AI Work Group

• 1: OpenChain AI SBOM 컴플라이언스 가이드
• 2: OpenChain AI 워크그룹 (2025-10-09): AI SBOM 가이드 완성 및 글로벌 거버넌스 전략
• 3: AI Compliance BOM 가이드 웨비나
• 4: AI BOM 관리와 워킹그룹 전환 논의

1 - OpenChain AI SBOM 컴플라이언스 가이드

source: https://openchainproject.org/news/2025/10/20/welcoming-the-openchain-ai-system-bill-of-materials-compliance-guide

안녕하세요! OpenChain 프로젝트에서 새롭게 공개한 AI System Bill of Materials (AI SBOM) Compliance Guide를 블로그 포스팅 형태로 소개해 드리겠습니다.

이 가이드는 AI 기술이 급격히 확산되는 공급망 환경에서, 조직 간의 신뢰를 구축하고 투명성을 확보하기 위해 만들어진 중요한 자료입니다.

인공지능(AI) 기술이 소프트웨어 공급망의 핵심 요소로 자리 잡으면서, AI 시스템을 구성하는 데이터, 모델, 라이선스 등을 투명하게 관리하는 것이 그 어느 때보다 중요해졌습니다. 리눅스 재단(Linux Foundation) 산하의 OpenChain Project는 이러한 요구에 발맞춰 “AI 시스템 자재 명세서(AI SBOM) 컴플라이언스 관리 가이드"를 공식 발표했습니다.

이 가이드는 AI 솔루션을 주고받는 조직들이 신뢰할 수 있는 컴플라이언스 프로그램을 구축하는 데 필요한 핵심 기준을 제시합니다.

1. 가이드의 목적 (Purpose)

이 가이드의 가장 큰 목적은 AI 솔루션을 교환하는 조직 간의 신뢰 구축입니다.

AI 시스템은 코드뿐만 아니라 학습 데이터(Data), 가중치(Weights), 모델(Model) 등 복합적인 요소로 이루어져 있어, 기존의 소프트웨어보다 관리가 까다롭습니다. 이 가이드는 조직이 고품질의 ‘AI SBOM 컴플라이언스 프로그램’을 갖추기 위해 충족해야 할 주요 요구사항을 정의하여, 일종의 벤치마크(Benchmark) 역할을 합니다.

2. 가이드의 쓰임새와 특징 (Usage & Features)

이 문서는 구체적인 기술적 구현 방법(“How"나 “When”)보다는 프로그램이 무엇을 갖춰야 하고(What), 왜 필요한지(Why)에 집중합니다.

• 유연성(Flexibility): 기업의 규모나 시장 환경에 따라 정책과 프로세스를 유연하게 적용할 수 있도록 설계되었습니다.
• 핵심 프로세스 식별: AI 컴플라이언스 프로그램에 반드시 포함되어야 할 주요 프로세스 포인트(정책, 역량, 라이선스 의무 등)를 명시합니다.
• 표준 기반: 오픈소스 컴플라이언스 국제 표준인 ISO/IEC 5230에서 영감을 받았으며, AI 경영 시스템 표준인 ISO/IEC 42001 등 관련 국제 표준을 참조하여 작성되었습니다.

[한국어 번역] AI SBOM 공급망 컴플라이언스 관리 가이드

본 번역은 독자의 이해를 돕기 위해 원문을 바탕으로 작성되었습니다. 공식적인 법적 효력은 원문(Version 1.0)에 있습니다.

1. 범위 (Scope)

이 문서는 공급망 내에서 AI 컴플라이언스를 관리하기 위한 주요 요구사항을 명시합니다. 특히 이 목표를 달성하기 위해 AI SBOM(AI 시스템 자재 명세서)을 사용하는 데 중점을 둡니다.

2. 용어 및 정의 (Terms and Definitions)

• 2.1 인공지능 (Artificial Intelligence, AI): 이전에 인간의 지능이 필요했던 작업을 수행할 수 있는 컴퓨터 시스템.
• 2.2 인공지능 시스템 자재 명세서 (AI SBOM): AI 시스템의 전체 또는 일부를 구성하는 컴포넌트(구성 요소)와 해당 컴포넌트에 대한 관련 정보의 목록.
• 2.3 AI SBOM 컴플라이언스 (Compliance): 라이선스, 규제 또는 비즈니스 요구사항을 지원하기 위해 자재 명세서(Bill of Materials)를 사용하는 AI 관련 컴플라이언스 활동.
• 2.5 식별된 라이선스 (Identified Licenses): 공급된 소프트웨어를 구성하는 컴포넌트를 식별하는 적절한 방법을 따른 결과로 확인된 라이선스 집합.
• 2.8 공급된 소프트웨어 (Supplied Software): 조직이 제3자에게 제공하거나 사용 가능하게 만든 소프트웨어.

3. 지침 (Guidance)

조직이 AI 관련 컴플라이언스를 달성하는 방법은 조직의 규모, 산업, 사법권, AI 시스템의 형태(서비스, 모델, 데이터 등)에 따라 달라질 수 있습니다. 본 가이드는 대부분의 조직에 적용할 수 있는 핵심 프로세스 포인트를 다음과 같이 식별합니다.

3.1 정책 (Policy)

AI SBOM 컴플라이언스를 관할하는 서면 정책이 존재해야 합니다.

• 이 정책은 내부적으로 소통되어야 하며, 비즈니스 전략, 관련 사법권의 법적 요구사항, 사용 사례에 적합한 위험 수준을 반영해야 합니다.
• 검증 자료: 문서화된 정책 및 해당 정책을 프로그램 참여자들에게 알리는 절차(교육, 내부 위키 등).

3.2 역량 (Competence)

조직은 프로그램의 효과성에 영향을 미치는 역할과 책임을 식별해야 합니다.

• 거버넌스, 보안, 안전, 프라이버시, 개발, 공급업체 관리 등과 관련된 참여자의 역량을 결정하고, 적절한 교육이나 경험을 통해 이를 보장해야 합니다.
• 검증 자료: 역할 및 책임 목록, 각 역할에 필요한 역량 명세서, 역량 평가 기록.

3.3 인식 (Awareness)

조직은 프로그램 참여자들이 다음 사항을 인지하도록 보장해야 합니다.

• AI SBOM 정책 및 관련 비즈니스 목표.
• 프로그램 효과성에 대한 본인의 기여.
• 프로그램 요구사항을 따르지 않았을 때의 영향(Implications).

3.4 프로그램 범위 (Program Scope)

프로그램이 적용되는 범위를 명확히 선언해야 합니다. (예: 단일 제품 라인, 전체 부서 또는 전체 조직)

3.5 라이선스 의무 (License Obligations)

AI 시스템의 코드, 가중치(Weights), 데이터셋(학습, 테스트, 검증 데이터 포함) 및 AI 시스템 자체에 대해 식별된 라이선스를 검토하는 프로세스가 존재해야 합니다.

• AI 시스템의 의도된 사용 목적을 고려하여 각 라이선스가 부여하는 의무, 제한 사항, 권리를 결정해야 합니다.
• 참고: AI 시스템은 모델 트리(Model Tree)에 식별된 다른 여러 AI 시스템으로 학습되었을 수 있으며, 각각 별도의 라이선스를 가질 수 있습니다.

3.6 투명성 의무 (Transparency Obligations)

학습, 테스트, 검증 데이터셋 등을 포함하여 규제로부터 발생하는 투명성 의무가 있는지 검토하는 프로세스가 존재해야 합니다.

• 학습 데이터의 사용 사례가 투명성 맥락에서 이슈(예: 다운스트림 수신자에 대한 공개 의무)를 발생시키는 경우, 적절한 위험 완화 조치를 취해야 합니다.

3.7 접근성 (Access)

외부의 AI SBOM 컴플라이언스 문의에 효과적으로 대응하는 프로세스를 유지해야 합니다.

• 제3자가 문의할 수 있는 수단(예: 공개된 이메일 주소)을 공개적으로 식별해야 합니다.

3.8 효과적인 자원 지원 (Effectively Resourced)

• 프로그램 과제의 성공적인 실행을 위해 책임을 할당하고, 시간과 예산을 충분히 배정해야 합니다.
• 정책 및 지원 과제를 검토하고 업데이트하는 프로세스가 있어야 합니다.
• AI SBOM 컴플라이언스 문제를 해결하기 위한 프로세스와 법적 전문 지식에 대한 접근성이 확보되어야 합니다.

3.9 AI 시스템 자재 명세서 (AI System Bill of Materials)

AI SBOM을 생성하고 관리하는 프로세스가 존재해야 합니다.

• 형식은 SPDX, CycloneDX 또는 기타 형식이 될 수 있습니다.
• AI SBOM은 제3자로부터 유입된 자재(Inbound materials)를 설명할 수 있어야 합니다.
• 검증 자료: AI 시스템의 컴포넌트(모델, 데이터셋 등)와 관련된 정보를 식별, 추적, 검토, 승인, 보관하는 문서화된 절차.

3.10 거버넌스 (Governance)

조직은 AI 시스템이 책임감 있게 개발, 배포, 관리되도록 보장하는 AI 거버넌스 프레임워크를 갖추어야 합니다.

• EU AI 법(EU AI Act) 등 신흥 AI 법규 준수를 강조하고 윤리적 고려사항, 위험 관리, 투명성을 다룹니다.
• AI 시스템의 수명 주기를 모니터링하고 의도된 사용에 대한 지속적인 분석을 수행할 수 있어야 합니다.

이 가이드는 현재 버전 1.0이며, 빠르게 변화하는 AI 생태계에 맞춰 지속적으로 업데이트될 예정입니다. 더 자세한 내용이나 원문(PDF)은 OpenChain 프로젝트 공식 웹사이트를 참고하시기 바랍니다.

2 - OpenChain AI 워크그룹 (2025-10-09): AI SBOM 가이드 완성 및 글로벌 거버넌스 전략

source: https://openchainproject.org/news/2025/10/27/recording-openchain-ai-work-group-asia-sync-2025-10-09

작성일: 2025년 10월 27일

주제: OpenChain AI 워크그룹 Asia Sync 미팅 (2025-10-09) 핵심 요약 및 인사이트

안녕하세요. 지난 10월 9일 진행된 OpenChain AI Work Group – Asia Sync 미팅의 상세 내용을 정리하여 공유드립니다. 이번 미팅은 북미/유럽 워크숍의 논의 내용을 바탕으로 아시아 시간대 참여자들을 위해 진행되었으며, 무엇보다 ‘AI SBOM 규정 준수 관리 가이드(AI SBOM Compliance Management Guide)‘의 완성이라는 중대한 마일스톤이 발표된 자리였습니다.

단순한 일정 공유를 넘어, 현재 글로벌 AI 공급망 관리가 어떤 방향으로 흐르고 있는지, 그리고 오픈체인 프로젝트가 규제 당국(UK 등) 및 타 단체(FINOS)와 어떻게 협력하고 있는지에 대한 중요한 로드맵이 제시되었습니다.

1. 핵심 성과: AI SBOM 규정 준수 관리 가이드 완성 및 런칭

이번 미팅의 가장 큰 뉴스는 단연 AI SBOM 규정 준수 관리 가이드(AI SBOM Compliance Management Guide)의 완성 소식입니다.

가이드의 목적과 의의

OpenChain 프로젝트팀은 지난 2024년 1월부터 AI 공급망 내에서 규정 준수(Compliance)를 어떻게 관리할 것인지에 대해 치열하게 고민해 왔습니다. 이번에 완성된 가이드는 그 결과물로서, AI 시스템을 구성하는 모델, 데이터셋, 코드, 그리고 각종 종속성(Dependencies)을 투명하게 관리하기 위한 실질적인 프레임워크를 제공합니다.

• 투명성(Transparency) 확보: AI 모델이 어떤 데이터로 학습되었고 어떤 라이선스 정책을 따르는지 명확히 문서화합니다.
• 리스크 관리: 공급망 내에서 발생할 수 있는 법적, 보안적 리스크를 식별하고 관리할 수 있는 프로세스를 제안합니다.
• 단순함과 명확성: 복잡한 통제보다는 ‘무엇이 존재하는가’에 대한 명확성(Clarity)에 초점을 맞추어, 기업들이 실행 가능한 정책을 수립하도록 돕습니다.

런칭 일정 및 홍보

이 가이드는 미팅 직후인 10월 20일에 공식적으로 라이브(Go-Live) 되었습니다. 워크그룹은 이 가이드가 단순한 문서로 남지 않고 업계의 표준 레퍼런스로 자리 잡을 수 있도록 커뮤니티 차원의 적극적인 홍보와 확산을 요청했습니다. 이는 기업들이 다가오는 AI 규제(EU AI Act 등)에 선제적으로 대응할 수 있는 강력한 도구가 될 것입니다.

2. 전략적 협력: 글로벌 정책 및 규제 대응 (UK & Legal)

단순히 가이드를 만드는 것을 넘어, 이 가이드가 실제 법적 효력이나 국제 표준으로서의 위상을 갖출 수 있도록 고위급 레벨의 조율이 시작되었습니다.

영국 상원(House of Lords)과의 연계

이번 미팅에서는 Lord Clement-Jones와의 협력 논의가 중요하게 다뤄졌습니다. Lord Clement-Jones는 영국 상원의 AI 특별위원회 위원장이자 OECD AI 의회 그룹의 창립 멤버로서, 국제 AI 규제 및 정책 수립에 막대한 영향력을 가진 인물입니다.

OpenChain AI 워크그룹이 그와 직접적인 코디네이션을 시작했다는 것은, 우리가 만든 AI SBOM 가이드가 영국의 AI 규제 프레임워크나 향후 정책 방향과 정합성을 맞추고 있음을 의미합니다. 이는 향후 이 가이드가 글로벌 표준으로 채택될 가능성을 높이는 전략적 행보입니다.

법률 및 스펙 그룹과의 공조

또한, 리눅스 재단(LF)의 법률 컨퍼런스(Legal Conference) 및 파이토치(PyTorch) 컨퍼런스와의 연계도 진행 중입니다. 기술적인 구현(PyTorch)과 법적인 해석(LF Legal) 양쪽을 모두 아우르며, AI 거버넌스의 사각지대를 없애겠다는 의지입니다.

3. FINOS(금융 오픈소스 재단)와의 협업 및 표준화 논의

금융 산업은 AI 도입에 있어 가장 보수적이면서도 규제가 강력한 분야입니다. 이번 미팅에서는 금융 오픈소스 재단인 FINOS(Fintech Open Source Foundation)와의 협력 모델이 구체적으로 논의되었습니다.

FINOS AI 거버넌스 프레임워크와의 연계

FINOS는 현재 자체적인 ‘AI 거버넌스 프레임워크’를 개발 중이며, 이를 ISO 표준으로 발전시키려는 계획을 가지고 있습니다. OpenChain 워크그룹은 FINOS와 경쟁하는 것이 아니라, 상호 보완적인 관계를 맺기로 했습니다.

• 역할 분담: OpenChain은 공급망 전반의 투명성과 프로세스 관리(Process Management)에 집중하고, FINOS는 금융 산업 특화된 거버넌스와 리스크 통제에 집중합니다.
• 표준화(Spec) 협력: 만약 FINOS의 프레임워크나 OpenChain의 AI 가이드가 국제 표준(ISO 등)으로 발전해야 한다면, OpenChain 내의 ‘Spec Group(사양 워크그룹)‘과 긴밀히 협력하여 기술적 완성도를 높이기로 했습니다.

이는 AI 거버넌스 분야에서 파편화된 표준이 난립하는 것을 막고, 산업계가 신뢰할 수 있는 단일한 기준점을 만들기 위한 노력입니다.

4. 시장 피드백(Market Feedback)과 향후 계획

가이드 1.0 버전의 완성은 끝이 아니라 시작입니다. 미팅에서는 ‘초기 시장 피드백(Early Market Feedback)‘의 중요성이 강조되었습니다.

• Solution/Market Fit: 완성된 가이드가 실제 기업 현장에서 적용될 때 어떤 어려움이 있는지, 과도하거나 부족한 부분은 없는지 피드백을 수집하여 가이드를 지속적으로 업데이트할 예정입니다.
• 참여 요청: 워크그룹은 미팅 참석자들에게 가이드를 직접 사용해 보고, 개선 제안을 적극적으로 해달라고 요청했습니다. 이는 오픈소스 프로젝트의 핵심인 ‘집단 지성’을 통해 가이드의 완성도를 높이기 위함입니다.

[요약 및 결론] 참여 방법

이번 10월 9일 Asia Sync 미팅은 “AI SBOM 가이드의 완성"이라는 결실을 확인하고, 이를 “글로벌 규제(UK)” 및 “특화 산업(FINOS)“과 연결하는 거대한 로드맵을 공유하는 자리였습니다.

AI 거버넌스는 혼자서 해결할 수 있는 문제가 아닙니다. 여러분의 조직이 AI를 도입하고 있거나 도입할 예정이라면, 지금 바로 OpenChain AI 워크그룹에 합류하여 글로벌 표준 수립 과정에 목소리를 내주시기 바랍니다.

참여 및 리소스 링크:

• AI 워크그룹 메일링 리스트: https://lists.org/g/aiopenchainproject
• 향후 미팅 일정 및 참여 방법: https://www.org/participateopenchainproject
• OpenChain 공식 웹사이트: https://openchainproject.org

미팅 녹화본은 아래 유튜브 링크를 통해 다시 보실 수 있습니다.

• 녹화 영상 보기: https://www.youtube.com/watch?v=ooVyaIw3KuQ

이 블로그 포스트는 OpenChain AI Work Group의 공개된 미팅 기록과 자료를 바탕으로 작성되었습니다.

3 - AI Compliance BOM 가이드 웨비나

source: https://openchainproject.org/news/2024/12/04/full-recording-openchain-ai-work-group-monthly-workshop-for-north-america-and-europe-2024-12-03

목차

1. 웨비나 소개
2. AI BOM의 필요성과 배경
3. SPDX 3.0과 AI 프로파일
4. AI BOM 작성 시 고려사항
5. 데이터셋과 모델 라이선스 이슈
6. AI 거버넌스와 규제 준수
7. OpenChain과 SPDX의 협력 방안
8. Q&A

1. 웨비나 소개

제목

OpenChain AI Work Group: AI Compliance BOM 가이드 웨비나

발표자 소개

• Gopi Krishnan Rajbahadur: SPDX AI 워킹 그룹 멤버
• Karen Copenhaver: SPDX 법률 팀 멤버

웨비나 소개와 목적

이 웨비나는 OpenChain Project의 AI Work Group에서 주최한 것으로, AI Compliance BOM(Bill of Materials) 가이드 작성을 위한 첫 번째 공식 미팅입니다. 이전의 AI Study Group에서 AI Work Group으로 전환되어 AI BOM 컴플라이언스에 대한 실질적인 가이드라인을 만드는 것을 목표로 하고 있습니다.

2. AI BOM의 필요성과 배경

AI 시스템의 복잡성이 증가함에 따라 전통적인 소프트웨어 BOM(SBOM)을 넘어서는 새로운 형태의 BOM이 필요해졌습니다. AI BOM은 AI 컴포넌트와 데이터셋을 포함한 전체 시스템을 표현할 수 있어야 합니다.

SPDX 3.0에서는 이러한 요구사항을 반영하여 AI와 데이터셋 프로파일을 추가했습니다. 이를 통해 AI 시스템의 핵심 요소들을 효과적으로 기술할 수 있게 되었습니다.

3. SPDX 3.0과 AI 프로파일

SPDX 3.0은 다음과 같은 특징을 가지고 있습니다:

• 코어 프로파일: 모든 SPDX BOM의 기본이 되는 요소 정의
• 소프트웨어 프로파일: 소프트웨어 아티팩트 기술
• AI 프로파일: AI 특화 요소 기술 (컴플라이언스, 추적성, 투명성 등)
• 데이터셋 프로파일: 데이터셋 자체에 대한 기술

AI 프로파일은 모델 유형, 준수 표준, 운영 도메인, 자율성 수준 등을 캡처합니다. 데이터셋 프로파일은 데이터의 유형, 크기, 노이즈, 기밀성 수준, 수집 프로세스 등을 기술합니다.

4. AI BOM 작성 시 고려사항

Gopi는 실제 Simple HTR 프로젝트를 예로 들어 AI BOM 작성 과정에서 겪은 어려움을 공유했습니다:

• 자동화된 AI BOM 생성 도구의 부재
• 메타데이터의 분산과 불완전성
• 라이선스 정보의 모호성과 충돌

이러한 문제들로 인해 간단한 프로젝트의 AI BOM 작성에도 상당한 시간과 전문성이 요구되었습니다.

5. 데이터셋과 모델 라이선스 이슈

AI 시스템에서는 데이터셋과 모델의 라이선스가 복잡한 문제를 야기할 수 있습니다. 예를 들어:

• 데이터셋은 비상업적 연구 목적으로만 사용 가능하지만, 이를 사용해 학습한 모델은 MIT 라이선스로 배포되는 경우
• Foundation Model을 사용해 생성한 합성 데이터의 라이선스 문제
• 사용자 피드백 데이터의 소유권과 GDPR 준수 문제

이러한 복잡한 라이선스 이슈에 대해 아직 명확한 법적 해석이나 가이드라인이 부족한 상황입니다.

6. AI 거버넌스와 규제 준수

AI 시스템에 대한 규제가 증가하면서 (예: EU AI Act), AI BOM은 규제 준수를 입증하는 중요한 도구가 될 수 있습니다. 그러나 현재의 규제는 “충분한 투명성"이나 “적절한 인간 감독” 등 모호한 표현을 사용하고 있어, 이를 구체적으로 해석하고 구현하는 것이 과제입니다.

7. OpenChain과 SPDX의 협력 방안

OpenChain의 프로세스 거버넌스 경험과 SPDX의 기술적 표준화 노력을 결합하여 AI BOM에 대한 포괄적인 가이드라인을 만들 수 있을 것으로 기대됩니다. 구체적인 협력 방안으로는:

• OpenChain의 프로세스 거버넌스 프레임워크를 SPDX AI BOM 명세에 통합
• AI 시스템의 전체 라이프사이클을 고려한 프로세스 뷰 개발
• 규제 요구사항을 시스템 요구사항으로 매핑하는 프레임워크 개발

8. Q&A

Q: 데이터셋 출처 추적이 모델 출처 추적보다 더 어려운 문제 아닌가요? A: 네, 데이터셋의 출처와 계보를 추적하는 것이 더 어려운 문제입니다. 하지만 모델의 프로세스와 출처도 여전히 중요한 이슈입니다.

Q: 오픈소스와 클로즈드 소스 모델에 대한 BOM 작성에 차이가 있나요? A: 클로즈드 소스 모델의 경우 상세 정보를 얻기 어려울 수 있지만, BOM 표준 자체는 동일하게 적용될 수 있습니다. 다만, 공개 범위에 차이가 있을 수 있습니다.

Q: AI 시스템 전체에 대한 BOM이 필요하지 않을까요? A: 네, SPDX 3.0은 시스템 전체를 기술할 수 있는 능력을 갖추고 있습니다. 모델과 다른 소프트웨어 컴포넌트 간의 관계도 캡처할 수 있습니다.

요약 보고서

기업의 오픈소스 관리 담당자에게 주는 의미

1. AI 시스템 도입 증가: AI와 머신러닝 기술의 도입이 늘어남에 따라, 기존 SBOM을 넘어서는 AI BOM의 필요성이 커지고 있습니다.

2. 컴플라이언스 복잡성 증가: AI 컴포넌트와 데이터셋을 포함한 전체 시스템의 라이선스 및 규제 준수 문제가 더욱 복잡해지고 있습니다.

3. 새로운 표준 등장: SPDX 3.0과 같은 새로운 표준이 등장하여 AI 시스템의 BOM을 더 효과적으로 관리할 수 있게 되었습니다.

4. 법적 불확실성: AI 시스템, 특히 생성형 AI와 관련된 라이선스 및 저작권 문제에 대한 법적 해석이 아직 명확하지 않습니다.

5. 규제 대응 필요성: EU AI Act 등 새로운 AI 규제에 대응하기 위해 AI BOM이 중요한 도구가 될 수 있습니다.

고려해야 할 Action Item

1. AI BOM 도입 준비: SPDX 3.0 등 AI BOM 표준을 학습하고, 조직 내 도입 계획을 수립합니다.

2. 메타데이터 관리 강화: AI 모델과 데이터셋에 대한 상세한 메타데이터를 체계적으로 관리하는 프로세스를 구축합니다.

3. 라이선스 관리 체계 개선: AI 컴포넌트, 데이터셋, 생성된 데이터 등에 대한 복잡한 라이선스 관계를 추적하고 관리할 수 있는 체계를 마련합니다.

4. 자동화 도구 개발/도입: AI BOM 생성과 관리를 자동화할 수 있는 도구의 개발이나 도입을 검토합니다.

5. 거버넌스 프로세스 수립: AI 시스템의 개발, 배포, 운영 전반에 걸친 거버넌스 프로세스를 수립합니다.

6. 규제 모니터링: AI 관련 규제 동향을 지속적으로 모니터링하고, 대응 전략을 수립합니다.

7. 협업 강화: 법무팀, 데이터 과학팀, 개발팀 간의 협업을 강화하여 AI BOM 관리에 대한 통합적 접근을 추진합니다.

8. 교육 및 인식 제고: 조직 내 AI BOM의 중요성과 관리 방법에 대한 교육을 실시합니다.

9. 업계 표준화 활동 참여: OpenChain, SPDX 등의 표준화 활동에 참여하여 AI BOM 관련 best practice를 공유하고 학습합니다.

10. 듀 딜리전스 문서화: AI 시스템 개발 및 도입 과정에서의 모든 준수 노력을 상세히 문서화합니다.

4 - AI BOM 관리와 워킹그룹 전환 논의

source: https://openchainproject.org/news/2024/11/06/ai-study-group-2024-11-05-recording

목차

1. 웨비나 소개
2. AI BOM 관리를 위한 스크래치패드 논의
3. 정식 워킹그룹으로의 전환
4. 질의응답
5. 향후 계획

1. 웨비나 소개

제목

OpenChain AI 스터디 그룹: 북미 및 유럽을 위한 월간 워크샵 - 2024년 11월 5일

발표자 소개

이번 웨비나는 OpenChain Project의 AI 스터디 그룹에 의해 진행되었습니다. 특정 발표자의 이름은 제공된 정보에 명시되어 있지 않습니다.

웨비나 소개와 목적

이 워크샵은 OpenChain AI 스터디 그룹의 정기 모임으로, 2024년 11월 5일에 개최되었습니다. 주요 목적은 두 가지였습니다:

1. AI BOM (Bill of Materials) 관리를 위한 초안 스크래치패드에 대한 논의
2. 현재의 스터디 그룹을 정식 워킹그룹으로 전환하는 방안 검토

2. AI BOM 관리를 위한 스크래치패드 논의

이 세션에서는 AI BOM 관리를 위한 초안 스크래치패드에 대해 심도 있는 논의가 이루어졌습니다. AI BOM은 AI 시스템의 구성 요소를 문서화하는 중요한 도구로, 이를 효과적으로 관리하기 위한 방법론과 best practice에 대해 참가자들이 의견을 나누었습니다.

주요 논의 사항:

• AI 모델의 구성 요소 식별 방법
• 데이터셋 및 알고리즘의 출처 추적
• AI BOM의 표준화 필요성
• 보안 및 규제 준수를 위한 AI BOM 활용 방안

3. 정식 워킹그룹으로의 전환

스터디 그룹을 정식 OpenChain 워킹그룹으로 전환하는 방안에 대해 논의가 이루어졌습니다. 이는 AI 관련 오픈소스 관리에 대한 중요성이 증가함에 따라 더욱 체계적이고 공식적인 접근이 필요하다는 인식에서 비롯되었습니다.

전환 시 고려사항:

• 워킹그룹의 목표 및 범위 설정
• 멤버십 구조 및 운영 방식
• 다른 OpenChain 워킹그룹과의 협력 방안
• 정기적인 성과 보고 및 평가 체계

4. 질의응답

참가자들의 질문과 그에 대한 답변이 이어졌습니다. 주요 질문들은 AI BOM의 실제 적용 사례, 법적 고려사항, 그리고 워킹그룹 전환 후의 활동 계획 등에 집중되었습니다.

5. 향후 계획

스터디 그룹 활동 참여 방법

• OpenChain AI 스터디 그룹 메일링 리스트를 통해 지속적으로 논의에 참여할 수 있습니다. 이는 산업 분야나 전문성에 관계없이 모든 사람에게 열려 있습니다.

향후 미팅 참석

• 모든 향후 AI 스터디 그룹 미팅의 일정과 참여 방법은 OpenChain 참여 페이지에서 확인할 수 있습니다.

이번 워크샵은 AI 기술의 오픈소스 관리에 대한 중요한 논의의 장을 제공했으며, 향후 더욱 체계적인 접근을 위한 기반을 마련했습니다.

요약 보고서

기업의 오픈소스 관리 담당자에게 주는 의미

1. AI 기술 관리의 중요성 인식: AI 기술이 기업 환경에 빠르게 도입됨에 따라, 오픈소스 관리 담당자들은 AI 관련 오픈소스 컴포넌트의 관리에 대한 중요성을 인식해야 합니다.

2. AI BOM의 도입 필요성: AI Bill of Materials (BOM)는 AI 시스템의 구성 요소를 추적하고 관리하는 데 필수적인 도구가 될 것입니다. 이는 기존의 소프트웨어 BOM 관리 경험을 AI 영역으로 확장하는 것을 의미합니다.

3. 규제 대비: AI 기술에 대한 규제가 강화될 것으로 예상되므로, 오픈소스 관리 담당자들은 이에 대비하여 AI 관련 오픈소스 사용을 더욱 철저히 관리해야 합니다.

4. 협업의 중요성: AI 기술의 복잡성을 고려할 때, 오픈소스 관리 담당자는 AI 개발팀, 법무팀, 보안팀 등과의 긴밀한 협력이 필요합니다.

5. 지속적인 학습과 적응: AI 기술과 관련 오픈소스 생태계가 빠르게 변화하고 있으므로, 지속적인 학습과 적응이 필요합니다.

고려해야 할 Action Item

1. AI BOM 관리 체계 구축: AI 프로젝트에 사용되는 모든 오픈소스 컴포넌트를 식별하고 문서화하는 체계를 구축합니다.

2. AI 관련 오픈소스 정책 수립: 기존의 오픈소스 정책을 AI 기술의 특성에 맞게 업데이트합니다.

3. 교육 및 인식 제고: 개발자와 관리자를 대상으로 AI 관련 오픈소스 사용의 특징과 주의사항에 대한 교육을 실시합니다.

4. AI 오픈소스 컴플라이언스 점검: AI 프로젝트에 대한 정기적인 오픈소스 컴플라이언스 점검을 실시합니다.

5. OpenChain AI 워킹그룹 참여: OpenChain AI 워킹그룹의 활동에 적극적으로 참여하여 최신 동향을 파악하고 best practice를 공유합니다.

6. AI 공급망 관리 강화: AI 모델, 데이터셋, 알고리즘 등의 출처와 라이선스를 철저히 관리합니다.

7. 법적 리스크 평가: AI 관련 오픈소스 사용에 따른 잠재적 법적 리스크를 평가하고 대응 방안을 마련합니다.

8. 보안 강화: AI 시스템의 보안 취약점을 식별하고 관리하는 프로세스를 구축합니다.

9. 성과 측정 체계 수립: AI 관련 오픈소스 관리의 효과성을 측정할 수 있는 KPI를 설정하고 정기적으로 평가합니다.

이러한 action item들을 실행함으로써, 기업의 오픈소스 관리 담당자들은 AI 기술의 도입과 확산에 따른 새로운 도전에 효과적으로 대응할 수 있을 것입니다.