“오픈소스 활용 능력은 현재 소프트웨어 기업 경쟁력의 뉴노멀입니다.”

5G, 인공지능, 클라우드 등 차세대 혁신 기술의 중심에는 오픈소스 소프트웨어가 있다. 소프트웨어 산업의 발전과 경쟁력 확보를 위해 오픈소스 기반의 협력은 필수다.

SK텔레콤 T3K 시너지추진팀 장학성 님이 지난 11월 24일 진행된 <소프트웨어 산업 보호 대상>에서 과학기술정보통신부 장관상을 수상했다. ▲SKT가 오픈소스 컴플라이언스 관련 표준인증(ISO/IEC 5230) 획득에 기여한 점과 ▲이를 커뮤니티 등에 활발하게 공유하고 교육한 공로를 인정받았다. 다양한 부서와 협력을 통해 진정한 오픈소스 시대를 열어가고 있는 장학성 님을 만나 이야기를 나누었다.

SKT, 공유 경제의 ‘꽃’ 오픈소스에 주목하다

오픈소스는 소스 코드가 공개된 소프트웨어다. 오픈소스 라이선스가 부여하는 권리에 따라 누구나 무료로 자유롭게 사용, 수정, 재배포 할 수 있다. 오픈소스는 유명 요리사가 공개한 레시피와 그 모습이 닮아있다. 개발자의 오픈소스에는 음식을 요리할 수 있는 모든 비법이 담겨있기 때문이다. 레시피를 활용하면 일정 수준 이상의 요리를 적은 시간과 노력으로 완성할 수 있고, 제공된 레시피를 변형해 나만의 독특한 요리를 만들 수도 있다.

다시 오픈소스 이야기로 넘어와 보자. 오픈소스가 레시피처럼 누구나 사용할 수 있도록 공개되어 있다고 해서 기업이 마음대로 사용해도 될까? 오픈소스 전문가 장학성 님은 오픈소스의 컴플라이언스 관점을 강조했다. 기업이 오픈소스와 관련된 모든 활동을 적극 관리해 오픈소스로부터 최대한의 가치를 창출함과 동시에 법적인 위험을 줄여야 한다는 점이다.

장학성 님은 “기업이 오픈소스를 사용하여 제품이나 서비스를 개발할 때 법적인 문제를 발생시키지 않으려면 오픈소스 라이선스를 확인하고, 각 라이선스가 요구하는 바를 지켜야 하는데 이러한 활동이 바로 ‘오픈소스 컴플라이언스’”라며 “오픈소스를 활용하는 기업은 오픈소스 거버넌스 체계를 갖추고, 국제 표준을 준수하는 것이 필요하다”고 말했다.

그렇다면 오픈소스가 필요한 이유는 무엇일까? 오픈소스는 ‘기여’와 ‘활용’이라는 두 가지 측면이 공존한다. 먼저 일반적인 기업이 소프트웨어를 공개하는 목적을 네 가지로 설명했다. 그는 “기업이 소프트웨어를 공개하면서 생태계를 성장시킬 수 있고, 공개한 소프트웨어 기술을 글로벌 표준으로 만들 수 있다는 것이 가장 큰 장점”이라고 설명했다. 나아가 “이를 통해 기업은 우수 개발자를 확보할 수 있고, 이는 결국 기업의 경제적 이득으로 연결될 수 있다”고 덧붙였다.

오픈소스를 활용하는 회사/개발자의 입장은 어떨까? 장학성 님은 “오픈소스는 기업과 커뮤니티 사용자에 의해 고도화되고 안정되어 간다는 특징이 있다”며 “무료로 사용할 수 있다는 장점은 기업에 큰 매력이다”라고 설명했다. 그는 “이제는 오픈소스를 활용하지 않고 서비스나 제품을 출시하는 기업은 전무하다고 해도 과언이 아니다”라며 “다만 아무 오픈소스나 가져다 사용하기보다는 품질, 보안 취약점, 라이선스 등을 사전에 확인해 추후 발생할 수 있는 비용과 리스크를 최소화하는 것이 중요하다”고 강조했다.

효과적인 오픈소스 생태계를 위해 거버넌스 관리 체계 구축은 필수

오픈소스 커뮤니티에는 매년 수천 개 이상의 오픈소스가 공개된다. 소프트웨어 개발자들은 이 오픈소스를 활용해 제품 및 서비스를 개발한다. 개발 시간 단축은 물론 기술 완성도를 높일 수 있는 이점 때문이다. 하지만, 오픈소스를 사용할 때 요구하는 라이선스가 무엇인지 확인하고 준수해야한다. 이는 오픈소스 생태계 발전을 위해 꼭 지켜야 하는 ‘선’이다.

SKT는 지난 9월 ISO/IEC 5230 인증을 획득하면서 ‘오픈소스’ 활용을 위한 체계적 관리 시스템을 갖췄음을 국제적으로 인증 받았다.[관련 콘텐츠] 세계 통신사 중 ‘최초’라는 타이틀도 얻었다. ISO/IEC 5230 국제 인증이 무엇이고, 이것이 주는 의미가 무엇일까?

Q. SKT가 지난 9월 ISO/IEC 5230 인증을 획득했습니다. 인증에 대한 소개와 어떤 의미가 있는지 설명을 부탁드립니다.
A. ISO/IEC 5230 인증은 미국의 비영리단체인 리눅스 재단이 주도하고 있는 ‘오픈체인 프로젝트’에서 만든 국제 표준입니다. 기업이 오픈소스 컴플라이언스를 위하여 갖춰야 할 핵심 요구사항을 정의했고, 2020년 ISO(국제표준화기구)와 IEC(국제전기기술위원회)가 오픈소스 컴플라이언스 관련 유일한 국제표준(ISO/IEC 5230)으로 채택했습니다.

오픈소스를 활용하지 않고 서비스 및 제품을 출시하는 기업은 없습니다. 반면, 기업이 오픈소스를 사용하면서 라이선스 의무를 준수하지 않는 등 오픈소스 관리에 실패하면 저작권 침해 및 계약 위반으로 외부 클레임이나 법적 소송을 제기 당할 수 있습니다. 이는 회사가 개발한 소스 코드를 강제로 공개해야 하거나, 제품 판매 중지, 벌금 부과, 손해 배상 등을 초래할 수 있고, 결국 회사 평판 손실로 이어지게 됩니다. 오픈소스 분쟁으로 인한 소송 사례는 국내와 해외를 막론하고 계속해서 이어지고 있습니다. 따라서, 기업은 오픈소스 거버넌스를 위한 활동이 필요하며, 이때 오픈소스 컴플라이언스 분야의 유일한 국제표준인 ISO/IEC 5230을 살펴보는 것이 가장 효율적인 방법입니다. 오픈소스 관리 수준을 향상하고자 하는 기업이라면 ISO/IEC 5230에서 요구하는 바를 하나씩 준수해가며 미흡한 부분을 보완하는 것이 좋습니다.

SKT는 국내에서 LG전자, NCSOFT, 삼성전자에 이어 네 번째로 ISO/IEC 5230 준수를 선언했습니다. SKT는 ISO/IEC 5230 인증을 획득하기 전부터 IPR팀에서 오픈소스 컴플라이언스 활동을 수행해오고 있었습니다. 2020년에는 Open Source Review Board(이하 OSRB)를 만들었습니다. OSRB는 ▲법무 ▲T3K ▲Cloud Technology ▲기업문화 ▲고객가치혁신실에서 참여하여 회사의 오픈소스 거버넌스 구축을 위해 협력하고 있습니다. 인터뷰를 하는 오늘도 OSRB 멤버들과 정기 미팅을 했습니다.

최근 유럽의 자동차 제조사 등 글로벌 기업들이 소프트웨어 공급자에게 오픈소스 ISO 표준 인증을 요구하는 등 오픈소스 관리체계의 중요성은 나날이 강조되고 있습니다. ISO/IEC 5230 인증 획득을 위한 세 가지 방법은 아래에서 자세하게 확인하실 수 있습니다.

■ ISO/IEC 5230 인증 획득을 위한 세 가지 방법

 

ISO/IEC 5230 인증을 획득하기 위해서는 ▲정책 수립 ▲프로세스 구축 ▲자동화 도구 운영 ▲사내 교육/평가 체계 등이 필요하다. ISO/IEC 5230의 요구사항을 모두 준수하는 기업은 이를 공식 선언할 수 있고, 이들은 Software Supply Chain 내에 우수한 오픈소스 프로그램을 구축하였음을 인정받게 된다. ISO/IEC 5230 인증 방법 세 가지는 아래와 같다.

 

1. Self-Certify
오픈체인 프로젝트에서 권장하는 인증 방법으로 SKT를 비롯한 대부분의 기업이 채택하는 방식이다. 오픈체인 프로젝트는 Self-Certify를 위한 웹사이트를 운영하고 있으며, 기업은 여기서 제공하는 현 수준 진단 질문지에 Yes / No로 체크하여 기업의 오픈소스 거버넌스 수준을 파악할 수 있다. 기업은 여기서 발견한 미비점 (No로 체크한 항목)을 보완하는 활동을 수행하며 기업이 모든 항목에 Yes로 체크할 수 있는 수준에 도달 후, 체크 결과를 제출한다. 오픈체인 프로젝트의 General Manager의 간단한 질의 응답 형태의 확인 절차를 거친 후 적합성 인증 취득을 선언하게 된다. 주로 외부 인증 기관을 통해 인증 절차를 진행하는 다른 ISO 표준과는 달리 ISO/IEC 5230은 오픈소스 프로젝트에서 만들어진 표준 특성상 이러한 Self-Certify 방법을 제공하고 있다.

 

2. Independent Assessment
제3자인 전문기관이 기업을 평가하고, 미비점 보완을 위한 지원을 제공하여 기업이 Self-Certify 혹은 Third-Party Certification을 수행할 수 있도록 컨설팅을 제공하는 역할을 한다.

 

3. Third-Party Certification
TUV SUD, synopsys, pwc 등 외부 인증 전문기관이 평가하고 인증서를 발행한다.

Q. ISO/IEC 5230 인증을 준비하는 기간은 어느 정도 걸리셨는지요? 또한, 인증 진행 과정 중 가장 어려웠던 점이 무엇인지도 궁금합니다.
A. OSRB 멤버와 함께 ISO/IEC 5230 인증을 본격적으로 준비한 것은 올해 초입니다. 당초 1~2년 정도 시간이 걸릴 것으로 예상 했었는데요. 오픈소스 컴플라이언스 수행 경험, 자동화 도구 지원 등 멤버들과의 협업을 통해 준비를 시작한 지 약 7개월 만에 인증을 받을 수 있었습니다.

가장 어려웠던 점은 ‘오픈소스에 대한 인식 변화와 확산’이었습니다. 과거에도 아무 문제 없이 오픈소스를 잘 사용하고 있었는데 왜 인증을 받아야 하고, 이를 위한 준비를 해야 하는가에 대해 회사 내 공감을 얻고 지원을 받는 과정이 필요했습니다. 다행히 이 내용이 SKT 기술 분야 임원 회의체인 CIDO(Chief Innovation Design Officer) 안건으로 상정되면서 임원 레벨의 의사결정을 받을 수 있었습니다. 이후 온라인 교육 개설을 통해 회사의 오픈소스 정책과 프로세스를 빠르게 전파할 수 있었습니다.

Q. SKT가 전 세계 통신사 중 최초로 ISO/IEC 5230 인증을 획득하셨다고요. 이에 대한 소감은 어떠신가요?
A. 망 구축, 통신망 안정 등에 집중했던 과거와 달리 이제 통신사는 빅테크 ICT기업으로 변화하고 있습니다. 이를 위해 적극적인 오픈소스의 도입과 활용은 필수입니다. SKT가 글로벌 초일류 기업으로서 올바른 오픈소스 활용 체계를 구축하였음을 국제적으로 인정 받을 수 있는 계기가 된 것이 뿌듯합니다.

오픈소스 거버넌스 분야에서 가장 인지도가 높은 국제 콘퍼런스 행사가 있습니다. 바로 Linux Foundation에서 주최하는 Open Compliance Summit입니다. 올해 12월 행사가 열리는데요. 저는 여기에 발표자로 참여해 SKT의 우수 사례에 대해서 언급할 예정입니다.

Q. 국제 유일 인증 획득으로 앞으로 SKT의 오픈소스 시대에 열린 가능성이 무엇인지 궁금합니다.
A. ISO/IEC 5230 인증 획득만으로 SKT 오픈소스의 미래가 장밋빛이라고 예단하는 것은 무리입니다. 이번 인증 획득은 가장 기본 사항이 준비되었다고 보는 것이 오히려 정확합니다.

SKT가 오픈소스를 잘 활용해 우수한 테크기업으로 성장해 나아가기 위해서는 앞으로가 더 중요합니다. 오픈소스 커뮤니티와 활발하게 협력하는 회사, 개발자의 오픈소스 커뮤니티 참여를 장려하는 회사, 그래서 개발자가 일하기 좋은 회사 문화를 만들어 나가는 것이 중요합니다.

SKT는 이를 위해 지난 6월 개발자 소통 커뮤니티인 DEVOCEAN(데보션)을 오픈했습니다. T Hub라는 SK 개발자 커뮤니티를 외부 개발자들과의 협업을 위해서 공개한 것입니다. 이러한 SK텔레콤의 노력이 지속한다면 앞으로 국내뿐만 아니라 해외에서도 인정받는 초일류 빅테크 기업으로 성장할 것으로 기대합니다.

개발 혁신을 주도하는 SKT의 오픈소스 거버넌스

오픈소스 업계에서 기업의 영향력이 점점 커지면서 OSPO(Open Source Program Office)도 함께 성장하고 있다. SK텔레콤은 OSPO를 설립해 오픈소스 거버넌스 체계를 구축했다. 장학성 님에게 오픈소스 거버넌스와 OSPO의 역할에 대해 들어봤다.

Q. SKT의 OSPO(Open Source Program Office)에 대한 설명을 부탁드립니다.
A. SKT의 OSPO는 오픈소스 거버넌스 체계를 구축할 뿐만 아니라 ICT 기업으로서 성공을 위한 오픈소스 전략을 수립하고 이를 실행하는데 필요한 정책, 프로세스 구축 및 자동화 도구를 제공하고자 하는 목표를 가지고 운영하고 있습니다.

T3K 시너지추진팀에서 역할을 담당하고 있지만, 이 역할을 단독으로 수행할 수 있는 규모나 역량을 아직 갖추지는 못했습니다. 따라서, 주요 안건은 OSRB에서 논의하여 결정하고, 조직간 협업을 통해 진행하고 있습니다. OSPO는 ▲올바른 오픈소스의 사용 ▲오픈소스로의 활발한 기여 ▲사내 프로젝트를 오픈소스로 공개 등의 역할을 담당합니다.

Q. SKT가 오픈소스 컴플라이언스 자산을 공유하기 위해서 어떤 노력을 하고 있는지 궁금합니다.
A. 오픈소스가 성장하게 된 가장 큰 힘은 ‘공유’와 ‘협업’입니다. 모두가 공유하고 협업하여 만들어 낸 산출물을 함께 사용하면서 모두에게 혜택이 되는 것이 오픈소스의 힘입니다. 오픈소스 컴플라이언스도 이와 같이 Software Supply Chain 내 기업이 공유하고 협업한다면 모두가 손쉽게 일정 수준 이상의 오픈소스 컴플라이언스를 달성할 수 있습니다.

SK텔레콤은 이런 오픈소스의 정신을 지지하며, SK텔레콤이 갖고 있는 내부 오픈소스 자산을 공개하였습니다. 개발자를 위한 오픈소스 라이선스별 의무사항, 오픈소스 기여 방법, 오픈소스 공개 절차 등의 가이드는 국내 기업에 큰 도움이 될 것으로 기대합니다. 이를 통해 성장하는 기업이 많아 진다면, SK텔레콤에 소프트웨어를 제공하는 Supplier도 올바른 오픈소스 컴플라이언스 산출물을 제공함으로 SK텔레콤의 오픈소스 컴플라이언스 수준 향상에 기여할 수 있을 것입니다.

Q. SKT가 국제 표준 인증을 받으면서 연구개발 분야에 어떤 변화가 생기길 기대하는지 궁금합니다.
A. SKT는 국제 표준 인증을 준비하면서 오픈소스 점검 과정을 자동화하였습니다. 물론 아직 더 개선해야 할 부분이 있지만, 개발 부서에서 수월하게 오픈소스를 점검할 수 있고, 이를 통해 오픈소스 라이선스 리스크, 오픈소스 보안취약점을 발견하여 사전에 대응할 수 있습니다.

특히, SKT가 배포하는 모든 소프트웨어에 Software BOM*을 자동으로 생성하는 환경을 구축하였습니다. 이번 인증을 준비하면서 이러한 환경을 선제적으로 만들었다는 것은 큰 의미가 있습니다.

* Software BOM(Bill of Material): 소프트웨어 재료명세서로 이를 통해 소프트웨어 구성요소를 파악할 수 있다.

Q. SKT가 제공하는 오픈소스 중 외부 소프트웨어 담당자들이 가장 관심이 많은 분야는 무엇인가요?
A. SKT가 제공하는 오픈소스 프로젝트 목록은 SKT 오픈소스 포털에서 확인할 수 있습니다. 클라우드 플랫폼인 HANU, 빅데이터 솔루션인 메타트론, NLP 분야의 KoBERT, KoGPT2 등이 있습니다.

SK텔레콤의 오픈소스 활동은 투자와 격려가 필요한 시점입니다. 몇몇 개발자의 자발적인 참여로는 한계가 있으며, 회사 차원의 장기 플랜과 로드맵이 필요합니다. 이를 위해 계속 고민하고 있습니다.

오픈소스의 미래

오픈소스는 지금의 ICT 기술을 있게 했고, 미래 기술을 이끌어갈 원동력이다. 장학성 님은 오픈소스의 미래를 어떻게 전망하고 있을까?

Q. 오픈소스 소프트웨어 시장이 앞으로 어떻게 될 것이라 전망하고 계시는지요?
A. 오픈소스 시장이 갈수록 커질 것이라는 건 의심의 여지가 없습니다. 다만, 과거에는 공유와 협업의 가치를 존중하는 개발자 커뮤니티가 중심이었다면, 이제는 치열하게 경쟁하는 글로벌 테크 기업이 자신의 이익을 위해 오픈소스를 활용하고 있습니다. 또한, 소프트웨어 기업도 자신의 소프트웨어를 오픈소스로 공개하고 초반에는 무료로 쉽게 사용할 수 있는 오픈소스 라이선스를 적용하여 사용자를 늘리고, 나중에는 상용으로만 사용 가능하도록 라이선스 정책을 변경하는 경우도 늘어나고 있습니다.

기업은 이러한 오픈소스 시장의 변화에 민감하게 대응하며 불필요한 리스크나 비용이 발생하지 않도록 오픈소스 거버넌스 체계를 갖추어 나가는 것이 필요합니다.

Q. 앞으로의 목표는 무엇인가요?
A. 앞으로 SKT가 ICT 서비스 기업으로 성장하기 위해서는 비즈니스 상황과 연계된 오픈소스 전략 수립이 필요합니다. 오픈소스를 활용하는 것에 그치지 않고, 오픈소스 커뮤니티에 기여하고, 우수 소프트웨어를 오픈소스로 공개하여 외부 개발자들과 협업하여 성과를 창출하는 환경과 문화를 만들어야 합니다. 서두르지 않고 한 걸음 한 걸음 나아가다 보면 분명 우리나라에서 손꼽히는 소프트웨어 테크 기업이 되는 데 큰 역할을 할 수 있을 것으로 생각합니다.

장학성 님은 오픈소스 컴플라이언스에 관심이 있는 국내 기업이 참고할 수 있도록 산출물을 마치 오픈소스처럼 공개했다. 그는 글로벌 기업에서 공개한 우수 사례를 국내에 도입하고, 이를 커뮤니티에 공유하며 함께 성장하는 것이 큰 보람 중 하나라고 말한다. 이는 오픈소스의 ‘공유’와 ‘협업’이라는 정신과 맞닿아있다. 나아가 SKT 2.0이 추구하는 ‘사회적 가치 창출’이라는 목표와도 연결된다.

SKT는 오픈소스 컴플라이언스 활동 노하우를 SKT 구성원 뿐만 아니라 SK ICT 패밀리사와 비즈니스 파트너사까지 전파할 계획이다. 앞으로 SKT와 함께 성장할 오픈소스 생태계가 더욱 기대되는 이유다.