무슨 일이 있었나
G7 사이버보안 워킹 그룹은 2026년 5월 12일 'Software Bill of Materials (SBOM) for Artificial Intelligence - Minimum Elements'를 공개했으며, CISA (US), BSI (Germany), ANSSI (France), ACN (Italy), CSE (Canada), NCSC (UK), NCO (Japan), 및 EU Commission이 공동으로 개발했습니다. 본 지침은 AI 공급망 메타데이터의 7개 클러스터를 정의합니다: Metadata, System Level Properties, Models, Dataset Properties, Key Performance Indicators, Infrastructure, 및 Security Properties.
왜 중요한가
이는 AI 특화 공급망 투명성을 위한 첫 번째 조율된 다국정부 기준입니다. 강제성은 없지만, 문서화되고 공유되어야 할 AI 시스템 속성에 관한 국제적 수렴을 나타냅니다. 기존 소프트웨어 SBOM과 유사하게, 조직은 AI 시스템 획득 및 배포 거버넌스를 위한 기준 요구사항으로 조달 팀이 이러한 클러스터를 채택할 것으로 예상해야 합니다. 신흥 EU AI Act 투명성 의무와 일치하며, 위험 기반 AI 조달 결정을 위한 구체적인 프레임워크를 제공합니다.
필요한 조치
AI SBOM 인벤토리 제어를 조달, 모델 배포, 및 제3자 AI 수입 워크플로우로 확장합니다. 계약 템플릿 및 수입 설문지에 AI 특화 SBOM 필드(Model properties, Dataset provenance, Infrastructure requirements, Security controls)를 추가합니다. 기존 SBOM 도구가 AI 관련 메타데이터 클러스터를 내보낼 수 있는지 검토합니다.