[데이터넷] “코로나19가 우리의 일상적인 생활과 업무의 모든 측면에 영향을 미치면서 세계는 단 2개월 만에 2년간 이뤄질 규모의 디지털 혁신이 진행되고 있다.”
사티아 나델라 마이크로소프트 최고경영자(CEO)의 이러한 말처럼 코로나19로 온라인 커머스, 화상회의, 스트리밍 서비스, 클라우드, 플랫폼 등 장기적 트렌드가 모두 빠르게 실현되고 있음은 이미 확인됐다. 변화의 중심에는 인공지능(AI), 클라우드, 5G 네트워크 등 4차 산업혁명을 이끄는 기술이 자리 잡고 있으며, 이러한 기술의 많은 부분이 오픈소스 소프트웨어를 통해 빠르게 개발 및 진화해 나가는 추세다.
오픈소스 소프트웨어는 인터넷을 통해 일종의 온라인 공유 문화, 즉 집단지성을 통해 생성 및 개발된다는 문화적 특징을 지닌다. 때문에 언택트(Untact) 시대에 적합한 개발 모델이며, 발전이 빠르고 효율적인 활용이 가능하지만, 유입 경로가 다양한 만큼 체계적인 관리가 반드시 필요하다. 오픈소스 컴플라이언스가 곧 비즈니스 생존전략으로 이어지는 시대다.
국내 라이선스 관리 인식 부족…소스코드 원출처·라이선스 식별 필수
오픈소스 컴플라이언스를 위한 오픈소스의 관리 필요성은 지속적으로 부각되고 있다. 오픈소스 컴플라이언스 정책 및 프로세스는 오픈소스 소프트웨어의 사용, 기여, 감사 및 배포의 다양한 측면을 관리한다. 주된 내용은 사용한 오픈소스 라이선스에 대한 정확한 인지와 라이선스 의무 이행으로 이뤄진다.
국내는 라이선스 관리 인식이 여전히 부족한 상태다. 2020년 KDB 미래전략 연구소에서 발행한 오픈소스 현황 자료에 의하면, 오픈소스 라이선스에 대한 인식 부족으로 인한 국내 저작권 위반 및 법적 검토 필요 대상은 약 37%에 달했다.
때문에 오픈소스 컴플라이언스 관리는 소스코드의 원출처와 라이선스를 정확하게 식별하는 것으로 시작한다. 일단 어떤 오픈소스 코드를 사용 중인지 파악할 수 있다면 적용 가능한 모든 오픈소스 라이선스에 대해 적절한 컴플라이언스를 실행할 수 있다.
오픈소스는 기업의 소속 개발자, 프리랜서 개발자, 소프트웨어 공급 하청업체 등 다양한 채널을 통해 기업에 공급되기 때문에 기업은 스니펫 코드(오픈소스 코드를 수정하거나 일부 코드만 사용한 경우)를 포함해 유입되는 모든 소스코드와 그에 대한 라이선스를 식별할 수 있는 프로세스를 갖춰야 한다.
또한 기업 내 오픈소스 관리를 위한 체계적인 조직 구성이 필요하다. 실제로 오픈소스에 대한 의존도가 높은 기업의 경우, 기업 전체의 모든 오픈소스 사용을 위한 허브센터 역할을 위해 ‘오픈소스 검토 위원회(OSRB)’를 구성하곤 한다. OSRB 멤버는 오픈소스 코드를 제품·서비스에 통합하기 위한 모든 리퀘스트를 검토하고, 평가하며, 기술적 및 법적 고려사항에 근거해 승인 여부를 결정할 수 있다. 오픈소스 프로젝트 기여에 대해서도 동일한 검토 기능을 수행한다.
일련의 프로세스를 구현한 뒤, 오픈소스 식별 및 검증작업을 위한 자동화 도구를 배치하면 오픈소스 컴플라이언스 효율성을 높이는 데 큰 도움이 된다. 수백 명의 개발자가 동시에 오픈소스를 사용하고 원출처를 관리한다고 가정했을 때, 방대한 양의 코드 속에서 오픈소스를 수동으로 식별하고 추적하는 것은 사실상 불가능에 가깝기 때문이다.
또한 현존하는 오픈소스에 대한 방대한 정보를 수집 및 활용하는 것 역시 기업에서 자체적으로 수행할 수 없는 영역이다. 오늘날 기업이 고속으로 소스코드를 스캔하고 오픈소스를 탐지하는 전문 도구를 도입하는 이유다.
장기적인 오픈소스 컴플라이언스 관리 방안
오픈소스 컴플라이언스의 장기적인 관리를 위해서는 기업 내 교육 및 문화 확산은 필수다. 일반적으로 오픈소스 관리와 규정 준수에 대한 중요성을 인식할 수 있도록 만들어진 다양한 교육 프로그램이나 세미나 등을 직원들에게 제공하는 것이 대표적인 방법이다.
혹은 실무자들을 위한 오픈소스 활용 멘토링 프로그램이나 컨트리뷰톤과 같은 프로젝트를 운영하는 것도 좋은 방법이 될 수 있다. 이러한 교육을 통해 직원들은 회사의 오픈소스 정책, 프로세스 및 컴플라이언스 관행을 보다 쉽게 이해할 수 있게 된다.
나아가 소프트웨어 프로젝트의 개발, 관리 및 아웃소싱에 종사하는 모든 관계자들에게 오픈소스 컴플라이언스를 의무화하고 이에 대한 신뢰를 구축하는 것도 중요하다. 앞서 언급한 바와 같이 오픈소스는 소프트웨어 공급망을 통해 기업에 유입될 수 있으므로 공급업체가 기업에 대한 라이선스 의무를 이행하도록 하기 위해 결과물(소프트웨어)에 포함된 오픈소스 내역 고지 혹은 소스코드 공개를 요청해야 한다.
아울러 관련 기업들에게 오픈체인(OpenChain) 자체 인증을 통과하도록 요청해 이들이 올바른 오픈소스 컴플라이언스 체계를 지녔는지 파악하고 이에 대한 신뢰를 높이는 것도 바람직한 방법이다.
OSBC는 오픈소스 노하우와 전문 인력, 그리고 세계적으로 인정받는 전문 오픈소스 관리 도구를 보유한 국내 오픈소스 선도 기업으로, 국내외 오픈소스 관련 단체 및 기업들과의 협업을 통해 오픈소스 컴플라이언스와 거버넌스에 앞장서 왔다. 디지털 트랜스포메이션이 가속화되는 환경에 적응하는 가운데, 안전한 오픈소스 관리는 곧 기업의 역량 강화로 이어진다는 것이 OSBC가 오랫동안 지켜온 믿음이다. 새로운 시대에 시장을 앞서 나가기 위해서는 탄탄한 기본을 바탕에 둔 혁신으로 승부해야 하는 것이다.
