"오픈소스, AI혁신 가속화 핵심동력이자 산업 필수 인프라"

"오픈소스 취약점과 라이선스 리스크 등 시장 우려를 해소하는 해결사 역할을 하고 싶습니다. 단순히 리스크를 관리하는 데 그치지 않고, 협회가 중심이 돼 AI를 비롯한 연관 산업으로 외연 확장을 이끌어내 국내 소프트웨어 산업 전반의 발전에 기여하고 싶습니다."

장일수 한국오픈소스협회장은 15일 지디넷코리아와 인터뷰에서 이 같은 포부를 밝혔다. 장 회장은 지난달 27일 열린 협회 정기총회에서 17대 신임 협회장에 선출됐다. 시큐어코딩 전문기업 스패로우 대표이기도 한 그는 오픈소스 거버넌스 및 공급망 보안 전문가다.

장 회장은 취임사에서 "협회 대표 행사인 ‘K-오픈소스X'를 ‘K-오픈소스 AX’로 확대, 단순 행사를 넘어 AI 시대 오픈소스 혁신을 선도하는 플랫폼으로 발전시키겠다”면서 "오픈소스를 산업 전반의 전략 자산으로 자리매김시키고 기업과 공공 영역의 전략적 활용을 지원하기 위해 정책과 교육, 산업 협력을 강화해 나가겠다”고 밝힌 바 있다. 아래는 장일수 협회장과 인터뷰 일문일답

-한국오픈소스협회(KOSSA)는 어떤 단체인가

"우리 협회는 1999년 진대제 전 삼성전자 대표를 초대회장으로 모시고 리눅스 관련 기업들이 설립한 리눅스협의회가 모태다. 이후 다양해진 오픈소스에 대응, 2006년 한국공개소프트웨어협회로 활동영역을 넓혔고, 2025년 현재의 한국오픈소스협회로 명칭을 변경했다. 2026년 현재 150여 개 오픈소스 하드웨어, 소프트웨어 기업들이 회원으로 활동하고 있다. 지난 20여 년간 국내 오픈소스 확산과 산업발전에 기여해 왔고, 글로벌 오픈소스 협단체와 협력도 선도하고 있다."

-그동안의 협회 활동 중 국내 SW산업 발전에 기여한 것이나, 상징적인 것 몇 가지만 말해준다면

"우리 협회는 대한민국 오픈소스 역사를 이끌어 왔다. 1999~2010년까지는 오픈소스를 국내에 소개하고 확산시켜 왔고, 이후 2011~2020년까지는 조달공급 체계 도입 등 제도개선, 오픈소스 개발자대회 및 기업지원 과제를 통한 산업 발전을 선도했다. 2020년 부터는 AI반도체 등 오픈소스 하드웨어 분야 확대와 오픈소스 공급망 관리 체계 등 한국이 주도하는 글로벌 오픈소스 리더십을 강화하고 있다."

-취임식때 협회 대표 행사인 ‘K-오픈소스X'를 ‘K-오픈소스 AX’로 확대하겠다고 했다. 또 단순 행사를 넘어 AI 시대 오픈소스 혁신을 선도하는 플랫폼으로 발전시키겠다고 했는데...

"그동안 협회는 오픈소스 기업과 기술을 알리는 행사를 꾸준히, 지속적으로 해왔다. 코로나19에 따른 공백기 이후 보다 진취적이고 다양한 분야의 산업 리더십을 위해 한국이 주도하는 여러 분야의 우수 기업과 기술을 소개하는 ‘K-오픈소스X’라는 행사를 2024년부터 시작했다.

올해가 3회로 10월에 개최한다. 올해부터는 AI와의 적극적인 연결을 모색하는 ‘K-오픈소스AX’ 행사로 발전시켜 나갈 계획이다. 이를 위해 AI반도체부터 모델, 응용서비스, 수요자를 연결하는 다양한 기업, 기관들을 직접 만나고 협력하겠다. AI와 오픈소스 연결을 한 자리에서 확인할 수 있는 행사로 준비하겠다."

-오픈소스를 산업 전반의 전략 자산으로 자리매김 시킬 뿐 아니라 기업과 공공 영역의 전략적 활용을 지원하기 위해 정책과 교육, 산업 협력을 강화해 나가겠다고도 했다. 구체적인 실행 계획이 궁금하다

"협회는 올해부터 ‘One & only KOSSA’라는 AI와 오픈소스를 연결시키는 서비스 브랜드를 시작한다. AI 서비스와 도입, 정부정책 제언, 공급기업과 수요기업, 교육과 수요자를 잇는 ‘연결자(Connector)' 역할을 할 예정이다. 이를 위해 협회의 상근조직과 분야별 전문가, 글로벌 협력체로 구성된 실무체계를 이미 구성했다.

전문가가 설명해 주는 컨설팅과 다르게 수요-공급을 연결, 오픈소스AX를 확장하는 비즈니스 판을 만들고자 한다. 협회는 이미 AI반도체부터 국방, 벤처창업, 저작권 분야 등 다양한 사업 경험을 통해 이를 비즈니스 실전에서 확산할 수 있는 역량을 갖췄다."

장일수 스패로우 대표. 지난달 27일 열린 한국오픈소스협회 총회에서 17대 회장에 선출됐다.

-정부가 주요 정책으로 삼는 것 중 하나가 소프트웨어 공급망인 S봄(SBOM)이다. 협회가 S봄 거버넌스 전략 수립과 인재 양성을 추진하겠다고 했다. 또 기술 공유와 기업 협력 모델을 체계화, 오픈소스를 대한민국 AI 경쟁력을 견인하는 핵심 인프라로 정착시켜 나가겠다고 했는데

"2026년 1월 22일부터 시행한 'AI 기본법'은 국가 차원의 거버넌스를 정립함과 동시에 인공지능 사업자에게 투명성과 안정성 확보라는 법적 의무를 부과했다. 고영향 AI나 생성형 AI를 제공할 때 영향평가를 수행하고 결과물에 대한 표시 의무를 준수해야 하는 등 이제 AI 거버넌스 구축은 선택이 아닌 필수 과제가 됐다.

정부가 기업 혼란을 최소화하고, 현장에서 충분히 준비할 시간을 제공하기위해 최소 1년 이상의 유예 기간을 둔 만큼, 협회는 이 기간을 실질적인 AI 거버넌스 구축 체계를 제시하는 골든타임으로 활용하려 한다. 기업이나 기관이 AI기획부터 개발, 운영 전 단계에 걸쳐 발생할 수 있는 잠재 리스크를 선제적으로 관리하고, 또 사전고지와 표시 요건을 준수할 수 있게 지원해 안전하고 책임 있는 AI 활용 문화 확산에 기여하겠다.

동시에 S봄(SBOM) 중심의 SW 공급망 투명성 확보 체계가 확산될 수 있도록 정책·교육·산업 협력을 강화하겠다. 오픈소스 비중이 높은 AI 개발 환경에서 S봄을 통해 구성 요소를 투명하게 관리하는 것은 AI 기본법이 요구하는 안정성 확보를 위해 가장 강력한 기술 수단이자 공급망 보안의 필수 요건이다. SW 공급망 전 과정에서 구성요소와 변경 이력을 체계적으로 관리하는 거버넌스를 정착, 오픈소스 취약점 관리가 일회성이 아니라 일상적인 보안 운영으로 자리 잡도록 앞장서겠다.

현재 협회는 60여 개 대학과 교육협력을 하고 있고, 국방분야서는 전군 AI 및 SW 교육, 오픈소스 라이선스, 거버넌스 교육, 기업 실무자 오픈소스 비즈니스 교육 등 다양한 인재양성을 시행하고 있다. 특히 2007년부터 시행하고 있는 ‘오픈소스 개발자대회’는 올해 20주년을 맞아 많은 오픈소스 기업들과 협력하며 오픈소스 인재 등용문으로 발전해 왔다."

-AI시대를 맞아 오픈소스 역할이 커지고 중요해졌다. 실제, 중국의 경우 미국 LLM에 대항하는 한 축으로 오픈소스를 적극 활용하고 있다. AI시대의 오픈소스 역할에 대해 말해준다면

"최근 소프트웨어정책연구소(SPRi)에서 발표한 ‘오픈소스AI 개념 및 글로벌 오프소스 모델 동향’ 보고서에 따르면, 기업의 89%가 AI 개발 과정에서 오픈소스 기술을 활용하고 있고, 63%는 오픈소스 모델을 사용하고 있는 것으로 나타났다. 이는 오픈소스가 AI 혁신을 가속화하는 핵심 동력이자 산업의 필수 인프라로 자리잡았음을 잘 보여준다.

AI 시대에 오픈소스 가치가 더욱 주목받는 이유는 AI 모델과 기술이 공유되고 확산될 수 있는 생태계를 마련하기 때문이다. 폐쇄 모델과 달리 오픈소스는 누구나 최첨단 AI 기술에 접근하고 이를 각 산업 특성에 맞춰 최적화할 수 있는 기회를 제공한다. 특히 허깅페이스(Hugging Face)와 같은 글로벌 플랫폼을 통해 수많은 AI 모델이 공유되면서, 기업들은 막대한 비용과 시간을 들여 기초 모델을 직접 개발하지 않고도 효율적으로 AI 전환(AX)을 이룰 수 있게 됐다.

하지만 오픈소스는 보안 리스크와 관리 복잡성이라는 양면성도 안고 있다. 악의적 코드 삽입 가능성, 오픈소스 AI 모델에 잠재된 취약점은 물론, 데이터 학습 과정에서의 저작권 및 라이선스 위반 문제도 존재한다. 특히, 기업이 어떤 모델을 어디에 사용하고 있는지 명확히 파악하지 못하는 '가시성 부재'는 규제 대응과 보안 관리에 치명적인 걸림돌이다.

이에, AI 시대의 오픈소스 역할은 신뢰 기반의 안전한 혁신을 담보하는 것에 있다고 본다. 공개와 공유, 협력이라는 오픈소스의 본질적 가치를 바탕으로, AI 모델을 비롯한 구성요소를 정확히 식별하고 관리할 수 있는 체계를 정착시켜 누구나 안전하게 오픈소스를 활용할 수 있는 생태계를 만들어야 한다."

-지적한 것 처럼 오픈소스는 리스크도 내포하고 있다. 생성형 AI 기반 개발 환경에서 보안 리스크(취약한 코드 제안으로 공급망 공격 가능성 등)와 오픈소스 AI 모델의 보안 위협, 상업적 활용 과정에서 발생할 수 있는 라이선스 위반 등 이런 이슈에 어떻게 대처해야 할까

"오픈소스 리스크의 대표적인 사례는 세계 최대 AI 개발 플랫폼 허깅페이스(Hugging Face)에서 악성코드가 포함된 오픈소스 AI 모델이 100여개 발견된 사건이다. 이 사건은 2024년 2월 말~3월 초에 공개됐는데, 소프트웨어 공급망 보안 기업 J프로그(JFrog)의 보안 연구팀이 조사하면서 발견했다. 당시 이 연구팀은 허깅페이스에 올라온 파이토치(PyTorch)와 텐서플로(TensorFlow) 기반 모델을 분석하던 중 약 100개의 모델에 악성 코드 기능이 포함된 사실을 확인한 바 있다.

평상시에는 정상적으로 동작하지만, 공격자가 설정한 특정 조건이 충족되면 오동작을 유발하거나 정보 유출 등의 악성 행위를 수행하도록 설계된 이른바 ‘AI 백도어’로 각별한 주의가 필요하다.

또 작년 말 발생한 ‘리액트 서버 컴포넌트(React Server Components)’ 취약점 역시 대중적으로 널리 쓰이는 구성요소의 취약점이 수많은 서비스에 동시에 영향을 줄 수 있다는 점에서 공급망 보안의 중요성을 다시 한번 환기시켰다.

뿐만 아니라 생성형 AI를 활용한 개발 방식은 새로운 형태의 보안 위협을 양산하고 있다. AI 코딩 도구 확산으로 개발 생산성은 높아졌지만, AI가 생성한 코드에서 입력값 검증 누락이나 하드코딩 같은 취약점이 발견되면서 보안 위협이 커지는 ‘AI 패러독스’ 현상이 나타나고 있다.

여기에 상업적 활용 과정에서 발생할 수 있는 오픈소스 라이선스 위반 리스크까지 고려한다면, 이제는 AI 결과물에 대한 체계적인 검증이 필수다. 하지만 이러한 리스크 때문에 AI를 활용한 혁신의 기회를 포기하거나 위축할 필요는 없다. MCP(Model Context Protocol)와 같은 프로토콜을 도입해 기술적으로 가드레일을 세운다면 보안 리스크를 충분히 통제할 수 있다. 대처의 핵심은 우리가 무엇을 쓰고 있는지 명확히 아는 식별에 있다.

최근에는 오픈소스 구성 요소는 물론 기업 내부에서 활용 중인 AI 모델까지 실시간으로 식별하고 보안 취약점과 라이선스 정보를 제공해 주는 전문 도구들이 매우 성숙해져 있다. 이러한 서비스를 적극적으로 활용해 가시성을 확보하고 거버넌스 체계를 구축한다면 안전하고 효과적인 방식으로 오픈소스와 AI 가치를 극대화할 수 있다."

-AI시대를 맞아 오픈소스를 안전하게 활용하는 게 중요한 시점인데, 애플리케이션 보안과 SW 공급망 보안 전문 기업인 스패로우 대표가 협회장에 취임한 것도 상징적 의미가 있는 듯 하다

"오픈소스 활용이 생산성을 높이는 매우 확실한 방법임은 확실하다. 그러나 활용이 늘어나는 만큼 그 이면에 도사린 보안 리스크와 관리 부재에 대한 우려 목소리 또한 커지고 있는 것이 시장의 현실이다. 이러한 중차대한 시기에 애플리케이션과 소프트웨어 공급망 보안 분야에서 전문성을 쌓아온 제가 협회장직을 맡게 된 것은 국내 산업 전반의 보안 성숙도를 한 단계 끌어올려야 한다는 시장의 요구와 책임을 반영한 것이라 생각한다.

그간의 실무적 식견을 바탕으로 오픈소스는 물론 소프트웨어 자체의 취약점을 근본적으로 최소화, 기업이 안심하고 고품질의 소프트웨어를 개발할 수 있는 환경을 만들고자 한다. 나아가 AI·SBOM 거버넌스 전략 수립과 기술 공유, 기업 간 협력 모델 체계화를 통해 오픈소스를 대한민국 AI 경쟁력을 견인하는 핵심 인프라로 정착시켜 나가고 싶다.

협회장으로서 포부 또한 분명하다. 임기 동안 오픈소스 관리의 기술적 장벽을 낮추고 실질적인 가이드라인을 정립, 리스크에 대한 막연한 두려움 때문에 혁신이 지체되는 일이 없도록 하겠다. 보안을 혁신의 걸림돌이 아닌 성장을 가속화하는 핵심 동력으로 재정의함으로써, 국내 기업들이 오픈소스와 AI를 한층 더 활발히 활용하고 글로벌 경쟁력을 확보할 수 있도록 든든한 조력자 역할을 다하겠다."

-협회장 이전에 기업의 대표인데, 올해 스패로우의 경영 목표와 이슈는

"스패로우는 국내 애플리케이션 및 공급망 보안 시장의 리더로 그간 쌓아온 기술력을 바탕으로 선도적 지위를 더욱 공고히 할 것이다. 해외는 이미 안정적으로 진입한 일본 시장을 필두로 동남아 지역에서 확실한 성과를 만드는 데 집중한다. 올해는 전년 대비 30% 이상 매출 성장을 목표로 하고 있으며, 영업이익률도 극대화해 상장(IPO)을 성공적으로 추진하겠다.

이를 위한 구체적인 실행 과제로 애플리케이션 보안 테스팅 통합 솔루션인 'Sparrow Enterprise'를 고도화하고, SBOM을 안전하게 공유하고 관리하는 'Sparrow SecureHub'를 강화하겠다. 또 두 제품을 연계해 소프트웨어 개발 전 과정과 공급망 전 단계에서의 보안 가시성을 확보하고 실효성 있는 대응 체계를 구축할 수 있게 지원할 예정이다."

-마지막으로, 어떤 협회장으로 기억되고 싶은가

"수십 년간 오픈소스 분야에서 헌신하며 활동해 오신 전문가들이 많다. 그분들이 협회장을 역임하며 쏟아주신 노력 덕분에, 이제 국내 오픈소스 활용은 보편적인 단계를 지나 양적·질적으로 모두 성숙한 궤도에 올랐다고 생각한다.