[기고] CJ그룹, 오픈소스 생태계에 참여하다

1. 개요

CJ그룹은 대한민국을 대표하는 글로벌 라이프스타일 기업으로, 식품, 엔터테인먼트, 물류, 생명공학 등 4대 사업군을 중심으로 전 세계에 다양한 제품과 서비스를 제공하고 있다.

오픈소스는 IT 경쟁력을 유지하기 위한 필수적 도구로 자리 잡고 있으며, CJ그룹도 빠르게 변화하는 IT 환경에 대응하기 위해 그룹 내 다양한 사업군에 오픈소스가 포함된 IT/ DT 기술을 접목하고 있다.

CJ그룹의 모든 사업군은 오픈소스가 포함된 IT 기술을 통해 새로운 비즈니스 모델을 구축하고, 이를 바탕으로 더욱 혁신적인 서비스를 제공하고 있다. 예를 들어, OTT 플랫폼인 티빙(TVING)은 오픈소스 기술을 활용해 스트리밍 서비스와 콘텐츠 제작의 혁신을 이루고 있다.

본 기고문을 통해 전통적인 IT 기업이 아닌 CJ그룹의 오픈소스 생태계 참여 과정과 그 의미를 소개하고자 한다.

2. 도입 배경

CJ그룹은 전통적인 의미에서 IT 기업으로 분류되지는 않지만, IT 기술을 활용하여 각 사업 부문에서 혁신을 이루고, 효율성을 높이며, 새로운 가치를 창출하고 있다. 따라서 CJ그룹은 IT 기술을 각 사업 부문의 성장과 효율성 향상을 위한 도구로 활용하는 기업이라고 할 수 있다.

티빙의 컨텐츠 제작, 스트리밍 서비스, CGV의 극장 운영에 IT 기술이 중요한 역할을 하고 있고, CJ대한통운은 첨단 물류 시스템과 IT솔루션을 통해 물류, 유통의 효율성을 극대화하고 있다. 또한 CJ 올리브영, CJ온스타일, CJ더마켓 등 다양한 온라인 플랫폼을 운영하고 있다.

결국, CJ그룹도 IT 기업이고, 오픈소스 컴플라이언스 체계 구축을 통해 관련 리스크를 관리하고, 안정적이고 안전한 오픈소스 사용을 보장할 필요가 있었다.

3. 오픈소스 주요 리스크와 관리의 필요성

오픈소스를 사용하는 기업이 마주할 수 있는 컴플라이언스 리스크는 다음과 같다.

첫 번째, 운영상의 리스크로 기업이 오픈소스를 관리하지 않고 사용할 경우 직접적인 SW 품질 저하나 SBOM 관리 문제 등 각종 운영상 리스크에 노출될 수 있다.

두번째, 계약 위반과 저작권 침해 리스크가 있다. 오픈소스는 공개되어 누구나 사용할 수 있지만, 그 안에는 저작권과 라이선스 의무가 포함되어 있다. 따라서 이를 준수하지 않으면 기업은 저작권 침해, 법적 분쟁, 막대한 손해배상 청구에 직면할 수 있다. 최근 듀얼 라이선스 정책을 갖는 SW 기업들이 국내 기업들에게 오픈소스 사용 위반을 이유로 경고장을 보내고, 제대로 된 대응 능력을 갖추지 못한 기업들이 울며 겨자 먹기 식으로 상용 라이선스 계약을 체결하는 사례들이 증가하고 있다.

세번째, 영업비밀/특허 관련 리스크가 있다. 오픈소스 라이선스 종류에 따라 소스코드 전체가 공개되어 영업비밀이 노출되거나, 보유하고 있는 특허권의 행사가 제한되는 상황에 처할 수도 있다.

마지막으로 보안상 리스크가 있다. 오픈소스 소프트웨어는 공개된 코드이기 때문에, 이를 악용해 해킹이나 보안 공격이 이루어질 경우 막대한 피해로 이어지고, 평소에 오픈소스 목록을 관리하지 않은 기업의 경우 취약점 파악에 많은 시간이 걸려 피해 복구가 어려울 수 있다. 대표적인 사례가 국가와 기업 전반의 IT 시스템에 큰 피해를 준 것으로 알려진 Log4j 사건이다.

최근 오픈소스 사용이 폭발적으로 증가하고 SW 공격 기법이 고도화되면서 SW 공급망 보안 위험이 가중되고 있고, 전 세계 주요국들은 이를 대응하기 위해 다양한 정책들을 추진하고 있다. 미국은 의료기기 SBOM(Software Bill of Materials) 제출을 의무화하고 있고, EU는 디지털 기기의 SBOM 제출을 의무화하는 사이버복원력법을 제정 추진 중이며, 일본은 의료/자동차/SW 분야에 SBOM 실증 사업을 진행 중이다. 우리나라도 ’24년 5월에 SW 공급망 보안 가이드라인을 발표하여 SBOM의 필요성을 강조한 바 있다. 이제 기업들이 SBOM 관리를 소홀히 하게 되면 사업 추진이 어려워지고 보안 문제 등을 해결하는 데 더 많은 시간과 비용이 소요될 수 있다.

4. CJ그룹의 오픈소스 컴플라이언스 체계 구축 과정

새로운 업무 프로세스를 구축하고 시스템을 도입하기 위해서는 여러 가지 고려해야 할 사항들이 많지만, 그 중에서도 1)명확한 목표 설정, 2)이해관계자의 참여와 커뮤니케이션, 3)기술적 준비가 중요하다.

목표를 설정함에 있어 넘어야 할 첫 번째 단계는 경영진의 지지를 확보하는 것이었다. 기업 경영진들에게는 생소한 개념인 ‘오픈소스’에, 추상적인 개념인 ‘컴플라이언스’를 더하여 체계 구축을 하겠다는 것은 그 자체로 접근이 쉽지 않은 주제로, 먼저 경영진에게 친숙한 개념인 ‘리스크’ 관점에서 오픈소스 사용이 가져올 수 있는 법적·보안적 리스크를 구체적 사례를 들어 정확하게 전달하고, 이를 통해 리스크 관리의 중요성을 강조하여 경영진의 공감을 이끌어낼 수 있었다.

두번째 단계는, 유관부서인 IT와 보안 관련 부서의 참여를 이끌어내는 것이었다. 참여를 유도한 핵심 포인트는 명분, 베네핏, 리스크 3가지였다. 오픈소스 컴플라이언스 구축이라는 명분에는 모두가 공감하였고, 베네핏은 해당 업무가 가지는 중요성과 업무 성과의 공유를 강조했으며, 리스크는 해당 업무를 챙기지 않을 경우 향후 각 유관 부서에 발생할 수 있는 일들에 대해 구체적으로 설명하고 설득을 했다. 결국 이를 바탕으로 CJ그룹은 각 계열사의 법무, IT, 보안부서 간 협력 체계를 구축하고 오픈소스 컴플라이언스 협의체를 구성할 수 있었다.

마지막으로, CJ그룹은 외부컨설팅과 CJ올리브네트웍스와의 협업을 통해 오픈소스 관리시스템을 구축하고 업무 프로세스를 수립할 수 있었다. 이 시스템을 통해 현재 그룹의 주요 계열사들은 오픈소스 사용 시 사전 검증, 소스코드 검증, 바이너리 검증 등의 절차를 체계적으로 관리하고 있다.

5. 오픈소스 조직, 사용 기준과 검증 프로세스

CJ 그룹의 오픈소스 조직에 대해 설명하면 다음과 같다.

각 사별 기준으로, IT부서가 OSPM(Open Source Program Manager)를 담당하여 오픈소스 검증 업무를 수행하고 사용 현황을 관리한다. 법무 부서는 법률 자문과 라이선스 이슈 대응을 하고, 보안 부서는 보안 조치 이행과 이슈 대응을 담당한다. 지주사에 구성된 그룹 협의체는 그룹 오픈소스 관리 규정을 해석/변경/개정하고 오픈소스 관리시스템을 운영 관리한다. 또한, 그룹 협의체는 그룹 차원에서의 업무 진행과 이슈 대응을 위한 협의 기구로도 활용하고 있다.

또한, CJ그룹은 오픈소스 소프트웨어 사용 시 5단계 사용 기준을 마련하여 이를 기반으로 체계적인 검증 프로세스를 운영하고 있다. 이 기준은 각 오픈소스 라이선스의 의무 사항을 준수하도록 설계되었으며, 그룹 내 모든 계열사가 이를 따르고 있다.

오픈소스 검증 프로세스는 크게 사전 검증, 소스 코드 검증, 의무 사항 이행 조치로 구성된다. 개발 계획 수립 단계에서 사용하려는 오픈소스의 적합성을 검토하고, 시스템 개발 및 테스트 단계에서 소스 코드를 점검하며, 마지막으로 제품 출시 단계에서 라이선스 의무를 충족했는지 확인한다. 이러한 과정은 각 단계에서 발생할 수 있는 법적·보안적 문제를 사전에 방지하고, 소프트웨어 품질을 보장하는 데 기여한다.

특히, CJ그룹은 SBOM을 적극적으로 활용하여 오픈소스 사용 내역을 체계적으로 관리하고 있다. SBOM은 소프트웨어 제품에 포함된 모든 오픈소스 컴포넌트의 목록을 제공하며, 각 컴포넌트의 라이선스와 보안 취약점 정보를 포함한다. 이를 통해 소프트웨어 공급망에서 발생할 수 있는 보안 문제를 사전에 해결할 수 있다.

6. 향후 계획: 오픈소스 생태계 기여와 국제 표준 인증

소프트웨어정책연구소의 2023년 보고서에 따르면, 제조, 금융, 서비스 등 모든 산업에서 SW 도입과 활용이 지속적으로 증가하고 있다. 자율주행차, 핀테크, O2O 서비스, IoT 및 클라우드 서비스 등이 SW와 융합하여 새로운 혁신을 만들어가고 있다.

2024년 시놉시스 자료에 따르면, 17개 산업 분야의 소프트웨어 중 96%가 오픈소스를 활용하고 있으며, 이들 소프트웨어의 77%가 오픈소스 코드로 구성되어 있다. 이는 대부분의 산업에서 오픈소스의 중요성이 얼마나 큰지 보여주는 지표이다. 예를 들어, CJ그룹의 다양한 사업군과 관련성이 높은 물류, 모바일앱, 제조, 이커머스, 미디어, AI 분야에서도 대부분 오픈소스를 사용하고 있다.

특히 미디어 분야와 물류 분야는 오픈소스 협력이 활발하게 이루어지고 있는 분야이다.

넷플릭스, 디즈니, 드림웍스와 같은 많은 미디어 기업들이 오픈소스 프로젝트에 적극적으로 기여하고 있으며, 영화예술과학 아카데미와 리눅스 재단이 공동 설립한 비영리 단체인 The Academy Software Foundation(ASWF)가 영화, TV, 애니메이션, 시각 효과 분야의 오픈소스 프로젝트를 주도하고 있다.

엔비디아, 아마존, DHL과 같은 물류/IT기업들도 오픈소스 프로젝트에 기여하며 물류 산업의 혁신을 촉진하고 있으며, 리눅스 재단, open logistics foundation 등에서 다양한 프로젝트를 통해 각종 도구들을 개발하고 있다.

이러한 경향에 발맞추어 CJ그룹도 다양한 분야에서 오픈소스를 활용하고 있다.

이처럼 오픈소스를 활용하고 있는 CJ그룹은 오픈소스 생태계에서 다양한 역할을 할 수 있다. 그룹사에서 직접 오픈소스를 개발하거나, 직접적인 기여를 하는 단계는 아니지만, 광범위한 산업 분야에서 널리 오픈소스를 활용하고, 관련 컴플라이언스 정책을 수립, 시행함으로써 당사와 거래관계에 있는 SW인프라 공급자들에게까지 오픈소스 컴플라이언스가 확산되는 결과를 가져올 수 있다.

또한, CJ그룹은 ISO/IEC 5230과 같은 국제 표준 인증을 획득하여, 오픈소스 관리의 투명성과 신뢰성을 더욱 높일 계획이다. 이러한 인증을 통해 글로벌 기업으로서의 책임을 다하고, 국제 시장에서도 신뢰받는 오픈소스 관리 체계를 구축할 예정이다.

7. 맺음말

오픈소스 컴플라이언스를 시작할 때 많은 기업들이 "누가 해야 할지" 고민하는 경우가 많다. 특히, 전통적인 IT 기업이 아닌 경우 더 막막할 수 있다. 오픈소스는 IT, 보안, 법무 부서 간의 협업이 필수적이며, 한 분야의 전문가만으로는 완전한 관리를 할 수 없다. 각 분야의 담당자들이 서로 커뮤니케이션하며 업무 프로세스를 만들어가는 것이 중요하다.

오픈소스 업무는 전문성 부족을 두려워할 필요가 없다. 중요한 것은 적극성과 협업 능력이다. 변호사나 IT 전문가들도 오픈소스의 리스크와 라이선스를 이해하는 것이 중요하며, 이를 통해 기업 내에서 오픈소스 전문가로 성장할 수 있는 기회를 마련할 수 있다. 앞으로 더 많은 사내변호사님들이 기업 내에서 오픈소스 전문가로 활동하고, 많은 IT전문가, 보안 전문가분들께서도 법적, 기술적, 운영적 측면에서 매우 중요한 역할을 하는 오픈소스를 활용하여 회사 내 오픈소스 프로그램 오피스 책임자(OSPM), 준법감시인, CIO/CTO/CISO 등 리더로 성장할 수 있는 발판으로 삼으셨으면 하는 바람이다.

※ Reference

• 소프트웨어정책연구소 2023년 소프트웨어산업 연간보고서
• 2024 Open Source Security and Risk Analysis Report
• [기획기사] 물류로봇시장 속 오픈소스- 공개SW 포털(oss.kr)
• [SPRi 연구보고서RE-144] 글로벌 오픈소스 기술 생태계 분석 연구