무슨 일이 있었나
CISA는 캐나다, 프랑스, 독일, 이탈리아, 일본, 영국, 유럽연합의 G7 파트너들과 함께 2026년 6월 16일에 'AI용 소프트웨어 자재명세서 – 최소 요소'라는 제목의 공동 지침을 발표했습니다. 이 문서는 AI SBOM을 위한 7가지 정보 '클러스터'를 정의합니다: 메타데이터, 시스템 수준 속성, 모델, 데이터세트 속성, 인프라, 보안 속성, 주요 성능 지표. 이는 기존 SBOM 프레임워크(EO 14028/NTIA 2021에 기반)를 확장하여 AI 특정 구성요소를 포함합니다: 모델 계보, 훈련 데이터세트 출처, 적대적 견고성 제어, 프롬프트 주입 위험 완화. 이 지침은 자발적이며 새로운 법적 요구사항을 만들지 않지만, EU AI 법 제11조 및 제13조/부록 IV 기술 문서 의무와 명시적으로 매핑됩니다.
왜 중요한가
이것은 AI SBOM이 포함해야 할 내용에 대한 첫 G7 합의 정의입니다. 이미 공급업체 계약, 조달 설문지, 사건 대응 체크리스트를 형성하고 있는 AI 공급망 투명성을 위한 사실상의 국제 기준을 수립합니다. AI 시스템을 생산하거나 조달하는 조직 — 특히 정부에 판매하거나 EU 관할권에서 운영하는 조직 — 은 준수하는 AI SBOM을 생산하기 위한 압력이 증가할 것입니다. 이 지침은 또한 '자율성 수준' 요소를 생략합니다(연기된 것으로 표시됨), 특히 에이전트 AI 시스템에 대한 개방형 표준 격차를 나타냅니다.
필요한 조치
채택: 7가지 클러스터에 대한 격차 분석 시작; 모델 계보, 데이터세트 출처, 보안 속성 요소를 우선시합니다(이들은 기존 SBOM에 상대적으로 새로운 것). 공급업체 위험 팀은 즉시 조달 설문지에 AI SBOM 증명을 추가해야 합니다.