2020.08.10

KMS, 금융 앱의 안전한 OSS 사용 위한 권고사항 발표

편집부 | ITWorld
KMS(https://kmstech.co.kr)는 국내 금융 앱에 사용되고 있는 오픈소스의 라이선스 법률 위반 현황 조사 결과를 바탕으로, 안전한 OSS(오픈소스 소프트웨어) 사용을 위한 권고 사항을 발표했다.

KMS는 최근 ‘국내 금융권 앱의 오픈소스 고지 현황 조사’를 진행한 결과, 국내 은행 12개 기업, 증권사 9개 기업이 앱에 사용되고 있는 오픈소스를 고지하지 않고 있어 오픈소스 라이선스 법률 위반 문제가 발생할 여지가 있는 것으로 나타났다고 밝혔다.



기본적으로 금융을 포함해 모든 앱은 안드로이드, IOS와 같은 플랫폼을 기반으로 만들어지기 때문에 오픈소스가 사용되지 않을 수 없는 현실이다. 하지만 오픈소스 사용 시에는 해당 오픈소스에 관련된 ‘저작권 고지의무’ 등을 이행하도록 요구하고 있어 계약 위반은 물론 지적재산권 침해로까지 인정돼 손해배상책임이 발생할 수 있는 위험성을 배제할 수 없는 상황이다.

실례로, 소스코드 공개를 요구하는 카피레프트(Copyleft) 계열의 대표적으로 많이 사용되고 있는 GPL 라이선스가 포함돼 개발된 제품의 경우, 앱의 소스코드 전체를 공개하거나 사용 중지해야 하는 심각한 문제가 발생할 수 있다. 또한 보안에 취약한 오픈소스가 포함된 경우 지난 2014년 오픈SSL 취약점인 ‘하트블리드'(Heartbleed)’ 공격 사례에서 볼 수 있듯이 해커에 의해 쉽게 공격받을 수 있다.

KMS는 오픈소스의 라이선스 법률 위반 현황 조사 결과를 바탕으로 안전한 OSS(오픈소스소프트웨어) 사용을 위한 단계별 권고 사항 ▲금융권 앱 소스코드에 대한 오픈소스 라이선스 위반 여부의검증 작업을 신속하게 실행 ▲향후 개발될 앱의 오픈소스 컴플라이언스 준수 여부 확인을 위한 내부 프로세스를 구축 ▲체계적인 관리를 위해 오픈소스 거버넌스(관리 체계)를 구축 등을 발표했다. 

오픈소스는 소프트웨어를 배포하는 순간 라이선스 의무사항이 발생하기 때문에 현재 배포된 모든 애플리케이션 소스코드에 대해 오픈소스 검증 작업을 실시할 필요가 있다. 프로젝트 소스코드에 대한 오픈소스 검증작업이 한번도 진행되지 않았다면 과거에 개발된 레거시 코드(legacy Code)에서 잠재적인 ‘법률적/품질’ 리스크가 존재할 수 있고 오픈소스의 소스코드 중 일부분만 가져와 사용했거나, 이미 보안취약점이 알려져 있는 오픈소스 컴포넌트를 사용하는 등의 문제들이 존재할 수 있다. 이러한 코드들을 검출해낼 수 있는 오픈소스 분석 솔루션인 블랙덕(Black Duck)과 같은 오픈소스 분석도구를 통해 검증 작업을 신속하게 진행해야 한다고 업체 측은 설명했다.

기존에 배포된 애플리케이션에 대한 오픈소스 검증을 진행해 노출된 잠재적 위험성에 대한 예방을 마쳤다면, 이제는 향후 배포될 예정이거나 개발 예정인 소스코드들에 대한 오픈소스 리스크 예방을 위한 프로세스를 수립할 필요가 있다. 내부 전문 인력은 물론 외부 전문 서비스 기업의 도움을 받아 오픈소스 컴플라이언스 준수 여부를 내부적으로 확인할 수 있는 프로세스를 구축해야 한다.

보다 전문적이고 체계적으로 오픈소스를 관리하기 위해서는 거버넌스 구축이 필요하다. 많은 대기업들은 오픈소스 거버넌스를 구축해 조직 구성, 프로세스 및 정책 수립, 주기적인 교육 그리고 오픈소스 분석 도구를 도입해 사내 개발자들의 오픈소스에 대한 이해도를 높이고 개발에 사용된 오픈소스의 잠재적 위험을 예방해 제품의 품질을 향상시킬 수 있도록 지원하고 있다. editor@itworld.co.kr


KMS
2020.08.10

KMS, 금융 앱의 안전한 OSS 사용 위한 권고사항 발표

편집부 | ITWorld
KMS(https://kmstech.co.kr)는 국내 금융 앱에 사용되고 있는 오픈소스의 라이선스 법률 위반 현황 조사 결과를 바탕으로, 안전한 OSS(오픈소스 소프트웨어) 사용을 위한 권고 사항을 발표했다.

KMS는 최근 ‘국내 금융권 앱의 오픈소스 고지 현황 조사’를 진행한 결과, 국내 은행 12개 기업, 증권사 9개 기업이 앱에 사용되고 있는 오픈소스를 고지하지 않고 있어 오픈소스 라이선스 법률 위반 문제가 발생할 여지가 있는 것으로 나타났다고 밝혔다.



기본적으로 금융을 포함해 모든 앱은 안드로이드, IOS와 같은 플랫폼을 기반으로 만들어지기 때문에 오픈소스가 사용되지 않을 수 없는 현실이다. 하지만 오픈소스 사용 시에는 해당 오픈소스에 관련된 ‘저작권 고지의무’ 등을 이행하도록 요구하고 있어 계약 위반은 물론 지적재산권 침해로까지 인정돼 손해배상책임이 발생할 수 있는 위험성을 배제할 수 없는 상황이다.

실례로, 소스코드 공개를 요구하는 카피레프트(Copyleft) 계열의 대표적으로 많이 사용되고 있는 GPL 라이선스가 포함돼 개발된 제품의 경우, 앱의 소스코드 전체를 공개하거나 사용 중지해야 하는 심각한 문제가 발생할 수 있다. 또한 보안에 취약한 오픈소스가 포함된 경우 지난 2014년 오픈SSL 취약점인 ‘하트블리드'(Heartbleed)’ 공격 사례에서 볼 수 있듯이 해커에 의해 쉽게 공격받을 수 있다.

KMS는 오픈소스의 라이선스 법률 위반 현황 조사 결과를 바탕으로 안전한 OSS(오픈소스소프트웨어) 사용을 위한 단계별 권고 사항 ▲금융권 앱 소스코드에 대한 오픈소스 라이선스 위반 여부의검증 작업을 신속하게 실행 ▲향후 개발될 앱의 오픈소스 컴플라이언스 준수 여부 확인을 위한 내부 프로세스를 구축 ▲체계적인 관리를 위해 오픈소스 거버넌스(관리 체계)를 구축 등을 발표했다. 

오픈소스는 소프트웨어를 배포하는 순간 라이선스 의무사항이 발생하기 때문에 현재 배포된 모든 애플리케이션 소스코드에 대해 오픈소스 검증 작업을 실시할 필요가 있다. 프로젝트 소스코드에 대한 오픈소스 검증작업이 한번도 진행되지 않았다면 과거에 개발된 레거시 코드(legacy Code)에서 잠재적인 ‘법률적/품질’ 리스크가 존재할 수 있고 오픈소스의 소스코드 중 일부분만 가져와 사용했거나, 이미 보안취약점이 알려져 있는 오픈소스 컴포넌트를 사용하는 등의 문제들이 존재할 수 있다. 이러한 코드들을 검출해낼 수 있는 오픈소스 분석 솔루션인 블랙덕(Black Duck)과 같은 오픈소스 분석도구를 통해 검증 작업을 신속하게 진행해야 한다고 업체 측은 설명했다.

기존에 배포된 애플리케이션에 대한 오픈소스 검증을 진행해 노출된 잠재적 위험성에 대한 예방을 마쳤다면, 이제는 향후 배포될 예정이거나 개발 예정인 소스코드들에 대한 오픈소스 리스크 예방을 위한 프로세스를 수립할 필요가 있다. 내부 전문 인력은 물론 외부 전문 서비스 기업의 도움을 받아 오픈소스 컴플라이언스 준수 여부를 내부적으로 확인할 수 있는 프로세스를 구축해야 한다.

보다 전문적이고 체계적으로 오픈소스를 관리하기 위해서는 거버넌스 구축이 필요하다. 많은 대기업들은 오픈소스 거버넌스를 구축해 조직 구성, 프로세스 및 정책 수립, 주기적인 교육 그리고 오픈소스 분석 도구를 도입해 사내 개발자들의 오픈소스에 대한 이해도를 높이고 개발에 사용된 오픈소스의 잠재적 위험을 예방해 제품의 품질을 향상시킬 수 있도록 지원하고 있다. editor@itworld.co.kr


KMS
X