LLM웨어 생태계의 숨은 라이선스 위험

초록

본 논문은 GitHub와 Hugging Face에서 수집한 12 180개의 OSS 저장소, 3 988개의 LLM, 708개의 데이터셋을 기반으로 LLM웨어 공급망의 라이선스 현황을 조사한다. 전통 OSS와 달리 라이선스 분포가 크게 다르고, 52 % 이상의 공급망에서 라이선스 충돌이 발견된다. 기존 탐지 도구는 F1 점수가 58 %~76 %에 머물지만, 제안한 LiAgent는 87 %의 F1 점수로 성능을 크게 향상시킨다. 실제 프로젝트에 60건의 충돌을 보고했으며, 그 중 11건이 개발자에 의해 확인·수정되었다.

상세 분석

본 연구는 LLM웨어라는 새로운 소프트웨어 패러다임이 기존 OSS와는 다른 라이선스 복합성을 야기한다는 점을 실증적으로 입증한다. 먼저, 저자들은 GitHub와 Hugging Face 양 플랫폼에서 API 서명을 추출하고 정적 분석을 통해 의존 관계를 매핑함으로써 12 180개의 OSS 저장소가 3 988개의 LLM을, 그리고 이들 LLM이 708개의 데이터셋을 각각 의존하는 3‑계층 공급망을 구축하였다. 라이선스 분포를 살펴보면, 전통적인 MIT와 Apache‑2.0이 여전히 다수를 차지하지만, 전체 아티팩트의 35 %가 라이선스가 명시되지 않은 상태이며, 특히 Hugging Face 모델과 데이터셋에서는 OpenRAIL, LLaMA2와 같은 AI‑전용 라이선스가 다수 등장한다. 이는 OSS와 AI 전용 라이선스 간의 특허 보증, 저작자 표시, 재배포 제한 등에서 근본적인 충돌 가능성을 내포한다.

라이선스 관련 이슈 분석(RQ2)에서는 337개의 GitHub 이슈, 171개의 모델 토론, 84개의 데이터셋 토론을 수집해 카드 정렬 기법으로 7가지 카테고리로 분류하였다. 가장 빈번한 카테고리는 ‘라이선스 생성’(54 %)과 ‘라이선스 업데이트’(30 %)였으며, 이는 개발자들이 적절한 라이선스를 선택하고 유지하는 데 큰 어려움을 겪고 있음을 시사한다. 특히 LLM에 대한 라이선스 문의 비율이 21 %에 달해, AI‑특화 라이선스 조항에 대한 이해도가 낮은 것이 드러난다. 해결 속도에서도 차이가 뚜렷했는데, GitHub 이슈는 61 %가 하루 이내 해결된 반면, Hugging Face 토론은 50 % 이상이 2년이 지나도 미해결 상태였다.

라이선스 충돌 탐지는 공급망 그래프에서 상류와 하류 아티팩트 간 ‘can/ cannot/must’ 관계를 비교함으로써 수행되었다. 결과는 52 % 이상의 공급망에 최소 하나의 충돌이 존재함을 보여준다. 주요 충돌 패턴은 (1) 라이선스 누락에 의한 ‘No License → Apache‑2.0’ 혹은 그 역방향, (2) MIT와 Apache‑2.0 사이의 특허 및 저작자 표시 요구 차이, (3) OSS 라이선스와 CC‑BY‑4.0, LLaMA2 등 AI‑전용 라이선스 간의 사용 제한 조항 불일치였다. 이러한 충돌은 단순히 법적 위험을 넘어, downstream 프로젝트가 모델을 재사용하거나 파생 제품을 배포할 때 실질적인 제약을 초래한다.

기존 자동화 도구(LiDetector 등)는 OSS와 AI‑특정 라이선스에 대해 각각 76 %~81 %의 F1 점수를 기록했지만, 변형된 라이선스(태도 하나씩 변형)에서는 성능이 급격히 저하된다. 이를 보완하기 위해 제안된 LiAgent는 LLM 기반 멀티‑에이전트 구조를 채택한다. ‘추출 에이전트’가 텍스트에서 라이선스 조항과 태도를 식별하고, ‘수정 에이전트’가 충돌을 반복적으로 해결한다. 실험 결과 LiAgent는 OSS에서 88 %, AI‑특정 라이선스에서 89 %의 F1 점수를 달성했으며, 변형 라이선스에서도 86 %~88 %의 높은 정확도를 유지한다. 실제 적용 사례에서는 60건의 충돌을 보고했으며, 11건이 개발자에 의해 확인·수정되었다. 특히 다운로드 수가 1억 700만 이상인 두 개의 LLM에서 충돌이 발견돼, downstream 생태계에 미치는 파급 효과가 크다.

전반적으로 본 논문은 LLM웨어 공급망이 기존 OSS와는 다른 복합적인 라이선스 환경을 형성한다는 점을 강조하고, 자동화된 LLM 기반 분석 도구가 이러한 복잡성을 효과적으로 탐지·완화할 수 있음을 실증한다. 이는 향후 AI‑기반 소프트웨어 개발에서 라이선스 관리 정책을 재정립하고, 법적 리스크를 최소화하기 위한 실무 가이드라인 수립에 중요한 근거를 제공한다.