2. 기획

Mon, 01 Jan 0001 00:00:00 +0000

1. 개요

ISO/IEC 42001 §6은 AI 시스템과 관련된 리스크와 기회를 체계적으로 파악하고 대응하는 방법을 요구한다. 특히 **§6.1.2(AI 리스크 평가)**와 **§6.1.4(AI 시스템 영향 평가)**는 오픈소스 컴포넌트로 인해 발생할 수 있는 리스크를 포함하는 데 직접 활용된다.

2. §6.1.2 AI 리스크 평가 — 오픈소스 리스크 포함 ★

ISO/IEC 42001은 AI 시스템과 관련된 리스크를 식별·분석·평가하는 프로세스를 요구한다. 오픈소스 담당자는 이 프로세스에 오픈소스 라이선스 리스크와 보안 취약점 리스크를 명시적으로 포함해야 한다.

오픈소스 관련 AI 리스크 유형

리스크 유형	원인	영향	대응 방법
라이선스 비준수	AI 모델의 커스텀 라이선스 조건 미확인	법적 분쟁, 서비스 중단	사용 전 라이선스 검토 의무화
GPL 오염	Copyleft 라이선스 AI 컴포넌트와 독점 코드 결합	소스 코드 공개 의무 발생	라이선스 호환성 사전 검토
모델 라이선스 조건 위반	MAU 제한, 용도 제한 조건 미충족	라이선스 취소, 손해배상	조건별 준수 여부 정기 점검
오픈소스 취약점	AI 프레임워크 또는 의존성의 CVE	시스템 침해, 데이터 유출	정기 SCA 스캔, 패치 적용
데이터셋 라이선스 위반	CC-BY-NC 데이터를 상업 서비스에 사용	저작권 침해	데이터셋 라이선스 재검토
공급망 리스크	외부 오픈소스 모델의 라이선스 변경	서비스 연속성 위협	공급망 모니터링 체계 구축

AI 리스크 평가서에 포함할 오픈소스 항목

## AI 리스크 평가서 — 오픈소스 리스크 섹션

### 평가 대상 AI 시스템: [시스템명]
### 평가 일자: YYYY-MM-DD

| # | 리스크 항목 | 현재 사용 컴포넌트 | 가능성 | 영향도 | 리스크 수준 | 대응 조치 |
|---|------------|-----------------|:----:|:----:|:---------:|---------|
| 1 | 라이선스 비준수 | [모델명 · 라이선스] | 중 | 상 | 높음 | 법무 검토 |
| 2 | OSS 취약점 | [프레임워크명 · 버전] | 중 | 상 | 높음 | SCA 스캔 |
| 3 | 데이터셋 라이선스 | [데이터셋명 · 라이선스] | 저 | 중 | 중간 | 라이선스 재확인 |

ISO/IEC 18974와의 연계

AI 시스템에 사용된 오픈소스 취약점 리스크는 ISO/IEC 18974의 §4.3.2(보안 보증) 요구사항과 직접 연결된다. 18974의 취약점 탐지·평가 프로세스를 AI 시스템에도 적용하면 별도의 리스크 평가 체계를 구축하지 않아도 된다.

기획 on OpenChain KWG

2. 기획

1. 개요

2. §6.1.2 AI 리스크 평가 — 오픈소스 리스크 포함 ★

오픈소스 관련 AI 리스크 유형

AI 리스크 평가서에 포함할 오픈소스 항목