5월, 2023의 블로그

개요

작년 미국의 국가 사이버 보안 강화 지침(2021년 5월)이 배포된 이후, 소프트웨어 산업의 다양한 채널에서 SBOM과 관련한 자문이나 회의가 생기고 있는 상황입니다. 

최근의 보안 위협은 공급망, 구축도구, 구축환경, 레파지토리등을 공격하는 추세가 많아지고 있는데 이 지침에서는 미국 연방정부가 사용하는 소프트웨어 공급망의 보안과 무결성을 개선하기 위한 조치를 지시하고 있습니다.

지침이 배포된 이후 미국 정부의 요청으로 미국의 90여개 소프트웨어 기업, 오픈소스 커뮤니티가 자문에 참여하여 의견을 제시히고, CISA, NTIA 에서는 이를 정리하여 SBOM 과 관련한 가이드라인 및 FAQ를 공개하였습니다.

• https://www.ntia.gov/SBOM

SOFTWARE BILL OF MATERIALS | National Telecommunications and Information Administration

A “Software Bill of Materials” (SBOM) is a nested inventory for software, a list of ingredients that make up software components. The following documents were drafted by stakeholders in an open and transparent process to address transparency around sof

www.ntia.gov

SBOM 이란?

SBOM 은 SOFTWARE BILL OF MATERIALS 의 약자로 소프트웨어의 구성 요소를 나타내는 메타데이터를 의미하는데 이를 보다 쉽게 설명하자면 우리가 흔히 볼 수 있는 다음과 같은 제품의 성분표기를 떠올리면 됩니다.

성분표기를 통해서 알러지가 있는 사람은 해당 식품을 피하기도 하고, 공급자는 제품의 우수성을 홍보하기도 하고, 크게 성분에 신경쓰지 않고 그냥 사용하는 사용자도 있을 수 있죠.

이와 유사하게, SBOM은 공급되는 소프트웨어의 구성 목록을 잘 표시해서 공급자와 사용자가 이를 기반으로 의사결정에 활용할 수 있는 환경을 조성하는 것을 목표로 하고 있습니다.

NTIA 에서 발표한 SBOM의 필수 구성요소는 다음과 같이 구성되어 있습니다.

• Supplier name
• Component name
• Version of the component
• Cryptograph hash of the component
• Any other unique identifier
• Dependency relationship
• Author of the SBOM data

이를 기반으로 작성한다면 다음과 같은 개념도로 표시할 수 있습니다.

National Telecommunications and Information Administration (NTIA) 에서는 오픈소스 소프트웨어나 상용 소프트웨어로 구분하지 않고 모든 공급되는 소프트웨어를 대상으로 광범위하게 적용할 수 있는 SBOM 적용을 위해 산업계의 여러 기업과 커뮤니티에 의견을 청취하고 이를 토대로 SBOM의 이해를 돕는 자료와 적용방법에 대하여 다양한 문서를 배포하고 있으니 아래 문서들을 참고하시기 바랍니다.

• SBOM at a Glance (2021)
• SBOM FAQ (2021)
• Framing Software Component Transparency: Establishing a Common Software Bill of Materials (SBOM) – (2021)
• SBOM Options and Decision Points (2021)
• Use Cases: Roles and Benefits for SBOM Across the Supply Chain (2019)

SPDX, OpenChain

이러한 소프트웨어 구성 목록을 기반으로 공급망의 투명성을 확보해야 한다는 필요성은 오픈소스 커뮤니티에서 10여년 전부터 논의되어 왔으며, 이를 해결하기 위해 실제 산업에서 SPDX와 OpenChain 이 많이 사용되고 있습니다.

• SPDX는 라이선스 컴플라이언스, 보안 등과 같은 문제를 다루면서 진화해서 현재는 시장에서 가장 성숙한 SBOM으로 자리잡고 있습니다. (https://www.linuxfoundation.org/blog/what-is-an-sbom/)
• 또한 오픈소스 라이선스 준수를 위한 ISO 국제표준(https://www.iso.org/standard/81039.html) 으로 오픈체인이 있으며, 이는 소프트웨어 공급망의 투명성을 강화하기 위하여 오픈소스 커뮤니티에서 고민하던 결과물입니다.

SBOM이 소프트웨어 보안의 모든 문제를 해결할 수는 없지만 보다 안전한 소프트웨어 사용에 필요한 기본을 제공하는 것은 분명히 필요한 일이며, 다양한 산업계의 의견을 토대로 만들어진 SBOM을 기반으로 소프트웨어 공급망의 투명성을 강화할 수 있는 미국의 이번 정책은 향후 IT 산업과 디지털 인프라의 소프트웨어 관리에 있어서 매우 중요하다고 생각됩니다.

오늘은 4차산업혁명에 대한 이해와 오픈소스는 어떤 역할을 하는지 생각해 보겠습니다.

마이클 포터 교수는 IT가 3번에 걸쳐 큰 변혁의 물결을 가져오고 있다고 이야기 합니다.

- 제 1 물결은 1960년대부터 70년대까지 주문처리나 경비지급, CAD, 생산관리 등 가치사슬의 개별활동을 자동화하면서 기존 수작업에 비해 비즈니스 생산성이 크게 향상.

- 제 2 물결은 1980년대 상용 인터넷이 탄생하고 90년대등러 고속 대용량화와 저가화가 진행되면서 인터넷을 통해 컴퓨터간 쉬운 연결이 가능.

- 제 3 물결은 최근에 나타나는 현상으로 제품에 센서와 프로세서, 소프트웨어, 연결 기능등이 내장되어 제품이 만들어 내는 데이터가 클라우드에서 수집, 분석되어 제품의 기능과 성능을 크게 향상.

이러한 제 3의 물결의 제품을 포터는 스마트 커넥티드 제품이라고 부르며 모니터링, 제어, 최적화, 자율성의 4단계로 구분되는 역량모델을 이야기합니다.

마이클 포터의 이러한 전망에 대해 PTC의 헤플만은 스마트 커넥티드 제품을 실현하기 위해서는 제품, 연결기능, 제품 클라우드, 보안기능, 외부 게이트웨이, 업무 시스템과 통합 등으로 구성된 새로운 기술 스택이 필요하다고 이야기 합니다.

제가 이해하고 있는 4차산업혁명은 온라인과 오프라인이 연결되는 온디멘드 서비스 유형에서 나아가, 모든것이 연결된 세상(IoT), IoT 로 수집되는 데이터의 CPS(Cyber-Physical System)에서 분석, 분석에서 나아가 기술과 사람의 의사결정력이 결합된 의사결정체계가 각 산업에서 분산을 통한 의사결정의 위임을 담당할때 성공적인 모습이라고 생각합니다. 따라서 많은 기업들이 자사의 제품 가치에 대한 높은 이해와 수집되는 데이터 분석기술에 대한 융합이 가능한 전문가를 요구하고 있으며 CDO(최고데이터책임자)를 둔 기업도 출현하고 있습니다.

IT 기업의 입장에서 보면 향후 4차산업혁명의 물결에 대응하기 위해서는 다양한 디바이스간의 연결이 가능한 기술(IoT framework, gateway, network protocol), 데이터를 수집하고 분석하는 기술(Bigdata analysis architecture, 분산파일시스템 응용기술), 데이터 기반 실시간 의사결정기술(AI, context decision making) 등이 중요하게 대두 될 것이라 생각됩니다.

현재 이러한 중요 기술들은 국내에서 원천기술을 확보하고 있는 경우가 거의 없으며, 대부분의 핵심기술은 오픈소스 프로젝트에서 제공됩니다. 따라서 앞으로는 시장에서 오픈소스를 활용한 기술개발이 더욱 심화될 것이고 기업에서 오픈소스 활용 거버넌스를 제대로 준비하고 않아서 발생되는 문제점도 커질 것입니다.  

때문에 향후 4차산업혁명의 성공을 위해서 조직은 오픈소스 기술에 대한 경험 축적과 함께 오픈소스 거버넌스의 조직 내 구축이 함께 되어야 할 것입니다

최근 개방형OS 키워드로 여러가지 보고서 작성이나 교육 또는 컨설팅을 하는 일이 종종 생기면서 국내의 개방형OS 생태계에 대한 생각을 여러번 하게 되었습니다. 이런 과정에서 국내의 경우 해외의 개방형OS 생태계와 차이점이 있는 상황이기 때문에 이 부분을 이해하고 적합한 행동을 해야 한다는 생각이 들었고 국내의 개방형OS 생태계를 도식화 하면서 작성한 내용을 공유합니다.

개방형OS 소프트웨어 아키텍처

개방형OS는 어떤 소프트웨어 아키텍처로 구성되는지 생각해보면, 기존의 비공개OS(Windows, MacOS)들은 특정 기업이 독자적으로 모든 소프트웨어 구성요소를 개발하여 배포하는 방식이지만, 개방형OS는 개별 오픈소스 프로젝트들을 컴포넌트로 사용하는 아키텍처로 구성됩니다.

개방형OS의 거버넌스 구조

이처럼 다양한 오픈소스 프로젝트들의 집합인 개방형 OS 생태계의 이해를 위해서는 우선 오픈소스 커뮤니티의 개발 방식과 오픈소스 커뮤니티의 참여자들이 어떻게 구성되는지 식별할 필요가 있습니다.

오픈소스 커뮤니티 개발 방식

개방형 OS와 같이 커뮤니티를 기반으로 형성되는 소프트웨어 개발에는 소프트웨어 릴리즈를 위한 활동을 중심으로 형성되는 개발자(오픈소스 프로젝트) 커뮤니티와 공개된 소프트웨어에 대한 테스트, 버그에 대한 피드백, 신규요구사항, 의견제시 등을 중심으로 형성되는 사용자 커뮤니티가 존재하며, 이 두 커뮤니티의 상호 작용으로 지속적인 발전을 도모할 수 있는 구조입니다.

오픈소스 커뮤니티 개발 방식

오픈소스 커뮤니티의 구성원

일반적으로 오픈소스 프로젝트의 커뮤니티 내 역할 카테고리를 설명하는 데 사용하는 모델은 월트 스카치(Walt Scacchi)와 예·K, 키시다의 양파 모델이 사용 되는데 이 모델은 커뮤니티에 투자를 많이 하고 가장 적극적인 역할은 가운데 있고, 양파 껍질 바깥쪽에서 일할수록 활동과 투자 수준이 줄어드는 특징이 있습니다.

오픈소스 커뮤니티 구성원의 역할

• 가장 중심에 있는 핵심 개발자는 프로젝트의 창시자 또는 핵심 개발자로 프로젝트의 최종 결정권을 보유합니다. 이 사람들은 대개 프로젝트에서 가장 경험이 많은 실력자이며 수는 많지 않지만, 이들은 모든 커뮤니티 멤버를 지도하거나 멘토링을 하는 사람들이며 이 사람들은 커뮤니티의 소스코드 주 저장소에 외부 참여자의 기여 결과물을 병합하도록 승인하는 커밋 비트 권한을 가지고 있으며 가장 큰 책임을 맡고 있습니다. 
• 커뮤니티 관리자는 커뮤니티가 외부 커뮤니티 또는 기업과 협력이 필요한 경우 핵심 개발자와 협의를 거쳐 필요한 의사결정과 실행을 담당합니다. 이 사람들은 프로젝트의 지속성을 담보하는 파트너들을 발굴하고 프로젝트가 다양한 분야에서 활용될 수 있도록 프로모션을 하는 등 비즈니스 관점에서 매우 중요한 역할을 합니다.
• 프로젝트 관리자는 커뮤니티 내부에 다수의 프로젝트가 있는 경우 각각의 프로젝트를 집중적으로 관리하는 사람들입니다. 리눅스 재단, 오픈스택재단, 아파치 재단 등 단일 프로젝트가 아닌 다수의 프로젝트가 활성화된 대규모의 오픈소스 커뮤니티는 개별 프로젝트의 관리를 집중할 수 있는 프로젝트 관리자를 통해 커뮤니티 참여자들과 소통하고 있습니다.
• 개발자는 일반적인 기여자로써 이 사람들은 프로젝트에 어느 정도 정기적인 기여를 제공하고 대부분의 토론에 꽤 활발하게 참여합니다. 다른 사람들이 한 기여를 검토하는 데 협력하기도 하며 신입 기여자들에게 멘토링을 제공하기도 합니다.
• 능동적 사용자는 프로젝트의 적극적 사용자들로 신입 기여자의 후보가 되는 그룹을 의미합니다. 프로젝트의 결과물을 주변에 적극적으로 홍보하며 자신도 항상 프로젝트 결과물을 사용하면서 발견한 버그를 공유하고, 이 중 일부는 일정한 시간과 연습을 거친 후 프로젝트의 신입 기여자가 됩니다. 일반 사용자의 질문에 대한 답변을 적극적으로 하며 사람들이 커뮤니티에 잘 정착할 수 있도록 지원하는 중요한 역할을 하게되며 이 사람들은 프로젝트에 도움이 되는 귀중한 피드백, 버그 보고, 기능에 대한 아이디어를 계속 제공하며 프로젝트를 지탱하는 가장 중요한 원동력입니다.
• 가장 바깥쪽의 계층은 수동적 사용자들로써 개발자나 사용자의 입장으로 적극적 참여는 하지 않지만, 프로젝트를 관심 있게 지켜보고 응원하는 사람들로 비정기적인 피드백을 제공하는 역할을 합니다.

개방형OS 생태계의 이해관계자

’글로벌 상용 소프트웨어 백서‘(과학기술정보통신부, 2017)에서는 국내 소프트웨어 산업 중 PC 운영체제의 생태계를 하드웨어 업체, PC운영체제, 애플리케이션, 클라우드 사업자, 소비자, 공개소프트웨어 커뮤니티의 구성요소로 제시한 바 있으며 공개소프트웨어 커뮤니티는 하드웨어 업체를 포함하여 모든 구성요소와 공헌 및 협업 관계를 유지하는 것으로 표현하고 있습니다. 이 구성을 최근 국내 개방형 OS 생태계에서 실제 참여하고 있는 구성원들을 중심으로 재구성하면 다음과 같이 구성할 수 있습니다.

국내 개방형OS 생태계

이 구성을 오픈소스 커뮤니티를 중심으로 개방형 OS 산업의 이해관계자 그룹으로 재구성하면 생산자 그룹, 공급자 그룹, 소비자 그룹으로 다음과 같이 간략하게 도식화할 수 있습니다.

개방형OS 생태계 이해관계자

• 생산자 그룹은 오픈소스 활동을 적극적으로 하는 오픈소스 기여자와 기여자가 속한 커뮤니티 또는 재단으로 자발적 기여자들과 해당 커뮤니티에 속한 기업의 재정적 지원을 통해 유지됩니다.
• 공급자 그룹은 해당 프로젝트를 중심으로 비즈니스 생태계를 조성하고 프로젝트 관련 제품개발, 교육이나 컨설팅 서비스, 기술지원 서비스 등을 공급하여 매출을 달성하고, 해당 커뮤니티와 협력관계를 유지하며 기술인력의 수급, 재정적 지원 등을 통해 참여합니다.
• 소비자 그룹은 무료로 배포되는 개방형 OS를 사용하는 일반 사용자와 커뮤니티 기반의 지식 채널을 이용하는 방식보다 향상된 지원을 받기 위해 유로 지원 서비스를 구독하는 개방형 OS 활용 조직으로 구성됩니다.

개방형OS 생태계의 시사점

(해외) 개방형 OS 부문에서 대표적인 우분투, 수세, 페도라 등 사용자들의 인지도가 높은 글로벌 개방형 OS의 생태계는 오픈소스 커뮤니티를 중심으로 다음과 같이 오픈소스 프로젝트의 커뮤니티가 구심점이 되어서 다양한 분야의 기업들이 참여하여 생태계를 이루고 있습니다.

해외 오픈소스 생태계의 구성

• 해외의 개방형 OS의 경우 가장 핵심이 되는 오픈소스 프로젝트의 커뮤니티를 중심으로 프로젝트를 이용하여 제품을 공급하는 공급사와 공급사의 하드웨어, 소프트웨어, 공급망, 기술지원 파트너사들이 참여하는 구조의 생태계를 구성하고 있습니다.
• 개방형OS 프로젝트의 활성화를 지원하는 프로젝트 파트너사와 다수의 개방형 OS 공급기업, 개방형 OS 기술지원기업이 참여하는 생태계를 구성하여 최종 사용자에게 커뮤니티 기반의 기술지원과 기업의 서브스크립션 기반의 기술지원이 제공되는 구조

(국내) 국내의 개방형OS 생태계는 오픈소스 커뮤니티가 중심이 된 구조가 아니라 개방형OS 공급사가 중심이 되어 사용자 커뮤니티가 최종 사용자의 기술지원 요구사항을 지원하는 구조로 지속성을 담보하는 주체가 커뮤니티가 아니라 개방형OS 공급사에 의존적인 구조입니다.

국내 개방형OS 생태계의 구성

• 물론 국내에도 개방형 OS 공급사의 파트너사와 프로젝트 파트너사도 존재하지만, 하드웨어, 교육, 기술지원 등의 파트너사의 수가 매우 적어서 해외 개방형 OS 프로젝트의 파트너사를 통한 지원의 수준과는 큰 차이가 있는 상황이며, 이처럼 개방형 OS 사용자가 증가할수록 특정 기업이 기술지원을 모두 해소해야 하는 전통적인 방식으로는 개방형 OS 산업에 적합하지 않은 생태계의 구조입니다.
• 이처럼 국내의 개방형 OS 생태계는 개방형 OS 프로젝트의 커뮤니티 중심이 아닌 개방형 OS 공급 기업을 중심으로 형성된 생태계이기 때문에 공급 기업의 오픈소스 커뮤니티 활성화 노력이 해외의 개방형 OS 공급사보다 더 많이 요구되는 상황입니다. 하지만 그럼에도 불구하고 실제 개방형 OS 커뮤니티를 활성화하기 위한 개방형 OS 관련 기업들의 인적, 물적 지원이 미비한 상황으로 안타까운 현실입니다.
• 또한 국내 개방형 OS 산업이 양질의 품질을 지속하기 위해서는, 현재 개방형 OS 소비자로서 강한 권리를 가진 공공 정보화 사업에서 발주자의 역할이 매우 중요한 영향을 미치게 됩니다.
• 따라서 정보화 사업 담당자는 개방형 OS 도입 사업의 사업자 평가 기준에 사업자의 개방형 OS 커뮤니티 참여 현황과 개방형 OS 프로젝트의 성숙도를 포함하여 평가하는 제도가 필요하며, 이러한 접근을 통해서 개방형 OS 생태계의 관련 기업들이 사업 수주를 위해서는 개방형 OS 커뮤니티의 참여를 유도하게 될 것이며, 그 결과 개방형 OS 프로젝트의 커뮤니티를 중심으로 개방형 OS 생태계를 조성하는 초석이 될 수 있을것입니다.

이번주에 지인분이 카카오톡으로 기사를 하나 보내왔습니다.
안드로이드와 데비안 리눅스가 윈도우 보다 보안에 더 취약하다는 기사였죠. 
결론부터 말씀드리면 이 기사는 잘못된 내용입니다.

http://www.ddaily.co.kr/news/article/?no=192840

보안성 높다는 오픈소스 OS, 취약점 1·2위··· 개방형 OS 괜찮나?

[디지털데일리 이종현기자] 지난 1월14일 마이크로소프트(OS)의 운영체제(OS) 윈도7의 기술지원서비스가 종료(EOS)됐다. 추후 정기적인 보안패치나 업데이트 등의 지원을 받지 못하게 됨에 따라 보안 공백이 우려됐다. 이에 정부는

www.ddaily.co.kr

오픈소스를 생업으로 하는 입장에서 작성된 이 기사를 보고 궁금해서 원문을 한번 찾아봤습니다.

이 기사에서 사용된 이미지의 원문은 아래 링크입니다.

https://thebestvpn.com/vulnerability-alerts/

Vulnerability Alerts | TheBestVPN.com

As we begin the new decade, you should be mindful that your online activity is being monitored. While federal agencies may claim to do it to protect Americans, big-name companies like Google, Apple, and Facebook financially benefit from putting consumer da

thebestvpn.com

이 인포그래픽의 문제는 제품군의 분류에 있습니다.

만약 안드로이드, 데비안, 우분투, 페도라 등을 하나의 제품으로 봤다면 비교의 대상은 전체 MS윈도우 군이어야 합니다.

Windows 3.1, Windows XP, Windows Vista, Windows 7, Windows 8.1, Windows RT 8.1, Windosw 10, Windows Server 2008, Windows Server 2011, Windows Server 2016, Windows Server 2019 등으로 구분한 이 제품들은 리눅스에서 보면 지난 20년간 릴리즈를 지속해 온 데비안 리눅스 전체와 비교되는 것이 맞습니다.

따라서 지난 20년간 데비안 리눅스가 3,067개의 취약점이 발견되었고, MS윈도우는 4,865개의 취약점이 발견된 것이죠. 
(그리고 MS윈도우의 4,865개 취약점이라는 숫자는 윈도우 3.1, XP 등의 보고서에 표기되지 않은 다른 버전을 제외한 수치입니다)

2019년 한 해동안의 취약점을 보면 안드로이드 414 건, 데비안 리눅스 360 건, MS윈도우 2286건, 우분투 190건, 페도라 184 건이 되겠네요.

Linux는 오픈 소스이지만 침입하기가 매우 어렵 기 때문에 다른 운영 체제와 비교할 때 매우 안전한 OS입니다.

Linux는 오픈 소스이며 강력한 사용자 커뮤니티를 가지고 있습니다. 전체 사용자 기반이 소스 코드에 액세스 할 수 있으므로 문제를 모니터링 할 수 있으며 해커가 대상보다 먼저 취약성을 발견 할 가능성이 높습니다. 하지만 Linux 사용자는 공개 소스이므로 문제를 조사하고 수정합니다. 이런 식으로 Linux는 개발자 커뮤니티로부터 상당한 수준의 유지 보수를받습니다.

이와 반대로 Windows 사용자는 소스 코드를 수정할 권한이 없으므로 스스로 문제를 해결할 수 없습니다. 시스템에서 취약점을 발견하면 Microsoft에보고 한 후 수정 될 때까지 기다려야합니다.

Windows에서 사용자는 계정에 대한 모든 관리자 액세스 권한을 갖습니다. 따라서 바이러스가 시스템을 공격하면 전체 시스템이 빠르게 손상됩니다. 따라서 Windows의 경우 모든 것이 위험합니다.

반면에 Linux는 사용자에게 제한된 액세스 권한이 부여되는 계정을 제공하므로 바이러스 공격의 경우 시스템의 일부만 손상됩니다. Linux는 기본적으로 루트로 실행되지 않으므로 바이러스가 전체 시스템에 영향을 미치지 않습니다.

Windows에는 액세스 권한을 제어하기위한 UAC (사용자 계정 컨트롤) 메커니즘이 있지만 Linux만큼 강력하지는 않습니다.

Linux는 IP 테이블을 사용하여 시스템의 보안을 강화합니다. IPtable은 Linux 커널 방화벽을 통해 시행되는 특정 규칙을 구성하여 네트워크 트래픽을 제어하는 ​​데 도움이됩니다. 이를 통해 명령을 실행하거나 네트워크에 액세스 할 수있는보다 안전한 환경을 만들 수 있습니다.

리눅스는 바이러스 공격으로부터 시스템을 보호하는 작업 환경을 세분화했습니다. 그러나 Windows OS는 세그먼트가 많지 않으므로 위협에 더 취약합니다.

아래의 관련 글들을 참고하세요.

https://www.softwaretestinghelp.com/linux-vs-windows/

Linux vs Windows Difference: Which Is The Best Operating System?

Difference Between Linux and Windows Operating Systems In Terms of Architecture, Performance, And Security: Both Linux and Windows are the well known operating systems. When we talk about comparing these two, we should first understand what an operating sy

www.softwaretestinghelp.com

https://hackr.io/blog/windows-vs-linux

Windows vs Linux: Which Operating System is The Best For You?

Windows vs Linux: While we discuss the pros and cons of both systems, we hope to deliver a fair review on specific criteria.

hackr.io

https://www.computerworld.com/article/3252823/why-linux-is-better-than-windows-or-macos-for-security.html

Why Linux is better than Windows or macOS for security

Decisions made years ago about which operating system to roll out can affect corporate security today. Of the big three in widespread use, one can credibly be called the most secure.

www.computerworld.com

4차 산업혁명 시대의 주도권 확보를 위한 교두보는 에듀테크 산업

- 에듀테크 분야는 전 세계 시장의 45%를 차지하는 세계 1위 산업 시장
- 미국 시장조사 업체 글로벌인더스트리애널리스츠(GIA)도 전 세계 에듀테크 시장 규모를 2017년 2200억달러(약 246조원)에서 2020년에는 4300억달러(약 481조원)까지 성장할 것으로 전망.
- 글로벌 선두 IT 기업은 에듀테크 산업의 주도권 확보 노력 중

이러한 추세를 입증하듯 글로벌 경쟁 국가들의 과감한 교육 혁신 도전이 이루어 지고 있습니다.

과거 1차, 2차 산업혁명을 통해 국가의 번영 경험이 있는 영국, 프랑스 미국 등의 국가들은 창의적 인재 육성을 위해 과감하고 다양한 교수학습 혁신 실험을 오래전부터 시도하고 있고, 작지만 우수한 성적을 보이고 있는 싱가포르, 에스토니아, 핀란드 등의 국가들 역시 미래 역량에 대한 사회적 공감대와 리더십을 기반으로 숨가쁘게 교육 혁신의 성공사례를 만들어내고 있습니다.

- 1987년 설립된 교육자치 실천 사례인 영국 샌즈스쿨, IT 기술 기반의 몬테소리 교육 형식을 도입한 네덜란드 스티브잡스 스쿨, 칸아카데미 플랫폼 기반 하에 운영 중인 실험 학교 칸랩스쿨, 기업가 정신 중심으로 교육과정을 운영하는 몬드라곤 대학, 토론 중심의 온라인 학습과 글로벌 7개국을 기반으로 실세계 프로젝트를 경험하는 미네르바 대학 등 혁신교육 등 다양한 사례가 있고 학교 밖에서도 학교 혁신을 지원하기 위해 프로젝트 학습 사례를 모으고 학교의 혁신을 지원하는 비아이이(BIE), 사회정서 학습 기반의 학교혁신을 지원하는 카셀(CASEL), 킥보드(Kickboard), 꺼꾸로 학습 모형을 확산하는 에프엘글로벌(Flglobal) 등의 비영리 조직들이 운영되고 있습니다.

빠르게 달라지는 교육 환경

한국의 미래교육에 대해 고민하는 여러분들과 의견을 나눌 기회가 있었습니다. 그 때 논의한 여러가지 에듀테크 시장과 관련한 변화를 알 수 있는 키워드를 한번 정리해보았습니다. 

세대 교체 - Generation Z

- 시각적 커뮤니케이션, 능동적 문제해결, 공유와 협업이 생활, 자기주도 학습, 글로벌 친화, e포트폴리오

IT기술을 융합하는 교수학습 설계모형 - Flipped Learning, Adaptive Learning

- 지식을 일방적으로 전달하는 방식이 아니라 자기 주도적 문제해결 능력을 강화할 수 있도록 교육 

수업이 게임이 되다 – Gamification

- 게임속에 있는 스토리, 다양한 미션, 재미 요소 등을 교육에 접목, 플레이어들 간에 자유로운 소통을 돕는 다양한 장치를 이용하여 학생과 교수 간 학습과정에서 서로의 생각을 나누며 성장시키는 과정이 있는 교육 가능

궁금하면 직접 하버드, MIT, 스탠퍼드 강의로 공부한다 – MOOC

- 온라인 공개 수업 수강생 간의 피드백, 상호 채점, 협동과제 - 온라인 퀴즈와 시험의 자동화된 채점 방식

에듀테크 산업의 플랫폼 전쟁

기술이 교육을 돕는 여러 분야 중 가장 두드러지는 현상은 학습자의 데이터를 기반으로 인공지능 기술을 적용하는 서비스가 급증하고 있으며 글로벌 Top3 공룡기업들은 모두 에듀테크 산업을 주도하기 위해 노력하고 있습니다.

우리나라의 경우 과거 이러닝 산업을 선도했으나 현재는 에듀테크 세계시장의 5% 미만 수준에 그치고 있는 현실이기에 향후 에듀테크 산업의 발전을 위해 다양한 노력이 중요하다고 생각됩니다. 우리나라가 에듀테크 산업을 선도하기 위해서는 기술을 활용하는 사람에 대한 부분도 필요하겠지만 기술을 사용할 수 있는 환경을 준비하는 것도 필수적이며 이를 위해서는 네트워크, 디바이스, 애플리케이션, 교육서비스플랫폼이 각각 준비되어야 합니다.

부문별 필요한 내용을 생각나는 대로 정리해보면 다음과 같습니다.

교육용 디바이스 부문

- 갤럭시탭, 아이패드, 노트북, 크롬북 등 다양한 디바이스가 존재하지만 점차 사용과 관리가 편한 기기로 시장이 집중되는 경향
- 가상 키보드 보다는 물리적 키보드가 있는 것이 다양한 활용 가능
- 클라우드 기반의 계정관리를 통한 사용자 데이터 복원
- 모든 데이터는 삭제하지 않는 한 보관이 영구적이며, 데이터 제한이 없는 저장소
- 화면잠금장치(Lock in mode)를 통해 현장 온라인 시험을 볼 수 있는 기능 
- 개별 학생의 앱(Applications)을 통제할 수 있는 교사의 통제권 
- 프로그램들은 더 이상 오프라인 기반 하드드라이브에 저장되는 것이 아닌 클라우드 링크로 바로 돌아가는 시스템. 

애플리케이션 및 소프트웨어 부문

- 클라우드 기반의 소프트웨어 제공이 쉬운 환경 조성
- 교육서비스를 제공하는 애플리케이션들이 디지털 교수도구들과 상호호환성을 보장해야 함
- 누구나 교육에 필요한 콘텐츠를 제작하고 관리할 수 있는 콘텐츠 관리도구의 공급 
- 블록체인 기술을 활용한 과정과 결과를 보존하는 e포트폴리오의 신뢰성 강화
- 인공지능 기술을 쉽게 활용할 수 있는 클라우드 기반의 SDK 또는 OPEN API
- 교사의 업무를 자동화 기술로 지원하는 소프트웨어 또는 서비스
- Edge AI 기술적용이 가능한 애플리케이션

교육 서비스 플랫폼 부문

- 누구나 참여할 수 있는 개방형 교육 플랫폼 생태계 필요
- 애플, 마이크로소프트 등 메이저 회사부터 중소 에듀테크 앱까지 자체 생태계로 영역을 확장·지속하려 해 왔으며 지나치게 폐쇄적인 생태계와 디지털 독과점을 자행
- 클라우드 시대에서 더 이상의 시장 확장과 지속성 유지를 힘들게 하고 있음
- 종국에는 사용자들 스스로 기존의 오프라인 툴과 연계성이 너무나 불편하다는 것을 자연스레 알게 되어 기기 뿐만 아니라 플랫폼까지도 갈아타는 중.
- UI(사용자환경) 측면에서 동시성과 연계성을 지녀야 그 범용성은 인정되고 편리한 사용 가능
- 인공지능이 활약하기 위해서는 더욱 편리하고 쉽게 빅데이터를 가용할 수 있는 플랫폼의 주도가 필요

모임에서 사용한 발표자료에 보다 상세한 내용이 있으니 아래 링크를 참고하세요

https://www.slideshare.net/chaeya/os-187603296

4차산업혁명이라는 단어가 정치, 마케팅, 기술 등 분야를 가리지 않고 확산되면서 국가 전체의 화두가 되어있습니다. 그러다보니 여러부처의 지원사업들이 4차산업혁명을 동반하고 쏟아지고 있죠.

4차산업혁명에서 활용가눙한 공개SW 기술이 다양하게 존재하는 덕분에, 여러 지원사업에서 공개SW라는 단어를 종종 만나게 되고, 요몇일동안은 공개SW R&D 추진전략에 대한 의견을 전달하게 되었습니다. 

다들 연구개발 지원사업을 오랫동안 해 온 전문가들 이지만, 공개SW R&D의 유형은 일반적인 연구개발의 유형과는 다른 특징을 가지게 되고 준비해야하는 내용도 다를 수 밖에 없습니다. 이번에 의견을 전달하면서 달라진 연구개발의 요구사항에도 불구하고 사업계획을 준비할 수 있는 기초 정보가 부족해서 많은 분들이 어려움을 겪는 것을 알게 되었고 그 과정에서 자료를 좀 정리해야할 필요성을 느끼게 되어서 새 글을 작성합니다.

https://www.slideshare.net/AhmadRb/iem2014-foss

일단 정부의 지원사업에서 공개SW R&D를 한다는 취지를 생각해보면, 1) 사업을 수행하는 동안 기존의 인하우스 개발방식이 아닌 참여와 공유를 통한 공개SW 개발방식을 경험하면서 공개SW 기술의 역량이 축적되고 2) 열심히 노력한 사업의 결과물을 공개SW로 누구나 사용할 수 있게 배포함으로서 산업 활성화에 기여하는 것을 기대하는 것이라 생각합니다.

먼저 지원사업을 발주하는 입장에서는 사업의 선정지표에 공개SW R&D에 대한 준비가 가능한 평가항목을 좀 더 구체화해야 할 것 같습니다. 단순히 '공개SW R&D에 대한 추진방안' 정도로 표현하면 공개SW R&D 사업의 경험이 없이 사업을 준비하는 입장에서는 의도를 파악하기가 어렵습니다. 따라서 어떤 지원자가 참여하면 좋을지 생각하고 있는 의도를 표현할 수 있도록 보다 구체적인 서술을 포함하는 것이 좋겠습니다. (공개SW에 대한 이해, 공개SW R&D 환경, 결과물의 공개SW 라이선스와 배포 방안, 공개SW R&D 관련 경험 등)

뿐만 아니라, 사업의 결과 평가 시점에서도 공개SW로 배포될 결과물에 대하여 평가할 항목을 선정하여 공개SW로 배포되는 사업결과물의 활용을 극대화 하려는 노력이 필요해 보입니다. 공개SW는 특성상 공개SW 커뮤니티를 통하여 배포되고 성장하기 때문에 다운로드수, 홈페이지 방문자수 같은 수치가 아닌 여러가지 공개SW 고유의 지표들을 이용할 수 있고, 공개SW 자체에 대한 성숙도 평가를 하고자 하는 시도 역시 Qualipso OMM, OpenBRR, QSOS, 공개SW 성숙도 및 적용성 평가지침 등이 존재합니다. 따라서 사업의 평가 시점에도 이를 반영하기 위한 노력이 필요하다고 생각됩니다.

또한 사업을 지원하는 입장에서는 어떠한 공개SW R&D 방식을 사용할지, 개발환경은 어떻게 준비할지, 개발과정에서 외부의 참여를 받아들일 준비는 어떠한지, 커뮤니티화 운영을 할때 필요한 거버넌스는 준비되어 있는지, 배포할 결과물에 대한 라이선스 관리전략은 무엇인지 등의 고민을 사전에 해보고, 특허나 기술이전으로 실적을 이야기하던 방식에서 벗어나 공개SW의 특성을 반영한 활용방안과 비즈니스 가능성을 고민하여 제시하는 노력이 필요합니다.

공개SW산업에서 일을 하는 입장에서 보면, 기존의 정부지원사업에서 혁신을 가져온 공개SW R&D 방식 시행되는 것을 대단하게 생각하고 있습니다. 여러가지 부정적인 결과들을 예상할 수 도 있지만, 그 또한 변화의 긍정적인 신호라고 생각합니다. 어찌되었던 이런 좋은 의도의 지원사업을 통해 많은 사람들이 쉽게 기술에 접근해서 아이디어를 구현해보기 좋은 세상이 되었으면 좋겠네요.

전통적으로 기술 혁신은 내부 연구개발(R&D) 투입, 규모의 경제, 자체 내부의 우수 인적자원의 확보 및 효율적 활용 등으로 이루어져 왔습니다. 이말은 아이디어의 발굴에서 기초 연구, 제품 개발, 사업화에 이르는 모든 기술 혁신 과정을 기업 내부에서 독자적으로 수행하는 것을 의미하는 것입니다.

하지만 기술의 복잡성 증대, 경제의 글로벌화, 제품 수요의 다양화 등 국내·외 경제 환경의 급격한 변화는 기업의 기술 혁신 활동에 상당한 변화를 요구하고 있으며 이러한 기술 혁신의 패러다임 변화와 맞물려, 기술 혁신 과정에서 외부의 혁신 주체들과 협력하는 방식이 확대됨에 따라, 전 세계적으로 개방형 혁신 활동이 급속히 확산되고 있습니다.

이처럼 개방형 혁신 활동의 필요성이 증가하고 국내에서도 정부지원금을 제공받는 다양한 연구개발 사업에서 오픈소스SW 개발방식의 과제 수행을 요구하는 경우가 많아지고 있지만, 개방형 혁신 연구개발(이하 오픈 R&D)을 수행하려는 수행 기관들은 자신에게 필요한 오픈 R&D 평가 지표와 체계적인 관리 모델들의 부재로 인한 혼란이 가중되고 있습니다.

한국정보통신기술협회의 공개소프트웨어 프로젝트 그룹에서는 조직이 오픈 R&D를 수행하는 수행 기관이 외부의 참여자와 함께 개방형 혁신 활동의 관리를 할 수 있는 연구개발 능력 부문에서 현재의 역량 상태를 평가하고, 목표 수준을 설정하여 개선의 우선순위를 설정하기 위한 기준을 제시하고 있으므로 이 모델을 활용하면 오픈 R&D를 수행하는 조직이 다른 조직과의 오픈 R&D 수행 역량 성숙도 수준을 비교할 수 있습니다.

개방형 혁신 연구개발 역량 성숙도 모델

PDF 다운로드 : ::: TTA표준화 위원회 :::

오픈소스 연구개발 역량 성숙도 모델

이 표준은 오픈 R&D를 수행하는 수행 기관이 외부의 참여자와 개방형 혁신 활동의 관리를 할 수 있는 연구개발 능력 수준을 개선하기 위해 필요한 성숙도 모델을 위해 7개의 도메인(비즈니스 전략, 정책 및 조직, 프로젝트 평가, 공급망 관리, 커뮤니티, 개발 환경, 성과 관리) 관점에서 5 등급의 역량 성숙도 등급으로 측정할 수 있는 기준을 제공합니다.

오픈 R&D를 수행하는 수행 기관이 외부의 참여자와 개방형 혁신 활동의 관리를 할 수 있는 연구개발 능력 수준을 개선하기 위해 필요한 성숙도 모델을 정의하고, 역량 성숙도 등급(Capability Maturity Level), 성숙도 모델 프로세스가 적용되는 도메인(Domain), 도메인별 세부 등급 기준으로 구성되어 있습니다.

평가 수준은 획일적으로 적용하는 것이 아니라 조직의 정책에 의해 적합하게 결정될 수 있으며, 이 표준에서는 5 등급의 성숙도 등급을 제시합니다.

평가 모델은 다음과 같이 7개의 평가 도메인으로 구성되며 각 도메인은 개방형 혁신 연구개발 활동들로 구성된 논리적 그룹, 조직의 성숙도를 평가하기 위해 서로 독립적인 활동 등 관행의 집합이며 각 관행은 조직이 오픈 R&D를 수행하기 위한 활동을 의미합니다.

조직은 평가를 위한 도메인을 결정하고 선정한 도메인에 대하여 다음과 같은 5 등급의 성숙도 수준을 평가하게 되는데, 개방형 혁신 연구개발 역량 성숙도 평가를 위하여 단일 도메인을 평가하는 공식은 평가 도메인 내 오픈 R&D를 수행하기 위한 활동들에 대하여 조직이 설정한 중요도(가중치)를 할당하여 가중 산술 평균값을 합산하여 등급 기준에 따라 평가합니다.
 

평가를 위하여 다수의 도메인을 평가하는 공식은 다음과 같이 평가 도메인들에 대하여 조직이 설정한 중요도(가중치)를 할당하여 가중 산술 평균값을 합산하여 최종 등급 기준을 평가할 수 있습니다.

기본적으로 평가대상 도메인들에 대한 가중 산술 평균값을 5 단계 척도로 구분하여 식별하여 적용할 수 있습니다.

각 도메인의 세부 평가 기준은 별도 문서를 참고하시기 바랍니다.