3.1 정책

1. 조항 개요

AI SBOM 정책이 없는 조직은 개발자가 모델과 데이터셋의 라이선스 의무를 인지하지 못한 채 AI 시스템을 배포하게 된다. AI에서는 추적할 대상이 코드를 넘어선다. 모델 가중치, 학습 데이터셋, 다른 모델에서 파생된 모델 트리가 각자 고유한 라이선스를 가지며, Llama 커뮤니티 라이선스나 RAIL 계열처럼 사용 목적을 제한하는 비표준 라이선스도 흔하다. 이런 의무를 놓치면 저작권 분쟁, 사용 제한 위반, 거래처 계약 해지로 이어진다.

3.1은 이 위험을 예방하기 위해 AI SBOM 컴플라이언스를 관리하는 문서화된 정책을 수립하고, 프로그램 참여자가 그 존재를 인식하도록 전파할 것을 요구한다. 이 정책은 사업 전략, 관할 구역의 법적 요구사항, 사용 사례에 맞는 위험 수준을 반영해야 한다. 이후 모든 조항(역량, 라이선스 의무, AI SBOM, 거버넌스 등)은 이 정책 위에서 작동한다.

2. 해야 할 활동

• AI SBOM 컴플라이언스를 관리하는 정책 문서를 작성하고 공식화한다.
• 정책에 적용 범위(외부 배포 AI 시스템, 외부 모델·데이터셋 도입, 사내 모델 공개 등)를 정의한다.
• 정책에 사업 전략, 관할 구역의 법적 요구사항, 사용 사례별 위험 수준을 반영한다.
• 모델과 데이터셋에 허용하거나 금지하는 라이선스 목록을 정책에 포함한다. ([본 가이드 권고] 비표준 라이선스의 준수를 사후에 자동 추적하기 어려우므로 도입 시점에 정책으로 결정한다.)
• 프로그램 참여자(개발, 법무, 보안, 데이터 담당 등)에게 정책을 전파하는 절차를 수립하고 문서화한다.
• 전파 사실을 증명할 기록(교육 이수, 공지 이력 등)을 보관한다.
• 정기적으로 정책을 검토하고 변경 시 재전파하는 절차를 정책에 포함한다.

3. 요구사항 및 입증자료

4. 입증자료별 준수 방법 및 샘플

3.1.1 문서화된 AI SBOM 정책

준수 방법

AI SBOM 정책은 조직이 AI 시스템의 라이선스와 투명성 의무를 관리하기 위한 원칙과 절차를 담은 공식 문서다. 정책에는 목적, 적용 범위, 역할과 책임, 모델과 데이터셋의 라이선스 검토 원칙, AI SBOM 관리, 투명성 의무 대응, 검토 주기 등이 포함되어야 한다. 이 문서 자체가 입증자료 3.1.1이므로 버전과 승인 이력을 기록해 공식 문서로 관리한다.

기존에 ISO/IEC 5230 오픈소스 정책을 갖춘 조직이라면 새 정책을 따로 만들기보다 기존 정책에 AI 관련 절을 더하는 편이 효율적이다. 모델과 데이터셋이 라이선스 검토 대상에 포함된다는 점, 비표준 라이선스를 어떻게 다루는지, AI SBOM을 어떤 형식으로 관리하는지를 추가한다.

정책은 한 번 수립하고 방치하는 문서가 아니다. AI 규제 환경이 빠르게 바뀌므로 최소 연 1회 정기 검토를 실시하고 변경 이력을 기록한다.

고려사항

• AI 고유 범위 명시: 코드뿐 아니라 모델 가중치, 학습·테스트·검증 데이터셋, 모델 트리의 파생 관계가 라이선스 검토 대상임을 정책에 분명히 적는다.
• 라이선스 허용·금지 목록: 상업적 사용 가부와 행동 사용 제한을 기준으로 모델과 데이터셋의 라이선스를 허용 목록과 금지 목록으로 나눠 정책에 선반영한다. ([본 가이드 권고])
• 승인 절차: 법무팀 또는 AI 거버넌스 책임자가 최종 승인하고, 승인 날짜와 승인자를 기록한다.
• 버전 관리: 문서 버전과 변경 이력을 유지해 감사 시 이전 버전과 비교할 수 있게 한다.
• 정기 검토: 연 1회 이상 검토하며, 검토 완료 날짜와 검토자를 기록한다.

샘플

아래는 AI SBOM 정책의 적용 범위와 라이선스 허용·금지 목록 샘플이다. 이 텍스트가 입증자료 3.1.1의 핵심 구성 요소가 된다. 라이선스별 실제 조건은 각 라이선스 원문으로 확인한 뒤 조직의 사용 사례에 맞춰 분류한다.

## 1. 목적 및 적용 범위

이 정책은 회사가 AI 시스템을 안전하고 책임 있게 개발·배포하기 위한 컴플라이언스 원칙과
절차를 정의한다. ISO/IEC 5230(오픈소스 라이선스 컴플라이언스)과 OpenChain AI SBOM
컴플라이언스 가이드의 요구사항을 충족하도록 설계되었다.

적용 범위:
- 외부로 배포하는 모든 AI 시스템, 모델, 서비스.
- 외부에서 도입하는 사전학습 모델과 데이터셋.
- 사내 모델을 외부에 공개하는 활동.

## 2. 모델·데이터셋 라이선스 분류

도입하는 모델과 데이터셋의 라이선스는 아래 분류에 따라 검토한다. 분류에 없는
라이선스는 도입 전 AI 거버넌스 책임자의 검토를 거친다.

- 허용(상업적 사용 가능, 행동 제한 없음): Apache-2.0, MIT, BSD, CC-BY-4.0 등
- 조건부 허용(검토 후 사용): Llama 커뮤니티 라이선스, Gemma 사용 약관,
  OpenRAIL 계열 등 사용 목적·규모 제한이 있는 라이선스
- 금지(비상업 한정 등): CC-BY-NC 데이터셋을 상업 제품에 사용하는 경우 등

3.1.2 정책 인지 절차

준수 방법

정책 문서를 작성하는 것만으로는 부족하다. 프로그램 참여자가 정책의 존재를 실제로 인식하도록 전파 절차를 수립하고 문서화해야 한다. 이 전파 절차 문서 자체가 입증자료 3.1.2다. AI 시스템은 개발자뿐 아니라 데이터 담당, 법무, 보안이 함께 관여하므로, 이들 모두에게 정책이 닿도록 채널을 설계한다.

신규 입사자에게는 온보딩에 AI SBOM 정책 안내를 포함하고, 기존 직원에게는 사내 위키 게시와 이메일 공지를 활용한다. 전파 사실을 증명하기 위해 공지 이력, 교육 이수 기록 등의 증거를 최소 3년간 보관한다.

고려사항

• 복수 채널 활용: 사내 위키, 이메일 공지, 온보딩 교육 등 둘 이상의 채널을 활용한다.
• AI 관여 직무 포함: 데이터셋 담당자와 모델 운영자도 전파 대상에 포함한다.
• 정책 변경 시: 변경 사항을 참여자에게 즉시 공지하는 별도 절차를 둔다.
• 증거 보관: 공지 이력과 교육 이수 확인서를 최소 3년간 보관한다.

샘플

아래는 정책 전파 공지 이메일 샘플이다. 전송 이력을 보관하면 입증자료 3.1.2의 증거가 된다.

제목: [AI 컴플라이언스] AI SBOM 정책 안내 및 숙지 요청

수신: AI 시스템 개발·운영·데이터 관련 임직원
발신: AI 컴플라이언스 담당자

안녕하세요.

당사의 AI SBOM 컴플라이언스 정책이 제정(또는 개정)되었습니다.
AI 모델과 데이터셋을 사용, 도입, 또는 배포하는 업무에 관여하는 모든 임직원은
아래 정책 문서를 확인하고 숙지해 주시기 바랍니다.

- 정책 문서: [사내 포털 링크]
- 주요 내용: 모델·데이터셋 라이선스 분류, 라이선스 의무 검토 절차,
             AI SBOM 관리, 투명성 의무 대응
- 정책 버전: v1.0 (시행일: YYYY-MM-DD)

문의: AI 컴플라이언스 담당자(ai-compliance@company.com)

5. 참고

• 라이선스 의무 검토 절차: 3.5 라이선스 의무
• 오픈소스 정책의 기본 구조: ISO/IEC 5230 준수 가이드 — 3.1.1 정책
• AI 라이선스 관리 전략: 기업 오픈소스 관리 가이드 — AI 컴플라이언스