§3.1.5 라이선스 의무
Categories:
1. 조항 개요
오픈소스 컴포넌트를 소프트웨어에 포함할 때 가장 핵심적인 작업은 해당 컴포넌트에 적용된 라이선스가 부과하는 의무·제한·권리를 정확히 파악하는 것이다. 라이선스 의무를 검토하지 않고 배포하면 소스코드 강제 공개, 저작권 고지 누락, 특허 조항 위반 등 심각한 법적 리스크가 발생할 수 있다. §3.1.5는 식별된 모든 라이선스에 대해 의무·제한·권리를 검토하고 기록하는 절차를 수립하도록 요구한다. 이 절차는 §3.3.2 라이선스 컴플라이언스 프로세스의 토대가 된다.
2. 해야 할 활동
- 소프트웨어에 사용된 오픈소스 컴포넌트의 라이선스를 식별하고 목록화한다.
- 각 라이선스가 부과하는 의무(고지 의무, 소스코드 공개 의무 등), 제한(상업적 사용 제한, 특허 사용 제한 등), 권리(사용·수정·재배포 권리 등)를 검토한다.
- 검토 결과를 라이선스별로 문서화하고 기록을 유지한다.
- 라이선스 해석에 불확실성이 있는 경우 법무 담당에게 검토를 의뢰하는 절차를 수립한다.
- 신규 라이선스 등장 또는 기존 라이선스 해석 변경 시 절차를 갱신한다.
3. 요구사항 및 입증자료
| 조항 번호 | 요구사항 (KO) | 입증자료 |
|---|---|---|
| §3.1.5 | 식별된 라이선스가 부과하는 의무, 제한 및 권리를 결정하기 위해 식별된 라이선스를 검토하는 프로세스가 존재해야 한다. | 3.1.5.1 각 식별된 라이선스에 의해 부여된 의무, 제한 및 권리를 검토하고 기록하기 위한 문서화된 절차 |
영문 원문 보기
§3.1.5 License Obligations A process shall exist for reviewing the identified licenses to determine the obligations, restrictions and rights granted by each license.
Verification Material(s): 3.1.5.1 A documented procedure to review and document the obligations, restrictions, and rights granted by each identified license.
4. 입증자료별 준수 방법 및 샘플
3.1.5.1 라이선스 의무 검토 절차
준수 방법
각 오픈소스 라이선스의 의무·제한·권리를 검토하고 기록하는 절차를 문서화해야 한다. 절차에는 ①라이선스 식별, ②의무·제한·권리 분석, ③검토 결과 기록, ④불확실 사항에 대한 법무 검토 의뢰, ⑤기록 보관의 단계가 포함되어야 한다. 이 절차 문서 자체가 입증자료 3.1.5.1이다.
라이선스별 의무는 사전에 정리된 라이선스 데이터베이스(SPDX License List 등)를 활용하면 효율적으로 관리할 수 있다. 주요 라이선스(MIT, Apache-2.0, GPL-2.0, GPL-3.0, LGPL-2.1, AGPL-3.0 등)에 대한 의무 요약표를 미리 작성해 두고, 신규 라이선스 발견 시 즉시 추가 검토하는 방식이 실무적으로 효과적이다. 복잡한 라이선스 조합이나 법적 판단이 필요한 경우 법무 담당에게 에스컬레이션하는 기준도 절차에 명시한다.
고려사항
- SPDX 활용: SPDX License List를 기준 라이선스 목록으로 사용하면 식별과 분류가 표준화된다.
- 의무 유형 구분: 고지 의무, 소스코드 공개 의무, 특허 조항, 상표 제한 등 의무 유형을 구분하여 기록한다.
- 배포 형태별 검토: 바이너리 배포, SaaS, 내부 사용 등 배포 형태에 따라 라이선스 의무가 달라질 수 있으므로 형태별로 검토한다.
- 에스컬레이션 기준: 법무 검토가 필요한 상황(라이선스 충돌, 비표준 라이선스, 상업적 제한 조항 등)을 절차에 명시한다.
- 갱신 주기: 신규 라이선스 채택 또는 기존 라이선스 해석 변경 시 즉시 절차와 기록을 갱신한다.
샘플
아래는 주요 오픈소스 라이선스 의무 요약표 샘플이다. 라이선스 검토 절차의 일환으로 작성하여 보관하면 입증자료로 활용할 수 있다.
| 라이선스 | 고지 의무 | 소스코드 공개 | 수정본 동일 라이선스 | 특허 조항 | 상업적 사용 |
|----------|-----------|--------------|----------------------|-----------|-------------|
| MIT | O | X | X | X | O |
| Apache-2.0 | O | X | X | O (특허 허여) | O |
| GPL-2.0 | O | O (배포 시) | O | X | O |
| GPL-3.0 | O | O (배포 시) | O | O (특허 허여) | O |
| LGPL-2.1 | O | O (라이브러리) | O (라이브러리) | X | O |
| AGPL-3.0 | O | O (네트워크 포함) | O | O (특허 허여) | O |
| MPL-2.0 | O | O (파일 단위) | O (파일 단위) | O (특허 허여) | O |
| BSD-2-Clause | O | X | X | X | O |
| BSD-3-Clause | O | X | X | X | O |
아래는 라이선스 의무 검토 절차 개요 샘플이다.
[라이선스 의무 검토 절차]
1. 라이선스 식별
- SBOM 생성 도구(FOSSology, ORT 등)를 통해 오픈소스 컴포넌트 및
라이선스를 식별한다.
2. 의무·제한·권리 분석
- 사전 작성된 라이선스 의무 요약표를 참조하여 해당 라이선스의
의무·제한·권리를 확인한다.
- 요약표에 없는 라이선스는 SPDX License List 및 라이선스 원문을
검토하여 신규 항목을 추가한다.
3. 법무 검토 의뢰 (해당 시)
- 라이선스 충돌, 비표준 라이선스, 상업적 제한 조항이 포함된 경우
법무 담당에게 검토를 의뢰한다.
4. 검토 결과 기록
- 검토 결과를 SBOM 또는 라이선스 검토 기록서에 기록하고
오픈소스 관리 시스템에 보관한다.
5. 의무 이행 확인
- 배포 전 라이선스 의무(고지문 포함, 소스코드 공개 등)가 완료되었는지
확인한다.
5. 참고
- 관련 가이드: 기업 오픈소스 관리 가이드 — 3. 프로세스
- 관련 템플릿: 오픈소스 프로세스 템플릿