디지털 혁신 속도 높이는 금융권, 오픈소스 관리는 ‘미흡’
오픈소스 고지 의무 등 관리 역량 부족…장기적인 컴플라이언스 관리 전략 갖춰야
인공지능(AI), 빅데이터, 클라우드, 사물인터넷(IoT) 등 4차 산업혁명 핵심 기술들이 오픈소스 기반으로 성장함에 따라 기업에서도 오픈소스 소프트웨어를 사용하는 사례가 점차 늘어나고 있다.
오픈소스는 집단지성을 이용해 개발되고 테스트되기 때문에 큰 비용을 들이지 않고도 양질의 다양한 코드를 활용할 수 있다는 것과 특정 벤더에 종속되지 않는다는 장점 때문에 다양한 산업군에서 채택되고 있다.
그러나 오픈소스라고 해서 저작권이 없을 것이라고 오해하는 경우도 종종 발생하는데, 독점적인 권리가 없을 뿐이지 저작권은 존재한다. 오픈소스 사용 시에는 개발자가 규정한 라이선스를 지켜야 하며, 이를 위반할 경우에는 라이선스 위반 및 저작권 침해가 인정돼 그에 대한 책임을 지게 된다.
금융권 오픈소스 관리 미흡
상용 소프트웨어는 물론이고 자체 개발하거나 서드파티에서 공급받은 소프트웨어에도 오픈소스가 두루 사용된다. 문제는 오픈소스 라이선스 정책에 따라 사용 중인 오픈소스를 공지해야 하는데, 엑셀 등으로 정리하는 방식을 사용하기 때문에 사후 관리가 전혀 이뤄지지 않는다는 데 있다.
실제로 KDB미래전략 연구소가 발행한 국내 오픈소스 현황 자료에 의하면, 오픈소스 라이선스에 대한 인식 부족으로 인한 국내 저작권 위반 및 법적 검토 필요 대상은 약 37%에 달해 우리나라 기업들의 오픈소스 라이선스 관리 인식이 많이 부족한 상태인 것으로 보인다.
이는 최근 디지털 트랜스포메이션을 적극 추진하고 있는 금융권도 마찬가지다. 케이엠에스테크놀로지가 공개한 ‘국내 금융권 앱의 오픈소스 고지 현황’에 의하면 국내 은행 12개 기업, 증권사 9개 기업이 앱에서 사용하고 있는 오픈소스를 고지하지 않고 있어 오픈소스 라이선스 법률 위반 문제가 발생할 여지가 있는 것으로 나타났기 때문이다.
오픈소스 라이선스·보안취약점까지 한 번에 확인
애플리케이션을 안정적으로 사용하기 위해서는 오픈소스 라이선스 관리와 보안 취약점 관리 방안이 반드시 필요하다. 이에 기업이 사용하는 앱·시스템 전체를 스캔해 사용 중인 오픈소스를 파악하고 라이선스 위반이나 충돌이 발생할 소지가 있는지 파악하며, 오픈소스 커뮤니티에서 발견한 취약점 정보와 비교해 취약점이 있는 오픈소스 컴포넌트를 사용하는지 점검해야 한다.
OSBC가 국내에 공급하는 오픈소스 라이선스 및 보안 관리 솔루션 ‘포스아이디(FossID)’는 소프트웨어 구성을 분석해 소스코드에 포함된 오픈소스를 탐지하고, 각 컴포넌트, 파일 및 스니펫 내 보안취약점을 식별한다. 이를 통해 기업은 오픈소스 라이선스 의무를 준수하고, 제품과 서비스를 안전하게 유지해 비즈니스 및 법적 위험을 최소화할 수 있다.
특히, 포스아이디의 오픈소스 검증 서비스는 자체 기술을 활용해 소스코드에서 디지털 시그니처만을 추출해 검증하기 때문에 소스코드가 불필요한 당사자에게 노출되는 것을 방지하며, 인터넷 연결 없이 기업 네트워크에서 운용이 가능한 온프레미스 버전도 제공한다.
실제로 아시아 지역의 한 은행은 포스아이디의 솔루션을 도입해 오픈소스 라이선스 위반 여부와 보안취약점에 대한 상세 리포트를 받아볼 수 있게 됐으며, 이를 토대로 비즈니스에 오픈소스를 충분히 활용할 수 있었다.
장기적인 관리 전략 요구
오픈소스는 소프트웨어 분야에서 주류로 부상하고 있고, 이에 따라 적절하고 올바른 오픈소스 활용이 기업 경쟁력 강화에 직간접적 영향을 미칠 수밖에 없다. 따라서 금융사를 비롯해 기업에서 보다 효율적인 오픈소스 사용과 관리를 위해 오픈소스 컴플라이언스 관리 전략이 필요하다.
김택완 OSBC 대표는 “오픈소스는 인터넷을 통한 일종의 온라인 공유 문화, 즉 집단지성을 통해 생성·개발되는 특징으로 인해 언택트(Untact) 시대에 적합한 개발 모델이지만, 유입 경로가 다양한 만큼 체계적인 관리가 반드시 필요하다”며 “디지털 트랜스포메이션이 가속화되는 환경에 적응하는 가운데 안전한 오픈소스 관리는 곧 기업의 역량 강화로 이어지기에 장기적인 시각에서 오픈소스 컴플라이언스 관리 전략을 갖춰야 한다”고 강조했다.
[출처] 데이터넷(http://www.datanet.co.kr/news/articleView.html?idxno=152657)
