[디지털데일리 이상일기자] 최근 금융산업과 소프트웨어 공급망 내에서 오픈소스 관리의 중요성이 부각되고 있다.

금융산업과 오픈소스 관리 체계는 각각의 분야에서 중요한 역할을 하고 있다. 금융산업에서는 소프트웨어 자재명세서(SBOM, Software Bill Of Materials)을 통해 소프트웨어 공급망의 보안을 강화하고 있으며, 오픈소스 관리 체계를 통해 소프트웨어 개발의 효율성을 높이고 있다.

이러한 가운데 <디지털데일리>와 KMS테크놀로지가 12일 개최한 금융오찬 세미나에서 시높시스 정성훈 부장은 '금융산업 SW 공급망 내에서의 SBOM 관리' 발표를 통해 금융산업 내 소프트웨어 자재 명세서(SBOM)의 중요성과 관리 방안에 대해 밝혔다.

SBOM은 소프트웨어의 구성 요소를 상세히 기술한 문서로, 보안 및 규정 준수를 위해 필수적이다. SBOM은 자체 개발 코드, 오픈소스 소프트웨어(OSS), 상용 소프트웨어 등의 구성 요소를 포함하며, 소프트웨어 버전 관리 및 보안 위험 설명 공유의 혁신적 방식을 제공한다.

미국의 경우 미국 FDA 규정 524B에 따라 의료기기 소프트웨어는 SBOM을 필요로 하며, 미 연방 정부의 행정명령 14028은 연방 조달 프로세스에 SBOM 사용을 명시하고 있다. 또한, 유럽연합의 사이버 복원력법(CRA)은 SBOM 생성을 의무화하고 있다.

국내에서는 과학기술정보통신부와 국가정보원이 협력해 소프트웨어 공급망 보안 가이드라인 1.0을 발표했고, 금융보안원은 오픈소스 소프트웨어 활용 관리 안내서를 통해 SBOM을 통한 관리 방안을 제시하고 있는 상황이다.

정성훈 부장은 SBOM 관리의 중요성을 강조하며, "SBOM을 통해 소프트웨어 공급망의 투명성을 확보하고, 지속적인 공급망 가시성을 유지하는 것이 중요하다"며 "자동화된 점검 도구(SCA)를 통한 가시성 확보, 의존성 분석, 바이너리 분석, 코드조각 분석 등을 통해 소프트웨어 보안과 규정 준수를 관리할 수 있다.고 강조했다.

한편 전 세계 소프트웨어 개발의 중심에는 오픈소스가 있으며, 전체 코드베이스의 96%에 오픈소스가 포함되어 있다. 2024년 오픈소스 서비스 시장 규모는 39조 6240억 원으로 예측되고 있으며, 이는 소프트웨어 개발에서 오픈소스의 비중이 매우 크다는 것을 의미한다.

오픈소스 거버넌스 체계를 갖추기 위해서는 오픈소스를 안전하게 사용하기 위한 총체적인 관리 체계인 오픈소스 거버넌스와 컴플라이언스 활동이 중요하다. 이를 위해 ISO/IEC 5230:2020과 ISO/IEC 18974:2023과 같은 국제 표준 규격을 준수해야 한다.

'오픈소스 관리체계와 프로세스'를 주제로 발표한 KMS테크놀로지 윤성민 PM은 "오픈소스 거버넌스는 '오픈소스를 안전하게 사용하기 위한 총체적인 관리 체계'로 이해하면 좋을 것 같다"며 서두를 열었다.

윤성민 PM은 발표에서 오픈소스가 현재 소프트웨어 발전의 중심에 있으며, 전 세계 1억 명이 넘는 개발자들이 오픈소스 프로젝트에 참여하고 있다고 언급했다. 그는 "오픈소스는 집단 지성의 힘으로 이루어 낸 또 하나의 미래적 가치다"라며 오픈소스의 중요성을 강조했다.

오픈소스 거버넌스 체계는 오픈소스를 안전하게 사용하기 위한 총체적인 관리 체계이다. 이를 위해 ISO/IEC 5230:2020과 ISO/IEC 18974:2023과 같은 국제 표준 규격을 준수해야 한다. 윤성민 PM은 "이를 위해 조직은 오픈소스 정책과 절차를 수립해 수행할 수 있는 조직을 구성하고 자동화된 점검 도구를 통한 검증과 통제를 기반으로 개발 라이프 사이클 전 단계와 통합된 형태로 운영되어야 한다"고 전했다. 이어 "지속적인 교육 훈련을 통해 오픈소스 정책과 절차가 잘 수행될 수 있도록 해야 한다"고 강조했다.

조직, 정책, 도구, 교육, 절차 등이 오픈소스 관리 체계를 수립하는 데 필요한 주요 구성 요소다. 조직은 역량 있는 담당자를 지정하고, 정책은 오픈소스 사용에 대한 명확한 기준과 절차를 수립해야 하며 도구는 오픈소스 점검 자동화와 SDLC 단계 통합, SBOM 생성 및 관리 등을 포함해야 한다는 설명이다.

또한, 교육은 오픈소스의 개념과 컴플라이언스 및 도구 활용 교육을 포함해야 한다는 점을 강조했다. 그는 "SBOM 생성을 포함한 오픈소스 관리 절차를 수립하고, 보안취약점 및 라이선스 현황 점검을 위한 시스템을 구축해 지속적으로 관리해야 한다"라고 말했다.