5. 성과 평가와 개선

1. 개요

ISO/IEC 42001 §9와 §10은 AI 관리 시스템이 의도한 결과를 달성하고 있는지 확인하고, 부족한 점을 개선하는 사이클을 다룬다. 오픈소스 관점에서는 **§9.1(모니터링·측정)**이 오픈소스 컴플라이언스 지표와 연계된다.

2. §9.1 모니터링 및 측정 — 오픈소스 컴플라이언스 지표 ★

ISO/IEC 42001은 AI 관리 시스템의 성과를 모니터링하고 측정할 것을 요구한다. 기존 오픈소스 컴플라이언스 지표를 AI 관리 시스템의 성과 지표에 통합한다.

오픈소스 관련 AI 성과 지표 예시

체크포인트:

• AI 시스템 오픈소스 컴플라이언스 관련 성과 지표가 정의되어 있는가?
• 지표가 정해진 주기에 측정·기록되고 있는가?
• 목표 미달 시 개선 조치가 수립되는가?

3. §9.2 내부 감사

AI 관리 시스템이 ISO 42001 요구사항을 충족하는지 정기적으로 내부 감사를 수행한다. 오픈소스 컴플라이언스 항목을 내부 감사 체크리스트에 포함한다.

AI 오픈소스 내부 감사 체크리스트

## AI 시스템 오픈소스 컴플라이언스 내부 감사 체크리스트
### 감사 대상: [AI 시스템명]  / 감사 일자: YYYY-MM-DD

#### AI SBOM
- [ ] AI SBOM이 최신 배포 버전을 반영하고 있는가?
- [ ] 모든 프레임워크·모델·데이터셋이 AI SBOM에 포함되어 있는가?
- [ ] 각 컴포넌트의 라이선스 정보가 정확하게 기록되어 있는가?

#### 라이선스 컴플라이언스
- [ ] 모든 오픈소스 AI 컴포넌트의 라이선스 조건이 검토되었는가?
- [ ] 라이선스 의무(저작권 고지, 변경 고지 등)가 이행되었는가?
- [ ] 상업적 사용 제한이 있는 모델을 상업 서비스에 사용하고 있지 않은가?

#### 보안 취약점 관리
- [ ] 최근 분기 내 SCA 스캔이 수행되었는가?
- [ ] 식별된 Critical/High CVE가 적시에 패치되었는가?
- [ ] 취약점 처리 이력이 기록되어 있는가?

#### AI 공급망
- [ ] 외부 조달 AI 모델의 라이선스 검증이 완료되었는가?
- [ ] 외부 모델의 라이선스 변경 사항이 모니터링되고 있는가?

4. §9.3 경영 검토

최고경영진의 AI 관리 시스템 경영 검토 시, 오픈소스 컴플라이언스 현황을 보고 항목에 포함한다.

경영 검토 보고 항목 예시:

• AI SBOM 관리 현황 (최신화율, 커버리지)
• 오픈소스 라이선스 위반 발생 현황 및 조치
• AI 시스템 보안 취약점 현황 및 패치율
• AI 공급망 오픈소스 리스크 현황

5. §10.1 부적합 및 시정 조치

오픈소스 컴플라이언스 위반이 발견된 경우 다음 절차를 따른다:

1. 즉각 조치: 위반 사항 격리 또는 임시 조치 (예: 해당 기능 서비스 중단)
2. 원인 분석: 왜 위반이 발생했는지 근본 원인 파악
3. 시정 조치: 위반 해결 (라이선스 준수, 컴포넌트 교체 등)
4. 재발 방지: 프로세스 개선 (검토 절차 강화, 교육 등)
5. 기록 보존: 위반 내용, 조치, 결과를 문서화

6. §10.2 지속적 개선

AI 시스템 오픈소스 관리 체계를 지속적으로 개선하기 위한 방향:

• 새로운 AI 모델 라이선스 유형에 대한 검토 기준 업데이트
• AI SBOM 생성 자동화 도구 도입 (cdxgen, Syft 등 활용)
• AI Work Group의 최신 가이드 반영

7. 참고

• ISO/IEC 42001 가이드 홈
• 기업 오픈소스 관리 가이드 — 6. 준수 선언
• ISO/IEC 5230 — §3.6 준수
• 도구 — cdxgen (AI SBOM 생성)
• 도구 — Syft (컨테이너 이미지 분석)
• 도구 — Dependency-Track (취약점 추적)