Previous slide Next slide Toggle fullscreen Toggle overview view Open presenter view
기업 오픈소스 거버넌스 구축 실무
ISO 표준부터 AI 컴플라이언스까지
왜 거버넌스 체계가 필요한가
2009년 Busybox 소송 — 배포만 한 기업도 소송 대상이 됨, 공급망 전체 가 동시에 리스크에 노출개발자의 지식만으로는 부족 — 라이선스를 알아도 조직적 검토·기록 프로세스가 없으면 누락은 반드시 발생ISO 국제표준 — 이 체계를 만들기 위한 검증된 프레임워크, 전 세계 공급망이 공통 언어로 인정
"한 기업의 오픈소스 사고는 공급망 전체의 문제가 된다" — 개인 준수가 아닌 조직 체계 가 답이다
오늘 강의에서 얻어갈 것
표준 이해
ISO/IEC 5230·18974·42001 세 표준이 무엇이고 어떻게 서로 연결되는지 이해한다
체계 구축 방법
6대 핵심 요소(조직·정책·프로세스·도구·교육·준수)로 실제 체계를 어떻게 구축하는지 안다
첫 번째 액션
오늘 집에 가서 바로 시작할 수 있는 첫 번째 실행 단계를 갖고 간다
강의 구성 로드맵
파트 1
35분
ISO 표준 이해
파트 2
115분
6대 요소 구축
파트 3
30분
AI 컴플라이언스
파트 4
15분
라이브 데모
파트 5
10분
마무리 + 로드맵
파트 1
ISO 표준 이해
ISO/IEC 5230·18974·42001 세 표준이 무엇이고 왜 필요한지, 자가 인증 절차와 입증자료 체계를 살펴봅니다 (30분)
OpenChain Project란?
Linux Foundation 이 운영하는 오픈소스 컴플라이언스 국제 프로젝트핵심 철학: "공급망 전체가 함께 컴플라이언스를 지켜야만 한 기업이 안전하다"
글로벌 참여 기업: Qualcomm, Siemens, ARM, Bosch, Toyota 등
① 국제표준 규격ISO/IEC 5230 · 18974
② 자가 인증 체크리스트무료 온라인 신청
③ 무료 가이드 자료정책·프로세스 템플릿
ISO/IEC 5230 — 라이선스 컴플라이언스
2020년 12월 제정 — 오픈소스 라이선스 컴플라이언스에 관한 유일한 국제표준 OpenChain 규격(6가지 핵심 요구사항)이 ISO 표준으로 채택됨
공급망 연쇄 요구 — Bosch, Scania 등 대형 OEM이 공급자에게 준수를 요구하기 시작
"기업 규모·업종과 무관하게 모든 기업에 적용 가능하도록 설계" — 25개 입증자료로 준수 여부를 확인
ISO/IEC 5230의 6가지 핵심 요구사항
ISO/IEC 5230
②
역할 정의 및 지원
담당자 역할·책임·역량 정의
③
콘텐츠 검토 및 승인
사용 오픈소스 식별·검토·기록(SBOM)
④
산출물 생성 및 전달
고지문·소스코드 패키지 배포
⑥
규격 준수 선언
자가 인증 및 18개월 유효성 유지
ISO/IEC 18974 — 보안 보증
ISO/IEC 18974
2023년 제정 — 오픈소스 소프트웨어의 알려진 보안 취약점 관리를 위한 국제표준ISO/IEC 5230(라이선스)과 쌍으로 운영 — 컴플라이언스 + 보안의 두 축
CVE 모니터링, 취약점 대응 프로세스, SBOM 기반 보안 관리를 다룸
국내 사례 : LG전자는 국내 최초로 ISO/IEC 18974 인증을 획득하였으며, 이후 다수 기업이 취득전용 9개 항목 만 추가 준비하면 18974도 취득 가능
ISO/IEC 42001 — AI 관리 시스템
ISO/IEC 42001
2023년 제정 — AI 시스템을 책임감 있게 개발·운영·관리하기 위한 AI 관리 시스템 표준ISO 9001, ISO 27001과 동일한 경영 시스템 구조 (PDCA 사이클)
오픈소스 담당자 관점: §5.2(AI 역할 정의), §6.1.2(AI SBOM), §8.5(AI 공급망 검증) 등이 교차
이 강의는 ISO 42001 전체가 아닌 '오픈소스와 교차하는 요구사항' 에 집중합니다 (파트 3)
세 표준 비교 한눈에
항목
ISO/IEC 5230
ISO/IEC 18974
ISO/IEC 42001
제정 연도 2020
2023
2023
운영 주체 OpenChain (Linux Foundation)
OpenChain (Linux Foundation)
ISO/IEC JTC 1 SC 42
초점 라이선스 컴플라이언스
보안 보증
AI 관리 시스템
입증자료 25개
25개 (전용 9개 추가)
체크포인트 방식
인증 방법 자가 / 독립 / 제3자
자가 / 독립 / 제3자
자가 / 제3자
관계 기반 표준
5230 확장
AI 교차 요건
자가 인증이란?
①
체크리스트 확인
certification.openchainproject.org에서
→
②
결과 제출
모든 항목 Yes이면
→
③
인증 선언
Linux Foundation 확인 후
비용 없음 · 온라인으로 진행 · OpenChain이 가장 권장하는 방법
자가 인증 결과 예시
항목
질문 예시
판정
정책 문서화
오픈소스 정책이 문서화되어 있는가?
O
역할 정의
담당자의 역할과 책임이 문서화되어 있는가?
O
프로세스
오픈소스 검토·승인 프로세스가 있는가?
!
SBOM 관리
SBOM을 생성하고 유지하는가?
!
교육
담당자가 연 1회 이상 교육을 받는가?
O
No 항목 = 보완해야 할 영역 → 이 강의의 파트 2에서 해결 방법을 다룹니다
인증 후 얻을 수 있는 것
공급망 신뢰 확보
글로벌 구매자·파트너에게 오픈소스 거버넌스 수준을 증명
내부 체계 완성
정책·프로세스·도구·교육이 갖춰진 지속 가능한 관리 체계
리스크 선제 대응
소송·보안 사고 발생 전에 취약점을 체계적으로 식별·해소
OpenChain 인증 선언 기업: LG전자, Kakao, SK텔레콤, 현대자동차 등 국내 다수 기업 포함
ISO/IEC 5230 입증자료 25개 한눈에
번호 입증자료 요소
번호 입증자료 요소
3.1.1.1 문서화된 오픈소스 정책 정책 3.2.2.4 내부 책임 할당 절차 정책 3.1.1.2 정책 전파 절차 교육 3.2.2.5 미준수 사례 검토 및 수정 절차 정책 3.1.2.1 역할과 책임 목록 조직 3.3.1.1 SBOM 관리 절차 프로세스 3.1.2.2 역할별 역량 정의 문서 조직 3.3.1.2 오픈소스 컴포넌트 기록 (SBOM) 도구 3.1.2.3 역량 평가 증거 교육 3.3.2.1 라이선스 사용 사례 처리 절차 프로세스 3.1.3.1 참여자 인식 평가 증거 교육 3.4.1.1 컴플라이언스 산출물 생성 절차 프로세스 3.1.4.1 프로그램 적용 범위 문서 정책 3.4.1.2 컴플라이언스 산출물 보관 절차 프로세스 3.1.5.1 라이선스 의무사항 검토 절차 프로세스 3.5.1.1 오픈소스 기여 정책 정책 3.2.1.1 외부 문의 공개 채널 정책 3.5.1.2 오픈소스 기여 관리 절차 프로세스 3.2.1.2 외부 문의 내부 대응 절차 프로세스 3.5.1.3 기여 정책 인식 절차 교육 3.2.2.1 역할 담당자 명시 문서 조직 3.6.1.1 모든 요구사항 충족 확인 문서 준수 3.2.2.2 인원 배치 및 예산 확인 정책 3.6.2.1 18개월 이내 요구사항 충족 확인 준수 3.2.2.3 법률 자문 접근 방법 정책
ISO/IEC 18974 전용 추가 항목 9개
번호 입증자료 담당 요소
4.1.2.3 참여자 목록 및 역할 매핑 조직 4.1.2.5 프로그램 주기적 검토 및 변경 증거 프로세스 4.1.2.6 내부 모범 사례 일치 검증 조직 4.1.4.2 성과 메트릭 세트 정책 4.1.4.3 지속적 개선 증거 정책 4.1.5.1 8가지 취약점 처리 방법 문서화 정책 4.2.2.3 취약점 해결 전문성 명시 정책 4.3.2.1 취약점 탐지 및 해결 절차 프로세스 4.3.2.2 취약점 및 조치 기록 프로세스
ISO/IEC 5230 인증 보유 시 이 9개만 추가 준비하면 ISO/IEC 18974 인증도 취득 가능
파트 1 요약
ISO/IEC 5230
라이선스 컴플라이언스 국제표준 (2020)
ISO/IEC 18974
보안 보증 국제표준 (2023)
AI까지 확장
ISO/IEC 42001로 AI 시스템의 오픈소스 관리까지 범위를 확장
다음: 6대 핵심 요소로 체계 구축하기 →
파트 2
6대 핵심 요소 구축
조직·정책·프로세스·도구·교육·준수 6대 요소를 실제로 어떻게 구축하는지 단계별로 살펴봅니다 (90분)
6대 핵심 요소 전체 구조
ISO/IEC 5230 + ISO/IEC 18974 두 표준을 함께 충족하는 체계
1. 조직
역할·책임·역량을 정의하고 사람을 배치한다
오픈소스 관리 조직 (OSPO)
전담 OSPO 또는 역할 담당자 지정 — 규모와 무관하게 반드시 책임자 존재해야 함핵심 역할: 오픈소스 프로그램 매니저(PM), 법무, IT/보안, 개발 대표
규모에 따라 1인 겸직 담당자 → 전담 팀 으로 성장 가능
입증자료:
규모별 조직 구성 예시
구분
소규모 (50인 이하)
중규모 (50–500인)
대규모 (500인+)
구성 겸직 담당자 1인
OSPO 2–3인
전담 팀 5인+
역할 분리 PM 겸 법무 자문
PM + 법무 + IT
전 역할 분리
도구 오픈소스 기반
상용 + 오픈소스
커스텀 통합
예산 별도 예산 최소화
연간 예산 확보
전담 예산 운영
입증자료:
담당자 역할 매트릭스
활동
PM
법무
IT/보안
개발자
오픈소스 정책 수립
R
A
C
I
라이선스 검토·승인
A
R
I
C
SBOM 생성·관리
A
I
R
C
취약점 대응
C
I
R/A
R
교육 실시
R/A
C
C
I
R=Responsible(실행) · A=Accountable(책임) · C=Consulted(자문) · I=Informed(통보)
입증자료:
역할별 역량 정의 및 평가
역할
필요 역량
평가 방법
오픈소스 PM 라이선스 해석, 취약점 대응 프로세스, 표준(ISO 5230/18974) 이해
연 1회 지식 테스트 + 실적 검토
법무 오픈소스 라이선스 법리, 계약 검토, GPL 컴플라이언스
외부 교육 이수 기록
IT/보안 SBOM 도구 운용, CVE 분석, 취약점 스캐닝
도구 자격증 또는 내부 평가
개발자 라이선스 분류, 오픈소스 사용 신고 절차
온보딩 교육 이수 확인
역량 평가 결과를 문서화하여 보관
입증자료:
18974 전용 참여자 목록 및 역할 문서화
참여자 전원 문서화 — 오픈소스 프로그램에 참여하는 모든 담당자의 이름·직함·담당 역할을 목록으로 관리이력 관리 — 조직 변경·인사 이동 시마다 목록 갱신, 이전 버전 이력 보관외부 참여자 포함 — 외부 법무 자문사, 오픈소스 컨설턴트 등 외부 참여자도 목록에 포함
ISO/IEC 5230의 역할 문서에서 한 걸음 더 — 실제 이름이 명시된 참여자 목록 이 필요
입증자료:
2. 정책
모든 구성원이 따르는 성문화된 판단 기준을 만든다
정책 — 판단 기준의 통일
담당자마다 다른 판단 — 같은 MIT 라이선스라도 누구는 허용, 누구는 재검토 요청 → 일관성 붕괴정책은 공통 규칙서 — 모든 구성원이 동일한 기준으로 판단·행동하도록 성문화한 문서ISO/IEC 5230·18974 공통 요구 — 두 표준 모두 문서화된 오픈소스 정책 을 첫 번째 요구사항으로 규정
정책 없이는 "잘 하고 싶어도 기준이 없다" — 좋은 의도가 일관된 결과로 이어지지 않는다
입증자료:
정책에 담아야 할 핵심 항목
항목 핵심 내용
오픈소스 사용 원칙 승인된 라이선스 목록, 검토·승인 절차, 금지 라이선스 기준 컴플라이언스 의무 SBOM 생성 형식(SPDX/CycloneDX), 고지문 작성·배포, 산출물 보관 기간 보안 보증 취약점 모니터링 의무, CVSS 기준 조치 기한, 고객 통보 기준 오픈소스 기여 기여 승인 절차, CLA(기여자 라이선스 동의) 정책, 기여 금지 항목 외부 문의 대응 공개 연락 채널, 초기 응답 기한(24시간), 처리 절차
입증자료:
라이선스 컴플라이언스 정책 — 상세 항목
정책 항목 핵심 내용
오픈소스 식별·검토 절차 모든 오픈소스 도입 전 라이선스 식별 및 PM 검토 의무화 컴플라이언스 산출물 생성 배포 제품마다 고지문(NOTICE) 및 SBOM 생성 의무화 산출물 보관 기간 제품 판매 종료 후 최소 3년 보관 (GPL written offer 기준) SBOM 형식 선언 SPDX 2.3 또는 CycloneDX 1.5 중 하나를 조직 표준으로 선택 라이선스 호환성 기준 Copyleft 라이선스 조합 시 법무 검토 필수, 금지 라이선스 목록 유지
입증자료:
보안 보증 정책 — 상세 항목
정책 항목 핵심 내용
알려진 취약점 대응 원칙 배포 전 Critical/High 취약점 해결 완료 또는 예외 승인 필요 CVSS 기준 조치 기한 9.0+ (Critical): 7일 이내 · 7.0–8.9 (High): 30일 이내 · ~6.9: 다음 릴리스 배포 후 모니터링 신규 CVE 발행 시 출시 제품 SBOM과 자동 대조, 영향 분석 의무화 고객 통보 기준 CVSS 7.0 이상 취약점이 배포 버전에 영향 시 고객에게 통보 취약점 해결 전문성 취약점 분석·패치 담당자 지정, 외부 전문 자문 경로 명시
입증자료:
18974 전용 성과 메트릭 정의
메트릭 목표값 측정 주기
SBOM 완전성 100% (릴리스 시 모든 컴포넌트 기록) 릴리스마다 Critical 취약점 조치 기한 준수율 ≥ 95% 월간 외부 문의 초기 응답 시간 24시간 이내 건별 측정 신규 참여자 교육 이수율 100% (온보딩 후 30일 이내) 분기별 연 1회 프로그램 전체 감사 완료 여부 연간
"측정할 수 없으면 관리할 수 없다" — 메트릭 세트가 있어야 지속적 개선이 가능
입증자료:
18974 전용 지속적 개선 원칙
1
현황 측정
메트릭 수집 및 KPI 달성률 확인
→
2
갭 분석
목표 대비 미달 영역 및 원인 파악
→
3
개선 목표 설정
우선순위화된 개선 과제와 담당자 지정
→
4
결과 기록
개선 내용·효과를 문서화하여 보관
분기별 지표 점검 + 연 1회 전체 감사 → 지속적 개선 증거
입증자료:
프로그램 적용 범위 정의
적용 대상 명시 — 어떤 제품·서비스·팀·공급 소프트웨어에 이 프로그램이 적용되는지 문서화적용 제외 범위 — 내부 도구, 연구 목적 프로토타입, 폐기 예정 레거시 등 예외 범위 정의정기 재검토 — 신제품 출시·조직 개편·사업 영역 변경 시마다 범위 최신화
범위가 명확하지 않으면 어떤 제품이 표준 대상인지 판단할 수 없다
입증자료:
역할 배치 및 예산 확인
담당자 지정 확인 — 각 역할(PM·법무·IT·개발 대표)에 실제 이름이 지정되어 있음을 문서로 확인예산 승인 확인 — 도구 라이선스·외부 교육·법률 자문 등 프로그램 운영 예산이 승인되어 있음을 확인백업 체계 — 핵심 담당자 부재(휴가·이직) 시 누가 역할을 대행하는지 정의
역할에 담당자가 없거나 예산이 없으면 프로그램은 서류상 존재에 불과하다
입증자료:
전문 자문 제공 방법
자문 요청 절차 — 라이선스 해석·분쟁·계약 검토가 필요한 경우 내부 법무팀 또는 외부 전문 자문에 접근하는 절차를 문서화자문 프로세스 — 요청 → 검토 → 회신 → 기록 보관 흐름 명시, 회신 기한(예: 영업일 5일) 설정소규모 기업 대안 — 외부 로펌, OpenChain 파트너사 자문 서비스, 법무법인 오픈소스 전담팀 활용
법무 자문 경로가 없으면 어려운 라이선스 판단이 현장에서 무작위로 결정된다
입증자료:
내부 책임 할당 절차
상황
1차 담당
승인/검토
기록 보관
신규 오픈소스 도입 요청
개발자
PM → 법무
PM
라이선스 의무 이행
PM
법무 확인
PM
보안 취약점 발견
IT/보안
PM 보고
IT/보안
외부 컴플라이언스 문의
PM
법무 지원
PM
미준수 사례 발생
PM
법무 + 경영진
PM
입증자료:
미준수 사례 검토 및 시정 절차
①
사례 접수
내부 감사·외부 제보·자동 스캔으로 미준수 발견
→
②
원인 분석
어느 단계에서 누락됐는지 프로세스 역추적
→
③
시정 조치
라이선스 의무 이행, 배포 중단, 고지문 수정 등
→
④
재발 방지 기록
원인·조치 결과를 문서화, 전사 공유
시정 조치 결과를 전사 공유 → 유사 사례 예방
입증자료:
외부 문의 공개 채널 운영
채널 예시 — opensource@company.com, 웹 문의 양식, GitHub 이슈, 전용 포털채널 공개 위치 — 제품 패키지·웹사이트·오픈소스 고지문·앱 스토어 설명에 명시채널 구분 — 라이선스 문의와 보안 취약점 신고 채널을 분리 하여 운영 권장
채널이 있어도 어디에 있는지 모르면 없는 것과 같다 — 발견 가능성(discoverability) 이 핵심
입증자료:
외부 문의 내부 대응 절차
①
접수 확인
24시간 이내 접수 확인 회신
→
②
담당자 배정
문의 유형에 따라 PM·법무·보안 배정
→
③
검토·분석
라이선스 위반 / 소스코드 요청 / 취약점 신고 분류
→
④
회신·기록
30일 이내 최종 회신, 처리 결과 보관
입증자료:
정책 템플릿 — 바로 사용 가능한 출발점
📄 OpenChain KWG 오픈소스 정책 템플릿 미리보기
openchain-project.github.io/OpenChain-KWG/guide/templates/1-policy/
ISO 5230 + 18974 모두 충족 설계 — 25+9개 입증자료 요건 반영라이선스 컴플라이언스·보안·기여·외부문의 항목 포함CC BY 4.0 — 무료 사용·수정·배포 가능
3. 프로세스
정책이 실제로 작동하는 절차와 흐름을 설계한다
3. 프로세스 — 오픈소스 사용 흐름도
①
오픈소스 선택
라이선스·버전 확인, 대안 검토
→
②
라이선스 검토
PM·법무 검토, 호환성 확인
→
③
SBOM 등록
컴포넌트·버전·라이선스 기록
→
④
승인
정책 적합 시 사용 승인
→
⑤
고지문 생성
NOTICE 파일 작성
→
⑥
배포
산출물과 함께 배포
SBOM 수명주기 관리 절차
①
개발 단계
컴포넌트 도입 즉시 SBOM에 등록 (도구 자동화 권장)
→
②
빌드 단계
빌드마다 최신 SBOM 자동 생성 (SPDX·CycloneDX)
→
③
배포 단계
릴리스 SBOM 확정 및 아카이브 보관
→
④
배포 후 모니터링
신규 CVE 발행 시 아카이브 SBOM과 자동 대조
SBOM은 만들어 두는 문서가 아닌 살아있는 보안 자산 — 배포 후에도 계속 활용
입증자료:
컴플라이언스 산출물 준비·배포
산출물 3종 — ① 오픈소스 고지문(NOTICE) ② 소스코드 패키지(GPL 등) ③ SBOM배포 방법 — 제품 패키지 동봉, 공식 웹사이트 게시, 서면 요청 시 제공(written offer)버전 관리 — 릴리스마다 별도 산출물 생성, 버전·배포처·날짜 기록
① 고지문NOTICE / LICENSE 파일
② 소스코드 패키지GPL·LGPL 의무 이행
③ SBOMSPDX·CycloneDX 형식
입증자료:
컴플라이언스 산출물 보관 절차
보관 기간 — 제품 판매 종료 후 최소 3년 (GPL §3 written offer 유효 기간 기준)보관 방법 — 버전 관리 시스템(Git), 아카이브 스토리지, 클라우드 백업으로 이중 보관기록 항목 — 버전·배포 일자·배포처·제공 방법별로 언제 어떤 산출물을 제공했는지 이력 유지
감사나 법적 분쟁이 발생했을 때 "당시에 의무를 이행했다"는 증거 가 보관된 산출물이다
입증자료:
보안 취약점 대응 프로세스
①
탐지
CVE 피드, SBOM 자동 대조, 외부 신고
→
②
영향 분석
CVSS 점수 확인, 영향 제품·버전 파악
→
③
우선순위 결정
Critical/High: 긴급 패치 / 그 외: 일정 조정
→
④
조치·패치
업그레이드, 패치 적용, 회피 방법 적용
→
⑤
기록·통보
조치 결과 기록, 필요 시 고객 통보
CVSS 기준 조치 기한 :
입증자료:
18974 전용 취약점 처리 8가지 방법
①
구조적·기술적 위협 식별
공급 소프트웨어에 대한 구조적 및 기술적 위협을 식별하는 방법
②
알려진 취약점 탐지
공급 소프트웨어에서 알려진 취약점 존재 여부를 탐지하는 방법
③
취약점 후속 조치
확인된 알려진 취약점에 대한 후속 조치 방법
④
고객 통보
확인된 알려진 취약점을 보증 대상인 고객에게 알리는 방법
⑤
배포 후 신규 취약점 분석
취약점이 공개되었을 때 이미 배포된 소프트웨어에 존재하는지 확인하는 방법
⑥
지속적 보안 테스트
지속적이고 반복적인 보안 테스트가 출시 전에 적용되기 위한 방법
⑦
위험 해결 검증
식별된 위험이 출시 전에 해결되었는지 확인하는 방법
⑧
위험 정보 보고
식별된 위험에 대한 정보를 제3자에게 적절하게 내보내는 방법
입증자료:
취약점 및 조치 기록
CVE ID CVSS 영향 컴포넌트 조치 방법 완료일 담당자
CVE-2024-1234
9.8
log4j 2.14
2.17로 업그레이드
2024-01-10
홍길동
CVE-2024-5678
7.5
openssl 1.1.1
패치 적용
2024-02-20
김철수
CVE-2024-9012
4.3
lodash 4.17.19
다음 릴리스에 반영
예정
이영희
"탐지 없음"도 기록 — 스캔 실행 일시·결과를 기록해야 "모니터링했다"는 증거가 됨
입증자료:
18974 전용 주기적 검토 및 변경 증거
정기 검토 의무 — 프로그램의 역할·역량·절차·도구를 정기적으로 검토하고 변경 이력을 기록최소 검토 주기 — 연 1회 이상 (조직 변경·신규 표준 발행·보안 사고 발생 시 수시 검토)변경 사항 문서화 — 검토 일시, 참여자, 변경 내용, 변경 이유를 기록하여 보관
"검토했다"는 구두 확인이 아닌 날짜·내용이 담긴 문서 증거 가 필요
입증자료:
18974 전용 내부 모범 사례 일치 검증
검증 대상 — 조직의 보안 관련 내부 모범 사례가 오픈소스 보안 보증 프로그램과 일치하는지 확인모범 사례 출처 — OpenChain 권고사항, NIST SSDF(Secure Software Development Framework), OWASP Top 10 등불일치 시 조정 — 내부 모범 사례와 표준 요구사항 간 차이가 발견되면 조정 절차와 결과를 문서화
"우리 내부 보안 기준이 이미 있다"는 것과 "표준과 일치함을 검증했다"는 것은 다르다
입증자료:
오픈소스 기여 프로세스
①
기여 의향 신고
개발자가 기여 대상·내용을 PM에게 신고
→
②
검토·승인
PM·법무가 IP 침해·비밀정보 포함 여부 확인
→
③
기여 실행
승인된 계정·이메일로 PR/패치 제출
→
④
기록 보관
기여 URL·날짜·담당자 기록
입증자료:
프로세스 템플릿 — 바로 사용 가능한 절차서
OpenChain KWG 오픈소스 프로세스 템플릿 미리보기
openchain-project.github.io/OpenChain-KWG/guide/templates/2-process-template/
포함 절차 : 오픈소스 사용·검토·배포 / 외부 문의 대응 / 취약점 대응 / SBOM 관리 / 기여·공개ISO 5230·18974 입증자료 매핑 포함 — 어떤 절차가 어떤 입증자료를 커버하는지 명시CC BY 4.0 — 무료 사용·수정 가능
4. 도구
사람이 감당할 수 없는 규모를 자동화로 해결한다
4. 도구 — 수작업의 한계
Before: 수작업 관리
After: 도구 자동화
개발자가 직접 라이선스 확인 → 누락 빈번
SCA 도구로 자동 라이선스 검출
스프레드시트로 SBOM 관리 → 버전 불일치
빌드마다 SBOM 자동 생성
배포 후 취약점 발견 → 뒤늦은 대응
CVE 피드 자동 대조 → 실시간 알림
담당자 이직 시 지식 유실
이력이 시스템에 누적 보관
도구 없이는 규모가 커질수록 사람이 감당할 수 없다 — 자동화가 체계의 지속 가능성을 만든다
오픈소스 거버넌스 도구 생태계
카테고리 도구 역할 라이선스
소스코드 스캔 FOSSology · SCANOSS
라이선스 식별, 저작권 분석
오픈소스
SBOM 생성 cdxgen · Syft· FOSSLight
패키지 의존성 → SBOM 자동 생성
오픈소스
거버넌스·추적 SW360 · Dependency-Track· FOSSLight
오픈소스 컴포넌트 관리·승인·추적
오픈소스
취약점 탐지 OSV-SCALIBR · Dependency-Track· FOSSLight
SBOM 기반 CVE 자동 대조
오픈소스
소개된 모든 도구는 무료 오픈소스 — 예산 없이도 도입 가능
소스코드 스캔: FOSSology & SCANOSS
FOSSology
Linux Foundation 운영
SCANOSS
오픈소스 컴포넌트 스캔 전문
SBOM 생성: cdxgen & Syft
cdxgen
OWASP 운영, Apache 2.0
Syft
Anchore 개발, Apache 2.0
거버넌스·SBOM 관리: FOSSLight & Dependency-Track
FOSSLight
LG전자 개발, Apache 2.0
Dependency-Track
OWASP, Apache 2.0
CI/CD 파이프라인 연동 아키텍처
①
소스코드 커밋
개발자 PR
→
②
SBOM 자동 생성
cdxgen / Syft
→
③
취약점 대조
Dependency-Track
→
④
정책 게이트
Critical 발견 시 빌드 차단
→
⑤
배포 승인
SBOM 아카이브 저장
Critical 취약점이 포함된 빌드가 배포되는 것을 파이프라인 단계에서 자동 차단
cdxgen + Dependency-Track: 하루 만에 자동화 환경 구축
소스코드 커밋 → cdxgen 스캔 → CycloneDX SBOM → Dependency-Track 분석 → CVE·라이선스 경보
항목
cdxgen
Dependency-Track
역할 SBOM 자동 생성
취약점·라이선스 지속 모니터링
지원 범위 20개 이상 언어·패키지 매니저
CVE 자동 대조, 정책 위반 알림
출력 형식 CycloneDX JSON (ISO 5230 충족)
대시보드 + REST API + Webhook
비용 무료 (Apache-2.0)
무료 (Apache-2.0)
초기 설정 복잡도가 낮아 오픈소스 관리를 처음 시작하는 기업에 권장하는 조합
5. 교육
체계가 현장에서 작동하려면 사람이 알고 있어야 한다
5. 교육 — 체계의 마지막 퍼즐
정책·프로세스의 한계 — 아무리 잘 만들어도 구성원이 인식하지 않으면 현장에서 작동하지 않는다교육 대상 — 공급 소프트웨어의 개발·배포에 관여하는 모든 직원 (개발자·PM·법무·경영진 포함)ISO 요구 3가지 — ① 오픈소스 정책의 존재 인식 ② 정책의 목적 이해 ③ 미준수 시 영향 인지
"교육을 실시했다"는 구두 확인이 아닌 이수 기록·평가 결과 보관 이 입증자료가 된다
입증자료:
정책 전파 절차
전파 방법 — 신규 입사자 온보딩, 내부 위키/인트라넷 게시, 정기 교육(연 1회 이상)전파 대상 — 공급 소프트웨어의 개발·배포·검토에 관여하는 모든 직원 에게 전파전파 확인 — 교육 이수 서명, LMS 완료 기록, 온보딩 체크리스트로 확인 및 보관
정책을 만들어 두는 것과 전 직원이 알고 있다는 것을 증명 하는 것은 다르다
입증자료:
신규 입사자 교육 설계
1
오리엔테이션 (1일 차)
오픈소스 정책 소개, 내부 가이드 안내, 담당 PM 소개
→
2
실습 (1~2주 이내)
오픈소스 검토 도구 사용법, 승인 절차 시뮬레이션
→
3
이해도 확인
온라인 퀴즈 또는 서명으로 인식 확인 후 기록 보관
신규 입사자도 30일 이내 교육 완료 를 의무화 → 온보딩 체크리스트에 포함
교육 효과 측정 및 인식 평가
측정 항목 방법 주기
정책 인식 오픈소스 정책 인지 여부 설문 (5문항 이하)
연 1회
미준수 영향 이해 가상 시나리오 퀴즈 — 미준수 발생 시 대응 선택
연 1회
역량 평가 도구 사용 실습 테스트 또는 온라인 퀴즈
역할 변경 시
교육 이력 보관 LMS 이수 기록 또는 서명 대장
최소 3년 보관
입증자료:
교육 자료 — 무료로 시작하기
OpenChain KWG 가이드 — 정책·프로세스 템플릿, 입증자료 체크리스트, 조항별 가이드NIPA 오픈소스 라이선스 가이드 — 국내 기업 대상 실무 해설
① KWG 가이드무료 정책·프로세스 템플릿
② NIPA 가이드국내 실무 중심 해설
참고 — SK텔레콤 오픈소스 가이드
기업이 공개한 실무 중심 오픈소스 가이드 — 사용·기여·공개·공급망 보안을 단계별로 안내
주제
주요 내용
오픈소스 사용하기 라이선스별 의무사항(MIT·GPL·Apache 등 20개), SBOM 관리, 보안 대응
오픈소스 기여하기 외부 프로젝트 기여 절차·혜택·주의사항
오픈소스 공개하기 사내 소프트웨어 오픈소스화 절차 — 이름 결정, 저작권 표시, 공개 승인
공급망 보안 SBOM 개념·표준, 공급사 가이드, 취약점 관리
6. 준수·개선
갖춘 체계를 공식 확인하고 지속적으로 유지한다
6. 준수·개선 — 준수 선언이란?
1
입증자료 준비 확인
25개(+9개) 항목 모두 준비 완료 여부 점검
→
2
준수 확인 문서 작성
오픈소스 PM + 경영진 승인으로 준수 확인서 작성
→
3
자가 인증 신청 또는 공개 선언
openchainproject.org/conformance-submission 제출 또는 공개 웹사이트 게재
입증자료:
자가 인증 절차 상세
①
자체 점검
25개 항목 체크리스트 작성, 부족 항목 파악
→
②
부족 항목 보완
미충족 입증자료 준비 (가이드·템플릿 활용)
→
③
온라인 인증 제출
openchainproject.org/conformance-submission 체크리스트 제출
→
④
인증 목록 등재
공개 인증 조직 목록에 등재, 공급망 증명 가능
비용 없음, 언제든 신청 가능
입증자료:
인증 후 18개월 유지 의무
18개월 재확인 — 인증 취득 후 18개월 이내에 모든 요구사항을 여전히 충족하고 있음을 재확인연 1회 내부 감사 — 25개(+9개) 입증자료 현행화 여부 점검, 담당자 변경·프로세스 갱신 반영표준 버전 갱신 대응 — 새 버전 발행 시 18개월 유예 기간 내 갱신 권장
인증은 "한번 받으면 영구"가 아니다 — 살아있는 체계 임을 지속적으로 확인해야 한다
입증자료:
성과 메트릭 측정 및 개선
메트릭 현재 (예시) 목표 조치
SBOM 완전성 92%
100%
빌드 파이프라인 자동화 강화
Critical 취약점 기한 준수 88%
≥95%
알림 시스템 개선, 담당자 추가 지정
외부 문의 초기 응답 36시간
24시간
자동 접수 확인 이메일 도입
교육 이수율 85%
100%
미이수자 개별 독려 + 온보딩 필수화
입증자료:
지속적 개선 증거 수집
개선 활동 기록 — 무엇을 왜 변경했는지 문서화 (변경 전 상태 → 변경 후 상태 → 효과)연 1회 전체 프로그램 리뷰 — 6대 요소 전체를 점검하고 개선 보고서 작성, 경영진 보고개선 전·후 메트릭 비교 — 수치로 효과를 증명 → "개선했다"는 주장이 아닌 증거
개선 보고서 한 장이 "프로그램이 살아있다" 는 가장 강력한 증거
입증자료:
ISO 5230 + 18974 통합 준수 체크
입증자료 설명 5230 18974
3.1.1.1 / 4.1.1.1 문서화된 오픈소스 정책 O O 3.1.2.1 / 4.1.2.1 역할과 책임 목록 O O 3.1.2.3 / 4.1.2.4 역량 평가 증거 O O 3.3.1.1 / 4.3.1.1 SBOM 관리 절차 O O 3.4.1.1 / 3.4.1.2 산출물 생성·보관 절차 O — 4.1.2.3 참여자 목록 및 역할 매핑 — O 4.1.4.2 성과 메트릭 세트 — O 4.1.5.1 8가지 취약점 처리 방법 — O 4.3.2.1 / 4.3.2.2 취약점 탐지·해결·기록 — O 3.6.1.1 / 4.4.1.1 모든 요구사항 충족 확인 문서 O O
파트 2 요약
조직 · 정책
체계의 뼈대
프로세스 · 도구
체계의 실행
교육 · 준수
체계의 지속
파트 3
AI 컴플라이언스
ISO/IEC 42001 오픈소스 교차 요구사항 — 기존 거버넌스 체계가 AI 시대에 어떻게 확장되는지 살펴봅니다 (30분)
AI 컴플라이언스 — 기존 거버넌스로 충분한가?
기존 거버넌스가 커버하는 것
기존 거버넌스로 커버되지 않는 것
PyPI, npm, Maven 등 표준 패키지
AI 모델 커스텀 라이선스 (Llama, Mistral 등)
GitHub 오픈소스 라이브러리
학습 데이터셋 라이선스 (CC-BY, CC-BY-NC 등)
컨테이너 이미지 내 패키지
AI 공급망 검증 (외부 모델 출처 확인)
CI/CD 파이프라인 의존성
AI-BOM (AI 구성요소 명세서)
AI 시스템에는 3가지 오픈소스 레이어 가 존재한다 — 기존 체계를 확장해야 한다
AI 시스템 오픈소스 3대 영역
① AI 프레임워크·라이브러리
PyTorch, TensorFlow, LangChain 등표준 오픈소스 라이선스 (Apache 2.0, MIT, BSD)
② 사전 훈련 AI 모델
Llama, Mistral, Falcon, BERT 등커스텀/제한 라이선스 (모델별 개별 확인)
③ 학습 데이터셋
CC-BY, CC0, 자체 라이선스 등데이터 라이선스 (오픈소스 라이선스와 다름)
AI 프레임워크 라이선스 관리
① AI 프레임워크
기존 프로세스 그대로 적용 — AI 개발에 사용하는 오픈소스 프레임워크는 일반 소프트웨어와 동일하게 ISO/IEC 5230 프로세스를 적용기존 도구 활용 — cdxgen, Syft 등 기존 스캔 도구로 AI 코드 저장소도 분석 가능SBOM에 포함 — SBOM에 AI 프레임워크·라이브러리와 버전 정보를 반드시 포함
AI 프레임워크는 기존 오픈소스 거버넌스를 확장하는 것 으로 충분하다 — 새 체계 불필요
AI 프레임워크 주요 라이선스
① AI 프레임워크
프레임워크 라이선스 상업적 사용 주요 의무
PyTorch BSD 3-Clause
O 저작권 표시
TensorFlow Apache 2.0
O 저작권 표시, NOTICE 파일
LangChain MIT
O 저작권 표시
Hugging Face Transformers Apache 2.0
O 저작권 표시, NOTICE 파일
AI 프레임워크는 대부분 허용적 라이선스 — 기존 프로세스로 관리 가능
오픈소스 AI 모델 라이선스 관리
② 사전 훈련 모델
커스텀 라이선스 주의 — 사전 훈련 모델은 일반 오픈소스와 달리 모델별 커스텀 라이선스를 사용하는 경우가 많음다양한 제한 조건 — 상업적 사용 제한, 사용자 수(MAU) 기반 제한, 파생 모델 공개 의무 등 조건이 모델마다 다름개별 직접 확인 필수 — Hugging Face 모델 허브에서 모델 카드(Model Card)와 라이선스를 반드시 직접 확인
주의: AI 모델 라이선스는 표준화되지 않았습니다
AI 모델 라이선스 유형 비교
② 사전 훈련 모델
라이선스 유형 대표 모델 상업적 사용 파생 모델
Apache 2.0 Falcon, Mistral 7B
가능 공개 불필요
MIT GPT-2, GPT-J
가능 공개 불필요
Llama Community License Llama 3
조건부 (MAU 7억 이하 무료) 공개 불필요
CC-BY-NC 일부 연구 모델
비상업적 저작자 표시
Apache 2.0 · MIT 모델을 우선 선택하면 컴플라이언스 부담이 낮습니다
단, 모델 릴리스 라이선스만으로 판단하지 말 것 — 학습 데이터의 NC 여부 와 base pretrained 모델의 라이선스 를 반드시 별도 확인해야 합니다
학습 데이터셋 라이선스 관리
③ 학습 데이터셋
라이선스 저작자 표시 상업적 사용 동일조건변경허락
CC0 (퍼블릭 도메인) 불필요 가능 불필요
CC-BY 4.0 필요 가능 불필요
CC-BY-SA 4.0 필요 가능 필요
CC-BY-NC 4.0 필요 비상업적 불필요
AI-BOM에 학습 데이터셋과 라이선스 기록 · CC-BY-SA 사용 시 파생 모델 라이선스 법무 협의 필수
CC-BY-NC 데이터로 학습된 모델은 라이선스 표기와 무관하게 상업적 배포의 적법성이 불명확 할 수 있습니다 — 데이터 출처와 라이선스를 AI-BOM에 반드시 기록하세요
AI-BOM (AI SBOM)이란?
일반 SBOM의 AI 버전 — AI 시스템의 구성 요소(프레임워크·모델·데이터셋)를 명세한 문서SPDX 3.0 AI Profile — 국제 표준 형식으로 AI-BOM을 작성하면 공급망 신뢰 확보 가능ISO/IEC 42001 §7.5 직접 대응 — AI 시스템 문서화 요구사항을 AI-BOM으로 충족
AI-BOM = AI 시스템의 구성 요소 명세서
AI-BOM 실제 예시 (SPDX 3.0 AI Profile)
- name: "meta-llama/Llama-3.1-8B"
version: "3.1"
license: "Llama Community License Agreement"
primaryPurpose: "inference"
hyperparameter:
contextWindow: 131072
modelCard: "https://huggingface.co/meta-llama/Meta-Llama-3.1-8B"
- name: "CommonCrawl-2024Q1"
type: "dataset"
license: "CC0-1.0"
source: "https://commoncrawl.org/"
- name: "torch"
version: "2.3.0"
license: "BSD-3-Clause"
type: "framework"
ISO/IEC 42001 — 오픈소스 담당자 교차 조항 & 체크포인트
조항 오픈소스 담당자 역할 체크 항목
§5.2 AI 정책 AI 정책에 오픈소스 AI 모델 사용 원칙 포함
AI 정책에 "오픈소스 AI 모델 사용 원칙" 항목이 있는가?
§6.1.2 AI 리스크 평가 오픈소스 라이선스·취약점 리스크를 AI 리스크 평가에 포함
AI 프로젝트 리스크 평가 시 OSS 라이선스 리스크를 포함하는가?
§7.5 문서화 AI-BOM(AI SBOM) 수립 및 최신 상태 유지
AI-BOM을 작성하고 최신 상태로 유지하는가?
§8.5 AI 생애주기 개발 단계별 오픈소스 컴플라이언스 검토 단계 포함
개발 단계별 OSS 컴플라이언스 검토 단계가 프로세스에 있는가?
§8.6 AI 데이터 학습 데이터셋 라이선스 관리 절차 수립
학습 데이터셋의 라이선스를 확인하고 AI-BOM에 기록하는가?
§8.8 외부 AI 조달 외부 오픈소스 AI 모델 공급망 검증 절차
외부에서 조달한 오픈소스 AI 모델의 라이선스를 검증하는 절차가 있는가?
파트 3 요약
AI 프레임워크
Apache 2.0·MIT 위주
AI 모델
커스텀 라이선스 다수
데이터셋 + AI-BOM
CC 라이선스 관리
다음: KWG 가이드 데모 + 나만의 체계 구축 로드맵 →
Trusted OSS란?
AI Agent와 대화하며 오픈소스 거버넌스 체계를 스스로 구축하는 셀프스터디 플랫폼
ISO/IEC 5230·18974 기반 셀프스터디 모드 제공
Agent와 대화하며 우리 회사 상황에 맞는 정책·프로세스 설계
가이드 링크와 템플릿을 실시간으로 안내 받으며 진행
데모 시나리오 미리보기
①
Agent 메시지
"안녕하세요! 조직/담당자 산출물을 생성하는 agent입니다. 6개 질문에 답변하시면 3개의 산출물 파일이 자동으로 생성됩니다."
산출물
역할과 책임 정의, 외부 문의 채널
RACI 매트릭스, 역할별 담당자
담당자 임명장 템플릿
②
Agent 메시지
"안녕하세요! 오픈소스 정책 산출물을 생성하는 agent입니다. 5개 질문에 답변하시면 정책 문서 2개가 자동으로 생성됩니다."
산출물
오픈소스 정책 문서 (목적, 적용 범위, 의무사항)
배포 방식별 허용 라이선스 목록
③
Agent 메시지
"안녕하세요! 오픈소스 프로세스 산출물을 생성하는 agent입니다. 7개 질문에 답변하시면 프로세스 문서 4~7개가 자동으로 생성됩니다."
Agent
오픈소스 도입 승인 양식 및 절차
배포 전 컴플라이언스 체크리스트
취약점 대응 절차서
외부 라이선스·보안 문의 대응 절차
오픈소스 기여 & 사내 프로젝트 공개 절차
데모에서 이 흐름을 실제로 보여드리겠습니다
데모 후: 혼자서 따라가는 방법
Step 1 trustedoss.github.io/docs 접속Step 2 셀프스터디 모드에서 현재 상황 입력 (팀 규모, 현재 체계 수준)Step 3 Agent 안내에 따라 가이드·템플릿 활용Step 4 자가 인증 체크리스트로 진행 현황 점검
오늘 배운 내용 + Trusted OSS 셀프스터디 = 혼자서 체계 구축 가능
파트 5
Review
오늘 배운 내용을 바탕으로 내일부터 시작할 수 있는 첫 번째 액션을 정합니다 (20분)
오늘 배운 핵심 3가지
두 표준이 함께 완성
ISO 5230(라이선스) + ISO 18974(보안) = 오픈소스 거버넌스의 두 축
6대 요소 = 설계도
조직·정책·프로세스·도구·교육·준수
AI = 기존 체계 확장
AI 시스템 3개 레이어(프레임워크·모델·데이터셋)
OpenChain KWG — 함께 만드는 오픈소스 컴플라이언스
목적
한국 기업 오픈소스 컴플라이언스 담당자 커뮤니티
멤버십
소프트웨어를 개발·배포하는 한국 기업·기관의
주요 산출물
ISO 5230·18974 준수 가이드
슬라이드 2: 지금까지 / 오늘 배울 것
## 오늘 강의 포지셔닝
<div style="display:flex; gap:0; margin-top:12px;">
<div class="col-left" style="font-size:22px;">
**지금까지 배운 것**
- 오픈소스 라이선스의 종류와 의무
- Copyleft vs Permissive 구분
- 라이선스 검토·고지문 작성 실습
- 오픈소스 관리 플랫폼(Olive 등) 소개
</div>
<div class="col-right" style="font-size:22px;">
**오늘 배울 것**
- ISO 국제표준 기반 거버넌스 체계
- 6대 핵심 요소(조직·정책·프로세스·도구·교육·준수) 구축 방법
- AI 컴플라이언스 교차 요구사항
- 실제 기업의 인증 사례
</div>
</div>
<div class="key-message" style="margin-top:8px; font-size:20px;">
라이선스를 '아는 것'에서 → 조직이 '지속적으로 지키는 체계'로
</div>
---
슬라이드 3: 왜 거버넌스 체계가 필요한가
슬라이드 5: OpenChain Project란?
슬라이드 6: ISO/IEC 5230 — 라이선스 컴플라이언스
슬라이드 7: ISO/IEC 5230의 6가지 핵심 요구사항
슬라이드 8: ISO/IEC 18974 — 보안 보증
슬라이드 9: ISO/IEC 42001 — AI 관리 시스템
슬라이드 12: ISO 5230 입증자료 25개 한눈에
슬라이드 13: ISO 18974 전용 추가 항목 9개
슬라이드 16: 오픈소스 관리 조직 (OSPO)
<div class="img-placeholder" style="min-height:200px;">
📊 조직도: OSPO → [법무] [IT/보안] [개발팀] [제품/서비스팀]
<div class="url">참고: content/ko/guide/opensource_for_enterprise/1-teams/</div>
</div>
슬라이드 18: 담당자 역할 매트릭스 (RACI)
슬라이드 20: 참여자 목록 및 역할 문서화 (★18974 전용)
슬라이드 24: 라이선스 컴플라이언스 정책 상세
슬라이드 26: 성과 메트릭 정의 (★18974 전용)
슬라이드 27: 지속적 개선 원칙 (★18974 전용)
슬라이드 33: 미준수 사례 검토 및 시정 절차
슬라이드 35: 오픈소스 사용 프로세스 흐름도
슬라이드 39: 컴플라이언스 산출물 준비·배포
슬라이드 40: 컴플라이언스 산출물 보관 절차
슬라이드 42: 취약점 처리 8가지 방법 (§4.1.5.1)
슬라이드 46: 주기적 검토 및 변경 증거 (★18974 전용)
슬라이드 21: 내부 모범 사례 일치 검증 (★18974 전용)
슬라이드 52-1: cdxgen + Dependency-Track 자동화
슬라이드 58: 교육 효과 측정 및 인식 평가
슬라이드 59-1: SK텔레콤 오픈소스 가이드
슬라이드 62: 주기적 검토 및 18개월 유지
슬라이드 65: ISO 5230 + 18974 통합 준수 체크
슬라이드 68: AI 시스템 오픈소스 3대 영역
슬라이드 69: AI 프레임워크 라이선스 관리
슬라이드 70: AI 프레임워크 주요 라이선스 표
슬라이드 71: 오픈소스 AI 모델 라이선스 관리
슬라이드 72: AI 모델 라이선스 유형 비교
슬라이드 77: ISO 42001 오픈소스 교차 조항 & 체크포인트
슬라이드 86: OpenChain KWG 소개