구체적인 문의 내용
금융감독원으로 부터 “금융분야 오픈소스 소프트웨어 활용.관리 안내서”을 내려받고 이에 대한 준비를 하고 있다. 단순히 제품이나 솔루션 도입만으로 해결될 수 있는 내용이 아니라, 개발단계, 운영단계, 조직구성, 역할정의, SBOM작성 등 광범위한 요구사항들이 있는 것 같은데, 이것을 반드시 준비를 해야 하는 것인지?, 어떻게 준비해야 하는지?
반드시 준비해야 하는가?
오픈소스 소프트웨어 이용에 대해, 전자금융감독규정 제21조(정보처리시스템 구축 및 전자금융거래 관련 계약)에서는, “5. 구매 또는 개발한 제품의 소유권, 저작권 및 지적재산권 등의 귀속관계를 명확히 하여 사후 분쟁이 발생하지 않도록 할 것”이라고 명시되었으며, 이 조항은 최근에 추가된 것이 아니라 이미 2013년부터 존재하고 있었고, RFP와 같이 계약서와 이에 준하는 서류에 명시되어 있었으나 구체적인 요구사항이나 가이드가 있지 않았다.
최근 Log4J 보안 취약점 이슈와 SBOM을 의무화하려는 해외(미국, 유럽) 정책동향에 따라 금감원은 안내서를 제작 및 배포, OSS라이선스 준수와 보안체계관리를 안내하고 있다. 이 안내서의 요구 사항을 보면, OSS관리는 컴플라이언스와 보안을 함께 요구하는 사항이며, 관리감독 규제에 대한 예고로 이해하는 것이 피감기관 입장에서 이로울 것으로 판단된다. 또한, 대형 금융회사들 뿐만 아니라 전자전기, 제조, 자동차 등 주요 대규모 사업자들은 필요에 의해서 이미 오래전부터 조직을 구성하고 필요한 솔루션을 도입하여 운영 중이기도 하다.
어떻게 준비해야 하는가?
금감원의 안내서는 OSS의 체계적 컴플라이언스 및 보안관리를 위해 필요한 핵심사항들을 잘 정리 및 요약하고 있다. 또한, “부록1 오픈소스 소프트웨어 관리 절차별 점검 체크리스트”는 전반적인 조직의 OSS관리현황을 파악하고, 향후 계획수립에 크게 도움되는 내용들이다. 안내서의 별첨에 있는 국내외 참고자료들을 참고하고, 리눅스 재단의 OpenSSF(Open Source Security Foundation) 가이드들 참고하면 관리체계를 설계하는데 크게 도움이 될 것이다.
그러나, 인적자원이나 시간적 부족으로 당사와 같은 컨설팅기업에 의뢰하는 방법도 내외부 이해관계 충돌 해소, 책임성 관리 등의 측면에서 효과적 전략이기도 하다 “어떻게 준비해야 하는가?”에 대하여 일반적인 절차를 요약하면 아래와 같다.
<일반적인 준비 절차>
- 우선은 금감원의 안내서 내용을 파악한다(알아야 면장을 한다)
- 모든 S/W를 목록화 하고 오픈소스 소프트웨어의 현황을 파악한다(내외부 이해관계자들의 협조와 자동화 도구 사용이 필수다)
- 조직의 OSS 관리정책 및 관리체계 설계하고 단계적 추진계획을 수립한다(타사 사례 또는 관련 참조모델 등이 크게 도움이 된다)
- 수립된 단계적 계획을 추진하고 지속적으로 관리체계 모니터링과 개선을 한다.
(*) 다음 시간에는 기업 담당자들이 어려워하는 OSS 의존성의 유형과 SBOM 작성 및 검증에 대하여 준비하겠으며,
당사가 보유한 템플릿, 체크리스트, 자동화 도구 등은 크게 도움이 될 것이다. (Contact point: oss@wikisecurity.net)