- 오픈소스 소프트웨어 이용에 대해, 전자금융감독규정 제21조(정보처리시스템 구축 및 전자금융거래 관련 계약)에서는,
- “5. 구매 또는 개발한 제품의 소유권, 저작권 및 지적재산권 등의 귀속관계를 명확히 하여 사후 분쟁이 발생하지 않도록 할 것”이라고 명시되었으며,
- 이 조항은 최근에 추가된 것이 아니라 이미 2013년부터 존재하고 있었고, RFP와 같이 계약서와 이에 준하는 서류에 명시되어 있었으나 구체적인 요구사항이나 가이드가 있지 않았다.
- 최근 Log4J 보안 취약점 이슈와 SBOM을 의무화하려는 해외(미국, 유럽) 정책동향에 따라 금감원은 안내서를 제작 및 배포, OSS라이선스 준수와 보안체계관리를 안내하고 있다.
- 이 안내서의 요구사항을 보면, OSS관리는 컴플라이언스와 보안을 함께 요구하는 사항이며, 관리감독 규제에 대한 예고로 이해하는 것이 피감기관 입장에서 이로울 것으로 판단된다.
- 또한, 대형 금융회사들뿐만 아니라 전자전기, 제조, 자동차 등 주요 대규모 사업자들은 필요에 의해서 이미 오래전부터 조직을 구성하고 필요한 솔루션을 도입하여 운영중이기도 하다.
- 금감원의 안내서는 OSS의 체계적 컴플라이언스 및 보안관리를 위해 필요한 핵심사항들을 잘 정리 및 요약하고 있다.
- 또한, “부록1 오픈소스 소프트웨어 관리 절차별 점검 체크리스트”는 전반적인 조직의 OSS관리현황을 파악하고, 향후 계획수립에 크게 도움되는 내용들이다.
- 안내서의 별첨에 있는 국내외 참고자료들을 참고하고, 리눅스 재단의 OpenSSF(Open Source Security Foundation) 가이드들 참고하면 관리체계를 설계하는데 크게 도움이 될 것이다.
- 그러나, 인적자원이나 시간적 부족으로 당사와 같은 컨설팅기업에 의뢰하는 방법도 내외부 이해관계 충돌 해소, 책임성 관리 등의 측면에서 효과적 전략이기도 하다
- “어떻게 준비해야 하는가?”에 대하여 일반적인 절차를 요약하면 아래와 같다.
(*) 다음 시간에는 기업 담당자들이 어려워하는 OSS 의존성의 유형과 SBOM 작성 및 검증에 대하여 준비하겠으며,
당사가 보유한 템플릿, 체크리스트, 자동화 도구 등은 크게 도움이 될 것이다. (Contact point: oss@wikisecurity.net)