1.
20년전 오픈소스는 금융권에서 어떤 취급을 받았을까요? 2007년에 쓴 글입니다.
이 때 예상은 ‘쉽지않다’였습니다. 이후 몇 번 금융회사가 오픈소스에 적극적이었으면 하는 바람으로 글을 썼습니다.
금융회사와 오픈소스 위험관리
미국 전자금융 감독기관의 오픈소스 가이드라인
2022년 현재를 기준으로 하면 카카오뱅크와 같이 빅테크계열의 금융회사를 제외하면 오픈소스의 사용은 제한적으로 보입니다. 다만, 클라우드, API, 웹이라는 비지니스 및 기술환경의 변화가 오픈소스의 도입을 촉진하고 있습니다. 2022년 정보통신산업진흥원이 운영하는 Open Source Software가 발행한 국내 금융기관의 오픈소스 활용 현황중 사례 하나입니다. 주로 OS로서 Linux, DBMS로 MariaDB나 PostgreSQL을 도입하는 사례가 많지만 프레임워크를 오픈소스로 구성한 사례는 농협입니다.
오픈소스 기반 표준 플랫폼 구축 혁신, NH농협은행
농협은행은 클라우드 고도화 전략과 관련, 2021년부터 3년간 새로운 중장기(2021~2023년) 단계별 클라우드 전략에 착수하였으며 이를 위해 오픈소스의 폭넓은 확대를 주문하고 있다.먼저 2021년 디지털 뱅킹 시대에 서비스의 근간인 될 IT인프라에 대한 표준 플랫폼 구축을 진행하면서 상용SW를 오픈소스SW로 전환하기 위한 기술검증을 추진하였다. 디지털 금융 표준플랫폼의 오픈소스 풀로는 운영체제에 레드햇, 우분투를, WEB/WAS 부분은 아파치와 톰캣, DB는 마이SQL, 자바 프레임워크로는 스프링봇(Spring Boot) 등을 선정하였고 유닉스에서 리눅스 기반 오픈환경으로 전환할 경우 전환 대상인 업무용(36종), 보안(49종) 등의 SW에 대한 전환 검증도 시행한 것으로 전해진다.또한 티맥스소프트를 주관사로 선정해 진행한 PoC를 통해 향후 웹 기반 및 웹애플리케이션 서버 등의 오픈소스 기술검증뿐 아니라 윈도OS를 대체할 개방형OS에 대한 기술검증도 수행돼 주목된다. 향후 결과에 따라서 창구업무 PC운영체제를 윈도에서 개방형OS로 대체 적용하게 될지 주목된다
2.
오픈SW를 전사적으로 도입, 사용하면서 등장한 개념이 있습니다.공개SW 거버넌스와 공개SW 컴플라이언스입니다. 공개SW 거버넌스는 공개SW의 도입-활용-관리-폐기 등 전반적인 공개SW 활용 라이프 사이클에 대한 통합적인 관리 전략 혹은 오픈소스의 도입, 활용, 참여를 위한 정책과 프로세스를 결정하여 집행해 나가는 관리 및 통제 시스템을 구축하고 원활한 수행을 위한 평가, 지시, 모니터링 활동을 의미하고 공개SW 컴플라이언스는 Open Source를 사용, 통합하는데 있어 Open Source가 가진 라이선스들에 명시된 의무사항들을 제대로 이해하고 지키는 것으로 관련 법규를 준수하도록 하기 위한 행위들을 의미합니다.
자의든 타의든 오픈소스를 도입하는 금융회사가 늘어나는 추세에서 금융감독권과 금융보안원은 금융분야 오픈소스 소프트웨어 활용관리 안내서를 발간하였습니다. 오픈소스 거버넌스를 위한 가이드라인입니다. 몇 년전 소개하였던 미국 전자금융 감독기관의 오픈소스 가이드라인와 비슷한 지침서입니다.
□(오픈소스 소개)오픈소스의 개념과 종류, 특징 등을 안내하여 금융회사의 이해도를 제고하고,
ㅇ 오픈소스 선택시 기능성, 보안성, 공유 플랫폼(예:GitHub 등)의 활성화 수준 등에 대한 검토 필요성을 제시□(오픈소스 보안성관리)소스코드가 공개되는 오픈소스의 특성에 따라 악의적인 목적으로 취약점을 활용한 공격 사례를 예방하기 위해,
ㅇ 오픈소스를 활용한 시스템 개발 단계별 금융회사의 보안 고려 사항*을 제시하여 정보보안 리스크를 최소화
*사전 기능 및 보안성 테스트, 라이선스 검토, 취약점 최소화, 모니터링 및 보안패치 등□ (오픈소스 세부관리절차)식별, 이슈파악 및 해결, 사용승인, 관리 등 최소한의 보안관리 절차를 안내하고,
ㅇ 금융회사의 오픈소스 거버넌스 체계 구축을 지원하기 위해 관리 조직 구성 및 운영, 역할 등에 대한 사례를 제시□ (자가점검 체크리스트 등) 금융회사의 오픈소스 활용·관리시 참고할 수 있도록 자가점검 체크리스트를 마련
ㅇ 또한, 오픈소스 라이선스 관리 필요성* 및 금융회사의 오픈소스 활용관리 체계 우수사례(Best-Practice)도 안내
*오픈소스는 라이선스의 종류에 따라 대외 고지의무 및 코드공개 등의 요구사항이나 제약조건이 상이함에 따라 라이선스 미준수시 서비스 중단 등의 사고가 발생할 우려
오픈소스 컴플라이언스와 관련하여 가장 많이 참조하는 자료는 Open Source Compliance in the Enterprise입니다.
NCSOFT는 위 자료를 한글화하여 Github를 통해 공개하였습니다.
GitHub : https://github.com/ncsoft/osc-enterprise-ko/
License : CC BY 4.0
Slide : OSC-Enterprise-ko_Openchain_KWG_20200317_FN.pdf
오픈소스 컴플라이언스와 관련하여 전 세계적인 표준이 있더군요. Open Chain Project라고 합니다. OpenChain 규격은 오픈소스 컴플라이언스를 위한 유일한 국제 표준(ISO)입니다.이를 활용하여 기업이 오픈소스 컴플라이언스 수준을 높이기 위한 방법을 제공합니다. 배경은 다음과 같습니다.
Linux Foundation의 OpenChain 프로젝트는 기업이 오픈소스 컴플라이언스를 위해 준수해야 할 핵심 사항을 간결하고 일관성 있게 정의하고, 이를 모두가 준수한다면 소프트웨어 공급망 전체에 걸쳐 오픈소스 라이선스 측면의 신뢰를 구축할 수 있다는 믿음으로 설립되었다. 2016년 유럽에서의 한 오픈소스 콘퍼런스에서 퀄컴의 오픈소스 변호사인 데이브 머Dave Marr는 바로 이 점을 강조하였다. 한 기업의 오픈소스 컴플라이언스 수준을 높이기 위해서는 소프트웨어 공급망 내 모든 구성원의 오픈소스 컴플라이언스 수준을 높여야 한다. 아울러 이를 위해서는 오픈소스를 충분히 이해하고, 정책 및 프로세스를 이미 구축하고 있는 선진 기업이 자신의 자산과 노하우를 공개하여 누구나 이를 참고할 수 있게 하면 어떻겠냐는 의견을 제시하였다. 콘퍼런스 참석자들은 “오픈소스 컴플라이언스는 기업의 이익을 차별화할 수 있는 분야가 아니다. 기업은 적은 리소스를 투입하면서도 적정한 수준의 리스크 관리를 원한다. 그렇기 때문에 기업이 가진 자산을 서로 공유하면 할수록 적은 리소스로 모두 함께 컴플라이언스를 달성 할 수 있게 된다”는 아이디어에 공감하였다. 그렇게 OpenChain 프로젝트(당시에는 Work Group)는 시작되었고, 퀄컴, 지멘스, 윈드리버, ARM, 어도비 등 다수 글로벌 기업들이 참여하였다.
OpenChain 프로젝트는 기업들이 오픈소스 컴플라이언스를 더욱 쉽게 달성 할 수 있도록 크게 다음 세 가지를 제공한다.
OpenChain 규격
OpenChain 적합성 인증
문서 자료
OpenChain을 활용한 기업 오픈소스 컴플라이언스 가이드중에서
OpenChain과 관련한 한글설명서는 OSS가 제작하여 배포하고 있습니다. 기업 공개SW 거버넌스 Openchain 2.0 해설 입니다.
3.
비주류였던 오픈소스가 어느덧 주류가 되었습니다. 개발,공급,저작권가 그동안 소프트웨어와 다른 오픈소스는 전혀 새로운 고민을 안겨주었고 공개SW 거버넌스, 공개SW 컴플라이언스가 나온 배경입니다. 주류인 오픈소스의 미래는 어떻게 될까요? KDB산업은행 경제연구소는 ‘4차 산업혁명의 숨은 원동력, 오픈소스 현황과 시사점’라는 보고서를 통하여 디지탈혁신을 위해 오픈소스SW는 무척 중요함을 강조합니다.
정보통신산업진흥원은 오픈소스 중요성과 시사점를 통해 다음과 같은 의견을 제시합니다.
디지탈트렌스포메이션, 4차산업혁명의 영향으로 오픈소스의 위력은 점점더 커질 듯 합니다. 과거와 비교하면 오픈소스내에서 거대기업(BigCo)의 영향력은 점점 커집니다. Open Source Contributor Index를 보면 microsoft, google, Redhat, IBM, Intel등 전통적인 SW 대기업의 기여가 큽니다.
오픈소스 생태계내에서 합종연횡하는 거대기업(BigCo)의 영향력 혹은 지배력이 어떤 모양으로 나타날지. 오래된 화두인 ‘원천기술, 기반기술’에 대한 종속이 다른 방식으로 계속 이어지지 않을지.. 우려스럽네요.
참고로 OSS는 다양한 보고서를 내놓고 있습니다. 그중 [2021년] 개방형OS 도입 가이드와 금융분야 클라우드컴퓨팅서비스 이용 가이드(2022)을 덧붙입니다.
