# Research

> 오픈소스 규제·정책과 컴플라이언스 실무를 1차 출처에 근거해 분석한 자료입니다. EU CRA, 미국 AI 행정명령, EU 오픈소스 전략 등 최신 동향을 다룹니다.

---

LLMS index: [llms.txt](/llms.txt)

---

오픈소스 관리의 규제·정책 흐름과 컴플라이언스 실무를 1차 출처에 근거해 분석한 자료를 모았습니다. 다루는 주제는 다음과 같습니다.

- 오픈소스 라이선스 컴플라이언스
- 오픈소스 보안 관리와 소프트웨어 공급망
- OSPO(Open Source Program Office) 운영
- 오픈소스 거버넌스 프레임워크
- 국제 표준 및 인증(ISO/IEC 5230, ISO/IEC 18974 등)
- EU·미국의 오픈소스 규제와 정책 동향

각 글은 원문과 출처를 함께 밝히며, 새로운 분석을 계속 더해 갑니다.

---

Section pages:

- [기업용 AI BOM 필드 요구사항 매트릭스 — 표준과 규제 근거로 정의한 필수/선택](/research/2026-ai-bom-requirements/): G7 「AI를 위한 SBOM 최소 요소」의 50개 요소를 SPDX 3.0.1, CycloneDX 1.6, NTIA 2021, OpenChain AI V1 등 권위 있는 표준과 CRA·AI Act·FDA 규제 근거로 대조해 AI BOM 필드의 필수와 선택을 판정합니다. 같은 매트릭스를 생산·도입·공급사 세 맥락에 적용하는 운영 문서와 도구 세트 전략까지 다섯 부분으로 정리한 시리즈입니다.
- [2026 SW 공급망 보안 강화 로드맵 살펴보기](/research/2026-sw-supply-chain-roadmap/): 정부가 2026년 6월 24일 공개한 SW 공급망 보안 로드맵을 분석한다. SBOM 투명성 관리 모델, 테스트베드·컨설팅, 시범인증, 빠른 탐지·대응 체계, 그리고 중소기업 부담 경감을 중심으로 수출·공공·중소 SW기업의 실무 영향을 다룬다.
- [G7 「AI를 위한 SBOM — 최소 요소」: 클러스터별 요소 단위로 본 AI 공급망 투명성 권고](/research/2026-g7-sbom-for-ai/): G7 사이버보안 작업반이 2026년 5월 12일 발행한 「AI를 위한 SBOM — 최소 요소」를 1차 출처로 분석한다. AI 시스템에 적용할 SBOM이 무엇을 담아야 하는지를 7개 클러스터, 50개 요소 단위로 처음 합의한 G7 공동 지침의 구조와 배경, 규제 정합성, 한국 기업 시사점을 다룬다.
- [OpenChain AI SBOM 컴플라이언스 관리 가이드: AI 공급망 컴플라이언스 프로그램의 최소 요구사항](/research/2026-openchain-ai-sbom/): 리눅스 재단 산하 오픈체인 프로젝트의 AI 워크그룹이 작성한 AI SBOM 컴플라이언스 관리 가이드를 1차 출처로 분석한다. ISO/IEC 5230 방법론을 AI 공급망으로 확장해 컴플라이언스 프로그램이 갖춰야 할 최소 요구사항을 정의한 문서의 구조와 요구사항, 규제 동향, 의의와 한계를 다룬다.
- [미국 AI 행정명령(2026-06-02)이 기업 오픈소스 관리자에게 의미하는 것](/research/2026-us-ai-eo-ospo/): 2026년 6월 2일 서명된 미국 AI 행정명령(Promoting Advanced Artificial Intelligence Innovation and Security)을 1차 출처로 분석한다. AI 사이버보안 클리어링하우스와 자발적 프런티어 모델 체계가 기업 오픈소스 관리자에게 갖는 의미, EU CRA 의무 보고와의 대비, 지금 할 일과 지켜볼 일을 다룬다.
- [EU 오픈소스 전략: 기술 주권을 위한 오픈소스의 제도화](/research/2026-eu-open-source-strategy/): 유럽연합 집행위원회가 2026년 6월 3일 발표한 EU 오픈소스 전략(COM(2026) 503)을 1차 출처로 정리한다. 네 가지 목표와 7년 20억 유로, 거버넌스 구조, 시민사회 비판, 한국 공공·기업 실무 시사점을 다룬다.
- [EU 사이버 복원력법(CRA) 취약점 보고 의무 — 2026-09-11 시행 대비 조사보고서](/research/2026-eu-cra-vulnerability-reporting/): EU 사이버 복원력법(CRA)은 2026년 9월 11일부터 제14조 보고 의무를 시행한다. 한국 기업이 24시간·72시간·14일 통지 시한과 SBOM·적합성 평가에 어떻게 대비해야 하는지 1차 출처 중심으로 정리한다.
