1. 두 표준의 관계
ISO/IEC 5230과 ISO/IEC 18974는 모두 OpenChain 프로젝트가 주도하는 오픈소스 관련 국제 표준이지만, 서로 다른 문제를 다룬다. 5230은 오픈소스 라이선스 컴플라이언스(저작권 의무 이행, SBOM 관리, 컴플라이언스 산출물 배포)를 다루고, 18974는 오픈소스 보안 보증(취약점 탐지, 평가, 대응, CVD)을 다룬다. 두 표준은 완전한 상위·하위 집합 관계가 아니다. 정책, 역량, SBOM 등 9개 공통 조항을 공유하되, 5230에만 있는 조항(라이선스 컴플라이언스·산출물·기여)과 18974에만 있는 조항(표준 관행 구현·보안 보증)이 각각 존재한다.
두 표준을 동시에 준수하면 라이선스 의무 이행과 보안 취약점 관리를 하나의 통합 오픈소스 프로그램으로 운영할 수 있다. 공통 기반 문서(정책·역량 기록·SBOM 절차)는 한 번 작성으로 두 표준에 동시 활용되므로, 5230 인증 후 18974를 추가로 준비하는 데 드는 실질적 추가 작업량은 전체의 30~40% 수준이다.
2. 조항 1:1 대조표
| ISO/IEC 5230 조항 | 제목 | ISO/IEC 18974 조항 | 차이점 |
|---|---|---|---|
| §3.1.1 | 정책 | §4.1.1 | 정책·전파 절차의 정기 검토 프로세스 요건 추가 |
| §3.1.2 | 역량 | §4.1.2 | 입증자료 3건 추가 (참여자 목록·주기적 검토·내부 모범 사례 일치 검증) |
| §3.1.3 | 인식 | §4.1.3 | 보안 보증 관점의 인식 항목 추가, 입증자료 수 동일 |
| §3.1.4 | 프로그램 범위 | §4.1.4 | 입증자료 2건 추가 (성과 메트릭·지속 개선 증거) |
| — | — | §4.1.5 | 표준 관행 구현 (18974 전용 신규 — 8가지 취약점 처리 방법 문서화) |
| §3.2.1 | 외부 문의 대응 | §4.2.1 | 라이선스 문의 → 취약점 문의로 초점 전환 |
| §3.2.2 | 효과적 리소스 | §4.2.2 | 법률 자문 → 취약점 해결 전문성으로 전환, 입증자료 5건→4건 |
| §3.3.1 | SBOM | §4.3.1 | 수명주기 지속 기록·취약점 모니터링 연동 강조 |
| §3.3.2 | 라이선스 컴플라이언스 | — | 5230 전용 (18974에 없음) |
| §3.4.1 | 컴플라이언스 산출물 | — | 5230 전용 (18974에 없음) |
| §3.5.1 | 기여 | — | 5230 전용 (18974에 없음) |
| — | — | §4.3.2 | 보안 보증 (18974 전용 신규 — CVE 탐지·평가·조치·통보·모니터링 전 과정) |
| §3.6.1 | 적합성 | §4.4.1 | 명칭만 완전성으로 변경, 내용 동일 |
| §3.6.2 | 지속 기간 | §4.4.2 | 동일 |
요약
- 공통 조항: 9개 (입증자료 16개)
- 5230 전용 조항: §3.3.2, §3.4.1, §3.5.1 (입증자료 6개)
- 18974 전용 조항: §4.1.5, §4.3.2 (입증자료 3개)
- 18974에서 확장된 공통 조항: 4개 — §4.1.1, §4.1.2, §4.1.4, §4.2.2 (입증자료 6개 추가)
3. 입증자료 수 비교
| 구분 | ISO/IEC 5230 | ISO/IEC 18974 |
|---|---|---|
| 전체 입증자료 수 | 25개 | 25개 |
| 전용 조항 (입증자료) | §3.3.2·§3.4.1·§3.5.1 (6개) | §4.1.5·§4.3.2 (3개) |
| 공통 조항 내 추가 입증자료 | — | +6개 (공통 조항 확장) |
| 공통 입증자료 | 18개 | 16개 (성격 변경 포함) |
4. 두 표준 동시 준수 전략
5230을 먼저 취득한 후 18974를 추가로 준비하는 경로가 가장 효율적이다. 5230 인증 과정에서 구축한 정책 문서, 역량 기록, SBOM 절차는 18974의 공통 조항(§4.1.1~§4.1.4, §4.2.1, §4.2.2, §4.3.1, §4.4.1, §4.4.2)에 그대로 활용된다. 별도로 작성이 필요한 것은 기존 문서에 추가하는 항목들과 18974 전용 신규 조항 2개다.
18974 전용으로 새로 준비해야 하는 항목은 다음과 같다:
- §4.1.5 표준 관행 구현: 8가지 취약점 처리 방법(위협 식별, 탐지, 후속 조치, 고객 통보, 배포 후 분석, 보안 테스트, 위험 검증, 정보 수출) 각각의 절차 문서화
- §4.3.2 보안 보증:
CVE 탐지 → 위험 평가 → 조치 결정 → 수행 → 모니터링전 과정 절차 및 컴포넌트별 취약점 조치 기록 - 공통 조항 보완: §4.1.2 참여자 목록(4.1.2.3)·주기적 검토 증거(4.1.2.5)· 모범 사례 일치 검증(4.1.2.6), §4.1.4 성과 메트릭(4.1.4.2)·지속 개선 증거 (4.1.4.3) 추가 작성
5230 체계를 갖춘 조직이 18974를 추가로 준비하는 데 드는 실질적 작업량은 전체 5230 준비 작업의 약 30~40% 수준으로 예상된다.