ISO/IEC 5230 준수 가이드
ISO/IEC 5230의 25개 입증자료 항목을 조항별로 풀어서 설명하는 준수 가이드다.
Categories:
이 가이드는 ISO/IEC 5230(OpenChain License Compliance)의 각 요구사항 조항을 하나씩 풀어서 설명한다. 각 조항이 요구하는 입증자료가 무엇인지, 어떻게 준수할 수 있는지, 바로 활용할 수 있는 샘플 문서는 무엇인지 안내한다.
Author : OpenChain Korea Work Group / CC BY 4.0
대상 독자
- 오픈소스 컴플라이언스 담당자 및 오픈소스 프로그램 매니저
- 처음 오픈소스 관리 체계를 구축하는 신규 담당자
- ISO/IEC 5230 인증 취득을 준비 중인 기업의 담당자
- 기존 오픈소스 관리 체계를 ISO 표준 기준으로 점검하고 싶은 실무자
이 가이드의 활용 방법
기업 오픈소스 관리 가이드와의 관계
이 가이드는 처음 구축하는 담당자와 인증을 준비하는 담당자 모두에게 활용할 수 있다. 아래 단계별 구축 로드맵을 따라가면 구축 순서와 각 단계에서 만들어야 할 산출물을 파악할 수 있고, 각 조항 페이지에서 구체적인 구현 방법과 샘플을 확인할 수 있다.
기업 오픈소스 관리 가이드 는 조직, 정책, 프로세스, 도구, 교육 영역을 실무 관점으로 설명하는 보완 가이드다. 두 가이드의 각 조항·섹션은 서로 교차 링크로 연결되어 있다.
표기 규칙 — [ISO 요구] vs [본 가이드 권고]
각 조항 페이지의 내용은 다음 두 가지로 구분된다. 인증 심사 시 두 표기의 차이를 정확히 인지하면 불필요한 지적을 피할 수 있다.
- [ISO 요구] — ISO/IEC 5230:2020 표준 본문이 명시적으로 요구하는 사항(
shall또는 입증자료 번호로 명시). 누락 시 인증 실패 사유. - [본 가이드 권고] — ISO 표준 본문에는 없으나 OpenChain Korea Work Group이 실무 경험, 산업 모범 사례, 다른 표준(NIST, ENISA, OWASP 등)을 근거로 권장하는 사항. 채택 여부는 조직 재량이며, 미채택이 인증 실패 사유는 아님.
조항 본문에서 입증자료 번호(예: 3.1.1.1)와 함께 제시되는 활동·산출물은 **[ISO 요구]**다.
“~를 권장한다”, “~하는 것이 좋다” 표현이나 본 가이드가 추가한 자동화·도구 활용·메트릭 등은
**[본 가이드 권고]**다.
단계별 구축 로드맵
처음 오픈소스 관리 체계를 구축하는 담당자를 위한 단계별 가이드다. ISO/IEC 5230의 25개 입증자료를 구축 우선순위 기준으로 5단계로 나눴다. 각 단계를 순서대로 진행하면 ISO/IEC 5230 자가 인증이 가능한 수준에 도달한다.
Phase 1 — 기반 수립
목표: 오픈소스 관리 프로그램의 범위를 정하고, 정책을 수립하고, 담당 조직을 구성한다.
| 완료 | 입증자료 | 설명 | 상세 가이드 |
|---|---|---|---|
| ☐ | 3.1.4.1 | 프로그램 적용 범위 문서 | §3.1.4 → |
| ☐ | 3.1.1.1 | 문서화된 오픈소스 정책 | §3.1.1 → |
| ☐ | 3.1.1.2 | 정책 전파 절차 | §3.1.1 → |
| ☐ | 3.2.2.1 | 역할 담당자 이름 문서 | §3.2.2 → |
| ☐ | 3.2.2.2 | 역할 배치 및 예산 확인 | §3.2.2 → |
| ☐ | 3.2.2.3 | 법률 자문 접근 방법 | §3.2.2 → |
| ☐ | 3.2.2.4 | 내부 책임 할당 절차 | §3.2.2 → |
| ☐ | 3.2.2.5 | 미준수 사례 검토·수정 절차 | §3.2.2 → |
완료 산출물: 오픈소스 프로그램 범위 문서, 오픈소스 정책 문서, 역할·책임 문서
Phase 2 — 역량 및 교육
목표: 프로그램 참여자의 역할별 역량을 정의하고, 인식 수준을 평가한다.
| 완료 | 입증자료 | 설명 | 상세 가이드 |
|---|---|---|---|
| ☐ | 3.1.2.1 | 역할과 책임 목록 문서 | §3.1.2 → |
| ☐ | 3.1.2.2 | 역할별 필요 역량 기술 문서 | §3.1.2 → |
| ☐ | 3.1.2.3 | 역량 평가 증거 | §3.1.2 → |
| ☐ | 3.1.3.1 | 참여자 인식 평가 증거 | §3.1.3 → |
완료 산출물: 역할·역량 정의 문서, 교육 이수 기록, 인식 평가 결과
Phase 3 — 프로세스 구축
목표: 오픈소스 사용·검토·배포에 필요한 핵심 프로세스를 수립한다.
| 완료 | 입증자료 | 설명 | 상세 가이드 |
|---|---|---|---|
| ☐ | 3.1.5.1 | 라이선스 의무사항 검토 절차 | §3.1.5 → |
| ☐ | 3.3.1.1 | SBOM 관리 절차 | §3.3.1 → |
| ☐ | 3.3.1.2 | 오픈소스 컴포넌트 기록 | §3.3.1 → |
| ☐ | 3.3.2.1 | 라이선스 사용 사례 처리 절차 | §3.3.2 → |
| ☐ | 3.4.1.1 | 컴플라이언스 산출물 준비·배포 절차 | §3.4.1 → |
| ☐ | 3.4.1.2 | 컴플라이언스 산출물 보관 절차 | §3.4.1 → |
완료 산출물: 라이선스 의무 검토 절차서, SBOM 관리 절차서, 컴플라이언스 산출물
Phase 4 — 운영 체계 수립
목표: 외부 문의에 대응하는 창구를 마련하고, 오픈소스 기여 정책을 수립한다. 기여 활동을 허용하지 않는 기업은 §3.5.1 항목을 건너뛸 수 있다.
| 완료 | 입증자료 | 설명 | 상세 가이드 |
|---|---|---|---|
| ☐ | 3.2.1.1 | 외부 문의 공개 채널 | §3.2.1 → |
| ☐ | 3.2.1.2 | 외부 문의 내부 대응 절차 | §3.2.1 → |
| ☐ | 3.5.1.1 | 오픈소스 기여 정책 (기여 허용 시) | §3.5.1 → |
| ☐ | 3.5.1.2 | 기여 관리 절차 (기여 허용 시) | §3.5.1 → |
| ☐ | 3.5.1.3 | 기여 정책 인식 절차 (기여 허용 시) | §3.5.1 → |
완료 산출물: 외부 문의 대응 채널(이메일·웹폼 등), 기여 정책 문서(해당 시)
Phase 5 — 적합성 확인 및 유지
목표: Phase 1~4의 모든 입증자료를 점검하고 ISO/IEC 5230 자가 인증을 선언한다. 이후 18개월마다 적합성을 재확인한다.
| 완료 | 입증자료 | 설명 | 상세 가이드 |
|---|---|---|---|
| ☐ | 3.6.1.1 | 모든 요구사항 충족 확인 문서 | §3.6.1 → |
| ☐ | 3.6.2.1 | 18개월 이내 요구사항 충족 확인 문서 | §3.6.2 → |
완료 산출물: 자가 인증 선언문, 정기 재확인 기록
자가 인증 바로 시작하기
Phase 1~5를 모두 완료했다면 OpenChain 자가 인증 체크리스트로 준수 여부를 공식 선언할 수 있다. https://certification.openchainproject.org/
전체 조항 체크리스트
ISO/IEC 5230은 총 13개 조항, 25개 입증자료 항목으로 구성된다.
§3.1 프로그램 기반
| 조항 | 제목 | 입증자료 | 상세 |
|---|---|---|---|
| §3.1.1 | 정책 (Policy) | 2건 | 바로가기 |
| §3.1.2 | 역량 (Competence) | 3건 | 바로가기 |
| §3.1.3 | 인식 (Awareness) | 1건 | 바로가기 |
| §3.1.4 | 프로그램 범위 (Program Scope) | 1건 | 바로가기 |
| §3.1.5 | 라이선스 의무 (License Obligations) | 1건 | 바로가기 |
§3.2 관련 업무
| 조항 | 제목 | 입증자료 | 상세 |
|---|---|---|---|
| §3.2.1 | 외부 문의 대응 (Access) | 2건 | 바로가기 |
| §3.2.2 | 효과적 리소스 (Effectively Resourced) | 5건 | 바로가기 |
§3.3 콘텐츠 검토 및 승인
| 조항 | 제목 | 입증자료 | 상세 |
|---|---|---|---|
| §3.3.1 | SBOM | 2건 | 바로가기 |
| §3.3.2 | 라이선스 컴플라이언스 (License Compliance) | 1건 | 바로가기 |
§3.4 컴플라이언스 산출물
| 조항 | 제목 | 입증자료 | 상세 |
|---|---|---|---|
| §3.4.1 | 컴플라이언스 산출물 (Compliance Artifacts) | 2건 | 바로가기 |
§3.5 커뮤니티 참여
| 조항 | 제목 | 입증자료 | 상세 |
|---|---|---|---|
| §3.5.1 | 기여 (Contributions) | 3건 | 바로가기 |
§3.6 규격 준수
| 조항 | 제목 | 입증자료 | 상세 |
|---|---|---|---|
| §3.6.1 | 적합성 (Conformance) | 1건 | 바로가기 |
| §3.6.2 | 지속 기간 (Duration) | 1건 | 바로가기 |
합계: 13개 조항 / 25개 입증자료 항목
ISO/IEC 5230 인증 절차
ISO/IEC 5230 준수 여부를 공식적으로 인정받는 방법은 세 가지다.
1단계. 자가 인증 (Self-Certification)
OpenChain 프로젝트가 제공하는 온라인 체크리스트를 작성하여 자체적으로 준수 여부를 선언한다. 비용이 없으며 즉시 시작할 수 있다.
- 체크리스트: https://certification.openchainproject.org/
- 적합 대상: 인증을 처음 준비하거나 내부 점검 용도
2단계. 독립 평가 (Independent Assessment)
외부 전문가 또는 컨설팅 기관이 오픈소스 프로그램을 평가한다. 자가 인증보다 신뢰도가 높으며, 공급망 파트너에게 준수 수준을 입증하는 데 활용된다.
- 파트너 목록: Open Compliance Directory
3단계. 제3자 인증 (Third-party Certification)
OpenChain이 공인한 인증 기관이 심사하여 공식 인증서를 발급한다. 가장 높은 신뢰도를 가지며, 글로벌 공급망 요구사항 충족에 적합하다.
- 공인 인증 기관 (2024년 기준): ORCRO, PwC, TÜV SÜD, Synopsys, Bureau Veritas
단계적 접근 권장
처음 인증을 준비하는 기업은 자가 인증 → 독립 평가 → 제3자 인증 순서로
단계적으로 진행하는 것을 권장한다. 자가 인증만으로도 많은 공급망 파트너가 요구하는
준수 수준을 충족할 수 있다.
다른 표준과의 관계
ISO/IEC 5230은 ISO/IEC 18974(보안 보증)·42001(AI 관리 시스템)과 함께 통합 운영할 수 있다.
- ISO/IEC 18974 추가 준비: ★ 9개 추가 항목만 보강하면 18974 자가 인증이 가능하다. 자세한 안내는 ISO/IEC 18974 준수 가이드 참고.
- ISO/IEC 42001 통합: AI 시스템을 개발·운영하는 조직은 AI 관리 시스템 표준 ISO/IEC 42001과 통합 운영하는 것이 효율적이다. AI SBOM·AI 라이선스·외부 AI 모델 조달 등 교차 영역은 ISO/IEC 42001 가이드에서 다룬다.
- 세 표준 비교: ISO 5230 · 18974 · 42001 표준 비교에서 세 표준의 관계, SC 42 패밀리 매핑, 동시 운영 시 공통 기반을 확인할 수 있다.
금융권 담당자를 위한 안내
은행, 보험, 증권 등 금융권은 ISO/IEC 5230과 함께 금융분야 오픈소스 소프트웨어 활용·관리 안내서(금융감독원·금융보안원)를 준거로 삼는다. 폐쇄망 운영, 망분리 규제 전환, 공급망 보안 플랫폼, 감사 대응 같은 금융권 고유 맥락은 금융분야 오픈소스 관리 실무 가이드에서 다룬다. 이 가이드의 입증자료를 금융 절차와 연결한 대조표를 함께 제공한다.