G7 주요국, AI ‘재료 목록’ 표준 가이드라인 발표… AI 보안 강화 첫걸음

G7 주요국, AI ‘재료 목록’ 표준 가이드라인 발표

G7 주요국 정부기관들은 2일 AI 시스템의 보안을 강화하기 위한 ‘재료 목록(SBOM, Software Bill of Materials)’ 표준 가이드라인을 발표했다. 이 가이드라인은 AI 시스템에 포함된 모든 구성 요소와 위험 요소를 체계적으로 관리하는 데 목적을 두고 있다.

SBOM이란 무엇인가?

SBOM은 소프트웨어나 AI 시스템에 포함된 모든 구성 요소(모델, 데이터셋, 인프라 등)를 목록화하는 체계다. 기존 SBOM은 소프트웨어의 공급망 위험을 식별하는 데 사용되었으나, AI 시스템의 복잡성 때문에 새로운 표준이 필요해졌다. 이번 가이드라인은 AI 전용 SBOM(AIBOM)으로 불리며, AI 모델의 출처, 훈련 데이터, 성능 지표 등을 포함하도록 권고하고 있다.

가이드라인 주요 내용

이번 가이드라인은 다음과 같은 핵심 요소들을 포함하도록 권고하고 있다:

• AI 시스템 자체의 SBOM 정보: AI 시스템의 기본 정보와 버전 관리
• AI 시스템 전체 구조: 시스템의 구성 요소와 상호작용 방식
• 사용된 AI 모델 식별: 모델의 이름, 버전, 개발자 정보
• 모델 수명 주기 데이터셋: 훈련 및 테스트에 사용된 데이터의 출처와 특성
• 운영 인프라 정보: 물리적 및 가상 인프라의 구성과 보안 설정
• 사이버 보안 조치: AI 모델과 시스템에 적용된 보안 정책 및 보호 조치
• 핵심 성능 지표(KPI): AI 시스템의 성능과 신뢰성 평가 기준

미국 사이버보안 및 인프라 보안국(CISA)을 비롯한 G7 국가의 관련 기관들은 이 가이드라인을 ‘자발적 최소 표준’으로 제시했다. CISA는 “이 가이드라인은 AI 기술의 급속한 발전 속도를 따라잡기 위해 지속적으로 업데이트될 것”이라고 밝혔다.

전문가들 “긍정적이지만 개선 필요”

AISBOM 관련 업계 전문가들은 이번 가이드라인을 환영하며 긍정적인 평가를 내렸다. 맨티스트 사이버의 CEO 대니얼 바든스타인은 “모든 소프트웨어에 AI가 통합되고 있는 현실에서 AI 시스템의 신뢰성을 높이려면 구성 요소와 훈련 데이터, 출처를 투명하게 공개해야 한다”며 “이 가이드라인은 AI 신뢰성 확보를 위한 첫걸음”이라고 설명했다. 그는 CISA와 OWASP 재단과 협력해 AISBOM 생성기를 개발한 경험을 바탕으로 “이 가이드라인이 모든 이해관계자를 하나로 모으는 데 기여할 것”이라고 덧붙였다.

사이비츠의 공동창업자 겸 CTO 드미트리 라이드만은 “이 가이드라인이 필요한 80~90%를 커버하고 있으며, 기존에 없던 기준선을 마련했다는 점에서 놀라운 성과”라고 평가했다. 그러나 그는 “AISBOM 생성기의 구현 가능성과 실무 적용성에 대한 우려가 남아 있다”며 추가적인 개선 필요성을 지적했다. 바든스타인도 “조직들이 이 가이드라인을 얼마나 쉽게 적용할 수 있을지 의문”이라고 지적했다.

AI 보안 강화의 첫걸음

AI 기술이 의료, 국방, 자동차 등 다양한 분야에 적용되면서 AI 시스템의 보안과 신뢰성은 더욱 중요해졌다. 이번 G7 가이드라인은 AI 시스템의 투명성과 책임성을 높이기 위한 첫 단계로 평가받고 있다. 그러나 전문가들은 이 가이드라인이 실무에서 효과적으로 적용되기 위해서는 추가적인 표준화와 기술적 지원, 그리고 규제적 뒷받침이 필요하다고 강조했다.