인공지능과 오픈소스의 교차점, 새로운 규제 환경의 도래에 따른 대비 방향

법무법인(유) 율촌 김익현 변호사

1. 인공지능과 오픈소스

최근 몇 년간 인공지능(AI)의 발전 속도는 그야말로 폭발적이다. 챗GPT를 비롯한 생성형AI의 대중화는 소프트웨어 개발, 콘텐츠 산업, 금융·법률 등 전 분야에 걸쳐 구조적 변화를 촉발했다. 이러한 변화의 핵심에는 오픈소스의 힘이 있다. 과거 오픈소스는 주로 리눅스나 아파치 서버처럼 개발자 커뮤니티의 공유 자산으로서 기능해 왔지만, 이제는 AI 산업의 성장 동력으로서 그 역할이 더욱 커지고 있다.

여기에는 두 가지 측면이 있다. 첫째, AI 서비스를 만들기 위해 방대한 오픈소스 소프트웨어와 라이브러리가 사용되는 측면이다. 대다수의 AI 스타트업과 빅테크 기업은 수많은 오픈소스 프레임워크(PyTorch, TensorFlow, HuggingFace 등), 데이터셋, 모델 파라미터를 활용해 제품을 개발한다. 둘째, AI 자체가 오픈소스로 공개되는 측면이다. Meta가 LLaMA 시리즈 모델을 공개하고, Mistral이나 Stability AI가 모델 가중치를 개방하는 등, 대규모 언어모델(LLM)과 이미지 생성 모델이 직접 오픈소스 형태로 배포되는 사례가 늘고 있다.

이 두 가지 흐름은 혁신의 원천이지만, 동시에 새로운 법적·규제적 대비라는 어려운 과제를 던진다. 본고에서는 AI와 오픈소스의 교차점에서 발생하는 법적 쟁점을 정리하고 해외 사례와 규제 동향 및 그에 따른 기업들의 대비 방향에 대해서 살펴보고자 한다.

2. AI 서비스 개발 과정에서의 오픈소스 활용– 관련 규제 동향과 대비 방안

AI 서비스를 개발하는 기업은 거의 필연적으로 오픈소스 소프트웨어를 사용한다. 라이브러리, 프레임워크, 데이터셋 모두 오픈소스 없이는 AI 산업을 상상하기 어렵다. 그러나 이와 관련하여서는 여러 가지 법적인 대비가 필수적이다.

현 시점에서 가장 중요한 사항으로 떠오르고 있는 것은, EU의 CRA(사이버보안 회복력법)와 같은 새로운 규제의 적용 가능성이다. CRA의 정식 명칭은 Regulation of the European parliament and of the council on Horizontal cybersecurity requirements for products with digital elements, 즉 ‘디지털 요소가 포함된 제품에 대한 수평적 사이버보안 요구 사항에 대한 유럽 의회 및 이사회 규정’이다. CRA는 EU 내에서 판매되는 모든 디지털 제품·서비스에 대해 보안 관련 책임을 강화하는 법안이다. 2022년 9월 제정안이 발의되고 2024년 3월 유럽의회의 승인이 이루어진 후 2024년 12월 10일 공식 발효되었다. 법 적용 유예 규정이 있어서, 모든 조항들이 전부 효력이 발생하는 것은 2027년 12월이고, 중대 사고 발생 시 보고 요구 사항 관련 조항은 2026년 9월부터 적용된다.

이 법에 의하면, EU 시장에 제품을 출시하려면 제품의 개발 단계부터 법정의 일정 기간동안 법이 요구하는 사이버 보안 요건들을 준수하여야만 한다. 중대한 사고 발생시 24시간내에 당국에 보고하는 등 법이 정한 조치를 취해야 하고, 제품의 분류에 따라 각기 요구되는 적합성 평가가 필요하다. 디지털 요소가 포함된 제품의 설계, 개발 및 생산에 대한 필수 사이버보안 요구사항을 정하고, 사이버보안과 관련하여 해당 제품과 관련된 제조업체, 수입자, 유통업체 등의 의무를 규정하고 있다. 사이버보안을 보장하기 위해 제조업체가 도입한 취약성 처리 프로세스에 대한 필수 사이버 보안 요구 사항이나, 제품이 사용될 것으로 예상되는 기간 동안 이러한 프로세스와 관련된 운영자의 의무를 규정하고 있으며, 이 법에 언급된 규칙과 요구사항의 모니터링 및 집행을 포함한 시장 감시에 관한 규정, 벌칙 규정 등을 두고 있다.

이 법은 SBOM 관련 의무사항을 규정하고 있다는 점이 중요한 포인트이다. 디지털 요소가 포함된 제품을 유럽 시장에 출시하라면 의무적으로 SBOM을 작성하도록 규정하고 있다. SBOM(Softwear bill of Materials) 즉 소프트웨어 자재 명세란, 소프트웨어 구성요소를 서술하는 일종의 메타 데이터로 소프트웨어 전체의 구성요소를 목록화한 것이라고 정의될 수 있다. SBOM 작성을 의무화한다는 것은 소프트웨어를 구성하는 하위 구성요소인 전체 소프트웨어들의 구체적이고 상세한 목록을 정확하게 작성하여 표시할 의무를 부과함을 의미한다. 이렇게 SBOM을 작성하게 되면, 공급자, 구매자, 운영자 등 공급망의 여러 당사자들이 위협 요소를 파악하고 보안의 취약점이나 라이선스 문제 등에 대응하기가 용이하고, 사고가 발생했을 때 보다 신속하고 정확하게 문제를 해결하는 데 도움이 된다는 장점이 있다. 이와 같은 SBOM 관련 의무 조항을 위반한 경우 강력한 제제 규정을 두고 있다. 위반시 최대 1,500만유로 또는 이전 회계연도의 전 세계 총 연간 매출액의 2.5% 중 높은 금액을 행정 벌금으로 부과하도록 되어 있다.

인공지능과 오픈소스 분야는 가장 대표적으로 CRA가 직접 적용되는 분야이다. 디지털 요소를 가진 제품의 가장 대표적인 것이 바로 소프트웨어이고, AI 서비스를 만들기 위해 방대한 오픈소스 소프트웨어와 라이브러리가 사용되고 있기 때문이다. 대다수의AI 스타트업과 빅테크 기업은 수많은 오픈소스 프레임워크(PyTorch, TensorFlow, HuggingFace 등), 데이터셋, 모델 파라미터를 활용해 제품을 개발한다. AI 서비스를 개발하고 서비스하는 기업이 EU에서 서비스를 하고자 한다면 CRA 법이 규정한 여러 의무들을 준수해야 할 뿐만 아니라 SBOM 관련 의무 조항도 철저히 준수하도록 대비해야 한다. 즉, 자신의 서비스에 활용되고 있는 하위의 오픈소스 등 모든 소프트웨어들의 정확한 자재명세를 빠짐 없이 항시 작성하고 관리하고 있어야 한다.

뿐만 아니라, ‘EU에서 서비스를 제공하는지 여부’와 관련하여서는, 법에서 디지털 요소가 포함된 제품'에 소프트웨어 또는 하드웨어 제품과 ‘원격 데이터 처리 솔루션’도 포함한다. 결과적으로 사업자가 물리적으로 EU 권역에 소재하지 않더라도 원격으로 EU에 서비스를 제공하는 경우도 모두 포함하게 되므로, 적용을 받는 수범자의 범위는 실제로는 매우 넓어질 수 있음에 유의해야 한다.

이러한 규제는 EU에 국한되는 것이 아니라, 미국과 일본 등 주요 국가도 비슷한 규제를 시행 중이거나 준비 중에 있다. 미국은 2021년 5월 정부 행정명령을 통해서 연방정부에 납품되는 SW의 SBOM을 의무화하였다. 또한, 관리예산처는 2022년 9월 안전한 정부를 위한 SW 공급망 보안 강화 지침과, 행정부서 및 기관장을 위한 각서를 발표했는데, 연방정부에 SW를 납품하는 공급자에게 미국 국가기술표준원의 ‘안전한 SW 개발체계를 준수했음을 선언하는 자체 증명서를 제출토록 하였다. 일본의 경우는, 경제산업성에 SW TF를 설치하고, 의료, 자동차, SW분야를 중점적으로 하여 SBOM 제도화를 적극 추진하고 있다. 민간 부문에도 SBOM 활용이 확산되도록 정책적 노력을 기울이고 있고, 통신분야 공급망에 대해서도 SBOM 도입을 검토 중이라고 한다.

이상과 같은 CRA 관련 규제 외에도, 라이선스 준수 역시 중요한 부분이다. 오픈소스 라이선스에는 GPL, Apache, MIT 등 다양한 형태가 있으며, 각기 소스코드 공개 의무나 저작권 표시, 특허 사용 조건이 다르다. 이를 위반할 경우 손해배상이나 소송에 직면할 수 있다. 실제로 마이크로소프트의 GitHub Copilot은 오픈소스 코드 학습 과정에서 저작권 위반 논란에 휘말렸다. 캘리포니아 연방 법원에 제기된 소송에서, 원고 측은Copilot이 자신들의 소스 코드를 그대로 복제하였고, 오픈소스 의무사항에 대한 표기 생략, 출처, 저작권 표시 등도 삭제함으로써, 오픈소스 라이선싱 정책 위반, 디지털 밀레니엄 저작권법 위반, 불공정경쟁 행위를 하였다고 주장했다. 원고 주장 중 일부는 기각되었고 아직 진행 중에 있지만, 이 사건은 AI 학습 과정에서의 저작권 및 라이선스 준수 문제를 부각시킨 상징적 사례다.

데이터 및 개인정보 보호 규제도 중요한 이슈이다. 오픈 데이터셋에는 개인정보가 포함될 위험이 있고, GDPR 등 규제를 위반할 경우 막대한 과징금이 부과될 수 있다. 최근 캐나다 개인정보보호위원회가 OpenAI를 조사한 사건처럼, AI 개발 과정에서의 데이터 처리와 오픈소스 활용은 더 이상 규제 사각지대가 아니다.

3. AI 자체가 오픈소스로 공개되는 경우– 관련 규제 동향과 대비 방안

AI 자체가 오픈소스 형태로 배포되는 국면은 또 다른 쟁점을 낳는다. 최근 Meta의 LLaMA, Stability AI 모델과 같이 AI 자체가 오픈소스로 배포되는 사례가 늘고 있다. Meta의 LLaMA 모델은 상업적 사용을 허용하는 조건으로 연구자와 기업에 무료 제공되고 있다. 이러한 모델은 소스 코드뿐 아니라 학습된 모델 가중치까지 공개되며, 누구나 접근하여 활용할 수 있다. 이는AI 생태계를 폭발적으로 확장시키는 한편, 책임 주체의 문제를 야기한다. 모델이 누구에게나 배포되면, 이를 이용한 불법 행위나 보안 위협 발생 시 책임 소재가 불분명해진다.

EU AI Act 관련하여서도 이 부분은 중요한 쟁점이다. EU AI Act는 2024년 8월 1일에 발효되었으며, 대부분의 규제 조항은 2026년 8월 2일부터 본격적으로 적용될 예정이다. 초기 논의에서는 오픈소스 모델에 대한 규제를 완화하려는 의도가 있었으나, 현재 법령 체계에서는 모델 크기와 위험 수준에 따라 일정한 책임을 부과받을 수 있다. 특히, 의료나 금융 등 고위험 분야에서 대규모 오픈소스AI 모델을 활용할 경우, 투명성 요건과 안전성 검증을 충족해야 한다. 이처럼 오픈소스 모델도 완전히 자유로운 활용이 가능한 것은 아니며, 분야별·위험별 규제 적용 가능성을 염두에 두어야 한다.

Stability AI나 Mistral과 같은 기업들이 모델 가중치를 완전히 개방하는 전략과 관련하여서도, 이 경우 사용자가 모델을 변형해 재배포할 때 발생하는 법적 리스크(저작권, 특허, 보안 위협)까지 원 개발자가 책임져야 하는지 논란이 된다. 미국에서는 제조물책임법(Product Liability) 적용 가능성이나 CRA 유사 법제의 도입이 논의되고 있다.

라이선스 문제도 마찬가지로 중요한 이슈이다. LLaMA 3 라이선스는 비독점적 사용을 허용하면서도, 상업적 규모가 큰 경우에는 별도 라이선스를 요구하는 제한을 두어 대형 경쟁사들의 무임승차를 방지하고자 한다. 이는 공개된 AI 모델을 사용하는 기업이 상업적 목적에 맞게 적법하게 활용하지 않으면 법적 분쟁에 직면할 수 있다는 것을 의미한다.

한편, 앞서 설명한 CRA 규제 적용 관점에서 볼 때, 개방형 AI 모델은 모델 자체의 보안·책임 관리 대상이 된다. 모델을 배포하거나 API로 서비스하는 기업은 CRA 규정에 따라 공급망과 소프트웨어 구성 요소, 사용자 접근 권한, 취약점 대응 기록을 문서화해야 한다. EU AI Act에서도 고위험 AI 시스템으로 분류될 경우, 사용자 안전성, 투명성, 사고 대응 체계를 요구하고 있어CRA와 병행되는 글로벌 규제 체계 속에서 기업은 다층적 법적 책임을 관리해야 한다.

4. 결론

인공지능과 오픈소스가 교차하는 지점에서는 기술 혁신과 법적·규제적 대비라는 양면적인 과제를 마주하게 된다. AI 서비스 개발 과정에서 오픈소스를 활용하는 경우와AI 자체를 오픈소스로 제공하는 경우 모두, CRA와 글로벌 규제 환경에 따른 법적 책임이 필연적으로 따라온다.

또한, 앞으로의 규제 체계는 개발자→배포자→운영자까지 공급망 전반에 책임을 분산시키는 구조로 설계될 것이다. 오픈소스라 하더라도 상업적 활용 단계에서는 다양한 주체에게 책임이 부과될 가능성이 크다.

따라서 AI 서비스 개발 과정에서 SBOM 구축 및 오픈소스 라이선스 관리 체계를 구축하고, CRA·AI Act 등 해외 규제 요건을 사전에 검토해야 한다. 또한 오픈소스 모델을 활용하거나 자체 모델을 공개하는 경우, 보안 취약점 대응 계획과 법적 책임 분담 구조를 명확히 해야 한다.

기업들은 기술적 성과의 성취 뿐만 아니라, 규제 체계 내에서 적법한 활동이 가능하도록 충분한 대비와 관리를 해야 한다. EU의 CRA, 그리고 이와 유사한 미국, 일본 등 주요국의 규제 체계들은 이제 당면한 과제가 되었으므로 이 규제들이 요구하는 내용들을 철저하게 준수하도록 대비하여야 한다.

AI 산업의 지속 가능성과 글로벌 경쟁력 확보는, 단순히 모델 성능이나 시장 점유율이 전부가 아니라, 법적 책임과 규제 준수에 기반한 신뢰성 확보가 없이는 불가능하다고 해도 과언이 아니다. CRA와 EU AI Act 등 새로운 규제 환경 속에서 기업은 AI 혁신을 이어가면서도, 법적 리스크를 최소화하고, 글로벌 시장에서의 경쟁 우위를 유지하는 전략을 동시에 추진해야 할 것이다.

김익현 변호사 법무법인(유) 율촌 파트너 김익현 변호사는 법무법인(유) 율촌에서 증권금융분쟁, 블록체인/가상자산, 모빌리티, 제조물책임, 중대재해, 상사∙경영권분쟁 등 업무를 담당하고 있습니다. 2014-2015 기간 동안 벨기에 Université catholique de Louvain EU법 연구소 방문학자 연구과정을 거치고 2015년에 Covington & Burling LLP 브뤼셀 사무소에서 파견 근무를 하면서 EU법 관련 실무를 다수 경험하였습니다.