오픈소스는 라이선스 방식을 통해 배포된 소스 코드를 자유롭게 복사, 수정, 사용, 재배포할 수 있는 소프트웨어를 말합니다. 버그가 있다면 누구나 수정하며 기능을 추가할 수 있고 소프트웨어 개발에 참여할 수 있는 것입니다. 누구에게나 프로그램의 배포 권리, 소스 코드 접근 권리를 제공하고 있기 때문에 잘 활용한다면 개발 비용과 기간을 단축할 수 있어 오픈소스는 계속해서 널리 사용되고 있습니다. 실제 Sonatype의 2021년 데이터에 따르면 소프트웨어 에코시스템에서 총 2조 2천억개의 오픈소스 패키지 혹은 구성요소가 다운로드 된 것이 확인되었다고 합니다. 2020년과 대비했을 때 언어별 구성요소 다운로드 증가율은 최대 92%를 기록하기도 했습니다. 앞으로도 상위 4개의 개발 언어에서 지속으로 다운로드 수가 증가해 우상향 그래프를 보여줄 것으로 예측하고 있습니다. 이렇게 오늘날 전 세계의 개발자들은 오픈소스 도구를 이용해 더 쉽고 빠르게 개발을 하고 있지만, 오픈소스 사용에 따른 법적 책임이나 위험에 대해서는 잘 알지 못하는 경우도 많습니다.
상용 소프트웨어와 같이 오픈소스를 사용하기 위해서는 해당 오픈소스의 라이선스를 준수해야 합니다. 이를 위반할 경우 사용 권리가 박탈되는 것은 물론 제품화를 한 경우 해당 제품을 판매할 수 없게 됩니다. 또, 라이선스 위반 기업으로 기업 이미지에 악영향이 있을 뿐만 아니라 법적 소송에 연루될 수 있습니다.
많은 기업들은 오픈소스 라이선스와 관련된 불이익을 피하기 위해 법무팀이나 보안팀이 각 구성 요소 라이선스를 검토하는 수동 워크플로에 의존하고 있습니다. 하지만 일반적인 애플리케이션의 경우 일반적으로 128개의 종속성을 포함하고 있고, 필요한 모든 데이터를 수집하기 위해서는 최대 58시간의 시간을 투자해야 합니다. 또 간혹 개발 조직이 자체적으로 법률적 데이터를 수집하거나 OSS 종속성을 사용할 수 있는 데에 대한 엄격한 제한을 두어 허용되는 라이선스를 제외한 모든 라이선스를 차단하기도 합니다. 이는 개발자의 작업에 상당히 부정적인 영향을 미치며 OSS 선택의 폭이 감소되는 것은 조직 전체에 대한 경쟁적 불이익입니다.
사용 중인 라이선스, 허용되지 않아야 하는 라이선스 그리고 해당 조건을 준수하는 방법을 아는 것은 매우 중요합니다. 그렇다면, 라이선스 문제를 개선하기 위해 어떤 것부터 해야 할까요?
가장 먼저 소프트웨어 취약성과 라이선스 문제에 대해 애플리케이션을 스캔하는 것으로 시작할 수 있습니다. 이를 위해 Sonatype의 Advanced Legal Pack을 사용할 수 있고 이러한 도구를 사용해서 구성 요소 라이선스 정보를 받아보며 수동 작업을 자동화 작업으로 전환할 수 있습니다. 개발, 보안 및 법무 팀을 위해 자동화된 워크플로를 제공할 수 있습니다.
“Nexus Lifecycle enables our legal team to spend 100% of their time solving problems instead of spending over 80% of their time looking for them.”— EQUIFAX
출처 :
(1) https://blog.sonatype.com/how-to-manage-your-open-source-licenses-in-2022
(3) https://sktelecom.github.io/guide/use/license/