ISO/IEC 5230 vs 18974 비교
Categories:
1. 두 표준의 관계
ISO/IEC 5230과 ISO/IEC 18974는 모두 OpenChain 프로젝트가 주도하는 오픈소스 관련 국제 표준이지만, 서로 다른 문제를 다룬다. 5230은 오픈소스 라이선스 컴플라이언스(저작권 의무 이행·SBOM 관리·컴플라이언스 산출물 배포)를 다루고, 18974는 오픈소스 보안 보증(취약점 탐지·평가·대응·CVD)을 다룬다. 두 표준은 완전한 상위·하위 집합 관계가 아니다. 정책·역량·SBOM 등 9개 공통 조항을 공유하되, 5230에만 있는 조항(라이선스 컴플라이언스·산출물·기여)과 18974에만 있는 조항(표준 관행 구현·보안 보증)이 각각 존재한다.
두 표준을 동시에 준수하면 라이선스 의무 이행과 보안 취약점 관리를 하나의 통합 오픈소스 프로그램으로 운영할 수 있다. 공통 기반 문서(정책·역량 기록·SBOM 절차)는 한 번 작성으로 두 표준에 동시 활용되므로, 5230 인증 후 18974를 추가로 준비하는 데 드는 실질적 추가 작업량은 전체의 30~40% 수준이다.
2. 조항 1:1 대조표
| ISO/IEC 5230 조항 | 제목 | ISO/IEC 18974 조항 | 차이점 |
|---|---|---|---|
| §3.1.1 | 정책 | §4.1.1 | 정책·전파 절차의 정기 검토 프로세스 요건 추가 |
| §3.1.2 | 역량 | §4.1.2 | 입증자료 3건 추가 (참여자 목록·주기적 검토·내부 모범 사례 일치 검증) |
| §3.1.3 | 인식 | §4.1.3 | 보안 보증 관점의 인식 항목 추가, 입증자료 수 동일 |
| §3.1.4 | 프로그램 범위 | §4.1.4 | 입증자료 2건 추가 (성과 메트릭·지속 개선 증거) |
| — | — | §4.1.5 | 표준 관행 구현 (18974 전용 신규 — 8가지 취약점 처리 방법 문서화) |
| §3.2.1 | 외부 문의 대응 | §4.2.1 | 라이선스 문의 → 취약점 문의로 초점 전환 |
| §3.2.2 | 효과적 리소스 | §4.2.2 | 법률 자문 → 취약점 해결 전문성으로 전환, 입증자료 5건→4건 |
| §3.3.1 | SBOM | §4.3.1 | 수명주기 지속 기록·취약점 모니터링 연동 강조 |
| §3.3.2 | 라이선스 컴플라이언스 | — | 5230 전용 (18974에 없음) |
| §3.4.1 | 컴플라이언스 산출물 | — | 5230 전용 (18974에 없음) |
| §3.5.1 | 기여 | — | 5230 전용 (18974에 없음) |
| — | — | §4.3.2 | 보안 보증 (18974 전용 신규 — CVE 탐지·평가·조치·통보·모니터링 전 과정) |
| §3.6.1 | 적합성 | §4.4.1 | 명칭만 완전성으로 변경, 내용 동일 |
| §3.6.2 | 지속 기간 | §4.4.2 | 동일 |
요약
- 공통 조항: 9개 (입증자료 16개)
- 5230 전용 조항: §3.3.2, §3.4.1, §3.5.1 (입증자료 6개)
- 18974 전용 조항: §4.1.5, §4.3.2 (입증자료 3개)
- 18974에서 확장된 공통 조항: 4개 — §4.1.1, §4.1.2, §4.1.4, §4.2.2 (입증자료 6개 추가)
3. 입증자료 수 비교
| 구분 | ISO/IEC 5230 | ISO/IEC 18974 |
|---|---|---|
| 전체 입증자료 수 | 24개 | 25개 |
| 전용 조항 (입증자료) | §3.3.2·§3.4.1·§3.5.1 (6개) | §4.1.5·§4.3.2 (3개) |
| 공통 조항 내 추가 입증자료 | — | +6개 (공통 조항 확장) |
| 공통 입증자료 | 18개 | 16개 (성격 변경 포함) |
4. 두 표준 동시 준수 전략
5230을 먼저 취득한 후 18974를 추가로 준비하는 경로가 가장 효율적이다. 5230 인증 과정에서 구축한 정책 문서, 역량 기록, SBOM 절차는 18974의 공통 조항(§4.1.1~§4.1.4, §4.2.1, §4.2.2, §4.3.1, §4.4.1, §4.4.2)에 그대로 활용된다. 별도로 작성이 필요한 것은 기존 문서에 추가하는 항목들과 18974 전용 신규 조항 2개다.
18974 전용으로 새로 준비해야 하는 항목은 다음과 같다:
- §4.1.5 표준 관행 구현: 8가지 취약점 처리 방법(위협 식별·탐지·후속 조치· 고객 통보·배포 후 분석·보안 테스트·위험 검증·정보 수출) 각각의 절차 문서화
- §4.3.2 보안 보증: CVE 탐지→위험 평가→조치 결정→수행→모니터링 전 과정 절차 및 컴포넌트별 취약점 조치 기록
- 공통 조항 보완: §4.1.2 참여자 목록(4.1.2.3)·주기적 검토 증거(4.1.2.5)· 모범 사례 일치 검증(4.1.2.6), §4.1.4 성과 메트릭(4.1.4.2)·지속 개선 증거 (4.1.4.3) 추가 작성
5230 체계를 갖춘 조직이 18974를 추가로 준비하는 데 드는 실질적 작업량은 전체 5230 준비 작업의 약 30~40% 수준으로 예상된다.