63. 소프트웨어 라이선스 컴플라이언스 (Software License Compliance)

핵심 인사이트 (3줄 요약)

본질: 소프트웨어 라이선스 컴플라이언스는 사용한 오픈소스와 상용 소프트웨어의 라이선스 의무를 지키는 관리 체계다.

가치: GPL, MIT, Apache 2.0 같은 라이선스는 허용 범위와 의무가 다르므로, 배포 전에 반드시 확인해야 한다.

판단: SBOM(Software Bill of Materials), 스캐너, 승인 절차를 묶어야 법적·운영적 리스크를 줄일 수 있다.

Ⅰ. 개요 및 필요성

라이선스는 "공짜로 쓸 수 있느냐"보다 "어떤 조건으로 쓸 수 있느냐"를 말한다. 오픈소스를 많이 쓸수록 코드는 편해지지만, 의무를 모르면 배포가 리스크가 된다.

컴플라이언스는 법무만의 일이 아니라 개발, 보안, 배포까지 연결된 운영 문제다. 그래서 라이선스는 소스코드 옆에서 끝나지 않고 공급망 전체를 따라간다.

📢 섹션 요약 비유: 빌린 장난감마다 "어떻게 쓰고 어떻게 돌려줘야 하는지" 규칙이 다르다.

Ⅱ. 아키텍처 및 핵심 원리

Source Code
  ↓
Dependencies
  ↓
License Scan
  ↓
Obligation Check
  ↓
Approval / Notice / Distribution

항목	의미	관리 포인트
Copyleft	파생 저작물에도 공개 의무가 이어짐	배포 조건 확인
Permissive	비교적 자유로운 사용	고지와 저작권 유지
Proprietary	사용 허가 범위가 좁음	계약 조건 준수

라이선스는 단순 문구가 아니라 배포·수정·재배포 시 행동 규칙이다. 따라서 라이선스 종류를 분류하고, 어떤 의무가 붙는지 자동으로 점검해야 한다.

📢 섹션 요약 비유: 대여 도서관 책은 집에 가져갈 수 있어도, 복사와 재배포 규칙은 책마다 다르다.

Ⅲ. 비교 및 연결

라이선스	특징	주요 의무
GPL	강한 Copyleft	소스 공개, 파생물 공개
LGPL	약한 Copyleft	라이브러리 결합 시 조건 완화
MIT	매우 관대	고지 유지
Apache 2.0	관대 + 특허 조항	고지, NOTICE 유지
BSD	관대	저작권 고지

도구/개념	역할
SBOM	사용 구성요소 목록화
SCA(Software Composition Analysis)	오픈소스 사용 추적
Notice File	배포 시 고지 정보
Policy Gate	배포 승인 차단

GPL과 MIT를 단순히 "엄격/느슨"으로만 보면 안 된다. 배포 모델과 파생물 공개 의무까지 같이 봐야 실제 위험을 판단할 수 있다.

📢 섹션 요약 비유: 같은 빌려쓰기라도 "읽기만 가능"한 것과 "복사도 가능한 것"은 규칙이 다르다.

Ⅳ. 실무 적용 및 기술사 판단

체크리스트

사용한 모든 오픈소스를 목록화했는가?
라이선스 의무를 SBOM으로 추적하는가?
배포 산출물에 Notice와 고지 문구가 포함되는가?
Copyleft 의무가 걸린 컴포넌트를 구분했는가?
승인 없이 외부 라이브러리가 들어오지 않게 막는가?

안티패턴

라이선스 검토 없이 dependency를 추가하는 설계
배포 직전에야 법무팀에 물어보는 설계
고지 파일을 빼먹고 재배포하는 설계
라이선스 차이를 "오픈소스니까 다 같다"로 보는 설계

기술사 관점에서는 라이선스를 법률 텍스트로만 보지 말고, 공급망 리스크 관리의 일부로 봐야 한다. 자동화와 승인 절차가 함께 있어야 실무가 유지된다.

📢 섹션 요약 비유: 규칙이 다른 장난감을 섞어 놓으면, 나중에 누구 것이었는지 헷갈리기 쉽다.

Ⅴ. 기대효과 및 결론

라이선스 컴플라이언스가 잘 되면 배포 중단과 법적 분쟁 위험이 줄고, 오픈소스를 더 안전하게 활용할 수 있다. 결국 좋은 컴플라이언스는 개발 속도를 늦추는 것이 아니라 예측 가능하게 만드는 것이다.

결론적으로 라이선스 관리는 "쓰지 말자"가 아니라 "알고 쓰자"다.

📢 섹션 요약 비유: 사용 규칙을 알고 빌리면, 빌린 물건을 안전하게 오래 쓸 수 있다.

어린이를 위한 3줄 비유 설명

빌린 장난감마다 돌려주는 방법이 달라요.
어떤 건 이름만 적으면 되고, 어떤 건 같이 공개해야 해요.
라이선스 컴플라이언스는 그 규칙을 지키는 일이에요.