1. 조항 개요

라이선스 의무(3.5)가 “이 자재를 쓸 권리가 있는가"를 묻는다면, 투명성 의무는 “이 자재에 대해 무엇을 공개해야 하는가"를 묻는다. 두 의무는 다른 출처에서 온다. 라이선스 의무는 저작권자가 계약으로 부과하고, 투명성 의무는 규제가 법으로 부과한다.

3.6은 규제로부터 부과되는 투명성 의무가 있는지 검토하는 절차를 갖출 것을 요구한다. 검토 대상에는 학습·테스트·검증 데이터셋이 포함되며, 모델의 의도된 용도를 고려한다. 학습 데이터의 사용 사례가 투명성 쟁점(예: 다운스트림 수령자에 대한 공개 의무)을 야기하면 적절한 위험 완화 조치를 취해야 한다. EU 인공지능법이 2026년 8월부터 투명성 의무를 본격 적용하면서 이 조항의 실무 비중이 커지고 있다.

2. 해야 할 활동

• 도입·개발하는 AI 시스템에 적용되는 투명성 규제를 식별하는 절차를 둔다.
• 학습·테스트·검증 데이터셋에 공개 의무가 걸리는지 의도된 용도를 기준으로 검토한다.
• 다운스트림 수령자에 대한 공개 의무가 있으면 위험 완화 조치를 정한다.
• 취한 투명성 조치를 문서화한다.
• 규제기관이 정한 최신 투명성 의무를 정기적으로 갱신해 반영한다.([본 가이드 권고])

3. 요구사항 및 입증자료

4. 입증자료별 준수 방법 및 샘플

3.6.1 투명성 의무 검토·문서화 절차

준수 방법

투명성 의무는 규제마다 다르므로, 먼저 어떤 규제가 적용되는지부터 식별한다. 적용 규제가 정해지면 각 규제가 요구하는 공개 항목을 도출하고, 그 항목을 AI SBOM이나 모델 카드에 반영한다. 라이선스 의무와 달리 투명성 의무는 “공개"가 핵심이므로, 산출물이 외부에 전달될 수 있는 형태로 정리되어야 한다.

아래 표는 AI SBOM과 교차하는 주요 투명성 의무다. 규제 일정과 전체 맥락은3.10 거버넌스의 규제 매트릭스에서 함께 관리한다.

표 1. AI SBOM과 교차하는 투명성 의무 (2026-06 기준)

다음 그림은 자재의 의도된 용도에서 투명성 의무를 도출하는 검토 흐름이다.

flowchart TD
A([모델·데이터셋과 의도된 용도]) --> B[적용 규제 식별\nEU 인공지능법·한국 AI 기본법 등]
B --> C{투명성 의무\n존재?}
C -->|없음| D[검토 결과 기록\n의무 없음 근거]
C -->|있음| E[공개 항목 도출\n데이터 요약·라벨링·출처]
E --> F{다운스트림\n공개 쟁점?}
F -->|있음| G[위험 완화 조치\n요약 공개·계약 고지]
F -->|없음| H[AI SBOM·모델 카드에 반영]
G --> H
H --> I([조치 문서화\n정기 갱신])
style A fill:#2d3748,color:#fff
style E fill:#2b6cb0,color:#fff
style G fill:#744210,color:#fff
style I fill:#22543d,color:#fff

그림 1. 투명성 의무 검토 흐름

고려사항

• 데이터셋 출처가 핵심: 투명성 의무의 다수가 학습 데이터에 걸린다. 데이터셋의 출처와 라이선스가 AI SBOM에 기록되어 있어야 공개 의무를 이행할 수 있다. AI SBOM(3.9)과 직접 연결된다.
• 의도된 용도가 기준: 같은 모델이라도 사용 사례에 따라 투명성 의무가 달라진다. 고위험 용도나 일반 공중 대상 서비스는 의무가 무거워진다.
• 다운스트림 공개 의무: 외부에 모델이나 시스템을 공급할 때 수령자에게 알려야 할 정보가 있는지 검토한다. 위험 완화는 학습 데이터 요약 공개나 계약상 고지로 이행할 수 있다.
• 규제 변화 반영: EU 인공지능법은 2026년 8월부터 투명성 의무를 적용하므로, 시점에 맞춰 절차를 갱신한다. 갱신 책임은 거버넌스(3.10)가 관리한다.

샘플 (투명성 의무 검토 절차)

아래는 투명성 의무 검토 절차서의 핵심 부분 샘플이다. 이 절차 문서가 입증자료 3.6.1이 된다.

## 투명성 의무 검토 절차
### 1. 적용 규제 식별
AI 시스템의 의도된 용도와 배포 지역을 기준으로 적용 규제를 식별한다.
(예: EU 시장 배포 → EU 인공지능법, 국내 고영향 AI → 한국 AI 기본법)
### 2. 공개 항목 도출
규제별 투명성 의무를 공개 항목으로 정리한다.
- 학습 데이터 요약 (EU 인공지능법 Article 53)
- AI 생성·상호작용 표시 (EU 인공지능법 Article 50, 한국 AI 기본법)
- 데이터 출처 공개 (한국 AI 기본법)
### 3. 다운스트림 검토
외부 공급 시 수령자에게 전달할 정보를 검토하고, 필요한 위험 완화 조치를 정한다.
### 4. 반영과 문서화
도출한 공개 항목을 AI SBOM과 모델 카드에 반영하고, 취한 조치를 기록한다.
### 5. 책임과 주기
- 검토: 법무·AI 거버넌스 책임자
- 갱신: 규제 시행 일정 변경 시, 그리고 최소 반기 1회

5. 참고

• 라이선스 의무와의 구분:3.5 라이선스 의무
• 공개 항목을 담을 AI SBOM:3.9 AI SBOM
• 규제 일정과 거버넌스:3.10 거버넌스
• AI 모델 라이선스와 표시 의무:기업 오픈소스 관리 가이드 — AI 컴플라이언스

1. 조항 개요

거버넌스는 앞선 모든 조항을 하나로 묶어 AI 시스템 수명주기 전반에서 책임 있는 개발과 배포, 관리를 보장하는 틀이다. 정책(3.1)이 원칙을 세우고 라이선스 의무(3.5)와 AI SBOM(3.9)이 개별 프로세스를 만든다면, 거버넌스는 이들이 규제 변화와 모델 교체에도 일관되게 작동하도록 관리한다.

3.10은 AI 거버넌스 프레임워크, 정책, 관행을 갖출 것을 요구한다. 규격은 EU 인공지능법(EU AI Act), 히로시마 AI 프로세스(Hiroshima AI Process), 중국 글로벌 AI 거버넌스 이니셔티브(Global AI Governance Initiative) 같은 신흥 AI 법령의 준수를 강조하며, 윤리적 고려사항과 위험 관리, 투명성을 함께 다룬다. 핵심은 한 번 만든 프레임워크를 정기적으로 검토해 최신 규제와 모델 변화를 반영하는 것이다.

2. 해야 할 활동

• AI 시스템 수명주기 전반을 다루는 거버넌스 프레임워크 문서를 작성한다.
• 프레임워크에 신흥 AI 규제 추적, 위험 관리, 투명성, 윤리적 고려를 포함한다.
• 프레임워크를 정기적으로 검토하고 갱신하는 절차를 둔다.
• AI 시스템과 학습 데이터의 지속적 사용에 따르는 위험을 모니터링한다.
• 모델 트리 변경, 규제 시행, OSAID 분류 변화 같은 사건을 거버넌스에 반영한다.([본 가이드 권고])

3. 요구사항 및 입증자료

4. 입증자료별 준수 방법 및 샘플

3.10.1 AI 거버넌스 프레임워크와 정기 검토 절차

준수 방법

거버넌스 프레임워크는 세 가지를 담는다. 신흥 규제를 추적해 의무를 도출하는 부분, AI 시스템 수명주기를 모니터링하는 부분, 그리고 프레임워크 자체를 정기적으로 검토하는 절차다. 규제는 빠르게 바뀌므로 프레임워크는 고정된 문서가 아니라 갱신을 전제한 살아있는 체계여야 한다.

규격이 거명한 세 축은 성격이 다르다. EU 인공지능법은 조문 단위의 구체적 의무를 부과하고, 히로시마 AI 프로세스는 자발적 투명성 보고를 운영하며, 중국 이니셔티브는 정책 선언에 가깝다. 거버넌스는 이 차이를 구분해 각각을 추적한다.

아래 표는 AI SBOM 관점에서 추적해야 할 주요 규제다. 전체 규제 매트릭스와 ISO/IEC 42001 맥락은ISO/IEC 42001 가이드 — 조직 맥락과 리더십에서 다룬다.

표 1. AI SBOM과 교차하는 주요 AI 규제 (2026-06 기준)

수명주기 모니터링은 개발에서 폐기까지의 흐름에 거버넌스 점검점을 두는 것이다. 아래 그림은 AI SBOM을 축으로 한 수명주기 거버넌스를 보여준다.

flowchart TD
A([모델·데이터셋 도입]) --> B[개발: AI SBOM 생성\n라이선스·출처 기록]
B --> C[검토: 의무·위험·규제 적합성\n거버넌스 책임자 승인]
C --> D[배포: 공급 시스템에\nAI SBOM 동반]
D --> E[운영 모니터링\n취약점·라이선스 변경 감시]
E --> F{변화 발생?}
F -->|모델 트리 변경| B
F -->|신규 규제 시행| G[프레임워크 갱신]
F -->|이상 없음| E
G --> H([정기 검토\n분기·연간])
H --> C
style A fill:#2d3748,color:#fff
style C fill:#744210,color:#fff
style G fill:#c53030,color:#fff
style H fill:#22543d,color:#fff

그림 1. AI SBOM을 축으로 한 수명주기 거버넌스

고려사항

• 규제 추적 책임 지정: 신흥 규제를 누가 추적하고 의무를 도출하는지 거버넌스에 명시한다. EU 인공지능법은 2026년 8월과 2027년에 단계적으로 의무가 확대되므로 시점을 관리한다.
• 모델 트리 변경 관리: 도입 모델이 새 버전으로 바뀌거나 상위 모델이 교체되면 라이선스 의무가 달라질 수 있다. 변경을 거버넌스 검토 사건으로 등록한다.([본 가이드 권고])
• OSAID 분류 갱신: “오픈소스 AI"와 “오픈 웨이트(Open Weight)“의 구분(OSAID 1.0)은 모델 라이선스 판단에 영향을 준다. 분류 기준 변화를 정기 검토에 포함한다.
• 검토 주기 명시: 분기 단위로 모델과 데이터셋 변경을, 연 단위로 규제와 프레임워크 전반을 검토한다. 검토 완료일과 검토자를 기록한다.
• 다른 조항과의 연결: 거버넌스는 투명성 의무(3.6)의 규제 검토와 AI SBOM(3.9)의 수명주기 관리를 상위에서 묶는다. 중복 절차를 만들지 말고 연결한다.

샘플 (거버넌스 프레임워크와 연간 검토 계획)

아래는 거버넌스 프레임워크 문서와 정기 검토 계획의 핵심 부분 샘플이다. 이 문서가 입증자료 3.10.1이 된다.

## AI 거버넌스 프레임워크
### 1. 범위와 목적
AI 시스템의 도입·개발·배포·운영·폐기 전 수명주기에 걸쳐 라이선스, 투명성, 위험,
규제 준수를 관리한다.
### 2. 거버넌스 구조
- AI 거버넌스 책임자: 프레임워크 승인, 규제 의무 최종 판단
- 규제 추적 담당: 신흥 AI 규제 모니터링, 의무 도출
- AI SBOM 검증 담당: 생성·검토·승인 절차 운영
- 법무: 비표준 라이선스와 규제 해석
### 3. 정기 검토 계획
| 주기 | 검토 항목 | 담당 | 산출물 |
|------|----------|------|--------|
| 분기 | 모델·데이터셋 변경, 모델 트리 라이선스 | AI SBOM 검증 담당 | 변경 검토 기록 |
| 반기 | 비표준 라이선스 분류, OSAID 갱신 | 법무 | 분류 갱신본 |
| 연간 | 규제 시행 일정, 프레임워크 전반, 정책 정합성 | AI 거버넌스 책임자 | 프레임워크 개정본 |
### 4. 변경 관리
모델 트리 변경, 신규 규제 시행, 라이선스 정책 변경이 발생하면 정기 검토를 기다리지
않고 임시 검토를 소집한다. 검토 결과와 조치는 변경 이력에 기록한다.

5. 참고

• 정책 기반:3.1 정책
• 투명성 의무와 규제 검토:3.6 투명성 의무
• AI SBOM 수명주기 관리:3.9 AI SBOM
• 전체 규제 매트릭스와 ISO/IEC 42001 맥락:ISO/IEC 42001 가이드 — 조직 맥락과 리더십