AI Compliance BOM 가이드 웨비나

2024-12-03 OpenChain AI Work Group - AI Compliance BOM

    source: https://openchainproject.org/news/2024/12/04/full-recording-openchain-ai-work-group-monthly-workshop-for-north-america-and-europe-2024-12-03

    목차

    1. 웨비나 소개
    2. AI BOM의 필요성과 배경
    3. SPDX 3.0과 AI 프로파일
    4. AI BOM 작성 시 고려사항
    5. 데이터셋과 모델 라이선스 이슈
    6. AI 거버넌스와 규제 준수
    7. OpenChain과 SPDX의 협력 방안
    8. Q&A

    1. 웨비나 소개

    제목

    OpenChain AI Work Group: AI Compliance BOM 가이드 웨비나

    발표자 소개

    • Gopi Krishnan Rajbahadur: SPDX AI 워킹 그룹 멤버
    • Karen Copenhaver: SPDX 법률 팀 멤버

    웨비나 소개와 목적

    이 웨비나는 OpenChain Project의 AI Work Group에서 주최한 것으로, AI Compliance BOM(Bill of Materials) 가이드 작성을 위한 첫 번째 공식 미팅입니다. 이전의 AI Study Group에서 AI Work Group으로 전환되어 AI BOM 컴플라이언스에 대한 실질적인 가이드라인을 만드는 것을 목표로 하고 있습니다.

    2. AI BOM의 필요성과 배경

    AI 시스템의 복잡성이 증가함에 따라 전통적인 소프트웨어 BOM(SBOM)을 넘어서는 새로운 형태의 BOM이 필요해졌습니다. AI BOM은 AI 컴포넌트와 데이터셋을 포함한 전체 시스템을 표현할 수 있어야 합니다.

    SPDX 3.0에서는 이러한 요구사항을 반영하여 AI와 데이터셋 프로파일을 추가했습니다. 이를 통해 AI 시스템의 핵심 요소들을 효과적으로 기술할 수 있게 되었습니다.

    3. SPDX 3.0과 AI 프로파일

    SPDX 3.0은 다음과 같은 특징을 가지고 있습니다:

    • 코어 프로파일: 모든 SPDX BOM의 기본이 되는 요소 정의
    • 소프트웨어 프로파일: 소프트웨어 아티팩트 기술
    • AI 프로파일: AI 특화 요소 기술 (컴플라이언스, 추적성, 투명성 등)
    • 데이터셋 프로파일: 데이터셋 자체에 대한 기술

    AI 프로파일은 모델 유형, 준수 표준, 운영 도메인, 자율성 수준 등을 캡처합니다. 데이터셋 프로파일은 데이터의 유형, 크기, 노이즈, 기밀성 수준, 수집 프로세스 등을 기술합니다.

    4. AI BOM 작성 시 고려사항

    Gopi는 실제 Simple HTR 프로젝트를 예로 들어 AI BOM 작성 과정에서 겪은 어려움을 공유했습니다:

    • 자동화된 AI BOM 생성 도구의 부재
    • 메타데이터의 분산과 불완전성
    • 라이선스 정보의 모호성과 충돌

    이러한 문제들로 인해 간단한 프로젝트의 AI BOM 작성에도 상당한 시간과 전문성이 요구되었습니다.

    5. 데이터셋과 모델 라이선스 이슈

    AI 시스템에서는 데이터셋과 모델의 라이선스가 복잡한 문제를 야기할 수 있습니다. 예를 들어:

    • 데이터셋은 비상업적 연구 목적으로만 사용 가능하지만, 이를 사용해 학습한 모델은 MIT 라이선스로 배포되는 경우
    • Foundation Model을 사용해 생성한 합성 데이터의 라이선스 문제
    • 사용자 피드백 데이터의 소유권과 GDPR 준수 문제

    이러한 복잡한 라이선스 이슈에 대해 아직 명확한 법적 해석이나 가이드라인이 부족한 상황입니다.

    6. AI 거버넌스와 규제 준수

    AI 시스템에 대한 규제가 증가하면서 (예: EU AI Act), AI BOM은 규제 준수를 입증하는 중요한 도구가 될 수 있습니다. 그러나 현재의 규제는 “충분한 투명성"이나 “적절한 인간 감독” 등 모호한 표현을 사용하고 있어, 이를 구체적으로 해석하고 구현하는 것이 과제입니다.

    7. OpenChain과 SPDX의 협력 방안

    OpenChain의 프로세스 거버넌스 경험과 SPDX의 기술적 표준화 노력을 결합하여 AI BOM에 대한 포괄적인 가이드라인을 만들 수 있을 것으로 기대됩니다. 구체적인 협력 방안으로는:

    • OpenChain의 프로세스 거버넌스 프레임워크를 SPDX AI BOM 명세에 통합
    • AI 시스템의 전체 라이프사이클을 고려한 프로세스 뷰 개발
    • 규제 요구사항을 시스템 요구사항으로 매핑하는 프레임워크 개발

    8. Q&A

    Q: 데이터셋 출처 추적이 모델 출처 추적보다 더 어려운 문제 아닌가요? A: 네, 데이터셋의 출처와 계보를 추적하는 것이 더 어려운 문제입니다. 하지만 모델의 프로세스와 출처도 여전히 중요한 이슈입니다.

    Q: 오픈소스와 클로즈드 소스 모델에 대한 BOM 작성에 차이가 있나요? A: 클로즈드 소스 모델의 경우 상세 정보를 얻기 어려울 수 있지만, BOM 표준 자체는 동일하게 적용될 수 있습니다. 다만, 공개 범위에 차이가 있을 수 있습니다.

    Q: AI 시스템 전체에 대한 BOM이 필요하지 않을까요? A: 네, SPDX 3.0은 시스템 전체를 기술할 수 있는 능력을 갖추고 있습니다. 모델과 다른 소프트웨어 컴포넌트 간의 관계도 캡처할 수 있습니다.

    요약 보고서

    기업의 오픈소스 관리 담당자에게 주는 의미

    1. AI 시스템 도입 증가: AI와 머신러닝 기술의 도입이 늘어남에 따라, 기존 SBOM을 넘어서는 AI BOM의 필요성이 커지고 있습니다.

    2. 컴플라이언스 복잡성 증가: AI 컴포넌트와 데이터셋을 포함한 전체 시스템의 라이선스 및 규제 준수 문제가 더욱 복잡해지고 있습니다.

    3. 새로운 표준 등장: SPDX 3.0과 같은 새로운 표준이 등장하여 AI 시스템의 BOM을 더 효과적으로 관리할 수 있게 되었습니다.

    4. 법적 불확실성: AI 시스템, 특히 생성형 AI와 관련된 라이선스 및 저작권 문제에 대한 법적 해석이 아직 명확하지 않습니다.

    5. 규제 대응 필요성: EU AI Act 등 새로운 AI 규제에 대응하기 위해 AI BOM이 중요한 도구가 될 수 있습니다.

    고려해야 할 Action Item

    1. AI BOM 도입 준비: SPDX 3.0 등 AI BOM 표준을 학습하고, 조직 내 도입 계획을 수립합니다.

    2. 메타데이터 관리 강화: AI 모델과 데이터셋에 대한 상세한 메타데이터를 체계적으로 관리하는 프로세스를 구축합니다.

    3. 라이선스 관리 체계 개선: AI 컴포넌트, 데이터셋, 생성된 데이터 등에 대한 복잡한 라이선스 관계를 추적하고 관리할 수 있는 체계를 마련합니다.

    4. 자동화 도구 개발/도입: AI BOM 생성과 관리를 자동화할 수 있는 도구의 개발이나 도입을 검토합니다.

    5. 거버넌스 프로세스 수립: AI 시스템의 개발, 배포, 운영 전반에 걸친 거버넌스 프로세스를 수립합니다.

    6. 규제 모니터링: AI 관련 규제 동향을 지속적으로 모니터링하고, 대응 전략을 수립합니다.

    7. 협업 강화: 법무팀, 데이터 과학팀, 개발팀 간의 협업을 강화하여 AI BOM 관리에 대한 통합적 접근을 추진합니다.

    8. 교육 및 인식 제고: 조직 내 AI BOM의 중요성과 관리 방법에 대한 교육을 실시합니다.

    9. 업계 표준화 활동 참여: OpenChain, SPDX 등의 표준화 활동에 참여하여 AI BOM 관련 best practice를 공유하고 학습합니다.

    10. 듀 딜리전스 문서화: AI 시스템 개발 및 도입 과정에서의 모든 준수 노력을 상세히 문서화합니다.