오픈 소스와 AI 기반 개발: 법적 쟁점 살펴보기

이 시리즈의 이전 포스트에서는 AI가 소프트웨어 개발 방식을 어떻게 변화시키기 시작하는지에 대해 이야기했습니다. 이 후속 글에서는 AI 지원 개발과 관련하여 오픈소스 개발자들이 제기한 주요 법적(또는 준법적) 문제를 중점적으로 다룹니다. 

이는 AI와 관련된 모든 법적 문제에 대한 포괄적인 개요는 아닙니다. 즉, Red Hat은 AI 규정 준수 또는 AI 기반 제품의 계약과 관련된 책임 문제에 대한 고객의 우려를 해결하지 않습니다. 대신 오픈소스 커뮤니티 내에서 활발하게 논의되고 있는 문제에 집중하고 있습니다. 

이 문제들에 대한 Red Hat의 입장은 AI 기술의 책임 있는 활용과 ‘기본적으로 개방(open)한다’는 철학에 기반하고 있습니다. Red Hat은 이러한 문제를 건설적으로 해결하는 가장 좋은 방법은 투명한 협업 방식이라고 생각합니다.

출처 표시 및 명시 

출처 표시는 오픈소스의 핵심 법적 그리고 문화적 규범입니다. 일반적으로 라이선스는 저작권 및 저작자 표시 고지를 보존하고, 저작자 표시와 관련하여 오해의 소지가 있는 주장을 피하도록 요구합니다. 

AI 지원 개발은 이를 복잡하게 만듭니다. AI 시스템은 저작권법상 '저자'로 간주되지 않으므로, 엄밀히 말해 저작자로 인정할 대상이 없습니다. 그러나 개발자가 상당한 AI 생성 출력을 순전히 자신의 작업으로 제공하는 것은 여전히 오도할 수 있습니다. 

이러한 이유로 AI 지원 기여에 대한 공개 규칙을 도입하는 오픈소스 프로젝트가 증가하고 있으며, 합성 미디어 레이블 지정과 같은 다른 분야의 공개 규범에서 영감을 얻고 있습니다. 기여를 '표시'하면 법적 명확성과 커뮤니티의 신뢰를 모두 유지하는 데 도움이 되며, 검토자가 해당 맥락에서 코드를 더 쉽게 평가할 수 있습니다.

Red Hat은 명시를 지원하지만 지나치게 규범적이어서는 안 된다고 생각합니다. 비교적 사소한 AI 사용(예: 변수 이름 자동 완성 또는 독스트링 제안)에는 공개가 필요하지 않습니다. 보다 실질적인 사용을 위해서는 소스 코드 주석, 병합 요청의 메모 또는 Assisted-by:와 같은 커밋 트레일러로 간단하게 표시할 수 있습니다(일부 프로젝트에서 사용하는 다른 후보에는 Generated-by: 그리고 Co-authored by:가 포함됩니다).  

저작권과 라이선스 절차

저작자 표시도 중요하지만, 오픈소스는 명확한 라이선스 부여에 훨씬 더 크게 의존합니다. 이는 실질적인 질문을 제기합니다. 저작권 보호 대상이 아닌 AI 생성 자료가 기여에 포함된 경우 라이선스 고지는 어떻게 적용되어야 할까요?

대부분의 경우 라이선스 고지가 이미 리포지토리 또는 개별 소스 파일에 있는 경우 아무것도 변경되지 않습니다. 코드의 고도로 기능적인 특성으로 인해 소스 파일은 일반적으로 저작권 보호 대상 자료와 비저작권 자료가 혼합되어 있으며, 오픈소스 라이선스 부여는 저작권으로 보호되는 부분에만 적용됩니다. AI가 생성하는 상당한 기여의 경우, 명시를 통한 공개는 기존 라이선스 고지를 보완하며 누군가를 오도하지 않도록 하는 올바른 방법입니다. 

더 어려운 경우는 전체 소스 파일 또는 전체 리포지토리가 AI에 의해 생성되는 경우입니다. 이때 사람의 기여를 통해 파일을 저작권 보호 저작물로 변환하지 않는 한, 저작권 및 라이선스 고지를 추가하는 것은 부적절할 수 있습니다. 그러나 오픈소스 리포지토리에는 글로벌 LICENSE 파일이 있어야 한다는 규범을 고려할 때, 기술적으로 이러한 라이선스가 저작권의 존재를 가정하더라도, 매우 관대한 오픈소스 라이선스(예: Unlicense)를 AI 생성 리포지토리의 글로벌 라이선스로 추가하는 것이 합리적입니다. 인적 기여가 추가되면 유지 관리자는 이 초기 라이선스 선택을 다시 검토할 수 있습니다. 이전에 기여한 사람이 없으므로, 오픈소스 프로젝트의 라이선스가 다시 부여되는 일반적인 시나리오보다 더 쉬울 것입니다. Red Hat은 법이 변화하고 AI 툴에 대한 커뮤니티 경험이 향상됨에 따라 사례가 진화할 것으로 예상합니다.  

AI 툴은 "표절 머신"인가? 

일부 오픈소스 개발자는 AI 모델을 "표절 머신" 또는 "저작권 세탁" 메커니즘이라고 비난하며 AI 지원 개발에 회의적이며 때로는 적대적이기도 합니다. 

이 문제에는 두 가지 버전이 있습니다. 첫 번째는 실용적입니다. AI 툴이 독점(또는 라이선스 비호환) 코드의 발췌 부분을 오픈소스 프로젝트에 은밀하게 삽입하여 유지 관리자와 사용자에게 법적 위험을 초래할 수 있다는 점입니다. 두 번째는 더 광범위하고 철학적입니다. 방대한 양의 오픈소스 소프트웨어로 훈련된 대규모 언어 모델이 본질적으로 커뮤니티의 작업을 남용하여 오픈소스 라이선스에 필요한 의무를 제거한 결과를 생산한다는 것입니다.   

Red Hat은 이러한 우려를 심각하게 받아들여야 한다고 생각합니다. 대규모 언어 모델은 경우에 따라 훈련 데이터의 중요한 발췌 내용을 내보낼 수 있는 것이 사실입니다. 이러한 동작이 자주 발생하거나 피할 수 없는 경우 이러한 툴을 함께 사용하지 않는 것이 좋습니다. 

그러나 해당 증거는 그렇지 않음을 시사합니다. GitHub Copilot이 출시되었을 때, 그 제안이 오픈소스 프로젝트에서 복사되었다는 주장이 널리 알려졌습니다. 이러한 주장이 입증된 경우, 일반적으로 툴이 알려진 코드를 그대로 재현하도록 의도적인 노력을 기울였으며, 이는 일반적인 용도가 아닙니다. 그 이후로 널리 사용되는 AI 개발 툴이 저작권 문제를 제기할 만큼 상당한 훈련 데이터의 일부를 체계적으로 복제한다는 신뢰할 수 있는 증거를 보지 못했습니다.

대부분의 '표절 머신'라는 이야기의 근본적인 오해는, 생성형 AI 모델이 학습 데이터를 손실 압축(lossy compression)한 것이라는 생각입니다. 실제로 모델의 일반적인 동작은 학습한 통계 패턴을 기반으로 새로운 텍스트를 생성하는 것입니다. 오픈소스 코드에 대한 교육을 받았다고 해서 해당 코드가 그대로 출력되는 것은 아닙니다. 

하지만 간헐적인 복제 가능성을 무시할 수는 없습니다. AI 툴을 사용하는 개발자는 이러한 위험에 항상 주의를 기울여야 하며, AI에서 생성된 출력을 다른 기여와 마찬가지로 검토해야 할 항목으로 취급해야 합니다. AI 개발 툴이 기존 오픈소스 코드와 일치하는 긴 제안을 감지하거나 플래그를 지정하는 기능을 제공하는 경우 해당 기능을 활성화해야 합니다. 이러한 단계는 공개 사례 및 인적 감독과 결합하여 모든 AI 사용을 본질적으로 오염된 것으로 간주하지 않고 복제 문제를 완화할 수 있는 실용적인 방법입니다. 

AI 지원 기여 및 DCO

개발자 출처 인증서(DCO)를 사용하는 프로젝트에서는 AI 지원 기여에 대한 특별한 우려가 제기되었습니다. Red Hat이 오랫동안 오픈 소스 개발의 모범 사례로 권장해온 DCO(Developer Certificate of Origin)는 기여자들이 자신이 제출하는 작업물이 프로젝트 라이선스 하에 제출할 권리가 있음을 인증하도록 요구합니다. 일부 개발자는 AI 툴 출력에 알려지지 않았거나 공개되지 않은 자료가 포함될 수 있기 때문에 아무도 AI 지원 코드에 대해 DCO를 합법적으로 승인할 수 없다고 주장합니다. 이러한 관점으로 인해 DCO를 사용하는 일부 프로젝트에서는 AI 지원 기여를 전면 금지했습니다. 

Red Hat은 이러한 우려를 이해하지만, DCO는 기여물의 모든 한 줄 한 줄이 반드시 기여자나 다른 인간 개발자의 개인적인 창작 표현이어야 한다고 해석된 적은 없습니다. 대부분의 기여에는 저작권 보호 대상이 아닌 일상적인 자료가 포함되어 있으며, 개발자는 여전히 이에 동의합니다. DCO의 핵심은 책임입니다. 기여자는 특정 오픈소스 라이선스의 적용을 받는(저작권 요소와 관련하여) 저작물에 기여물을 사용할 권리가 있다고 생각합니다. 프로젝트 유지 관리자는 기여자가 인증을 하기 전에 어느 정도의 신중한 검토(due diligence)를 했을 것이라는 합리적인 기대를 가지고 있습니다. 공개, 인적 주의 및 감독, 그리고 가능한 경우 코드 유사성을 확인하는 툴의 도움을 통해 AI 지원 기여는 DCO의 정신과 완전히 양립할 수 있습니다.

그렇다고 프로젝트에서 AI 지원 기여를 허용해야 한다는 것은 아닙니다. 각 프로젝트는 자체 규칙을 만들고 자체적인 편의 수준을 설정할 권리가 있으며, 프로젝트가 현재 AI 지원 기여를 금지하기로 결정하더라도 해당 결정은 존중받아야 합니다. 이 경로를 선택하는 프로젝트는 자신이 제기하는 우려 사항이 AI에만 새로운 것이거나 고유한 것이 아니라는 점을 인식해야 합니다. 위험을 회피하는 오픈소스 상용 사용자들은 수년 동안 공개되지 않고 문제가 되는 용어로 저작권 자료를 숨기는 기여로 인해 "세탁된" 코드를 우려했습니다. 시간이 지나면서 이러한 두려움은 근거가 없는 것으로 판명되었습니다. AI 지원 기여에 공개되지 않은 저작권 보호 자료가 포함될 수 있다는 것은 불가능하지는 않지만, 경험에 따르면 이는 관리 가능한 리스크 이벤트이며, 오픈소스가 과거에 직면하고 처리한 문제와 크게 다르지 않습니다. 

다시 말해, DCO는 AI 시대에도 오픈소스 개발에서 신뢰를 유지하고 법적 명확성을 유지하기 위한 실용적이고 효과적인 툴로서 그 역할을 그대로 유지할 수 있습니다.

신뢰 구축

소프트웨어 개발에서 AI에 관한 법적, 기술적 또는 윤리적 논의의 대부분은 신뢰의 문제입니다. 신뢰는 성공적인 오픈소스 프로젝트에 필수적이고 근본적인 인간적 관심사입니다. 오픈소스 개발에 AI를 도입하면 몇 가지 측면에서 새로운 신뢰 문제가 발생합니다. 기여자들이 AI를 책임감 있게 사용하고 있다는 신뢰, 그렇게 하는 사람들이 낙인찍히지 않는다는 신뢰, 그리고 AI를 구축하고 사용을 장려하는 기업들이 공익에 기여하는 방식으로 활동하고 있다는 신뢰입니다. Red Hat을 포함한 이러한 기업들이 AI의 성공에 상업적인 관심을 갖고 있다는 점을 인정하는 것 또한 이러한 기술 트랜스포메이션에서 AI의 역할을 투명하게 공개하는 데 중요한 부분입니다.

기술에 대한 신뢰를 구축해야 하는 과제는 새로운 것이 아닙니다. Ken Thompson의 1984년 강의 "신뢰에 대한 고찰"은 인간의 판단력과 제도적 무결성이 소프트웨어 자체를 얼마나 깊이 뒷받침하는지 이해하는 데 시금석으로 남아 있습니다. AI는 이러한 개념을 명확하게 부각시킵니다. 신뢰는 여전히 일관되고 가시적인 조치를 통해 확보해야 합니다. Red Hat은 업스트림 커뮤니티를 통해 구축한 신뢰를 중시하며, 투명성, 협업, 책임에 기반을 둔 Red Hat의 오픈소스 개발 모델이 AI와 오픈소스의 미래를 함께 모색하는 과정에서 이러한 신뢰를 유지하는 가장 좋은 방법이라고 믿습니다.

미래 전망

여기에서 논의한 문제(명시, 라이선스 고지, 훈련 데이터 복제 문제, DCO)는 오늘날 오픈소스 개발자가 가장 많이 고심하고 있는 법적 문제입니다. AI 사용 공개, 인간의 감독, 프로젝트 규칙 준수를 통해 AI 지원 개발은 오픈소스의 법적 기반 및 문화적 가치와 조화를 이룰 수 있습니다. Red Hat은 업스트림 프로젝트에서 이러한 이해 관계의 균형을 유지하는 기타 접근 방식에 대한 협업을 환영합니다. 각 프로젝트는 자유롭게 선택할 수 있어야 합니다. 오픈소스 커뮤니티는 이러한 문제를 외면하지 않고 스스로 해결할 수 있다면 더욱 강력해질 것입니다.