ISO/IEC 42001 on OpenChain KWG

ISO 5230 · 18974 · 42001 비교

Mon, 01 Jan 0001 00:00:00 +0000

1. 세 표준의 관계

오픈소스를 사용하는 AI 시스템을 개발하는 기업은 세 가지 표준이 교차하는 지점에 있다.

flowchart LR
 subgraph oss["오픈소스 관리"]
 A["ISO/IEC 5230\n라이선스 컴플라이언스\n(라이선스·SBOM·산출물)"]
 B["ISO/IEC 18974\n보안 보증\n(취약점 탐지·대응·CVD)"]
 end

 subgraph ai["AI 시스템 관리"]
 C["ISO/IEC 42001\nAI 관리 시스템\n(거버넌스·리스크·생애주기)"]
 end

 oss -- "AI 시스템 내\n오픈소스 컴플라이언스" --> ai

ISO 5230과 18974는 오픈소스 자체를 관리하는 표준이고, ISO 42001은 AI 시스템을 관리하는 표준이다. 두 영역은 독립적이지만, AI 시스템이 오픈소스를 활용할 때 교차점이 발생한다.

ISO/IEC 42003 — AI 시스템 구현 가이드 (개발 중)

ISO/IEC 42001이 원칙적 요구사항을 제시하는 반면, ISO/IEC 42003은 42001의 구체적 구현 방법을 안내하는 가이드(새롭게 승인된 work item)다. OpenChain AI Work Group은 AI SBOM을 ISO 42003의 투명성·설명 가능성 조항 (Appendix C.2.11 — Transparency and Explainability)에 반영하는 것을 추진 중이다. AI SBOM 의무화 관련 최신 동향은 AI Work Group 활동을 참고한다.

1. 조직 맥락과 리더십

Mon, 01 Jan 0001 00:00:00 +0000

1. 개요

ISO/IEC 42001 §4와 §5는 AI 관리 시스템의 기반이다. 조직이 어떤 AI 시스템을 운영하는지, 이해관계자가 누구인지, 최고경영진이 어떤 원칙으로 AI를 관리할지를 결정한다.

오픈소스 담당자 관점에서 §5.2(AI 정책)가 가장 중요한 교차점이다. AI 정책에 오픈소스 사용에 관한 원칙을 포함하면 ISO 5230 정책과 통합 운영이 가능하다.

2. §4 조직 맥락 — 오픈소스 관련 고려사항

§4.1 조직과 조직 맥락 이해

AI 관리 시스템의 목적에 영향을 미치는 내·외부 이슈를 파악할 때, 오픈소스 관련 외부 이슈를 포함한다:

AI 시스템의 오픈소스 관리

Mon, 01 Jan 0001 00:00:00 +0000

1. 개요

ISO/IEC 42001 §8.5(AI 시스템 생애주기)와 §8.6(AI 데이터 관리)는 AI 시스템 개발 단계에서 관리해야 할 요구사항을 다룬다. 오픈소스 관점에서는 AI 시스템에 사용하는 오픈소스 컴포넌트의 라이선스 컴플라이언스가 핵심이다.

2. §8.5 AI 시스템 생애주기 — 오픈소스 프레임워크 · 모델 관리

2.1 기획·설계 단계

AI 시스템 기획 단계에서 사용할 오픈소스 프레임워크와 모델을 선정할 때 라이선스를 사전에 검토한다.

라이선스 사전 검토 절차:

1. 사용 후보 컴포넌트 목록 작성
 (프레임워크명, 버전, 출처 URL)

2. 라이선스 확인
 - 프레임워크: PyPI, npm, GitHub README 확인
 - AI 모델: Hugging Face Model Card, 공식 저장소 확인

3. 라이선스 조건 검토 항목
 □ 상업적 사용 허용 여부
 □ 파생물(Fine-tuning 모델) 공개 의무 여부
 □ 저작권 고지 의무 여부
 □ 특허 조항 여부 (Apache 2.0의 명시적 특허 허여 등)
 □ MAU 또는 매출 기반 사용 제한 여부

4. 허용 불가 라이선스 식별 시 대안 컴포넌트 탐색

2.2 개발 단계

개발 중 새로운 오픈소스 컴포넌트를 추가할 때마다 라이선스를 확인하고 AI SBOM에 즉시 반영한다.

2. 기획

Mon, 01 Jan 0001 00:00:00 +0000

1. 개요

ISO/IEC 42001 §6은 AI 시스템과 관련된 리스크와 기회를 체계적으로 파악하고 대응하는 방법을 요구한다. 특히 **§6.1.2(AI 리스크 평가)**와 **§6.1.4(AI 시스템 영향 평가)**는 오픈소스 컴포넌트로 인해 발생할 수 있는 리스크를 포함하는 데 직접 활용된다.

2. §6.1.2 AI 리스크 평가 — 오픈소스 리스크 포함 ★

ISO/IEC 42001은 AI 시스템과 관련된 리스크를 식별·분석·평가하는 프로세스를 요구한다. 오픈소스 담당자는 이 프로세스에 오픈소스 라이선스 리스크와 보안 취약점 리스크를 명시적으로 포함해야 한다.

오픈소스 관련 AI 리스크 유형

리스크 유형	원인	영향	대응 방법
라이선스 비준수	AI 모델의 커스텀 라이선스 조건 미확인	법적 분쟁, 서비스 중단	사용 전 라이선스 검토 의무화
GPL 오염	Copyleft 라이선스 AI 컴포넌트와 독점 코드 결합	소스 코드 공개 의무 발생	라이선스 호환성 사전 검토
모델 라이선스 조건 위반	MAU 제한, 용도 제한 조건 미충족	라이선스 취소, 손해배상	조건별 준수 여부 정기 점검
오픈소스 취약점	AI 프레임워크 또는 의존성의 CVE	시스템 침해, 데이터 유출	정기 SCA 스캔, 패치 적용
데이터셋 라이선스 위반	CC-BY-NC 데이터를 상업 서비스에 사용	저작권 침해	데이터셋 라이선스 재검토
공급망 리스크	외부 오픈소스 모델의 라이선스 변경	서비스 연속성 위협	공급망 모니터링 체계 구축

AI 리스크 평가서에 포함할 오픈소스 항목

## AI 리스크 평가서 — 오픈소스 리스크 섹션

### 평가 대상 AI 시스템: [시스템명]
### 평가 일자: YYYY-MM-DD

| # | 리스크 항목 | 현재 사용 컴포넌트 | 가능성 | 영향도 | 리스크 수준 | 대응 조치 |
|---|------------|-----------------|:----:|:----:|:---------:|---------|
| 1 | 라이선스 비준수 | [모델명 · 라이선스] | 중 | 상 | 높음 | 법무 검토 |
| 2 | OSS 취약점 | [프레임워크명 · 버전] | 중 | 상 | 높음 | SCA 스캔 |
| 3 | 데이터셋 라이선스 | [데이터셋명 · 라이선스] | 저 | 중 | 중간 | 라이선스 재확인 |

ISO/IEC 18974와의 연계

AI 시스템에 사용된 오픈소스 취약점 리스크는 ISO/IEC 18974의 §4.3.2(보안 보증) 요구사항과 직접 연결된다. 18974의 취약점 탐지·평가 프로세스를 AI 시스템에도 적용하면 별도의 리스크 평가 체계를 구축하지 않아도 된다.

AI SBOM

Mon, 01 Jan 0001 00:00:00 +0000

1. AI SBOM이란?

**AI SBOM(AI System Bill of Materials)**은 AI 시스템을 구성하는 모든 요소의 목록과 그 출처·라이선스를 문서화한 것이다. 소프트웨어 SBOM(ISO/IEC 5230 §3.3.1)의 개념을 AI 시스템으로 확장한 것으로, ISO/IEC 42001 §7.5(문서화된 정보) 요구사항의 핵심 산출물이다.

AI SBOM이 필요한 이유: 투명성과 규제 대응

AI SBOM은 AI 시스템의 투명성과 설명 가능성을 확보하는 핵심 수단이다. ISO/IEC 42001 Appendix C.2.11은 투명성과 설명 가능성을 AI 관리 시스템의 핵심 목표로 명시한다.

요구 주체	근거	AI SBOM 역할
ISO/IEC 42001	Appendix C.2.11 (투명성·설명 가능성)	AI 시스템 구성 투명성 확보
EU AI Act	고위험 AI 시스템 기술 문서 요건	학습 데이터·모델 출처 명시
EU Cyber Resilience Act(CRA)	AI 제품의 투명성 의무	컴포넌트 목록 및 취약점 추적
OpenChain AI Work Group	AI SBOM Compliance Guide	공급망 내 AI SBOM 표준 절차

ISO/IEC 42003과 AI SBOM

ISO/IEC 42001의 구현 가이드인 ISO/IEC 42003(개발 중)에 AI SBOM 관련 구체적 요구사항이 포함될 예정이다. OpenChain AI Work Group은 AI SBOM 가이드를 42003의 §6.2(AI 목표)와 Appendix C.2.11(투명성·설명 가능성)에 반영하는 것을 추진 중이다.

3. 지원

Mon, 01 Jan 0001 00:00:00 +0000

1. 개요

ISO/IEC 42001 §7은 AI 관리 시스템을 운영하는 데 필요한 역량, 인식, 커뮤니케이션, 문서화를 다룬다. 오픈소스 담당자 관점에서는 **§7.2(역량)**과 **§7.5(문서화된 정보)**가 핵심 교차점이다.

2. §7.2 역량 — AI 오픈소스 관리 역량 ★

ISO/IEC 42001은 AI 관련 역할을 수행하는 인원이 필요한 역량을 갖추도록 요구한다. 오픈소스 컴플라이언스 관점에서 AI 개발·운영 인원에게 다음 역량이 포함되어야 한다.

AI 오픈소스 관리 역량 요소

역량 영역	내용	관련 교육
AI 프레임워크 라이선스 이해	PyTorch·TensorFlow 등 주요 라이선스 조건 파악	오픈소스 라이선스 교육
AI 모델 라이선스 검토	커스텀 라이선스 조건(사용 제한, 파생물 처리) 분석	법무팀 협업 교육
AI SBOM 작성	SPDX 3.0 AI 프로파일 기반 AI SBOM 구성 방법	AI SBOM 실습
오픈소스 취약점 관리	AI 시스템 의존성 SCA 스캔 및 CVE 대응	DevSecOps 교육
오픈 데이터 라이선스	CC 계열 라이선스 조건 및 데이터셋 사용 규칙	데이터 라이선스 교육

기존 오픈소스 역량 체계와의 통합

ISO/IEC 5230 역량 체계 확장

기업이 ISO/IEC 5230 기반의 역량·교육 체계를 이미 운영 중이라면, 기존 오픈소스 교육 과정에 AI 특화 모듈을 추가하는 방식으로 확장한다.

AI 공급망 검증

Mon, 01 Jan 0001 00:00:00 +0000

1. 개요

ISO/IEC 42001 §8.8은 외부에서 조달하는 AI 시스템(모델, API, 서비스)을 사용할 때 적절한 평가와 검증을 수행할 것을 요구한다. 오픈소스 관점에서는 외부 오픈소스 AI 모델을 조달할 때 라이선스·보안·공급망 리스크를 검증하는 절차가 핵심이다.

2. 외부 AI 조달의 세 가지 유형

유형	예시	오픈소스 관련성
오픈소스 AI 모델 직접 사용	Llama, Mistral, Falcon 모델 가중치 다운로드	높음 — 라이선스 직접 적용
오픈소스 기반 AI 서비스	Hugging Face Inference API, Ollama	중간 — 기반 모델 라이선스 확인 필요
상용 AI API	OpenAI API, Google Vertex AI	낮음 — 서비스 약관 적용 (OSS 라이선스 직접 적용 안 됨)

이 가이드는 **유형 1(오픈소스 AI 모델 직접 사용)**과 **유형 2(오픈소스 기반 AI 서비스)**를 중심으로 다룬다.

4. 운영

Mon, 01 Jan 0001 00:00:00 +0000

개요

ISO/IEC 42001 §8은 AI 관리 시스템의 실제 운영 단계를 다룬다. 오픈소스 관점에서 §8은 가장 많은 교차점을 포함하는 섹션이다.

하위 조항	내용	오픈소스 교차
§8.1	운영 기획 및 통제	오픈소스 검토 프로세스 운영
§8.2~8.3	AI 리스크 평가·처리 (운영 시)	OSS 취약점 리스크 대응
§8.4	AI 시스템 영향 평가 (운영 시)	OSS 취약점의 시스템 영향
§8.5	AI 시스템 생애주기	★ OSS 프레임워크·모델 라이선스
§8.6	AI 시스템을 위한 데이터	★ 오픈 데이터셋 라이선스
§8.7	피드백 인터페이스	—
§8.8	외부 AI 시스템 조달	★ 외부 OSS 모델 공급망 검증

세부 페이지

이 섹션의 오픈소스 교차 항목은 다음 세부 페이지에서 상세히 다룬다:

ISO/IEC 42001 가이드

Mon, 01 Jan 0001 00:00:00 +0000

이 가이드는 오픈소스 담당자 관점에서 ISO/IEC 42001(AI Management System)의 요구사항 중 오픈소스 관리와 교차하는 핵심 항목을 풀어서 설명한다. AI 시스템에서 오픈소스 프레임워크, 사전 훈련 모델, 학습 데이터셋을 사용할 때 무엇을 준수해야 하는지, AI SBOM은 어떻게 구성하는지 실무 중심으로 안내한다.

Author : OpenChain Korea Work Group / CC BY 4.0

ISO/IEC 42001이란?

ISO/IEC 42001:2023은 조직이 AI 시스템을 책임감 있고 투명하게 개발·운영·관리하기 위한 AI 관리 시스템(AIMS, AI Management System) 국제 표준이다.

항목	내용
정식 명칭	ISO/IEC 42001:2023 Information technology — Artificial intelligence — Management system
제정 기관	ISO/IEC JTC 1/SC 42 (인공지능)
제정 연도	2023
표준 계열	ISO 경영 시스템 표준 (ISO 9001, ISO 27001과 동일 구조)
적용 대상	AI 제품·서비스를 개발, 제공, 사용하는 모든 조직

ISO/IEC 5230 · 18974와의 차이

ISO/IEC 5230(라이선스 컴플라이언스)과 ISO/IEC 18974(보안 보증)는 OpenChain 프로젝트가 먼저 스펙을 만들고 ISO가 표준으로 채택한 것으로, 오픈소스 소프트웨어 관리에 특화되어 있다. OpenChain이 무료 자가 인증 체크리스트를 제공한다.

5. 성과 평가와 개선

Mon, 01 Jan 0001 00:00:00 +0000

1. 개요

ISO/IEC 42001 §9와 §10은 AI 관리 시스템이 의도한 결과를 달성하고 있는지 확인하고, 부족한 점을 개선하는 사이클을 다룬다. 오픈소스 관점에서는 **§9.1(모니터링·측정)**이 오픈소스 컴플라이언스 지표와 연계된다.

2. §9.1 모니터링 및 측정 — 오픈소스 컴플라이언스 지표 ★

ISO/IEC 42001은 AI 관리 시스템의 성과를 모니터링하고 측정할 것을 요구한다. 기존 오픈소스 컴플라이언스 지표를 AI 관리 시스템의 성과 지표에 통합한다.

오픈소스 관련 AI 성과 지표 예시

지표	측정 방법	목표	측정 주기
AI SBOM 최신화율	AI 배포 대비 AI SBOM 갱신 완료율	100%	배포 시마다
모델 라이선스 검토율	신규 도입 모델 대비 라이선스 검토 완료율	100%	분기별
Critical CVE 패치율	Critical CVE 발견 후 14일 이내 패치 완료율	95% 이상	월별
데이터셋 라이선스 기록율	AI SBOM 내 데이터셋 라이선스 기록 완료율	100%	분기별
OSS 라이선스 위반 건수	라이선스 위반 발견 건수 및 해결 소요 시간	0건 목표	월별
AI 공급망 검증율	외부 모델 조달 시 공급망 검증 완료율	100%	조달 시마다

ISO/IEC 5230 · 18974 지표와 통합

이미 ISO/IEC 5230 또는 18974 기반의 오픈소스 컴플라이언스 지표를 운영 중이라면, AI 관련 지표를 기존 오픈소스 대시보드에 추가하는 방식으로 통합 관리한다. 별도의 AI 전용 측정 체계를 구축할 필요가 없다.

7. AI 컴플라이언스

Mon, 01 Jan 0001 00:00:00 +0000

AI 시스템은 오픈소스 프레임워크, 사전 훈련된 모델, 오픈 데이터셋을 광범위하게 활용한다. 오픈소스 관리 체계(ISO/IEC 5230 · 18974)를 운영하는 기업은 AI 시스템 개발 단계에서도 오픈소스 컴플라이언스 원칙을 적용해야 한다.

ISO/IEC 42001(AI 관리 시스템)은 AI 거버넌스 전반을 다루며, 그 중 일부 조항이 오픈소스 관리와 직접 교차한다. 이 섹션은 그 교차점을 실무 관점에서 정리한다.

AI 시스템에서 오픈소스가 사용되는 세 가지 영역

AI 시스템
 ├── 1. AI 프레임워크 · 라이브러리
 │ (PyTorch, TensorFlow, Hugging Face Transformers, LangChain 등)
 │ → 일반 오픈소스 라이선스 컴플라이언스 적용
 │
 ├── 2. 사전 훈련 모델 (Pre-trained Model)
 │ (Llama, Mistral, Falcon, BERT 등)
 │ → 모델별 커스텀 라이선스 확인 필요
 │
 └── 3. 학습 데이터셋
 (Common Crawl, Wikipedia, CC-BY 데이터셋 등)
 → 오픈 데이터 라이선스 의무 이행

각 영역별로 기존 오픈소스 컴플라이언스 프로세스와 다른 지점이 있으므로 아래를 참고한다.