SPDX 3.0 on OpenChain KWGhttps://OpenChain-Project.github.io/OpenChain-KWG/tags/spdx-3.0/Recent content in SPDX 3.0 on OpenChain KWGHugokoAI SBOMhttps://OpenChain-Project.github.io/OpenChain-KWG/guide/iso42001_guide/4-operation/2-ai-sbom/Mon, 01 Jan 0001 00:00:00 +0000https://OpenChain-Project.github.io/OpenChain-KWG/guide/iso42001_guide/4-operation/2-ai-sbom/<h2 id="1-ai-sbom이란">1. AI SBOM이란?</h2> <p>**AI SBOM(AI System Bill of Materials)**은 AI 시스템을 구성하는 모든 요소의 목록과 그 출처·라이선스를 문서화한 것이다. 소프트웨어 SBOM(ISO/IEC 5230 §3.3.1)의 개념을 AI 시스템으로 확장한 것으로, ISO/IEC 42001 §7.5(문서화된 정보) 요구사항의 핵심 산출물이다.</p> <h3 id="ai-sbom이-필요한-이유-투명성과-규제-대응">AI SBOM이 필요한 이유: 투명성과 규제 대응</h3> <p>AI SBOM은 <strong>AI 시스템의 투명성과 설명 가능성</strong>을 확보하는 핵심 수단이다. ISO/IEC 42001 Appendix C.2.11은 투명성과 설명 가능성을 AI 관리 시스템의 핵심 목표로 명시한다.</p> <table> <thead> <tr> <th>요구 주체</th> <th>근거</th> <th>AI SBOM 역할</th> </tr> </thead> <tbody> <tr> <td><strong>ISO/IEC 42001</strong></td> <td>Appendix C.2.11 (투명성·설명 가능성)</td> <td>AI 시스템 구성 투명성 확보</td> </tr> <tr> <td><strong>EU AI Act</strong></td> <td>고위험 AI 시스템 기술 문서 요건</td> <td>학습 데이터·모델 출처 명시</td> </tr> <tr> <td><strong>EU Cyber Resilience Act(CRA)</strong></td> <td>AI 제품의 투명성 의무</td> <td>컴포넌트 목록 및 취약점 추적</td> </tr> <tr> <td><strong>OpenChain AI Work Group</strong></td> <td>AI SBOM Compliance Guide</td> <td>공급망 내 AI SBOM 표준 절차</td> </tr> </tbody> </table> <div class="alert alert-info" role="alert"><div class="h4 alert-heading" role="heading">ISO/IEC 42003과 AI SBOM</div> <p>ISO/IEC 42001의 구현 가이드인 <strong>ISO/IEC 42003</strong>(개발 중)에 AI SBOM 관련 구체적 요구사항이 포함될 예정이다. OpenChain AI Work Group은 AI SBOM 가이드를 42003의 §6.2(AI 목표)와 Appendix C.2.11(투명성·설명 가능성)에 반영하는 것을 추진 중이다.</p>