OpenChain AI SBOM 컴플라이언스 가이드
Categories:
안녕하세요! OpenChain 프로젝트에서 새롭게 공개한 AI System Bill of Materials (AI SBOM) Compliance Guide를 블로그 포스팅 형태로 소개해 드리겠습니다.
이 가이드는 AI 기술이 급격히 확산되는 공급망 환경에서, 조직 간의 신뢰를 구축하고 투명성을 확보하기 위해 만들어진 중요한 자료입니다.
인공지능(AI) 기술이 소프트웨어 공급망의 핵심 요소로 자리 잡으면서, AI 시스템을 구성하는 데이터, 모델, 라이선스 등을 투명하게 관리하는 것이 그 어느 때보다 중요해졌습니다. 리눅스 재단(Linux Foundation) 산하의 OpenChain Project는 이러한 요구에 발맞춰 “AI 시스템 자재 명세서(AI SBOM) 컴플라이언스 관리 가이드"를 공식 발표했습니다.
이 가이드는 AI 솔루션을 주고받는 조직들이 신뢰할 수 있는 컴플라이언스 프로그램을 구축하는 데 필요한 핵심 기준을 제시합니다.
1. 가이드의 목적 (Purpose)
이 가이드의 가장 큰 목적은 AI 솔루션을 교환하는 조직 간의 신뢰 구축입니다.
AI 시스템은 코드뿐만 아니라 학습 데이터(Data), 가중치(Weights), 모델(Model) 등 복합적인 요소로 이루어져 있어, 기존의 소프트웨어보다 관리가 까다롭습니다. 이 가이드는 조직이 고품질의 ‘AI SBOM 컴플라이언스 프로그램’을 갖추기 위해 충족해야 할 주요 요구사항을 정의하여, 일종의 벤치마크(Benchmark) 역할을 합니다.
2. 가이드의 쓰임새와 특징 (Usage & Features)
이 문서는 구체적인 기술적 구현 방법(“How"나 “When”)보다는 프로그램이 무엇을 갖춰야 하고(What), 왜 필요한지(Why)에 집중합니다.
- 유연성(Flexibility): 기업의 규모나 시장 환경에 따라 정책과 프로세스를 유연하게 적용할 수 있도록 설계되었습니다.
- 핵심 프로세스 식별: AI 컴플라이언스 프로그램에 반드시 포함되어야 할 주요 프로세스 포인트(정책, 역량, 라이선스 의무 등)를 명시합니다.
- 표준 기반: 오픈소스 컴플라이언스 국제 표준인 ISO/IEC 5230에서 영감을 받았으며, AI 경영 시스템 표준인 ISO/IEC 42001 등 관련 국제 표준을 참조하여 작성되었습니다.
[한국어 번역] AI SBOM 공급망 컴플라이언스 관리 가이드
본 번역은 독자의 이해를 돕기 위해 원문을 바탕으로 작성되었습니다. 공식적인 법적 효력은 원문(Version 1.0)에 있습니다.
1. 범위 (Scope)
이 문서는 공급망 내에서 AI 컴플라이언스를 관리하기 위한 주요 요구사항을 명시합니다. 특히 이 목표를 달성하기 위해 AI SBOM(AI 시스템 자재 명세서)을 사용하는 데 중점을 둡니다.
2. 용어 및 정의 (Terms and Definitions)
- 2.1 인공지능 (Artificial Intelligence, AI): 이전에 인간의 지능이 필요했던 작업을 수행할 수 있는 컴퓨터 시스템.
- 2.2 인공지능 시스템 자재 명세서 (AI SBOM): AI 시스템의 전체 또는 일부를 구성하는 컴포넌트(구성 요소)와 해당 컴포넌트에 대한 관련 정보의 목록.
- 2.3 AI SBOM 컴플라이언스 (Compliance): 라이선스, 규제 또는 비즈니스 요구사항을 지원하기 위해 자재 명세서(Bill of Materials)를 사용하는 AI 관련 컴플라이언스 활동.
- 2.5 식별된 라이선스 (Identified Licenses): 공급된 소프트웨어를 구성하는 컴포넌트를 식별하는 적절한 방법을 따른 결과로 확인된 라이선스 집합.
- 2.8 공급된 소프트웨어 (Supplied Software): 조직이 제3자에게 제공하거나 사용 가능하게 만든 소프트웨어.
3. 지침 (Guidance)
조직이 AI 관련 컴플라이언스를 달성하는 방법은 조직의 규모, 산업, 사법권, AI 시스템의 형태(서비스, 모델, 데이터 등)에 따라 달라질 수 있습니다. 본 가이드는 대부분의 조직에 적용할 수 있는 핵심 프로세스 포인트를 다음과 같이 식별합니다.
3.1 정책 (Policy)
AI SBOM 컴플라이언스를 관할하는 서면 정책이 존재해야 합니다.
- 이 정책은 내부적으로 소통되어야 하며, 비즈니스 전략, 관련 사법권의 법적 요구사항, 사용 사례에 적합한 위험 수준을 반영해야 합니다.
- 검증 자료: 문서화된 정책 및 해당 정책을 프로그램 참여자들에게 알리는 절차(교육, 내부 위키 등).
3.2 역량 (Competence)
조직은 프로그램의 효과성에 영향을 미치는 역할과 책임을 식별해야 합니다.
- 거버넌스, 보안, 안전, 프라이버시, 개발, 공급업체 관리 등과 관련된 참여자의 역량을 결정하고, 적절한 교육이나 경험을 통해 이를 보장해야 합니다.
- 검증 자료: 역할 및 책임 목록, 각 역할에 필요한 역량 명세서, 역량 평가 기록.
3.3 인식 (Awareness)
조직은 프로그램 참여자들이 다음 사항을 인지하도록 보장해야 합니다.
- AI SBOM 정책 및 관련 비즈니스 목표.
- 프로그램 효과성에 대한 본인의 기여.
- 프로그램 요구사항을 따르지 않았을 때의 영향(Implications).
3.4 프로그램 범위 (Program Scope)
프로그램이 적용되는 범위를 명확히 선언해야 합니다. (예: 단일 제품 라인, 전체 부서 또는 전체 조직)
3.5 라이선스 의무 (License Obligations)
AI 시스템의 코드, 가중치(Weights), 데이터셋(학습, 테스트, 검증 데이터 포함) 및 AI 시스템 자체에 대해 식별된 라이선스를 검토하는 프로세스가 존재해야 합니다.
- AI 시스템의 의도된 사용 목적을 고려하여 각 라이선스가 부여하는 의무, 제한 사항, 권리를 결정해야 합니다.
- 참고: AI 시스템은 모델 트리(Model Tree)에 식별된 다른 여러 AI 시스템으로 학습되었을 수 있으며, 각각 별도의 라이선스를 가질 수 있습니다.
3.6 투명성 의무 (Transparency Obligations)
학습, 테스트, 검증 데이터셋 등을 포함하여 규제로부터 발생하는 투명성 의무가 있는지 검토하는 프로세스가 존재해야 합니다.
- 학습 데이터의 사용 사례가 투명성 맥락에서 이슈(예: 다운스트림 수신자에 대한 공개 의무)를 발생시키는 경우, 적절한 위험 완화 조치를 취해야 합니다.
3.7 접근성 (Access)
외부의 AI SBOM 컴플라이언스 문의에 효과적으로 대응하는 프로세스를 유지해야 합니다.
- 제3자가 문의할 수 있는 수단(예: 공개된 이메일 주소)을 공개적으로 식별해야 합니다.
3.8 효과적인 자원 지원 (Effectively Resourced)
- 프로그램 과제의 성공적인 실행을 위해 책임을 할당하고, 시간과 예산을 충분히 배정해야 합니다.
- 정책 및 지원 과제를 검토하고 업데이트하는 프로세스가 있어야 합니다.
- AI SBOM 컴플라이언스 문제를 해결하기 위한 프로세스와 법적 전문 지식에 대한 접근성이 확보되어야 합니다.
3.9 AI 시스템 자재 명세서 (AI System Bill of Materials)
AI SBOM을 생성하고 관리하는 프로세스가 존재해야 합니다.
- 형식은 SPDX, CycloneDX 또는 기타 형식이 될 수 있습니다.
- AI SBOM은 제3자로부터 유입된 자재(Inbound materials)를 설명할 수 있어야 합니다.
- 검증 자료: AI 시스템의 컴포넌트(모델, 데이터셋 등)와 관련된 정보를 식별, 추적, 검토, 승인, 보관하는 문서화된 절차.
3.10 거버넌스 (Governance)
조직은 AI 시스템이 책임감 있게 개발, 배포, 관리되도록 보장하는 AI 거버넌스 프레임워크를 갖추어야 합니다.
- EU AI 법(EU AI Act) 등 신흥 AI 법규 준수를 강조하고 윤리적 고려사항, 위험 관리, 투명성을 다룹니다.
- AI 시스템의 수명 주기를 모니터링하고 의도된 사용에 대한 지속적인 분석을 수행할 수 있어야 합니다.
이 가이드는 현재 버전 1.0이며, 빠르게 변화하는 AI 생태계에 맞춰 지속적으로 업데이트될 예정입니다. 더 자세한 내용이나 원문(PDF)은 OpenChain 프로젝트 공식 웹사이트를 참고하시기 바랍니다.