--- title: "AI 코딩 시대, 오픈소스 리스크는 이제 법무·보안·개발팀 공동 숙제다" published: 2026-06-11T07:05:04.528Z canonical: https://jeff.news/article/4005 --- # AI 코딩 시대, 오픈소스 리스크는 이제 법무·보안·개발팀 공동 숙제다 OSBC 오픈소스·AI 컨퍼런스에서 AI 시대의 오픈소스 거버넌스와 공급망 보안이 핵심 이슈로 다뤄졌다. 생성형 AI가 개발 생산성을 올리는 동시에 저작권, 라이선스, 숨겨진 의존성, SBOM 사각지대를 키우고 있다는 경고가 나왔다. - AI와 오픈소스가 따로 노는 시대는 끝났고, 이제는 한 덩어리의 공급망 리스크로 봐야 한다는 얘기가 나옴 - OSBC가 서울 강남 더라움에서 연 ‘오픈소스·AI 컨퍼런스’의 주제가 아예 ‘AI와 오픈소스의 연결, 글로벌 오픈소스 거버넌스’였음 - 율촌, LG AI연구원, 삼성전자, 카카오, 안랩, 소니 OSPO, 사이버트러스트재팬, 인사이너리 등이 참석했고, 주제도 저작권 분쟁, SBOM, 글로벌 규제, 오픈소스 거버넌스로 꽤 실무적이었음 - 핵심 메시지는 단순함. AI 도입으로 개발 속도는 빨라졌지만, 법과 보안 쪽 부채도 같이 커지고 있음 - 김택완 OSBC 대표는 오픈소스를 “산업 경쟁력을 좌우하는 핵심 자산”이라고 봤고, AI와 오픈소스를 분리해서 볼 수 없다고 강조함 - 생성형 AI가 코드를 더 빨리 만들게 해주는 건 맞지만, 저작권 분쟁·라이선스 위반·보안 취약점이 같이 따라오는 구조라는 것 > [!IMPORTANT] > 이 이슈의 포인트는 “AI가 만든 코드니까 책임이 애매하다”가 아님. 기업이 제품에 넣는 순간 출처와 라이선스 검증 책임은 그대로 따라옴. - 율촌 임형주 AI DC센터장은 AI 산업이 이제 기술 성능 경쟁을 넘어 법·제도 검증 구간에 들어섰다고 봄 - 가트너 하이프사이클 관점에서 생성형 AI와 파운데이션 모델이 기대 정점을 지나 캐즘 구간에 들어가고 있다는 분석을 붙였음 - 전기차가 충전 인프라 문제로 캐즘을 겪었다면, AI는 저작권과 규제 문제가 비슷한 병목이 될 수 있다는 비유가 나옴 - 한국도 AI 기본법 시행 이후 그동안 잠재돼 있던 법적 리스크가 더 현실적인 이슈로 올라올 가능성이 큼 - 실제로 미국에서는 AI 저작권 소송이 최근 2년 사이 거의 두 배로 늘었음 - 게티이미지와 스태빌리티 AI 분쟁, 뉴욕타임스와 오픈AI 소송처럼 학습 데이터 사용을 둘러싼 소송이 계속 커지는 중 - 국내에는 아직 명확한 판례가 부족해서, 올해 말이나 내년쯤 나올 방송사와 플랫폼 사업자 간 학습 데이터 소송 결과가 기준점이 될 수 있다고 봄 - 기업 입장에서는 데이터를 모을 때부터 저작권, 개인정보, 영업비밀을 같이 검토해야 한다는 얘기임 - 더 개발자에게 직접 와닿는 부분은 “AI가 만든 코드 안에 숨어 있는 오픈소스 조각” 문제임 - 인사이너리의 마이크 피텐저 최고전략책임자는 생성형 AI가 오픈소스 코드를 학습한 뒤 비슷한 코드 조각을 만들어낼 수 있다고 설명함 - 이런 코드는 기존 소프트웨어 구성 분석(SCA) 도구로 잡기 어렵고, 빌드 파일이나 SBOM에도 안 보일 수 있음 - 겉으로는 새로 생성된 코드처럼 보이지만, 실제로는 특정 오픈소스의 일부와 유사하거나 동일한 조각일 수 있다는 게 무서운 지점임 - 연구 결과상 AI 생성 코드 상당수에서 선언되지 않은 오픈소스 코드 조각이 발견됐다는 언급도 나옴 - 특히 AI가 생성한 애플리케이션의 경우 절반이 넘는 파일에서 오픈소스 코드 조각이 포함된 사례도 확인됐다고 소개됨 - 개발자는 “내가 패키지를 추가한 적 없는데?”라고 생각할 수 있지만, 라이선스 관점에서는 코드 일부만 들어와도 문제가 될 수 있음 > [!WARNING] > 라이선스 의무는 “라이브러리 전체를 썼는가”만 보지 않음. 일부 코드 조각이라도 조건이 붙은 라이선스라면 고지, 출처 표기, 파생 저작물 조건 같은 문제가 생길 수 있음. - 기존 방식의 SCA와 SBOM만 믿기에는 AI 코딩 흐름이 너무 달라졌다는 게 발표의 핵심임 - 사람이 라이브러리를 가져오면 보통 빌드 파일에 선언되고, SCA가 이를 포착해서 SBOM에 반영함 - 하지만 AI가 코드 패턴을 재현해 소스 안에 직접 넣으면 패키지 목록 기반 검사는 놓칠 수 있음 - 그래서 AI 생성 코드는 ‘내부 작성 코드’가 아니라 특별 검토가 필요한 제3자 코드처럼 다뤄야 한다는 조언이 나옴 - 결론은 AI 사용 금지가 아니라 관리 체계 재설계에 가까움 - AI 도입은 선택이 아니라 필수가 되고 있지만, 위험 관리도 선택지가 아니라는 메시지임 - 개발 프로세스 안에 라이선스 검증, 코드 조각 단위 탐지, 데이터 출처 검토, 법무 검토를 넣어야 한다는 방향 - 특히 기업 제품에 들어가는 코드라면 “AI가 만들어줬다”는 말이 면책 사유가 되기 어렵다는 점을 개발팀도 알아야 함 --- ## 기술 맥락 - 기존 오픈소스 관리는 주로 의존성 선언을 보는 방식이었어요. 개발자가 패키지를 추가하면 빌드 파일에 남고, SCA가 그 목록을 읽어 라이선스와 취약점을 확인하는 흐름이었거든요. - AI 코딩 도구가 끼어들면 문제가 달라져요. 패키지를 추가하지 않고도 학습한 코드 패턴을 소스 파일 안에 직접 재현할 수 있기 때문에, SBOM에는 없는데 실제 코드에는 오픈소스 조각이 섞이는 상황이 생길 수 있어요. - 그래서 이 기사에서 말하는 거버넌스는 문서 작업을 늘리자는 얘기가 아니에요. AI 생성 코드를 제3자 코드처럼 보고, 소스 내부 대조와 라이선스 검토를 개발 파이프라인에 넣어야 한다는 쪽에 가까워요. - 한국 기업 입장에서는 AI 기본법, 저작권 소송, 공급망 보안 요구가 같이 밀려오는 타이밍이라 더 민감해요. 제품 출시 뒤에 라이선스 문제가 터지면 단순 수정이 아니라 배포, 계약, 고객 대응까지 번질 수 있거든요. ## 핵심 포인트 - 생성형 AI와 파운데이션 모델은 기술 성능 경쟁을 넘어 저작권과 규제 검증 국면에 들어섰다 - AI가 생성한 코드에도 오픈소스 라이선스 의무와 지식재산권 리스크가 그대로 따라붙는다 - 기존 SCA와 SBOM만으로는 AI가 재생산한 코드 조각을 잡아내기 어렵다는 문제가 제기됐다 - 기업은 데이터 확보 단계부터 저작권, 개인정보, 영업비밀, 라이선스 검토를 같이 해야 한다 ## 인사이트 AI 코딩 도구를 쓰는 팀이라면 ‘AI가 짠 코드니까 출처 책임도 흐릿하다’는 식으로 넘어가기 어려워지고 있음. 이제 오픈소스 관리는 개발팀의 양심 체크가 아니라 제품 출시와 법무 리스크를 좌우하는 운영 체계 문제에 가까움.