“AI가 슬쩍 가져온 오픈소스…관리 없인 법률 리스크 폭탄” 작성일 06-11 27 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">마이크 피테거 인사이너리 CSO, 오픈소스 추적 가시성 확보 강조</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="WmsMellwCq"> <figure class="figure_frm origin_fig" contents-hash="475626fdac16e150aa4b50298d4d617fdffcfd887ee2ba528e8af924161202a6" dmcf-pid="YtFrsuu5yz" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/11/552796-pzfp7fF/20260611123807623knqc.jpg" data-org-width="640" dmcf-mid="yU0sIzztlB" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/11/552796-pzfp7fF/20260611123807623knqc.jpg" width="658"></p> </figure> <p contents-hash="4a10980fb7a3633901b831f53abd54eb71c82d6958f9060ddd5fd64141f0f5e4" dmcf-pid="GF3mO771y7" dmcf-ptype="general">[디지털데일리 오병훈기자] “AI가 가져온 오픈소스에 대한 명확한 관리가 이뤄지지 않을 경우, 라이선스 위반에 따른 법률 리스크에 직면할 위험성이 있습니다. 적절한 조치가 없으면 하나의 프로젝트에 속한 라이선스 위반 리스크가 기업 내에서 지속적으로 확산될 수 있습니다.”</p> <p contents-hash="353b757a3844e679a237eb2a6cbabacef98e385bd131be0d7a839d79ad0deab9" dmcf-pid="H30sIzztSu" dmcf-ptype="general">11일 마이크 피테거 인사이너리 최고전략책임자(CSO)는 서울 강남 더라움아트센터에서 개최된 ‘오픈소스&AI 컨퍼런스2026’에서 ‘AI 코드 생성 시대의 맹점:숨겨진 오픈소스 리스크와 대응 방안’을 주제로 발표하며 이같이 강조했다.</p> <p contents-hash="06f12f3c2726d504bc2f36b9d82be67d82ce3c401d043cd306d100e860285159" dmcf-pid="X0pOCqqFvU" dmcf-ptype="general">AI 없이 프로그램 개발을 논의할 수 없는 시대가 왔다. 대다수 개발자들은 오픈AI ‘코덱스’, 앤트로픽의 ‘클로드코드’ 등 다양한 코딩 AI에이전트를 사용해 개발 업무를 보고 있다. AI 개발 에이전트는 개발자의 지시에 따라 애플리케이션(앱) 개발에 필요한 다양한 오픈소스 도구들을 외부에서 가져와 앱에 적용한다.</p> <p contents-hash="27994807d1e8d8d2636bcb6bb001e9d697220bd3d3eec4ad56d838f0ccc6ea61" dmcf-pid="ZpUIhBB3yp" dmcf-ptype="general">피테거 CSO는 “최근 시장 조사에 따르면 95%의 개발자가 신규 소프트웨어 프로젝트에 AI활용하고 있다고 답했다”며 “결과적으로 AI를 활용해 개발한 앱의 수도 기하급수적으로 늘어나고 있다는 의미”라고 강조햇다.</p> <p contents-hash="6bbeb6deccafc9d5728a001c0d01ac80d0be1f8136a072e39bb5f6c2e36b817b" dmcf-pid="5UuClbb0v0" dmcf-ptype="general">문제는 그 과정에서 AI가 모든 오픈소스를 면밀하게 고려하지 못하고 있다는 것이다. 오픈소스라고 해서 개발자가 무조건 마음대로 사용할 수 있는 것은 아니다. 오픈소스에도 다양한 형태 라이선스가 존재한다. 예컨대 ‘허용형 라이선스’는 출처 표기와 라이선스 고지 등 일정 의무를 지키면 상업적 활용이 비교적 자유롭다. 또 ‘GPL’ 등 일정 활용 조건을 지켜야하는 라이선스는 해당 코드가 포함된 결과물까지 동일한 라이선스 조건을 적용받을 수 있다.</p> <p contents-hash="8ee6e48a8aca653b7a60d066abdf4be61da9d1f4a8bf86d2e893f2fdb87a2c33" dmcf-pid="1u7hSKKpy3" dmcf-ptype="general">지금까지 AI가 아닌 인간 개발자가 오픈소스를 외부에서 가져와 사용할 때는 정해진 틀에 따라 라이선스 준수를 위한 작업을 진행했다. 구체적으로 오픈소스 라이브러리를 가져오고 이를 빌드 파일에 선언하는 식이다. 이 경우 소프트웨어구성분석(SCA)이 이를 포착하고 소프트웨어자재명세서(SBOM)에도 표시된다는 것이 피테커 CSO의 설명이다.</p> <p contents-hash="65a3d58c210bb43ea7bd3e1cc6d4a779d69ddeb6dba28217bfebec667ce31761" dmcf-pid="t7zlv99UyF" dmcf-ptype="general">그는 “그에 반해 AI는 오픈소스를 기반으로 학습됐기 때문에 코드 패턴과 구조를 알고 있고, 오픈소스에 있는 기능을 다시 만들라고 요청하면 해당 코드 조각을 사용해 오픈소스를 재현할 가능성이 있다”며 “이런 코드 조각은 SBOM에도 없고 빌드 파일에도 없으며 SCA에도 보이지 않는다”고 설명했다.</p> <p contents-hash="946d73b27365637ae711aa13fe80813a3a05889aa2afad0f7444976c27eda869" dmcf-pid="FF3mO771ht" dmcf-ptype="general">AI 중심 개발은 확대되고 있으며 오픈소스 의존성은 높아지는데 라이선스 리스크는 관리되지 않는 상태가 지속되고 있다는 경고다.</p> <p contents-hash="2d5103a713b7b40f61af1c91d329eea95927841a8b8ae0624f34c28e4e553185" dmcf-pid="330sIzztC1" dmcf-ptype="general">그는 “라이선스는 라이브러리와 함께 따라가며 전체 라이브러리를 사용했는지, 일부만 사용했는지는 중요하지 않다”며 “아파치 라이선스 코드 20줄이나 50줄을 사용하더라도 여전히 ‘라이선스 문구 포함’과 같은 요구사항을 따라야 하는데, 이것이 없다면 라이선스 위반”이라고 설명했다.</p> <p contents-hash="e3987517aba98b54eb2a0365a821bac836af8abcf4e962fdd9aba604babff3eb" dmcf-pid="00pOCqqFy5" dmcf-ptype="general">지식재산권(IP) 위험은 더 크다는 설명이다. 피테거 CSO는 “카피레프트 또는 GPL 라이선스 코드 조각과 일치하는 소스를 사용한다면 해당 작업물은 파생 저작물로 간주돼 동일한 라이선스 조건을 적용받을 수 있다”며 “하나의 소프트웨어에 들어가면 재사용되고 프로젝트가 확산되면서 다른 개발 업무에도 영향을 미칠 수 있다”고 말했다.</p> <p contents-hash="dace6c1ecdf309f27f746c6863a7822d53bfe35110669fb64d4a19aeeca8bee8" dmcf-pid="ppUIhBB3vZ" dmcf-ptype="general">해법은 AI 사용을 막는 것이 아니라 관리 체계를 다시 설계하는 데 있다는 것이 그의 분석이다.</p> <p contents-hash="074348af84472161aab970b90eddeace75240244fed2ea6c1e16a2a719f1e74a" dmcf-pid="UUuClbb0WX" dmcf-ptype="general">피테거 CSO는 “AI 도입은 계속 증가할 것이며 이제 소프트웨어가 작성되는 기본 방식이 됐다”며 “AI 생성 코드는 특별한 검토가 필요한 제3자 코드로 취급해야 하며 개발자들에게 오픈소스 라이선스 위험을 다시 교육해야 한다”고 조언했다.</p> <p contents-hash="8387216746f67621a9af4276c83f772911d979cc0cfc2acadf8cd4c644450697" dmcf-pid="uu7hSKKpWH" dmcf-ptype="general">이어 “정확하고 완전한 SBOM을 만들려면 코드조각 단위 모니터링 단계를 자동화해야 한다”며 “기존처럼 패키지 목록만 읽는 방식으로는 AI가 삽입한 코드 조각을 확인할 수 없기 때문에 소스코드 내부를 직접 대조하는 방식의 검사가 필요하다”고 강조했다.</p> <p contents-hash="6a5d7f841d3c0b6df9e99065cd107ab28b314824b4e266c7c7a5b37910b0d484" dmcf-pid="77zlv99UlG" dmcf-ptype="general">마지막으로 피테거 CSO는 “문제가 될 수 있는 오픈소스를 제거할지, 수정할지 등 해당 앱 사용 목적에 맞춰 판단해야 한다”며 “가시성이 있어야 통제할 수 있으며 라이선스 준수 리스크가 코드베이스 전체로 확산되기 전에 지금 바로 시작해야 한다”고 덧붙였다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 AI 저작권 문제, ‘AI-BOM’으로 대응…“AI 학습한 데이터 명시해야” 06-11 다음 순천시청 양궁팀 유시현, 한국실업양궁연맹 회장기 2관왕 달성…금메달 2개 획득 06-11 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
