AI SBOM 컴플라이언스 가이드 추가 (파일럿)

[haksungjang]

OpenChain AI SBOM 컴플라이언스 가이드(Version 1.0, 2025-10-20 발표)를 기업이 실천할 수 있도록 풀어쓴 새 가이드입니다. 기존 ISO/IEC 5230·18974 가이드와 같은 구조(조항 개요 → 해야 할 활동 → 요구사항·입증자료 → 준수 방법·샘플 → 참고)를 따릅니다.

범위 (파일럿)

요구사항 10개 중 대표 3개 조항을 먼저 작성해 구조를 검증했습니다.

• _index — 개요, 4단계 구축 로드맵, 전체 입증자료 체크리스트, 자동화 성숙도 맵
• 3.1 정책 — 비표준 라이선스 허용·금지 목록을 정책에 선반영하는 사전 통제
• 3.5 라이선스 의무 — 검토 의사결정 다이어그램, 인입 게이트 메타데이터, 자동 스캔과 사람 검토의 분업
• 3.9 AI SBOM — 생성 파이프라인 다이어그램, 도구 매핑표, CycloneDX ML-BOM 형식 샘플

특징

• 규격이 정의한 "무엇을 입증해야 하는가"에 더해, "어떻게 달성하는가"를 절차·샘플·도구로 채웠습니다.
• AI SBOM 생성 도구(OWASP AIBOM Generator, cdxgen aibom, Lab700x 등)를 소개하되, 라이선스 의무 해석과 비표준 라이선스 준수처럼 도구로 자동화되지 않는 영역은 사람·정책으로 메우는 경계를 분명히 했습니다.
• 입증자료는 5230 관행대로 번호를 부여했고(3.1.1 등), 규격 본문 기준 절 번호(3.1~3.10)를 따릅니다.

참고

• 규격 원문의 목차와 본문 절 번호 불일치(목차의 "3.9 AI content review and approval" 절이 본문에 없음)는 OpenChain AI Work Group에 별도 보고했습니다. 이 가이드는 본문 기준 번호를 채택했습니다.
• 나머지 7개 조항(3.2, 3.3, 3.4, 3.6, 3.7, 3.8, 3.10)과 도구 실행 스크린샷은 후속 작업으로 확장 예정입니다.
• weight 35로 ISO/IEC 18974와 42001 가이드 사이에 노출됩니다.