Category: Guide

1. OpenChain 표준

FOSSology

I. OpenChain 프로젝트란?

ISO 국제 표준에 기반하여 기업이 오픈소스를 효과적으로 관리하기 위한 방안을 소개합니다.

2. OpenChain 인증

SW360

3. OpenChain 리소스

FOSSLight

OSV-SCALIBR

cdxgen

ISO 5230 · 18974 · 42001 비교

ISO/IEC 5230(라이선스 컴플라이언스), ISO/IEC 18974(보안 보증), ISO/IEC 42001(AI 관리 시스템) 세 표준의 목적, 구조, 오픈소스 관련성을 비교한다.

Syft

Dependency-Track

오픈소스 관리 자동화 환경 구성: cdxgen + Dependency-Track

SCANOSS

§3.1 프로그램 기반

§3.1.1 정책

§3.2.1 외부 문의 대응

§3.3.1 SBOM

§3.4.1 산출물

§3.5.1 기여

§3.6.1 적합성

§4.1 프로그램 기반

§4.1.1 정책

§4.2.1 접근성

§4.3.1 SBOM

§4.4.1 완전성

0. OpenChain 살펴보기

OpenChain Project의 배경과 ISO/IEC 5230 · 18974 국제 표준화 과정, 표준 인증 방법, 글로벌 적용 추세를 정리합니다.

폐쇄망 운영과 망분리 전환

금융권 폐쇄망에서 오픈소스를 반입·미러·점검하는 공통 인프라와, 자율보안으로 전환 중인 망분리 규제 환경에서 자체 위험평가를 문서화하는 방법을 다룬다.

1. 조직

1. 조직 맥락과 리더십

ISO/IEC 42001 §4(조직 맥락)와 §5(리더십) 요구사항 중 오픈소스 관리와 교차하는 내용을 설명한다. AI 정책에 오픈소스 사용 원칙을 포함하는 방법을 안내한다.

3.1 정책

AI SBOM 컴플라이언스를 규율하는 성문 정책을 수립하고 전파하는 방법을 안내한다.

3.10 거버넌스

AI 시스템 수명주기 전반의 거버넌스 프레임워크를 수립하고, 신흥 AI 규제를 반영해 정기적으로 검토하는 방법을 안내한다.

3.5 라이선스 의무

AI 시스템의 코드, 가중치, 데이터셋, 모델 트리 라이선스를 검토해 의무와 제한, 권리를 판단하는 절차를 안내한다.

3.7 접근

제3자가 AI SBOM 컴플라이언스 문의를 할 수 있는 공개 수단을 명시하고, 내부에서 대응하는 절차를 안내한다.

AI 시스템의 오픈소스 관리

ISO/IEC 42001 §8.5(AI 시스템 생애주기)와 §8.6(AI 데이터 관리)에 따라 AI 프레임워크, 사전 훈련 모델, 학습 데이터셋의 오픈소스 라이선스를 관리하는 방법을 설명한다.

Appendix

onot

OWASP AIBOM Generator

Hugging Face 모델에서 CycloneDX 형식 AI SBOM을 생성하고 완전성 점수를 매기는 OWASP 도구의 사용법을 실행 화면과 함께 안내한다.

오픈소스 정책

자가점검 워크북

다섯 분류의 점검 항목을 충족 여부, 근거 문서, 담당자, 목표 기한과 함께 기록하는 워크북 양식이다. 자가점검 페이지의 항목을 개선 계획으로 옮길 때 쓴다.

프로그램 기반

AI SBOM 컴플라이언스 프로그램의 기반을 세우는 단계다. 정책, 역량, 인지, 범위를 갖춘다.

§3.1.2 역량

§3.2 관련 업무

§3.2.2 효과적 리소스

§3.3.2 라이선스 컴플라이언스

§3.6.2 지속 기간

§4.1.2 역량

§4.2 관련 업무

§4.2.2 효과적 리소스

§4.3.2 보안 보증

§4.4.2 기간

거버넌스: 관리 조직과 승인 체계

금융권 오픈소스 관리 조직(OSPO)과 검토 위원회(OSRB)를 어떻게 구성하고 역할을 나누며, 법무·보안·기술이 함께 참여하는 승인 거버넌스를 어떻게 세우는지 다룬다.

2. 기획

ISO/IEC 42001 §6(기획) 요구사항 중 오픈소스 관리와 교차하는 내용을 설명한다. AI 리스크 평가와 AI 시스템 영향 평가에 오픈소스 라이선스·취약점 리스크를 포함하는 방법을 안내한다.

2. 정책

3.2 역량

AI SBOM 컴플라이언스 프로그램의 역할과 책임을 정의하고, 역할별 역량을 식별해 평가하는 방법을 안내한다.

3.6 투명성 의무

규제가 부과하는 투명성 의무를 검토하고, 학습 데이터 공개 같은 쟁점에 위험 완화 조치를 취하는 절차를 안내한다.

3.8 효과적 자원 배분

AI SBOM 컴플라이언스 프로그램에 책임과 인력, 재원, 법률 전문성을 배정하고 부적합을 시정하는 절차를 안내한다.

AI SBOM

ISO/IEC 42001 §7.5(문서화된 정보)와 §8.5(AI 시스템 생애주기)에 따른 AI SBOM(AI System Bill of Materials) 구성 방법과 생성 도구를 안내한다.

AI 확장 프로세스

코드를 넘어 모델과 가중치, 데이터셋까지 다루는 AI 고유의 라이선스, 투명성, SBOM 프로세스를 구축하는 단계다.

cdxgen

프로젝트와 모델에서 CycloneDX SBOM을 생성하는 OWASP cdxgen의 AI BOM 모드 사용법을 실행 출력과 함께 안내한다.

ISO/IEC 5230 준수 가이드

ISO/IEC 5230의 25개 입증자료 항목을 조항별로 풀어서 설명하는 준수 가이드다.

오픈소스 프로세스

정책·절차 템플릿

금융 변형 오픈소스 정책, 반입 절차서, 사용 승인 양식, 망분리 예외 자체 위험평가서의 골격을 제공한다. 조직에 맞게 채워 쓴다.

§3.1.3 인식

§3.3 콘텐츠 검토 및 승인

§4.1.3 인식

§4.3 콘텐츠 검토 및 승인

식별: 쓰고 있는 오픈소스를 빠짐없이 찾기

신규로 들어오는 오픈소스와 이미 운영 중인 레거시, 외주 산출물까지 빠짐없이 식별하고 SBOM으로 기록하는 방법, 그리고 금융권 공급망 보안 플랫폼과의 연계를 다룬다.

3. 지원

ISO/IEC 42001 §7(지원) 요구사항 중 오픈소스 관리와 교차하는 내용을 설명한다. AI 오픈소스 관리 역량 수립과 AI SBOM 문서화 방법을 안내한다.

3. 프로세스

3.3 인지

프로그램 참여자가 AI SBOM 정책과 목표, 자신의 기여, 부적합의 영향을 인지하도록 보장하는 방법을 안내한다.

3.9 AI SBOM

AI SBOM을 생성·관리하는 절차와 형식, 자동화 도구, 그리고 도구로 메우기 어려운 검증 영역을 안내한다.

AI 공급망 검증

ISO/IEC 42001 §8.8(외부 당사자가 공급하는 AI 시스템 사용)에 따라 외부에서 조달하는 오픈소스 AI 모델과 AI 서비스의 공급망 검증 방법을 안내한다.

ISO/IEC 18974 준수 가이드

ISO/IEC 18974의 25개 입증자료 항목을 조항별로 풀어서 설명하는 준수 가이드다.

감사 증적 목록

내외부감사와 금융감독원 정보기술 검사에서 요구되는 오픈소스 관리 증적을 체크리스트로 정리하고, 각 증적이 어느 활동에서 생성되고 어디에 보관되는지 명세한다.

모델·컨테이너 스캐너 (Lab700x, Trivy, Syft)

AI 모델 바이너리와 추론 서버, AI 패키지를 분석하는 보안 스캐너의 주요 기능과 사용법을 소개한다.

운영

외부 컴플라이언스 문의에 대응하는 창구를 만들고, 프로그램에 책임과 자원을 배정하는 단계다.

AI SBOM 컴플라이언스 가이드

OpenChain AI SBOM 컴플라이언스 가이드(Version 1.0)의 요구사항을 조항별로 풀어 설명하는 기업 실천 가이드다.

§3.1.4 프로그램 범위

§3.4 컴플라이언스 산출물

§4.1.4 프로그램 범위

§4.4 규격 준수

이슈 파악과 해결: 취약점과 라이선스

식별한 오픈소스의 취약점을 탐지·평가·조치하고 그 기록을 남기는 절차, 라이선스 이슈를 해결하는 방법, 폐쇄망의 패치 지연을 관리하는 방법을 다룬다.

3.4 프로그램 범위

AI SBOM 컴플라이언스 프로그램이 적용되는 범위와 한계를 명확히 선언하는 방법을 안내한다.

4. 도구

4. 운영

ISO/IEC 42001 §8(운영) 요구사항 중 오픈소스 관리와 교차하는 내용을 개괄한다. AI 시스템 생애주기에서의 오픈소스 컴플라이언스, AI SBOM, AI 공급망 검증을 다루는 세부 페이지로 안내한다.

ISO/IEC 42001 가이드

오픈소스 관점에서 ISO/IEC 42001 AI 관리 시스템 표준을 풀어 설명하는 가이드다. AI 시스템 개발·운영에서 오픈소스 컴플라이언스와 교차하는 핵심 요구사항을 다룬다.

거버넌스

AI 시스템 수명주기 전반의 거버넌스 프레임워크를 갖추고, 신흥 AI 규제를 반영하는 단계다.

도구 구축 레시피

폐쇄망 온프레미스 환경에서 SBOM 생성과 지속 취약점 감시를 구축하는 docker-compose 예제와 연동 절차다. cdxgen으로 SBOM을 만들어 Dependency-Track에 등록하는 흐름을 보여 준다.

금융분야 오픈소스 관리 실무 가이드

금융분야 오픈소스 소프트웨어 활용·관리 안내서의 절차를 국제표준(ISO/IEC 5230·18974)과 연결해 실제로 운영 가능하게 만드는 금융권 특화 실무 가이드다.

§3.1.5 라이선스 의무

§3.5 커뮤니티 참여

§4.1.5 표준 관행 구현

사용 승인: 무엇을 어떤 근거로 허용하는가

오픈소스 사용을 승인하는 워크플로, 망분리 예외 시 자체 위험평가, 외주 계약과 제안요청서에 넣을 오픈소스 요구사항을 다룬다.

5. 교육

5. 성과 평가와 개선

ISO/IEC 42001 §9(성과 평가)와 §10(개선) 요구사항 중 오픈소스 관리와 교차하는 내용을 설명한다. 오픈소스 컴플라이언스 지표를 AI 관리 시스템의 성과 지표와 통합하는 방법을 안내한다.

ISO/IEC 5230 vs 18974 비교

도구

AI SBOM을 생성하고 분석하는 오픈소스 도구의 주요 기능과 사용법을 실행 화면과 함께 안내한다.

§3.6 규격 준수

관리: 사내 운영 시스템의 지속 점검과 감사 대응

외부로 배포하지 않는 사내 운영 시스템의 오픈소스를 지속적으로 점검·모니터링하고, 정기 재평가와 감사 증적 관리로 운영 단계의 위험을 관리하는 방법을 다룬다.

6. 준수 선언

자가점검: 우리 체계의 빈 곳 찾기

FSEC 안내서 다섯 분류의 취지를 참고해 이 가이드의 표현으로 새로 쓴 점검 항목을 ISO 입증자료, 권장 도구, 가이드 섹션과 연결해, 자사 오픈소스 관리 체계의 빠진 곳을 찾을 수 있게 한다.

7. AI 컴플라이언스

AI 시스템을 개발·운영하는 기업이 오픈소스 관점에서 고려해야 할 AI 컴플라이언스 요소를 설명합니다. ISO/IEC 42001 AI 관리 시스템 표준의 오픈소스 교차 요구사항을 중심으로 안내합니다.

산출물: 바로 쓰는 양식과 레시피

가이드 본문과 함께 제공하는 네 가지 실무 산출물을 모은다. 자가점검 워크북, 정책·절차 템플릿, 감사 증적 목록, 도구 구축 레시피다.

교육 슬라이드

기업 오픈소스 거버넌스 담당자를 위한 4시간 교육 슬라이드입니다. ISO/IEC 5230, ISO/IEC 18974, ISO/IEC 42001(AI) 컴플라이언스를 다룹니다.