AI 부품명세서 구현 가이드: SPDX 3.0 기반 AI·데이터셋 BOM 완전 매뉴얼

초록

본 보고서는 AI 프로젝트의 투명성과 보안을 강화하기 위해 기존 SBOM을 확장한 AI BOM(AI Bill of Materials)을 제안한다. SPDX 3.0 표준을 활용해 AI 프로파일과 데이터셋 프로파일을 별도로 정의하고, 알고리즘, 데이터 수집·전처리, 프레임워크, 라이선스, 에너지 소비, 규제 준수 등 40여 개 필드를 체계화한다. EU AI Act, FDA, IEC 62304 등 주요 규제와 연계한 컴플라이언스 가이드와, 모델 카드·데이터시트·팩트시트와의 비교 분석을 제공한다.

상세 분석

이 논문은 AI BOM이라는 새로운 개념을 도입함으로써 전통적인 소프트웨어 부품명세서(SBOM)의 한계를 극복하고자 한다. 핵심은 SPDX 3.0이라는 국제 표준 메타데이터 프레임워크를 기반으로 AI 전용 프로파일(AI Profile)과 데이터셋 전용 프로파일(Dataset Profile)을 별도 정의한다는 점이다. AI Profile은 알고리즘 종류, 모델 구조, 학습/추론 에너지 소비, 하이퍼파라미터, 자동화 수준, 안전·보안 평가, 윤리·프라이버시 레벨 등 기술적·운영적 속성을 상세히 기술한다. 반면 Dataset Profile은 데이터 수집 방법, 전처리 파이프라인, 데이터 규모·형태, 노이즈 수준, 민감 정보 포함 여부, 업데이트 메커니즘 등을 포함한다. 이러한 구분은 AI 시스템이 데이터와 모델이라는 두 개의 독립적인 자산으로 구성된다는 사실을 반영해, 각각의 라이선스 조건, 저작권, 사용 제한을 명확히 할 수 있게 한다.

필드 정의에서는 ‘mandatory’와 ‘optional’을 명확히 구분하고, SPDX 3.0의 기존 Core·Software 필드와 재사용함으로써 표준화 비용을 최소화한다. 예를 들어, spdxId, name, version, downloadLocation 등은 기존 필드를 그대로 차용하고, autonomyType, energyConsumption, hyperparameter 등은 AI 특화 필드로 추가한다. 또한, ‘relationshipType=hasDeclaredLicense’와 같은 관계 정의를 통해 라이선스 흐름을 추적한다.

규제 대응 측면에서는 EU AI Act, FDA 의료기기 규정, IEC 62304(의료기기 소프트웨어) 등 주요 국제·지역 규정과 매핑된 체크리스트를 제공한다. 이는 AI BOM이 단순히 기술 문서에 머무르지 않고, 법적·윤리적 책임을 입증하는 증거 자료로 활용될 수 있음을 의미한다.

방법론에서는 2021년에 구성된 다학제 워킹그룹(AI 연구자, 소프트웨어 엔지니어, 법률·라이선스 전문가 등)의 협업 과정을 상세히 서술한다. 초기 필드 도출 → 기존 모델 카드·데이터시트·팩트시트 비교 분석 → SPDX 프로파일 확장 → 파일럿 구현 → 피드백 기반 반복 개선이라는 단계적 접근이 강조된다. 특히, 모델 카드와 데이터시트가 제공하는 정보와 AI BOM이 제공하는 정보의 차이를 표로 정리해, AI BOM이 보다 포괄적이고 자동화 가능한 특성을 갖는다는 점을 입증한다.

마지막으로, 향후 업데이트 메커니즘, 자동화 도구(SPDX‑Tools, CI/CD 파이프라인 연계) 및 커뮤니티 기반 확장 방안을 제시한다. 전체적으로 이 논문은 AI BOM을 실무에 적용하기 위한 구체적인 메타데이터 스키마와 운영 가이드를 제공함으로써, AI 공급망의 투명성, 추적성, 규제 준수 능력을 크게 향상시킬 수 있음을 설득력 있게 보여준다.