구축 로드맵의 3단계다. 외부의 AI SBOM 컴플라이언스 문의에 대응하는 창구를 만들고(3.7), 프로그램에 책임과 인력, 재원을 배정한다(3.8).
이 섹션의 다중 페이지 출력 화면임. 여기를 클릭하여 프린트.
운영
외부 컴플라이언스 문의에 대응하는 창구를 만들고, 프로그램에 책임과 자원을 배정하는 단계다.
- 1: 3.7 접근
- 2: 3.8 효과적 자원 배분
1 - 3.7 접근
제3자가 AI SBOM 컴플라이언스 문의를 할 수 있는 공개 수단을 명시하고, 내부에서 대응하는 절차를 안내한다.
구축 단계
이 조항은 Phase 3 — 운영 체계 단계에서 구축한다. 전체 구축 로드맵 보기
1. 조항 개요
공급망에서 AI 시스템을 주고받는 조직은 서로의 컴플라이언스를 확인해야 한다. 그러려면 외부에서 문의할 창구가 공개되어 있고, 그 문의에 조직이 대응할 준비가 되어 있어야 한다. 접근은 이 양방향을 보장한다.
3.7은 두 가지를 요구한다. 제3자가 AI SBOM 컴플라이언스 문의를 할 수 있는 수단을 공개적으로 명시하는 것과, 그 문의에 효과적으로 대응하는 내부 절차를 유지하는 것이다. AI에서는 모델과 데이터셋의 라이선스, 학습 데이터 출처, 모델 카드 같은 AI 고유 정보가 문의 대상에 더해진다.
2. 해야 할 활동
- 제3자가 AI SBOM 컴플라이언스 문의를 할 수 있는 수단(예: 공개 이메일 주소)을 공개한다.
- 공개 수단을 제품 고지문이나 웹사이트 등 외부에서 찾을 수 있는 곳에 게시한다.
- 외부 문의를 접수·분류·대응하는 내부 절차를 문서화한다.
- 대응 담당자와 처리 기한을 정한다.
- 문의와 대응 이력을 기록한다.
3. 요구사항 및 입증자료
| 조항 번호 | 요구사항 (KO) | 입증자료 |
|---|---|---|
| 3.7 | 외부의 AI SBOM 컴플라이언스 문의에 효과적으로 대응하는 절차를 유지하고, 제3자가 문의할 수 있는 수단을 공개적으로 명시해야 한다. | 3.7.1 관심 있는 당사자가 AI SBOM 컴플라이언스 문의를 할 수 있는 공개된 방법(예: 공개 연락 이메일) 3.7.2 제3자의 AI SBOM 컴플라이언스 문의에 대응하는 내부의 문서화된 절차 |
영문 원문 보기
3.7 Access Maintain a process to effectively respond to external AI SBOM Compliance inquiries. Publicly identify a means by which a third party can make an AI SBOM Compliance inquiry.
Verification material(s):
- Publicly visible method that allows any interested parties to make an AI SBOM Compliance inquiry (e.g., via a published contact email address).
- An internal documented procedure for responding to third-party AI SBOM Compliance inquiries.
4. 입증자료별 준수 방법 및 샘플
3.7.1 공개된 외부 문의 수단
준수 방법
누구나 찾을 수 있는 공개 연락 수단을 명시한다. 역할 기반 이메일 주소(개인이 아닌 직무 주소)가 안정적이다. 게시 위치는 제품 고지문, 회사 웹사이트의 오픈소스·AI 정책 페이지, 모델 카드의 연락처 항목 등이다. 응답 기한을 함께 안내하면 신뢰를 높인다.
샘플
AI 컴플라이언스 문의: ai-compliance@company.com
당사가 제공하는 AI 시스템의 구성요소, 모델·데이터셋 라이선스, AI SBOM에 관한
문의를 받습니다. 접수 후 영업일 기준 14일 이내에 1차 회신을 드립니다.
(게시 위치: 제품 고지문, 회사 웹사이트 AI 정책 페이지, 모델 카드 연락처)
3.7.2 내부 문의 대응 절차
준수 방법
외부 문의를 접수해 답변하기까지의 내부 절차를 문서화한다. 접수, 분류, 담당 배정, 검토, 회신, 기록의 단계를 정하고 각 단계의 기한을 둔다. AI SBOM 문의는 모델 카드나 라이선스 검토 기록을 참조해야 하므로, AI SBOM 검증 담당과 라이선스 검토 담당이 함께 대응한다.
아래 그림은 외부 문의 대응 흐름이다.
flowchart TD
A([외부 문의 접수\nai-compliance@]) --> B[분류\nAI SBOM·라이선스·투명성]
B --> C[담당 배정\n검증·법무 담당]
C --> D[검토\nAI SBOM·모델 카드 확인]
D --> E{법무 검토\n필요?}
E -->|예| F[법무 자문]
E -->|아니오| G[회신 작성]
F --> G
G --> H([발송·종결\n이력 기록])
style A fill:#2d3748,color:#fff
style D fill:#2b6cb0,color:#fff
style F fill:#744210,color:#fff
style H fill:#22543d,color:#fff그림 1. 외부 AI SBOM 컴플라이언스 문의 대응 흐름
고려사항
- 기한 설정: 1차 회신 기한(예: 14일)과 최종 답변 기한(예: 60일)을 정한다.
- AI 고유 정보 보호: 문의에 답하며 모델 가중치나 학습 데이터 같은 민감 정보를 어디까지 공개할지 기준을 둔다. 영업 비밀과 투명성 의무(3.6) 사이의 경계를 정한다. ([본 가이드 권고])
- 이력 보관: 문의 내용과 회신, 처리 기간을 기록해 입증자료로 보존한다.
샘플 (대응 절차 개요)
## AI SBOM 컴플라이언스 문의 대응 절차
1. 접수: ai-compliance@ 로 들어온 문의를 등록한다.
2. 분류: AI SBOM 요청 / 라이선스 문의 / 투명성 의무 문의로 분류한다.
3. 담당 배정: 분류에 따라 AI SBOM 검증 담당 또는 라이선스 검토 담당에게 배정한다.
4. 검토·회신: 관련 AI SBOM과 모델 카드를 확인해 회신한다. 민감 정보는 공개 기준에
따른다. 필요 시 법무 검토를 거친다.
5. 기록: 문의·회신·처리 기간을 보관한다.
기한: 1차 회신 14일, 최종 답변 60일.
5. 참고
- 대응 담당의 역할과 자원: 3.8 효과적 자원 배분
- 회신에 쓰이는 AI SBOM: 3.9 AI SBOM
- 공개 범위와 투명성 의무: 3.6 투명성 의무
- ISO/IEC 5230 외부 문의 본보기: ISO/IEC 5230 준수 가이드 — 3.2.1 외부 문의 대응
2 - 3.8 효과적 자원 배분
AI SBOM 컴플라이언스 프로그램에 책임과 인력, 재원, 법률 전문성을 배정하고 부적합을 시정하는 절차를 안내한다.
구축 단계
이 조항은 Phase 3 — 운영 체계 단계에서 구축한다. 전체 구축 로드맵 보기
1. 조항 개요
역량(3.2)이 “누가 무엇을 할 수 있어야 하는가"를 정의한다면, 효과적 자원 배분은 그 역할에 실제로 사람과 시간, 예산을 붙여 프로그램이 작동하게 만든다. 정책과 절차가 문서로만 존재하고 자원이 없으면 컴플라이언스는 이름뿐이다.
3.8은 프로그램 과제에 책임을 배정하고 충분한 자원을 배분할 것을 요구한다. 입증자료는 다섯 가지로, 역할 담당자 명시, 인력과 재원 제공, 법률 전문성 접근, 내부 책임 배정 절차, 부적합 시정 절차를 다룬다. 규격은 ISO/IEC 42001 부속서 B(Annex B)의 자원 관련 절(B.4.2, B.4.6)과 인간 감독 판단 절(B.9.3)을 참조로 든다.
2. 해야 할 활동
- 프로그램 과제의 성공적 실행을 위해 책임(accountability)을 배정한다.
- 과제에 충분한 시간과 재원을 배분한다.
- AI SBOM 컴플라이언스에 관한 법률 전문성을 필요한 사람이 이용할 수 있게 한다.
- 정책과 과제를 검토·갱신하는 절차를 둔다.
- 부적합 사례를 검토하고 시정하는 절차를 둔다.
3. 요구사항 및 입증자료
| 조항 번호 | 요구사항 (KO) | 입증자료 |
|---|---|---|
| 3.8 | 프로그램 과제에 책임을 배정하고 충분한 시간과 재원을 배분하며, 법률 전문성 접근과 부적합 시정 절차를 갖춰야 한다. | 3.8.1 프로그램 역할을 맡은 인물·그룹·기능이 식별된 문서 3.8.2 식별된 역할에 인력이 배치되고 적절한 재원이 제공되었음 3.8.3 AI SBOM 컴플라이언스를 처리할 전문성의 식별(내부 또는 외부) 3.8.4 AI SBOM 컴플라이언스 내부 책임을 배정하는 문서화된 절차 3.8.5 부적합 사례의 검토·시정을 처리하는 문서화된 절차 |
영문 원문 보기
3.8 Effectively resourced Identify and Resource Program Task(s): assign accountability to ensure the successful execution of program tasks; program tasks are sufficiently resourced (time and adequate funding allocated); a process exists for reviewing and updating the policy and supporting tasks; legal expertise pertaining to AI SBOM Compliance is accessible to those who may need such guidance; and a process exists for the resolution of AI SBOM Compliance issues.
Verification material(s):
- Document with name of persons, group or function in program role(s) identified.
- The identified program roles have been properly staffed and adequate funding provided.
- Identification of expertise available to address AI SBOM Compliance matters which could be internal or external.
- A documented procedure that assigns internal responsibilities for AI SBOM Compliance.
- A documented procedure for handling the review and remediation of non-compliant cases.
See, e.g., Sections B.4.2 and B.4.6 of Annex B of ISO/IEC 42001. Section B.9.3 also provides guidance to determine if human resources for human oversight should be incorporated.
4. 입증자료별 준수 방법 및 샘플
3.8.1 역할 담당자 식별 문서
준수 방법
프로그램 역할을 맡은 사람이나 그룹, 기능을 이름과 함께 문서로 식별한다. 개인 이동에 대비해 직무명을 함께 적는 편이 안정적이다. AI SBOM 프로그램에는 일반 오픈소스 역할에 더해 AI 거버넌스 책임자와 AI SBOM 검증 담당, 모델·데이터셋 라이선스 검토 담당이 필요하다.
샘플
| 역할 | 담당자(직무) | 연락처 |
|------|-------------|--------|
| AI 거버넌스 책임자 | 김OO (AI 윤리·거버넌스 리드) | ai-gov@company.com |
| AI SBOM 검증 담당 | 이OO (플랫폼 엔지니어) | sbom@company.com |
| 라이선스 검토 담당 | 박OO (오픈소스 법무) | oss-legal@company.com |
| 보안 담당 | 최OO (제품 보안) | psirt@company.com |
3.8.2 인력 배치와 재원 제공
준수 방법
식별된 역할에 실제로 인력이 배치되고 예산이 할당되었음을 보인다. 투입 비율(예: 30%)과 연간 예산 근거를 기록한다. AI SBOM 컴플라이언스는 모델·데이터셋 검토와 도구 운영에 시간이 들므로, 역할별 투입을 현실적으로 산정한다.
고려사항
- 투입 비율 명시: 겸직이면 AI SBOM 업무에 할당된 시간 비율을 적는다.
- 도구 예산: AI SBOM 생성·관리 도구와 법무 자문 비용을 예산에 포함한다.
샘플
| 역할 | 담당자 | 투입 비율 | 연간 예산 근거 | 승인자/승인일 |
|------|--------|----------|---------------|--------------|
| AI 거버넌스 책임자 | 김OO | 30% | 인건비 + 규제 자문 | CTO / 2026-01-15 |
| AI SBOM 검증 담당 | 이OO | 50% | 인건비 + 도구 운영 | CTO / 2026-01-15 |
3.8.3 법률 전문성 접근
준수 방법
AI SBOM 컴플라이언스에 관한 법률 전문성을 필요한 사람이 이용할 수 있게 한다. 비표준 라이선스 해석과 규제 의무 판단은 법무의 몫이므로, 내부 법무 또는 외부 법무법인 가운데 접근 경로를 명시한다. 에스컬레이션 기준(어떤 사안을 법무로 올리는가)을 함께 정한다.
샘플
- 내부: 오픈소스 법무 담당 (박OO) — 1차 라이선스 검토
- 외부: ○○ 법무법인 AI·IP 팀 — 비표준 라이선스 분쟁, 규제 해석
- 에스컬레이션 기준: 정책의 금지·조건부 목록에 없는 라이선스, 다운스트림 공개 의무 판단,
규제 신규 적용 사안
3.8.4 내부 책임 배정 절차
준수 방법
AI SBOM 컴플라이언스의 내부 책임을 배정하는 절차를 문서화한다. 책임이 모호하면 누락이 생기므로, 업무별로 실행(R), 승인(A), 자문(C), 통보(I)를 구분하는 RACI 매트릭스가 효과적이다.
샘플 (RACI 매트릭스)
| 업무 | AI 거버넌스 책임자 | AI SBOM 검증 담당 | 라이선스 검토 담당 | 보안 담당 |
|---|---|---|---|---|
| AI SBOM 생성 | I | R | C | I |
| 라이선스 의무 검토 | A | C | R | I |
| 투명성 의무 검토 | A | C | R | I |
| 취약점 모니터링 | I | C | I | R |
| 프레임워크 정기 검토 | R/A | C | C | C |
R 실행, A 승인, C 자문, I 통보
3.8.5 부적합 검토·시정 절차
준수 방법
부적합 사례(예: 금지 라이선스 모델 도입, AI SBOM 누락, 투명성 의무 미이행)를 검토하고 시정하는 절차를 둔다. 심각도에 따라 처리 기한을 달리한다. AI에서는 모델이 이미 배포된 뒤 라이선스 문제가 드러나는 경우가 있으므로, 회수나 교체를 포함한 시정 경로를 마련한다.
샘플 (시정 절차와 심각도 기준)
시정 절차: 식별·보고 → 심각도 평가 → 원인 분석 → 시정 조치 → 재발 방지 → 기록
| 심각도 | 예시 | 처리 기한 |
|--------|------|----------|
| 높음 | 금지 라이선스 모델이 외부 배포 제품에 포함 | 즉시 대응(48시간 내 격리·교체 검토) |
| 중간 | AI SBOM에 인바운드 모델 누락 | 7일 내 보강 |
| 낮음 | 모델 카드 메타데이터 일부 미기재 | 다음 정기 검토 시 처리 |
5. 참고
- 역할별 역량 정의: 3.2 역량
- 부적합 시정과 연결되는 거버넌스 검토: 3.10 거버넌스
- ISO/IEC 5230 자원 배분 본보기: ISO/IEC 5230 준수 가이드 — 3.2.2 효과적 리소스