【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스][인터뷰] 장일수 한국오픈소스협회장 “확산 넘어 ‘안전한 관리’로 전환”

온카뱅크관리자

2026-03-27 12:57:30

<div id="layerTranslateNotice" style="display:none;"></div> SBOM 실시간 관리·AI 거버넌스로 ‘안심하고 쓰는 오픈소스’ 환경 구축 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="YecoPbvmTA">
 <figure class="figure_frm origin_fig" contents-hash="8ceca40ef439bb3bc447b335c11a21402c0503ac99c83f3486935c1bcbd6eb9c" dmcf-pid="GLrAefGhyj" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202603/27/552796-pzfp7fF/20260327125352553zavl.jpg" data-org-width="555" dmcf-mid="ylvONe0Hvk" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202603/27/552796-pzfp7fF/20260327125352553zavl.jpg" width="658">
 </figure>
 [디지털데일리 이안나기자] 소프트웨어 개발에서 오픈소스 활용 비중이 50~60%에 달할 만큼 오픈소스는 이제 IT 산업 필수 인프라로 자리잡았다. 동시에 오픈소스 라이브러리 취약점을 노린 대형 보안 사고가 잇따르고 딥시크를 비롯한 오픈소스 AI 모델이 확산되면서 공급망 보안과 라이선스 관리에 대한 경각심도 높아지고 있다. 한국오픈소스협회(KOSSA)는 이 흐름에 정면으로 대응할 신임 협회장으로 장일수 스패로우 대표를 선임했다.
 장 협회장은 소프트웨어 정적분석과 오픈소스 관리 도구를 개발해온 실무형 경영인이다. 역대 협회장들이 오픈소스 기여·확산 활동에 기반을 둔 인사들이었던 것과 달리 오픈소스 보안과 공급망 관리에 특화된 첫 인물이라는 점에서 선임 배경 자체가 시장 변화를 반영한다.
 그는 “오픈소스 활용이 확대될수록 취약점 관리와 라이선스 준수, 공급망 보안 같은 관리 과제도 함께 커진다”며 “AI 시대에 보안과 공급망 관리 관점의 전문성을 가진 리더십이 필요하다는 산업계 요구가 반영된 것이라고 생각한다”고 말했다. 이어 “오픈소스를 둘러싼 불안감이 높아지는 이 시점에 그 우려를 걷어내고 안심하고 쓸 수 있는 환경을 만드는 역할을 협회에서 하고 싶다”고 덧붙였다.
 ◆ SBOM, 생성 넘어 실시간 유통·업데이트 체계로 진화해야=장 협회장이 가장 먼저 짚은 현장 과제는 국내 기업들의 소프트웨어 자재명세서(SBOM) 도입 온도차다. SBOM 인식은 빠르게 높아졌지만 실제 적용까지는 여전히 간극이 있다. 수년 전에는 개념 자체를 알리는 단계였고 작년에는 필요성을 인식하는 데까지 왔다. 지금은 규제 대응이 늦으면 유럽 수출이 막힐 수 있다는 위기감까지 퍼졌지만 구체적으로 무엇을 어떻게 해야 하는지는 여전히 모르는 기업이 많다. 전담 조직과 전문 인력 부재가 가장 큰 걸림돌이라는 게 그의 진단이다.
 SBOM 운영에서 그가 특히 강조하는 것은 최신성이다. 소프트웨어는 수시로 패치되기 때문에 한 달 전 SBOM은 이미 유효하지 않다. 장 협회장은 “생성에서 끝나는 것이 아니라 실시간 업데이트와 공유가 가능한 유통 플랫폼이 필요한 단계가 됐다”고 말했다. 이에 협회 차원에서도 각 조직 특성에 맞는 SBOM 거버넌스 체계 구축을 지원할 계획이다.
 <div contents-hash="06876c2ef45407968fd42bf18dc2a6c1a213e58ebd9284f9e5578f5155d7d982" dmcf-pid="tAhroxtWCn" dmcf-ptype="general">
 그러나 도구가 아무리 발전해도 조직 내부 분위기가 받쳐주지 않으면 한계가 있다. 보안 사고에 민감한 대기업이나 금융사들이 오픈소스 사용에 내부 결재를 의무화하면서 개발자들이 원하는 라이브러리를 자유롭게 쓰기 어려운 사례가 늘고 있다. 라이선스와 취약점 검증 자체는 필요하지만 그 과정이 너무 무거워지면 오픈소스 활용 전체가 둔해진다는 것이다. 장 협회장은 “더 쉽게 검증할 수 있는 도구와 프로세스를 갖추는 것이 생태계 활성화와 보안 강화를 동시에 풀 수 있는 방향”이라고 봤다.
 </div>
 <figure class="figure_frm origin_fig" contents-hash="3bdd749ed62907a646c66509dd0b6a537771286a8d80baf25e4a670d8f6bb33a" dmcf-pid="FclmgMFYSi" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202603/27/552796-pzfp7fF/20260327125352864yuvl.jpg" data-org-width="640" dmcf-mid="W4xfUXAiTc" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202603/27/552796-pzfp7fF/20260327125352864yuvl.jpg" width="658">
 </figure>
 ◆ 2027년 EU 규제 발효 코앞…수출 기업 ‘취약점 상시 모니터링’ 필수=EU 사이버 레질리언스 액트(CRA)는 스마트TV·의료기기·산업용 장비 등 소프트웨어가 내장된 모든 전자제품에 보안 요건을 부과하는 규제로, 2027년부터 의무 적용된다. 미준수 시 과징금 부과나 판매 중지까지 가능하다. 미국도 행정명령을 통해 공공기관 납품 소프트웨어에 대한 SBOM 제출을 단계적으로 의무화하고 있으며 FDA는 의료기기 소프트웨어에 가장 먼저 적용을 시작했다.
 장 협회장은 국내 기업 중에서는 자동차·의료기기·사물인터넷(IoT) 기기 분야가 직접적인 영향권에 있다고 봤다. 그는 “현대자동차를 비롯한 완성차 업체들도 유럽 컴플라이언스를 예의주시하고 있다”며 “글로벌 기업과 협력하거나 유럽에 직접 수출하는 기업이라면 SBOM 생성을 넘어 취약점 상시 모니터링 체계까지 갖춰야 하는 상황”이라고 말했다.
 국내에서도 공공기관 납품 소프트웨어에 SBOM 제출을 의무화하는 방향으로 제도화가 진행 중이지만 업계 반발이 만만치 않다. 국제 표준이 이미 존재하는 상황에서 별도 기준까지 맞춰야 한다면 이중 부담이라는 지적이 나온다. 장 협회장은 협회가 이 논의에서 다리 역할을 할 수 있다고 봤다. 개별 기업 차원에서는 꺼내기 어려운 얘기도 협회를 통하면 정부와 함께 실현 가능성을 따져보고 조율할 수 있다는 것이다.
 ◆오픈소스 AI vs 오픈웨이트 구분 시급…‘가시성’ 확보가 보안 핵심=오픈소스 관리 과제는 전통적인 소프트웨어에만 국한되지 않는다. 딥시크를 비롯한 오픈소스 AI 모델이 빠르게 확산되면서 새로운 형태의 공급망 리스크가 떠오르고 있다. 장 협회장은 그 중에서도 라이선스 혼선이 가장 시급한 문제라고 봤다. 핵심은 ‘오픈소스 AI’와 ‘오픈웨이트’ 구분이다. 오픈소스 AI는 훈련 코드·데이터셋까지 모두 공개해 자유로운 수정·재학습을 보장하지만 오픈웨이트는 가중치만 공개할 뿐 상업적 활용을 제한하는 경우가 많다.
 이를 인지하지 못하고 서비스에 통합했다가 저작권 위반이나 손해배상 청구 등 법적 리스크에 직면하는 사례가 국내에서도 현실화될 수 있다는 것이다. 허깅페이스 같은 외부 모델 저장소에서 검증 없이 가져다 쓰는 모델이 늘면서 기업 내부에서 어떤 모델을 어떤 서비스에 사용하는지조차 파악하기 어려운 ‘가시성 문제’도 커지고 있다. 장 협회장은 “소프트웨어 구성요소뿐 아니라 AI 모델과 그 활용 현황까지 함께 관리하는 새로운 공급망 관리 체계가 필요하다”고 말했다.
 바이브코딩 등 AI 코드 생성 도구의 저작권 문제도 앞으로 더 커질 과제로 봤다. AI가 자동생성한 코드가 타인의 코드를 학습하거나 그대로 가져온 것이라면 향후 법적 분쟁으로 이어질 수 있는데, 이미지·영상 저작권 문제와 마찬가지로 소프트웨어 분야에서도 피할 수 없는 흐름이라는 것이다. 그는 “AI가 생성한 코드라는 이유로 면책이 되지는 않을 것”이라며 “AI를 생산성 향상의 보조수단으로 쓰더라도 최종 결정과 책임은 사람에게 있다는 점을 기업들이 인식해야 한다”고 강조했다.
 협회는 이에 대응해 오는 4월부터 주요 AI 모델의 특성·활용 방법·저작권·제약 사항을 정리한 교육과정과 컨설팅을 제공할 계획이다. 인재 양성 방향도 소스코드 공개 개념에만 머무르지 않겠다고 했다. 에이전틱 AI 발전으로 개발자·기획자·PM의 경계가 허물어지는 상황에서 오픈소스 특유의 개방·공유·협력 철학을 바탕으로 AI 시대를 이끌 오픈 리더십 인재를 키워나가겠다는 구상이다.
 임기 내 반드시 만들고 싶은 변화를 묻자 그는 “지금까지 협회에서 오픈소스 활용을 확산시키는 데 많은 노력이 있었다면 앞으로는 소프트웨어 공급망부터 오픈소스 AI까지 광범위하게 활용되는 오픈소스를 보다 안전하게 활용·관리할 수 있는 체계를 만들도록 기여하겠다”며 “오픈소스와 AI 기술을 안전하고 책임 있게 활용할 수 있는 산업 환경을 조성하는 것이 목표”라고 말했다.
 </section> 
 </div> 
 Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

놀이터홍보 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기