https://OpenChain-Project.github.io/OpenChain-KWG/tags/%EA%B0%90%EC%82%AC/Recent content in 감사 on OpenChain KWGHugokohttps://OpenChain-Project.github.io/OpenChain-KWG/guide/finance-oss-guide/artifacts/3-audit-evidence/Mon, 01 Jan 0001 00:00:00 +0000https://OpenChain-Project.github.io/OpenChain-KWG/guide/finance-oss-guide/artifacts/3-audit-evidence/<p>금융권은 내외부감사와 금융감독원의 정보기술(IT) 검사에 대비해 오픈소스 관리 활동의 증적을 보관해야 한다. 관리 단계의 점검 기록이 그대로 증적이 되므로, 따로 만들지 말고 평소 활동에서 나오는 기록을 체계적으로 모은다. 자세한 맥락은 <a href="https://OpenChain-Project.github.io/OpenChain-KWG/guide/finance-oss-guide/5-manage/#%ea%b0%90%ec%82%ac-%ec%a6%9d%ec%a0%81-%ea%b4%80%eb%a6%ac">관리</a>를 참고한다.</p> <h2 id="증적-체크리스트">증적 체크리스트</h2> <p>아래 증적은 ISO/IEC 5230·18974의 입증자료와 겹친다. ISO 자가 인증을 준비하며 만든 문서가 그대로 감사 증적이 된다. 보관 위치와 기간은 조직 규정에 맞게 정한다.</p> <table> <thead> <tr> <th>증적</th> <th>생성 활동</th> <th>관련 ISO 입증자료</th> <th>보관 위치(예시)</th> <th>비고</th> </tr> </thead> <tbody> <tr> <td>오픈소스 정책 문서와 개정 이력</td> <td>거버넌스</td> <td>5230 3.1.1.1</td> <td>문서 관리 시스템</td> <td>버전 이력 포함</td> </tr> <tr> <td>역할·책임 문서, 담당자 지정 기록</td> <td>거버넌스</td> <td>5230 3.1.2.1, 3.2.2.1</td> <td>문서 관리 시스템</td> <td></td> </tr> <tr> <td>SBOM과 갱신 이력</td> <td>식별</td> <td>5230 3.3.1.1, 3.3.1.2</td> <td>SBOM 관리 도구</td> <td>시스템별</td> </tr> <tr> <td>취약점 점검 결과</td> <td>이슈 파악·해결</td> <td>18974 4.3.2.1, 4.3.2.2</td> <td>취약점 관리 도구</td> <td>날짜별</td> </tr> <tr> <td>취약점 조치 기록(조치 불필요 판단 포함)</td> <td>이슈 파악·해결</td> <td>18974 4.3.2.2</td> <td>취약점 관리 도구</td> <td>VEX 포함</td> </tr> <tr> <td>라이선스 검토 기록</td> <td>이슈 파악·해결</td> <td>5230 3.3.2.1</td> <td>문서 관리 시스템</td> <td></td> </tr> <tr> <td>사용 승인 신청·검토·결정 기록</td> <td>사용 승인</td> <td>5230 3.1.5.1</td> <td>승인 관리 도구</td> <td>위원회 결정 근거</td> </tr> <tr> <td>망분리 예외 자체 위험평가서</td> <td>사용 승인</td> <td>(전자금융감독규정)</td> <td>문서 관리 시스템</td> <td>정보보호위원회(CISO) 승인 이력, 재평가 이력</td> </tr> <tr> <td>반입 승인 기록</td> <td>폐쇄망 운영</td> <td>—</td> <td>문서 관리 시스템</td> <td>검증 결과 포함</td> </tr> <tr> <td>정기 재평가 결과</td> <td>관리</td> <td>18974 4.1.2.5</td> <td>문서 관리 시스템</td> <td>주기별</td> </tr> <tr> <td>컴플라이언스 산출물(고지문 등)</td> <td>관리</td> <td>5230 3.4.1.1, 3.4.1.2</td> <td>배포 산출물 저장소</td> <td>배포 소프트웨어</td> </tr> <tr> <td>외주 계약의 오픈소스 요구 조항과 제출 SBOM</td> <td>사용 승인</td> <td>(전자금융감독규정 제21조 내부통제)</td> <td>계약 관리 시스템</td> <td>전자금융보조업자</td> </tr> </tbody> </table> <h2 id="보관관리-원칙">보관·관리 원칙</h2> <p>증적은 만드는 것만큼 지키는 것이 중요하다.</p>https://OpenChain-Project.github.io/OpenChain-KWG/guide/finance-oss-guide/5-manage/Mon, 01 Jan 0001 00:00:00 +0000https://OpenChain-Project.github.io/OpenChain-KWG/guide/finance-oss-guide/5-manage/<div class="alert alert-info" role="alert"><div class="h4 alert-heading" role="heading">이 페이지의 위치</div> <p>도입 시점에 한 번 점검하고 끝내면 관리가 아니다. 오픈소스 위험은 운영 내내 이어지고, 새 취약점은 도입 뒤에 공개된다. FSEC 안내서의 마지막 절차인 관리(모니터링) 단계이고, ISO/IEC 18974의 지속 모니터링에 대응한다. 금융권에서 비중이 가장 큰 단계다.</p> <p>여기서 만드는 문서: 정기 재평가 기록, 감사 증적 묶음.</p> </div> <h2 id="배포-소프트웨어와-사내-운영-시스템의-구분">배포 소프트웨어와 사내 운영 시스템의 구분</h2> <p>오픈소스 관리의 초점은 흔히 외부로 배포하는 소프트웨어에 맞춰진다. 배포가 라이선스 의무를 일으키기 때문이다. 그러나 금융권에서 오픈소스가 가장 많이 쓰이는 곳은 외부로 배포되지 않는 사내 운영 시스템이다. 계정계와 정보계, 사내 금융 관리 시스템, 내부 서버가 그렇다. 이 가이드는 두 범위를 나눠 다룬다.</p>https://OpenChain-Project.github.io/OpenChain-KWG/guide/finance-oss-guide/artifacts/Mon, 01 Jan 0001 00:00:00 +0000https://OpenChain-Project.github.io/OpenChain-KWG/guide/finance-oss-guide/artifacts/<p>이 가이드는 본문과 함께 바로 쓸 수 있는 네 가지 산출물을 제공한다. 본문이 &ldquo;무엇을 왜 하는지&quot;를 설명한다면, 산출물은 &ldquo;그것을 어떤 양식으로 남기는지&quot;를 채워 준다. 각 산출물은 조직 상황에 맞게 고쳐 쓰는 것을 전제로 한다.</p> <table> <thead> <tr> <th>산출물</th> <th>쓰임</th> </tr> </thead> <tbody> <tr> <td><a href="https://OpenChain-Project.github.io/OpenChain-KWG/guide/finance-oss-guide/artifacts/1-workbook/">자가점검 워크북</a></td> <td>점검 항목, ISO 입증자료, 충족 상태·담당자·기한을 한 시트로 묶어 자사 체계의 빈 곳을 찾는다</td> </tr> <tr> <td><a href="https://OpenChain-Project.github.io/OpenChain-KWG/guide/finance-oss-guide/artifacts/2-policy-templates/">정책·절차 템플릿</a></td> <td>금융 변형 정책, 반입 절차, 사용 승인 양식, 망분리 예외 자체 위험평가서의 골격을 제공한다</td> </tr> <tr> <td><a href="https://OpenChain-Project.github.io/OpenChain-KWG/guide/finance-oss-guide/artifacts/3-audit-evidence/">감사 증적 목록</a></td> <td>내외부감사와 감독 검사에서 요구되는 증적과 보관 위치를 체크리스트로 정리한다</td> </tr> <tr> <td><a href="https://OpenChain-Project.github.io/OpenChain-KWG/guide/finance-oss-guide/artifacts/4-tool-recipe/">도구 구축 레시피</a></td> <td>폐쇄망 온프레미스 SBOM·취약점 도구를 docker-compose로 구축·연동하는 예제를 제공한다</td> </tr> </tbody> </table> <div class="alert alert-info" role="alert"><div class="h4 alert-heading" role="heading">활용 안내</div> <p>산출물은 기존 <a href="https://OpenChain-Project.github.io/OpenChain-KWG/guide/templates/">정책·절차 템플릿</a> 가이드를 금융 맥락으로 보강한 것이다. 일반 실무 양식은 기존 템플릿을, 금융권 고유 항목(반입 통제, 망분리 예외 위험평가, 외주 SBOM 요구)은 이 산출물을 함께 쓴다.</p>