들어가며
안녕하세요! 오픈소스거버넌스그룹 고동진입니다.
이번 포스팅에서는 올해 개최되는 '2025 오픈소스 개발자대회' 참가자들을 위한 온라인 교육 콘텐츠 주요 내용을 소개해드리려고 해요.
오픈소스 개발자대회는 과학기술정보통신부가 주최하고 정보통신산업진흥원이 주관하는 국내 오픈소스 생태계 발전을 위한 대표적인 행사로, 올해도 많은 개발자분들이 참여하고 계십니다.
이번에 '기업의 오픈소스 관리 및 활용 실무'라는 주제로 교육을 진행하게 되었는데요, 40분 분량의 교육 내용 중 핵심만 뽑아서 여러분께 소개해드리겠습니다!
핵심 학습 포인트
이번 교육을 통해 다음과 같은 내용들을 다루었어요:
•
오픈소스에 대한 이해 및 관리 필요성
•
기업의 오픈소스 관리 방법 실무 인사이트 제공
•
올바른 오픈소스 선택 및 활용 방법 안내
그럼 본격적으로 핵심 내용들을 살펴볼까요?
실제 온라인 교육 진행 화면 - 기업의 오픈소스 관리 및 활용 실무 강의 모습
기업이 오픈소스를 관리해야 하는 이유
기업에서 오픈소스 관리가 필수가 된 이유는 다양합니다.
SW개발에서 오픈소스는 필수요소이지만 오픈소스에는 라이선스, 취약점 등 다양한 리스크가 포함되어 있기 때문에 체계적인 관리가 필요합니다.
주요 관리 필요성들:
•
법적 리스크 관리: 라이선스 위반으로 인한 소송 및 벌금 위험
•
보안 취약점 대응: 오픈소스의 알려진 보안 이슈 모니터링 및 패치
•
EOL, EOS : 지원 종료로 인한 보안 패치 중단 및 취약점 노출 위험
•
공급망 투명성: 제품에 포함된 모든 구성요소의 출처와 버전 관리
•
품질 보증: 오픈소스 컴포넌트의 안정성 및 호환성 검증
•
비즈니스 연속성: 오픈소스 프로젝트 중단 시 대안 마련
특히 과거 라이선스 위반 사례들이 기업들에게 오픈소스 관리의 필요성에 대한 경각심을 처음으로 불러일으켰기 때문에, 그 역사적 배경을 이해하는 것이 중요합니다.
Skype 사례를 통해 살펴보겠습니다.
실제 사례: Skype GPL 위반 소송
1.
Skype는 인터넷 전화 업체로, 제조사 SMC로부터 GPL 라이선스가 포함된 리눅스 기반 전화기를 납품받았습니다.
2.
전화기를 사용하던 사용자에 의해 GPL 라이선스 사용이 발견되어 사용자는 GPL 감시조직에 신고했고, 감시조직은 Skype 측에 이의를 제기했습니다.
3.
하지만 Skype는 본인들이 제조한 것이 아니라며 이의 제기에 소극적으로 대응했습니다.
4.
결국 GPL 감시조직은 Skype를 상대로 소송을 제기했고, 법원은 실제 제품을 유통한 최종 배포자 Skype에게 책임이 존재한다고 판단하여 Skype에게 소스코드 공개 및 벌금 지급을 판결했습니다.
독일 법원의 Skype GPL 위반 판결 - 최종 배포자의 GPL 라이선스 준수 의무
즉, 협력업체로부터 납품받아 고객에게 최종 배포하는 기업에게는 협력업체 제품에서 발생한 라이선스 위반에도 책임이 부여됩니다.
따라서 최종 판매 기업은 제품에 어떤 오픈소스로 구성되어 있는지 관리가 반드시 필요한 것이에요.
이 사례에서 알 수 있듯이, SW 구성요소를 정확히 파악하는 것이 매우 중요합니다.
하지만 실제 SW 공급망은 개발자가 생각하는 것보다 훨씬 더 복잡하다는 점이 문제예요.
SBOM 식별 방법
수동 식별 방법
SBOM(Software Bill of Materials) 수동 식별은 주로 두 가지 방법으로 이루어집니다:
1. 메타데이터 기반 식별
소스코드 상단에 선언된 라이선스 정보, 컴포넌트명, 저작권 정보 등을 통해 오픈소스를 식별하는 방법이에요.
2. 코드 유사도 비교
점검 대상의 소스코드와 오픈소스의 유사도를 직접 비교하여 오픈소스를 식별합니다.
하지만 SBOM 식별을 사람이 직접 하기에는 너무 많은 시간과 노력이 필요해요.
그래서 기업에서는 전용 도구를 활용하고 있습니다.
오픈소스 식별 도구의 3가지 유형
1. 문자열 검색 도구
•
상단 헤더의 라이선스 정보 스캔
•
무료 오픈소스로 공개, 빠른 스캔 속도
•
단점: 헤더 정보 삭제 시 식별 불가
2. 코드 스캔 도구
•
소스코드 유사도 비교를 통한 식별
•
헤더 정보 없어도 식별 가능
•
단점: 바이너리 형태 식별 불가, 유료 상용 도구
3. 바이너리 스캔 도구
•
리버스 엔지니어링을 통한 바이너리 패키지 식별
•
소스코드가 없는 컴파일된 형태에서도 분석 가능
•
단점: 탐지 정확성 상대적으로 낮음, 유료 상용 도구
실제 기업에서의 오픈소스 선택 및 활용 방법
실제 기업에서는 유사한 기능을 가진 오픈소스가 있다면 어떻게 선택하고 활용해야 할까요?
엘라스틱서치와 오픈서치 비교 사례를 통해 설명해드리겠습니다.
엘라스틱서치 vs 오픈서치 개요
두 오픈소스는 한 뿌리에서 파생된 검색 및 분석 엔진 솔루션입니다.
Elasticsearch | OpenSearch | |
출시 | 2010년 | 2017년 (ES 7.10.2 버전 fork 개발) |
특징 | 오픈소스 분산형 검색 및 분석 엔진 | 오픈소스 검색 및 분석 엔진 |
라이선스 | Triple License (ELv2&SSPL&AGPL) | Apache-2.0 |
라이선스 비교
Elasticsearch
•
트리플 라이선스 체계
◦
SSPL: 로열티 없음, 상업적 사용 불가
◦
AGPL: 로열티 없음, 소스코드 공개 조건
◦
EL 라이선스: 로열티 요구, 과금 정책에 따른 제약 조건
OpenSearch
•
Apache-2.0 라이선스
•
무료/상업적 사용 가능
특징 비교
Elasticsearch
•
다양한 공식 에이전트와 도구, Fleet으로 중앙 관리 가능
•
보안 기능이 포괄적이고 엔드포인트까지 지원
•
로그·메트릭·APM·머신러닝 이상 탐지 등 고급 가시성 제공
•
24/7 기술지원 및 보안 패치 등 벤더 지원이 강점
OpenSearch
•
기본 기능 중심, 추가 기능은 다른 오픈소스 도구에 의존
•
RBAC, 암호화 등 핵심 보안 기능 무료 제공
•
로그·메트릭·트레이스·머신러닝 이상 탐지 가능
•
주로 커뮤니티 지원, 필요시 AWS 등 공식 지원 선택 가능
기업 사용 현황
현재 기업 사용 사례를 비교 분석해보면 Elasticsearch가 더 많이 사용되고 있습니다.
상용 서비스답게 사용자 친화적인 플랫폼을 제공하고, 개발자에게 더 풍부한 기능을 제공하기 때문이에요.
결론적으로 두 솔루션 중 선택해야 한다면, 위에서 설명드린 라이선스 조건과 기능적 특징을 종합적으로 고려하여 개발 환경과 비즈니스 요구사항에 맞는 솔루션을 선택하시면 됩니다.
마무리
기업이 오픈소스를 안전하게 활용하기 위해서는 오픈소스의 잠재적 위험을 인식하고 관리해야 해요.
더 나아가 개발자 여러분들의 자발적인 관리가 이뤄진다면 기업 전체의 생산성 향상과 혁신을 촉진하는 중요한 밑거름이 될 겁니다.
더 궁금한 사항이나 자세한 상담이 필요하시다면 아래 메일 주소로 언제든 연락해주세요!
Contact: s-core@samsung.com
고동진 프로
오픈소스가 더 안전하고 효과적으로 활용될 수 있도록 올바른 사용문화 정착을 위해 노력합니다.