--- title: "OSBC 오픈소스·AI 컨퍼런스, SBOM과 AI 저작권 리스크를 정면으로 다룸" published: 2026-06-11T06:05:04.151Z canonical: https://jeff.news/article/4037 --- # OSBC 오픈소스·AI 컨퍼런스, SBOM과 AI 저작권 리스크를 정면으로 다룸 OSBC가 서울에서 2026 오픈소스 & AI 컨퍼런스를 열고 AI, SBOM, CRA, 오픈소스 컴플라이언스, AI 저작권 이슈를 다뤘어. 특히 AI 생성 코드에 숨어 들어오는 오픈소스 의존성과 학습 데이터 출처 관리가 핵심 주제로 올라왔다는 점이 실무적으로 중요해. ## AI와 오픈소스 거버넌스가 한 무대에 올라옴 - OSBC가 2026 오픈소스 & AI 컨퍼런스를 서울 강남구 라움 아트센터에서 열었음 - 날짜는 6월 11일이고, 국내외 관계자 200여 명이 참석함 - 2010년 첫 개최 이후 올해가 15회째 행사임 - OSBC가 주최하고 인사이너리(Insignary)가 협찬, 한국오픈소스협회(KOSSA)가 후원한 무료 초청 행사였음 - 올해 주제는 “AI와 오픈소스의 연결, 그리고 글로벌 오픈소스 거버넌스”였음 - AI, 소프트웨어 공급망 보안(SBOM), 유럽 사이버 복원력 법(CRA), 오픈소스 컴플라이언스, 책임 있는 AI 활용이 주요 이슈로 다뤄짐 - 기업 입장에선 개발 생산성 얘기만이 아니라 법무·보안·공급망 관리까지 한꺼번에 봐야 하는 판이 된 셈임 > [!WARNING] > AI 생성 코드는 “내가 직접 쓴 코드”처럼 보여도, 실제로는 출처 모를 오픈소스 조각이 섞여 들어올 수 있음. 이게 기존 SBOM이나 보안 도구에서 안 잡히면 취약점과 라이선스 리스크가 같이 터질 수 있음. ## 저작권과 학습 데이터가 첫 번째 쟁점 - 임형주 법무법인 율촌 AI DC센터장은 AI 개발 과정에서 저작물 이용이 어떤 법적 평가를 받는지 다뤘음 - 생성형 AI 확산으로 저작권 관련 분쟁이 빠르게 늘고 있다고 진단함 - 핵심 쟁점은 AI 학습 데이터의 저작권 문제임 - 리스크는 저작권 하나로 끝나지 않음 - 퍼블리시티권, 초상권, 상표권도 AI 학습과 생성 결과물에서 문제될 수 있다고 언급함 - 한국과 유럽연합(EU)의 AI 규제가 본격 시행되면 기업의 법적 부담이 더 커질 것으로 전망함 ## AI 코딩 도구의 숨은 오픈소스 리스크 - 마이크 피틴저 인사이너리 CSO는 AI 코드 생성 시대의 맹점을 짚었음 - AI 코딩 도구 덕분에 생산성은 올라갔지만, AI가 만든 코드 안에 “숨겨진 오픈소스 의존성”이 생길 수 있다는 지적임 - 문제는 이 의존성이 패키지 형태가 아니라 코드 조각 형태로 들어오면 기존 보안 도구나 SBOM에서 탐지되지 않을 수 있다는 점임 - 기업이 신경 써야 할 리스크는 꽤 현실적임 - 출처 미표기, GPL 계열 코드 유입, 취약점 추적 실패가 모두 문제가 될 수 있음 - AI 생성 코드를 제3자 코드와 동일하게 관리하고, 코드 단위 탐지 기술과 SBOM 체계를 강화해야 한다고 강조함 ## AI-BOM과 SBOM 품질이 규제 대응의 언어가 됨 - LG AI 연구원 조정원 변호사는 AI-BOM 기반 투명성 컴플라이언스를 다뤘음 - 생성형 AI 학습 데이터 분쟁이 늘면서 데이터 출처와 이용 권한 관리가 중요해졌다는 메시지임 - 오픈소스와 오픈데이터는 규제 방식과 준수 기준이 달라서 별도 접근이 필요하다고 설명함 - AI-BOM은 데이터와 AI 모델의 전 생애주기를 추적하는 장치로 제시됐음 - 데이터 출처, 라이선스 정보, 개인정보, 공급망 리스크를 사전에 관리하는 방향임 - 예시 솔루션으로는 LG AI 연구원의 EXAONE NEXUS가 언급됨 - 소니그룹 코보타 노리오는 SBOM 품질 확보 전략을 발표함 - OpenChain 프로젝트의 “SBOM Quality is Not Optional” 가이드를 글로벌 규제 대응까지 고려한 최소 SBOM 요건으로 설명함 - 소프트웨어 공급망이 복잡해지면서 수작업 검증에는 한계가 있고, 정확한 SBOM 구축이 컴플라이언스와 공급망 리스크 관리의 필수 요소가 됐다는 평가임 --- ## 기술 맥락 - 이번 행사의 핵심은 오픈소스 관리가 “라이선스 파일 확인” 수준에서 끝나지 않는다는 거예요. AI가 코드를 만들고, 모델이 데이터를 학습하고, 여러 공급망이 얽히면서 관리 대상이 코드 패키지에서 코드 조각과 데이터 출처까지 넓어진 거죠. - SBOM이 필요한 이유는 취약점이 터졌을 때 내 제품 안에 영향받는 컴포넌트가 있는지 빨리 알아야 하기 때문이에요. 그런데 AI 생성 코드가 패키지 의존성이 아니라 복사된 코드 조각처럼 들어오면, 기존 방식의 목록 관리만으로는 추적이 어려워져요. - AI-BOM은 이 문제를 AI 쪽으로 확장한 개념이에요. 어떤 데이터로 학습했는지, 그 데이터의 권리는 확보됐는지, 모델과 데이터가 어떤 생애주기를 거쳤는지를 남겨야 나중에 저작권이나 개인정보 문제가 생겼을 때 방어할 수 있거든요. - 개발팀 입장에선 귀찮은 문서 작업처럼 보일 수 있지만, 실제로는 배포 가능한 코드와 제품을 만들기 위한 안전장치에 가까워요. 특히 EU CRA 같은 규제가 본격화되면, SBOM 품질은 보안팀만의 과제가 아니라 제품 출시 조건이 될 가능성이 커요. ## 핵심 포인트 - 행사는 2026년 6월 11일 서울 강남구 라움 아트센터에서 열렸고 국내외 관계자 200여 명이 참석했어. - 올해 주제는 AI와 오픈소스의 연결, 그리고 글로벌 오픈소스 거버넌스였어. - AI 학습 데이터의 저작권, 퍼블리시티권, 초상권, 상표권 문제가 기업 리스크로 다뤄졌어. - AI 생성 코드에 포함된 숨겨진 오픈소스 조각은 기존 보안 도구나 SBOM에서 놓칠 수 있다는 지적이 나왔어. - AI-BOM과 고품질 SBOM을 통해 데이터·모델·코드 공급망을 추적해야 한다는 메시지가 반복됐어. ## 인사이트 이제 오픈소스 컴플라이언스는 패키지 목록 관리만으로 끝나는 문제가 아니야. AI가 코드와 데이터를 섞어 쓰는 시대에는 코드 조각, 학습 데이터, 모델 생애주기까지 추적해야 해서 보안팀과 법무팀, 개발팀이 같은 테이블에 앉아야 함.