[제138회 정보관리기술사 1교시 1번] AI RMF — NIST AI 위험관리 프레임워크 완전 정복

by
📌 원문 문제

미국 국립표준기술연구소에서 발행한 AI RMF(Risk Management Framework)의 개념과 4가지 핵심구조, 7가지 신뢰 가능한 특성을 설명하시오.

🔍 출제 의도 분석

이 문제는 AI 거버넌스의 국제 표준인 NIST AI RMF를 묻는 문제입니다. 2023년 1월 발행 이후 전 세계 기업과 정부의 AI 리스크 관리 기준서로 자리잡았고, 국내에서도 2026년 1월 시행된 「인공지능기본법」과 맞물려 출제 빈도가 높아지고 있습니다. 단순 암기가 아니라 각 구조가 왜 그 순서로 존재하는지를 이해하면 응용 문제에도 대응할 수 있습니다.

1. AI RMF란 무엇인가

AI RMF(AI Risk Management Framework)는 미국 NIST(National Institute of Standards and Technology, 국립표준기술연구소)가 2023년 1월 발행한 자발적 AI 위험관리 지침서입니다. 법적 구속력은 없지만, AI를 개발·배포·운영하는 모든 조직이 참고할 수 있도록 설계된 범용 프레임워크입니다.

핵심 목표는 명확합니다. “AI 시스템이 사회에 이로운 방식으로 작동하도록 위험을 체계적으로 관리하자”는 것입니다. 기존의 사이버보안 프레임워크(CSF)와 유사한 구조를 갖추고 있어 보안 분야 실무자들에게는 진입 장벽이 낮은 편입니다.

GOVERN 거버넌스 MAP 위험 식별 MEASURE 위험 측정 MANAGE 위험 대응 지속적 개선 사이클

▲ AI RMF 4대 핵심구조의 순환 구조

2. 4가지 핵심구조 (Core Functions)

AI RMF의 4개 기능은 독립적으로 존재하는 것이 아니라, 지속적으로 순환하는 개선 사이클을 형성합니다. GOVERN이 전체 기반을 제공하고, MAP → MEASURE → MANAGE 순서로 위험을 다룹니다.

① GOVERN (거버넌스) — “어떻게 관리할 것인가의 기반을 세운다”

가장 먼저 구축해야 할 토대입니다. 조직 전체가 AI 위험을 얼마나 심각하게 받아들이는지, 책임자는 누구인지, 예산은 어떻게 배분할지를 결정합니다. 아무리 훌륭한 측정 도구가 있어도 거버넌스가 없으면 유명무실합니다.

  • AI 위험관리 정책·절차·역할 정의
  • 이해관계자(개발팀, 경영진, 사용자, 규제기관) 참여 체계 수립
  • AI 위험에 대한 조직 문화 조성 및 훈련 프로그램 운영

② MAP (식별) — “어떤 위험이 어디에 있는지 파악한다”

AI 시스템의 목적, 사용 환경, 이해관계자를 파악하고, 잠재적 위험을 체계적으로 식별·분류합니다. 지도(Map)를 그리지 않고는 길을 찾을 수 없듯, 위험도 먼저 파악해야 대응이 가능합니다.

  • AI 시스템의 목적·범위·배포 환경 문서화
  • 편향, 오류, 오용, 데이터 품질 등 위험 요소 식별
  • 위험의 영향 범위 분류 (개인 vs 조직 vs 사회)

③ MEASURE (측정) — “위험의 크기와 심각도를 수치로 파악한다”

식별된 위험을 정량적·정성적 방법으로 측정하여 우선순위를 결정합니다. 느낌이 아닌 데이터 기반의 의사결정을 위한 단계입니다.

  • AI 성능 지표, 편향 지표, 보안 취약점 측정 도구 활용
  • Red-team 테스팅, AI 감사(Audit) 수행
  • 위험 수준 정량화 및 허용 기준(Risk Appetite) 대비 비교

④ MANAGE (대응) — “위험에 실제로 대처하고 지속 모니터링한다”

측정된 위험에 대한 대응 계획을 실행하고, 지속적으로 모니터링하며 결과를 GOVERN과 MAP에 피드백합니다.

  • 위험 대응 전략 수립: 수용(Accept), 회피(Avoid), 경감(Mitigate), 전가(Transfer)
  • AI 인시던트 대응 절차 수립 및 훈련
  • 위험관리 결과 문서화 및 지속적 개선 실행
기능 핵심 질문 주요 활동 산출물
GOVERN 어떻게 관리? 정책·조직·문화 수립 AI 위험 정책서
MAP 위험이 뭐가 있나? 맥락 파악, 위험 식별 위험 레지스터
MEASURE 얼마나 심각한가? 측정·분석·우선순위화 위험 평가 보고서
MANAGE 어떻게 대응하나? 대응 실행·모니터링 대응 계획·결과 보고

3. 7가지 신뢰 가능한 AI 특성 (Trustworthy AI)

NIST는 신뢰할 수 있는 AI가 갖추어야 할 7가지 특성을 제시합니다. 이 특성들은 서로 긴밀하게 연결되어 있으며, 어느 하나가 결여되면 전체 신뢰성이 흔들립니다.

신뢰할 수 있는 AI ① 유효성·신뢰성 ② 안전성 ③ 보안성 ④ 설명가능성 ⑤ 프라이버시 ⑥ 공정성 ⑦ 책임·투명성

▲ 7가지 신뢰 가능한 AI 특성

  1. 유효성 및 신뢰성 (Valid & Reliable): 의도된 목적에 맞게 일관되고 정확하게 동작. 테스트 환경과 실 환경의 성능 괴리를 최소화
  2. 안전성 (Safe): 의도하지 않은 피해를 유발하지 않아야 함. 의료·자율주행 등 고위험 영역에서는 페일세이프(Fail-safe) 메커니즘 필수
  3. 보안성 및 복원력 (Secure & Resilient): 적대적 공격(Adversarial Attack), 데이터 포이즈닝에 대한 방어 능력과 침해 후 빠른 복구 능력
  4. 설명 가능성 (Explainable & Interpretable): AI의 판단 근거를 인간이 이해할 수 있는 방식으로 제공. XAI 기법 적용이 핵심
  5. 프라이버시 강화 (Privacy-enhanced): 학습·추론 과정에서 개인정보 보호. 차분 프라이버시, 연합학습 등 PET 기법 활용
  6. 공정성 (Fair): 특정 집단에 대한 차별적 결과를 방지. 알고리즘 편향을 지속 모니터링·개선
  7. 책임성 및 투명성 (Accountable & Transparent): AI 의사결정에 대한 책임 주체 명확화. 이해관계자에 충분한 정보 공개

4. 합격을 위한 핵심 정리

✅ 암기 키워드:

  • 4대 구조: 거(GOVERN) → 식(MAP) → 측(MEASURE) → 관(MANAGE)
  • 7대 특성: 유·안·보·설·프·공·책 (유효·안전·보안·설명·프라이버시·공정·책임)
  • 연계 법령: 국내 「인공지능기본법」(2026.1.22. 시행)과 함께 출제 예상

Leave a Comment