거버넌스: 관리 조직과 승인 체계
Categories:
거버넌스는 오픈소스 관리의 기반이다. 누가 책임지고, 누가 검토하며, 누가 승인하는지를 먼저 정해야 식별, 사용 승인, 관리 단계가 작동한다. FSEC 안내서도 관리 절차에 앞서 관리 조직 구성과 역할을 별도로 다룬다.
여기서 만드는 문서: 오픈소스 정책, 역할·책임 목록과 담당자 지정 기록.
금융권 거버넌스의 출발점
금융분야 오픈소스 소프트웨어 활용·관리 안내서(금융감독원·금융보안원, 2022, 이하 FSEC 안내서)는 관리 조직의 구성과 운영, 역할 사례를 제시한다. ISO/IEC 5230은 이를 입증자료로 요구한다. 문서화된 정책(3.1.1.1), 역할과 책임 목록(3.1.2.1), 역할 담당자 명시(3.2.2.1), 법률 자문 접근 방법(3.2.2.3)이 그것이다. 거버넌스는 이 입증자료들을 만들어 내는 활동이다.
금융권은 여기에 두 가지 조건이 더 붙는다. 첫째, 법무·보안·기술이 분리된 큰 조직 구조에서 오픈소스 결정을 누가 내리는지가 분명해야 한다. 둘째, 감독 검사와 내외부감사에 대비해 결정의 근거와 책임 소재를 기록으로 남겨야 한다.
오픈소스 프로그램 조직(OSPO)
오픈소스 프로그램 조직(OSPO, Open Source Program Office)은 오픈소스 활용과 관리를 총괄하는 조직이다. 전담 부서를 두는 큰 회사도 있고, 기존 보안·개발 조직에 역할을 겸하게 하는 회사도 있다. 규모가 어떻든 책임과 권한은 한곳에 모여야 한다. [FSEC 안내서]
OSPO가 맡는 역할은 다음과 같다.
- 오픈소스 정책을 수립하고 갱신한다.
- 오픈소스 사용 승인 절차를 운영하고 검토 위원회를 소집한다.
- 식별·취약점·라이선스 관리에 쓰는 도구와 절차를 책임진다.
- 감사와 감독 검사에 필요한 증적을 관리한다.
- 법무·보안·개발 부서 사이의 협의를 조정한다.
역할을 정하면 담당자의 이름과 연락처, 지정일을 문서로 남긴다. 이것이 ISO/IEC 5230의 역할 담당자 명시(3.2.2.1)와 ISO/IEC 18974의 참여자 목록·역할 매핑(4.1.2.3) 입증자료가 된다. [ISO 요구]
처음 체계를 세우는 조직은 전담 부서를 갖추기 어렵다. 먼저 오픈소스 관리의 단일 책임자를 지정하고, 법무·보안·개발에서 한 명씩 겸임으로 참여하는 최소 구성으로 시작한다. 역할과 담당자를 문서로 남기는 것만으로도 ISO 입증자료 요건을 충족한다.
이미 운영 중인 조직은 역할별 필요 역량을 정의하고, 정기적으로 조직 구성과 역할을 검토해 변경 이력을 남기며, 성과 지표로 프로그램의 효과를 측정한다.
오픈소스 검토 위원회(OSRB)
오픈소스 검토 위원회(OSRB, Open Source Review Board)는 오픈소스 도입과 사용을 검토하고 승인하는 협의 기구다. 금융권에서 특히 중요한 이유는, 오픈소스 도입 결정에 라이선스 위험, 보안 취약점, 운영 영향이 함께 걸려 있어 한 부서가 단독으로 판단하기 어렵기 때문이다.
위원회는 보통 다음 관점을 함께 본다.
- 법무: 라이선스 의무와 계약·지식재산권 위험.
- 보안: 취약점, 공급망 위험, 유지보수 상태.
- 기술·개발: 기술 적합성, 대체 가능성, 운영 부담.
위원회의 결정과 그 근거를 기록으로 남긴다. 이 기록은 사용 승인 단계(4번 섹션)의 핵심 증적이며, 감사 대응(5번 섹션)에서 다시 쓰인다. 위원회를 매번 소집하기 어렵다면 위험 수준별로 검토를 차등한다. 구체적 방법은 사용 승인에서 다룬다. [본 가이드 권고]
법률 자문과 예산
ISO/IEC 5230은 법률 자문에 접근하는 방법(3.2.2.3)과 인원 배치 및 예산 확인(3.2.2.2)을 입증자료로 요구한다. 금융권은 사내 법무 조직이 있는 경우가 많으므로, 오픈소스 라이선스 사안을 어느 경로로 법무에 올리는지를 정해 문서로 남긴다. 외부 전문 자문이 필요한 사안의 판단 기준도 함께 정한다. [ISO 요구]
예산은 도구 구축과 운영, 교육, 외부 자문에 든다. 신설 조직은 오픈소스 도구가 대부분 오픈소스이고 온프레미스로 설치 가능하다는 점을 활용해 초기 비용을 낮출 수 있다. 도구 선택은 폐쇄망 운영과 관리에서 다룬다.
전자금융보조업자나 외주 개발사가 만든 산출물에 포함된 오픈소스도 거버넌스의 대상이다. 위원회는 외주 계약에 오픈소스 관리 요구사항(SBOM(Software Bill of Materials) 제출, 라이선스 고지, 취약점 대응)을 넣을지 판단하고, 그 책임을 누가 지는지 정한다. 계약과 제안요청서 관리는 사용 승인에서 구체적으로 다룬다.
FSEC 안내서·ISO 표준과의 연결
| 거버넌스 활동 | ISO/IEC 5230 | ISO/IEC 18974 | FSEC 안내서 |
|---|---|---|---|
| 정책 수립·전파 | 3.1.1.1 정책, 3.1.1.2 전파 절차 | — | 거버넌스 |
| 역할·책임 정의 | 3.1.2.1 역할·책임 목록 | 4.1.2.3 참여자·역할 매핑 | 거버넌스 |
| 담당자 명시 | 3.2.2.1 담당자 문서 | — | 거버넌스 |
| 법률 자문 접근 | 3.2.2.3 법률 자문 방법 | — | 거버넌스 |
| 예산·인원 배치 | 3.2.2.2 인원·예산 확인 | — | 기타 |
| 미준수 검토·수정 | 3.2.2.5 미준수 검토 절차 | — | 기타 |
조직과 역할의 일반 실무는 기존 기업 오픈소스 관리 가이드의 조직 섹션에서 더 자세히 다룬다. 이 페이지는 그 위에 금융권의 검토 위원회와 감사 대비 기록을 더한 것이다.
카카오뱅크는 KWG 13차 정기 미팅(2022-03)에서 ISO/IEC 5230 인증 사례를 공유했다. 금융권 규제 환경에서 오픈소스 관리 체계를 세우고 인증까지 이른 거버넌스 구축 사례다.
출처: 하헌관·이민애(카카오뱅크), 13차 공동 세션 “카카오와 카카오뱅크의 ISO/IEC 5230 인증 사례 공유” 중 카카오뱅크 발표분, KWG 13차 미팅(2022-03) 발표자료.
최종 검토일: 2026-06-10. 이 페이지는 규제 변화 시, 그리고 연 1회 정기적으로 재검토한다.