“생성형 AI 사용 시 SW 보안·라이선스 규정 준수 주의해야” > 언론보도

본문 바로가기
  • TEL. 02-538-9227
  • E-mail. marketing@osbc.co.kr
  • FAX. 02-538-9226

오픈소스 거버넌스 & 교육 전문 기업

자료

언론보도

제목 “생성형 AI 사용 시 SW 보안·라이선스 규정 준수 주의해야” 작성일 24-07-09 17:15
글쓴이 최고관리자 조회수 13

본문

[강연 중계] ‘오픈소스 컨퍼런스’ 게리 암스트롱 포스아이디 시니어 디렉터


e2900bfa38378d7f36f662d30a3b16c8_1720512777_351.jpg

이어 게리 암스트롱 포스아이디 시니어 디렉터가 ‘AI 생성 코드 세계에서 소프트웨어 보안 및 라이선스 규정 준수를 유지하는 방법’에 대해 강의했다.
 

글로벌 오픈소스 공급망 관리 등 이슈가 되고 있는 다양한 트렌드와 사례를 공유하기 위한 ‘제13회 오픈소스 컨퍼런스’가 19일 오전 서울시 강남구에 위치한 더라움에서 열렸다.

  2021년 미국 사이버 안보 개선을 위한 행정명령 14028과 2024년 1월 미국 국가 안보국이 발표한 SBOM 관리 권장사항에 따라 오픈소스 라이선스 및 보안 취약점의 지속적인 필요성이 대두되고 있다.

  2024년 3월 유럽연합(EU)이 승인한 사이버 복원력 법(Cyber Resilience Act)으로 인해 전 세계적으로 사이버 보안에 대한 중요성도 확대되고 있다.

이러한 글로벌 ICT 환경 속에서 오픈소스에 대한 의존도가 계속 높아지면서 오픈소스에 대한 가시성을 위한 SCA(Software Composition Analysis)가 글로벌 소프트웨어 공급망 관리를 위한 필수 조건이 되고 있다.

이날 행사를 개최한 OSBC 김택완 대표는 인사말을 통해 “‘SBOM 그 너머로(To SBOM and Beyond)’라는 말을 잘 아실 것이다. SBOM은 굉장히 피곤한 일이지만, 피로만 있진 않다”며 “SBOM을 통해 어떤 오픈소스를 선호하는지 알 수 있을 것이다. 소프트웨어 개발 경쟁력을 높이기 위해서는 많이 사용하는 오픈소스에 대해 정통한 그 오픈소스를 잘 아는 엔지니어를 양성해야 한다”고 말했다.

e2900bfa38378d7f36f662d30a3b16c8_1720512834_3705.jpg

이어 게리 암스트롱 포스아이디 시니어 디렉터가 ‘AI 생성 코드 세계에서 소프트웨어 보안 및 라이선스 규정 준수를 유지하는 방법’에 대해 강의했다.
 

그는 가장 먼저 생성형 AI 사용을 통해 생산성이 크게 향상될 수 있다고 강조했다. 반복적인 업무를 자동으로 할 수 있기 때문에 복잡한 문제 해결에 집중하고 창의적인 일을 할 수 있다는 설명이다. 

아울러 실수 발생 시 빠른 캐치가 가능해 디버깅도 줄일 수 있어 코드의 퀄리티도 개선할 수 있다고 강조했다.

다만, 개발자들이 AI 툴에 과하게 의존하는 문제는 단점이 될 수 있다고 지적했다. 코딩 스쿨이 사라질 수 있고 알고리즘의 편향이 발생할 수 있다는 것이다. ‘보안 리스크’ 역시 피할 수 없을 것으로 봤다. 

하지만 게리 암스트롱 시니어 디렉터가 가장 우려한 건 ‘라이선스 준수’ 문제였다. 생성형 코드에 저작권이 있는 경우 이를 어기는 경우가 다수 발생할 수 있다는 것이다.

그는 “창작자가 보상을 받을 수 있는 의도가 있는 경우를 저작권으로 정의한다. 예를 들어 내가 만든 노래를 라디오에서 틀 때마다 돈을 받는다면 저작권이 있는 것”이라며 “소프트웨어도 마찬가지다. 만약 앱을 만들어 누군가한테 줄 때 그걸 사용하고 돈을 받는다면 저작권이 존재한다”고 말했다.

그는 최근 많이 사용하고 있는 챗GPT 역시 공개 코드를 피하기 위한 필터 등이 작동하지 않고 있다고 설명했다. 챗GPT가 모든 코드를 제안하고 소스를 복제 수준으로 활용하고 있다는 것이다. 이런 라이선스 규정 준수에 있어 생성형 AI 사용이 도전이 될 수 있다는 의견도 덧붙였다.

게리 암스트롱 시니어 디렉터는 “생성형 AI도 스캐닝과 툴을 이용해 오픈소스가 이를 감지할 수 있도록 해야 한다. 이를 통해 규정 준수 위험을 식별할 수 있을 것”이라며 “지속적인 모니터링도 필요하다. AI 생성 코드가 프로젝트에 더해질 때마다 오픈소스 구성을 스캐닝 해 대응할 수 있도록 한다”고 말했다.

생성형 AI가 오래된 데이터를 사용하는 경우도 경계해야 한다는 설명이다. 간혹 5~10년 전의 데이터를 사용하는 경우가 발견되는데, 프로그램이 정말 빠르게 바뀌는 만큼 이슈가 될 수 있다는 의미다.

그는 “생성형 AI가 오픈소스 라이선스를 전혀 준수하지 않는 상황에서 훈련되고 있다. 생성형AI 툴은 지난 데이터와 불안한 URL을 제공하고 이 외에도 더 많은 취약점이 있다는 게 함정”이라며 “결국 보안 테스트를 정기적으로 하고 보안 전문가가 AI 테스트를 주기적으로 하는 것만이 방법이 될 것”이라고 말했다.

e2900bfa38378d7f36f662d30a3b16c8_1720512894_123.jpg

이어 게리 암스트롱 포스아이디 시니어 디렉터가 ‘AI 생성 코드 세계에서 소프트웨어 보안 및 라이선스 규정 준수를 유지하는 방법’에 대해 강의했다.
 

기자명안재석 기자 jsahn@hitech.co.kr

출처 : 하이테크정보(http://www.hitech.co.kr) 

원문보기 : https://www.hitech.co.kr/news/articleView.html?idxno=32529