ISO/IEC 18974 준수 가이드
ISO/IEC 18974의 25개 입증자료 항목을 조항별로 풀어서 설명하는 준수 가이드다.
Categories:
이 가이드는 ISO/IEC 18974(OpenChain Security Assurance)의 각 요구사항 조항을 하나씩 풀어서 설명한다. 각 조항이 요구하는 입증자료가 무엇인지, 어떻게 준수할 수 있는지, 바로 활용할 수 있는 샘플 문서는 무엇인지 안내한다.
Author : OpenChain Korea Work Group / CC BY 4.0
대상 독자
- 오픈소스 보안 보증 체계를 처음 수립하는 기업의 보안 담당자 및 오픈소스 프로그램 매니저
- DevSecOps 환경에서 오픈소스 취약점 관리 프로세스를 구축하는 엔지니어
- ISO/IEC 5230 인증 취득 후 ISO/IEC 18974 추가 인증을 준비하는 기업 담당자
ISO/IEC 5230과의 관계
ISO/IEC 18974는 ISO/IEC 5230 위에 보안 레이어를 추가한다
ISO/IEC 5230(라이선스 컴플라이언스) 은 오픈소스 라이선스 의무 이행을 체계적으로 관리하는 기반 프로그램을 다룬다.
ISO/IEC 18974(보안 보증) 은 그 위에 취약점 탐지·평가·대응이라는 보안 레이어를 추가한다. 두 규격은 정책·역량·SBOM 등 핵심 인프라를 공유하며, 18974는 이를 보안 관점에서 확장하고 심화한다.
| 구분 | ISO/IEC 5230 | ISO/IEC 18974 |
|---|---|---|
| 목적 | 라이선스 컴플라이언스 | 보안 보증 |
| 입증자료 | 24개 | 25개 |
| 공통 기반 조항 | — | 16개 (5230과 대응) |
| 18974 전용 조항 | — | 9개 (보안 특화) |
| 핵심 추가 요소 | — | 취약점 탐지·대응·CVD 절차 |
권장 취득 경로
오픈소스 보안 보증 인증을 처음 준비하는 기업은 ISO/IEC 5230 취득 → ISO/IEC 18974 추가 취득 순서로 단계적으로 진행하는 것을 권장한다. 5230에서 구축한 정책·프로세스·SBOM 인프라를 18974에서 그대로 활용할 수 있어 추가 비용과 노력을 최소화할 수 있다.
두 규격의 조항별 상세 비교는 ISO/IEC 5230 vs 18974 비교 페이지를 참고한다.
이 가이드의 활용 방법
기업 오픈소스 관리 가이드와의 관계
이 가이드는 처음 구축하는 담당자와 인증을 준비하는 담당자 모두에게 활용할 수 있다. 아래 단계별 구축 로드맵을 따라가면 구축 순서와 각 단계에서 만들어야 할 산출물을 파악할 수 있고, 각 조항 페이지에서 구체적인 구현 방법과 샘플을 확인할 수 있다.
기업 오픈소스 관리 가이드 는 조직·정책·프로세스·도구·교육 영역을 실무 관점으로 설명하는 보완 가이드다. 두 가이드의 각 조항·섹션은 서로 교차 링크로 연결되어 있다.
단계별 구축 로드맵
처음 오픈소스 보안 보증 체계를 구축하는 담당자를 위한 단계별 가이드다. ISO/IEC 18974의 25개 입증자료를 구축 우선순위 기준으로 5단계로 나눴다. 각 단계를 순서대로 진행하면 ISO/IEC 18974 자가 인증이 가능한 수준에 도달한다. ★ 표시는 ISO/IEC 5230에 없는 18974 전용 항목이다.
Phase 1 — 기반 수립
목표: 보안 보증 프로그램의 범위를 정하고, 정책을 수립하고, 담당 조직을 구성한다.
| 완료 | 입증자료 | 설명 | 상세 가이드 |
|---|---|---|---|
| ☐ | 4.1.4.1 | 프로그램 적용 범위 문서 | §4.1.4 → |
| ☐ | 4.1.4.2 ★ | 성과 메트릭 세트 | §4.1.4 → |
| ☐ | 4.1.4.3 ★ | 지속적 개선 증거 | §4.1.4 → |
| ☐ | 4.1.1.1 | 문서화된 보안 보증 정책 | §4.1.1 → |
| ☐ | 4.1.1.2 | 정책 전파 절차 | §4.1.1 → |
| ☐ | 4.2.2.1 | 역할 담당자 이름 문서 | §4.2.2 → |
| ☐ | 4.2.2.2 | 역할 배치 및 예산 확인 | §4.2.2 → |
| ☐ | 4.2.2.3 ★ | 취약점 해결 전문성 명시 | §4.2.2 → |
| ☐ | 4.2.2.4 | 내부 책임 할당 절차 | §4.2.2 → |
완료 산출물: 보안 보증 프로그램 범위 문서, 보안 보증 정책 문서, 역할·책임 문서, 성과 메트릭
Phase 2 — 역량 및 교육
목표: 프로그램 참여자의 역할별 역량을 정의하고, 보안 인식 수준을 평가한다.
| 완료 | 입증자료 | 설명 | 상세 가이드 |
|---|---|---|---|
| ☐ | 4.1.2.1 | 역할과 책임 목록 문서 | §4.1.2 → |
| ☐ | 4.1.2.2 | 역할별 필요 역량 기술 문서 | §4.1.2 → |
| ☐ | 4.1.2.3 ★ | 참여자 목록 및 역할 (이름·연락처·지정일) | §4.1.2 → |
| ☐ | 4.1.2.4 | 역량 평가 증거 | §4.1.2 → |
| ☐ | 4.1.2.5 ★ | 주기적 검토 및 프로세스 변경 증거 | §4.1.2 → |
| ☐ | 4.1.2.6 ★ | 내부 모범 사례 일치 검증 증거 | §4.1.2 → |
| ☐ | 4.1.3.1 | 참여자 인식 평가 증거 | §4.1.3 → |
완료 산출물: 역할·역량 정의 문서, 참여자 목록, 교육 이수 기록, 인식 평가 결과
Phase 3 — 프로세스 구축
목표: 취약점 탐지·대응·SBOM 관리를 위한 핵심 프로세스를 수립한다.
| 완료 | 입증자료 | 설명 | 상세 가이드 |
|---|---|---|---|
| ☐ | 4.1.5.1 ★ | 8가지 취약점 처리 방법 문서화 절차 | §4.1.5 → |
| ☐ | 4.3.1.1 | SBOM 수명주기 지속 기록 절차 | §4.3.1 → |
| ☐ | 4.3.1.2 | 오픈소스 컴포넌트 기록 | §4.3.1 → |
| ☐ | 4.3.2.1 ★ | 취약점 탐지 및 해결 절차 | §4.3.2 → |
| ☐ | 4.3.2.2 ★ | 취약점 및 조치 기록 | §4.3.2 → |
완료 산출물: 표준 취약점 대응 절차서, SBOM 관리 절차서, 취약점 추적 기록
Phase 4 — 운영 체계 수립
목표: 외부 취약점 문의에 대응하는 공개 창구를 마련한다.
| 완료 | 입증자료 | 설명 | 상세 가이드 |
|---|---|---|---|
| ☐ | 4.2.1.1 | 외부 취약점 문의 공개 채널 | §4.2.1 → |
| ☐ | 4.2.1.2 | 외부 문의 내부 대응 절차 | §4.2.1 → |
완료 산출물: 보안 취약점 신고 채널(이메일·웹폼 등), 내부 대응 절차서
Phase 5 — 적합성 확인 및 유지
목표: Phase 1~4의 모든 입증자료를 점검하고 ISO/IEC 18974 자가 인증을 선언한다. 이후 18개월마다 적합성을 재확인한다.
| 완료 | 입증자료 | 설명 | 상세 가이드 |
|---|---|---|---|
| ☐ | 4.4.1.1 | 모든 요구사항 충족 확인 문서 | §4.4.1 → |
| ☐ | 4.4.2.1 | 18개월 이내 요구사항 충족 확인 문서 | §4.4.2 → |
완료 산출물: 자가 인증 선언문, 정기 재확인 기록
자가 인증 바로 시작하기
Phase 1~5를 모두 완료했다면 OpenChain 자가 인증 체크리스트로 준수 여부를 공식 선언할 수 있다. https://certification.openchainproject.org/
전체 조항 체크리스트
ISO/IEC 18974는 총 11개 조항, 25개 입증자료 항목으로 구성된다. ★ 표시는 ISO/IEC 5230 대비 추가되거나 보안 관점으로 변경된 항목이다.
§4.1 프로그램 기반
| 조항 | 제목 | 입증자료 | 상세 |
|---|---|---|---|
| §4.1.1 | 정책 (Policy) | 2건 | 바로가기 |
| §4.1.2 | 역량 (Competence) ★ | 6건 | 바로가기 |
| §4.1.3 | 인식 (Awareness) | 1건 | 바로가기 |
| §4.1.4 | 프로그램 범위 (Program Scope) ★ | 3건 | 바로가기 |
| §4.1.5 | 표준 관행 구현 (Standard Practice Implementation) ★ | 1건 | 바로가기 |
§4.2 관련 업무
| 조항 | 제목 | 입증자료 | 상세 |
|---|---|---|---|
| §4.2.1 | 접근성 (Access) | 2건 | 바로가기 |
| §4.2.2 | 효과적 리소스 (Effectively Resourced) | 4건 | 바로가기 |
§4.3 콘텐츠 검토 및 승인
| 조항 | 제목 | 입증자료 | 상세 |
|---|---|---|---|
| §4.3.1 | SBOM | 2건 | 바로가기 |
| §4.3.2 | 보안 보증 (Security Assurance) ★ | 2건 | 바로가기 |
§4.4 규격 준수
| 조항 | 제목 | 입증자료 | 상세 |
|---|---|---|---|
| §4.4.1 | 완전성 (Completeness) | 1건 | 바로가기 |
| §4.4.2 | 기간 (Duration) | 1건 | 바로가기 |
합계: 11개 조항 / 25개 입증자료 항목
★ ISO/IEC 5230 대비 18974 추가 항목 요약
| 조항 | 추가 내용 | 추가 항목 수 |
|---|---|---|
| §4.1.2 역량 | 참여자 목록(4.1.2.3), 주기적 검토 증거(4.1.2.5), 내부 모범 사례 일치 검증(4.1.2.6) | +3건 |
| §4.1.4 프로그램 범위 | 성과 메트릭(4.1.4.2), 지속적 개선 증거(4.1.4.3) | +2건 |
| §4.1.5 표준 관행 구현 | 8가지 취약점 처리 방법 전체에 대한 문서화 절차(4.1.5.1) | 신규 조항 |
| §4.3.2 보안 보증 | 취약점 탐지·해결 절차(4.3.2.1), 취약점 및 조치 기록(4.3.2.2) | 신규 조항 |
ISO/IEC 18974 인증 절차
ISO/IEC 18974 준수 여부를 공식적으로 인정받는 방법은 세 가지다.
1단계. 자가 인증 (Self-Certification)
OpenChain 프로젝트가 제공하는 온라인 체크리스트를 작성하여 자체적으로 준수 여부를 선언한다. 비용이 없으며 즉시 시작할 수 있다.
- 체크리스트: https://certification.openchainproject.org/
- 적합 대상: 인증을 처음 준비하거나 내부 점검 용도
2단계. 독립 평가 (Independent Assessment)
외부 전문가 또는 컨설팅 기관이 보안 보증 프로그램을 평가한다. 공급망 파트너에게 준수 수준을 입증하는 데 활용된다.
- 파트너 목록: Open Compliance Directory
3단계. 제3자 인증 (Third-party Certification)
OpenChain이 공인한 인증 기관이 심사하여 공식 인증서를 발급한다. 글로벌 공급망 요구사항 충족에 적합하다.
- 공인 인증 기관 (2024년 기준): ORCRO, PwC, TÜV SÜD, Synopsys, Bureau Veritas
단계적 접근 권장
ISO/IEC 5230을 이미 취득한 기업은 기존 인프라(정책·역량·SBOM)를 활용하여 보안 보증 특화 항목(§4.1.5, §4.3.2)을 추가하는 방식으로 효율적으로 18974 인증을 준비할 수 있다.