CISA + G7 공동 지침: "AI를 위한 소프트웨어 자산 목록 – 최소 요소"

CISA는 캐나다, 프랑스, 독일, 이탈리아, 일본, 영국 및 유럽연합의 G7 파트너들과 함께 2026년 6월 16일 'AI를 위한 소프트웨어 자산 목록 – 최소 요소'라는 제목의 공동 지침을 발표했습니다. 이 문서는 AI SBOM을 위한 7가지 정보 '클러스터'를 정의합니다: 메타데이터, 시스템 레벨 속성, 모델, 데이터셋 속성, 인프라, 보안 속성, 그리고 핵심 성능 지표. 이는 기존 SBOM 프레임워크(EO 14028/NTIA 2021에 기반)를 확장하여 AI별 구성요소를 포함합니다: 모델 계보, 학습 데이터셋 출처, 적대적 강건성 제어, 프롬프트 주입 위험 완화. 이 지침은 자발적이며 새로운 법적 요구사항을 만들지 않지만, EU AI법 제11조 및 제13조/부록 IV 기술 문서 의무와 명시적으로 매핑됩니다.

이는 AI SBOM이 포함해야 할 내용에 대한 첫 번째 G7 합의 정의입니다. 이는 이미 공급업체 계약, 조달 설문지, 사건 대응 체크리스트를 형성하고 있는 AI 공급망 투명성의 사실상의 국제 기준을 수립합니다. AI 시스템을 생산하거나 조달하는 조직, 특히 정부에 판매하거나 EU 관할권에서 운영하는 조직은 호환 가능한 AI SBOM을 생산하도록 점점 더 많은 압박을 받을 것입니다. 이 지침은 또한 '자율성 수준' 요소를 생략했으며(연기된 것으로 표시), 에이전틱 AI 시스템에 대한 공개 표준 격차를 나타냅니다.

도입: 7가지 클러스터에 대한 격차 분석 시작; 모델 계보, 데이터셋 출처, 보안 속성 요소를 우선순위로 지정하십시오. 이는 기존 SBOM에 비해 새로운 것입니다. 공급업체 위험 팀은 AI SBOM 증명을 조달 설문지에 즉시 추가해야 합니다.