[로이슈 심준보 기자] 4차산업혁명의 핵심 기술이 인공지능과 블록체인이라면, 이를 뒷받침하는 실무적 요소는 ‘오픈소스’이다. 4차산업 시장규모는 매년 10% 이상 성장하고 있으며, 이 가운데 오픈소스 시장규모는 연간 15.2%의 가파른 성장세를 보이고 있다. 이렇듯, 시장 확대와 함께 기술개발 및 상용화가 가속화됨에 따라 오픈소스 시장 또한 지금보다 더욱 빠른 속도로 성장할 것이다.
소프트웨어 개발은 정밀기기 설계에 비할 만큼 복잡하다. 모바일, 냉장고, TV, 자동차 등 친근한 백색가전 또한 최소 열 개 이상의 서로 다른 소프트웨어들이 결합하여 작동된다. 각각의 소프트웨어 또한 수십, 수백가지의 개별 소프트웨어들의 집합체이며, 이 또한 수 많은 개발자들의 손을 거쳐 만들어진 결과물인 바, 총 개발 비용은 클 수밖에 없다. 이 과정에서 소요 비용은 줄이고 결과물의 완성도는 높일 수 있는 가장 좋은 방법은 무엇일까?
복합적인 소프트웨어 개발에 필요한 개별 소프트웨어의 라이선스를 일일이 구매하는 것은 큰 리소스 투입을 요하는 일이다. 이를 해결하기 위해 약속(라이선스)만 지키면 무상으로 사용할 수 있는 소프트웨어인 ‘오픈소스’가 존재한다. 오픈소스, 즉 정식으로 공개된 개발 코드의 집합이며, 이를 활용하여 새로운 복합적 소프트웨어를 개발할 수 있는 일종의 고도화된 자원이라고 말할 수 있다. 이렇듯 오픈소스는 앞서 언급한 4차산업의 전 영역을 뒷받침하는 주요한 개념으로 다시금 자리잡고 있다.
한편, 오픈소스라도 입맛에 따라 마음대로 활용하다가 법적 책임의 대상이 될 수 있는 점을 인지해야 한다. 특히 오픈소스 라이선스 위반 시 책임은 개발자가 아닌 최종 판매자에게 있다. 만약 소프트웨어 개발자나 중간 유통사가 라이선스 위반 여부를 숨겼다 하더라도 최종 판매자가 처벌의 대상임은 변함없다. 이 때문에 최종 판매자의 면밀한 검증은 필수 요소이다. 하지만 앞서 언급했듯 소프트웨어의 개발 과정은 매우 복잡하기 때문에 사용된 모든 오픈소스의 라이선스 위반 여부를 검수하는 일은 현실적으로 어렵다.
예컨대 최종 판매자가 식품의 생산 경로를 추적하여 원산지 허위 표기 여부를 확인하는 사례를 떠올릴 수 있으나, 이는 그 단계와 난이도 면에서 오픈소스 라이선스 검수 과정과 매우 상이하다. 소프트웨어 업계에서는 최근 약 10년 간 이러한 문제를 해결하기 위해 끊임없는 노력을 거듭해왔다. 이로써 등장한 개념이 바로 ‘SPDX(Software Package Data eXchange)’라 불리는 정보 교환 규격이다.
하지만 SPDX 또한 위변조에 취약한 단점이 있다.
필자는 SPDX의 취약점을 보완하는 솔루션으로 블록체인 기술 도입을 강력히 주장하는 바이다. 필자가 CTO 역임 중인 프로젝트 ‘아이즈 프로토콜(EYES Protocol)’이 바로 SPDX 정보를 블록체인에 담아 현 소프트웨어 공급체인의 문제점을 직접적으로 개선하는 예시라 할 수 있다. 이 솔루션을 통해 개발자는 개별 소프트웨어에 대한 라이선스 정보를 손쉽게 확인 가능하며, 동시에 직접 개발한 소프트웨어의 라이선스 정보를 관리할 수 있다. 현재 아이즈 프로토콜은 국내 공공기관에서 사용하고 있는 오픈소스 라이선스 검증 소프트웨어어인 ‘포스가드(FOSSGuard)’의 방대한 기능을 블록체인화 하였으며, 이로써 오픈소스의 라이선스 검증 여부, 건전성, 정확성 등을 한눈에 파악하여 각종 피해를 방지할 수 있게 되었다.
상기 예시와 같이 블록체인은 오픈소스 활용의 안전성과 효율성을 동시에 높일 수 있는 가장 확실한 장치이다. 소프트웨어 업데이트나 패치적용 등 소스코드 변경 이슈 발생 시 변경된 정보를 블록체인에 공표하여 예상치 못한 추가 피해 또한 예방할 수 있다. 나아가 오픈소스로 만들어진 소프트웨어 소스코드 뿐 아니라 상표권, 디자인권 등 디지털 자산 전반의 블록체인을 통한 통합 관리가 가능하다. 이렇듯, 블록체인을 기반으로 한 오픈소스 통합 관리의 이점은 다수이며, 그 확장성 또한 무한한 바 업계의 적극적인 도입을 제언하는 바이다.
본 기고는 로이슈 편집방향과 다를 수 있습니다.
심준보 기자 sjb@rawissue.co.kr
소프트웨어 개발은 정밀기기 설계에 비할 만큼 복잡하다. 모바일, 냉장고, TV, 자동차 등 친근한 백색가전 또한 최소 열 개 이상의 서로 다른 소프트웨어들이 결합하여 작동된다. 각각의 소프트웨어 또한 수십, 수백가지의 개별 소프트웨어들의 집합체이며, 이 또한 수 많은 개발자들의 손을 거쳐 만들어진 결과물인 바, 총 개발 비용은 클 수밖에 없다. 이 과정에서 소요 비용은 줄이고 결과물의 완성도는 높일 수 있는 가장 좋은 방법은 무엇일까?
한편, 오픈소스라도 입맛에 따라 마음대로 활용하다가 법적 책임의 대상이 될 수 있는 점을 인지해야 한다. 특히 오픈소스 라이선스 위반 시 책임은 개발자가 아닌 최종 판매자에게 있다. 만약 소프트웨어 개발자나 중간 유통사가 라이선스 위반 여부를 숨겼다 하더라도 최종 판매자가 처벌의 대상임은 변함없다. 이 때문에 최종 판매자의 면밀한 검증은 필수 요소이다. 하지만 앞서 언급했듯 소프트웨어의 개발 과정은 매우 복잡하기 때문에 사용된 모든 오픈소스의 라이선스 위반 여부를 검수하는 일은 현실적으로 어렵다.
예컨대 최종 판매자가 식품의 생산 경로를 추적하여 원산지 허위 표기 여부를 확인하는 사례를 떠올릴 수 있으나, 이는 그 단계와 난이도 면에서 오픈소스 라이선스 검수 과정과 매우 상이하다. 소프트웨어 업계에서는 최근 약 10년 간 이러한 문제를 해결하기 위해 끊임없는 노력을 거듭해왔다. 이로써 등장한 개념이 바로 ‘SPDX(Software Package Data eXchange)’라 불리는 정보 교환 규격이다.
하지만 SPDX 또한 위변조에 취약한 단점이 있다.
상기 예시와 같이 블록체인은 오픈소스 활용의 안전성과 효율성을 동시에 높일 수 있는 가장 확실한 장치이다. 소프트웨어 업데이트나 패치적용 등 소스코드 변경 이슈 발생 시 변경된 정보를 블록체인에 공표하여 예상치 못한 추가 피해 또한 예방할 수 있다. 나아가 오픈소스로 만들어진 소프트웨어 소스코드 뿐 아니라 상표권, 디자인권 등 디지털 자산 전반의 블록체인을 통한 통합 관리가 가능하다. 이렇듯, 블록체인을 기반으로 한 오픈소스 통합 관리의 이점은 다수이며, 그 확장성 또한 무한한 바 업계의 적극적인 도입을 제언하는 바이다.
본 기고는 로이슈 편집방향과 다를 수 있습니다.
심준보 기자 sjb@rawissue.co.kr
<저작권자 © 로이슈, 무단 전재 및 재배포 금지>
메일: law@lawissue.co.kr 전화번호: 02-6925-0217