이 섹션의 다중 페이지 출력 화면임. 여기를 클릭하여 프린트.
AI Study Group
1 - AI Compliance BOM 가이드 웨비나
목차
- 웨비나 소개
- AI BOM의 필요성과 배경
- SPDX 3.0과 AI 프로파일
- AI BOM 작성 시 고려사항
- 데이터셋과 모델 라이선스 이슈
- AI 거버넌스와 규제 준수
- OpenChain과 SPDX의 협력 방안
- Q&A
1. 웨비나 소개
제목
OpenChain AI Work Group: AI Compliance BOM 가이드 웨비나
발표자 소개
- Gopi Krishnan Rajbahadur: SPDX AI 워킹 그룹 멤버
- Karen Copenhaver: SPDX 법률 팀 멤버
웨비나 소개와 목적
이 웨비나는 OpenChain Project의 AI Work Group에서 주최한 것으로, AI Compliance BOM(Bill of Materials) 가이드 작성을 위한 첫 번째 공식 미팅입니다. 이전의 AI Study Group에서 AI Work Group으로 전환되어 AI BOM 컴플라이언스에 대한 실질적인 가이드라인을 만드는 것을 목표로 하고 있습니다.
2. AI BOM의 필요성과 배경
AI 시스템의 복잡성이 증가함에 따라 전통적인 소프트웨어 BOM(SBOM)을 넘어서는 새로운 형태의 BOM이 필요해졌습니다. AI BOM은 AI 컴포넌트와 데이터셋을 포함한 전체 시스템을 표현할 수 있어야 합니다.
SPDX 3.0에서는 이러한 요구사항을 반영하여 AI와 데이터셋 프로파일을 추가했습니다. 이를 통해 AI 시스템의 핵심 요소들을 효과적으로 기술할 수 있게 되었습니다.
3. SPDX 3.0과 AI 프로파일
SPDX 3.0은 다음과 같은 특징을 가지고 있습니다:
- 코어 프로파일: 모든 SPDX BOM의 기본이 되는 요소 정의
- 소프트웨어 프로파일: 소프트웨어 아티팩트 기술
- AI 프로파일: AI 특화 요소 기술 (컴플라이언스, 추적성, 투명성 등)
- 데이터셋 프로파일: 데이터셋 자체에 대한 기술
AI 프로파일은 모델 유형, 준수 표준, 운영 도메인, 자율성 수준 등을 캡처합니다. 데이터셋 프로파일은 데이터의 유형, 크기, 노이즈, 기밀성 수준, 수집 프로세스 등을 기술합니다.
4. AI BOM 작성 시 고려사항
Gopi는 실제 Simple HTR 프로젝트를 예로 들어 AI BOM 작성 과정에서 겪은 어려움을 공유했습니다:
- 자동화된 AI BOM 생성 도구의 부재
- 메타데이터의 분산과 불완전성
- 라이선스 정보의 모호성과 충돌
이러한 문제들로 인해 간단한 프로젝트의 AI BOM 작성에도 상당한 시간과 전문성이 요구되었습니다.
5. 데이터셋과 모델 라이선스 이슈
AI 시스템에서는 데이터셋과 모델의 라이선스가 복잡한 문제를 야기할 수 있습니다. 예를 들어:
- 데이터셋은 비상업적 연구 목적으로만 사용 가능하지만, 이를 사용해 학습한 모델은 MIT 라이선스로 배포되는 경우
- Foundation Model을 사용해 생성한 합성 데이터의 라이선스 문제
- 사용자 피드백 데이터의 소유권과 GDPR 준수 문제
이러한 복잡한 라이선스 이슈에 대해 아직 명확한 법적 해석이나 가이드라인이 부족한 상황입니다.
6. AI 거버넌스와 규제 준수
AI 시스템에 대한 규제가 증가하면서 (예: EU AI Act), AI BOM은 규제 준수를 입증하는 중요한 도구가 될 수 있습니다. 그러나 현재의 규제는 “충분한 투명성"이나 “적절한 인간 감독” 등 모호한 표현을 사용하고 있어, 이를 구체적으로 해석하고 구현하는 것이 과제입니다.
7. OpenChain과 SPDX의 협력 방안
OpenChain의 프로세스 거버넌스 경험과 SPDX의 기술적 표준화 노력을 결합하여 AI BOM에 대한 포괄적인 가이드라인을 만들 수 있을 것으로 기대됩니다. 구체적인 협력 방안으로는:
- OpenChain의 프로세스 거버넌스 프레임워크를 SPDX AI BOM 명세에 통합
- AI 시스템의 전체 라이프사이클을 고려한 프로세스 뷰 개발
- 규제 요구사항을 시스템 요구사항으로 매핑하는 프레임워크 개발
8. Q&A
Q: 데이터셋 출처 추적이 모델 출처 추적보다 더 어려운 문제 아닌가요? A: 네, 데이터셋의 출처와 계보를 추적하는 것이 더 어려운 문제입니다. 하지만 모델의 프로세스와 출처도 여전히 중요한 이슈입니다.
Q: 오픈소스와 클로즈드 소스 모델에 대한 BOM 작성에 차이가 있나요? A: 클로즈드 소스 모델의 경우 상세 정보를 얻기 어려울 수 있지만, BOM 표준 자체는 동일하게 적용될 수 있습니다. 다만, 공개 범위에 차이가 있을 수 있습니다.
Q: AI 시스템 전체에 대한 BOM이 필요하지 않을까요? A: 네, SPDX 3.0은 시스템 전체를 기술할 수 있는 능력을 갖추고 있습니다. 모델과 다른 소프트웨어 컴포넌트 간의 관계도 캡처할 수 있습니다.
요약 보고서
기업의 오픈소스 관리 담당자에게 주는 의미
AI 시스템 도입 증가: AI와 머신러닝 기술의 도입이 늘어남에 따라, 기존 SBOM을 넘어서는 AI BOM의 필요성이 커지고 있습니다.
컴플라이언스 복잡성 증가: AI 컴포넌트와 데이터셋을 포함한 전체 시스템의 라이선스 및 규제 준수 문제가 더욱 복잡해지고 있습니다.
새로운 표준 등장: SPDX 3.0과 같은 새로운 표준이 등장하여 AI 시스템의 BOM을 더 효과적으로 관리할 수 있게 되었습니다.
법적 불확실성: AI 시스템, 특히 생성형 AI와 관련된 라이선스 및 저작권 문제에 대한 법적 해석이 아직 명확하지 않습니다.
규제 대응 필요성: EU AI Act 등 새로운 AI 규제에 대응하기 위해 AI BOM이 중요한 도구가 될 수 있습니다.
고려해야 할 Action Item
AI BOM 도입 준비: SPDX 3.0 등 AI BOM 표준을 학습하고, 조직 내 도입 계획을 수립합니다.
메타데이터 관리 강화: AI 모델과 데이터셋에 대한 상세한 메타데이터를 체계적으로 관리하는 프로세스를 구축합니다.
라이선스 관리 체계 개선: AI 컴포넌트, 데이터셋, 생성된 데이터 등에 대한 복잡한 라이선스 관계를 추적하고 관리할 수 있는 체계를 마련합니다.
자동화 도구 개발/도입: AI BOM 생성과 관리를 자동화할 수 있는 도구의 개발이나 도입을 검토합니다.
거버넌스 프로세스 수립: AI 시스템의 개발, 배포, 운영 전반에 걸친 거버넌스 프로세스를 수립합니다.
규제 모니터링: AI 관련 규제 동향을 지속적으로 모니터링하고, 대응 전략을 수립합니다.
협업 강화: 법무팀, 데이터 과학팀, 개발팀 간의 협업을 강화하여 AI BOM 관리에 대한 통합적 접근을 추진합니다.
교육 및 인식 제고: 조직 내 AI BOM의 중요성과 관리 방법에 대한 교육을 실시합니다.
업계 표준화 활동 참여: OpenChain, SPDX 등의 표준화 활동에 참여하여 AI BOM 관련 best practice를 공유하고 학습합니다.
듀 딜리전스 문서화: AI 시스템 개발 및 도입 과정에서의 모든 준수 노력을 상세히 문서화합니다.
2 - AI BOM 관리와 워킹그룹 전환 논의
source: https://openchainproject.org/news/2024/11/06/ai-study-group-2024-11-05-recording
목차
- 웨비나 소개
- AI BOM 관리를 위한 스크래치패드 논의
- 정식 워킹그룹으로의 전환
- 질의응답
- 향후 계획
1. 웨비나 소개
제목
OpenChain AI 스터디 그룹: 북미 및 유럽을 위한 월간 워크샵 - 2024년 11월 5일
발표자 소개
이번 웨비나는 OpenChain Project의 AI 스터디 그룹에 의해 진행되었습니다. 특정 발표자의 이름은 제공된 정보에 명시되어 있지 않습니다.
웨비나 소개와 목적
이 워크샵은 OpenChain AI 스터디 그룹의 정기 모임으로, 2024년 11월 5일에 개최되었습니다. 주요 목적은 두 가지였습니다:
- AI BOM (Bill of Materials) 관리를 위한 초안 스크래치패드에 대한 논의
- 현재의 스터디 그룹을 정식 워킹그룹으로 전환하는 방안 검토
2. AI BOM 관리를 위한 스크래치패드 논의
이 세션에서는 AI BOM 관리를 위한 초안 스크래치패드에 대해 심도 있는 논의가 이루어졌습니다. AI BOM은 AI 시스템의 구성 요소를 문서화하는 중요한 도구로, 이를 효과적으로 관리하기 위한 방법론과 best practice에 대해 참가자들이 의견을 나누었습니다.
주요 논의 사항:
- AI 모델의 구성 요소 식별 방법
- 데이터셋 및 알고리즘의 출처 추적
- AI BOM의 표준화 필요성
- 보안 및 규제 준수를 위한 AI BOM 활용 방안
3. 정식 워킹그룹으로의 전환
스터디 그룹을 정식 OpenChain 워킹그룹으로 전환하는 방안에 대해 논의가 이루어졌습니다. 이는 AI 관련 오픈소스 관리에 대한 중요성이 증가함에 따라 더욱 체계적이고 공식적인 접근이 필요하다는 인식에서 비롯되었습니다.
전환 시 고려사항:
- 워킹그룹의 목표 및 범위 설정
- 멤버십 구조 및 운영 방식
- 다른 OpenChain 워킹그룹과의 협력 방안
- 정기적인 성과 보고 및 평가 체계
4. 질의응답
참가자들의 질문과 그에 대한 답변이 이어졌습니다. 주요 질문들은 AI BOM의 실제 적용 사례, 법적 고려사항, 그리고 워킹그룹 전환 후의 활동 계획 등에 집중되었습니다.
5. 향후 계획
스터디 그룹 활동 참여 방법
- OpenChain AI 스터디 그룹 메일링 리스트를 통해 지속적으로 논의에 참여할 수 있습니다. 이는 산업 분야나 전문성에 관계없이 모든 사람에게 열려 있습니다.
향후 미팅 참석
- 모든 향후 AI 스터디 그룹 미팅의 일정과 참여 방법은 OpenChain 참여 페이지에서 확인할 수 있습니다.
이번 워크샵은 AI 기술의 오픈소스 관리에 대한 중요한 논의의 장을 제공했으며, 향후 더욱 체계적인 접근을 위한 기반을 마련했습니다.
요약 보고서
기업의 오픈소스 관리 담당자에게 주는 의미
AI 기술 관리의 중요성 인식: AI 기술이 기업 환경에 빠르게 도입됨에 따라, 오픈소스 관리 담당자들은 AI 관련 오픈소스 컴포넌트의 관리에 대한 중요성을 인식해야 합니다.
AI BOM의 도입 필요성: AI Bill of Materials (BOM)는 AI 시스템의 구성 요소를 추적하고 관리하는 데 필수적인 도구가 될 것입니다. 이는 기존의 소프트웨어 BOM 관리 경험을 AI 영역으로 확장하는 것을 의미합니다.
규제 대비: AI 기술에 대한 규제가 강화될 것으로 예상되므로, 오픈소스 관리 담당자들은 이에 대비하여 AI 관련 오픈소스 사용을 더욱 철저히 관리해야 합니다.
협업의 중요성: AI 기술의 복잡성을 고려할 때, 오픈소스 관리 담당자는 AI 개발팀, 법무팀, 보안팀 등과의 긴밀한 협력이 필요합니다.
지속적인 학습과 적응: AI 기술과 관련 오픈소스 생태계가 빠르게 변화하고 있으므로, 지속적인 학습과 적응이 필요합니다.
고려해야 할 Action Item
AI BOM 관리 체계 구축: AI 프로젝트에 사용되는 모든 오픈소스 컴포넌트를 식별하고 문서화하는 체계를 구축합니다.
AI 관련 오픈소스 정책 수립: 기존의 오픈소스 정책을 AI 기술의 특성에 맞게 업데이트합니다.
교육 및 인식 제고: 개발자와 관리자를 대상으로 AI 관련 오픈소스 사용의 특징과 주의사항에 대한 교육을 실시합니다.
AI 오픈소스 컴플라이언스 점검: AI 프로젝트에 대한 정기적인 오픈소스 컴플라이언스 점검을 실시합니다.
OpenChain AI 워킹그룹 참여: OpenChain AI 워킹그룹의 활동에 적극적으로 참여하여 최신 동향을 파악하고 best practice를 공유합니다.
AI 공급망 관리 강화: AI 모델, 데이터셋, 알고리즘 등의 출처와 라이선스를 철저히 관리합니다.
법적 리스크 평가: AI 관련 오픈소스 사용에 따른 잠재적 법적 리스크를 평가하고 대응 방안을 마련합니다.
보안 강화: AI 시스템의 보안 취약점을 식별하고 관리하는 프로세스를 구축합니다.
성과 측정 체계 수립: AI 관련 오픈소스 관리의 효과성을 측정할 수 있는 KPI를 설정하고 정기적으로 평가합니다.
이러한 action item들을 실행함으로써, 기업의 오픈소스 관리 담당자들은 AI 기술의 도입과 확산에 따른 새로운 도전에 효과적으로 대응할 수 있을 것입니다.