2025.12.07
AI 거버넌스, 투명성을 확보하라
(2부) AI 모델 사용 시 직면하는 리스크- Part 1 라이선스
- Open UP -
개방형 AI 기술은 AI 생태계의 투명성을 높이는 기반으로 자리잡고 있으나, 기업이 AI를 도입할 때는 법적·보안적 리스크 관리가 새로운 과제로 부상하고 있음
|
기업은 AI 모델 채택 시 성능 및 활용성에 대한 고려 뿐만 아니라 그 모델의 라이선스, 저작권 등을 명확히 식별하는 것이 필요
개방형 AI 기술의 개방·확산에 따라 오픈소스 AI는 기술 접근성과 활용 유연성을 바탕으로 다양한 산업과 조직에서 빠르게 채택되며, AI 활용의 핵심 전략으로 부상
AI 활용 현황을 살펴보면, 기업의 94%가 AI를 채택 중이고, 기업의 63%가 오픈소스 AI를 사용 중이며, 75%는 향후 확대 계획이 있음
데이터 출처 : The Economic and Workforce Impacts of Open Source AI(리눅스 재단, 2025)
오픈소스 AI 활용률은 기술 스택별로 모델(63%)과 툴(59%), 데이터(56%)에서 높게 나타나며, 산업별로는 기술·미디어·통신 부문(70%), 금융(62%), 헬스케어(51%) 등 평균 63%의 사용 비율을 보임
데이터 출처 : Open Source Technology in the Age of AI(맥킨지·모질라 재단, 2025)
AI 시대에 오픈소스 AI는 성능 및 사용 편의성에서 높은 만족도와 함께 혁신 촉진, 비용 절감, 기술 자율성 확보 등 기업 경쟁력 강화를 위한 핵심 자산으로 그 가치를 인정받고 있음
(1부)에서 살펴본 바와 같이, 오픈소스 AI, 오픈웨이트와 같은 개방형 AI 기술은 AI 생태계의 투명성을 높이는 데 기여하고 있으나, 기업이 AI를 도입할 때는 법적·보안적 리스크 관리 과제로 새롭게 부상하고 있음
오픈소스 AI를 활용하는 조직의 다수가 보안(62%), 규제 준수(54%), 지식재산권 침해(50%)를 주요 우려 요인으로 인식하고 있음
데이터 출처 : Open Source Technology in the Age of AI(맥킨지·모질라 재단, 2025)
AI 모델은 소프트웨어와 달리 데이터, 가중치, 코드의 결합체로 구성되어, 저작권 및 사용권의 경계가 불명확
이러한 불명확성과 복잡성을 해소하고, 모델의 적법한 사용을 보장하기 위해 각 모델 라이선스 유형에 따른 준수(Compliance)는 필수적인 과정임
다양한 개방형 AI 모델의 짧은 출시 주기에 따른 모델별, 버전별 라이선스 유형 변화 및 상업적 허용, 제약사항 세부 준수 항목 복잡
[Meta LLaMA 모델의 버전별 준수사항 비교]
| 구분 | LLaMA 1 | LLaMA 2 | LLaMA 3/3.1/3.2/3.3 |
|---|---|---|---|
| 출시 시기 | 2023.2 | 2023.7 | 2024~25 |
| 라이선스 | LLaMA License 2023 | Llama 2 Community License | Llama 3.x Community License |
| 상업적 사용 | 불가 (비상업 연구 목적에 한함) | 제한적 허용 (커뮤니티 라이선스 조건) | 제한적 허용 (사용 목적 제한 등 세부적) |
| 월간활성이용자(MAU) | 해당 없음 | 직전 월 MAU 7억 초과 제품/서비스는 별도 허가 | 직전 월 MAU 7억 초과 제품/서비스는 별도 허가 |
| 수용불가(AUP) | 군사, 감시, 바이오메트릭 등 광범위 금지 | 불법·권리침해·CSAM(아동성학대)·사기 등 금지 | 3.x AUP 준수 조건을 계약서나 이용약관에 반영 지시(거버넌스) |
| 타 LLM 개선(타모델 학습/튜닝) 금지 | 명시 없음 | Llama 2(및 파생) 외 LLM 개선에 결과/출력 사용 금지 | Llama 3 계열 외 LLM 개선에 결과/출력 사용 금지 |
| 재배포/파생물 의무 | 비상업 연구 범위 내 허용·귀속 표시 | 재배포·파생 가능 (반드시 라이선스·AUP 문서 포함, 상표 제외) | 표준 고지 + “Built with Meta Llama 3” 명시, 파생/개선 모델명은 “Llama 3”로 시작 요구 |
| 브랜딩 표기 | 요구 없음 | 표준 고지 수준 (라이선스, AUP 동봉) | “Built with Meta Llama 3” 표기 의무(라이선스, AUP 등 동봉) |
| 참고 | 강한 용도 제한, 비상업 연구 중심 | 상업적 허용하지만 대형사업자 제한· AUP·출력 재학습 금지 | 준수사항 세부 내용 정교화, 거버넌스 구축 |
[주요 개방형 AI 모델별 제약사항 예시]
| 오픈소스 AI | |||||
|---|---|---|---|---|---|
| AI 모델 | 라이선스 | 상업적 허용 | fine-tuning 허용 | 기타 제약조건 | |
| OLMO-7B (AI2) | Apache-2.0 | Permissive (허용적) 라이선스 | 가능 | 허용 | 상표 사용 금지 |
| BLOOM (BigScience) | BigScience- BLOOM-RAIL-1.0 | Conditional Permissive (조건부 허용적) 라이선스 | 조건부 가능 (비윤리적·불법적 사용 금지) | 허용 (RAIL 조건 유지 및 수정/파생모델에도 동일 고지 필요) | 불법행위, 차별, 증오발언, 허위정보, 의학적 조언 등 사용 금지, RAIL 조항 위반 시 라이선스 종료, 책임 사용 원칙 준수, 상표 사용 금지 |
| 오픈 웨이트 AI | |||||
|---|---|---|---|---|---|
| AI 모델 | 라이선스 | 상업적 허용 | fine-tuning 허용 | 기타 제약조건 | |
| GPT-OSS-120B (OpenAI) | Apache-2.0 | Permissive (허용적) 라이선스 | 가능 | 허용 | 상표 사용 금지 |
| DeepSeek R1 (DeepSeek) | MIT | 가능 | 허용 | - | |
| LLaMA 3 (Meta) | Llama 3 Community License | Non-Permissive (비허용적) 라이선스 | 제한적 가능 (경쟁 모델 개선 금지, 월간 사용자수 7억명 초과시 별도 라이선스) | 허용 ("Built with Meta Llama 3" 표기, AI모델명 "Llama 3" 표시, 저작권 "MetaLlama~" 필수) | 타 AI 모델 개선·학습 금지, 상표권 사용불가, 매출 초과시 사용 중단 |
| Qwen2.5-3B/72B/110B (Alibaba Cloud) | Qwen LICENSE AGREEMENT | 제한적 가능 (월간 1억명 초과시 별도 라이선스) | 허용 (출처 고지 등 일부 모델 조건부) | 상표 사용 금지 | |
| DeepSeek-V3 (DeepSeek) | DEEPSEEK MODEL LICENSE AGREEMENT | 가능 | 허용 (저작권 표시, 변경사항 공지, 본 라이선스 포함) | 상표, 로고, 브랜드 등 사용 금지 (중국법 적용) | |
| stable-diffusion 3.5 (Stability AI) | Stability Community License | 제한적 가능 (연매출 100만달러 초과시 별도 라이선스) | 허용 (변경내용 + "Powered by Stability AI" 표기) | 상표권 사용 불가, 매출 초과시 사용 중단, Stability AI AUP 준수 필요 | |
[OpenMDW-1.0 라이선스 주요 내용]
| 구분 | 설명 |
|---|---|
| 개요 및 목적 | 모델 및 관련 산출물(모델 자료, Model Materials)에 적용되는 허용적(permissive) 라이선스 코드·데이터·가중치 등 AI 모델 구성요소 간 일관성과 명확성 확보 |
| 정의 및 적용 범위 | 모델 자료는 모델 구조·파라미터와 데이터셋, 문서, 코드, 평가자료, 툴 등 배포물 전체를 포함 Model Openness Framework(MOF)와 정합, 단 모든 요소 공개를 강제하지 않음 |
| 권리 부여 | 저작권·특허·데이터베이스권·영업비밀 등 모든 지식재산권 체계 하에서 사용·수정·배포 가능 AI 자산 활용 시 발생할 수 있는 법적 모호성을 해소하기위해 고안 |
| 조건 및 출처 표시 | 재배포 시 최소한의 의무만을 부과 Copyleft·Share-Alike 조건 없음, 파생·통합 모델의 자유로운 재사용 가능 |
| 특허 소송 종료 | 사용자가 모델 자료 관련 공격적 특허 소송 제기 시 라이선스 종료(방어 목적 소송은 예외) 개방형 협업 생태계 보호 장치 |
| 출력 및 면책 조항 | 모델 사용으로 생성된 출력물은 모든 라이선스 제약으로부터 자유로움 명시 보증·책임 부인, 적법성 검증 및 권리 확인은 전적으로 사용자 책임 |
| 정책 및 오픈소스 원칙과의 정합성 | EU AI Act에서 언급한 “자유롭고 오픈소스 라이선스(free and open-source licenses)”의 기준과 정합되도록 설계 오픈소스 이니셔티브의 10대 원칙(OSI 오픈소스 정의)을 모두 지원 |
| 구현, 호환성 및 적합성 | 저장소 루트에 LICENSE 파일 1개만 두면 적용 완료 Model Openness Framework(MOF)와 완전한 호환성을 유지 기존 소프트웨어 중심 라이선스의 공백을 보완하는 AI 모델 전용 개방적 대안 |
[EU AI Act 위험 수준별 규제]
| 위험 수준 | 위반 행위 | 주요 조치 / 제재 | 벌금 규모(상한) |
|---|---|---|---|
| 금지 (Unacceptable) | 금지된 AI 시스템 개발·판매·사용 (사회 신용 시스템, 공공장소 얼굴인식, 취약계층 조작 등) | 즉시 서비스 중단 명령 제품 리콜 또는 시장 철수 기관의 조사 및 행정 제재 | 전 세계 연간 매출의 최대 7% 또는 €35M 중 큰 금액 |
| 고위험 (High) | 사전 적합성 평가, CE 마킹, 위험 관리·데이터품질·기록·투명성· 인적 감독·보안 의무 위반 | 시정 명령, 개선 요구 시정 불이행 시 시장 철수 벌금 부과 | 전 세계 연간 매출의 최대 3% 또는 €15M 중 큰 금액 |
| 제한 (Limited) | 투명성 표시(챗봇 고지, AI 생성물 표기 등) 의무 위반 | 시정 명령 반복 위반 시 벌금 부과 | 전 세계 연간 매출의 최대 1.5% 또는 €7.5M 중 큰 금액 |
| 최소 (Minimal) | 별도 법적 규제 없음 (자율 표준 권장) | 해당 법률에 따른 별도 제재 | EU AI Act 자체 벌금 없음 |
[NIST AI RMF 리스크 관리 4대 기능]
| 항목 | 핵심 기능 | 설명 |
|---|---|---|
| Govern | AI 거버넌스 체계 수립 및 법·규제 요건 문서화 | 조직 전반에 AI 리스크 관리 문화 조성, 법적·규제적 요구사항 이해·관리·문서화 AI 리스크 관리를 위한 교차 기능 (cross-cutting function)으로서 프레임워크 전반에 영향 |
| Map | AI 시스템의 리스크 식별 및 문서화 | AI 시스템의 맥락을 인식하고, 그와 관련된 리스크를 식별, 초기 의사결정에 기여 데이터, 모델, 제3자 지식재산권, 사용 목적 등 정보를 명확히 정의 및 기록 |
| Measure | AI 리스크의 분석·평가·벤치마크·모니터링 | 시스템의 신뢰성 평가, 기존 및 신규 리스크 식별·추적, 측정 지표의 효과성 검증 능력을 향상 정량적·정성적 지표를 수립하고, 측정 결과를 문서화·공유 |
| Manage | 리스크 감소 조치 및 모니터링 프로세스 운영 | 평가된 리스크를 우선 순위화, 정기적 모니터링 및 개선 계획 수립 중대한 리스크 발견 시, AI 개발·배포를 안전하게 중단, 사후 대응·복구 절차 수행 및 지속적 개선 프로세스 운영 |
[AI 모델 도입 시 주요 점검 항목]
| 구분 | 주요 점검 항목 | 설명 |
|---|---|---|
| 1. 모델 신뢰성 | 모델의 출처 (제작자·배포처) 확인 | 배포처의 신뢰성, 모델의 계보(Lineage)를 파악하여 향후 책임 소재 및 업데이트 관리를 용이하게 함 |
| 2. 라이선스 식별 및 검증 | AI 모델의 라이선스 유형 및 사용조건 확인 | AI 모델 라이선스의 상업적 이용 가능 여부(MAU/매출 제한 등), 제한 조건(2차 저작물 허용, 재학습, 상표권 사용 여부 등) 검토 필요 모델과 연계된 소스코드·라이브러리의 오픈소스 라이선스 충돌 및 호환성 검증 |
| 3. 데이터·가중치 적법성 검증 | 학습 데이터 출처, 저작권, 가중치의 적법성, 개인정보·기밀정보 포함 여부 점검 | 데이터의 출처, 사용 허가 범위, 공정 이용(Fair Use) 적용 가능성 검토 공개된 모델이라도 데이터셋이 제3자 저작물일 수 있음 데이터에 개인정보 또는 기밀정보가 포함되어 있는지 확인하고, 관련 데이터 보호 규제(GDPR, CCPA 등) 준수 여부 점검 |
| 4. 보안 검증 | 악성코드·취약점 포함 여부 확인 | 모델과 함께 배포되는 실행 코드 및 패키지의 무결성을 점검하고, 악성 스크립트나 위·변조된 모델 파일 유입 방지 필요 |
| 5. AI 법·규제 대응 | 모델의 규제 위험 등급 및 필수 준수 의무 확인 | EU AI Act 등 규제 프레임워크에 따른 모델의 위험 등급을 사전 검토하고, 필수적인 기술 및 문서화 의무 확인 |
시사점
※ 참고 Reference
|
댓글 0
댓글 작성
댓글을 작성하려면 게시글 작성 시 입력한 이메일과 패스워드를 입력해주세요.