📌 원문 문제
ISO/IEC 42001:2023
출제 의도 분석
2023년 12월 공표된 세계 최초의 AI 관리시스템 국제표준입니다. AI RMF(1번)와 함께 AI 거버넌스 관련 표준으로 묶어서 출제된 것이 특징적입니다. ISO 27001(보안)과의 구조적 유사성을 이해하면 답안 작성이 훨씬 수월합니다.
1. 개념 및 등장 배경
ISO/IEC 42001:2023은 조직이 AI 시스템을 책임감 있게 개발·제공·사용하기 위한 요구사항을 규정한 국제 표준입니다. AI 기술의 급속한 확산과 함께 윤리·안전·투명성에 대한 사회적 요구가 높아지면서, 2023년 12월 ISO/IEC JTC 1/SC 42에서 공표하였습니다.
기존 ISO 9001(품질), ISO 27001(보안) 등과 마찬가지로 PDCA(Plan-Do-Check-Act) 사이클에 기반한 관리시스템 프레임워크를 채택하고 있어, 기존 경영시스템과 통합 운영이 가능합니다.
2. 적용 범위
- AI 시스템을 개발(Developer)하는 조직
- AI 서비스를 제공(Provider)하는 조직
- AI 시스템을 사용(User)하는 조직
- 기업 규모·업종·지역에 관계없이 적용 가능
3. 핵심 요구사항 구조
| 조항 | 내용 |
|---|---|
| 4. 조직의 맥락 | 이해관계자 파악, AI 관리시스템 범위 결정 |
| 5. 리더십 | 최고경영진의 의지, AI 정책 수립 |
| 6. 계획 | AI 위험·기회 식별, 목표 수립 |
| 7. 지원 | 자원·역량·인식·의사소통·문서화 |
| 8. 운영 | AI 영향 평가, AI 시스템 생명주기 통제 |
| 9. 성과 평가 | 모니터링·측정·내부 감사·경영검토 |
| 10. 개선 | 부적합사항 처리, 지속적 개선 |
4. 주요 특징 — AI 특화 요소
- AI 영향 평가(AI Impact Assessment): AI 시스템이 개인·사회에 미치는 영향을 체계적으로 평가
- AI 시스템 생명주기 통제: 설계→개발→배포→운영→폐기 전 단계 관리
- 데이터 품질 관리: 학습 데이터의 편향·품질 통제 요구
- 인간 감독(Human Oversight): 고위험 AI 시스템에 대한 인간 개입 보장
5. ISO 27001과의 비교
| 구분 | ISO/IEC 27001 | ISO/IEC 42001 |
|---|---|---|
| 대상 | 정보보안 관리 | AI 관리시스템 |
| 핵심 위험 | 정보 기밀성·무결성·가용성 | AI 윤리·안전·편향 |
| 공통점 | PDCA 기반, 부속서 A(통제사항), 인증 획득 가능 | |
핵심 정리
ISO/IEC 42001은 AI 거버넌스의 국제 표준으로 자리잡고 있습니다. EU AI Act 등 규제 준수에도 도움이 되며, 기업은 이 표준 인증을 통해 AI 신뢰성을 대외적으로 증명할 수 있습니다.