2025-12-02 AI SBOM 규정 준수 가이드의 완성도 제고와 조달용 AI 설문지 도입 논의
Categories:
OpenChain AI 워크그룹은 오픈 소스 컴플라이언스의 국제 표준인 OpenChain(ISO/IEC 5230)의 원칙을 인공지능(AI) 영역으로 확장하여, 신뢰할 수 있는 AI 공급망 구축을 목표로 매월 워크숍을 진행하고 있습니다. 이번 12월 2일 북미/유럽 세션은 Matthew Crawford(Arm) 와 Dave Marr(Qualcomm) 의 주재로 진행되었으며, 주로 AI 시스템 자재명세서(AI SBOM) 컴플라이언스 가이드의 세부 문구 조정과 AI 조달(Procurement)을 위한 표준 설문지 개발 필요성에 대한 논의가 이루어졌습니다.
1. 주요 안건 개요
이번 워크숍의 핵심 아젠다는 크게 두 가지로 요약됩니다.
- AI SBOM 컴플라이언스 가이드(Compliance Guide) 최종 검토: 기배포된 가이드의 세부 조항(특히 프로세스 및 역량 관련)에 대한 피드백 반영 및 문구 수정.
- AI 조달용 표준 설문지(AI Questionnaire) 제안: 기업 간 AI 솔루션 도입 시 반복적으로 발생하는 중복 질문을 해소하기 위한 표준화된 질의서 개발 논의.
2. 상세 논의 내용: AI SBOM 컴플라이언스 가이드
미팅의 전반부는 현재 마무리 단계에 있는 ‘AI SBOM 컴플라이언스 가이드’의 특정 섹션을 검토하고 수정하는 데 할애되었습니다. 단순한 오타 수정이 아닌, 실제 현업에서 적용 가능한 ‘프로세스’와 ‘정책’의 정의를 명확히 하는 토론이 주를 이루었습니다.
2.1. 역할과 역량(Competence)의 명문화
참석자들은 AI 컴플라이언스 프로그램의 성패가 결국 ‘사람’에게 달려 있다는 점에 동의하며, 가이드 내에 “프로그램 참여자의 역량(Competence)” 을 규정하는 문구를 다듬었습니다.
- 주요 변경 사항: 프로그램의 효과성과 성과에 영향을 미치는 역할을 식별하고, 해당 역할을 수행하는 담당자의 역량을 결정해야 한다는 내용이 강조되었습니다.
- 세부 요건: 담당자는 적절한 기술(skills), 지식(knowledge), 경험(experience)을 갖추어야 하며, 해당 사용 사례(use case)와 관련된 기능 조직과 긴밀히 협력해야 합니다.
2.2. 정책(Policy) vs 프로세스(Process)
논의 중 가장 흥미로웠던 부분은 ‘정책’과 ‘프로세스’를 구분하여 기술하는 방식에 대한 것이었습니다.
- 쟁점: 급변하는 AI 규제 환경(예: EU AI Act 등)을 고려할 때, 너무 경직된 규칙을 만들면 실제 규제가 바뀌었을 때 가이드가 무용지물이 될 수 있다는 우려가 제기되었습니다.
- 합의점:
- 정책(Policy): 조직이 갖춰야 할 대원칙(예: “우리는 AI SBOM을 관리한다”).
- 프로세스(Process): 정책을 실행하기 위한 구체적인 과업(Task).
- 워크그룹은 이 두 가지를 분리하여 접근하되, “두 가지 모두를 검토할 수 있는 프로세스를 갖추라"는 식의 유연한 언어를 사용하기로 했습니다. 이는 규제 변화에 유동적으로 대응하면서도 운영의 연속성을 보장하기 위함입니다.
2.3. AI SBOM의 정의와 범위
AI SBOM 생성 및 관리에 대한 조항도 구체화되었습니다.
- 포맷의 자유: AI SBOM은 특정 포맷에 구애받지 않으나(This can be in any format), 반드시 존재해야 합니다.
- 범위: 특히 제3자로부터 유입되는 인바운드(Inbound) 자료를 반드시 포함해야 함을 명시했습니다. 이는 공급망 보안의 핵심으로, 외부에서 도입한 모델이나 데이터셋의 출처를 투명하게 관리해야 한다는 의무를 강조한 것입니다.
3. 신규 제안: AI 조달용 표준 설문지 (AI Questionnaire)
미팅 후반부에는 Matthew Crawford가 제안한 새로운 이니셔티브인 ‘조달 목적의 AI 설문지(AI Questionnaire for Procurement Purposes)’ 가 논의되었습니다.
3.1. 문제 제기
현재 많은 기업이 외부 공급업체로부터 AI 도구나 서비스를 도입할 때, 각자의 기준대로 수많은 질문을 던지고 있습니다.
- “이 모델의 학습 데이터는 무엇인가?”
- “데이터 카드는 존재하는가?”
- “모델 카드는 작성되었는가?”
이로 인해 공급업체는 고객사마다 다른 양식의 질문에 답변해야 하는 비효율이 발생하고, 구매사는 필요한 정보를 누락할 위험이 있습니다.
3.2. 제안 내용
OpenChain 프로젝트 차원에서 이러한 질문들을 표준화하자는 제안이 나왔습니다. 기존의 프로세스 점검을 넘어, 모델(Model), 데이터셋(Dataset), 데이터 카드(Data Cards), 모델 카드(Model Cards) 와 관련된 구체적인 스펙을 묻는 공통 질문지를 만들자는 것입니다.
- 목표: 공급업체가 한 번 작성하면 여러 고객사에게 제출할 수 있는 표준 양식을 제공하여 생태계 전반의 효율성을 높임.
- 반응: 참석자들은 이에 대해 긍정적인 반응을 보였으며, 단순히 프로세스 유무를 묻는 것을 넘어 실제 AI 자산(Asset)에 대한 구체적인 정보를 요구하는 방향으로 발전시키기로 했습니다.
4. 향후 계획 및 참여 안내
4.1. 1월 웨비나 예고
다음 달(2026년 1월) 미팅은 일반적인 워크숍 형식이 아닌, 대중을 위한 웨비나(Webinar) 형태로 진행될 예정입니다.
- 주제: AI SBOM 컴플라이언스 가이드의 역사와 개발 과정, 그리고 최종 가이드의 내용을 상세히 설명 (“Walk through the guide”).
- 목적: 가이드를 널리 알리고 더 많은 기업이 채택하도록 독려하기 위함입니다.
4.2. 커뮤니티 참여 요청
워크그룹은 AI 전문가들(Practitioners)과의 교류를 강조했습니다. 법무팀이나 컴플라이언스팀뿐만 아니라, 실제 AI를 개발하고 운영하는 엔지니어들의 피드백이 가이드의 현실성을 높이는 데 필수적이기 때문입니다. 학회나 컨퍼런스에서 AI 개발자들을 만난다면 OpenChain의 활동을 알리고 피드백을 받아달라는 요청이 있었습니다.
5. 결론 및 요약
이번 12월 워크숍은 AI 컴플라이언스 가이드의 완성도를 높이는 작업과 시장의 비효율을 해결할 새로운 도구(표준 설문지)를 구상하는 단계로 요약할 수 있습니다. 특히 ‘사람의 역량’과 ‘인바운드 자재 관리’를 강조한 점은 AI 거버넌스가 단순한 서류 작업을 넘어 실질적인 리스크 관리로 진화하고 있음을 보여줍니다.
OpenChain 프로젝트는 누구나 참여할 수 있는 개방형 커뮤니티입니다. 이번 논의 내용에 대해 의견이 있거나, 1월 웨비나에 참여하고 싶으신 분들은 아래 채널을 참고해 주시기 바랍니다.
- 메일링 리스트 가입: https://lists.openchainproject.org/g/ai
- 공식 홈페이지: https://www.openchainproject.org
by Gemini 3.0