AI 거버넌스와 금융권 오픈소스 컴플라이언스

• OpenChain
• AI Governance
• 금융권 Audit
• OSS Compliance

이런 분께 추천

• 금융·규제 산업에서 오픈소스 컴플라이언스 정책을 운영하는 담당자
• AI 도입 이후 오픈소스 거버넌스 범위를 재정의해야 하는 조직
• 감사·점검 대응을 위한 체크리스트와 증적 관리가 필요한 팀

아젠다

OpenChain Updates: 글로벌 동향

OpenChain Updates 시간에는 OpenChain Project 총괄 디렉터 Mary Wang이 원격으로 참여해 글로벌 동향을 공유했습니다. 표준 운영 현황과 함께, OpenChain을 CRA(EU 사이버 복원력법)와 AI 규제 대응을 연결하는 핵심 기반으로 설명했습니다.

표준과 커뮤니티 현황

ISO 5230과 ISO 18974 두 국제표준을 운영하며 전 세계 100여 개 기업이 채택했습니다. 25인 거버넌스 보드를 두고 있고, 2026년에는 Renesas가 신규 보드 멤버로 합류했습니다. OpenChain China Work Group 출범이 예정돼 있으며, OSCHINA를 포함한 신규 파트너도 합류했습니다.

ISO 5230 개정 현황

ISO 규정상 모든 표준은 5년마다 갱신해야 합니다. ISO 5230:2020이 5년을 지나 내용 변경 없이 공식 갱신됐습니다. 한편 지난 3년간 반영한 소규모 수정사항을 담은 최신본은 3.0이며, 2분기 보드 회의에서 이를 ISO에 공식 제출하기로 결정했습니다. 표준 명칭은 5230을 그대로 유지하고, 필요한 경우에만 개정 라벨을 붙이기로 했습니다.

다음 과제: CRA 대응

EU 사이버 복원력법(CRA, Cyber Resilience Act)은 EU에 소프트웨어를 판매하는 기업에 네 가지를 요구합니다. 설계 단계부터의 보안(Secure by Design), 모든 오픈소스 구성요소에 대한 투명성, 지속적인 취약점 관리, 보안 사고의 신속한 보고입니다. OpenChain은 이에 대응하기 위해 Business Operation Work Group을 신설했고, 현재 주제가 CRA입니다. 조직별 CRA 준수 격차를 조사하고 OpenChain이 지원할 수 있는 방안을 찾고 있습니다.

다음 과제: AI 거버넌스

AI 영역으로도 범위를 넓히고 있습니다. EU AI Act에 대응하고 ISO 42001, 42002, 42003과 연계하며 OpenChain AI Work Group을 운영합니다. OpenChain AI SBOM 자가 인증(Self Certification)도 추진하고 있습니다.

그 밖의 소식

12월 OCS(Open Compliance Summit)에서 OpenChain 소개 영상을 제작할 예정이며, ‘Adopt our standards’ 웹페이지를 개편했습니다. OpenChain and Friends 웨비나도 진행 중입니다. 표준 채택을 시작하려는 조직은 OpenChain 안내 페이지를 참고하시기 바랍니다.

발표자 소개

하헌관 매니저

카카오뱅크 · Session 1

카카오뱅크 오픈소스 거버넌스, DevSecOps, CMDB 운영

김강보 팀장

안랩 · Session 2

안랩 연구인프라팀에서 팀장으로 근무하며, CI/CD 인프라 구축을 비롯해 OSS(Open Source Software) 검증, 정적 분석, 개발 프로세스 정립, 배포 및 서명, 특허와 외부 과제 관리 등 R&D 전반의 개발 지원 환경을 설계·운영하고 있습니다. 특히 보안 제품을 구성하는 오픈소스의 컴플라이언스 준수와 보안 취약점 대응, 그리고 정적 분석을 중심으로 한 개발부터 배포까지 이어지는 CI/CD 체계 구축을 주요 업무로 담당하고 있습니다.

이민애 매니저

카카오뱅크 · Session 3

카카오뱅크 오픈소스 거버넌스, 사내 IT 업무 관련 정책 담당, 내외부감사 대응

Sponsor

이번 미팅 후원

Album