1 - §3.2.1 외부 문의 대응
1. 조항 개요
소프트웨어를 배포하는 기업은 제3자(고객, 오픈소스 저작권자, 연구자 등)로부터 오픈소스 라이선스 컴플라이언스에 관한 문의를 받을 수 있다. 이 문의에 제때 응답하지 못하면 저작권 침해 분쟁으로 확대될 위험이 있다. §3.2.1은 외부 문의를 접수할 수 있는 공개된 연락 수단을 마련하고, 내부적으로는 문의에 체계적으로 대응하기 위한 절차를 문서화하도록 요구한다. 이 조항은 공개 채널(입증자료 3.2.1.1)과 내부 대응 절차(입증자료 3.2.1.2) 두 가지를 모두 갖출 것을 요구한다.
2. 해야 할 활동
- 제3자가 오픈소스 라이선스 컴플라이언스 문의를 보낼 수 있는 공개 연락처(이메일 주소, 웹폼 등)를 제품 또는 웹사이트에 명시한다.
- 외부 문의 접수부터 검토·답변·종결까지의 내부 대응 절차를 문서화한다.
- 문의 유형별 담당자(오픈소스 프로그램 매니저, 법무 담당 등)와 에스컬레이션 경로를 절차에 포함한다.
- 문의 접수 및 대응 이력을 기록하고 보관한다.
- 정기적으로 공개 연락처 유효성과 내부 절차의 최신성을 점검한다.
3. 요구사항 및 입증자료
| 조항 번호 | 요구사항 (KO) | 입증자료 |
|---|---|---|
| §3.2.1 | 외부의 오픈소스 문의에 효과적으로 대응하기 위한 프로세스를 유지해야 한다. 제3자가 오픈소스 컴플라이언스 문의를 할 수 있는 수단을 공개적으로 밝혀야 한다. | 3.2.1.1 제3자가 오픈소스 라이선스 컴플라이언스에 대해 문의할 수 있는 공개된 방법 3.2.1.2 제3자의 오픈소스 라이선스 컴플라이언스 문의에 대응하기 위한 내부의 문서화된 절차 |
영문 원문 보기
§3.2.1 Access Maintain a process to effectively respond to external open source inquiries. Publicly identify a means by which a third party can make an open source compliance inquiry.
Verification Material(s): 3.2.1.1 Publicly visible method that allows any third party to make an open source license compliance inquiry (e.g., via a published contact email address, or the OpenChain Conformance website). 3.2.1.2 An internal documented procedure for responding to third party open source license compliance inquiries.
4. 입증자료별 준수 방법 및 샘플
3.2.1.1 공개된 외부 문의 채널
준수 방법
제3자가 오픈소스 라이선스 컴플라이언스에 관한 문의를 보낼 수 있는 수단을 공개적으로 명시해야 한다. 가장 일반적인 방법은 전용 이메일 주소(예: oss@company.com)를 제품 설명서, 소프트웨어 오픈소스 고지문, 또는 회사 웹사이트에 게시하는 것이다. 이 공개 연락처 자체가 입증자료 3.2.1.1이다.
연락처는 담당자 개인 이메일이 아닌 역할 기반 주소(role-based address)를 사용하는 것이 좋다. 담당자가 변경되더라도 주소가 유지되며, 문의가 누락되지 않도록 팀 메일함으로 관리하는 것이 바람직하다. OpenChain Conformance 웹사이트에 연락처를 등록하는 방법도 활용할 수 있다.
고려사항
- 역할 기반 주소 사용: 개인 이메일 대신 oss@company.com과 같은 역할 기반 주소를 사용하여 담당자 변경에 대비한다.
- 게시 위치: 제품 매뉴얼, 오픈소스 고지문(NOTICES 파일), 회사 웹사이트 등 제3자가 쉽게 찾을 수 있는 위치에 게시한다.
- 응답 가능성 확인: 게시된 연락처가 실제로 수신되고 모니터링되는지 정기적으로 점검한다.
- 다국어 고려: 글로벌 제품의 경우 영문 연락처도 함께 제공한다.
샘플
아래는 제품 오픈소스 고지문 또는 웹사이트에 게시하는 공개 연락처 샘플이다.
오픈소스 라이선스 컴플라이언스 문의
이 소프트웨어에 포함된 오픈소스 컴포넌트의 라이선스 컴플라이언스에 관한
문의는 아래 이메일로 연락해 주십시오.
- 이메일: oss@company.com
- 응답 기간: 영업일 기준 14일 이내
Open Source License Compliance Inquiry
For inquiries regarding open source license compliance of this software,
please contact: oss@company.com
3.2.1.2 내부 외부 문의 대응 절차
준수 방법
외부 문의가 접수되었을 때 어떻게 처리할지를 정의한 내부 절차를 문서화해야 한다. 절차에는 ①문의 접수 및 분류, ②담당자 배정, ③검토 및 답변 작성, ④법무 검토 (필요 시), ⑤답변 발송, ⑥기록 보관의 단계가 포함되어야 한다. 이 절차 문서가 입증자료 3.2.1.2다.
답변 기한은 합리적인 범위에서 설정하고 절차에 명시한다. 일반적으로 14일 이내 초기 응답, 60일 이내 최종 답변을 기준으로 삼는 경우가 많다. 문의 접수·처리· 종결 이력은 사내 시스템에 기록하여 감사 시 제출할 수 있도록 보관한다.
고려사항
- 담당자 및 에스컬레이션: 1차 담당자(오픈소스 프로그램 매니저)와 법무 검토 에스컬레이션 경로를 절차에 명시한다.
- 응답 기한: 초기 응답과 최종 답변의 기한을 절차에 명시하고 준수한다.
- 기록 보관: 문의 내용, 검토 과정, 최종 답변을 기록하고 최소 3년간 보관한다.
- 유형별 대응: 라이선스 고지 요청, 소스코드 제공 요청, 저작권 침해 주장 등 문의 유형별 대응 방법을 절차에 포함한다.
샘플
아래는 외부 문의 대응 절차 개요 샘플이다.
[외부 오픈소스 문의 대응 절차]
1. 접수 및 분류 (1영업일 이내)
- oss@company.com 수신함을 매일 확인한다.
- 문의를 유형별로 분류한다:
A. 오픈소스 고지문 또는 소스코드 제공 요청
B. 라이선스 의무 준수 여부 확인 요청
C. 저작권 침해 주장 또는 법적 경고
2. 담당자 배정 및 초기 응답 (3영업일 이내)
- 오픈소스 프로그램 매니저가 문의를 검토하고 수신 확인 답변을 발송한다.
- C유형(법적 경고)은 즉시 법무 담당에게 에스컬레이션한다.
3. 검토 및 답변 작성 (14영업일 이내)
- 관련 SBOM, 라이선스 기록, 컴플라이언스 산출물을 검토한다.
- A유형: 고지문 또는 소스코드를 확인하여 제공한다.
- B유형: 컴플라이언스 이행 증거를 검토하여 답변한다.
- 필요 시 법무 담당에게 답변 초안 검토를 의뢰한다.
4. 답변 발송 및 종결
- 최종 답변을 발송하고 문의를 종결 처리한다.
5. 기록 보관
- 문의 내용, 검토 과정, 최종 답변을 문서화하여 최소 3년간 보관한다.
5. 참고
- 관련 가이드: 기업 오픈소스 관리 가이드 — 3. 프로세스
- 관련 템플릿: 오픈소스 정책 템플릿 — §9 외부 문의 대응
2 - §3.2.2 효과적 리소스
1. 조항 개요
오픈소스 프로그램이 실제로 작동하려면 역할을 정의하는 것만으로는 부족하다. 각 역할을 담당할 실제 인원이 배정되고, 업무 수행에 필요한 시간과 예산이 충분히 지원되어야 한다. §3.2.2는 프로그램 역할별 담당자를 문서로 명시하고, 인원 배치와 예산이 적절히 이루어졌음을 확인하며, 법률 자문 접근 방법과 내부 책임 할당 절차, 미준수 사례 처리 절차를 갖출 것을 요구한다. 이 조항은 5개의 입증자료 항목으로 구성되어 §3.1 프로그램 기반에서 정의한 역할 구조를 실제 운영 체계로 구현하는 단계다.
2. 해야 할 활동
- 프로그램 내 각 역할(오픈소스 프로그램 매니저, 법무 담당, IT 담당 등)을 맡은 담당자의 이름 또는 직무를 문서에 기재한다.
- 각 역할 담당자가 업무를 수행할 수 있도록 충분한 시간과 예산이 배정되었음을 확인하고 기록한다.
- 오픈소스 라이선스 컴플라이언스 관련 법적 문제 발생 시 이용할 수 있는 내부 또는 외부 법률 자문 수단을 식별하고 문서화한다.
- 오픈소스 컴플라이언스 내부 책임을 각 역할에 할당하는 절차를 문서화한다.
- 컴플라이언스 미준수 사례를 발견했을 때 검토하고 시정하는 절차를 문서화한다.
3. 요구사항 및 입증자료
| 조항 번호 | 요구사항 (KO) | 입증자료 |
|---|---|---|
| §3.2.2 | 프로그램 업무를 식별하고 리소스를 제공한다: 프로그램 업무의 성공적 수행을 위한 책임을 할당한다 / 프로그램 업무에 충분한 리소스(시간·예산)를 제공한다 / 법적 전문성에 접근할 수 있는 방법을 확보한다 / 미준수 사례 검토 및 시정 프로세스를 마련한다 | 3.2.2.1 프로그램 내 각 역할을 담당하는 인원, 그룹 또는 직무의 이름을 기재한 문서 3.2.2.2 프로그램 내 각 역할을 담당하는 인원이 적합하게 배치되고, 예산이 적절하게 지원되어야 함 3.2.2.3 오픈소스 라이선스 컴플라이언스 문제 해결을 위해 내부 또는 외부의 전문 법률 자문을 이용할 수 있는 방법 3.2.2.4 오픈소스 컴플라이언스에 대한 내부 책임을 할당하는 문서화된 절차 3.2.2.5 미준수 사례를 검토하고 이를 수정하기 위한 문서화된 절차 |
영문 원문 보기
§3.2.2 Effectively Resourced Identify and Resource Program Task(s):
- Assign accountability to ensure the successful execution of program tasks.
- Program tasks are sufficiently resourced:
- Time to perform the tasks has been allocated;
- Adequate funding has been allocated;
- A process exists for the review and resolution of open source license compliance failures;
- Legal expertise pertaining to open source license compliance is accessible to those that may need such guidance; and
- A process exists for the escalation of open source license compliance issues.
Verification Material(s): 3.2.2.1 A document with the names of the persons, group or function in program role(s) identified. 3.2.2.2 The identified program roles have been properly staffed and adequate funding provided. 3.2.2.3 Identification of legal expertise available to address open source license compliance matters which could be internal or external. 3.2.2.4 A documented procedure that assigns internal responsibilities for open source compliance. 3.2.2.5 A documented procedure for handling the review and remediation of non-compliant cases.
4. 입증자료별 준수 방법 및 샘플
3.2.2.1 역할 담당자 명시 문서
준수 방법
프로그램의 각 역할을 실제로 담당하는 인원의 이름, 그룹명, 또는 직무명을 기재한 문서를 작성해야 한다. 이 문서는 §3.1.2.1의 역할·책임 목록 문서에 담당자 정보를 추가하는 형태로 관리하거나, 오픈소스 정책 Appendix에 담당자 현황표로 포함할 수 있다. 특정 개인 이름 대신 직무명(오픈소스 프로그램 매니저, 법무팀장 등)을 사용해도 무방하며, 조직 변경 시 즉시 갱신해야 한다.
고려사항
- 개인명 또는 직무명: 이름 대신 직무명을 사용하면 인사 변동 시에도 문서를 자주 갱신할 필요가 줄어든다.
- 겸임 명시: 한 사람이 여러 역할을 담당하는 경우 모든 역할에 해당 사실을 기재한다.
- 갱신 관리: 조직 변경·인사 이동 발생 시 즉시 문서를 업데이트하고 버전을 기록한다.
샘플
아래는 역할 담당자 현황표 샘플이다. 오픈소스 정책 템플릿 Appendix 1에서 전체 양식을 확인할 수 있다.
| 역할 | 담당자 | 연락처 |
|------|--------|--------|
| 오픈소스 프로그램 매니저 | 홍길동 (개발팀장) | oss@company.com |
| 법무 담당 | 김법무 (법무팀장) | legal@company.com |
| IT 담당 | 이인프라 (인프라팀) | it-oss@company.com |
| 보안 담당 | 박보안 (보안팀) | security@company.com |
| 개발 문화 담당 | 최문화 (HR팀) | culture@company.com |
3.2.2.2 인원 배치 및 예산 지원 확인
준수 방법
각 역할 담당자가 오픈소스 프로그램 업무를 수행할 수 있도록 충분한 시간과 예산이 배정되었음을 확인하고 그 근거를 기록해야 한다. 별도의 전담 조직이 없는 경우에도 겸임 담당자가 해당 업무에 투입할 수 있는 시간이 확보되었는지, 도구 구매나 교육비 등 필요 예산이 편성되었는지를 확인하는 내부 기록이 있어야 한다. 경영진 승인이 포함된 예산 계획서나 업무 분장 문서가 이 입증자료에 해당할 수 있다.
고려사항
- 전담 여부 명시: 전담 인원인지 겸임인지를 기록하고, 겸임의 경우 투입 비율(예: 업무 시간의 20%)을 명시한다.
- 예산 근거 보관: 도구 구매 계약서, 교육비 집행 내역, 외부 컨설팅 계약 등 예산 지원을 증명하는 기록을 보관한다.
- 경영진 확인: 인원 배치와 예산 지원에 대한 경영진 승인 또는 확인 기록을 유지한다.
샘플
[오픈소스 프로그램 리소스 배정 확인서]
프로그램 연도: 2026년
승인자: [임원명] / 승인일: 2026-01-10
| 역할 | 담당자 | 투입 비율 | 연간 예산 |
|------|--------|-----------|-----------|
| 오픈소스 프로그램 매니저 | 홍길동 | 50% | - |
| 법무 담당 | 김법무 | 20% | - |
| IT 담당 (도구 운영) | 이인프라 | 10% | 도구 라이선스 비용 포함 |
| 교육 예산 | - | - | 연간 OOO만 원 |
| 외부 법률 자문 예산 | - | - | 필요 시 집행 |
3.2.2.3 법률 자문 접근 방법
준수 방법
오픈소스 라이선스 컴플라이언스와 관련된 법적 문제가 발생했을 때 전문 법률 자문을 받을 수 있는 방법을 식별하고 문서화해야 한다. 내부 법무팀이 있는 경우 해당 팀의 연락처와 에스컬레이션 절차를 기록하고, 내부 법무팀이 없거나 전문성이 부족한 경우 외부 법무법인 또는 오픈소스 컨설팅 전문가를 활용하는 방법을 문서에 명시한다.
고려사항
- 내부 vs. 외부: 내부 법무팀 활용 방법과 외부 자문 의뢰 기준을 모두 명시한다.
- 에스컬레이션 기준: 어떤 상황에서 법률 자문을 받아야 하는지(저작권 침해 주장, 비표준 라이선스, 특허 조항 등) 기준을 절차에 포함한다.
- 외부 자문 목록 관리: 오픈소스 전문 외부 법무법인 또는 컨설턴트 정보를 최신 상태로 유지한다.
샘플
[법률 자문 접근 방법]
내부 법무팀:
- 담당: 법무팀 (legal@company.com)
- 에스컬레이션 기준: 저작권 침해 주장 접수, GPL 계열 라이선스 의무
해석 불확실, 비표준 라이선스 검토 필요 시
외부 법률 자문:
- 활용 기준: 내부 법무팀에서 판단이 어려운 복잡한 법적 분쟁 발생 시
- 계약 현황: [외부 법무법인명] (연간 자문 계약 체결)
- 오픈소스 전문 컨설팅: OpenChain 파트너사 목록 참조
3.2.2.4 내부 책임 할당 절차
준수 방법
오픈소스 컴플라이언스와 관련된 내부 책임을 각 역할에 명확히 할당하는 절차를 문서화해야 한다. 이 절차는 누가 무엇을 책임지는지를 정의하며, 오픈소스 사용 승인, SBOM 생성, 라이선스 검토, 컴플라이언스 산출물 배포 등 각 업무 단계별 책임자를 명시한다. 이 절차 문서는 오픈소스 정책 또는 프로세스 문서에 포함할 수 있다.
고려사항
- 업무 단계별 책임 명시: 오픈소스 도입, 검토, 승인, 배포 각 단계마다 책임자를 지정한다.
- RACI 활용: 역할별 책임(Responsible, Accountable, Consulted, Informed)을 RACI 매트릭스로 정의하면 명확성이 높아진다.
- 갱신 주기: 조직 변경 또는 프로세스 변경 시 절차를 즉시 갱신한다.
샘플
| 업무 | 오픈소스 PM | 법무 담당 | IT 담당 | 보안 담당 | 개발자 |
|------|------------|-----------|---------|-----------|--------|
| 오픈소스 사용 승인 | A | C | - | C | R |
| 라이선스 의무 검토 | R | A | - | - | I |
| SBOM 생성 | A | - | R | - | C |
| 취약점 모니터링 | I | - | C | A/R | I |
| 컴플라이언스 산출물 배포 | A | C | R | - | I |
| 외부 문의 대응 | A/R | C | - | - | - |
R: 실행 책임 / A: 최종 책임 / C: 협의 / I: 정보 공유
3.2.2.5 미준수 사례 검토 및 시정 절차
준수 방법
오픈소스 컴플라이언스 미준수 사례(라이선스 의무 불이행, SBOM 누락, 무승인 오픈소스 사용 등)가 발견되었을 때 이를 검토하고 시정하는 절차를 문서화해야 한다. 절차에는 ①미준수 사례 식별 및 보고, ②심각도 평가, ③원인 분석, ④시정 조치, ⑤재발 방지 대책, ⑥기록 보관이 포함되어야 한다.
미준수 사례는 내부 감사, 외부 문의, 자동화 도구 알림 등 다양한 경로로 발견될 수 있다. 심각도에 따라 긴급 조치(배포 중단, 소스코드 즉시 공개 등)와 일반 조치를 구분하여 처리 기한을 다르게 설정하는 것이 효과적이다.
고려사항
- 심각도 분류: 미준수 사례의 법적 리스크에 따라 심각도(높음/중간/낮음)를 분류하고 처리 기한을 다르게 설정한다.
- 에스컬레이션: 심각도가 높은 사례는 경영진 보고 및 법무 검토를 의무화한다.
- 재발 방지: 시정 조치 완료 후 동일 유형의 미준수가 재발하지 않도록 프로세스 개선 방안을 도출하고 기록한다.
- 기록 보관: 미준수 사례 이력과 시정 완료 기록을 최소 3년간 보관한다.
샘플
[미준수 사례 처리 절차]
1. 식별 및 보고
- 내부 감사, 외부 문의, CI/CD 도구 알림 등을 통해 미준수 사례를 식별한다.
- 오픈소스 프로그램 매니저에게 즉시 보고한다.
2. 심각도 평가
- 높음: 배포된 소프트웨어의 GPL 소스코드 미공개, 저작권 침해 주장 접수
→ 48시간 이내 긴급 검토 착수
- 중간: SBOM 누락, 라이선스 고지문 불완전
→ 7영업일 이내 시정 조치 완료
- 낮음: 내부 프로세스 미준수 (승인 절차 생략 등)
→ 30일 이내 시정 조치 완료
3. 원인 분석 및 시정 조치
- 미준수 원인을 파악하고 시정 방안을 수립한다.
- 높음·중간 사례는 법무 담당과 협의 후 조치한다.
4. 재발 방지
- 프로세스 또는 교육 개선 방안을 도출하고 이행한다.
5. 기록 보관
- 사례 내용, 조치 경과, 완료 일자를 기록하고 최소 3년간 보관한다.
5. 참고
- 관련 가이드: 기업 오픈소스 관리 가이드 — 1. 조직
- 관련 템플릿: 오픈소스 정책 템플릿 — Appendix 1. 담당자 현황