안녕하세요. 오픈소스 전문 기업 엘에스웨어의 오픈소스 사업본부입니다.
오늘은 지난 오픈소스 보안 취약점 포스팅에 이어 오픈소스 라이선스와 라이선스 양립성, 그리고 라이선스 완벽 분석 도구 블랙덕 & 포세라 포털 위드 블랙덕에 관한 이야기를 소개합니다.
오픈소스 라이선스란?
오픈소스에는 라이선스가 있고 각각의 라이선스에 따라 해당 오픈소스를 활용할 때 지켜야 할 의무 사항이 지정되어 있습니다. 소프트웨어 내 준수하지 않은 라이선스가 하나만 있어도 법적 문제, 지적재산권 상실, 시정조치로 인한 자원 낭비, 제품 출시 지연 등이 발생할 수 있습니다. 특히, 기업 간의 오픈소스 라이선스로 인한 분쟁은 위와 같은 문제는 물론 기업 이미지상의 큰 타격을 줄 수 있습니다.
그렇다면 과연 각 기업은 오픈소스의 라이선스를 체계적으로 관리하고 있을까요? 시높시스의 2024 OSSRA 보고서에 의하면 작년 감사한 1,067개의 코드 베이스 중 절반 이상인 53%에서 라이선스 충돌 문제가 발견됐습니다. 또한 라이선스 위반으로 인해 소송을 거쳐 위약금을 지불하는 국내 기업의 사례도 발생하고 있습니다.
이처럼 오픈소스 라이선스 위반과 충돌로 인한 리스크는 국내외에서 지속해서 발생하고 있으며, 오픈소스를 활용하여 개발하는 모든 기업에서 중요하게 다루어야 할 문제입니다.
라이선스 양립성
기업에서 소프트웨어를 개발할 때 2개 이상의 오픈소스를 결합하여 사용하는 경우가 많습니다. 이때, 결합한 오픈소스들의 라이선스가 상이하여 의무 사항이 충돌하는 경우가 생기는데, 이를 라이선스 양립성 문제라고 합니다. 라이선스를 결합할 때는 전체 소스코드 공개, 타 라이선스와 결합 가능 여부, 조항 동일 여부 등의 의무 사항을 확인하고, 제약조건에 맞춰서 활용하는 것이 필요합니다.
라이선스 양립성은 보통 가장 제약조건이 높은 GPL 2.0 라이선스와 결합하는 경우 가장 많은 문제가 발생합니다. GPL 2.0 라이선스는 이 라이선스의 오픈소스를 활용하여 개발하여 외부 배포 시 해당 소프트웨어의 전체 소스코드를 GPL 2.0 라이선스로 공개해야 합니다. 만약 GPL 2.0 라이선스와 소스코드 공개가 되지 않는 상용 소프트웨어를 결합한 경우 전체 소스코드 공개 의무가 충돌되어 결합이 불가한 문제가 발생하죠. 또한, GPL 2.0 과 Apache 2.0 라이선스가 결합할 경우 특허 조항 충돌로 인해 양립할 수 없어 배포가 불가하기 때문에 특허조항을 갖고 있는 GPL 3.0 버전의 경우만 Apache 2.0 라이선스와 결합하여 사용할 수 있습니다. 이렇게 GPL 2.0 라이선스는 여러 제약이 존재하여 신중하게 사용하지 않으면 라이선스 위반 위험이 높은 라이선스로 손꼽히고 있습니다.
이러한 이유로 많은 기업에서 비교적 제약조건이 낮은 “허용적 라이선스(Permissive License)”를 선호합니다. 실제로 2024 OSSRA 리포트에 따르면 작년 감사한 오픈소스의 92%에서 MIT 라이선스가 발견됐으며, Apache 라이선스가 89%, BSD 라이선스가 81%로 그 뒤를 이었습니다. MIT 라이선스는 라이선스 및 저작권 명시 조건만 있고, 소스코드 공개 의무와 개발 제품의 오픈소스 공개 의무도 없는 라이선스입니다. MIT 라이선스 외에도 BSD 라이선스와 Apache 라이선스도 소스코드 공개 의무가 없어 많은 제품에 널리 사용되고 있습니다.
기업의 소프트웨어에 활용된 오픈소스를 전부 파악하고 라이선스를 의무 사항에 맞춰 관리하려면 어떻게 해야 할까요? 지금 바로 그 해답을 소개합니다.
블랙덕으로 오픈소스 라이선스 체크!
앞서 말했듯 오픈소스를 사용할 때 라이선스는 저작권 분쟁, 라이선스 충돌 등의 위협적인 리스크로 이어질 수 있기 때문에 사전에 문제가 되는 요소를 파악하는 것이 중요합니다. 이때, 자동화 스캐닝 도구인 블랙덕은 각 구성요소의 라이선스 의무 사항 및 제한 사항을 파악 및 추적하여 라이선스 간 양립성을 분석합니다. 이를 통해 서로 다른 구성요소 간의 라이선스 호환성을 확인하고, 양립 불가능한 라이선스의 충돌을 막을 수 있습니다.
그리고 최근 생성형 AI를 통해 생성한 코드가 라이선스를 위반하고 지적재산권을 침해한 이유로 집단 소송이 제기되는 경우가 있는 만큼 이에 대한 대비도 필요합니다. 블랙덕은 코드 스캔 기능을 활용하여 AI가 제공한 오픈소스의 라이선스 및 약관 정보를 확인할 수 있습니다. 그리고 코드 조각 분석을 통해 소스코드를 스캔하고 코드를 한 줄씩 오픈소스 프로젝트와 매칭합니다.
이러한 블랙덕의 정확하고 빠른 검사 결과는 포세라 포털 위드 블랙덕에서 가독성 좋은 형태로 확인할 수 있으며 구성요소에 포함된 라이선스에 대한 속성 및 의무 사항도 함께 제공합니다. 이를 통해 프로젝트 내 구성요소의 라이선스 준수 여부를 빠르게 파악하여 불필요한 리스크를 차단할 수 있습니다.
제품을 개발할 때 오픈소스와 상용 소프트웨어 등을 결합하는 경우가 많습니다. 그러므로 오픈소스를 활용할 때는 안전하고 정확한 라이선스 분석이 선행되어야 합니다. 오픈소스 라이선스 관리 및 분석이 필요하신 분은 아래 네임카드를 클릭하고 엘에스웨어의 포세라 포털 위드 블랙덕을 만나보세요.
엘에스웨어
📍서울특별시 금천구 서부샛길 606 대성디폴리스 A동 18층
📞 02-6919-0321
📧 opensource@lsware.com
'오픈소스' 카테고리의 다른 글
| 오픈소스의 대표적인 상징 :: 리눅스, Linux (0) | 2024.04.25 |
|---|---|
| 오픈소스 저작권 표시 및 라이선스 고지 의무와 고지 방법 (2) | 2024.04.19 |
| 오픈소스 보안 취약점 CVE와 SCA 솔루션 블랙덕에 대한 이해 (1) | 2024.04.05 |
| SBOM :: 안전한 오픈소스 활용의 첫걸음 (0) | 2024.03.28 |
| 구글의 안드로이드 오픈소스 프로젝트 AOSP와 Apache 라이선스 (1) | 2024.02.15 |
