Q> 금융분야 오픈소스 소프트웨어 활용.관리(SW공급망 보안) 방안에 대한 문의
금융감독원으로 부터 "금융분야 오픈소스 소프트웨어 활용.관리 안내서"을 내려받고 이에 대한 준비를 하고 있다.
단순히 제품이나 솔루션 도입만으로 해결될 수 있는 내용이 아니라, 개발단계, 운영단계, 조직구성, 역할정의, SBOM작성 등 광범위한 요구사항들이 있는 것 같은데,
이 것을 반드시 준비를 해야 하는것인지?, 어떻게 준비해야 하는지?에 대한 문의 였음
A>
ㅇ "반드시 준비해야 하는가?"에 대하여
- 오픈소스 소프트웨어 이용에 대해, 전자금융감독규정 제21조(정보처리시스템 구축 및 전자금융거래 관련 계약)에서는,
- “5. 구매 또는 개발한 제품의 소유권, 저작권 및 지적재산권 등의 귀속관계를 명확히 하여 사후 분쟁이 발생하지 않도록 할 것”이라고 명시되었으며,
- 이 조항은 최근에 추가된 것이 아니라 이미 2013년부터 존재하고 있었고, RFP와 같이 계약서와 이에 준하는 서류에 명시되어 있었으나 구체적인 요구사항이나 가이드가 있지 않았다.
- 최근 Log4J 보안 취약점 이슈와 SBOM을 의무화하려는 해외(미국, 유럽) 정책동향에 따라 금감원은 안내서를 제작 및 배포, OSS라이선스 준수와 보안체계관리를 안내하고 있다.
- 이 안내서의 요구사항을 보면, OSS관리는 컴플라이언스와 보안을 함께 요구하는 사항이며, 관리감독 규제에 대한 예고로 이해하는 것이 피감기관 입장에서 이로울 것으로 판단된다.
- 또한, 대형 금융회사들뿐만 아니라 전자전기, 제조, 자동차 등 주요 대규모 사업자들은 필요에 의해서 이미 오래전부터 조직을 구성하고 필요한 솔루션을 도입하여 운영중이기도 하다.
ㅇ "어떻게 준비해야 하는가?"에 대하여
- 금감원의 안내서는 OSS의 체계적 컴플라이언스 및 보안관리를 위해 필요한 핵심사항들을 잘 정리 및 요약하고 있다.
- 또한, “부록1 오픈소스 소프트웨어 관리 절차별 점검 체크리스트”는 전반적인 조직의 OSS관리현황을 파악하고, 향후 계획수립에 크게 도움되는 내용들이다.
- 안내서의 별첨에 있는 국내외 참고자료들을 참고하고, 리눅스 재단의 OpenSSF(Open Source Security Foundation) 가이드들 참고하면 관리체계를 설계하는데 크게 도움이 될 것이다.
- 그러나, 인적자원이나 시간적 부족으로 당사와 같은 컨설팅기업에 의뢰하는 방법도 내외부 이해관계 충돌 해소, 책임성 관리 등의 측면에서 효과적 전략이기도 하다
- “어떻게 준비해야 하는가?”에 대하여 일반적인 절차를 요약하면 아래와 같다.
- Step-1. 우선은 금감원의 안내서 내용을 파악한다(알아야 면장을 한다)
- Step-2. 모든 S/W를 목록화 하고 오픈소스 소프트웨어의 현황을 파악한다(내외부 이해관계자들의 협조와 자동화 도구 사용이 필수다)
- Step-3. 조직의 OSS 관리정책 및 관리체계 설계하고 단계적 추진계획을 수립한다(타사 사례 또는 관련 참조모델 등이 크게 도움이 된다)
- Step-4. 수립된 단계적 계획을 추진하고 지속적으로 관리체계 모니터링과 개선을 한다.
(*) 다음 시간에는 기업 담당자들이 어려워하는 OSS 의존성의 유형과 SBOM 작성 및 검증에 대하여 준비하겠으며,
당사가 보유한 템플릿, 체크리스트, 자동화 도구 등은 크게 도움이 될 것이다. (Contact point: oss@wikisecurity.net)