무슨 일이 있었나
G7 사이버보안 워킹 그룹이 2026년 5월 12일 'Software Bill of Materials (SBOM) for Artificial Intelligence - Minimum Elements'를 공개했으며, 이는 CISA (US), BSI (Germany), ANSSI (France), ACN (Italy), CSE (Canada), NCSC (UK), NCO (Japan), 및 EU Commission이 공동으로 개발했습니다. 이 지침은 AI 공급망 메타데이터의 7개 클러스터를 정의합니다: Metadata, System Level Properties, Models, Dataset Properties, Key Performance Indicators, Infrastructure, 및 Security Properties.
왜 중요한가
이는 AI 특화 공급망 투명성을 위한 최초의 조율된 다중 정부 기준입니다. 의무는 아니지만, 어떤 AI 시스템 속성을 문서화하고 공유해야 하는지에 대한 국제적 수렴을 나타냅니다. 조직들은 기존 소프트웨어 SBOM과 유사하게 AI 시스템 인수 및 배포 거버넌스의 기준 요구사항으로서 이러한 클러스터를 채택하도록 조달팀이 기대할 것입니다. 신흥 EU AI Act 투명성 의무와 일치하며, 위험 기반 AI 조달 결정을 위한 구체적인 프레임워크를 제공합니다.
필요한 조치
AI SBOM 인벤토리 제어를 조달, 모델 배포 및 제3자 AI 인수 워크플로우로 확장합니다. 계약 템플릿 및 인수 설문지에 AI 특화 SBOM 필드(Model properties, Dataset provenance, Infrastructure requirements, Security controls)를 추가합니다. 기존 SBOM 도구가 AI 관련 메타데이터 클러스터를 내보낼 수 있는지 검토합니다.