안녕하세요! 엘에스웨어의 오픈소스 사업본부 블로그에 오신 걸 환영합니다.
오늘은 오픈소스 소프트웨어 사용 시 리스크를 줄이기 위해 반드시 준수해야 할 오픈소스 컴플라이언스에 대해 이야기해보겠습니다. 특히, 엘에스웨어의 오픈소스 통합 관리 포털 포세라 포털 위드 블랙덕을 통해 어떻게 오픈소스 컴플라이언스를 수행할 수 있는지 함께 알아보겠습니다.
오픈소스 컴플라이언스
오픈소스는 높은 활용도와 편리한 사용 방법으로 개발자들에게 많은 자유와 혜택을 제공하지만, 그와 동시에 법적 규제를 준수해야 하는 의무가 따릅니다. 소프트웨어에 미준수 라이선스가 하나만 있어도 법적 문제, 지적재산권 상실, 자원 낭비, 제품 출시 지연 등의 심각한 문제가 발생할 수 있습니다. 하지만 Synopsys 2024 OSSRA 리포트에 따르면 작년 감사한 코드 베이스의 절반 이상(53%)에서 오픈소스 라이선스 충돌 문제가 발견됐습니다. 이를 통해 많은 기업이 오픈소스 라이선스로 인한 다양한 문제에 노출되어 있음을 알 수 있습니다.
예를 들어, 2016년 국내 유명 소프트웨어 기업 H사는 미국의 전자 문서 기업 A사로부터 GPL 라이선스 계약 위반 및 저작권 침해 소송을 당했습니다. GPL 라이선스가 적용되는 A사 오픈소스의 의무 사항을 준수하지 않고 제품에 사용한 H사는 로열티 지불과 더불어 GPL 계약에 따른 소스코드 배포 명령을 이행할 위기에 처했습니다. 결국 H사는 A사에 약 23억 원의 합의금을 지불하면서 해당 사건이 마무리됐습니다.
오픈소스 컴플라이언스는 법적 리스크를 줄이고, 기업의 신뢰도를 높이는 데 필수적입니다. 만약 이를 준수하지 않을 경우 위의 사례와 같이 기업 이미지 손실, 법적 리스크 등 많은 문제에 직면할 수 있습니다. 그렇다면 오픈소스 컴플라이언스는 어떠한 방법으로 수행할 수 있을까요?
오픈소스 컴플라이언스 절차
오픈소스 컴플라이언스 절차는 기업의 사정과 분야에 따라 차이가 있지만 리눅스 재단에서 공표한 ‘오픈소스 확인 및 검토 5단계 컴플라이언스 절차’에 따라 다섯 가지 단계로 나눌 수 있습니다.
1. 소스 코드 스캔
제품과 서비스의 어떠한 소스 코드가 활용되었는지 검토하는 과정입니다. 대표적으로 개발자 인터뷰와 바이너리 툴 & 소스 코드 스캔 툴을 사용합니다.
2. 오픈소스 코드의 식별
소스 코드 스캔 결과에 따라 개발에 사용된 오픈소스의 목록과 현황을 확인하는 과정입니다. 오픈소스 관리자에게 있어서 각 제품의 오픈소스 사용 현황을 파악하는 것은 매우 중요한 과제입니다.
3. 오픈소스 라이선스 이슈 파악 & 검토
어떤 오픈소스에 어떤 라이선스가 적용되는지 파악하는 과정입니다. 이 과정에서 라이선스 간의 양립성과 의무 사항 준수 여부를 파악하고, 해당 오픈소스를 사용하는 데 법적인 문제가 있는지를 확인합니다.
4. 아키텍처 검토
활용된 오픈소스 프로그램이 다른 컴포넌트와 통신하고 결합하는 방식을 검토하는 과정입니다. 해당 프로그램이 존재하는 공간과 결합 여부를 확인하고 결합 방식에 대해 검토합니다.
5. 최종 검토 및 승인 결정
앞선 단계의 검토 내용을 바탕으로 해당 프로그램의 사용 승인 여부를 검토하는 단계입니다. 이 단계에서는 오픈소스 라이선스 의무사항에 위반하지 않는 배포 방법과 의무사항 준수 여부 등을 확인하여 배포까지 이루어질 수 있도록 합니다.
오픈소스 컴플라이언스 각 단계를 하나하나 수작업으로 수행하기에는 어려움이 있습니다. 이때 오픈소스 관리자를 위한 최고의 도구는 오픈소스 컴플라이언스를 수행하는 포세라 포털 위드 블랙덕입니다.
오픈소스 컴플라이언스는 포세라 포털 위드 블랙덕
엘에스웨어의 포세라 포털 위드 블랙덕은 오픈소스 컴플라이언스의 필수 요소인 오픈소스 식별부터 컴포넌트 점검, 라이선스 관리의 A to Z를 담당하고 있습니다.
먼저, 포세라 포털 위드 블랙덕은 글로벌 1등 SCA 도구 블랙덕과 연동되어 오픈소스 구성 요소를 실시간으로 스캔하여 오픈소스 사용 현황을 확인할 수 있습니다. 이를 통해 개발 작업이 진행되는 프로젝트의 모든 오픈소스 컴포넌트를 최신 상태로 유지하며, 추후 발생하는 라이선스 및 보안 취약점 관련 리스크에 대응할 수 있습니다.
다음으로, 포세라 포털 위드 블랙덕을 통해 오픈소스 라이브러리의 라이선스 정보를 확인하여 배포 유형 별 라이선스 의무 사항을 자동으로 적용합니다. 이를 통해 프로젝트 내에 사용되는 오픈소스의 라이선스를 식별하고 각 라이선스에 적용되는 의무 사항을 바탕으로 규제 준수 여부와 양립성 문제를 파악합니다. 이러한 과정은 추후 배포 시 라이선스 충돌로 인한 법적 리스크를 피할 수 있도록 합니다.
마지막으로 오픈소스 프로젝트의 SBOM, 라이선스 고지문, 종합 보고서를 통해 현재 프로젝트의 컴플라이언스 상태를 쉽게 파악하고, 추후 문제 발생 시 빠르게 대응할 수 있는 환경을 구축합니다. 이러한 리포트는 라이선스 컴플라이언스뿐만 아니라 보안 취약점과 관련된 공급망 위험을 해결하는 데 도움을 줄 수 있습니다.
오픈소스 소프트웨어 사용 시 컴플라이언스를 준수하는 것은 매우 중요합니다. 이를 준수하지 않을 경우 법적 분쟁, 금전적 손실, 기업 이미지 손상 등 심각한 문제가 발생할 수 있습니다. 포세라 포털 위드 블랙덕은 이러한 문제를 효과적으로 관리할 수 있는 강력한 도구입니다. 더 자세한 정보는 아래 엘에스웨어 로고를 클릭하여 홈페이지에서 확인해 보세요.
엘에스웨어
📍서울특별시 금천구 서부샛길 606 대성디폴리스 A동 18층
📞 02-6919-0321
📧 opensource@lsware.com
'오픈소스' 카테고리의 다른 글
| 오픈소스 유지보수, 안전한 오픈소스 활용을 위한 필수 체크 (0) | 2024.07.12 |
|---|---|
| 오픈소스 거버넌스의 정의와 필요성 (0) | 2024.07.08 |
| 오픈소스 보안 취약점의 위험성과 블랙덕의 대응 :: 에퀴팩스 데이터 유출 사례 (1) | 2024.06.12 |
| 오픈소스 국제 표준 및 인증 :: 오픈체인 프로젝트 (0) | 2024.05.30 |
| 오픈소스 의존성에 대한 정의와 문제 해결 방안 (1) | 2024.05.23 |
