1. 조직 맥락과 리더십
ISO/IEC 42001 §4(조직 맥락)와 §5(리더십) 요구사항 중 오픈소스 관리와 교차하는 내용을 설명한다. AI 정책에 오픈소스 사용 원칙을 포함하는 방법을 안내한다.
Categories:
1. 개요
ISO/IEC 42001 §4와 §5는 AI 관리 시스템의 기반이다. 조직이 어떤 AI 시스템을 운영하는지, 이해관계자가 누구인지, 최고경영진이 어떤 원칙으로 AI를 관리할지를 결정한다.
오픈소스 담당자 관점에서 §5.2(AI 정책)가 가장 중요한 교차점이다. AI 정책에 오픈소스 사용에 관한 원칙을 포함하면 ISO 5230 정책과 통합 운영이 가능하다.
2. §4 조직 맥락 — 오픈소스 관련 고려사항
§4.1 조직과 조직 맥락 이해
AI 관리 시스템의 목적에 영향을 미치는 내·외부 이슈를 파악할 때, 오픈소스 관련 외부 이슈를 포함한다:
- 오픈소스 AI 모델의 라이선스 정책 변화 (예: Llama 라이선스 조건 변경)
- 국내외 AI 관련 규제 및 오픈소스 의무 공개 요구
- AI 공급망에서의 오픈소스 컴포넌트 보안 취약점 리스크
§4.3 AI 관리 시스템 범위 결정
AI 관리 시스템의 범위를 정의할 때, 오픈소스를 활용하는 AI 시스템과 프로세스를 명시적으로 포함한다.
체크포인트:
- AI 관리 시스템 범위 문서에 오픈소스 프레임워크·모델·데이터셋을 활용하는 AI 시스템이 포함되어 있는가?
- 오픈소스 라이선스 관련 외부 이슈가 조직 맥락 분석에 포함되어 있는가?
3. §5.2 AI 정책 — 오픈소스 원칙 포함 ★
ISO/IEC 42001은 조직이 AI 정책을 수립할 것을 요구한다. 오픈소스 컴플라이언스 관점에서 AI 정책에 다음 내용을 포함하면 ISO 5230 정책과 일관성을 유지할 수 있다.
AI 정책에 추가할 오픈소스 관련 원칙
## AI 시스템에서의 오픈소스 사용 원칙
본 조직은 AI 시스템 개발 및 운영에 오픈소스를 사용할 때 다음 원칙을 준수한다.
1. **라이선스 컴플라이언스**
AI 시스템에 사용하는 모든 오픈소스 프레임워크, 사전 훈련 모델, 학습 데이터셋의
라이선스 조건을 검토하고 이행한다.
2. **AI SBOM 관리**
AI 시스템을 구성하는 오픈소스 컴포넌트(프레임워크, 모델, 데이터셋)를
AI SBOM으로 문서화하고 최신 상태로 유지한다.
3. **보안 취약점 관리**
AI 시스템에 사용된 오픈소스 컴포넌트의 보안 취약점을 주기적으로 점검하고
식별된 취약점에 신속히 대응한다.
4. **공급망 검증**
외부에서 조달하는 오픈소스 AI 모델 및 AI 서비스의 구성 요소와 라이선스를 확인한다.
기존 오픈소스 정책과의 통합
ISO/IEC 5230 정책과 통합 방법
기업이 이미 ISO/IEC 5230 기반의 오픈소스 정책을 운영 중이라면, AI 정책의 오픈소스 원칙을 별도로 작성하지 않고 기존 오픈소스 정책에 AI 섹션을 추가하는 방식으로 통합 운영할 수 있다.
- ISO 5230 정책 수립 방법: 기업 오픈소스 관리 가이드 — 2. 정책
- 오픈소스 정책 템플릿: Templates — 오픈소스 정책
체크포인트:
- AI 정책 또는 오픈소스 정책에 AI 시스템 오픈소스 사용 원칙이 포함되어 있는가?
- AI 정책이 최고경영진의 승인을 받고 조직 내부에 전파되어 있는가?
- 오픈소스 정책과 AI 정책 간 상충이 없는가?
4. §5.3 역할, 책임, 권한
AI 관리 시스템에서 오픈소스 관련 역할과 책임을 명확히 한다.
| 역할 | ISO 42001 책임 | 오픈소스 관련 추가 책임 |
|---|---|---|
| AI 거버넌스 책임자 | AI 정책 수립·감독 | AI 정책에 OSS 원칙 포함 보장 |
| AI 개발 리드 | AI 시스템 생애주기 관리 | AI SBOM 생성·유지 |
| 오픈소스 프로그램 매니저(OSPM) | — | AI 시스템 OSS 컴플라이언스 전반 |
| 보안 담당자 | AI 리스크 관리 | AI OSS 취약점 모니터링 |
권장
오픈소스 프로그램 매니저(OSPM)가 AI 거버넌스 위원회 또는 AI 검토 프로세스에 참여하도록 역할을 공식화하면 두 영역의 컴플라이언스를 효율적으로 통합할 수 있다.