diff --git a/docs/internal/README.md b/docs/internal/README.md
index e702c88..208a61d 100644
--- a/docs/internal/README.md
+++ b/docs/internal/README.md
@@ -10,7 +10,6 @@
| [데스크톱 앱 검토 보고서](desktop-app-study.md) | Windows 데스크톱 앱(Electron) 도입 검토 |
| [공급사 제출 SBOM 검증·분석](supplier-sbom-analysis.md) | ANALYZE 모드 검증·변환·위험 보고 설계 |
| [펌웨어 분석](firmware-analysis.md) | FIRMWARE 모드 언팩·바이너리 식별 설계와 도구 선정 |
-| [AI SBOM 대응 준비](ai-sbom-readiness.md) | AI SBOM 규제·가이드 분석, 갭 분석, 포맷·도구 평가와 우선 역량 로드맵 |
| [개선 로드맵](improvement-roadmap.md) | 스캔 결과에서 드러난 미비점과 우선순위 |
| [문서 사용성 검토 보고서](docs-usability-review.md) | 신규 사용자 관점의 README와 가이드 검토, 우선순위 개선안 |
| [외부 등록 채널](seo-external-listings.md) | 검색·AI 노출용 큐레이션 목록과 레지스트리 제출 자료 |
diff --git a/docs/internal/ai-sbom-readiness.md b/docs/internal/ai-sbom-readiness.md
deleted file mode 100644
index 07ea7fc..0000000
--- a/docs/internal/ai-sbom-readiness.md
+++ /dev/null
@@ -1,179 +0,0 @@
-# AI SBOM 대응 준비 (AI SBOM Readiness)
-
-> **관련 문서**: [방향성 조사 보고서](direction-study.md) | [공급사 SBOM 검증·분석](supplier-sbom-analysis.md) | [개선 로드맵](improvement-roadmap.md) | [외부 등록 채널](seo-external-listings.md)
->
-> 성격: 메인테이너용 조사·전략 문서입니다. 코드 변경 없이, AI SBOM 규제·가이드가 BomLens에 요구하는 바와 우리가 준비할 항목, 필요한 도구를 정리합니다. 구체적 구현은 이 문서로 방향을 합의한 뒤 별도로 진행합니다.
-
-## 요약 (Executive Summary)
-
-2025년 하반기부터 AI 시스템을 위한 SBOM 요구가 규제와 산업 가이드 양쪽에서 구체화되었습니다. 세 건의 1차 자료를 검토했습니다.
-
-- **OpenChain AI SBOM 컴플라이언스 가이드 v1.0** (2025-10-20). ISO/IEC 5230(오픈소스 라이선스 컴플라이언스)을 AI 공급망으로 확장한 컴플라이언스 프로그램입니다. 추적 대상을 코드에서 모델 가중치, 학습 데이터셋, 모델 트리까지 넓힙니다.
-- **G7 AI SBOM 최소요소** (2026-05-12, 독일 BSI·이탈리아 ACN 주도). 7개 클러스터로 구성된 데이터 필드 명세입니다. 비구속 권고이지만 향후 공공 조달과 EU 규제의 참조점이 될 가능성이 높습니다.
-- **OpenChain-KWG AI SBOM 가이드**. 위 v1.0의 운영 안내로, 4단계 구축 로드맵과 도구 성숙도 평가를 담습니다.
-
-세 자료 모두 구현 매개로 **CycloneDX ML-BOM(modelCard)** 과 **SPDX 3.0 AI/Dataset Profile** 두 포맷을 지목합니다. 또한 라이선스 의무 해석은 도구가 자동 보장할 수 없고 사람과 정책이 맡아야 한다고 공통으로 짚습니다.
-
-BomLens는 현재 CycloneDX 1.6 기반 소프트웨어 SBOM 도구로, 모델·데이터셋·modelCard·ML-BOM을 다루지 않습니다. `component.type`은 application/library/file/firmware만 씁니다. 다만 재사용할 수 있는 기반은 탄탄합니다. PURL→CPE 변환, 라이선스 정규화 단일 소스, 적합성 검증(conformance), 외부 SBOM 검증·변환(ANALYZE 모드), 고지문·위험 보고서, 웹 UI 탭 구조가 그것입니다.
-
-권고하는 우선 역량은 세 가지입니다. AIBOM 생성 모드, G7 최소요소 적합성 검사, 모델·데이터셋 라이선스 검토입니다. 착수 순서는 의존이 가장 적은 적합성 검사부터입니다.
-
----
-
-## 목차
-- [1. 배경과 범위](#1-배경과-범위)
-- [2. 세 자료 요구사항 요약](#2-세-자료-요구사항-요약)
-- [3. BomLens 갭 분석](#3-bomlens-갭-분석)
-- [4. 포맷 비교와 권고](#4-포맷-비교와-권고)
-- [5. 필요 도구 평가](#5-필요-도구-평가)
-- [6. 우선 역량 3종 로드맵](#6-우선-역량-3종-로드맵)
-- [7. 도구로 해결되지 않는 영역](#7-도구로-해결되지-않는-영역)
-- [8. 권고 요약과 다음 단계](#8-권고-요약과-다음-단계)
-
----
-
-## 1. 배경과 범위
-
-세 자료는 성격이 서로 다릅니다. 이 차이를 먼저 구분해야 BomLens가 무엇을 맡을지 정할 수 있습니다.
-
-- G7 최소요소는 "무엇을 기록할 것인가"를 정하는 데이터 필드 명세입니다. 도구가 직접 채우거나 검사할 대상입니다.
-- OpenChain 가이드는 "조직이 무엇을 입증할 것인가"를 정하는 컴플라이언스 프로그램입니다. 대부분 정책·절차·거버넌스이며 도구가 일부만 거듭니다.
-- OpenChain-KWG 가이드는 위 프로그램의 실행 안내로, 도구 성숙도와 구축 단계를 제시합니다.
-
-규제 타임라인이 이 작업의 시급성을 정합니다. EU 인공지능법(AI Act)의 고위험 의무와 투명성 의무가 2026-08-02부터 본격 적용되며, Annex IV 기술문서 요구가 G7 클러스터와 상당 부분 겹칩니다. 사이버 복원력법(CRA)은 일반 SBOM 작성을 직접 명령하므로, AI 요소는 일반 SBOM 위에 누적되는 2층 구조로 대응할 수 있습니다. BomLens는 이미 일반 SBOM 층을 담당하므로, AI 층을 더하면 이 2층 구조에 자연스럽게 들어맞습니다.
-
-이 문서가 답하는 질문은 셋입니다. 세 자료가 BomLens에 무엇을 요구하는가, 현재 무엇이 있고 무엇이 없는가, 어떤 도구로 결손을 메울 것인가.
-
-## 2. 세 자료 요구사항 요약
-
-### 2.1 OpenChain AI SBOM 컴플라이언스 가이드 (10개 요구사항)
-
-ISO/IEC 5230과 동일하게 요구사항에서 검증자료, 근거로 이어지는 구조를 따르며, 3.1부터 3.10까지 열 개 조항에 19개 입증자료를 둡니다. 도구 관점에서 핵심은 세 조항입니다.
-
-- **3.5 라이선스 의무**. 코드뿐 아니라 모델 가중치와 학습 데이터셋의 라이선스까지 검토합니다. RAIL, Llama 커뮤니티 라이선스처럼 행동 사용 제한을 담은 비표준 라이선스를 추적해야 합니다.
-- **3.6 투명성 의무**. 생성 프로세스와 학습 데이터 출처·특성을 문서화합니다.
-- **3.9 AI SBOM**. 포맷을 강제하지 않되 AI SBOM의 생성·관리 절차를 갖춥니다. 식별하고 추적·검토·승인한 뒤 보관하는 흐름입니다.
-
-나머지 조항(정책, 역량, 인지, 범위, 접근, 자원, 거버넌스)은 조직 운영 영역으로, 도구가 아니라 사람과 프로세스가 충족합니다.
-
-### 2.2 G7 AI SBOM 최소요소 (7개 클러스터)
-
-| 클러스터 | 요소 수 | 도구 관점의 핵심 |
-|---|---|---|
-| 메타데이터 | 10 | 작성자, 버전, 서명, 타임스탬프, 생성 맥락(빌드 전/빌드/빌드 후) |
-| 시스템 수준 속성 | 9 | 데이터 흐름, 입출력, 외부 API, 에이전트 통신, 웹 그라운딩 |
-| 모델 | 13 | 식별자, 무결성 해시, 학습 속성, 개방성 4축 |
-| 데이터셋 속성 | 10 | 출처, 민감도(PII·저작권), 수집 방법(크롤링·상업계약·합성) |
-| 인프라 | 2 | 소프트웨어 의존성, HBOM 링크 |
-| 보안 속성 | 4 | 암호화, AI 특화 통제, 취약점 참조 |
-| 핵심성과지표 | 2 | 보안 벤치마크, 운영 지표 |
-
-특히 모델 개방성을 open weight, open architecture, open data, open training 네 축으로 분해해 무엇이 공개되었는지 구체적으로 표시하도록 요구합니다. 식별자는 CPE·PURL을 우선하고 UUID·커밋 해시·OmniBOR·SWHID를 허용합니다. 해시는 NIST 승인 알고리즘, 서명은 FIPS 186-5 등 승인 메커니즘, 타임스탬프는 RFC 9557을 권고합니다. 에이전트 자율성(autonomy)은 관할마다 안전 요건이 달라 별도 항목으로 넣지 않았습니다.
-
-전문가 평가는 "최소 요소는 가시성을 만들지만 보증을 만들지 않는다"는 것입니다. 특히 KPI와 보안 속성 클러스터는 조직 간 일관된 측정 기준이 아직 부족합니다.
-
-### 2.3 OpenChain-KWG 운영 가이드 (4단계 + 도구 성숙도)
-
-구축을 네 단계로 안내합니다. 프로그램 기반 수립, AI 확장 프로세스(라이선스·투명성 의무), 운영 체계, 거버넌스입니다. 도구 성숙도 평가가 BomLens에 시사점을 줍니다. 코드·의존성 SBOM 생성과 LLM·AI 패키지 식별, SBOM 저장·취약점 모니터링은 성숙 단계이고, AI 모델 BOM 생성과 모델 바이너리 정적 분석은 도구가 막 등장한 단계이며, 라이선스 의무 해석은 미성숙으로 사람과 정책이 필요하다고 봅니다.
-
-## 3. BomLens 갭 분석
-
-### 3.1 재사용 가능한 기존 자산
-
-AI SBOM으로 확장할 때 새로 만들지 않고 활용할 수 있는 부분입니다.
-
-| 자산 | 위치 | AI SBOM에서의 쓸모 |
-|---|---|---|
-| PURL→CPE 변환 | `docker/lib/normalize-sbom.sh` `VENDORED_CPE_FIX`(L66), `docker/lib/vendored-purl-map.json` | G7의 CPE·PURL 식별자 요구에 직접 대응. 모델 컴포넌트의 CVE 연결에 재사용 |
-| 라이선스 정규화 단일 소스 | `docker/lib/spdx-normalize.jq` | 모델·데이터셋 라이선스 검토의 토대. 비표준 라이선스 매핑 확장 지점 |
-| 적합성 검증 | `docker/lib/validate-sbom.sh`, `_conformance.{json,md,html}` 산출 | G7 최소요소 검사의 확장 지점 |
-| 외부 SBOM 검증·변환 | ANALYZE 모드(`docker/entrypoint.sh` L201-214), `docker/lib/convert-to-cdx.sh` | 외부에서 받은 AIBOM 입력 검증에 재사용 |
-| 고지문·위험 보고서 | `docker/lib/generate-notice.sh`, `docker/lib/generate-risk-report.sh` | 개방성 4축, 비표준 라이선스 표기 출력 지점 |
-| 웹 UI 탭 구조 | `docker/web/frontend/src/components/ResultDashboard.tsx` 외 | 모델·데이터셋 뷰 추가 지점 |
-| 2단계 아키텍처 | 1단계 생성(cdxgen/syft), 2단계 후처리(normalize·notice·security·risk) | AIBOM 생성 엔진을 1단계에 끼우면 후처리를 그대로 재사용 |
-
-### 3.2 핵심 결손
-
-구현이 필요한 부분입니다.
-
-- modelCard·ML-BOM 컴포넌트 타입을 다루지 않습니다. 생성, 정규화, UI 전 구간에 걸칩니다.
-- 모델·데이터셋을 입력으로 받는 모드가 없습니다. HuggingFace 모델 디렉토리, GGUF, Modelfile 입력 경로가 없습니다.
-- 개방성 4축, 데이터셋 출처·민감도(PII·저작권), 시스템 데이터 흐름(에이전트 통신·웹 그라운딩) 필드를 채우지 못합니다.
-- G7 7클러스터를 검사하는 적합성 룰셋이 없습니다.
-
-요약하면 후처리·검증·출력·UI 기반은 갖췄고, AI 고유의 입력 수집과 필드 생성, AI 전용 적합성 룰이 비어 있습니다.
-
-## 4. 포맷 비교와 권고
-
-두 포맷 모두 AI를 1급으로 다루므로 선택의 문제입니다.
-
-| 기준 | CycloneDX 1.6 ML-BOM | SPDX 3.0 AI/Dataset Profile |
-|---|---|---|
-| AI 지원 도입 | v1.5(2023-06) ML-BOM, modelCard 객체 | 3.0(2024-04) AI Profile·Dataset Profile |
-| modelCard 내용 | 아키텍처, 학습·추론 설정, 데이터셋 참조, 성능, 라이선스 | 모델 카드, 민감도, 데이터 수집 정보 |
-| BomLens 적합성 | 전 파이프라인이 CycloneDX 1.6 고정이라 그대로 확장 | 신규 직렬화·검증 경로 필요 |
-| 생성 도구 | cdxgen `aibom`이 CycloneDX로 출력 | 전용 생성 도구 상대적으로 적음 |
-| 식별자 | PURL·CPE 1급 지원, 기존 PURL→CPE 재사용 | SPDX 식별자 체계, 별도 매핑 필요 |
-
-권고는 **CycloneDX 1.6 ML-BOM 유지·확장**입니다. 근거는 셋입니다. 첫째, BomLens 전 파이프라인이 이미 CycloneDX 1.6으로 고정되어 있어 정규화·보안·UI를 그대로 재사용합니다. 둘째, 1차 생성 엔진으로 검토 중인 cdxgen `aibom`이 CycloneDX를 출력합니다. 셋째, G7이 요구하는 CPE·PURL 식별자를 기존 PURL→CPE 변환으로 곧장 충족합니다.
-
-SPDX 3.0 AI Profile은 후순위로 둡니다. 조달이나 상호운용 요구가 생기면 ANALYZE 모드의 `convert-to-cdx.sh` 변환 경로를 역방향(내보내기)으로 확장해 대응하는 편이 비용이 낮습니다. 다만 G7 문서가 "SPDX/CDX 파일의 대응 필드를 가리킬 수 있다"며 두 포맷을 모두 전제하므로, 최종 선택은 실제 수요를 확인한 뒤 확정합니다. CycloneDX 1.x는 1.7(2025-10, ECMA-424 2판)이 마지막 판이므로, 1.6 고정을 유지하되 1.7 필드와의 호환 여부는 확장 시점에 점검합니다.
-
-## 5. 필요 도구 평가
-
-AI SBOM 영역에서 검토 대상 도구와 BomLens 2단계 아키텍처에 붙는 지점입니다.
-
-- **cdxgen `aibom`** — HuggingFace PURL·URL, Modelfile, GGUF에서 CycloneDX AI/ML BOM을 생성합니다. BomLens가 이미 cdxgen 언어 이미지를 1단계 생성 엔진으로 쓰므로, AIBOM 생성 모드의 1차 엔진으로 가장 적합합니다. 생성 결과를 기존 후처리에 그대로 넘길 수 있습니다.
-- **OWASP AIBOM Generator** — HuggingFace 모델에서 CycloneDX를 생성하고 완전성 점수를 매깁니다. 완전성 점수 개념은 G7 적합성 검사 설계에 참고할 만합니다.
-- **Lab700x AI SBOM Scanner** — 모델 바이너리 정적 분석 도구로, 도구가 막 등장한 단계입니다. 펌웨어 분석에서 cve-bin-tool을 쓴 것과 같은 방식으로, 필요 시 opt-in 이미지에 후보로 검토합니다.
-- **Syft·Trivy** — AI·LLM 패키지(예: transformers, llama.cpp) 식별과 취약점 매칭은 이미 성숙 단계입니다. 기존 IMAGE/BINARY 모드에서 그대로 활용됩니다.
-
-펌웨어 분석에서 적용한 역할 분리 원칙이 여기서도 유효합니다. 모델·데이터셋 메타데이터 수집은 전용 도구(cdxgen `aibom`)에 맡기고, 식별·라이선스·CVE·검증은 BomLens가 이미 가진 후처리로 처리합니다.
-
-## 6. 우선 역량 3종 로드맵
-
-사용자가 선택한 세 역량을, 기존 자산 재사용 비중과 의존 관계로 정렬했습니다.
-
-| 역량 | 신규 구현 비중 | 기존 자산 재사용 | 의존 |
-|---|---|---|---|
-| G7 최소요소 적합성 검사 | 중 | `validate-sbom.sh`, `_conformance.*` 산출 패턴 | 낮음(독립 착수 가능) |
-| 모델·데이터셋 라이선스 검토 | 중 | `spdx-normalize.jq`, 고지문·위험 보고서 | 낮음 |
-| AIBOM 생성 모드 | 높음 | 2단계 아키텍처, 후처리 전체 | cdxgen `aibom` 통합 필요 |
-
-권고 착수 순서는 적합성 검사부터입니다. 외부에서 받은 AIBOM(또는 cdxgen으로 만든 샘플)을 G7 7클러스터 기준으로 점검하는 기능은 의존이 적고, 우리가 무엇을 생성해야 하는지 기준을 먼저 세워 줍니다. 이 기준이 곧 AIBOM 생성 모드의 출력 명세가 됩니다.
-
-1. **G7 최소요소 적합성 검사**. `validate-sbom.sh`를 확장해 입력 SBOM이 AIBOM일 때 7클러스터 필드 커버리지를 점검하고 `_conformance.*` 리포트로 출력합니다. 모델 식별자(CPE·PURL), 무결성 해시, 개방성 4축, 데이터셋 출처 필드의 존재 여부를 검사 항목으로 둡니다.
-2. **모델·데이터셋 라이선스 검토**. `spdx-normalize.jq`에 RAIL, Llama 커뮤니티 라이선스와 개방성 4축 표기를 추가하고, 고지문과 위험 보고서에 비표준 라이선스와 행동 사용 제한 조항을 표시합니다. 해석의 한계는 7절에 명시합니다.
-3. **AIBOM 생성 모드**. cdxgen `aibom`을 1차 엔진으로 HuggingFace 모델 디렉토리·GGUF·Modelfile 입력을 CycloneDX 1.6 ML-BOM으로 생성하고, 기존 후처리 파이프라인에 합류시킵니다. 가장 큰 신규 작업이며, 앞의 두 역량이 만든 검사·라이선스 기준을 출력 목표로 삼습니다.
-
-각 역량은 독립적으로 가치를 내므로 한 번에 모두 구현할 필요는 없습니다.
-
-## 7. 도구로 해결되지 않는 영역
-
-세 자료가 공통으로 강조하는 한계입니다. BomLens가 자동화할 수 없으니 문서와 UI에서 과장하지 않아야 합니다.
-
-- **비표준 라이선스 해석**. RAIL이나 Llama 커뮤니티 라이선스의 행동 사용 제한이 특정 용도에 적용되는지는 법무·정책 판단입니다. 도구는 조항의 존재를 표시할 뿐, 준수 여부를 보장하지 못합니다.
-- **라이선스 드리프트**. 학술 연구에 따르면 모델이 파생·전이될 때 제한 조항의 상당 부분이 손실되고 ML 고유 의무는 극히 일부만 보존됩니다. 모델 트리를 따라 의무를 추적하려면 사람의 검토가 필요합니다.
-- **데이터셋 출처 검증**. 수집 방법(크롤링·상업계약·합성)과 PII·저작권 민감도는 메타데이터를 채울 수는 있어도 그 진위를 도구가 검증하기 어렵습니다.
-
-OpenChain 가이드가 "생성은 도구로, 해석은 사람으로"라고 정리한 부분이 이것입니다. BomLens의 역할은 가시성을 만드는 데까지이며, 보증은 조직의 정책과 거버넌스가 맡습니다.
-
-## 8. 권고 요약과 다음 단계
-
-- 포맷은 CycloneDX 1.6 ML-BOM 확장을 기본으로 하고, SPDX 3.0 AI Profile은 수요 확인 후 내보내기 확장으로 후순위 대응합니다.
-- 우선 역량은 적합성 검사, 라이선스 검토, AIBOM 생성 순으로 착수하기를 권고합니다. 적합성 검사가 생성의 출력 명세를 먼저 세워 줍니다.
-- 1차 생성 엔진은 cdxgen `aibom`이 가장 적합합니다. 기존 cdxgen 통합과 CycloneDX 출력, 2단계 아키텍처에 그대로 맞물립니다.
-- 자동화 한계(비표준 라이선스 해석, 라이선스 드리프트, 데이터셋 출처 검증)는 문서와 리포트에서 명확히 선을 그어, 도구가 보증을 준다는 인상을 주지 않습니다.
-
-미결정 사항은 둘입니다. 최종 포맷(CycloneDX 단독 vs SPDX 병행)과 첫 구현 역량의 범위입니다. 이 두 가지를 정하면 해당 역량의 구현 설계 문서를 별도로 작성합니다.
-
-> 외부 등록·노출 전략은 [외부 등록 채널](seo-external-listings.md)을, AI SBOM 기능을 더했을 때의 CycloneDX Tool Center 역량 표기 갱신은 같은 문서를 참고하세요.
-
----
-
-### 출처
-
-- OpenChain AI SBOM 컴플라이언스 가이드: ,
-- G7 AI SBOM 최소요소:
-- cdxgen AIBOM 기능:
-- CycloneDX 명세(ML-BOM, modelCard):