Webinars

• 1: ISO 표준화의 여정 – OpenChain 사례를 통해 배우는 표준 개발
• 2: ISO 5230과 ISO 18974가 법률 전문가에게 미치는 영향과 2024년 전망
• 3: CHAOSS Practitioner Guides를 활용한 건강하고 지속 가능한 OSS 프로젝트 구축
• 4: 리눅스 재단에서 SBOM을 활성화하는 과정
• 5: OpenChain ISO 표준이 InnerSource를 지원하는 방법 이해하기
• 6: SBOM 시각화 - SBOM 검토를 위한 대안적 접근법
• 7: 데이터가 AI 공급망에서 차지하는 역할
• 8: AI: 현재의 법적 환경

1 - ISO 표준화의 여정 – OpenChain 사례를 통해 배우는 표준 개발

source: https://openchainproject.org/news/2024/12/16/2024-recap-creating-standards-from-writing-a-spec-to-obtaining-iso-status-open-source-summit-europe-full-recording

목차

1. 발표자 소개
2. 웨비나 소개와 목적
3. OpenChain 프로젝트란?
4. ISO/IEC 5230:2020 표준화 과정
5. 표준 개발의 핵심 원칙
6. 청중 질의응답
7. 결론 및 주요 시사점

1. 발표자 소개

이 웨비나의 발표자는 Shane Coughlan으로, OpenChain 프로젝트의 총괄 매니저이자 오픈소스 및 표준화 분야에서 오랜 경력을 가진 전문가입니다. 그는 Free Software Foundation Europe의 법률 네트워크 창립자였으며, 오픈소스 라이선스 준수 및 지적재산권 관리에 깊은 전문성을 보유하고 있습니다. 또한, OpenChain 프로젝트를 통해 오픈소스 공급망 신뢰성을 높이는 데 기여하며 ISO/IEC 5230:2020 표준화를 성공적으로 이끌었습니다.

2. 웨비나 소개와 목적

이번 웨비나는 “Creating Standards – From Writing a Spec to Obtaining ISO Status"라는 주제로 진행되었습니다. OpenChain ISO/IEC 5230:2020을 사례로 삼아, 빈 페이지에서 시작해 국제 표준으로 자리 잡기까지의 과정을 상세히 다룹니다. 특히, 다음과 같은 질문에 답을 제시합니다:

• 표준 개발은 어떤 단계로 이루어지는가?
• ISO 표준화가 필요한 이유는 무엇인가?
• 성공적인 표준화를 위해 어떤 실질적인 결정을 내려야 하는가?

참석자들은 이 웨비나를 통해 자신만의 표준을 정의하고, 구축하며, 배포하는 방법을 배우게 됩니다.

3. OpenChain 프로젝트란?

OpenChain 프로젝트는 오픈소스 공급망에서 신뢰를 구축하기 위한 프로세스 관리 표준을 개발하는 글로벌 커뮤니티입니다. 이 프로젝트는 다음과 같은 문제를 해결하기 위해 시작되었습니다:

• 복잡한 공급망: 다단계 공급망에서 라이선스 준수 정보를 신뢰하기 어려운 문제.
• 오픈소스 지적재산권(IP) 관리: 제3자 IP가 포함된 오픈소스를 효과적으로 관리하는 방법.

OpenChain은 이러한 문제를 해결하기 위해 간단하고 명확한 프로세스를 제시합니다:

• Inbound, Internal, Outbound 프로세스: 교육, 정책 수립, 책임자 지정 등 기본적인 요구사항을 명확히 정의.
• ISO/IEC 5230: 오픈소스 라이선스 준수를 위한 국제 표준으로 자리 잡음.

4. ISO/IEC 5230:2020 표준화 과정

OpenChain 프로젝트가 ISO 표준으로 발전한 과정은 다음과 같습니다:

4.1 초기 단계 – 커뮤니티 형성

2015년 Qualcomm 등 주요 기업들이 모여 공급망 내 공통 문제를 논의하며 시작되었습니다. 초기 목표는 기업들이 이미 보유한 경험과 지식을 바탕으로 간단하면서도 효과적인 프로세스를 정의하는 것이었습니다.

4.2 사양 초안 작성

Wind River의 Mark Gisi가 초안 작성 책임자로 나서며 핵심 프로세스를 정리했습니다. 여러 기업이 제공한 교육 자료와 정책 템플릿을 분석하고 이를 최소 요구사항으로 압축하여 첫 번째 사양 초안을 완성했습니다.

4.3 시장 피드백 반영

2016년 첫 사양이 공개된 이후, 시장 피드백을 수집하며 지속적으로 개선했습니다. 이를 통해 언어적 명확성과 범위 조정을 거쳐 더욱 실용적인 문서로 발전시켰습니다.

4.4 JTC-1 PAS Transposition Process 참여

Joint Development Foundation(JDF)의 지원을 받아 JTC-1 PAS Transposition Process를 통해 ISO 표준화를 추진했습니다. 이 과정에서 사양 포맷 조정, 제출 절차 이해 등 JDF와 협력하며 순조롭게 진행되었습니다.

4.5 ISO 인증 획득

2020년 OpenChain 사양은 ISO/IEC 5230으로 공식 인증받았습니다. 이는 오픈소스 라이선스 준수를 위한 최초의 국제 표준으로, 현재 다양한 산업에서 채택되고 있습니다.

5. 표준 개발의 핵심 원칙

Shane Coughlan은 성공적인 표준 개발을 위해 다음과 같은 원칙을 강조했습니다:

5.1 명확한 목표 설정

표준은 특정 문제를 해결하기 위한 도구여야 하며, 범위를 좁게 설정해야 합니다(OpenChain은 “What"에만 집중).

5.2 커뮤니티 중심 접근

사용자 커뮤니티가 직접 참여하여 사양을 개발하고 개선하도록 유도해야 합니다.

5.3 기존 이해관계자와 협력

기존 표준화 기구(BSI, DIN 등)와 협력하여 중복이나 충돌을 방지하고 상호 보완적인 관계를 구축해야 합니다.

5.4 실질적 피드백 반영

시장 요구사항에 따라 지속적으로 사양을 업데이트하고 개선해야 합니다.

6. 청중 질의응답

웨비나 말미에는 청중들의 질문이 이어졌습니다:

Q1: 기존 산업 표준과 충돌하지 않으면서 새로운 표준을 만드는 방법은?
A1: 기존 이해관계자와 협력하여 중복이나 충돌 가능성을 최소화해야 합니다. 예를 들어 OpenChain은 SC27(정보 기술 보안)과 협력하여 기존 작업과 겹치지 않도록 조율했습니다.

Q2: 에너지 산업처럼 보수적인 분야에서 혁신적 접근법을 도입하려면?
A2: 기존 이해관계자와 대화하며 신뢰를 구축하고, 새로운 아이디어를 점진적으로 도입해야 합니다. 또한, 초기에는 참고 구현(reference implementation)을 통해 실질적 효과를 입증하는 것이 중요합니다.

7. 결론 및 주요 시사점

OpenChain 프로젝트는 오픈소스 커뮤니티와 전통적인 표준화 기구 간 협력을 통해 성공적으로 ISO 표준화를 달성했습니다. 이 사례는 다음과 같은 교훈을 제공합니다:

• 모든 아이디어가 반드시 “표준"이 될 필요는 없습니다.
• 명확한 목표와 제한된 범위 설정이 필수입니다.
• 커뮤니티 중심 접근법과 투명한 프로세스가 신뢰 구축에 중요합니다.
• 기존 이해관계자와의 협력이 성공적인 결과를 보장합니다.

오픈소스 관리 담당자는 이러한 원칙을 바탕으로 자신만의 조직적 요구사항에 맞는 프로세스를 설계하고 실행할 수 있습니다.

요약 보고서

기업 오픈소스 관리 담당자에게 주는 의미

ISO/IEC 5230은 복잡한 공급망 내에서 오픈소스 라이선스 준수를 간소화하고 신뢰성을 높이는 데 중요한 도구입니다. 이를 통해 기업은 다음과 같은 이점을 얻을 수 있습니다:

• 공급망 전반에 걸친 공통 언어 제공.
• 지적재산권(IP) 관련 리스크 감소.
• 글로벌 시장에서 신뢰받는 파트너로 자리매김.

고려해야 할 Action Items

1. ISO/IEC 5230 채택 검토: 조직 내 라이선스 준수 프로그램이 국제 기준에 부합하는지 평가.
2. 커뮤니티 참여: OpenChain 워크그룹에 참여하여 최신 동향 파악 및 네트워크 강화.
3. 교육 및 훈련 강화: 내부 팀이 사양 요구사항을 이해하고 실행할 수 있도록 교육 프로그램 마련.
4. 공급망 협력 강화: 파트너사들과 공통 프로세스를 공유하여 전체 공급망 신뢰성 향상.
5. 새로운 도전 과제 탐색: AI 또는 SBOM(Software Bill of Materials) 등 emerging 분야에서 추가 가이드라인 필요 여부 검토.

이를 통해 기업은 더욱 체계적이고 효율적인 오픈소스 관리 체계를 구축할 수 있을 것입니다!

2 - ISO 5230과 ISO 18974가 법률 전문가에게 미치는 영향과 2024년 전망

source: https://openchainproject.org/news/2024/12/04/webinar-enabling-sboms-across-the-linux-foundation

목차

1. 발표자 소개
2. 웨비나 소개와 목적
3. ISO 5230과 ISO 18974의 주요 내용
4. 법률 전문가에게 미치는 영향
5. 청중과의 질의응답
6. 앞으로의 전망

1. 발표자 소개

이번 웨비나의 발표자는 OpenChain 프로젝트의 주요 멤버로, 오픈소스 라이선스 준수 및 보안 표준화에 깊은 전문성을 가진 전문가입니다. 그는 ISO/IEC 5230:2020 및 ISO/IEC 18974:2023 표준 개발 과정에 직접 참여했으며, 관련 법률 및 산업적 적용에 대한 풍부한 경험을 보유하고 있습니다.

2. 웨비나 소개와 목적

이 웨비나는 ISO/IEC 5230(오픈소스 라이선스 준수)와 ISO/IEC 18974(오픈소스 보안 보증)가 법률 전문가들에게 미칠 영향을 중심으로 진행되었습니다. 특히, 2024년을 기준으로 이 표준들이 기업의 조달 협상, 인수합병(M&A), 공급망 관리에 어떤 변화를 가져올지에 대해 다루었습니다.

또한, 최근 CRA(Cyber Resilience Act)와 SPDX ISO/IEC 5962와 같은 인접 표준의 발전이 이들 표준에 어떤 영향을 미칠지 설명하며, 기존 자료와 커뮤니티 지원, 상업적 제공자들의 도움을 활용하는 방법도 제시했습니다. 마지막으로 AI 컴플라이언스(OpenChain Study Group)와 같은 새로운 연구 그룹의 등장도 논의되었습니다.

3. ISO 5230과 ISO 18974의 주요 내용

ISO/IEC 5230:2020

ISO/IEC 5230은 오픈소스 소프트웨어 사용 시 라이선스 준수를 위한 국제 표준입니다. 이 표준은 기업이 오픈소스를 사용할 때 발생할 수 있는 법적 리스크를 줄이고, 체계적인 관리 시스템을 구축하도록 돕습니다. 특히, 조달 프로세스에서 명확한 라이선스 조건을 확인하고 준수하는 데 중요한 역할을 합니다.

ISO/IEC 18974:2023

ISO/IEC 18974는 오픈소스 소프트웨어의 보안 보증을 다룬 새로운 국제 표준입니다. 이 표준은 공급망 전반에서 오픈소스 소프트웨어의 보안 상태를 평가하고 관리하는 데 초점을 맞추고 있습니다. 특히, 최근 증가하는 사이버 공격 위협 속에서 기업이 안전한 소프트웨어를 제공받고 유지할 수 있도록 돕습니다.

4. 법률 전문가에게 미치는 영향

이 두 표준은 법률 전문가들에게 여러 가지 중요한 영향을 미칩니다:

• 조달 협상: 계약 단계에서 명확한 라이선스 조건과 보안 요건을 요구하는 것이 필수적입니다.
• 인수합병(M&A): 딜 과정에서 대상 기업의 오픈소스 관리 상태를 평가하는 것이 중요해졌습니다.
• 공급망 관리: 공급업체가 ISO 표준을 준수하고 있는지 확인해야 하며, 이를 통해 전체 공급망의 신뢰성을 강화할 수 있습니다.

CRA와 같은 규제 변화는 이러한 표준 준수를 더욱 중요하게 만들고 있으며, SPDX와 같은 다른 표준들과 함께 적용될 가능성이 높습니다.

5. 청중과의 질의응답

웨비나 중 청중들은 다음과 같은 질문을 했습니다:

1. ISO 인증 프로세스는 얼마나 복잡한가요?

   • 발표자는 인증 프로세스가 체계적으로 설계되어 있으며, OpenChain 커뮤니티와 같은 지원 네트워크를 활용하면 쉽게 접근할 수 있다고 설명했습니다.

2. AI 관련 연구 그룹은 어떤 역할을 하나요?

   • AI 컴플라이언스 연구 그룹은 AI 기술이 오픈소스 소프트웨어 및 라이선스를 준수하는 방식에 대해 연구하며, 향후 새로운 가이드라인을 제시할 예정입니다.

6. 앞으로의 전망

발표자는 ISO/IEC 5230과 ISO/IEC 18974가 점차 더 많은 기업에서 필수적인 기준으로 자리 잡을 것이라고 전망했습니다. 특히, AI 기술 및 자동화 도구가 이러한 표준 준수를 지원하면서 더 많은 기업들이 이를 채택할 것으로 예상됩니다.

또한, OpenChain 프로젝트는 지속적으로 새로운 참고 자료와 가이드를 제공하며, 기업들이 변화하는 규제 환경에 적응하도록 도울 것입니다.

요약 보고서

기업 오픈소스 관리 담당자를 위한 주요 의미

ISO/IEC 5230과 ISO/IEC 18974는 오픈소스를 사용하는 모든 기업에게 필수적인 가이드라인을 제공합니다. 이를 통해 법적 리스크를 줄이고, 보안 수준을 강화하며, 공급망 전체에서 투명성과 신뢰성을 확보할 수 있습니다.

고려해야 할 Action Item

• 표준 준수 시스템 구축: 내부적으로 ISO 인증 절차를 검토하고 필요한 시스템을 도입하세요.
• 교육 및 훈련: 직원들에게 관련 표준과 규정에 대한 교육을 제공하세요.
• 공급망 점검: 공급업체들이 해당 표준을 준수하고 있는지 확인하세요.
• AI 컴플라이언스 준비: AI 기술이 적용된 소프트웨어에서도 이러한 표준이 어떻게 적용될지 연구하세요.

이를 통해 변화하는 규제 환경에 효과적으로 대응하고 경쟁력을 유지할 수 있을 것입니다.

3 - CHAOSS Practitioner Guides를 활용한 건강하고 지속 가능한 OSS 프로젝트 구축

source: https://openchainproject.org/news/2024/12/12/webinar-chaoss-practitioner-guides

목차

1. 발표자 소개
2. 웨비나 소개와 목적
3. CHAOSS 프로젝트 개요
4. Practitioner Guide 주요 내용
   • Responsiveness (응답성)
   • Contributor Sustainability (기여자 지속 가능성)
   • Organizational Participation (조직 참여)
   • Security (보안)
5. 청중 질문과 답변
6. 결론 및 주요 시사점

1. 발표자 소개

이번 웨비나의 발표자는 Dawn Foster로, 오픈소스 커뮤니티와 데이터 과학 분야에서 오랜 경력을 쌓아온 전문가입니다. Dawn은 CHAOSS 프로젝트의 데이터 과학 리더이자 이사회 멤버로 활동 중이며, CNCF Contributor Strategy Technical Advisory Group의 공동 의장 및 OpenUK 이사로도 활약하고 있습니다. 그녀는 오픈소스 프로젝트의 건강성과 지속 가능성을 개선하기 위해 데이터 기반 접근 방식을 제안하며, CHAOSS 프로젝트 내 다양한 활동을 이끌고 있습니다.

2. 웨비나 소개와 목적

이번 웨비나는 CHAOSS 프로젝트가 개발한 Practitioner Guides를 중심으로 진행되었습니다. 이 가이드는 오픈소스 소프트웨어(OSS) 프로젝트와 커뮤니티의 지속 가능성을 개선하기 위해 설계된 자료로, MIT 라이선스로 제공됩니다. 특히, 데이터 분석 경험이 많지 않은 사람들도 커뮤니티 메트릭을 활용해 의미 있는 통찰을 얻고 실행 가능한 개선 방안을 도출할 수 있도록 돕는 것을 목표로 합니다.

웨비나에서는 다음과 같은 핵심 주제를 다뤘습니다:

• 커뮤니티 메트릭의 해석과 활용법.
• 메트릭을 통해 식별된 문제 영역에서 개선할 수 있는 구체적인 아이디어.
• OSS 프로젝트 및 커뮤니티의 장기적 지속 가능성을 위한 전략.

3. CHAOSS 프로젝트 개요

CHAOSS는 Community Health Analytics for Open Source Software의 약자로, 오픈소스 소프트웨어 커뮤니티의 건강성을 측정하고 개선하기 위한 메트릭과 도구를 개발하는 Linux Foundation 산하 프로젝트입니다.

주요 특징:

• 글로벌 참여: 전 세계 다양한 지역에서 기여자가 활동.
• 다양한 작업 그룹: 데이터 과학, DEI(Diversity, Equity, Inclusion), OSPO(Open Source Program Office) 등 여러 주제에 초점.
• 소프트웨어 도구 제공: Augur와 GrimoireLab이라는 두 가지 주요 메트릭 수집 및 분석 도구를 운영.
• Practitioner Guides 시리즈: 특정 주제에 대한 메트릭 활용 가이드 제공.

CHAOSS는 단순히 코드 기여만이 아니라 문서화, 커뮤니티 관리 등 다양한 기여 형태를 중요하게 생각하며, 이를 통해 OSS 프로젝트의 건강성과 지속 가능성을 강화하려고 합니다.

4. Practitioner Guide 주요 내용

4.1 Responsiveness (응답성)

응답성은 OSS 프로젝트가 기여자들의 요청(예: Pull Request)에 얼마나 신속하게 대응하는지를 측정합니다.

중요성:

• 신속한 응답은 기여자 유지율을 높이고 커뮤니티 성장을 촉진합니다.
• 지연된 응답은 기술 부채를 증가시키고 기여자들의 참여 의욕을 저하시킬 수 있습니다.

개선 방안:

1. 기대치 설정: 기여자들에게 응답 시간을 명확히 알리기.
2. 리더십 확대: 신뢰할 수 있는 기여자를 유지관리자로 승격.
3. 템플릿 개선: 고품질 요청을 쉽게 제출할 수 있도록 Issue 및 Pull Request 템플릿 최적화.

4.2 Contributor Sustainability (기여자 지속 가능성)

기여자 지속 가능성은 프로젝트가 장기적으로 충분한 기여자를 확보하고 유지할 수 있는 능력을 측정합니다.

중요성:

• 단일 유지관리자 중심의 프로젝트는 실패 위험이 높습니다.
• 다양한 형태의 기여(문서화, 커뮤니티 관리 등)를 장려해야 합니다.

개선 방안:

1. 장벽 제거: 신규 기여자가 쉽게 참여할 수 있도록 온보딩 문서 개선.
2. 역할 확장: 기존 유지관리자의 시간을 절약하기 위해 문서화 및 마케팅 전문가 영입.
3. 기여 독려: 기존 기여자를 인정하고 추가적인 역할을 맡도록 격려.

4.3 Organizational Participation (조직 참여)

조직별 참여 데이터를 분석해 특정 회사에 지나치게 의존하지 않도록 하는 것이 중요합니다.

중요성:

• 단일 조직 의존은 전략 변화나 자금 문제 발생 시 프로젝트 지속 가능성을 위협합니다.

개선 방안:

1. 투명성 강화: 모든 작업을 공개적으로 진행해 외부 조직도 쉽게 참여할 수 있도록 유도.
2. 다양성 확보: 다른 조직에서 더 많은 기여를 유도하기 위해 연락 및 협업 강화.

4.4 Security (보안)

보안은 OSS 프로젝트의 지속 가능성과 신뢰도를 결정짓는 중요한 요소입니다.

중요성:

• 보안 취약점 패치 지연은 사용자 신뢰를 저하시킵니다.
• 정기적인 릴리스와 의존성 업데이트는 필수적입니다.

개선 방안:

1. 보안 정책 문서화: security.md 파일에 취약점 보고 절차 명시.
2. 자동화 도구 사용: Dependabot 또는 Renovate Bot으로 의존성 업데이트 관리.
3. 릴리스 프로세스 최적화: 보안 패치를 신속히 릴리스에 반영.

5. 청중 질문과 답변

질문 1: 어떤 시점에서 메트릭을 고려해야 할까요?

초기에는 메트릭보다 기본적인 인프라 구축(예: 컨트리뷰팅 가이드 작성)에 집중하는 것이 좋습니다. 다만, 데이터를 꾸준히 수집해 3~6개월 후부터 트렌드를 분석하는 것이 효과적입니다.

질문 2: 메트릭 측정을 위한 도구는 무엇이 있나요?

CHAOSS의 Augur와 GrimoireLab 외에도 GitHub Insights, OpenSauced 등 다양한 도구가 있습니다. 간단한 분석에는 GitHub API를 활용하는 것도 추천됩니다.

6. 결론 및 주요 시사점

CHAOSS Practitioner Guides는 OSS 프로젝트와 커뮤니티가 직면한 다양한 문제를 해결하기 위한 실질적인 지침을 제공합니다.

기업 담당자를 위한 시사점:

• 메트릭을 통해 OSS 프로젝트의 건강성과 리스크를 사전에 파악할 수 있습니다.
• 중요한 OSS 프로젝트에 적극적으로 기여함으로써 장기적인 안정성과 신뢰도를 확보해야 합니다.

Action Items:

1. 주요 OSS 프로젝트에 대한 메트릭 분석 시작.
2. 조직 내 개발자가 OSS에 기여할 시간을 할당.
3. CHAOSS Practitioner Guides를 참고해 맞춤형 전략 수립.

CHAOSS는 단순히 데이터를 제공하는 것을 넘어, 이를 통해 실질적인 변화를 이끌어내는 데 초점을 맞추고 있습니다. 기업과 개인 모두 이러한 접근법을 활용해 OSS 생태계를 더욱 건강하고 지속 가능하게 만들 수 있을 것입니다!

4 - 리눅스 재단에서 SBOM을 활성화하는 과정

source: https://openchainproject.org/news/2024/12/04/webinar-enabling-sboms-across-the-linux-foundation

목차

1. 발표자 소개
2. 웨비나 소개와 목적
3. SBOM의 개념과 중요성
4. 리눅스 재단의 SBOM 생성 과정
5. 주요 도구와 프로세스
6. SBOM 통합과 향후 계획
7. 청중 질의응답

1. 발표자 소개

Gary O’Neall

Gary O’Neall은 SPDX 표준에 기여한 전문가로, 오픈소스 소프트웨어의 구성요소, 라이선스, 저작권, 보안 참조 정보를 전달하는 데 중점을 둔 표준을 개발해왔습니다. 그는 Source Auditor Inc.에서 제품 개발 및 기술을 담당하며, 오픈소스 소프트웨어의 기술적 및 법적 위험 관리를 돕는 도구를 개발하고 있습니다.

Jeff Shapiro

Jeff Shapiro는 리눅스 재단의 라이선스 스캐닝 디렉터로, 30년 이상의 소프트웨어 산업 경험을 보유하고 있습니다. 그는 오픈소스 스캐닝 및 OSS(오픈소스 소프트웨어) 라이선스 준수 교육에 전문성을 가지고 있으며, 현재 리눅스 재단에서 중요한 프로젝트들의 코드 관리와 SBOM 생성에 기여하고 있습니다.

2. 웨비나 소개와 목적

이번 웨비나는 리눅스 재단(Linux Foundation)에서 **SBOM(Software Bill of Materials)**을 활성화하는 과정을 설명하고, 이를 통해 오픈소스 프로젝트의 라이선스 준수 및 보안 관리 방안을 제시하는 것을 목표로 합니다.

리눅스 재단은 기존의 소스 코드 레벨 라이선스 스캐닝 경험을 바탕으로 SBOM을 생성하며, 정부 규제 기준(CISA NTIA Minimum Specification)을 충족하거나 초과하는 SBOM을 제공하고자 합니다.
SBOM은 소프트웨어 구성요소와 의존성을 추적하여 보안 취약점과 라이선스를 관리하는 데 필수적인 도구로, 이번 웨비나는 다음과 같은 내용을 다룹니다:

• SBOM 생성 과정과 사용 도구
• 직면한 도전 과제와 해결 방안
• 향후 계획 및 커뮤니티 참여 방법

3. SBOM의 개념과 중요성

SBOM은 소프트웨어 구성요소를 추적하여 보안 취약점과 라이선스 준수를 관리하는 데 사용됩니다. 이는 소프트웨어의 “재료 목록"으로 비유되며, 다음과 같은 특징을 가집니다:

• 구성요소와 관계를 명확히 식별: 각 구성요소 간의 관계를 명확히 정의.
• 기계 판독 가능: 표준 형식(SPDX 등)을 사용하여 자동화 가능.
• 보안 및 라이선스 관리: 다운스트림 사용자에게 구성요소 정보 제공.

리눅스 재단은 1,000개 이상의 프로젝트를 호스팅하며, 이들 프로젝트가 중요한 인프라를 지원하기 때문에 SBOM은 특히 중요합니다.

4. 리눅스 재단의 SBOM 생성 과정

리눅스 재단은 개발 단계에서 “Source-level SBOM"을 생성합니다. 이는 빌드 단계에서 생성되는 “Build-level SBOM"과는 차이가 있지만, 다음과 같은 장점이 있습니다:

• 소스 코드와 메타데이터를 기반으로 구성요소 정보를 수집.
• 의존성 분석을 통해 라이선스 정보와 보안 취약점 데이터를 통합.

리눅스 재단은 Trivy, Scaffold, Parlay 등의 오픈소스 도구를 활용하여 자동화된 SBOM 생성을 진행하며, 이를 통해 정부 규제 기준을 충족하는 결과물을 제공합니다.

5. 주요 도구와 프로세스

주요 도구

1. Trivy: 의존성 분석 및 SPDX 파일 생성.
2. Scaffold: 스캔 작업 자동화 및 메타데이터 통합.
3. Parlay: 외부 메타데이터 추가(예: 보안 정보).
4. SPDX Tools: 최종 검증 및 표준 준수 확인.

프로세스 단계

1. 생성(Generation): Trivy로 초기 SPDX 파일 생성.
2. 증강(Augmentation): Scaffold로 프로젝트 메타데이터 추가.
3. 강화(Enrichment): Parlay로 외부 데이터 추가.
4. 검증(Validation): SPDX Tools로 표준 준수 확인.

6. SBOM 통합과 향후 계획

리눅스 재단은 현재 소스 코드와 의존성 데이터를 통합하여 “Unified SBOM"을 개발 중입니다. 이는 다음 단계를 포함합니다:

• 파일 수준 정보 추가: 파일 체크섬, 선언/결론된 라이선스, 저작권 텍스트 등.
• SPDX 3.x 지원: 최신 표준 적용.
• LFX 플랫폼 통합: GitHub 외에도 LFX 플랫폼에서 SBOM 제공.

향후 모든 리눅스 재단 프로젝트에 대해 자동화된 SBOM 생성을 목표로 하고 있습니다.

7. 청중 질의응답

주요 질문과 답변

1. LF Minimum SBOM Spec에 기여하려면?

   • GitHub 이슈 또는 PR 제출 가능.
   • 직접 이메일로 의견 전달도 환영.

2. SPDX 3.x 전환 계획?

   • 현재 SPDX 2.3 사용 중이며, 도구가 업데이트되면 즉시 전환 예정.

3. 도구 체인을 SDLC에 어떻게 매핑하나요?

   • 리눅스 재단의 도구 체인은 개발 단계에서 정적 분석을 수행하며, 빌드 단계 이전에 라이선스 및 보안 상태를 사전 점검하는 역할을 합니다.

요약 보고서

기업 오픈소스 관리 담당자에게 주는 의미

1. 라이선스 준수 강화: SBOM은 오픈소스를 사용하는 기업이 법적 위험을 줄이고 규정을 준수하도록 돕습니다.
2. 보안 취약점 관리: 의존성 정보를 통해 잠재적 보안 위협을 사전에 식별 가능.
3. 정부 규제 대응: CISA NTIA Minimum Specification 등 글로벌 규제를 충족할 수 있는 기반 마련.

고려해야 할 Action Items

1. SBOM 도입 계획 수립:

   • 내부 소프트웨어 개발 프로세스를 분석하고 적절한 도구 선택.
   • Trivy, Scaffold 등 오픈소스를 활용한 초기 테스트 권장.

2. 빌드 단계 통합 검토:

   • Build-level SBOM 생성을 위한 CI/CD 시스템 연계 방안 마련.

3. 커뮤니티 참여:

   • LF Minimum Spec 개선 작업에 기여하거나 관련 논의를 적극적으로 모니터링.

4. 규제 변화 모니터링:

   • 미국 CISA 외에도 EU 및 일본 등 글로벌 규제를 지속적으로 추적하여 대응 전략 수립.

SBOM은 단순한 기술 트렌드를 넘어 기업의 법적/보안적 안정성을 강화하는 핵심 요소로 자리잡고 있습니다.

5 - OpenChain ISO 표준이 InnerSource를 지원하는 방법 이해하기

source: https://openchainproject.org/news/2024/12/04/full-recording-understanding-how-openchain-iso-iec-5230-and-iso-iec-18974-support-innersource-innersource-commons-summit-2024

목차

1. 발표자 소개
2. 웨비나 소개와 목적
3. OpenChain ISO/IEC 5230 및 ISO/IEC 18974의 개요
4. InnerSource와의 연관성
5. ISO 표준의 실제 적용 사례
6. 커뮤니티와 지원 자료
7. 결론 및 제안

1. 발표자 소개

Shane Coughlan은 OpenChain Project의 General Manager로, 오픈소스 표준화와 관련된 글로벌 리더십을 제공하고 있습니다. 그는 오픈소스 생태계에서의 라이선스 준수 및 보안 보증을 위한 국제 표준 개발에 주력하며, InnerSource와 같은 새로운 소프트웨어 개발 방식에도 이를 적용하는 방법을 모색하고 있습니다.

2. 웨비나 소개와 목적

이번 웨비나는 InnerSource Commons Summit 2024에서 진행된 세션으로, OpenChain ISO/IEC 5230(오픈소스 라이선스 준수 국제 표준)와 ISO/IEC 18974(오픈소스 보안 보증 국제 표준)가 InnerSource 프로그램에 어떻게 기여할 수 있는지를 다룹니다.

InnerSource는 내부 협업과 코드 공유를 통해 혁신을 촉진하는 소프트웨어 개발 접근법입니다. 본 발표는 내부 공급망 관리에서 ISO 표준을 활용해 효율성을 높이고, 외부 공급망과의 일관성을 유지하며, 프로세스 불일치로 인한 문제를 최소화하는 방법을 제시합니다.

3. OpenChain ISO/IEC 5230 및 ISO/IEC 18974의 개요

OpenChain ISO/IEC 5230

• 목적: 오픈소스 라이선스 준수를 위한 프로세스 관리 표준 제공.
• 특징: 조직 규모에 관계없이 유연하게 적용 가능하며, 자체 인증(self-certification) 또는 제3자 인증(third-party certification)을 통해 준수 여부를 확인할 수 있음.
• 활용: 조직 내 라이선스 준수 정책 수립 및 실행에 필요한 기본 프레임워크 제공.

ISO/IEC 18974

• 목적: 오픈소스 보안 보증을 위한 프로세스 관리 표준 제공.
• 특징: 코드베이스의 보안 취약점을 식별하고 이를 관리하기 위한 정책과 절차를 포함.
• 활용: 내부 및 외부 공급망에서 보안 위험을 줄이고, 대응 속도를 높이는 데 기여.

4. InnerSource와의 연관성

InnerSource는 조직 내부에서 오픈소스 개발 방식을 채택하여 협업과 혁신을 촉진합니다. 그러나 내부 공급망 관리에서도 외부 공급망과 동일한 수준의 프로세스 관리가 필요합니다.

• 공급망 관리의 확장: 내부 팀 간 코드 공유도 하나의 공급망으로 간주되며, 이를 효과적으로 관리하기 위해 OpenChain ISO 표준이 적용될 수 있음.
• 프로세스 일관성: 내부에서 사용된 프로세스가 외부 공급망으로 확장될 때 번역이나 재구축 없이 그대로 활용될 수 있음.
• InnerSource Program Office 지원: ISO 표준은 InnerSource Program Office가 효율적인 프로세스를 구축하고 운영하는 데 필요한 지침을 제공합니다.

5. ISO 표준의 실제 적용 사례

Adoption 사례

• 전 세계적으로 약 121개 기업이 OpenChain ISO/IEC 5230를 공식 채택했으며, 대표적으로 KT, 삼성 SDS 등이 포함됩니다.
• 독일에서는 PwC가 진행한 연구에 따르면, 대규모 기업(2,000명 이상) 중 약 31%가 해당 표준을 이미 사용하거나 도입 계획 중임.

인증 방식

1. 자체 인증(Self-Certification):
   • 체크리스트를 기반으로 기업이 자체적으로 준수 여부를 확인.
   • 비용이 적고 빠르게 도입 가능.
2. 제3자 인증(Third-Party Certification):
   • 외부 인증 기관이 검증하여 신뢰도를 높임.
   • 규제가 많은 산업에서 선호됨.

성공 사례

• Bosch는 전체 기업 차원에서 OpenChain ISO/IEC 5230를 준수하며, 자체 인증 방식을 통해 효과적인 결과를 얻음.

6. 커뮤니티와 지원 자료

OpenChain 프로젝트는 글로벌 커뮤니티 중심으로 운영되며, 다양한 지원 자료를 제공합니다:

• 교육 자료: 오픈소스 교육 슬라이드 및 체크리스트 제공.
• 정책 템플릿: 조직별 요구사항에 맞춘 정책 작성 지원.
• 산업별 워크그룹: 자동차, 통신 등 특정 산업에 특화된 그룹 운영.
• 공식 파트너 프로그램: 도메인 전문성을 가진 파트너들과 협력하여 표준 채택 지원.

7. 결론 및 제안

ISO 표준은 InnerSource 프로그램이 내부 및 외부 공급망 모두에서 일관성과 효율성을 유지할 수 있도록 돕습니다. 이를 통해 조직은 다음과 같은 이점을 얻을 수 있습니다:

1. 프로세스 최적화: 공급망 전반에 걸쳐 프로세스를 통합하여 중복 작업 제거.
2. 리스크 감소: 라이선스 준수 및 보안 문제를 사전에 예방.
3. 시장 출시 시간 단축: 문제 해결 시간을 줄이고 혁신 속도를 높임.

기업 담당자를 위한 Action Items:

1. 조직 내 InnerSource Program Office 설립 또는 강화.
2. OpenChain ISO/IEC 5230 및 ISO/IEC 18974 도입 검토.
3. 자체 인증 또는 제3자 인증 방식 선택 후 실행 계획 수립.
4. 커뮤니티 활동 참여를 통해 최신 정보와 모범 사례 공유.

ISO 표준은 단순히 규정을 따르는 것을 넘어, 조직이 지속 가능한 소프트웨어 개발 문화를 구축하는 데 핵심적인 역할을 합니다.

6 - SBOM 시각화 - SBOM 검토를 위한 대안적 접근법

source: https://openchainproject.org/news/2024/10/29/webinar-sbom-visualization

목차

1. 소개
2. SBOM의 중요성과 과제
3. SBOM 시각화 도구 소개
4. 시각화 요소 및 기능
5. Chromium 프로젝트 사례 분석
6. Q&A 세션
7. 결론

1. 소개

발표자 소개

이번 웨비나의 발표자는 Bitsea GmbH의 창립자이자 CEO인 Andreas Kotulla 박사입니다. Andreas 박사는 소프트웨어 시스템 감사와 기업의 숨겨진 위험 식별 분야의 전문가입니다. 그는 기술 실사를 지원하고 주요 기반 시설(KRITIS) 운영자들에게 조언을 제공합니다. 또한 오픈소스 전략, 거버넌스, 프로세스, 툴체인에 대해 고객들에게 자문을 제공하며, 오픈소스 프로그램 오피스(OSPO) 및 스캐닝 관리 서비스를 제공합니다.

웨비나 소개와 목적

이 웨비나는 OpenChain Project 웨비나 시리즈의 일환으로 진행되었습니다. 이번 세션에서는 Software Build of Materials(SBOM)의 시각화에 대해 다룹니다. SBOM은 계층 구조, 연결, 수정, 수출 제한, 보안 취약점, 배포 유형, 버전 등 다차원적인 정보를 포함하고 있습니다. 이러한 복잡한 정보를 빠르고 이해하기 쉬운 방식으로 표시하기 위해 메타 정보의 시각화를 구현한 방법에 대해 논의합니다. 이 연구 프로젝트는 독일 연방 경제기후보호부(BMWi)의 지원을 받아 Bonn-Rhein-Sieg University of Applied Sciences와 Bitsea가 공동으로 수행했습니다.

2. SBOM의 중요성과 과제

오늘날 소프트웨어 개발에서 오픈소스는 필수적인 요소가 되었습니다. 2012년경에는 일반적인 프로젝트에서 약 200개의 오픈소스 컴포넌트를 사용했지만, 최근에는 그 수가 3,000개 이상으로 증가했습니다. 이러한 증가는 패키지 관리자의 발전, 작은 컴포넌트들의 사용 증가, 새로운 생태계(npm, Ruby gems, pip 등)의 등장 등 여러 요인에 기인합니다.

이렇게 많은 컴포넌트를 관리하는 것은 매우 복잡한 작업입니다. 라이선스 의무, 보안 취약점, 수출 제한, 운영 위험 등 다양한 측면을 고려해야 합니다. 기존의 리스트 형태의 SBOM으로는 이러한 복잡성을 효과적으로 관리하기 어렵습니다.

3. SBOM 시각화 도구 소개

이러한 문제를 해결하기 위해 SBOM 시각화 도구가 개발되었습니다. 이 도구는 SBOM의 복잡한 정보를 직관적이고 이해하기 쉬운 그래픽으로 표현합니다. 마치 지리적 요소를 보여주는 지도처럼, SBOM 시각화는 소프트웨어의 다양한 컴포넌트와 그들 간의 관계, 특성을 보여줍니다.

시각화의 장점

1. 빠른 개요 및 명확성: 소프트웨어 컴포넌트와 의존성을 시각적으로 표현하여 전체 구조를 직관적으로 이해할 수 있습니다.
2. 간단한 탐색: 개발자와 프로젝트 관리자가 컴포넌트 간의 연결을 인식하고, 잠재적 약점을 식별하며, 변경의 영향을 이해하는 데 도움을 줍니다.
3. 의존성 식별: 컴포넌트 간의 의존 관계, 잠재적 병목 현상이나 위험, 소프트웨어의 중요 부분을 쉽게 파악할 수 있습니다.
4. 커뮤니케이션 및 협력 강화: 팀 전체가 동일한 SBOM 뷰를 공유함으로써 의사소통이 개선됩니다.
5. 명확한 계획 수립: SBOM의 그래픽 표현은 소프트웨어 환경을 상세하고 포괄적으로 보여주는 지도 역할을 합니다.

4. 시각화 요소 및 기능

SBOM 시각화 도구는 다양한 시각적 요소를 사용하여 복잡한 정보를 표현합니다:

컴포넌트 표현

• 기본 형태: 컴포넌트는 이름과 제목이 있는 직사각형으로 표시됩니다.
• 스니펫 표시: 전체 컴포넌트가 아닌 일부만 사용된 경우, 직사각형의 일부가 잘린 형태로 표시됩니다.

라이선스 정보

• 색상 스키마: 신호등 체계를 사용하여 라이선스 의무를 표시합니다.
  • 빨간색: 카피레프트 라이선스 (강한 카피레프트는 진한 빨간색, 약한 카피레프트는 연한 빨간색)
  • 노란색: 특별한 특징이 있는 라이선스, 상업적 라이선스, 수정된 라이선스 등
  • 초록색: 허용적 라이선스

보안 취약점

• 빨간색 정지 표지판: 알려진 보안 취약점이 있는 경우 표시됩니다.
• 숫자 표시: 알려진 취약점의 수를 표시합니다.

기타 정보

• 수출 제한: 느낌표가 있는 주의 표지로 표시
• 수정 여부: 작은 펜 아이콘으로 표시
• 법적 승인 여부: 파란색 물음표로 표시
• 특허 영향: 망치 아이콘으로 표시
• 운영 위험: 별 모양의 느낌표로 표시
• AI 생성 코드: 상단의 파란색 막대로 표시

의존성 표현

• 정적 링킹: 실선으로 연결
• 동적 링킹: 점선으로 연결
• Linux 시스템 콜: 노란색 느낌표로 표시

추가 정보

팝업 메뉴를 통해 소프트웨어 이름, 계층 구조, 라이선스 유형, 전체 라이선스 텍스트, URL, 취약점 목록, 영향을 받는 파일, 저작권 정보 등 추가 정보를 제공합니다.

5. Chromium 프로젝트 사례 분석

발표자는 Google Chromium 프로젝트를 예로 들어 SBOM 시각화 도구의 실제 적용을 보여주었습니다. Chromium은 매우 큰 프로젝트로, 수많은 컴포넌트로 구성되어 있습니다.

시각화 예시

• 전체 뷰: 처음에는 매우 복잡해 보이지만, 필터링과 검색, 확대/축소 기능을 통해 쉽게 탐색할 수 있습니다.
• 확대 뷰: 개별 컴포넌트, 라이선스, 의존성 등을 자세히 볼 수 있습니다.
• 디렉토리 뷰: 컴포넌트의 계층 구조를 더 쉽게 이해할 수 있습니다.

필터링 및 시뮬레이션 기능

• 검색 필터: 특정 라이선스, 이름, 특성 등으로 컴포넌트를 검색할 수 있습니다.
• 보안 취약점 필터: 보안 취약점이 있는 컴포넌트만 표시할 수 있습니다.
• 카피레프트 라이선스 필터: 카피레프트 라이선스를 사용하는 컴포넌트만 표시할 수 있습니다.
• 라이선스 영향 시뮬레이션: 특정 라이선스의 영향을 받는 컴포넌트를 시각적으로 확인할 수 있습니다.
• 라이선스 비호환성 시뮬레이션: 호환되지 않는 라이선스 간의 충돌을 식별할 수 있습니다.

6. Q&A 세션

Q: 이 도구를 직접 테스트해볼 수 있나요? A: 현재 도구는 오픈소스로 공개되지 않았지만, 11월이나 12월경에 공개할 예정입니다. 그 전에 테스트해보고 싶으신 분들은 개인적으로 연락 주시면 도와드리겠습니다.

Q: AI로 생성된 코드를 어떻게 식별하나요? A: 현재로서는 자동으로 식별하는 메커니즘은 없습니다. 이 정보가 제공되면 표시할 수 있습니다.

Q: 특허 영향은 어떻게 정의되나요? A: Apache 라이선스와 같이 특허에 대한 조항이 있는 라이선스를 사용할 때 특허 영향이 있다고 표시합니다. 사용자가 직접 설정할 수도 있습니다.

Q: SPDX나 CycloneDX와 같은 표준 SBOM 형식에서 어떤 정보를 추출하나요? A: 시각화에 표시된 모든 정보와 팝업에 표시되는 추가 정보를 추출합니다. 일부 정보는 다른 도구를 통해 얻어야 할 수도 있습니다.

Q: 라이선스 분류는 어떻게 이루어지나요? A: 기본적인 분류를 제공하지만, 사용자가 직접 설정할 수 있습니다. 예를 들어, AGPL이나 GPL은 강한 카피레프트로, 다른 공개 라이선스는 약한 카피레프트로 분류합니다.

Q: 현재 데이터베이스에는 몇 개의 라이선스가 분석되어 있나요? A: 약 1,000개의 다른 라이선스가 데이터베이스에 있습니다.

7. 결론

SBOM 시각화 도구는 복잡한 소프트웨어 구성을 쉽게 이해하고 관리할 수 있게 해줍니다. 이는 마치 최신 내비게이션 시스템처럼 SBOM의 복잡한 “거리와 동네"를 탐색하는 데 도움을 줍니다. 이 도구의 주요 장점은 복잡한 정보를 명확하고 포괄적으로 제시하며, 상호작용이 가능하다는 것입니다.

소프트웨어 환경을 쉽게 탐색할 수 있게 해주며, 잠재적 위험을 빠르게 식별할 수 있습니다. 특히 내부 사용, SaaS, 제품 배포 등 다양한 사용 모델에 따라 오픈소스 사용의 영향이 다를 수 있는데, 이 도구를 통해 각 상황에 맞는 위험을 쉽게 파악할 수 있습니다.

이 SBOM 시각화 도구는 오픈소스로 공개될 예정이며, 향후 유럽 사이버 복원력 법(Cyber Resilience Act)에 대응하기 위한 프로젝트의 일부로 포함될 예정입니다.

7 - 데이터가 AI 공급망에서 차지하는 역할

source: https://openchainproject.org/news/2024/10/10/webinar-the-role-of-data-in-the-supply-chain-of-ai

목차

1. 발표자 소개
2. 웨비나 소개와 목적
3. AI 공급망과 데이터의 중요성
4. 공개 데이터셋 및 AI 모델의 활용과 리스크
5. AI 규제와 데이터 투명성의 미래
6. 기업을 위한 전략 및 액션 아이템

1. 발표자 소개

Nick Schifano는 FastCatalog.ai의 CEO이자 창립자로, AI와 법적 프레임워크 분야의 전문가입니다. Microsoft에서 11년간 근무하며 기술 규제 및 AI/ML 법적 검토를 주도했으며, 특히 AI 모델 훈련에 필요한 데이터 사용 검토 시스템을 설계했습니다. 현재 FastCatalog.ai를 통해 AI 공급망 관리 기술과 서비스를 제공하고 있습니다.

2. 웨비나 소개와 목적

이번 웨비나는 AI 공급망에서 데이터가 차지하는 역할과 관련된 주요 이슈를 다루며, 다음과 같은 주제를 중심으로 논의되었습니다:

• 모델 계보와 훈련 데이터에 숨겨진 리스크
• 데이터 투명성의 중요성과 기업에 미치는 영향
• AI 및 데이터 공급망 관리 전략
• EU AI Act 등 새로운 규제에 대비하는 방법

Nick Schifano는 이러한 주제를 통해 기업들이 새로운 규제 환경에 대비하고 AI 공급망을 효과적으로 관리할 수 있도록 실질적인 가이드를 제공했습니다.

3. AI 공급망과 데이터의 중요성

3.1 AI 시스템 구축 과정

AI 시스템은 크게 네 단계로 나뉩니다:

1. 소싱(Source): 훈련 데이터, 기존 모델, 훈련 프레임워크 등 필요한 자원을 확보.
2. 구축(Build): 데이터를 사용해 모델을 훈련하거나 기존 모델을 미세 조정.
3. 배포(Deploy): 완성된 모델을 클라우드, 온프레미스 또는 디바이스에 배포.
4. 관리(Manage): 전체 프로세스를 지속적으로 모니터링하고 규제 준수 여부를 확인.

3.2 데이터의 역할

AI 모델 훈련에는 다양한 형태의 데이터가 필요합니다:

• 공개 데이터셋 (예: Common Crawl, Red Pajama)
• 오픈소스 모델 (예: Meta Llama)
• 훈련 프레임워크 (예: PyTorch, TensorFlow)

Nick은 특히 공개 데이터셋과 오픈소스 모델이 제공하는 기회와 위험 요소를 강조하며, 각 구성 요소가 어떻게 AI 제품에 영향을 미치는지를 설명했습니다.

4. 공개 데이터셋 및 AI 모델의 활용과 리스크

4.1 주요 공개 데이터셋

• Common Crawl: 인터넷 전반을 크롤링한 텍스트 데이터를 포함하며, OpenAI 및 Meta 등의 대규모 언어 모델 훈련에 활용됨.
• Red Pajama: Apache 2.0 라이선스를 따르지만 Common Crawl 기반으로 생성되어 법적 복잡성이 존재.
• BookCorpus: 전자책 데이터를 포함하며 저작권 문제를 야기할 가능성이 있음.

4.2 오픈소스 모델

• Llama 3.1 (Meta): 특정 라이선스 조건(예: “Built with Llama” 표시 의무) 포함.
• Black Forest FLUX: 비상업적 사용만 허용하는 라이선스를 따름.

4.3 주요 과제

Nick은 다음과 같은 문제들을 지적했습니다:

• 데이터 출처 불명확성으로 인한 법적 리스크.
• 저작권 침해 가능성과 이에 따른 소송 사례(예: 뉴욕타임즈 vs OpenAI).
• 특정 지역(예: EU)에서 요구되는 투명성 기준 충족 여부.

5. AI 규제와 데이터 투명성의 미래

5.1 주요 규제 동향

Nick은 여러 지역에서 시행 중인 규제를 다음과 같이 요약했습니다:

• EU AI Act: 훈련 데이터 출처 공개 및 기술 문서 유지 의무화.
• 미국 캘리포니아 AB 2013 법안: 생성형 AI 훈련 데이터 투명성 요구.
• 일본 METI 가이드라인: 데이터 출처 추적 가능성 확보 권장.

5.2 글로벌 협력 가능성

GDPR처럼 EU AI Act가 글로벌 표준으로 자리 잡을 가능성을 논의했지만, 각 지역별로 상이한 접근 방식이 존재함을 강조했습니다.

6. 기업을 위한 전략 및 액션 아이템

6.1 오픈소스 관리 담당자를 위한 의미

오픈소스 및 공개 데이터를 사용하는 기업은 다음 사항을 고려해야 합니다:

• 공개된 라이선스 조건 준수 여부 확인.
• 훈련 데이터 및 모델 사용 내역 투명하게 기록.
• 새로운 규제에 대비해 내부 프로세스 정비.

6.2 고려해야 할 Action Item

1. 데이터 및 모델 카탈로그 구축:
   • 사용 중인 모든 데이터셋과 모델의 출처, 라이선스 조건 등을 기록.
2. 투명성 보고서 작성 프로세스 마련:
   • 규제가 요구하는 정보를 포함한 표준화된 보고서 작성 체계 수립.
3. 리스크 관리 방안 개발:
   • 저작권 침해나 기타 법적 문제 발생 시 대응 절차 마련.
4. 내부 승인 프로세스 강화:
   • 안전한 프로파일(예: 오픈소스 라이선스 준수)을 정의하고 빠른 승인 절차 제공.

이번 웨비나는 AI 공급망 관리에서 데이터를 중심으로 한 복잡한 문제들을 심도 있게 다루며 기업들이 직면할 수 있는 도전 과제를 명확히 했습니다. Nick Schifano는 기술적·법적 전문성을 바탕으로 실질적인 조언을 제공하며, 참석자들에게 큰 통찰을 안겨주었습니다.

8 - AI: 현재의 법적 환경

source: https://openchainproject.org/featured/2024/09/27/webinar-ai-the-current-legal-landscape

목차

1. 소개
2. AI와 오픈소스의 교차점
3. 소송 개요
4. 법규/입법 개요
5. 데이터 보호와 AI
6. Q&A

1. 소개

제목

AI: 현재의 법적 환경

발표자 소개

• Tony: GTC Law Group의 IP 전문 변호사. AI, 오픈소스, 특허 전략, 거래 분야 전문.
• Well: 기계학습 박사 학위 소지자. AI 제품 연구 과학자 및 프로그래머 경력.
• Stas: 전 Amazon Kindle 팀 멤버, Audible 전 법무 자문, Netflix AI 법무 담당. GTC의 AI 그룹 공동 리더.
• Shay: 데이터 프라이버시 및 사이버 보안 전문가. 신흥 기술 관련 자문 경험 풍부.

웨비나 소개와 목적

이 웨비나는 OpenChain 커뮤니티에서 주최하는 AI 관련 법적 환경에 대한 논의의 연장선상에 있습니다. 지난해에 이어 GTC Law 팀이 생성형 AI를 둘러싼 현재의 법적 환경에 대해 포괄적으로 설명합니다. 이 웨비나의 목적은 AI 기술의 발전에 따른 법적 문제들을 살펴보고, 기업과 개발자들이 알아야 할 주요 사항들을 제공하는 것입니다.

2. AI와 오픈소스의 교차점

AI의 발전 과정

• AGI(Artificial General Intelligence): 인간 수준의 지능을 가진 기계
• AI(Artificial Intelligence): 특정 작업에 대한 인간 지능 모방
• Machine Learning: AI의 한 기법, 데이터셋으로부터 학습하여 모델 생성
• Deep Learning: 대량의 데이터와 연산력 필요, 신경망 기반
• Generative AI: 새로운 데이터 생성 능력

Generative AI 응용

• 텍스트 생성
• 이미지 생성
• 코드 생성
• 비디오 생성
• 음악 생성
• 합성 데이터 생성

AI와 오픈소스 라이선스

많은 AI 도구들이 오픈소스 라이선스로 제공됩니다. 예를 들어:

• PyTorch
• TensorFlow
• OpenCV
• Keras
• Transformers

Meta의 LLaMA 모델은 “오픈소스"라고 불리지만, 실제로는 상업적 라이선스에 가깝습니다. 특히 7억 명 이상의 활성 사용자를 가진 경우 별도의 라이선스가 필요하며, LLaMA의 출력을 다른 언어 모델 개선에 사용할 수 없다는 제한이 있습니다.

Responsible AI Licenses (RAIL)

RAIL은 AI 기술의 비윤리적 사용을 제한하기 위해 만들어진 라이선스입니다. 주요 특징:

• 사용 제한 조항 포함
• 하위 사용자에게도 동일한 행동 제한 요구
• 감시, 딥페이크, 의료, 범죄 기록 등에 대한 사용 제한

RAIL은 최근 많은 주목을 받고 있으며, MIT나 Apache 라이선스보다 더 많은 AI 모델에 적용되고 있습니다.

3. 소송 개요

AI, 특히 생성형 AI 제공업체들을 상대로 한 소송이 증가하고 있습니다. 주요 소송 분야:

컴퓨터 코드 관련

• GitHub Copilot 관련 집단 소송
• 주요 쟁점: DMCA 위반, 계약 위반, 과실, 사기

이미지 관련

• Stability AI의 Stable Diffusion 관련 소송
• 주요 쟁점: 저작권 침해, DMCA 위반, 불공정 경쟁

문서 관련

• 저자들의 저작권 침해 소송
• 주요 쟁점: 직접 및 간접 저작권 침해, DMCA 위반, 불공정 경쟁

음악 관련

• 실제 녹음물 및 가사 관련 소송
• 주요 쟁점: 저작권 침해, DMCA 위반

GitHub Copilot 소송 사례

• 주요 쟁점: DMCA 위반, 오픈소스 라이선스 위반, GitHub 이용약관 위반
• 최근 법원은 원고의 일부 주장을 기각

Getty Images vs Stability AI 소송 사례

• 주요 쟁점: 저작권 침해, 저작권 관리 정보 위반, 상표 희석
• Stable Diffusion이 Getty Images의 워터마크를 변형하여 사용한 점이 쟁점

4. 법규/입법 개요

AI 규제는 크게 네 가지 유형으로 분류할 수 있습니다:

1. 기존 법률 적용

   • 소비자 보호, 차별 금지, 프라이버시 등

2. 일반 AI 규제

   • EU AI Act
   • Colorado Consumer Protections for AI
   • Utah Artificial Intelligence Policy Act

3. 산업 또는 사용 사례별 AI 규제

   • 보험사의 AI 사용
   • 고용 결정에서의 AI 사용
   • 정부의 AI 조달 및 사용

4. 정책 수립 중심

   • AI 규제 제안을 위한 태스크포스 설립
   • AI 기술의 중요성을 인식하는 선언
   • AI 채택을 촉진하기 위한 정부 지출 프로그램 수립

5. 데이터 보호와 AI

2024년 프라이버시 법 요약

• 20개의 포괄적 프라이버시 법
• 2020년부터 2026년 사이에 발효
• 대부분 “소비자"의 “개인 데이터"에 적용
• 캘리포니아 법은 더 광범위한 적용 범위

AI와 데이터 보호의 교차점

• 보안 문제와 데이터 유출
• 복잡한 프라이버시 준수 의무
• 자동화된 의사 결정 시스템에 대한 소비자 옵트아웃 권리
• 고위험 AI 시스템에 대한 추가 요구사항
• 편향과 차별 방지에 중점

사례 연구: AI 훈련을 위한 데이터 스크래핑

• 중요한 결정, 프로파일링, AI/LLM 훈련 등의 사용 사례
• 개인 데이터, 민감 데이터, 이미지, 사용자 생성 콘텐츠 등의 데이터 사용
• 인간 개입, 신뢰성, 투명성, 정확성, 편향/차별 등의 출력 관련 고려사항

6. Q&A

Q: LLAMA 모델의 “다른 모델 개선에 사용 불가” 조항에 대해 설명해주세요. A: 라이선스 조항에 따르면, LLAMA 자료나 그 결과물을 LLAMA 2나 그 파생물을 제외한 다른 대규모 언어 모델을 개선하는 데 사용할 수 없습니다. 이는 Meta가 경쟁을 제한하고 자사의 모델 우위를 유지하려는 의도로 보입니다.

Q: RAIL 라이선스가 모든 라이선스를 “스노우플레이크"로 만드는 것 아닌가요? A: RAIL의 기본 아이디어는 사용 제한과 하위 사용자 준수를 요구하는 것이지만, 실제로는 몇 가지 표준화된 버전으로 수렴하고 있습니다. 예를 들어, Hugging Face에서는 “Creative ML OpenRAIL-M” 라이선스가 23,000개 이상의 모델에 사용되고 있습니다.

Q: 소송의 타임라인은 어떻게 되나요? A: 정확한 타임라인은 없지만, 유사한 소송 사례를 보면 최종 결정까지 5-10년이 걸릴 수 있습니다. 법률은 종종 새로운 기술을 따라가는 데 시간이 걸리므로, 판례법보다는 법규를 통한 지침이 먼저 나올 가능성이 높습니다.

Q: 교육 분야에서 AI 사용 감지 도구의 편향성 문제는 어떻게 해결해야 하나요? A: 이는 중요한 문제입니다. 도구 자체에만 의존하지 말고 인간의 판단을 병행해야 합니다. 캘리포니아의 새로운 규정은 자동화된 의사결정이 중요한 요소인 경우에도 규제 범위에 포함시키려 하고 있습니다. 이는 교육자가 도구에 과도하게 의존하는 경우에도 규제 대상이 될 수 있음을 의미합니다.

요약 보고서

기업의 오픈소스 관리 담당자에게 갖는 의미

1. AI 기술과 오픈소스의 융합: 많은 AI 도구들이 오픈소스로 제공되고 있어, 오픈소스 관리의 중요성이 더욱 커지고 있습니다.

2. 새로운 라이선스 유형 등장: RAIL과 같은 새로운 라이선스 유형이 등장하고 있어, 이에 대한 이해와 관리가 필요합니다.

3. 법적 리스크 증가: AI 관련 소송이 증가하고 있어, 오픈소스 사용 시 법적 리스크에 대한 주의가 필요합니다.

4. 데이터 보호 의무 강화: AI 사용에 따른 데이터 보호 의무가 강화되고 있어, 오픈소스 AI 도구 사용 시에도 이를 고려해야 합니다.

5. 규제 환경 변화: AI 관련 규제가 빠르게 변화하고 있어, 이에 대한 지속적인 모니터링이 필요합니다.

고려해야 할 Action Item

1. AI 관련 오픈소스 라이선스 검토: 사용 중인 AI 도구들의 라이선스를 철저히 검토하고, 특히 RAIL과 같은 새로운 라이선스 유형에 주의를 기울입니다.

2. 데이터 사용 정책 수립: AI 훈련에 사용되는 데이터의 출처와 사용 권한을 명확히 하는 정책을 수립합니다.

3. AI 사용 가이드라인 제정: 회사 내 AI 도구 사용에 대한 가이드라인을 만들어 법적 리스크를 최소화합니다.

4. 정기적인 컴플라이언스 검토: AI 관련 법규 준수 여부를 정기적으로 검토하고 필요한 조치를 취합니다.

5. AI 윤리 정책 수립: