2. 기획

1. 개요

ISO/IEC 42001 §6은 AI 시스템과 관련된 리스크와 기회를 체계적으로 파악하고 대응하는 방법을 요구한다. 특히 **§6.1.2(AI 리스크 평가)**와 **§6.1.4(AI 시스템 영향 평가)**는 오픈소스 컴포넌트로 인해 발생할 수 있는 리스크를 포함하는 데 직접 활용된다.

2. §6.1.2 AI 리스크 평가 — 오픈소스 리스크 포함 ★

ISO/IEC 42001은 AI 시스템과 관련된 리스크를 식별·분석·평가하는 프로세스를 요구한다. 오픈소스 담당자는 이 프로세스에 오픈소스 라이선스 리스크와 보안 취약점 리스크를 명시적으로 포함해야 한다.

오픈소스 관련 AI 리스크 유형

AI 리스크 평가서에 포함할 오픈소스 항목

## AI 리스크 평가서 — 오픈소스 리스크 섹션

### 평가 대상 AI 시스템: [시스템명]
### 평가 일자: YYYY-MM-DD

| # | 리스크 항목 | 현재 사용 컴포넌트 | 가능성 | 영향도 | 리스크 수준 | 대응 조치 |
|---|------------|-----------------|:----:|:----:|:---------:|---------|
| 1 | 라이선스 비준수 | [모델명 · 라이선스] | 중 | 상 | 높음 | 법무 검토 |
| 2 | OSS 취약점 | [프레임워크명 · 버전] | 중 | 상 | 높음 | SCA 스캔 |
| 3 | 데이터셋 라이선스 | [데이터셋명 · 라이선스] | 저 | 중 | 중간 | 라이선스 재확인 |

체크포인트:

• AI 리스크 평가 프로세스에 오픈소스 라이선스 리스크 항목이 포함되어 있는가?
• AI 리스크 평가 프로세스에 오픈소스 보안 취약점 리스크 항목이 포함되어 있는가?
• 리스크 평가 결과가 문서화되어 있는가?
• 리스크 수준에 따른 처리 계획이 수립되어 있는가?

3. §6.1.4 AI 시스템 영향 평가 — 오픈소스 컴포넌트 영향 포함 ★

AI 시스템이 개인, 그룹, 사회에 미칠 수 있는 영향을 평가할 때, 오픈소스 컴포넌트로 인한 영향도 포함한다.

오픈소스 관련 영향 평가 항목

체크포인트:

• AI 시스템 영향 평가 항목에 오픈소스 컴포넌트 관련 보안·법적 영향이 포함되어 있는가?
• 영향 평가가 AI 시스템 배포 전과 주요 변경 시 수행되는가?

4. §6.2 AI 목표

오픈소스 컴플라이언스와 연계한 측정 가능한 AI 목표를 수립한다.

오픈소스 관련 AI 목표 예시

- AI SBOM 최신화율: 분기별 100% 유지
- 오픈소스 취약점 패치 완료율: Critical CVE 발견 후 14일 이내 패치율 95% 이상
- AI 모델 라이선스 검토 완료율: 신규 모델 도입 시 100% 사전 검토
- 데이터셋 라이선스 기록율: AI SBOM 내 데이터셋 라이선스 100% 기록

5. 참고

• ISO/IEC 42001 가이드 홈
• ISO/IEC 18974 — §4.3.2 보안 보증
• 기업 오픈소스 관리 가이드 — 3. 프로세스