미국 디지털 권리 단체 전자프런티어재단(Electronic Frontier Foundation, EFF)이 이른바 AI 슬롭으로 불리는 AI 생성 저품질 코드 문제에 대응하기 위해 정책을 변경했다. 정책 변경에 따라 기여자는 제출하는 코드를 반드시 이해해야 하며, 주석과 문서는 사람이 직접 작성해야 한다. 다만 해당 요건을 어떻게 판단할지는 과제로 남았다.

전자프런티어재단은 목요일 AI 생성 코드와 관련한 정책을 수정하고 “기여자는 제출하는 코드를 이해해야 하며, 주석과 문서는 사람이 직접 작성해야 한다”는 조항을 명시했다.

정책 문구에는 준수 여부를 어떤 방식으로 확인할지에 대한 구체적 절차가 포함되지 않았다. 업계를 지켜보는 애널리스트는 표본 점검 방식이 가장 현실적인 방안이 될 가능성이 높다고 보고 있다.

성명은 기여자의 AI 코딩을 전면 금지하지는 않는다고 밝혔다. 전면 금지는 “일반적인 운영 철학에 어긋난다”는 설명과 함께, AI의 현재 확산 수준을 고려하면 집행이 현실적으로 어렵다는 점을 인정했다. 전자프런티어재단은 “AI 도구 사용이 지나치게 광범위해 전면 금지는 집행이 불가능하다”라고 밝혔다. 또한 AI 도구를 만드는 기업이 “사람보다 수익을 우선시하며 속도전에 나서고 있다”라고 비판하면서, “거대 기술 기업이 행사하는 권한에 대해 ‘그냥 믿어달라’는 태도를 반복하고 있다”라고 지적했다.

표본 점검 모델은 세무 당국의 감사 전략과 유사하다. 감사 가능성에 대한 인식이 규정 준수를 유도하는 구조다.

보안 컨설팅 기업 포머거브(FormerGov) 최고경영자 브라이언 레빈은 새로운 접근이 전자프런티어재단에 현실적인 선택이라고 평가했다.

레빈은 “전자프런티어재단은 AI가 제공하지 못하는 요소인 책임성을 요구하고 있다”며 “대규모 환경에서 이른바 분위기 중심 코딩을 실질적으로 활용하려는 첫 시도 중 하나가 될 수 있다”라고 말했다. 레빈은 “개발자가 붙여넣은 코드에 대해 책임을 져야 한다는 점을 인지하면 품질 기준은 빠르게 높아질 것”이라며 “안전 장치는 혁신을 저해하는 요소가 아니라, 생태계가 AI 생성 저품질 코드에 잠식되는 상황을 막는 장치”라고 설명했다.

레빈은 집행이 가장 어려운 과제라고 지적했다. AI 생성 코드를 신뢰성 있게 탐지하는 도구는 없으며, 앞으로도 등장하지 않을 가능성이 높다고 설명했다. 현실적으로 가능한 모델은 문화적 접근이라고 강조하며, 기여자가 자신의 코드를 설명하고 선택을 정당화하며 제출 내용에 대한 이해를 입증하도록 요구해야 한다고 말했다. AI 사용 여부를 항상 판별할 수는 없지만, 제출자가 자신이 배포한 내용을 이해하지 못하는 상황은 충분히 가려낼 수 있다고 덧붙였다.

신뢰에 의존하는 방식

전자프런티어재단 수석 기술자 제이콥 호프먼-앤드루스는 팀이 준수 여부를 별도로 검증하거나 위반자를 처벌하는 방식에 초점을 두지 않고 있다고 밝혔다. 호프먼-앤드루스는 “기여자 수가 많지 않아 신뢰에 기반해 운영하고 있다”라고 설명했다.

규정을 위반한 사례가 확인되면 해당 기여자에게 규칙을 설명하고 준수를 요청할 방침이다. 호프먼-앤드루스는 “자원봉사 기반 공동체로서 고유한 문화와 공통 기대가 있다”며 “기대하는 행동 기준을 명확히 전달하고 있다”라고 전했다.

시장 조사 기관 인포테크 리서치 그룹(Info-Tech Research Group) 수석 연구 책임자 브라이언 잭슨은 전자프런티어재단과 같은 정책이 오픈소스 제출물의 품질을 개선하는 부수 효과를 기업이 얻을 수 있다고 분석했다.

잭슨은 기업 환경에서는 개발자가 코드를 완전히 이해하는지 여부보다 광범위한 테스트 통과 여부가 더 중요하다고 지적했다. 기능, 보안, 규정 준수 항목을 포함한 검증을 통과하면 기본 요건을 충족한 것으로 본다는 설명이다. 기업 환경에서는 책임성과 생산성 향상이 분명하며, 코드가 원치 않는 제3자에게 데이터를 유출하는지, 보안 테스트를 통과하는지가 핵심이라고 강조했다. 기업은 요구되는 품질 기준 충족 여부를 중점적으로 판단한다고 덧붙였다.

코드보다 문서에 초점

기업과 다양한 기업이 저품질 코드를 사용하는 문제, 이른바 AI 슬롭에 대한 우려가 커지고 있다.

기술 기업 랜딩 포인트(Landing Point) 수석 엔지니어 파이젤 칸은 코드 자체보다 문서와 설명에 초점을 맞춘 전자프런티어재단의 결정이 적절하다고 평가했다.

랜딩 포인트(Landing Point) 수석 엔지니어 파이젤 칸은 “코드는 테스트와 도구로 검증할 수 있지만, 설명이 잘못됐거나 오해를 불러일으키면 장기적인 유지보수 부담을 남긴다”며 “미래 개발자가 문서를 신뢰하기 때문”이라고 말했다. 칸은 “대규모 언어 모델이 자신감 있게 설명하면서도 틀릴 수 있는 영역이 바로 설명과 문서”라고 지적했다.

칸은 제출자에게 반드시 답하도록 요구해야 할 질문도 제시했다. 구체적인 검토 질문을 던져야 한다며, 왜 해당 접근을 택했는지, 어떤 예외 상황을 고려했는지, 왜 그 테스트를 선택했는지를 묻는 방식이 필요하다고 설명했다. 답하지 못하면 병합하지 말아야 한다는 입장도 밝혔다. 무엇이 변경됐는지, 변경 이유는 무엇인지, 핵심 위험 요소는 무엇인지, 어떤 테스트로 작동을 입증했는지를 포함한 변경 요청 요약을 요구해야 한다고 강조했다.

독립 보안 및 리스크 자문가이자 월마트 전 사이버보안·리스크·컴플라이언스 총괄 책임자인 스티븐 에릭 피셔는 전자프런티어재단이 코드 자체보다 전반적인 코딩 무결성에 초점을 맞췄다고 평가했다.

피셔는 전자프런티어재단 정책이 무결성 책임을 제출자에게 되돌리는 방식이라고 평가했다. 오픈소스 유지 관리자가 모든 부담과 검증을 떠안지 않도록 한 구조라는 설명이다. 현재 AI 모델이 상세 문서, 주석, 논리적 설명 작성에는 한계가 있다고도 지적했다. 그 한계가 일종의 속도 조절 장치이자 검증 기준으로 작용한다고 분석했다. 다만 기술이 발전해 상세 문서와 설명을 생성할 수 있게 되면 정책 효과가 약화될 수 있다고 덧붙였다.

컨설팅 기업 가넷 디지털 스트래티지스(Garnett Digital Strategies) 설립자 켄 가넷은 해당 접근이 일종의 유도 전략에 가깝다고 평가했다.

탐지 문제를 우회

가넷은 전자프런티어재단이 AI 생성 코드 탐지 문제를 사실상 우회한 점이 강점이라고 분석했다. 사후적으로 AI 생성 코드를 식별하려는 시도는 신뢰성이 낮고 점점 비현실적이라고 지적하며, 대신 작업 흐름 자체를 재설계했다고 설명했다. 검토자가 작업을 확인하기 이전 단계로 책임성 점검 지점을 앞당긴 구조라고 평가했다.

검토 과정 자체가 집행 수단으로 기능한다는 점도 강조했다. 개발자가 이해하지 못한 코드를 제출하면 설계 결정에 대한 설명을 요구하는 과정에서 해당 사실이 드러난다고 분석했다.

가넷은 해당 접근은 공개와 신뢰, 선택적 점검을 결합한 구조라고 평가했다. 또한, 공개 의무를 통해 동기 구조를 상류 단계로 이동시키고, 사람 작성 문서 규칙으로 인간 책임성을 독립적으로 검증하며, 나머지는 표본 점검에 의존하는 방식이라고 설명했다.

네트워크 장비 기업 시스코(Cisco) 수석 엔지니어이자 보안 AI 연합(Coalition for Secure AI, CoSAI) 및 컴퓨팅기계협회 AI 보안(AISec) 프로그램 위원회 소속인 닉 칼레는 전자프런티어재단이 AI 금지라는 선택을 하지 않은 점을 긍정적으로 평가했다.

시스코(Cisco) 수석 엔지니어 닉 칼레는 “코드를 제출하고 질문에 답하지 못하면 AI 사용 여부와 무관하게 정책 위반”이라며 “도구 식별에 의존하지 않고 제출자가 자신의 작업을 책임질 수 있는지를 판단하는 방식이 더 집행 가능성이 높다”라고 말했다. 칼레는 “오픈소스를 소비하는 모든 기업은 의존하는 프로젝트에 기여 관리 정책이 존재하는지 면밀히 살펴야 한다”며 “내부적으로 오픈소스를 생산하는 기업도 자체 정책이 필요하다”라고 강조했다. 칼레는 “공개와 책임성 결합 모델은 실질적인 기준 틀이 될 수 있다”라고 평가했다.
dl-itworldkorea@foundryco.com