미국 전자금융 감독기관의 오픈소스 가이드라인

1.
블로그를 시작한 이후 기회가 있을 때마다 여의도 증권가가 오픈소스를 적극 활용하였으면 하는 바람을 적었습니다.

금융권이 리눅스에 대해서 재인식하기를 바라면서…
Wall Street의 Open Source 이용 현황

최소한 리눅스는 가격(서비스)와 안정성에서 인정을 받아 많은 금융기관들이 도입하고 있습니다. 몇 년전 부터 한국의 금융투자회사들도 특정한 시스템에 리눅스를 적용하고 있습니다.

오픈소스 제품을 도입할지 말지는 전적으로 금융회사들의 전략적 판단에 따릅니다. 가격적 요소, 기술적 요소, 서비스 등을 고려하여 타당성을 검증한 후 도입여부를 결정합니다. 그렇지만 민간회사와 달리 금융회사는 금융이라는 특성때문에 좀더 다른 잣대가 필요합니다. 그렇기 때문에 우리의 금융감독원도 ‘보안’이라는 이름으로 IT와 관련된 자세한 내용을 제시하고 있습니다.

미국 연방금융기관검사협의회(Federal Financial Institutions Examination Council, 이하 FFIEC)라는 기관이 있습니다.  금융 서비스 기관들이 환경 내의 위험을 평가하고, 강력한 인증같은 알맞은 컨트롤을 설치함으로써 온라인 뱅킹이 고객들에게 안전하도록 만드는 것을 목적으로 설립한 기관입니다. 미국 금융감독기관들이 공동으로 참여한 기관입니다. 아마도 한국의 금융감독원의 IT감사업무와 금융보안연구원의 연구기능을 섞어놓은 기관이 아닐까 합니다.

2.
FFIEC가 2004년, 지금부터 8년전 오픈소스와 관련된 지침을 발표하였습니다. 한국뿐 아니라 다른 나라도 마찬가지라고 생각합니다만 정부기관이 시장보다 앞서서 지침과 규정을 만들지 않습니다. 시장이 어느 정도 반응한 이후 지침을 만듭니다. 이렇게 생각하면 미국 금융기관들이 오픈소스를 본격도입한 때가 2004년이전이라는 말도 됩니다.

하여튼 FFIEC는 오픈소스(지침에서는 FOSS)를 도입할라 말라는 식으로 지침을 발표하지 않았습니다. 오픈소스를 도입할 경우 발생가능한 위험을 고려하여 이를 관리할 수 있도록 준비를 철저히 하라는 취지입니다.

Risk Management of Free and Open Source Software

지침은 Development & Aquisition 관점에서 FOSS의 위험을 바라봅니다.

The use of FOSS is increasing in the mainstream information technology (IT) and financial services communities.The agencies believe that the use of FOSS does not pose risks that are fundamentally different from the risks presented by the use of proprietary or self-developed software.However, the acquisition and use of FOSS necessitates implementation of unique risk management practices. 

Institutions should continue to refer to the risks and risk mitigation strategies outlined in the FFIEC IT Examination Handbook, “Development and Acquisition Booklet” (D&A Booklet).This guidance supplements the D&A Booklet by addressing strategic, operational, and legal risk considerations in acquiring and using FOSS.

전략, 운영, 법적 위험관리를 위한 상세한 항목을 제시하고 있습니다. 그중 저는 전략적 위험관리가 좋아보입니다.

*Ability to Customize
*Compatibility and Interoperability
*Maturity
*Forking(Forking is of particular concern in the FOSS development process.A fork occurs when the development community splits over the path of development of a given application.In the worst-case scenario, development of forked FOSS may be halted, or the technical direction may become so altered that it no longer meets the institution’s needs.)
*Systems Integration and Support
*Total Cost of Ownership

길지 않은 내용입니다만 일반컨설팅회사에서 좀더 자세한 해설서를 만들었습니다. 물론 영어입니다.(^^)

Open Source Software Guidelines for Financial Institutions

Download (PDF, 104KB)


3.
FFIEC의 가이드라인을 보면서 2004년도라 좀 오래되지 않았나 생각했습니다. 그래서 개정판이 있나 찾아보니까 없더군요. 사실 오픈소스가 계속되고 있고 본질이 바뀌지 않는 한 가이드라인이 새로울 것이 없습니다.

이와 같은 자료를 금감원이 낼 수있을지 알 수 없습니다. 금감원이 잘못 규정을 만들면 ‘오픈소스는 위험하니까 쓰지 말라”는 식으로 갈 수 있어 조심스럽습니다.  대신 금융회사들이 자체적으로 규정화하면 도움이 되지 않을까 합니다. 전사적인 차원은 아니더라도 IT부서가 오픈소스를 도입하는 절차로써 제정하면 실무자들이 오픈소스에 좀더 개방적일 수 있지않을까 합니다.

덧붙여 FFIEC가 말한 법적인 위험은 라이선스입니다. 이와 관련한 자료는 지난 정부시절 정통부와 컴퓨터프로그램보호위원회가 제작한 오픈소스 소프트웨어 라이선스 가이드라인을 참조하시면 좋습니다. 우선 영어가 아닙니다.(^^)

오픈소스SW 라이선스 가이드라인

X.86과 리눅스로 시작된 관심이 좀더 넓어졌으면 하는 바람입니다.

Leave a Comment

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

이 사이트는 스팸을 줄이는 아키스밋을 사용합니다. 댓글이 어떻게 처리되는지 알아보십시오.