 권장 사항을 제시합니다.

 

Open Source License Compliance Infographic

[ Open Source License Compliance Infographic ]

* 이미지 출처 : Ibrahim Haddad, Ph.D., “Open Source License Compliance: Challenges Ahead,” foreword by Jimmy Ahlberg, The Linux Foundation, January 2024.

 

 

이 보고서의 주요 핵심 내용은 다음과 같습니다.

 

  • 오픈소스SW가 보편화됨에 따라 효과적이고 자동화된 오픈소스SW 라이선스 컴플라이언스 프로세스를 구축하는 것이 중요합니다.
    1. 이는 법적 영향뿐만 아니라 규정 위반과 관련된 평판 위험으로부터 조직을 보호하고 오픈소스SW를 효율적으로 활용할 수 있게 합니다.
  • 오픈소스SW 라이선스 컴플라이언스의 기본은 제품이나 서비스에 오픈소스SW를 활용할 때 저작권 고지를 준수하고 라이선스 의무를 이행하는 것입니다.
    1. 오픈소스SW 라이선스를 준수하는 것은 다양한 라이선스 범위와 조건 및 빠른 소프트웨어 개발 속도로 인해 복잡하고 까다로울 수 있습니다.
  • 오픈소스SW 컴플라이언스 프로세스는 제품 또는 서비스에 포함된 모든 오픈소스SW를 식별하는 것을 시작으로 다양한 라이선스 의무를 이행하기 위한 계획 수립을 포함합니다.
    1. 이 프로세스는 기업의 제품 개발 프로세스, 코드 베이스의 규모 및 성격, 제공되는 코드의 양, 회사의 크기 및 조직 구조 등 다양한 요소에 기반하여 구현됩니다. 즉, 소프트웨어 개발 프로젝트 내에서 오픈소스SW 구성 요소 식별 단계, 오픈소스SW 사용의 검토 및 승인 단계, 다양한 라이선스 의무 사항 이행 및 확인 단계 등을 포함하여야 합니다.
  • 오픈소스SW 라이선스를 준수하려면 라이선스 요구 사항에 대한 깊은 이해, 명확하게 정의된 컴플라이언스 프로그램, 프로세스를 관리하기 위한 효과적인 도구 및 전략이 필요합니다.
    1. 오픈소스SW 라이선스 컴플라이언스를 효과적으로 관리하려면 포괄적인 기능을 갖춘 고급 소프트웨어 구성 요소 분석(SCA) 도구가 필요합니다. SCA 도구는 정확하고 일관성이 있어야 하며, 복잡성을 처리하고, 모든 오픈소스SW를 식별하며, 오픈소스SW 라이선스 환경에 대한 최신 정보를 유지해야 합니다.
  • 기업은 오픈소스SW 라이선스 컴플라이언스를 소프트웨어 개발 프로세스에 통합하여 관련 리스크를 최소화하면서 건전한 내부 오픈소스 거버넌스 문화를 촉진할 수 있습니다.
    1. 개발자들이 사전에 라이선스 요구사항을 이해하고 라이선스의 조건을 준수할 수 있도록 컴플라이언스를 개발 프로세스의 필수 구성 요소로 포함시킴으로써 라이선스 컴플라이언스가 개발 완료 이후에 고려되는 것이 아니라 소프트웨어 개발 수명 주기의 필수적인 부분으로 인식되어야 합니다. 이는 재개발과 같은 추가 부담이나 별도의 작업을 최소화할 수 있습니다.
  • 기업은 개발자가 규정 준수 문제나 문의 사항을 효율적으로 처리할 수 있는 프로세스를 제공함으로써 개방성, 책임감, 협업 문화를 장려할 수 있습니다.
    1. 종합적인 오픈소스SW 컴플라이언스 프로세스를 구현하고 개발자들에게 교육 및 지원을 제공하며, 정기적으로 컴플라이언스 관행을 검토하고 업데이트함으로써 기업은 오픈소스SW 사용으로 인한 위험을 완화하고 오픈소스SW 커뮤니티와 협력하는 등의 오픈소스SW의 이점을 최대한 활용할 수 있습니다.
  • 컴플라이언스를 위한 또 다른 중요한 도구는 소프트웨어 자재 명세서(Software Bill of Materials, SBOM)입니다.
    1. 소프트웨어 제품이나 서비스에 투명성을 제공하는 수단으로 SBOM의 채택이 증가하고 있습니다. SBOM은 사용 중인 오픈소스SW 구성 요소 사용, 오픈소스SW 라이선스, 사용 중인 오픈소스SW 구성 요소의 보안 취약점 등을 제공합니다. 투명성은 오픈소스SW 라이선스 컴플라이언스에서 신뢰와 신용을 구축하는 데 중요합니다.
  • AI 생성 코드는 컴플라이언스 환경에서 새롭게 다루어야 할 과제입니다. AI 생성 코드를 사용하고 이를 오픈소스 컴포넌트 또는 내부적으로 개발된 소프트웨어에 통합할 때 주의해야 할 부분은 기업이 초기에 개발자들에게 정책 옵션을 구현하고 지침을 활용할 수 있도록 제공하여야 한다는 것입니다.
    1. 최근의 AI 발전으로 AI 생성 코드는 소프트웨어 작성 프로세스를 자동화함으로써 개발자의 역량을 강화하고, 코드 생성을 자동화하여 개발 프로세스를 간소화할 수 있습니다. 이러한 장점에도 불구하고 AI 시스템 소스 코드의 출처 및 라이선스 정보가 제공되지 않아 다운스트림 사용자가 정확한 SBOM을 생성하는 데 방해가 되는 문제가 발생합니다. 이는 저작권 문제, 라이선스 호환성 및 보안 취약점 문제를 추적할 수 없어 포괄적인 사이버 보안을 유지하는 데 심각한 위험을 불러일으킬 수 있습니다. AI가 보편화됨에 따라 AI 생성코드에 대한 컴플라이언스 전략을 개선하는 것은 필수적입니다.

 

※ 참고문헌

 

 

* 오픈소스SW 라이선스의 이해와 관련 의무사항들을 더 자세하게 파악하고 오픈소스SW 거버넌스를 구축하려면 정보통신산업진흥원에서 개정 발간한 「오픈소스SW 라이선스 가이드」와 「기업 오픈소스SW 거버넌스 가이드」를 참고하길 바란다.

  • 오픈소스SW 라이선스 가이드는 라이선스에 대한 전반적인 개념과 주요 준수사항과 특허 이슈, 배포 방법에 따라 차별화되는 오픈소스SW 라이선스 별 체크리스트, 오픈소스SW 라이선스 분쟁사례 등을 제공하여 라이선스 의무사항들을 보다 쉽게 이해하고 실무에 활용할 수 있도록 정리하였다.
  • 기업 오픈소스SW 거버넌스 가이드는 국내 대표 ICT 기업의 오픈소스 전문가들이 오랜 경험과 실무 지식을 바탕으로 기업에서 오픈소스SW를 활용하여 소프트웨어 제품과 서비스를 개발하고 출시할 때 오픈소스SW 정책과 프로세스를 구축하기 위해 알아야 할 사항들을 정리하였다.

 

* 참고 사항 *

정보통신산업진흥원 OpenUP(오픈소스SW 통합지원 센터)에서는 오픈소스SW 라이선스 및 보안취약점 검증 서비스, 컨설팅, 교육을 진행하고 있습니다.
아래 사항을 참고하여 신청하실 수 있습니다.

 

[오픈소스SW 라이선스 및 보안취약점 검증 서비스]

개발 중인 혹은 개발 완료된 소프트웨어에 대해 오픈소스SW 라이선스 및 보안 취약점을 확인할 수 있는 무료 서비스를 제공하고 있다. 오픈소스SW 검증 도구를 통해 사용하고 있는 오픈소스SW 목록, 오픈소스SW 라이선스, 오픈소스SW 보안 취약점 등을 확인할 수 있다.

  • 공개SW 포털(https://www.oss.kr)을 방문하여 회원 가입 후 검증 신청 양식을 작성하여 신청
  • 검증 담당자가 신청 내역 확인 후 검증 도구 계정 발급 및 매뉴얼 제공
  • 발급 받은 계정으로 검증 도구에 로그인하여 소스코드 스캔 진행 및 완료 후 검증 담당자에게 회신
  • 검증 담당자가 검증 진행 후 검증보고서 작성하여 전달
  • 검증보고서 확인 후 라이선스 이슈 조치 진행(필요한 경우 OpenUP에 컨설팅 신청 혹은 재검증 진행)

 

[오픈소스SW 라이선스 컨설팅]

특정 오픈소스SW 라이선스 문의, 의무 사항, 적용 범위, 고지 방법 등 다양한 문의사항에 대해 답변을 제공하고 있다.
다양한 채널 –공개SW포털(oss.kr), 메일(license@oss.kr), 유선문의(02-6241-6507)- 을 통해 제공하고 있으며, 공개SW포털(oss.kr)의 라이선스 문의하기 게시판을 통해서는 다른 질문자의 질문과 답변을 확인할 수 있다.

 

[오픈소스SW 라이선스 교육]

오픈소스SW와 오픈소스SW 라이선스에 대한 개념에서부터 컴플라이언스 체계 구축을 위한 방법까지 안전한 오픈소스SW 사용을 위한 교육을 온오프라인 방식을 모두 제공하고 있다.
메일(license@oss.kr), 유선문의(02-6241-6507)를 통해 오픈소스SW 라이선스 교육을 신청할 수 있으며, 내용과 일정 등은 협의를 통해 진행한다.

 

.
.
2024
공개SW 가이드/보고서 - 번호, 제목, 작성자, 조회수, 작성
번호 제목 작성자 조회수 작성
공지 [2024년] 오픈소스SW 라이선스 가이드 개정판 발간 file support 6580 2024-01-03
공지 [2024년] 기업 오픈소스SW 거버넌스 가이드 개정판 발간 file support 5190 2024-01-03
공지 [2024년] 공공 오픈소스SW 거버넌스 가이드 개정판 발간 file support 5134 2024-01-03
공지 공개 소프트웨어 연구개발(R&D) 실무 가이드라인 배포 file support 17603 2022-07-28
공지 공개소프트웨어 연구개발 수행 가이드라인 file OSS 16444 2018-04-26
498 [6월 월간브리핑]오픈소스SW 공급망 성숙도 및 관리 동향 support 440 2024-06-25
497 [기고]SBOM을 효율적으로 관리하기 위한 방안 support 520 2024-06-25
496 [기획기사]오픈소스 소프트웨어 공급망 보안 정책의 중심 ‘SBOM’ support 489 2024-06-25
495 [5월 월간브리핑]오픈소스SW, 클라우드 네이티브 생태계 성장 동력 support 981 2024-05-27
494 [기고] 모두가 이야기하지만 일부만 아는 클라우드 네이티브하다는 것에 관하여 support 2291 2024-05-27
493 [기획기사]오픈소스가 이끄는 클라우드 네이티브 혁신 support 1346 2024-05-27
492 오픈소스SW 라이선스 컴플라이언스의 중요성과 당면 과제 support 1111 2024-05-27
491 [4월 월간브리핑]오픈소스SW 기업의 라이선스 모델 전환 이슈 : 주요 논쟁과 전망 support 671 2024-04-24
490 [기획] 오픈소스SW의 경제적·사회적 가치 분석 : 기업 내 사용 현황 및 도전 요인 support 563 2024-04-24
489 오픈소스SW 라이선스 준수 체크리스트 – GPL, AGPL support 673 2024-04-24
맨 위로
맨 위로