# 3.4 프로그램 범위

> AI SBOM 컴플라이언스 프로그램이 적용되는 범위와 한계를 명확히 선언하는 방법을 안내한다.

---

LLMS index: [llms.txt](/llms.txt)

---

<div class="alert alert-info" role="alert"><div class="h4 alert-heading" role="heading">구축 단계</div>


이 조항은 **Phase 1 — 프로그램 기반** 단계에서 구축한다.
[전체 구축 로드맵 보기](../../#단계별-구축-로드맵)
</div>


## 1. 조항 개요

프로그램 범위는 컴플라이언스가 어디까지 적용되는지를 정한다. 범위가 모호하면 어떤 AI 시스템에
SBOM을 만들어야 하는지, 어떤 모델의 라이선스를 검토해야 하는지가 불분명해진다. 범위를 먼저
선언해야 이후의 모든 조항이 적용 대상을 안다.

3.4는 각 프로그램에 대해 적용 범위를 선언할 것을 요구한다. 범위는 조직마다 다를 수 있다. 어떤
조직은 단일 제품 라인을, 어떤 조직은 부서 전체나 조직 전체를 대상으로 삼는다. AI에서는 자체
개발 모델뿐 아니라 외부에서 도입한 모델과 데이터셋, 사내 모델의 외부 공개까지 범위 판단에
들어온다.

## 2. 해야 할 활동

- 프로그램이 적용되는 대상(외부 배포 AI 시스템, 외부 모델·데이터셋 도입, 사내 모델 공개 등)을 정한다.
- 적용에서 제외하는 대상과 그 근거를 기록한다.
- 범위 진술을 정책 문서의 적용 범위와 일관되게 유지한다.
- 사업 환경 변화에 따라 범위를 정기적으로 검토하고 갱신한다.

## 3. 요구사항 및 입증자료

| 조항 번호 | 요구사항 (KO) | 입증자료 |
|-----------|--------------|---------|
| 3.4 | 각 프로그램에 대해 적용되는 범위를 선언해야 한다. | **3.4.1** 프로그램의 범위와 한계를 명확히 정의한 성문 진술서 |

<details><summary>영문 원문 보기</summary>

> **3.4 Program scope**
> Different programs may be governed by different levels of scope. For example, a program could govern
> a single product line, an entire department, or an entire organisation. The scope designation needs
> to be declared for each program.
>
> **Verification material(s):**
> - A written statement that clearly defines the scope and limits of the program.

</details>

## 4. 입증자료별 준수 방법 및 샘플

### 3.4.1 프로그램 범위 진술

**준수 방법**

프로그램의 범위와 한계를 성문으로 진술한다. 무엇이 적용 대상이고 무엇이 제외인지, 제외라면 그
근거가 무엇인지를 분명히 적는다. AI SBOM 프로그램은 적용 대상을 자재 유형과 활동으로 나눠
선언하면 명확하다. 아래 표는 범위를 정리하는 예다.

**표 1.** AI SBOM 프로그램 범위 선언 예

| 구분 | 적용 여부 | 비고 |
|---|---|---|
| 외부로 배포하는 AI 시스템·모델·서비스 | 적용 | AI SBOM 생성과 라이선스 검토 의무 |
| 외부에서 도입하는 사전학습 모델 | 적용 | 인바운드 자재로 AI SBOM에 반영 |
| 외부에서 도입하는 데이터셋 | 적용 | 라이선스와 출처 검토 |
| 사내 모델의 외부 공개 | 적용 | 공개 라이선스와 투명성 의무 검토 |
| 내부 실험용 모델(외부 미배포) | 조건부 제외 | 별도 검토로 적용 여부 결정 |

**고려사항**

- **정책과의 일관성**: 범위 진술은 [3.1 정책](../1-policy/)의 적용 범위와 어긋나지 않아야 한다.
- **제외의 근거**: 제외 대상은 근거를 적는다. 내부 실험용 모델이라도 외부 배포로 전환되면 범위에
  들어오므로, 전환 시점의 검토 절차를 둔다. *([본 가이드 권고])*
- **정기 검토**: 신규 제품 라인이나 새 AI 서비스가 생기면 범위를 갱신한다.

**샘플 (범위 진술서)**

```
## AI SBOM 컴플라이언스 프로그램 범위

### 적용 대상
이 프로그램은 회사가 외부로 배포하는 모든 AI 시스템과 모델, 서비스, 그리고 외부에서
도입하는 사전학습 모델과 데이터셋에 적용된다. 사내 모델을 외부에 공개하는 활동도
포함한다.

### 적용 제외
내부 실험·연구 목적으로만 사용하고 외부에 배포하지 않는 모델은 적용에서 제외한다.
다만 외부 배포로 전환될 경우 도입 검토 절차를 거쳐 범위에 포함한다.

### 검토 주기
범위는 사업 환경 변화에 따라 연 1회 이상 검토하고 갱신한다.
```

## 5. 참고

- 정책의 적용 범위: [3.1 정책](../1-policy/)
- 범위 안 자재의 AI SBOM: [3.9 AI SBOM](../../2-ai-extension/3-ai-sbom/)
- ISO/IEC 5230 범위 본보기: [ISO/IEC 5230 준수 가이드 — 3.1.4 프로그램 범위](https://openchain-project.github.io/OpenChain-KWG/guide/iso5230_guide/1-program-foundation/4-scope/)