ISO/IEC 18974 준수 가이드
ISO/IEC 18974의 25개 입증자료 항목을 조항별로 풀어서 설명하는 준수 가이드다.
Categories:
이 가이드는 ISO/IEC 18974(OpenChain Security Assurance)의 각 요구사항 조항을 하나씩 풀어서 설명한다. 각 조항이 요구하는 입증자료가 무엇인지, 어떻게 준수할 수 있는지, 바로 활용할 수 있는 샘플 문서는 무엇인지 안내한다.
Author : OpenChain Korea Work Group / CC BY 4.0
대상 독자
- 오픈소스 보안 보증 체계를 처음 수립하는 기업의 보안 담당자 및 오픈소스 프로그램 매니저
- DevSecOps 환경에서 오픈소스 취약점 관리 프로세스를 구축하는 엔지니어
- ISO/IEC 5230 인증 취득 후 ISO/IEC 18974 추가 인증을 준비하는 기업 담당자
ISO/IEC 5230과의 관계
ISO/IEC 18974는 ISO/IEC 5230 위에 보안 레이어를 추가한다
ISO/IEC 5230(라이선스 컴플라이언스) 은 오픈소스 라이선스 의무 이행을 체계적으로 관리하는 기반 프로그램을 다룬다.
ISO/IEC 18974(보안 보증) 은 그 위에 취약점 탐지·평가·대응이라는 보안 레이어를 추가한다. 두 규격은 정책·역량·SBOM 등 핵심 인프라를 공유하며, 18974는 이를 보안 관점에서 확장하고 심화한다.
| 구분 | ISO/IEC 5230 | ISO/IEC 18974 |
|---|---|---|
| 목적 | 라이선스 컴플라이언스 | 보안 보증 |
| 입증자료 | 25개 | 25개 |
| 공통 기반 조항 | — | 16개 (5230과 대응) |
| 18974 전용 조항 | — | 9개 (보안 특화) |
| 핵심 추가 요소 | — | 취약점 탐지·대응·CVD 절차 |
표기 규칙 — [ISO 요구] vs [본 가이드 권고]
각 조항 페이지의 내용은 다음 두 가지로 구분된다.
- [ISO 요구] — ISO/IEC 18974:2023 표준 본문이 명시적으로 요구하는 사항(
shall또는 입증자료 번호로 명시). 누락 시 인증 실패 사유. - [본 가이드 권고] — ISO 표준 본문에는 없으나 OpenChain Korea Work Group이 실무 경험·산업 모범 사례·다른 표준(NIST SSDF·ENISA·CSAF·VEX·EPSS·KEV 등)을 근거로 권장하는 사항. 채택 여부는 조직 재량이며, 미채택이 인증 실패 사유는 아님.
조항 본문의 입증자료 번호(예: 4.3.2.1)와 함께 제시되는 활동·산출물은 **[ISO 요구]**다.
“~를 권장한다”, “~하는 것이 좋다” 표현이나 본 가이드가 추가한 자동화·EPSS·KEV·VEX 4가지 상태값 등은 **[본 가이드 권고]**다.
특히 ISO 18974는 9개 전용 항목(★)에 대해 다른 항목보다 강한 “Documented Evidence”(문서화된 증거)를 요구한다 — 단순 document 보다 한 단계 강한 증거 수준이다(자세한 내용은 §4.1.5 표준 관행 참조).
권장 취득 경로
오픈소스 보안 보증 인증을 처음 준비하는 기업은 ISO/IEC 5230 취득 → ISO/IEC 18974 추가 취득 순서로 단계적으로 진행하는 것을 권장한다. 5230에서 구축한 정책·프로세스·SBOM 인프라를 18974에서 그대로 활용할 수 있어 추가 비용과 노력을 최소화할 수 있다.
두 규격의 조항별 상세 비교는 ISO/IEC 5230 vs 18974 비교 페이지를 참고한다.
이 가이드의 활용 방법
기업 오픈소스 관리 가이드와의 관계
이 가이드는 처음 구축하는 담당자와 인증을 준비하는 담당자 모두에게 활용할 수 있다. 아래 단계별 구축 로드맵을 따라가면 구축 순서와 각 단계에서 만들어야 할 산출물을 파악할 수 있고, 각 조항 페이지에서 구체적인 구현 방법과 샘플을 확인할 수 있다.
기업 오픈소스 관리 가이드 는 조직·정책·프로세스·도구·교육 영역을 실무 관점으로 설명하는 보완 가이드다. 두 가이드의 각 조항·섹션은 서로 교차 링크로 연결되어 있다.
단계별 구축 로드맵
처음 오픈소스 보안 보증 체계를 구축하는 담당자를 위한 단계별 가이드다. ISO/IEC 18974의 25개 입증자료를 구축 우선순위 기준으로 5단계로 나눴다. 각 단계를 순서대로 진행하면 ISO/IEC 18974 자가 인증이 가능한 수준에 도달한다. ★ 표시는 ISO/IEC 5230에 없는 18974 전용 항목이다.
Phase 1 — 기반 수립
목표: 보안 보증 프로그램의 범위를 정하고, 정책을 수립하고, 담당 조직을 구성한다.
| 완료 | 입증자료 | 설명 | 상세 가이드 |
|---|---|---|---|
| ☐ | 4.1.4.1 | 프로그램 적용 범위 문서 | §4.1.4 → |
| ☐ | 4.1.4.2 ★ | 성과 메트릭 세트 | §4.1.4 → |
| ☐ | 4.1.4.3 ★ | 지속적 개선 증거 | §4.1.4 → |
| ☐ | 4.1.1.1 | 문서화된 보안 보증 정책 | §4.1.1 → |
| ☐ | 4.1.1.2 | 정책 전파 절차 | §4.1.1 → |
| ☐ | 4.2.2.1 | 역할 담당자 이름 문서 | §4.2.2 → |
| ☐ | 4.2.2.2 | 역할 배치 및 예산 확인 | §4.2.2 → |
| ☐ | 4.2.2.3 ★ | 취약점 해결 전문성 명시 | §4.2.2 → |
| ☐ | 4.2.2.4 | 내부 책임 할당 절차 | §4.2.2 → |
완료 산출물: 보안 보증 프로그램 범위 문서, 보안 보증 정책 문서, 역할·책임 문서, 성과 메트릭
Phase 2 — 역량 및 교육
목표: 프로그램 참여자의 역할별 역량을 정의하고, 보안 인식 수준을 평가한다.
| 완료 | 입증자료 | 설명 | 상세 가이드 |
|---|---|---|---|
| ☐ | 4.1.2.1 | 역할과 책임 목록 문서 | §4.1.2 → |
| ☐ | 4.1.2.2 | 역할별 필요 역량 기술 문서 | §4.1.2 → |
| ☐ | 4.1.2.3 ★ | 참여자 목록 및 역할 (이름·연락처·지정일) | §4.1.2 → |
| ☐ | 4.1.2.4 | 역량 평가 증거 | §4.1.2 → |
| ☐ | 4.1.2.5 ★ | 주기적 검토 및 프로세스 변경 증거 | §4.1.2 → |
| ☐ | 4.1.2.6 ★ | 내부 모범 사례 일치 검증 증거 | §4.1.2 → |
| ☐ | 4.1.3.1 | 참여자 인식 평가 증거 | §4.1.3 → |
완료 산출물: 역할·역량 정의 문서, 참여자 목록, 교육 이수 기록, 인식 평가 결과
Phase 3 — 프로세스 구축
목표: 취약점 탐지·대응·SBOM 관리를 위한 핵심 프로세스를 수립한다.
| 완료 | 입증자료 | 설명 | 상세 가이드 |
|---|---|---|---|
| ☐ | 4.1.5.1 ★ | 8가지 취약점 처리 방법 문서화 절차 | §4.1.5 → |
| ☐ | 4.3.1.1 | SBOM 수명주기 지속 기록 절차 | §4.3.1 → |
| ☐ | 4.3.1.2 | 오픈소스 컴포넌트 기록 | §4.3.1 → |
| ☐ | 4.3.2.1 ★ | 취약점 탐지 및 해결 절차 | §4.3.2 → |
| ☐ | 4.3.2.2 ★ | 취약점 및 조치 기록 | §4.3.2 → |
완료 산출물: 표준 취약점 대응 절차서, SBOM 관리 절차서, 취약점 추적 기록
Phase 4 — 운영 체계 수립
목표: 외부 취약점 문의에 대응하는 공개 창구를 마련한다.
| 완료 | 입증자료 | 설명 | 상세 가이드 |
|---|---|---|---|
| ☐ | 4.2.1.1 | 외부 취약점 문의 공개 채널 | §4.2.1 → |
| ☐ | 4.2.1.2 | 외부 문의 내부 대응 절차 | §4.2.1 → |
완료 산출물: 보안 취약점 신고 채널(이메일·웹폼 등), 내부 대응 절차서
Phase 5 — 적합성 확인 및 유지
목표: Phase 1~4의 모든 입증자료를 점검하고 ISO/IEC 18974 자가 인증을 선언한다. 이후 18개월마다 적합성을 재확인한다.
| 완료 | 입증자료 | 설명 | 상세 가이드 |
|---|---|---|---|
| ☐ | 4.4.1.1 | 모든 요구사항 충족 확인 문서 | §4.4.1 → |
| ☐ | 4.4.2.1 | 18개월 이내 요구사항 충족 확인 문서 | §4.4.2 → |
완료 산출물: 자가 인증 선언문, 정기 재확인 기록
자가 인증 바로 시작하기
Phase 1~5를 모두 완료했다면 OpenChain 자가 인증 체크리스트로 준수 여부를 공식 선언할 수 있다. https://certification.openchainproject.org/
전체 조항 체크리스트
ISO/IEC 18974는 총 11개 조항, 25개 입증자료 항목으로 구성된다. ★ 표시는 ISO/IEC 5230 대비 추가되거나 보안 관점으로 변경된 항목이다.
§4.1 프로그램 기반
| 조항 | 제목 | 입증자료 | 상세 |
|---|---|---|---|
| §4.1.1 | 정책 (Policy) | 2건 | 바로가기 |
| §4.1.2 | 역량 (Competence) ★ | 6건 | 바로가기 |
| §4.1.3 | 인식 (Awareness) | 1건 | 바로가기 |
| §4.1.4 | 프로그램 범위 (Program Scope) ★ | 3건 | 바로가기 |
| §4.1.5 | 표준 관행 구현 (Standard Practice Implementation) ★ | 1건 | 바로가기 |
§4.2 관련 업무
| 조항 | 제목 | 입증자료 | 상세 |
|---|---|---|---|
| §4.2.1 | 접근성 (Access) | 2건 | 바로가기 |
| §4.2.2 | 효과적 리소스 (Effectively Resourced) | 4건 | 바로가기 |
§4.3 콘텐츠 검토 및 승인
| 조항 | 제목 | 입증자료 | 상세 |
|---|---|---|---|
| §4.3.1 | SBOM | 2건 | 바로가기 |
| §4.3.2 | 보안 보증 (Security Assurance) ★ | 2건 | 바로가기 |
§4.4 규격 준수
| 조항 | 제목 | 입증자료 | 상세 |
|---|---|---|---|
| §4.4.1 | 완전성 (Completeness) | 1건 | 바로가기 |
| §4.4.2 | 기간 (Duration) | 1건 | 바로가기 |
합계: 11개 조항 / 25개 입증자료 항목
★ ISO/IEC 5230 대비 18974 추가 항목 요약
| 조항 | 추가 내용 | 추가 항목 수 |
|---|---|---|
| §4.1.2 역량 | 참여자 목록(4.1.2.3), 주기적 검토 증거(4.1.2.5), 내부 모범 사례 일치 검증(4.1.2.6) | +3건 |
| §4.1.4 프로그램 범위 | 성과 메트릭(4.1.4.2), 지속적 개선 증거(4.1.4.3) | +2건 |
| §4.1.5 표준 관행 구현 | 8가지 취약점 처리 방법 전체에 대한 문서화 절차(4.1.5.1) | 신규 조항 |
| §4.3.2 보안 보증 | 취약점 탐지·해결 절차(4.3.2.1), 취약점 및 조치 기록(4.3.2.2) | 신규 조항 |
ISO/IEC 18974 인증 절차
ISO/IEC 18974 준수 여부를 공식적으로 인정받는 방법은 세 가지다.
1단계. 자가 인증 (Self-Certification)
OpenChain 프로젝트가 제공하는 온라인 체크리스트를 작성하여 자체적으로 준수 여부를 선언한다. 비용이 없으며 즉시 시작할 수 있다.
- 체크리스트: https://certification.openchainproject.org/
- 적합 대상: 인증을 처음 준비하거나 내부 점검 용도
2단계. 독립 평가 (Independent Assessment)
외부 전문가 또는 컨설팅 기관이 보안 보증 프로그램을 평가한다. 공급망 파트너에게 준수 수준을 입증하는 데 활용된다.
- 파트너 목록: Open Compliance Directory
3단계. 제3자 인증 (Third-party Certification)
OpenChain이 공인한 인증 기관이 심사하여 공식 인증서를 발급한다. 글로벌 공급망 요구사항 충족에 적합하다.
- 공인 인증 기관 (2024년 기준): ORCRO, PwC, TÜV SÜD, Synopsys, Bureau Veritas
단계적 접근 권장
ISO/IEC 5230을 이미 취득한 기업은 기존 인프라(정책·역량·SBOM)를 활용하여 보안 보증 특화 항목(§4.1.5, §4.3.2)을 추가하는 방식으로 효율적으로 18974 인증을 준비할 수 있다.
다른 표준과의 관계
ISO/IEC 18974는 ISO/IEC 5230(라이선스 컴플라이언스)·42001(AI 관리 시스템)과 함께 통합 운영할 수 있다.
- ISO/IEC 5230 선행 권장: 18974 16개 일반 항목은 ISO 5230 대응 항목을 기반으로 파생됩니다. 먼저 ISO/IEC 5230 준수 가이드로 기반을 구축할 것을 권장합니다.
- ISO/IEC 42001 통합: AI 시스템 보안 보증은 ISO 42001 §6.1.2(AI 리스크 평가)와 직접 연계됩니다. AI 컴플라이언스 통합 시각은 ISO/IEC 42001 가이드와 기업 가이드 — AI 컴플라이언스 참고.
- 세 표준 비교: ISO 5230 · 18974 · 42001 표준 비교에서 세 표준의 관계와 동시 운영 시 공통 기반을 확인할 수 있습니다.