본문으로 건너뛰기
J
피드

OSBC 오픈소스·AI 컨퍼런스, SBOM과 AI 저작권 리스크를 정면으로 다룸

security 약 6분
tags
#sbom#open-source#ai#compliance#governance
vote
0
댓글
북마크

OSBC가 서울에서 2026 오픈소스 & AI 컨퍼런스를 열고 AI, SBOM, CRA, 오픈소스 컴플라이언스, AI 저작권 이슈를 다뤘어. 특히 AI 생성 코드에 숨어 들어오는 오픈소스 의존성과 학습 데이터 출처 관리가 핵심 주제로 올라왔다는 점이 실무적으로 중요해.

  • 1

    행사는 2026년 6월 11일 서울 강남구 라움 아트센터에서 열렸고 국내외 관계자 200여 명이 참석했어.

  • 2

    올해 주제는 AI와 오픈소스의 연결, 그리고 글로벌 오픈소스 거버넌스였어.

  • 3

    AI 학습 데이터의 저작권, 퍼블리시티권, 초상권, 상표권 문제가 기업 리스크로 다뤄졌어.

  • 4

    AI 생성 코드에 포함된 숨겨진 오픈소스 조각은 기존 보안 도구나 SBOM에서 놓칠 수 있다는 지적이 나왔어.

  • 5

    AI-BOM과 고품질 SBOM을 통해 데이터·모델·코드 공급망을 추적해야 한다는 메시지가 반복됐어.

AI와 오픈소스 거버넌스가 한 무대에 올라옴

  • OSBC가 2026 오픈소스 & AI 컨퍼런스를 서울 강남구 라움 아트센터에서 열었음

    • 날짜는 6월 11일이고, 국내외 관계자 200여 명이 참석함
    • 2010년 첫 개최 이후 올해가 15회째 행사임
    • OSBC가 주최하고 인사이너리(Insignary)가 협찬, 한국오픈소스협회(KOSSA)가 후원한 무료 초청 행사였음

  • 올해 주제는 “AI와 오픈소스의 연결, 그리고 글로벌 오픈소스 거버넌스”였음

    • AI, 소프트웨어 공급망 보안(SBOM), 유럽 사이버 복원력 법(CRA), 오픈소스 컴플라이언스, 책임 있는 AI 활용이 주요 이슈로 다뤄짐
    • 기업 입장에선 개발 생산성 얘기만이 아니라 법무·보안·공급망 관리까지 한꺼번에 봐야 하는 판이 된 셈임

⚠️주의

> AI 생성 코드는 “내가 직접 쓴 코드”처럼 보여도, 실제로는 출처 모를 오픈소스 조각이 섞여 들어올 수 있음. 이게 기존 SBOM이나 보안 도구에서 안 잡히면 취약점과 라이선스 리스크가 같이 터질 수 있음.

저작권과 학습 데이터가 첫 번째 쟁점

  • 임형주 법무법인 율촌 AI DC센터장은 AI 개발 과정에서 저작물 이용이 어떤 법적 평가를 받는지 다뤘음

    • 생성형 AI 확산으로 저작권 관련 분쟁이 빠르게 늘고 있다고 진단함
    • 핵심 쟁점은 AI 학습 데이터의 저작권 문제임

  • 리스크는 저작권 하나로 끝나지 않음

    • 퍼블리시티권, 초상권, 상표권도 AI 학습과 생성 결과물에서 문제될 수 있다고 언급함
    • 한국과 유럽연합(EU)의 AI 규제가 본격 시행되면 기업의 법적 부담이 더 커질 것으로 전망함

AI 코딩 도구의 숨은 오픈소스 리스크

  • 마이크 피틴저 인사이너리 CSO는 AI 코드 생성 시대의 맹점을 짚었음

    • AI 코딩 도구 덕분에 생산성은 올라갔지만, AI가 만든 코드 안에 “숨겨진 오픈소스 의존성”이 생길 수 있다는 지적임
    • 문제는 이 의존성이 패키지 형태가 아니라 코드 조각 형태로 들어오면 기존 보안 도구나 SBOM에서 탐지되지 않을 수 있다는 점임

  • 기업이 신경 써야 할 리스크는 꽤 현실적임

    • 출처 미표기, GPL 계열 코드 유입, 취약점 추적 실패가 모두 문제가 될 수 있음
    • AI 생성 코드를 제3자 코드와 동일하게 관리하고, 코드 단위 탐지 기술과 SBOM 체계를 강화해야 한다고 강조함

AI-BOM과 SBOM 품질이 규제 대응의 언어가 됨

  • LG AI 연구원 조정원 변호사는 AI-BOM 기반 투명성 컴플라이언스를 다뤘음

    • 생성형 AI 학습 데이터 분쟁이 늘면서 데이터 출처와 이용 권한 관리가 중요해졌다는 메시지임
    • 오픈소스와 오픈데이터는 규제 방식과 준수 기준이 달라서 별도 접근이 필요하다고 설명함

  • AI-BOM은 데이터와 AI 모델의 전 생애주기를 추적하는 장치로 제시됐음

    • 데이터 출처, 라이선스 정보, 개인정보, 공급망 리스크를 사전에 관리하는 방향임
    • 예시 솔루션으로는 LG AI 연구원의 EXAONE NEXUS가 언급됨

  • 소니그룹 코보타 노리오는 SBOM 품질 확보 전략을 발표함

    • OpenChain 프로젝트의 “SBOM Quality is Not Optional” 가이드를 글로벌 규제 대응까지 고려한 최소 SBOM 요건으로 설명함
    • 소프트웨어 공급망이 복잡해지면서 수작업 검증에는 한계가 있고, 정확한 SBOM 구축이 컴플라이언스와 공급망 리스크 관리의 필수 요소가 됐다는 평가임

기술 맥락

  • 이번 행사의 핵심은 오픈소스 관리가 “라이선스 파일 확인” 수준에서 끝나지 않는다는 거예요. AI가 코드를 만들고, 모델이 데이터를 학습하고, 여러 공급망이 얽히면서 관리 대상이 코드 패키지에서 코드 조각과 데이터 출처까지 넓어진 거죠.

  • SBOM이 필요한 이유는 취약점이 터졌을 때 내 제품 안에 영향받는 컴포넌트가 있는지 빨리 알아야 하기 때문이에요. 그런데 AI 생성 코드가 패키지 의존성이 아니라 복사된 코드 조각처럼 들어오면, 기존 방식의 목록 관리만으로는 추적이 어려워져요.

  • AI-BOM은 이 문제를 AI 쪽으로 확장한 개념이에요. 어떤 데이터로 학습했는지, 그 데이터의 권리는 확보됐는지, 모델과 데이터가 어떤 생애주기를 거쳤는지를 남겨야 나중에 저작권이나 개인정보 문제가 생겼을 때 방어할 수 있거든요.

  • 개발팀 입장에선 귀찮은 문서 작업처럼 보일 수 있지만, 실제로는 배포 가능한 코드와 제품을 만들기 위한 안전장치에 가까워요. 특히 EU CRA 같은 규제가 본격화되면, SBOM 품질은 보안팀만의 과제가 아니라 제품 출시 조건이 될 가능성이 커요.

이제 오픈소스 컴플라이언스는 패키지 목록 관리만으로 끝나는 문제가 아니야. AI가 코드와 데이터를 섞어 쓰는 시대에는 코드 조각, 학습 데이터, 모델 생애주기까지 추적해야 해서 보안팀과 법무팀, 개발팀이 같은 테이블에 앉아야 함.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

제주은행이 오픈소스 스캐너 도입을 서두르는 이유

제주은행이 올해 3분기 안에 소프트웨어 구성 분석(SCA) 솔루션을 도입하려고 해. 금융감독원 취약점 공지는 매일 오는데, 정작 내부 서버에 어떤 오픈소스와 버전이 깔려 있는지 바로 알기 어렵다는 현실적인 문제가 컸어.

security

오픈AI, 챗GPT로 미국 데이터센터 반대 여론 만들려던 중국계 계정 적발

오픈AI가 중국과 연계된 것으로 추정되는 계정들이 챗GPT로 미국 내 데이터센터 건설 반대 게시물과 정치 풍자 콘텐츠를 만든 정황을 공개했다. 실제 확산력은 작았지만, 미국 AI 산업을 공격하는 데 미국 AI 모델을 썼다는 점이 꽤 아이러니한 사례다.

security

AI가 만든 코드도 출처를 증명해야 하는 시대가 온다

오픈소스 & AI 컨퍼런스 2026에서 기업들의 AI 컴플라이언스 리스크가 집중적으로 다뤄졌어. 핵심은 생성형 AI가 만든 코드와 학습데이터도 저작권, 라이선스, 공급망 투명성의 책임에서 자유롭지 않다는 거야.

security

포켓몬고 스캔 데이터가 군사용 드론 내비게이션 기술로 이어졌다는 논란

포켓몬고 이용자들이 보상을 받으려고 촬영한 현실 공간 스캔 데이터가 나이언틱 스페이셜의 시각 기반 위치추정 기술 학습에 쓰였고, 이 기술이 미국 방산업체 밴터와의 드론 내비게이션 협력으로 연결됐다는 보도다. 핵심 쟁점은 시각 위치추정 자체가 아니라, 게임 이용자가 제공한 데이터가 군사 로봇용 기술로 이어질 수 있다는 사실을 제대로 알고 동의했느냐다.

security

앤트로픽 보안 모델 '페이블', 가드레일이 너무 빡세서 연구자들 불만 터짐

앤트로픽이 강력한 사이버보안 모델 Mythos의 공개 제한판인 Fable을 내놨지만, 보안 연구자들은 정상적인 코드 리뷰나 블로그 읽기까지 막힌다고 불만을 내고 있어. 악성코드 제작과 침해 지원을 막겠다는 의도는 이해되지만, 현재 가드레일이 키워드 기반처럼 동작하면서 실무 보안 작업까지 과하게 차단한다는 지적이 나옴.