이 섹션의 다중 페이지 출력 화면임. 여기를 클릭하여 프린트.

이 페이지의 일반 화면으로 돌아가기.

§3.2.2 효과적 리소스

    1. 조항 개요

    오픈소스 프로그램이 실제로 작동하려면 역할을 정의하는 것만으로는 부족하다. 각 역할을 담당할 실제 인원이 배정되고, 업무 수행에 필요한 시간과 예산이 충분히 지원되어야 한다. §3.2.2는 프로그램 역할별 담당자를 문서로 명시하고, 인원 배치와 예산이 적절히 이루어졌음을 확인하며, 법률 자문 접근 방법과 내부 책임 할당 절차, 미준수 사례 처리 절차를 갖출 것을 요구한다. 이 조항은 5개의 입증자료 항목으로 구성되어 §3.1 프로그램 기반에서 정의한 역할 구조를 실제 운영 체계로 구현하는 단계다.

    2. 해야 할 활동

    • 프로그램 내 각 역할(오픈소스 프로그램 매니저, 법무 담당, IT 담당 등)을 맡은 담당자의 이름 또는 직무를 문서에 기재한다.
    • 각 역할 담당자가 업무를 수행할 수 있도록 충분한 시간과 예산이 배정되었음을 확인하고 기록한다.
    • 오픈소스 라이선스 컴플라이언스 관련 법적 문제 발생 시 이용할 수 있는 내부 또는 외부 법률 자문 수단을 식별하고 문서화한다.
    • 오픈소스 컴플라이언스 내부 책임을 각 역할에 할당하는 절차를 문서화한다.
    • 컴플라이언스 미준수 사례를 발견했을 때 검토하고 시정하는 절차를 문서화한다.

    3. 요구사항 및 입증자료

    조항 번호요구사항 (KO)입증자료
    §3.2.2프로그램 업무를 식별하고 리소스를 제공한다: 프로그램 업무의 성공적 수행을 위한 책임을 할당한다 / 프로그램 업무에 충분한 리소스(시간·예산)를 제공한다 / 법적 전문성에 접근할 수 있는 방법을 확보한다 / 미준수 사례 검토 및 시정 프로세스를 마련한다3.2.2.1 프로그램 내 각 역할을 담당하는 인원, 그룹 또는 직무의 이름을 기재한 문서
    3.2.2.2 프로그램 내 각 역할을 담당하는 인원이 적합하게 배치되고, 예산이 적절하게 지원되어야 함
    3.2.2.3 오픈소스 라이선스 컴플라이언스 문제 해결을 위해 내부 또는 외부의 전문 법률 자문을 이용할 수 있는 방법
    3.2.2.4 오픈소스 컴플라이언스에 대한 내부 책임을 할당하는 문서화된 절차
    3.2.2.5 미준수 사례를 검토하고 이를 수정하기 위한 문서화된 절차
    영문 원문 보기

    §3.2.2 Effectively Resourced Identify and Resource Program Task(s):

    • Assign accountability to ensure the successful execution of program tasks.
    • Program tasks are sufficiently resourced:
      • Time to perform the tasks has been allocated;
      • Adequate funding has been allocated;
      • A process exists for the review and resolution of open source license compliance failures;
      • Legal expertise pertaining to open source license compliance is accessible to those that may need such guidance; and
      • A process exists for the escalation of open source license compliance issues.

    Verification Material(s): 3.2.2.1 A document with the names of the persons, group or function in program role(s) identified. 3.2.2.2 The identified program roles have been properly staffed and adequate funding provided. 3.2.2.3 Identification of legal expertise available to address open source license compliance matters which could be internal or external. 3.2.2.4 A documented procedure that assigns internal responsibilities for open source compliance. 3.2.2.5 A documented procedure for handling the review and remediation of non-compliant cases.

    4. 입증자료별 준수 방법 및 샘플

    3.2.2.1 역할 담당자 명시 문서

    준수 방법

    프로그램의 각 역할을 실제로 담당하는 인원의 이름, 그룹명, 또는 직무명을 기재한 문서를 작성해야 한다. 이 문서는 §3.1.2.1의 역할·책임 목록 문서에 담당자 정보를 추가하는 형태로 관리하거나, 오픈소스 정책 Appendix에 담당자 현황표로 포함할 수 있다. 특정 개인 이름 대신 직무명(오픈소스 프로그램 매니저, 법무팀장 등)을 사용해도 무방하며, 조직 변경 시 즉시 갱신해야 한다.

    고려사항

    • 개인명 또는 직무명: 이름 대신 직무명을 사용하면 인사 변동 시에도 문서를 자주 갱신할 필요가 줄어든다.
    • 겸임 명시: 한 사람이 여러 역할을 담당하는 경우 모든 역할에 해당 사실을 기재한다.
    • 갱신 관리: 조직 변경·인사 이동 발생 시 즉시 문서를 업데이트하고 버전을 기록한다.

    샘플

    아래는 역할 담당자 현황표 샘플이다. 오픈소스 정책 템플릿 Appendix 1에서 전체 양식을 확인할 수 있다.

    | 역할 | 담당자 | 연락처 |
|------|--------|--------|
| 오픈소스 프로그램 매니저 | 홍길동 (개발팀장) | oss@company.com |
| 법무 담당 | 김법무 (법무팀장) | legal@company.com |
| IT 담당 | 이인프라 (인프라팀) | it-oss@company.com |
| 보안 담당 | 박보안 (보안팀) | security@company.com |
| 개발 문화 담당 | 최문화 (HR팀) | culture@company.com |

    3.2.2.2 인원 배치 및 예산 지원 확인

    준수 방법

    각 역할 담당자가 오픈소스 프로그램 업무를 수행할 수 있도록 충분한 시간과 예산이 배정되었음을 확인하고 그 근거를 기록해야 한다. 별도의 전담 조직이 없는 경우에도 겸임 담당자가 해당 업무에 투입할 수 있는 시간이 확보되었는지, 도구 구매나 교육비 등 필요 예산이 편성되었는지를 확인하는 내부 기록이 있어야 한다. 경영진 승인이 포함된 예산 계획서나 업무 분장 문서가 이 입증자료에 해당할 수 있다.

    고려사항

    • 전담 여부 명시: 전담 인원인지 겸임인지를 기록하고, 겸임의 경우 투입 비율(예: 업무 시간의 20%)을 명시한다.
    • 예산 근거 보관: 도구 구매 계약서, 교육비 집행 내역, 외부 컨설팅 계약 등 예산 지원을 증명하는 기록을 보관한다.
    • 경영진 확인: 인원 배치와 예산 지원에 대한 경영진 승인 또는 확인 기록을 유지한다.

    샘플

    [오픈소스 프로그램 리소스 배정 확인서]

프로그램 연도: 2026년
승인자: [임원명] / 승인일: 2026-01-10

| 역할 | 담당자 | 투입 비율 | 연간 예산 |
|------|--------|-----------|-----------|
| 오픈소스 프로그램 매니저 | 홍길동 | 50% | - |
| 법무 담당 | 김법무 | 20% | - |
| IT 담당 (도구 운영) | 이인프라 | 10% | 도구 라이선스 비용 포함 |
| 교육 예산 | - | - | 연간 OOO만 원 |
| 외부 법률 자문 예산 | - | - | 필요 시 집행 |

    3.2.2.3 법률 자문 접근 방법

    준수 방법

    오픈소스 라이선스 컴플라이언스와 관련된 법적 문제가 발생했을 때 전문 법률 자문을 받을 수 있는 방법을 식별하고 문서화해야 한다. 내부 법무팀이 있는 경우 해당 팀의 연락처와 에스컬레이션 절차를 기록하고, 내부 법무팀이 없거나 전문성이 부족한 경우 외부 법무법인 또는 오픈소스 컨설팅 전문가를 활용하는 방법을 문서에 명시한다.

    고려사항

    • 내부 vs. 외부: 내부 법무팀 활용 방법과 외부 자문 의뢰 기준을 모두 명시한다.
    • 에스컬레이션 기준: 어떤 상황에서 법률 자문을 받아야 하는지(저작권 침해 주장, 비표준 라이선스, 특허 조항 등) 기준을 절차에 포함한다.
    • 외부 자문 목록 관리: 오픈소스 전문 외부 법무법인 또는 컨설턴트 정보를 최신 상태로 유지한다.

    샘플

    [법률 자문 접근 방법]

내부 법무팀:
- 담당: 법무팀 (legal@company.com)
- 에스컬레이션 기준: 저작권 침해 주장 접수, GPL 계열 라이선스 의무
  해석 불확실, 비표준 라이선스 검토 필요 시

외부 법률 자문:
- 활용 기준: 내부 법무팀에서 판단이 어려운 복잡한 법적 분쟁 발생 시
- 계약 현황: [외부 법무법인명] (연간 자문 계약 체결)
- 오픈소스 전문 컨설팅: OpenChain 파트너사 목록 참조

    3.2.2.4 내부 책임 할당 절차

    준수 방법

    오픈소스 컴플라이언스와 관련된 내부 책임을 각 역할에 명확히 할당하는 절차를 문서화해야 한다. 이 절차는 누가 무엇을 책임지는지를 정의하며, 오픈소스 사용 승인, SBOM 생성, 라이선스 검토, 컴플라이언스 산출물 배포 등 각 업무 단계별 책임자를 명시한다. 이 절차 문서는 오픈소스 정책 또는 프로세스 문서에 포함할 수 있다.

    고려사항

    • 업무 단계별 책임 명시: 오픈소스 도입, 검토, 승인, 배포 각 단계마다 책임자를 지정한다.
    • RACI 활용: 역할별 책임(Responsible, Accountable, Consulted, Informed)을 RACI 매트릭스로 정의하면 명확성이 높아진다.
    • 갱신 주기: 조직 변경 또는 프로세스 변경 시 절차를 즉시 갱신한다.

    샘플

    | 업무 | 오픈소스 PM | 법무 담당 | IT 담당 | 보안 담당 | 개발자 |
|------|------------|-----------|---------|-----------|--------|
| 오픈소스 사용 승인 | A | C | - | C | R |
| 라이선스 의무 검토 | R | A | - | - | I |
| SBOM 생성 | A | - | R | - | C |
| 취약점 모니터링 | I | - | C | A/R | I |
| 컴플라이언스 산출물 배포 | A | C | R | - | I |
| 외부 문의 대응 | A/R | C | - | - | - |

R: 실행 책임 / A: 최종 책임 / C: 협의 / I: 정보 공유

    3.2.2.5 미준수 사례 검토 및 시정 절차

    준수 방법

    오픈소스 컴플라이언스 미준수 사례(라이선스 의무 불이행, SBOM 누락, 무승인 오픈소스 사용 등)가 발견되었을 때 이를 검토하고 시정하는 절차를 문서화해야 한다. 절차에는 ①미준수 사례 식별 및 보고, ②심각도 평가, ③원인 분석, ④시정 조치, ⑤재발 방지 대책, ⑥기록 보관이 포함되어야 한다.

    미준수 사례는 내부 감사, 외부 문의, 자동화 도구 알림 등 다양한 경로로 발견될 수 있다. 심각도에 따라 긴급 조치(배포 중단, 소스코드 즉시 공개 등)와 일반 조치를 구분하여 처리 기한을 다르게 설정하는 것이 효과적이다.

    고려사항

    • 심각도 분류: 미준수 사례의 법적 리스크에 따라 심각도(높음/중간/낮음)를 분류하고 처리 기한을 다르게 설정한다.
    • 에스컬레이션: 심각도가 높은 사례는 경영진 보고 및 법무 검토를 의무화한다.
    • 재발 방지: 시정 조치 완료 후 동일 유형의 미준수가 재발하지 않도록 프로세스 개선 방안을 도출하고 기록한다.
    • 기록 보관: 미준수 사례 이력과 시정 완료 기록을 최소 3년간 보관한다.

    샘플

    [미준수 사례 처리 절차]

1. 식별 및 보고
   - 내부 감사, 외부 문의, CI/CD 도구 알림 등을 통해 미준수 사례를 식별한다.
   - 오픈소스 프로그램 매니저에게 즉시 보고한다.

2. 심각도 평가
   - 높음: 배포된 소프트웨어의 GPL 소스코드 미공개, 저작권 침해 주장 접수
     → 48시간 이내 긴급 검토 착수
   - 중간: SBOM 누락, 라이선스 고지문 불완전
     → 7영업일 이내 시정 조치 완료
   - 낮음: 내부 프로세스 미준수 (승인 절차 생략 등)
     → 30일 이내 시정 조치 완료

3. 원인 분석 및 시정 조치
   - 미준수 원인을 파악하고 시정 방안을 수립한다.
   - 높음·중간 사례는 법무 담당과 협의 후 조치한다.

4. 재발 방지
   - 프로세스 또는 교육 개선 방안을 도출하고 이행한다.

5. 기록 보관
   - 사례 내용, 조치 경과, 완료 일자를 기록하고 최소 3년간 보관한다.

    5. 참고