‘오프소스 라이선스 위반 여부’ 및 ‘컴플라이언스 준수 여부’ 확인 위한 프로세스 구축 등 당부

▲ OSS 점검 시스템 ‘블랙덕’ 특장점

[아이티데일리] 국내 금융권 앱의 오픈소스 고지 현황을 조사한 결과, 은행 12개 기업 및 증권사 9개 기업이 앱에 사용되고 있는 오픈소스를 고지하지 않고 있어 오픈소스 라이선스 법률 위반 문제가 발생할 여지가 있는 것으로 나타났다.

SW 품질 및 IT 보안 검증 솔루션 전문기업 케이엠에스테크놀로지(대표 이창표, 이하 KMS)가 국내 금융 앱에 사용되고 있는 오픈소스의 라이선스 법률 위반 현황 조사 결과를 바탕으로 ‘안전한 OSS(오픈소스소프트웨어) 사용을 위한 권고 사항’을 10일 발표했다.

기본적으로 모든 앱은 안드로이드, IOS 와 같은 플랫폼을 기반으로 만들어지기 때문에 오픈소스가 사용된다. 오픈소스 사용 시에는 해당 오픈소스에 관련된 ‘저작권 고지의무’ 등을 이행하도록 요구하고 있어, 계약 위반은 물론 지적재산권 침해까지 인정돼 손해배상책임이 발생할 수 있다.

실례로 소스코드 공개를 요구하는 카피레프트(Copyleft) 계열의 GPL 라이선스가 포함돼 개발된 제품의 경우, 앱의 소스코드 전체를 공개하거나 사용 중지해야 하는 심각한 문제가 발생할 수 있다. 또한 보안에 취약한 오픈소스가 포함된 경우 지난 2014년 오픈SSL 취약점인 ‘하트블리드(Heartbleed)’ 공격 사례에서 볼 수 있듯이 해커에 의해 쉽게 공격받을 수 있다.

KMS는 국내 금융 앱에 사용되고 있는 오픈소스의 라이선스 법률 위반 현황 조사 결과를 바탕으로 안전한 OSS 사용을 위한 단계별 권고 사항 3가지를 발표했다. 권고 사항 3가지는 ▲현재 배포돼 있는 금융권 앱 소스코드에 대한 오픈소스 라이선스 위반 여부의검증 작업을 신속하게 실행할 것 ▲향후 개발될 앱의 오픈소스 컴플라이언스 준수 여부 확인을 위한 내부 프로세스를 구축할 것 ▲체계적인 관리를 위해 오픈소스 거버넌스(관리 체계)를 구축할 것 등이다.

김상모 KMS 이사는 “금융 앱에는 개발 기간을 줄이고 개발 비용을 절감시켜주는 많은 오픈소스가 사용되고 있다. 하지만 사용하는 오픈소스 라이선스를 파악 및 관리하지 못하면 법률 소송과 손해 배상에 휘말릴 수 있는 법적 위험이 있다”고 지적하며, “KMS는 오픈소스 라이선스 및 보안 취약점 관리 솔루션인 ‘블랙덕(Black Duck)’을 사용해 통합 관리하는 것에서 나아가, 정확한 라이선스 사용 여부 식별 서비스와 그에 따른 법률적 대응 방안을 함께 제공해 기업들이 법적으로 안전하고 신뢰성 있는 제품을 개발할 수 있도록 지원할 것”이라고 말했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지