[3월 월간브리핑] AI 개발 확산 속 커지는 오픈소스 리스크 - OSSRA 2026 주요 분석

Open Up

□ AI 기반 개발 확산과 오픈소스 의존성 증가로 코드 복잡성과 공급망 리스크가 확대되면서 오픈소스·AI 거버넌스 필요성이 부상

○ 오픈소스는 현대 소프트웨어 개발의 핵심 기반이 되었으며, AI 기반 개발 도구의 확산과 함께 코드 생산 속도와 오픈소스 의존성 규모가 빠르게 증가 중

- 2026년 Open Source Security and Risk Analysis(OSSRA 2026, 블랙덕) 보고서에 따르면, 분석된 기업 소프트웨어 코드베이스의 98%가 오픈소스 컴포넌트를 포함하고 있으며, 평균 1,180개의 오픈소스 컴포넌트와 581개의 취약점이 존재하는 것으로 나타났으며,

- AI 코딩 어시스턴트 도구의 확산으로 코드 생성 속도가 빨라지고 코드 복잡성이 증가하면서 오픈소스 관리와 거버넌스의 중요성이 더욱 커지고 있다고 분석

- 이번 3월 월간브리핑에서는 OSSRA 2026 보고서를 바탕으로 최근 AI 개발 도구 확산 등 소프트웨어 개발 환경 변화 속에서 나타나는 오픈소스 활용 현황과 주요 리스크 동향을 분석하고자 함

▶ 오픈소스 의존 확대와 소프트웨어 복잡성 증가 

○ AI 코딩 어시스턴트가 개발 환경에서 빠르게 확산되고 있는 가운데, 이는 코드 작성 속도를 높여 코드베이스 규모와 함께 소프트웨어 복잡성을 증가시킴

* source : OSSRA 2026 data

- OSSRA 2026 보고서에 따르면 기업의 상용 소프트웨어 내 평균 오픈소스 컴포넌트 수는 2025년 911개 대비 1,180개로 30% 증가

- 코드베이스 규모 역시 빠르게 증가하고 있으며 평균 파일 수는 48,415개에서 84,499개로 74% 증가하였으며, 지난 5년 동안 코드 규모는 약 4배 확대된 것으로 분석됨

- 이러한 변화는 마이크로서비스 아키텍처 확산, AI/ML 모델 활용 증가, AI 코딩 어시스턴트의 도입 등 여러 요인이 결합된 결과로 분석됨

* 특히, GitHub Copilot, Cursor, Claude Code, Windsurf와 같은 AI 코딩 어시스턴트는 이제 컴파일러나 디버거만큼이나 개발자 도구에서 기본적인 요소가 되었다고 분석

- 또한, AI 코딩 어시스턴트가 코드 생성뿐 아니라 라이브러리 의존성 선택에도 영향을 미치면서 소프트웨어 공급망의 복잡성을 증가시키는 요인으로 분석

* 실제로 DevSecOps 전문가의 44%가 AI 코딩 도구를 자주 또는 항상 사용하고 있으며, 전체 개발자의 75% 이상이 어떤 형태로든 AI 코딩 도구를 활용하고 있는 것으로 조사됨

* 블랙덕 임베디드 소프트웨어 품질 및 안전 현황 보고서에서는 89.3%의 임베디드 소프트웨어 조직의 개발자가 AI 어시스턴트를 사용하고 있다고 조사되었는데, 기술 채택이 보수적인 임베디드 산업에서도 AI 코딩 도구가 널리 확산되었음을 확인할 수 있음

- 일반적인 코드베이스에서 오픈소스 컴포넌트의 64%는 ‘전이 의존성^*’으로, 개발자가 직접 선택하지 않은 라이브러리가 소프트웨어 공급망 구조에서 큰 비중을 차지하고 있는 것으로 나타남

 * 의존성(dependency)은 프로그램 기능 구현을 위해 사용하는 외부 라이브러리·패키지·컴포넌트 등을 의미하며, 전이 의존성(transitive dependencies)은 개발자가 직접 추가한 라이브러리(직접 의존성, direct dependencies)에서 자동으로 함께 가져오는 컴포넌트들을 의미하며, 개발자는 이 컴포넌트들을 직접 선택하지 않았더라도 해당 컴포넌트의 라이선스 조건을 준수해야 함

▶ 오픈소스 라이선스 활용 구조와 충돌 리스크 확대

○ 오픈소스 라이선스 활용 구조를 살펴보면 MIT, Apache 2.0, BSD 등 비교적 제약이 적은 허용적(permissive) 라이선스가 주요 프로젝트에서 널리 사용되고 있는 것으로 분석됨

* source : OSSRA 2026 data

- 높은 비율을 차지하는 허용적 라이선스들은 일반적으로 출처 표시 외에는 상업적 사용에 큰 제약이 없음

- 그러나 코드베이스의 거의 절반이 LGPL 라이선스 컴포넌트를 포함하고 있었는데, 이 라이선스는 약한 카피레프트(weak copyleft) 특성을 가지며, 정적 링크가 일반적인 임베디드 시스템과 분산 소프트웨어 환경에서 컴플라이언스 복잡성을 증가시킬 수 있음

* source : OSSRA 2026 data

- 상용 코드베이스에 강한 카피레프트(strong copyleft) 라이선스가 존재한다고 해서 반드시 문제가 되는 것은 아니나 신중한 계획과 법적 검토가 필요함

* 보고서에서는 개발자(또는 AI 어시스턴트 도구)가 GPL 라이선스가 적용된 코드를 이 코드의 의무를 인지하지 못하고 추가하여 비즈니스 목표와 상충되는 라이선스 의무를 발생시킬 위험이 있으며, 이러한 문제가 뒤늦게 발견될 경우 대규모 리팩토링으로 이어질 수 있다고 지적

○ 오픈소스 활용 확대와 컴포넌트 수 증가, 복잡한 의존성 구조로 인해 서로 다른 라이선스 간 충돌 가능성도 빠르게 증가하고 있음

- OSSRA 2026 분석 결과 68%의 코드베이스에서 라이선스 충돌이 발견됐으며, 이는 OSSRA 보고서 역사상 가장 높은 수준으로, 코드베이스당 평균 104개의 라이선스 충돌, 단일 코드베이스에서는 최대 2,675건의 충돌이 발견됨

* 라이선스 충돌은 동일한 코드베이스에서 서로 호환되지 않는 라이선스를 가진 오픈소스 컴포넌트가 함께 사용될 때 발생하며, 소프트웨어 배포 방식이나 라이선스 의무 이행에 영향을 줄 수 있음

* source : OSSRA 2026 data

- 올해 신규 분리한 “라이선스 충돌이 발견된 코드베이스 비율(컴포넌트 간 충돌^* 제외)” 항목은 59%로 조사되었는데, 이 지표는 조직이 의도한 방식으로 소프트웨어를 배포할 수 있는지 여부에 직접적인 영향을 미치는 문제로, 이러한 충돌은 소프트웨어 배포에 제약을 발생시킬 수 있어 법적 리스크로 이어질 가능성이 가장 높음

* 컴포넌트 간 라이선스 충돌은 애플리케이션 자체의 라이선스와는 충돌하지 않더라도 동일 애플리케이션 내의 오픈소스 컴포넌트 간에 서로 호환되지 않는 라이선스를 가지면서 발생된 충돌을 의미 

- 하나의 애플리케이션에서 최대 2,675개의 라이선스 충돌이 발견되는 등, 대규모 코드베이스에서는 라이선스 충돌이 급격히 증가하는 양상을 보임

- 이는 수백 개의 직접 의존성과 이를 통해 확장되는 전이 의존성이 결합되면서 의존성 트리가 수천 개의 컴포넌트로 확대되고, 컴포넌트 간의 조합이 증가할수록 라이선스 충돌 가능성도 기하급수적으로 증가

▶ AI 활용 확대에 따른 오픈소스·AI 라이선스 및 관리 리스크

○ AI 기반 개발 환경 확산은 코드 생성 방식뿐 아니라 오픈소스 활용 구조와 라이선스 관리 방식에도 변화를 가져오며 새로운 공급망 리스크를 발생시키고 있음

- AI 코딩 어시스턴트는 코드 생성 과정에서 라이브러리와 의존성을 함께 제안하거나 자동으로 포함시키는 특성이 있어,개발자가 충분한 검토 없이 오픈소스 컴포넌트를 사용할 가능성이 있음

* 블랙덕 조사에 따르면, 57%의 조직이 이미 AI 기반 코딩 어시스턴트를 사용하고 있음

* AI 모델이 생성하는 코드는 라이선스가 명시되지 않은 상태로 제공되지만, 실제로는 훈련 데이터의 패턴을 반영하기 때문에 AI가 생성한 코드 조각이 GPL 프로젝트에서 유래했을 가능성도 있지만 생성된 코드 자체에는 그 출처 정보가 표시되지 않는 문제가 생길 수 있음

- 일부 개발자는 조직의 승인 없이 AI 코딩 도구를 사용하는 ‘Shadow AI’ 문제도 증가하고 있으며, 이는 코드 출처 불명확,라이선스 오염, 보안 검증 미흡 등 공급망 리스크로 이어질 수 있음

* Shadow AI는 조직의 승인, 가시성, 거버넌스 없이 사용되는 AI 도구

* 개발자의 AI 코딩 어시스턴트 사용을 금지한 기업의 76%는 회사 정책에 반하여 실제 사용되고 있음을 인정

- 이러한 환경에서는 사용중인 오픈소스 컴포넌트에 대해 정확히 파악하기 어려워 라이선스 준수 및 컴플라이언스 대응에 제약이 발생할 수 있어 체계적인 라이선스 관리가 반드시 필요

○ AI는 개발 도구이면서 동시에 제품 구성 요소로 활용되고 있으며, 오픈소스 AI 모델 활용에 따른 새로운 라이선스 및 관리 리스크도 등장하고 있음

- AI 모델은 기존 소프트웨어 라이브러리와 달리 학습 데이터 출처, 사용 범위, 모델 배포 방식 등에 따라 다양한 라이선스 의무가 발생할 수 있음

- Hugging Face 등 공개 플랫폼을 통해 다양한 오픈소스 AI 모델이 공유되면서 기업 소프트웨어에 이러한 모델이 직접 통합되는 사례가 증가하고 있음

* 2024년 한 해 동안 Hugging Face와 같은 플랫폼에 85만 개 이상의 모델이 등록됨

* DevSecOps 설문조사에서는 97%의 조직이 Hugging Face 등의 오픈소스 AI 모델을 개발 워크플로에서 사용하고 있다고 분석했으며, 블랙덕 공급망 보안 연구에서는 49%의 조직이 실제 제품 소프트웨어에 오픈소스 AI/ML 모델을 포함하였다고 조사됨

- 특히, 모델이 재학습되거나 파인튜닝된 경우 원본 모델과 다른 라이선스 의무가 적용될 수 있어 관리 복잡성이 증가

- 규제 환경에서도 AI 모델에 대한 투명성과 책임 요구가 강화되고 있어 모델의 라이선스 조건, 모델의 학습 데이터 출처, 수정 여부 등을 관리하는 체계 필요성이 확대되고 있음

- AI 도입 속도는 매우 빠르지만 거버넌스 체계는 이를 따라가지 못하고 있음

* AI 생성 코드에 대해 지적 재산권, 라이선스, 보안, 품질 평가를 모두 포함한 종합 평가를 수행하는 조직은 24%에 불과함

* 블랙덕 공급망 보안 연구에 따르면 응답자의 76%가 소속 조직에서 AI가 생성한 코드의 보안 위험을 검사한다고 답했지만, 지적 재산권 및 라이선스 위험을 평가하는 조직은 54%, 품질 문제를 평가하는 조직은 56%에 불과함

▶ 오픈소스 취약점 증가와 공급망 공격 확대

○ 오픈소스 의존성 확대와 소프트웨어 복잡성 증가로 코드베이스 내 취약점 규모와 공급망 공격 리스크도 함께 증가하고 있음

- OSSRA 2026 분석 결과 코드베이스당 총 취약점 수는 평균 581개 발견되었는데 이는 지난해에 비해 두 배 이상 증가한 수치임

* 이러한 증가는 컴포넌트 증가, 의존성 확대, 취약점 공개 증가 등 복합적인 요인이 반영된 결과로 분석됨

* source : OSSRA 2026 data

- 코드베이스 당 총 취약점 수의 증가는 복제된 의존성 문제가 커지고 있음을 보여줌

* 코드베이스 당 총 취약점 수(평균 581)는 동일 취약점이 여러 컴포넌트에서 발견될 경우 중복 포함하여 계산되며, 고유 취약점 수(평균 237)는 중복을 제외하고 서로 다른 CVE만을 산정한 값임

- 2025년 기준 65%의 조직이 지난 1년간 소프트웨어 공급망 공격을 경험한 것으로 나타남

* 소프트웨어 공급망 공격은 오픈소스 라이브러리, 패키지 저장소, 의존성 체인 등을 공격 경로로 활용해 악성 코드 삽입이나 취약점 악용을 시도하는 공격을 의미

* source : OSSRA 2026 data

- 특히, 정상 패키지 탈취·변조 공격은 기존 사용자 기반과 높은 신뢰도를 가지고 있어, 침해 시 영향 범위가 크게 확산될 수 있음

- 오픈소스 컴포넌트 증가와 함께 코드베이스당 취약점 수가 급증하면서 기업의 애플리케이션 보안 관리 부담도 증가하고 있음

▶ 유지관리되지 않는 오래된 컴포넌트 활용 문제 : ‘좀비 컴포넌트’ 증가

○ 유지관리 활동이 중단된 오픈소스 컴포넌트 사용이 증가하면서 소프트웨어 공급망의 지속가능성 문제도 제기되고 있음

- OSSRA 2026 분석 결과 93%의 코드베이스에서 2년 이상 개발 활동이 없는 오픈소스 컴포넌트가 발견된 것으로 나타났으며, 92%의 코드베이스에서 4년 이상 업데이트되지 않은 컴포넌트가 사용되고 있는 것으로 분석됨

- 이처럼 여전히 사용되고 있지만 장기간 유지관리되지 않는 오픈소스 컴포넌트는 일반적으로 ‘좀비 컴포넌트’로 불리며, 이러한 컴포넌트 활용에 의한 유지관리 공백은 소프트웨어 공급망 리스크 요인으로 지적

* 취약점과 달리 CVE 식별자나 명확한 라이선스 충돌처럼 눈에 띄지 않기 때문에 방치되기 쉬우며 유지관리 공백이 장기간 지속되어 잠재적 리스크로 이어질 수 있으며, 취약점이 발견되더라도 패치가 제공되지 않거나 대응이 지연될 가능성이 높음

▶ 규제 강화 : 오픈소스 및 AI 거버넌스 요구 확대

○ EU 사이버 회복력 법(Cyber Resilience Act, CRA)은 소프트웨어 공급망 보안을 규제 준수 요건으로 명확히 하며, 오픈소스 관리 체계 구축을 요구하고 있음

- CRA는 소프트웨어 또는 디지털 요소를 포함한 제품에 대해 의무적인 사이버보안 요구사항을 규정한 EU의 포괄적 규제 프레임워크로, EU 시장에서 제품을 판매하는 제조사·유통업체·수입업체 모두에게 적용됨

* CRA는 2024년 12월 10일 발효되었으며, 2026년 9월 11일 취약점 보고 의무 시행, 2027년 12월 11일 모든 CRA 규정 전면 시행 예정임

- CRA가 적용되는 제품들은 알려진 취약점 없이 시장에 출시되어야 하며, 최소 5년 이상 취약점 관리와 지원 종료 이후 10년 동안 보안 업데이트 접근 및 관련 기술 문서 보관 의무를 부과함

* 특히, 악용 가능한 취약점 인지 시 24시간 내 보고 등 신속한 대응 체계를 요구

- CRA는 오픈소스 컴포넌트 사용 방식에도 직접적인 영향을 미치며 소프트웨어 공급망 전반에 대한 관리 책임을 요구하며, 미준수 시 기업의 글로벌 매출 기준으로 벌금이 부과될 수 있음

- 또한, 제조사가 SBOM을 생성하고 유지하도록 요구하며, SBOM은 제품 수명주기 동안 계속 업데이트되어야 함

- 이에 따라 기업은 오픈소스 컴포넌트 수명주기 관리, 취약점 대응 체계, SBOM 기반 공급망 관리 체계 구축이 필요함

○ EU AI Act 및 한국의 AI 기본법 등 AI 관련 규제 도입으로 AI 모델의 투명성 및 책임성 확보 요구가 확대되고 있음

- 이러한 규제는 조직이 사용하는 AI 모델에 대해 ▷애플리케이션에 사용된 모델 ▷해당 모델의 출처 ▷모델 학습에 사용된 데이터 ▷모델 수정 방식 ▷모델 실행 위치 및 데이터 주권 문제 발생 여부 같은 정보를 명확히 관리할 것을 요구하고 있음

□ AI 에이전트 시대의 오픈소스 생태계 유지관리 위기

○ 최근 생성형 AI 확산과 함께 ‘AI Slop’이라는 용어가 등장, AI 코드 생성 도구 확산 이후 오픈소스 프로젝트에서도 AI Slop이 문제로 지적되고 있음

* 원래 Slop은 오물이나 진흙탕처럼 질척하게 뒤엉킨 잔여물을 뜻하는 단어이지만, AI가 만들어낸 저품질의 무의미한 생성물이 많아지면서 AI를 활용해 대량생산된 저품질의 디지털 콘텐츠를 의미

* 지난 12월, 미국의 국민 사전 Merriam-Webster는 slop을 2025년 올해의 단어로 선정

- AI 에이전트 도구는 누구나 빠르게 코드를 분석하고 기여할 수 있게 만들었지만, 코드의 맥락이나 프로젝트 구조를 충분히 이해하지 않은 상태에서 AI로 생성된 저품질 코드 기여가 대량 제출되면서 프로젝트 유지관리자의 리뷰 부담을 증가시키는 문제가 발생

- 이처럼 AI Slop은 원래 온라인 콘텐츠 환경에서 등장한 개념이지만, 최근에는 오픈소스 개발 생태계에서 발생하는 새로운 문제 현상을 설명하는 용어로 확장되고 있음

○ 오픈소스 프로젝트의 AI Slop 문제는 단순한 개별 커뮤니티 내의 문제가 아니라 오픈소스 생태계의 지속가능성과 관련된 문제로 확산되고 있음

- '오픈클로'와 같은 오픈소스 자율 AI 에이전트나 자동화 도구들은 오픈소스 코드를 자동 분석하고 수정 제안이나 Pull Request를 생성할 수 있어, 품질이 낮은 기여가 대량 유입되는 문제 발생

* 오픈소스 보안 재단 최고기술책임자(CTO) 크리스토퍼 로빈슨은 "버그 신고자들이 유지관리자들의 후속 질문에 답하지 못하는 사례가 늘고 있는데 이는 AI가 문제를 찾거나, AI 에이전트가 프로세스 전체를 자동화하고 있다는 신호"라고 언급

- 그러나 코드 리뷰와 유지관리 책임은 여전히 인간 개발자가 담당하고 있어 오픈소스 프로젝트에서 유지관리자의 부담이 크게 증가하고 있음

* Genkit 코어 팀 멤버인 자비에르 포르티야 에도는 AI로 생성된 PR 중 실제로 기준을 충족하는 것은 10개 중 1개 수준이라고 밝힘

- 게임 엔진 Godot 프로젝트에서 AI로 생성된 Pull Request가 대량으로 제출, 유지관리자의 부담이 크게 증가하는 문제가 제기됨

* 일부 기여는 코드 맥락을 충분히 이해하지 않은 채 제출되거나 실제 프로젝트에 도움이 되지 않는 경우가 많아 유지관리자들이 이를 ‘AI Slop’이라고 부르며 문제를 제기

- 오픈소스 핵심 네트워크 라이브러리 curl 프로젝트는 AI가 생성한 취약점 보고를 대량 제출했는데, 대다수의 보고가 실제 취약점이 아닌 그럴듯하게 작성된 경우로 검증에 많은 시간 및 비용이 증가하였고, 결국 프로젝트는 버그바운티 프로그램을 종료

- 깃허브는 AI가 생성한 저품질 PR 증가 문제에 대응하기 위해 Pull Request 기능을 비활성화하거나 제한하는 기능 등 다양한 대응 방안을 검토하고 있음

- 리눅스 재단이 AI로 생성된 저품질 버그 리포트 증가 문제에 대응하기 위해 총 1,250만 달러 규모의 지원금을 확보해 오픈소스 보안 강화 사업을 추진

* 생성형 AI 확산으로 취약점 탐지 규모는 증가했지만, 근거가 부족하거나 검증이 어려운 AI 생성 리포트가 대량 유입되면서 유지관리자의 검토 부담이 크게 증가

* 리눅스 재단 산하 오픈소스 공급망 보안 프로그램 ‘알파-오메가(Alpha-Omega)와 오픈소스 보안 재단(OpenSSF)을 통해 유지관리 운영 지원과 분류 체계를 구축하여 AI를 활용해 더 효율적으로 취약점을 선별·보완하는 구조로 전환 추진

* 깃허브, 앤트로픽, 아마존웹서비스(AWS), 구글, 오픈AI 등 주요 기술 기업들이 리눅스 재단의 알파-오메가를 지원

□ 시사점  

○ AI 기반 개발 환경 확산과 오픈소스 활용 증가로 인해 소프트웨어 공급망 전반에 대한 통합적인 거버넌스 관리 필요성이 확대되고 있음

- 오픈소스 컴포넌트 증가, 취약점 확대, 라이선스 충돌 리스크, 유지관리 공백 문제 등 다양한 요소가 복합적으로 작용하면서 기업의 소프트웨어 공급망 관리 중요성이 높아지고 있음

○ AI 코딩 도구 자체의 문제가 아닌 이 도구들이 가능케 한 개발의 규모와 속도의 급격한 증가에 기인한 것으로, 공급망 내 AI 사용 여부를 탐지·관리하는 것은 기업의 새로운 과제로 부상하고 있음 

○ AI 기반 개발 환경에서는 오픈소스 라이브러리뿐 아니라 AI 모델의 라이선스, 데이터 출처, 활용 방식 등을 함께 관리해야 하는 새로운 거버넌스 과제가 등장하고 있음 

○ 이에 따라 기업들은 오픈소스 컴포넌트 관리, 라이선스 검증, 취약점 대응, SBOM 기반 공급망 관리 등 체계적인 오픈소스 거버넌스 체계 구축의 필요성이 증가되고 있음

□ 주목할 만한 월간 이슈(3월)  

○ (오픈소스 AI·SW) 과기정통부, '오픈소스 AI·SW 개발·활용' 공모…10개 과제, 92억원 규모 지원

- 과학기술정보통신부가 국내 산업의 기술 자립과 신속한 AI 전환(AX)을 위해 오픈소스 생태계 조성을 지원하는 '2026년 오픈소스 AI·소프트웨어 개발·활용 지원사업' 과제를 공모

- 제조와 서비스 등 산업 현장에서 필요한 AI 소프트웨어를 국내 기업과 기관이 개발하고, 이를 오픈소스로 공개해 글로벌 경쟁력을 확보하는 것이 목적이며, 

- 선정된 기업들이 오픈소스 활용 과정에서 겪는 법적·기술적 어려움을 최소화할 수 있도록 전문 컨설팅도 제공할 계획

○ (표준 인증) CJ올리브영, 국내 뷰티 업계 최초 오픈소스 국제 표준 인증 획득

- CJ올리브영이 국내 뷰티·헬스 업계 최초로 오픈소스 국제 표준 인증인 'ISO/IEC 5230:2020'을 획득

* 이 표준 인증은 오픈소스 라이선스 준수 체계와 관리 역량을 종합적으로 평가

- 이번 인증은 CJ올리브영의 오픈소스 관리 체계의 보안성과 투명성을 공인 받은 것으로 글로벌 진출을 본격화하는 가운데 해외에서도 서비스 안정성과 신뢰도를 높이는 중요한 계기가 될 것으로 기대

○ (디지털 주권) 가트너, 디지털 주권 확보 위한 오픈소스 생산성 도구 전략 제시

- 가트너(Gartner)는 최근 '주권 회복: 지정학적 위험 완화를 위한 오픈소스 생산성 도구' 보고서를 통해 지정학적 갈등과 제재 확대 속에서 특정 국가의 클라우드 기반 생산성 도구에 대한 의존이 기업 운영 리스크로 이어질 수 있다고 분석

- 디지털 주권 확보가 기업과 정부의 주요 IT 전략 과제로 부상하고 있으며, 특정 벤더 의존도를 낮추고 데이터 통제권을 확보를 위한오픈소스 기반 생산성 플랫폼이 전략적 대안으로 주목받고 있다고 분석

- 가트너는 오픈소스 소프트웨어 채택의 중요성을 강조하며 오픈소스 생산성 도구 도입이 단기적인 비용 절감보다 장기적인 관점에서 지정학적 리스크 대응과 디지털 주권 확보라는 전략적 관점에서 접근해야 한다고 강조

* 오픈소스 기반 생산성 플랫폼 전환을 위해 조직은 기술 성숙도와 운영 부담, 생산성 영향 등을 종합적으로 고려해 단계적으로 도입 전략을 수립해야 한다고 설명

○ (AI 에이전트) 엔비디아, 오픈소스 에이전틱 AI 생태계 확장 전략 공개

- 에이전틱 AI 생태계의 기반이 될 오픈소스 프런티어 모델을 공동으로 만들기 위해 글로벌 AI 기업 8개사와 함께 ‘네모트론 연합’ 출범

* 블랙 포레스트 랩스·커서·랭체인·미스트랄 AI·퍼플렉시티·리플렉션 AI·사르밤·싱킹 머신스 랩 등 8개사가 창립 멤버로 참여

- 연합의 첫 프로젝트는 미스트랄 AI와 엔비디아가 공동 개발하는 베이스 모델이며, 나머지 멤버들은 각자의 데이터·평가 프레임워크·전문성으로 사후 훈련과 지속적 개발을 지원

- 완성 모델은 엔비디아 DGX 클라우드에서 훈련돼 오픈소스로 공개되며, 향후 ‘네모트론 4’ 모델 제품군의 기반이 될 예정

- 기업 환경에서 오픈소스 AI 모델의 안전한 배포를 위해, 엔비디아는 보안·거버넌스 기능을 통합한 ‘네모클로’ 오픈소스 스택을 공개

* 오픈클로 플랫폼 기반에서 네모트론 모델과 ‘오픈쉘’을 단일 명령어로 설치·운영 가능

○ (거버넌스) 홍콩, 세계 최초 ‘거버넌스 기반 AI 에이전트 네트워크’ 출범

- 홍콩은 인공지능(AI) 에이전트들이 인간의 통제하에 안전하게 협력할 수 있도록 돕는 세계 최초의 오픈소스  ‘거버넌스 AI 네트워크’를 출범

* 최근 중국 내에서 오픈소스 AI 도구인 ‘오픈클로’가 폭발적인 인기를 끄는 동시에 보안 우려를 낳고 있음

- AI가 사용자 기기나 데이터에 비정상적으로 접근하는 것을 방지하기 위한 조치로 AI 에이전트들에게 각기 다른 ‘사회적 정체성’을 부여함으로써 각자의 권한 범위를 정의하여 AI가 허용된 범위 내에서만 자율성을 발휘하도록 설계함

* 홍콩 과기대(HKUST) 학자들이 주도하는 정부 지원 연구소 HKGAI는 AI 에이전트가 단순한 도구가 아닌 명확한 권한과 책임의 경계를 명확히 하여 사회적 구성원으로 운영하는 체계 제시

- 최종 의사결정 권한은 인간이 유지하되, AI는 정해진 한계 내에서 자율적으로 작업을 수행하고 모든 행동은 추적 가능하게 설계해 책임성과 보안성을 강화

* HKGAI는 이론적 네트워크 구축에 그치지 않고 시민들의 일상과 공공 서비스를 혁신할 실용적인 도구들도 대거 공개함

- 2027년까지 최소 200개 행정 절차에 AI를 도입하고, 약 5,000만 홍콩달러 규모의 지원을 통해 ‘AI+’ 전략을 가속화