[기획시리즈] AI 거버넌스, 투명성을 확보하라
(1부) 오픈소스 AI와 오픈웨이트

- Open UP -

글로벌 AI 경쟁 시대, 오픈웨이트는 지식재산 보호와 시장 확산 사이에서 선택된 불완전한 개방 전략으로, AI 거버넌스 체계의 투명성 요구에 미치지 못하는 근본적 한계를 내포

• 글로벌 AI 기업들은 완전한 오픈소스 공개 대신, 오픈웨이트(Open Weights) 전략을 선택, 시장 확산과 기업 보호를 동시에 달성하기 위한 전략적 절충안으로 활용

  • 기업들은 완전히 공개된 모델은 악용 가능성이 크기 때문에 AI 안전과 보안 및 책임 있는 배포를 위해서는 일정 수준의 제한이 필요하다고 주장
  • 또한 경쟁자 진입장벽 유지, 지적재산(IP) 보호, 데이터 저작권 리스크 회피, 그리고 생태계 통제권 확보라는 전략적 고려도 작용하고 있음
  • 실질적으로 이러한 제한적 개방 전략은 연구자와 개발자 커뮤니티를 끌어들이면서도, 상업적 활용과 경쟁을 제약하는 방식으로 작동
  • 이러한 전략이 ‘오픈소스’라는 용어와 혼동될 때, 오픈 워싱(Open Washing) 논란이 발생하기도 함
  • OSI는 블로그를 통해 Meta의 LLaMA 라이선스가 비차별 조항을 위반해 “오픈소스가 아니다”라고 명확히 지적한 바 있음

• AI 시대에 오픈웨이트는 AI 시스템 개방의 진전으로 의미가 있지만, 연구자와 규제 기관이 요구하는 충분한 투명성 수준에는 미치지 못함

  • 이러한 이유로 오픈웨이트는 기업에게는 시장 확산과 보호를 동시에 달성할 수 있는 전략이지만, 동시에 폐쇄성과 개방성 사이에 위치한 과도기적 단계로, 투명성 관점에서 그 의미와 한계를 정확히 이해할 필요가 있음
  • 따라서 본 장에서는 왜 오픈웨이트라는 정의가 필요하며, 이를 둘러싼 기술적 구성 및 공개 범위 등을 정리함으로써, 향후 AI 거버넌스에서 오픈웨이트의 투명성 확보의 한계와 이에 대응하기 위한 과제가 무엇인지 분석하고자 함

   

(1) 오픈웨이트 정의 확립 및 특징

• 오픈웨이트는 학습된 신경망의 최종 결과물(가중치·파라미터)을 공개하는 개방형 모델의 한 유형임

  • 미국 연방거래위원회(FTC)는 오픈웨이트를 ‘이름 그대로 가중치를 공개하는 모델로, 개발자는 그 가중치와 사용 방식을 확인할 수 있다’고 설명
  • 최근 완전히 불투명한 시스템이 내재적으로 편향이나 차별적 행동을 내포할 수 있다는 사회적 인식이 증가함에 따라, 전 세계 규제 흐름이 AI 투명성에 대한 기준을 강화하는 흐름을 보이고 있음
  • 이러한 맥락에서 오픈웨이트 개념은 규제 압력 속에서 기업들이 취할 수 있는 전략적 절충안으로 재조명되고 있어 AI 개발자들은 핵심 자산인 학습 데이터셋과 방법론을 보호하면서도, 최종 산출물인 가중치는 공개하여 부분적 투명성을 확보하는 방식을 채택하고 있음
  • 오픈웨이트는 대부분 가중치만 공개하며, 학습 코드·데이터 출처는 비공개인 경우가 다수임

• 이러한 움직임 속에서 ‘오픈웨이트란 무엇인가’에 대한 명확한 정의와 표준화 필요성이 대두되며 다양한 커뮤니티에서 정의와 배포 요건을 수립하기 위한 논의가 활발히 전개되고 있음

  • [오픈소스 라이선스 전문가인 헤더 미커(Heather Meeker)] 오픈웨이트에 대한 독자적인 정의 초안을 발표(‘23.06.08)하면서, 단순한 가중치 공유를 넘어 모델 아키텍처, 학습 방법론, 데이터 출처 등 포괄적인 정보 공개를 요구하는 법적 프레임워크로 발전시킬 것을 제안하며 GitHub를 통해 오픈웨이트에 대한 Definition을 공개하고 개선 진행
    • 모델의 학습 과정을 연구할 수 있도록 필요한 수준에서 신경망 가중치(NNWs, Neural Network Weights)에 대한 접근이 보장되어야 하며 모델 아키텍처, 학습 방법론, 데이터 설명 및 출처, 하이퍼파라미터 등을 제공하고 학습에 사용된 소프트웨어는 오픈소스 또는 퍼블릭 도메인으로 공개하여야 함
    • 오픈웨이트 표준이 신경망 가중치의 사용·배포·공유를 위한 법적·실무적 지침을 제시해야 하며, 이를 위해 개발자, 연구자, 법률 전문가, 규제 기관을 포함한 AI 커뮤니티 전체의 협력이 필요
    • 이 정의와 라이선스는 오픈소스SW처럼 공개적으로 개발되고 커뮤니티가 참여해 개선되어야 함을 강조

[헤더 미커의 오픈웨이트의 필수 요건 8가지]

* 출처 : Definition for Open Weights LIcensing,
https://github.com/Open-Weights/Definition/blob/main/Definition.md

• [Open Source Initiative(OSI)] 오픈웨이트는 학습된 신경망의 최종 가중치와 편향 값을 공개한 모델로, 이를 통해 개발자들이 모델을 미세조정, 적용, 배포할 수 있는 권한이 부여된다고 명시하며 진정한 '오픈소스'가 아님을 명확히 함

  • 학습 코드·데이터·데이터 구성 정보는 포함되지 않기 때문에, 오픈웨이트를 “AI 투명성의 진전이지만, 완전한 오픈소스 기준에는 도달하지 못한 단계”로 평가

• [Open Source Alliance(OSA)] AI의 개방성 표준을 정립하기 위한 협력구조를 추진하며 Open Weight Definition(OWD)을 공식 발표, 오픈웨이트의 배포 조건(10대 원칙)을 제시

  • 오픈소스 얼라이언스는 소프트웨어 자유의 미래를 형성하기 위해 글로벌 오픈소스 커뮤니티를 통합하는 것을 목표로 2025년 2월 파리 AI 액션 서밋에서 출범

  • Open Weight Definition(OWD)는 OSI(Open Source Definition) 및 Debian Free Software Guidelines(DFSG)를 참조하여 확장

[OSA Open Weight Definition(OWD) 10가지 배포 조건]

* 출처 : Open Weight Definition (OWD), https://openweight.org/

• 오픈웨이트는 모델의 최종 결과물인 결과물(가중치·파라미터) 공개를 통해 AI 시스템의 투명성을 확보하려는 노력으로 AI 거버넌스에서 투명성과 규제 대응을 동시에 달성하기 위한 과도기적 모델로 위치

  • 전체 파이프라인(학습 코드·데이터)은 포함하지 않는 특징을 가지며, 아직 표준화되지 않았으며, 정의 확립을 위해 다양한 커뮤니티에서 법적·실무적 기준을 마련하기 위한 논의가 계속 진행 중

(2)오픈소스 AI와 비교

• 오픈소스 AI(Open Source AI, OSAI)는 모든 구성 요소를 투명하게 공개하는 완전한 개방형 모델을 의미하며, 오픈웨이트는 최종 산출물의 일부 정보만 제공하는 제한적 개방 모델 형태임

  • 오픈소스 AI는 OSI가 정의한 네 가지 자유를 보장하는 모델로, 모델 구조, 학습 코드, 데이터 출처 등 핵심 정보를 모두 공개하여 누구나 모델을 분석·수정·재현할 수 있도록 보장
  • 오픈소스 AI(OSAI)는 OSI에서 정의한 오픈소스 AI로, 이를 충족하는 네 가지 자유는 ‘사용의 자유’, ‘연구의 자유’, ‘수정·개선의 자유’, ‘공유의 자유’임
  • 오픈웨이트는 학습 과정이나 데이터의 구성 방식은 공개하지 않고, 최종 가중치만 제공함으로써 제한된 투명성과 활용 범위만을 제공
  • 오픈웨이트는 코드와 데이터가 비공개인 경우가 많아 자유로운 수정·재현은 불가능하며, OSI의 진정한 오픈소스 AI의 기준을 충족하지 못함

[폐쇠형/오픈웨이트/오픈소스 AI 비교]

• 진정한 오픈소스 AI는 더 많은 구성요소 정보를 공개, 재현성 및 검증 가능성을 확보하여 투명성을 보장하는 반면, 오픈웨이트 모델은 학습된 결과물인 가중치만을 공개, 데이터 편향 검증이나 재학습이 제한된 투명성과 통제 사이의 절충적 모델로 볼 수 있음

• Mozilla의 COO 수바 바수데반(Suba Vasudevan)은 오픈웨이트 모델과 오픈소스 AI의 비교를 케이크로 비유하며, 오픈웨이트 모델은 완성된 케이크를 주며 재료 목록만을 공개하는 것이고, 오픈소스 AI 모델은 재료의 양, 순서, 과정까지 레시피 전체를 공개하는 것이라고 설명

(3) 오픈웨이트의 한계

• 오픈웨이트는 완전한 폐쇄형 모델보다는 투명성을 높였지만, 여전히 재현성·데이터 투명성·규제 대응력·커뮤니티 협업성 측면에서 구조적 한계를 지님

  • [재현성 부족] 오픈웨이트는 학습된 최종 가중치만 공개, 학습 코드나 중간 체크포인트가 제공되지 않아 외부 연구자가 모델 개발 과정을 재현하거나 성능·편향 여부 검증, 안전성 테스트, 재학습이 사실상 불가능
    • 즉, 모델의 결과는 확인할 수 있지만, 그 결과에 도달하기까지의 학습 코드, 데이터 구성, 하이퍼파라미터 조정 과정이 공개되지 않아 동일한 결과를 다시 생성하거나, 성능 검증을 독립적으로 수행할 방법이 없음
    • 폐쇄형 모델보다는 개방적이지만, 이 한계는 AI 거버넌스의 핵심 가치인 검증 가능성과 책임성 확보를 저해하는 요인으로 작용
  • [데이터 불투명성] 학습 데이터의 출처, 구성 방식, 정제 절차 등이 공개되지 않아 데이터의 품질·대표성·편향 여부를 외부에서 검증 불가
  • [커뮤니티 협업의 제약] 오픈소스 AI는 누구나 코드·데이터·구조를 공유하고 수정할 수 있어 전 세계 개발자과 협업 생태계 형성이 가능하나, 오픈웨이트는 제한된 정보만 공개하여 커뮤니티 주도의 발전과 검증이 어려워지고, 지속적 개선의 순환 구조가 약화되는 요인으로 지적
  • [규제 대응 미흡] 글로벌 규제 체계(EU AI Act, NIST AI RMF 등)가 요구하는 수준의 재현성, 검증 가능성, 책임성, 추적성 등을 충분히 충족하지 못해 법적 리스크와 운영상 리스크 모두에 노출될 가능성이 있음
    • EU AI Act는 고위험 AI 시스템에 대해 데이터 출처, 학습 방법론, 데이터 정제 절차 등 개발 과정을 문서화해 추적성, 검증 가능성, 재현성 확보를 요구하나 오픈웨이트는 학습된 최종 가중치만을 공개하기 때문에 이 요구사항을 충족할 수 없음
    • NIST AI RMF(2023)는 AI 거버넌스의 핵심 기능으로 책임성과 독립 검증 가능성을 명시하지만, 오픈웨이트는 이러한 체계적 문서화나 독립적 검증 절차를 지원하지 않음
    • 이로 인해 기업이 오픈웨이트 모델을 도입하더라도 규제상 ‘배포자(Deployer)’로서의 의무(모니터링, 위험 관리, 기록 유지 등)를 완전하게 충족하기 어려움

[오픈웨이트 규제 대응의 한계]

(4) 오픈웨이트의 전략적 위치 및 리스크 대응

• 오픈웨이트는 AI 생태계에서 ‘투명성 확보’와 ‘지식재산 보호’라는 상충된 목표 사이의 현실적 절충안으로 등장했지만, 여전히 진정한 오픈소스 AI의 자유와 재현성 수준에는 미치지 못하는 과도기적 개방 모델임

  • 기업들은 AI 안전·보안·책임 있는 배포를 명분으로 오픈웨이트 전략을 활용하고 있으나, 실제로는 시장 통제권과 경쟁 우위를 유지하기 위한 전략적 수단으로 기능하고 있음
  • 오픈웨이트의 불완전한 개방성은 단순한 기술적 한계를 넘어, 글로벌 AI 거버넌스 체계에서 법적 리스크(라이선스 제약)와 기술적 리스크(보안·편향·안전성)로 직결되는 문제임
  • EU AI Act와 NIST AI RMF는 AI 시스템의 설명가능성, 공정성, 추적성, 책임성 등을 명확히 요구하고 있으며, 오픈웨이트는 이러한 규제의 핵심 요건을 완전히 충족하지 못하고 있음
  • 오픈웨이트 모델을 채택하는 기업은 모델의 성능 및 활용성에 대한 고려 뿐만 아니라 그 모델이 내포한 법적 리스크(라이선스, 저작권) 및 기술적 리스크(보안, 편향, 안전성)을 명확히 식별해야 함

  [기획시리즈] AI 거버넌스, 투명성을 확보하라 (2부)에서는 이 두 가지 주요 리스크가 기업의 AI 거버넌스 체계에 미치는 영향과 이에 대한 대응 전략을 논의할 예정

   

시사점

• 오픈웨이트는 단순히 모델의 가중치를 공개하는 수준을 넘어, 학습 정보·아키텍처·라이선스 조건을 포함한 포괄적 개념으로 재정의하기 위해 현재 다양한 커뮤니티에서 정의 논의가 진행되고 있음

• '오픈소스'와 '오픈웨이트' 간의 개념적 혼동(Open Washing)이 시장의 혼란과 불신을 야기할 수 있으므로, 개방의 수준과 범위를 명확히 하고, 라이선스 조건에 따른 자유와 제약을 정확히 인지하고 책임 있는 배포 문화를 구축하는 것이 필요

• 글로벌 규제는 투명성, 책임성, 추적성 등 AI 시스템의 설명 가능성을 강화하는 방향으로 진화하고 있으나 오픈웨이트는 이러한 규제 요구 수준을 완전히 충족하지 못하는 만큼, 기업은 자사 거버넌스 체계 내에서 보완적 통제장치를 마련하고, 법적·기술적 리스크를 사전 관리해야 함