ISO/IEC 42001 가이드

오픈소스 관점에서 ISO/IEC 42001 AI 관리 시스템 표준을 풀어 설명하는 가이드다. AI 시스템 개발·운영에서 오픈소스 컴플라이언스와 교차하는 핵심 요구사항을 다룬다.
Tags:
Categories:

이 가이드는 오픈소스 담당자 관점에서 ISO/IEC 42001(AI Management System)의 요구사항 중 오픈소스 관리와 교차하는 핵심 항목을 풀어서 설명한다. AI 시스템에서 오픈소스 프레임워크, 사전 훈련 모델, 학습 데이터셋을 사용할 때 무엇을 준수해야 하는지, AI SBOM은 어떻게 구성하는지 실무 중심으로 안내한다.

Author : OpenChain Korea Work Group / CC BY 4.0

ISO/IEC 42001이란?

ISO/IEC 42001:2023은 조직이 AI 시스템을 책임감 있고 투명하게 개발·운영·관리하기 위한 AI 관리 시스템(AIMS, AI Management System) 국제 표준이다.

항목내용
정식 명칭ISO/IEC 42001:2023 Information technology — Artificial intelligence — Management system
제정 기관ISO/IEC JTC 1/SC 42 (인공지능)
제정 연도2023
표준 계열ISO 경영 시스템 표준 (ISO 9001, ISO 27001과 동일 구조)
적용 대상AI 제품·서비스를 개발, 제공, 사용하는 모든 조직

이 가이드의 포지셔닝

ISO/IEC 42001 준수 확인 방법

ISO 42001은 OpenChain처럼 공식 자가 인증 체크리스트를 제공하지 않는다. 조직은 다음 세 가지 방법으로 준수 여부를 확인하거나 선언할 수 있다.

방법 1. 자체 갭 분석 (Self-assessment)

조직이 내부적으로 ISO 42001의 각 조항(“shall” 요구사항)을 검토하여 현재 수준을 평가하고 개선 계획을 수립한다. 비용이 없으며 이 가이드의 체크포인트를 활용할 수 있다.

방법 2. 제2자 심사 (Second-party assessment)

고객사 또는 파트너사가 직접 조직의 AI 관리 시스템을 평가한다. 공급망 신뢰 구축 목적에 활용된다.

방법 3. 제3자 인증 (Third-party certification)

BSI, TÜV SÜD 등 ISO 인증기관이 심사하여 공식 ISO 42001 인증서를 발급한다. ISO 27001 인증과 동일한 방식으로 운영된다.

가이드 구성

이 가이드는 ISO/IEC 42001의 §4–§10 구조를 따르되, 오픈소스 교차점이 있는 섹션을 중심으로 구성한다.

섹션ISO 42001 조항오픈소스 교차점
표준 비교ISO 5230·18974·42001 관계
1. 조직 맥락과 리더십§4·§5AI 정책에 OSS 원칙 포함
2. 기획§6AI 리스크 평가, OSS 라이선스·취약점 리스크
3. 지원§7AI OSS 역량, AI SBOM 문서화
4. 운영§8OSS 프레임워크·데이터셋·공급망
AI 시스템의 오픈소스 관리§8.5·§8.6OSS 라이선스 컴플라이언스
AI SBOM§7.5·§8.5AI SBOM 구성 및 유지
AI 공급망 검증§8.8외부 OSS 모델 조달 검증
5. 성과 평가와 개선§9·§10OSS 컴플라이언스 지표

AI Work Group과의 연계

OpenChain Korea Work Group의 AI Work Group은 AI SBOM 컴플라이언스 가이드를 개발하고 있다. 이 가이드의 AI SBOM 섹션은 AI Work Group의 산출물과 연계된다.

약어 표

약어영문의미
AIMSAI Management SystemAI 관리 시스템 (ISO/IEC 42001의 핵심 개념)
AI SBOMAI System Bill of MaterialsAI 시스템 구성 요소 목록 (모델·데이터셋·프레임워크)
ML-BOMMachine Learning Bill of MaterialsCycloneDX 1.6의 ML 모델 SBOM 형식
AI ProfileSPDX 3.0 AI ProfileSPDX 3.0의 AIPackage 클래스 기반 AI SBOM 명세
GPAIGeneral-Purpose AIEU AI Act §53의 범용 AI 모델 분류
OSAIDOpen Source AI DefinitionOSI(2024-10)의 오픈소스 AI 정의
MAUMonthly Active Users월 활성 사용자 수 (Llama 라이선스 임계치 등)
CRAEU Cyber Resilience ActEU 사이버 복원력법 (2024-12 발효)
NIS 2Network and Information Security Directive 2EU 네트워크 정보 보안 지침 (2024-10 시행)
EO 14028US Executive Order 14028미국 사이버보안 개선 행정명령 (2021-05)
DPOData Protection Officer데이터 보호 책임자 (개인정보보호법)
EPSSExploit Prediction Scoring System익스플로잇 예측 점수 (FIRST.org)
KEVKnown Exploited Vulnerabilities실제 악용된 취약점 카탈로그 (CISA)

라이선스 표기 통일 (가이드 전반):

  • Llama 3.x → “Meta Llama 3.x Community License”
  • Gemma → “Gemma Terms of Use”
  • Falcon → “Falcon License” (TII Falcon LLM License)
  • 표준 SPDX 라이선스는 SPDX ID 사용 (예: Apache-2.0, MIT, BSD-3-Clause)
ISO 5230 · 18974 · 42001 비교

ISO/IEC 5230(라이선스 컴플라이언스), ISO/IEC 18974(보안 보증), ISO/IEC 42001(AI 관리 시스템) 세 표준의 목적, 구조, 오픈소스 관련성을 비교한다.

1. 조직 맥락과 리더십

ISO/IEC 42001 §4(조직 맥락)와 §5(리더십) 요구사항 중 오픈소스 관리와 교차하는 내용을 설명한다. AI 정책에 오픈소스 사용 원칙을 포함하는 방법을 안내한다.

2. 기획

ISO/IEC 42001 §6(기획) 요구사항 중 오픈소스 관리와 교차하는 내용을 설명한다. AI 리스크 평가와 AI 시스템 영향 평가에 오픈소스 라이선스·취약점 리스크를 포함하는 방법을 안내한다.

3. 지원

ISO/IEC 42001 §7(지원) 요구사항 중 오픈소스 관리와 교차하는 내용을 설명한다. AI 오픈소스 관리 역량 수립과 AI SBOM 문서화 방법을 안내한다.

4. 운영

ISO/IEC 42001 §8(운영) 요구사항 중 오픈소스 관리와 교차하는 내용을 개괄한다. AI 시스템 생애주기에서의 오픈소스 컴플라이언스, AI SBOM, AI 공급망 검증을 다루는 세부 페이지로 안내한다.

5. 성과 평가와 개선

ISO/IEC 42001 §9(성과 평가)와 §10(개선) 요구사항 중 오픈소스 관리와 교차하는 내용을 설명한다. 오픈소스 컴플라이언스 지표를 AI 관리 시스템의 성과 지표와 통합하는 방법을 안내한다.

최종 수정 2026년 5일 12월: feat(guide): Phase 2 AI 컴플라이언스 보강 + Phase 5 iso42001 통일 (8a96a9270)