AI 코딩 시대, 오픈소스 리스크는 이제 법무·보안·개발팀 공동 숙제다

• AI와 오픈소스가 따로 노는 시대는 끝났고, 이제는 한 덩어리의 공급망 리스크로 봐야 한다는 얘기가 나옴

  • OSBC가 서울 강남 더라움에서 연 ‘오픈소스·AI 컨퍼런스’의 주제가 아예 ‘AI와 오픈소스의 연결, 글로벌 오픈소스 거버넌스’였음
  • 율촌, LG AI연구원, 삼성전자, 카카오, 안랩, 소니 OSPO, 사이버트러스트재팬, 인사이너리 등이 참석했고, 주제도 저작권 분쟁, SBOM, 글로벌 규제, 오픈소스 거버넌스로 꽤 실무적이었음

• 핵심 메시지는 단순함. AI 도입으로 개발 속도는 빨라졌지만, 법과 보안 쪽 부채도 같이 커지고 있음

  • 김택완 OSBC 대표는 오픈소스를 “산업 경쟁력을 좌우하는 핵심 자산”이라고 봤고, AI와 오픈소스를 분리해서 볼 수 없다고 강조함
  • 생성형 AI가 코드를 더 빨리 만들게 해주는 건 맞지만, 저작권 분쟁·라이선스 위반·보안 취약점이 같이 따라오는 구조라는 것

• 율촌 임형주 AI DC센터장은 AI 산업이 이제 기술 성능 경쟁을 넘어 법·제도 검증 구간에 들어섰다고 봄

  • 가트너 하이프사이클 관점에서 생성형 AI와 파운데이션 모델이 기대 정점을 지나 캐즘 구간에 들어가고 있다는 분석을 붙였음
  • 전기차가 충전 인프라 문제로 캐즘을 겪었다면, AI는 저작권과 규제 문제가 비슷한 병목이 될 수 있다는 비유가 나옴
  • 한국도 AI 기본법 시행 이후 그동안 잠재돼 있던 법적 리스크가 더 현실적인 이슈로 올라올 가능성이 큼

• 실제로 미국에서는 AI 저작권 소송이 최근 2년 사이 거의 두 배로 늘었음

  • 게티이미지와 스태빌리티 AI 분쟁, 뉴욕타임스와 오픈AI 소송처럼 학습 데이터 사용을 둘러싼 소송이 계속 커지는 중
  • 국내에는 아직 명확한 판례가 부족해서, 올해 말이나 내년쯤 나올 방송사와 플랫폼 사업자 간 학습 데이터 소송 결과가 기준점이 될 수 있다고 봄
  • 기업 입장에서는 데이터를 모을 때부터 저작권, 개인정보, 영업비밀을 같이 검토해야 한다는 얘기임

• 더 개발자에게 직접 와닿는 부분은 “AI가 만든 코드 안에 숨어 있는 오픈소스 조각” 문제임

  • 인사이너리의 마이크 피텐저 최고전략책임자는 생성형 AI가 오픈소스 코드를 학습한 뒤 비슷한 코드 조각을 만들어낼 수 있다고 설명함
  • 이런 코드는 기존 소프트웨어 구성 분석(SCA) 도구로 잡기 어렵고, 빌드 파일이나 SBOM에도 안 보일 수 있음
  • 겉으로는 새로 생성된 코드처럼 보이지만, 실제로는 특정 오픈소스의 일부와 유사하거나 동일한 조각일 수 있다는 게 무서운 지점임

• 연구 결과상 AI 생성 코드 상당수에서 선언되지 않은 오픈소스 코드 조각이 발견됐다는 언급도 나옴

  • 특히 AI가 생성한 애플리케이션의 경우 절반이 넘는 파일에서 오픈소스 코드 조각이 포함된 사례도 확인됐다고 소개됨
  • 개발자는 “내가 패키지를 추가한 적 없는데?”라고 생각할 수 있지만, 라이선스 관점에서는 코드 일부만 들어와도 문제가 될 수 있음

• 기존 방식의 SCA와 SBOM만 믿기에는 AI 코딩 흐름이 너무 달라졌다는 게 발표의 핵심임

  • 사람이 라이브러리를 가져오면 보통 빌드 파일에 선언되고, SCA가 이를 포착해서 SBOM에 반영함
  • 하지만 AI가 코드 패턴을 재현해 소스 안에 직접 넣으면 패키지 목록 기반 검사는 놓칠 수 있음
  • 그래서 AI 생성 코드는 ‘내부 작성 코드’가 아니라 특별 검토가 필요한 제3자 코드처럼 다뤄야 한다는 조언이 나옴

• 결론은 AI 사용 금지가 아니라 관리 체계 재설계에 가까움

  • AI 도입은 선택이 아니라 필수가 되고 있지만, 위험 관리도 선택지가 아니라는 메시지임
  • 개발 프로세스 안에 라이선스 검증, 코드 조각 단위 탐지, 데이터 출처 검토, 법무 검토를 넣어야 한다는 방향
  • 특히 기업 제품에 들어가는 코드라면 “AI가 만들어줬다”는 말이 면책 사유가 되기 어렵다는 점을 개발팀도 알아야 함

---

기술 맥락

• 기존 오픈소스 관리는 주로 의존성 선언을 보는 방식이었어요. 개발자가 패키지를 추가하면 빌드 파일에 남고, SCA가 그 목록을 읽어 라이선스와 취약점을 확인하는 흐름이었거든요.

• AI 코딩 도구가 끼어들면 문제가 달라져요. 패키지를 추가하지 않고도 학습한 코드 패턴을 소스 파일 안에 직접 재현할 수 있기 때문에, SBOM에는 없는데 실제 코드에는 오픈소스 조각이 섞이는 상황이 생길 수 있어요.

• 그래서 이 기사에서 말하는 거버넌스는 문서 작업을 늘리자는 얘기가 아니에요. AI 생성 코드를 제3자 코드처럼 보고, 소스 내부 대조와 라이선스 검토를 개발 파이프라인에 넣어야 한다는 쪽에 가까워요.

• 한국 기업 입장에서는 AI 기본법, 저작권 소송, 공급망 보안 요구가 같이 밀려오는 타이밍이라 더 민감해요. 제품 출시 뒤에 라이선스 문제가 터지면 단순 수정이 아니라 배포, 계약, 고객 대응까지 번질 수 있거든요.