제134회 정보관리기술사 4교시 1번 — EU AI Act 위험 기반 규제 프레임워크와 AI 거버넌스

Table of Contents

제134회 정보관리기술사 4교시 1번 | EU AI Act와 AI 거버넌스

2024년 8월 발효된 EU AI Act(유럽 AI 규제법)는 세계 최초의 포괄적 AI 규제 프레임워크로, 위험 수준에 따라 AI 시스템을 분류하고 의무사항을 부과합니다. 국내외 AI 시스템 개발·운영에 직접적 영향을 미칩니다.

1. EU AI Act 개요

1-1. 제정 배경 및 목적

AI 기본권 보호: 기본권·민주주의·법치주의 훼손 방지
신뢰할 수 있는 AI: 인간 중심 AI 발전 촉진
단일 시장 규제: EU 내 AI 규제 파편화 방지
역외 적용: EU 시민에게 영향을 미치는 전 세계 AI 시스템에 적용

2. AI 위험 분류 체계 (4단계)

위험 등급	정의	예시	규제 수준
허용 불가(Prohibited)	허용되지 않는 AI 관행	사회신용 점수, 실시간 공공 생체인식, 서브리미널 조작	전면 금지
고위험(High-Risk)	기본권·안전에 중대한 영향	의료기기, 채용 AI, 신용 평가, 사법 판결 지원	엄격한 적합성 평가·등록 의무
제한적 위험(Limited-Risk)	투명성 의무만 부과	챗봇, 딥페이크 생성 AI	AI임을 고지할 의무
최소 위험(Minimal-Risk)	규제 의무 없음	스팸 필터, AI 게임, 추천 시스템	자율 규제 권장

3. 고위험 AI 의무사항

3-1. 기술적 요건

위험 관리 시스템: 전 수명주기 위험 식별·평가·완화
데이터 거버넌스: 학습 데이터 품질 관리, 편향 탐지
기술 문서화: 시스템 설계·성능 특성 상세 문서 유지
로그 보관: 작동 로그 자동 기록·보존(최소 6개월)
투명성: 사용 목적·역량·한계를 사용자에게 명확히 고지
인간 감독: 인간이 개입·검토·중단할 수 있는 설계
정확성·강건성: 성능 지표 및 사이버 보안 수준 요건 충족

3-2. GPAI (범용 AI) 모델 규제

GPT-4·Claude·Gemini 같은 GPAI 모델에 대한 별도 의무사항이 적용됩니다.

구분	의무사항
일반 GPAI 모델	기술 문서 제공, 저작권법 준수, 학습 데이터 요약 공개
시스템적 위험 GPAI (계산량 10^25 FLOPs 초과)	추가적으로: 적대적 테스트·레드팀, 사이버 보안 보호, 심각한 사고 보고 의무

4. AI 거버넌스 프레임워크

4-1. 기업 수준 AI 거버넌스 구성요소

구성요소	내용
AI 윤리 원칙	공정성·투명성·책임성·프라이버시·안전성 원칙 수립
AI 위험 관리	AI 위험 등록부, 영향 평가(AIIA) 수행
AI 거버넌스 위원회	AI 시스템 검토·승인·감독 의사결정 기구
AI 모델 카드	모델 용도·성능·한계·편향 정보 표준화 문서
AI 감사	내부·외부 AI 시스템 정기 감사, 설명 가능성 검증

4-2. 국내 AI 관련 법제 현황

AI 기본법(2024년 제정): AI 윤리·신뢰 원칙, 고영향 AI 사업자 의무
개인정보보호법: AI 자동화 의사결정 거부권, 프로파일링 규제
지능정보화 기본법: 신뢰할 수 있는 AI 추진 근거

5. EU AI Act 대응 전략

AI 인벤토리 구축: 조직 내 모든 AI 시스템 분류·위험 등급 평가
고위험 AI 적합성 평가: CE 마킹 절차(내부 통제 또는 제3자 인증)
AI 문서화 체계: 기술 문서·로그·투명성 보고서 자동화
인간 감독 설계: Human-in-the-Loop(HITL) 프로세스 내재화

6. 결론

EU AI Act는 ‘위험 기반 규제(Risk-Based Approach)’로 혁신과 안전의 균형을 추구합니다. 국내 기업도 EU 시장 진출 시 적합성 평가를 준비하고, AI 거버넌스 체계를 미리 구축하는 것이 경쟁력의 핵심이 됩니다.