Ch1. 리스크 거버넌스
위험 식별부터 승인·예외·추적까지 운영 가능한 구조로 만드는 방법
보안 수준은 기술 난이도보다 의사결정 구조에서 결정됩니다. 핵심은 "누가 어떤 리스크를 언제 어떤 근거로 수용했는지"를 재현 가능한 방식으로 남기는 것입니다.
리스크 운영 모델
| 단계 | 질문 | 산출물 |
|---|---|---|
| 식별 | 무엇이 깨지면 사업이 멈추는가 | 핵심 자산 목록 |
| 분석 | 발생 가능성과 영향은 어느 수준인가 | 고유 리스크 점수 |
| 통제 | 어떤 통제가 리스크를 낮추는가 | 통제 카탈로그 |
| 승인 | 누구의 승인으로 운영할 것인가 | 수용/완화 결정 |
| 추적 | 잔여 리스크가 허용 범위 내인가 | 월간 리스크 리포트 |
점수화 기준
- Likelihood: 1~5 (빈도)
- Impact: 1~5 (재무·운영 영향)
- Exploitability: 1~5 (악용 난이도 역수)
| 점수 구간 | 분류 | 운영 원칙 |
|---|---|---|
| 1~24 | Low | 팀 단위 처리 |
| 25~59 | Medium | 보안 리뷰 의무 |
| 60~89 | High | 릴리스 전 통제 완료 |
| 90~125 | Critical | 임원 승인 전 배포 금지 |
리스크 Heat Map
아래 다이어그램은 Likelihood(빈도)와 Impact(영향)의 조합으로 리스크 등급을 시각화합니다.
Risk Appetite(리스크 허용한계) 설정
| 리스크 영역 | 허용한계(예시) | 초과 시 조치 |
|---|---|---|
| 고객 데이터 유출 | 0건(무관용) | 즉시 서비스 제한 + 사건 대응 |
| 고위험 권한 오남용 | 분기 1건 이하 | 권한 모델 재설계 |
| 감사 미증빙 통제 | 2건 이하 | 2주 내 개선 계획 제출 |
| 정책 우회 시도 성공 | 0.1% 이하 | 가드레일 강화 + 릴리즈 중단 검토 |
의사결정 체계(RACI)
| 활동 | 제품팀 | 보안팀 | 플랫폼팀 | 경영진 |
|---|---|---|---|---|
| 리스크 등록 | R | C | C | I |
| 통제 설계 | C | A | R | I |
| 예외 승인 | I | R | C | A |
| 월간 리뷰 | C | R | C | A |
- R: Responsible
- A: Accountable
- C: Consulted
- I: Informed
월간 거버넌스 루프
리스크 변화 수집
- 신규 기능, 외부 벤더, 권한 변경 이슈를 등록합니다.
- 리스크 오너와 다음 검토일을 지정합니다.
잔여 리스크 재산정
- 통제 상태를 반영해 점수를 업데이트합니다.
- 변경 전/후 리스크를 비교해 추세를 기록합니다.
허용 기준 비교
- Risk appetite를 초과한 항목을 식별합니다.
- 초과 사유가 "일시"인지 "구조"인지 분류합니다.
승인/완화 결정
- 수용(accept), 완화(mitigate), 회피(avoid), 이전(transfer)로 분류합니다.
- 예외 승인 시 보상 통제와 만료일을 필수로 둡니다.
규제 동향 및 거버넌스 영향
EU AI Act 시행 현황 (2026)
EU AI Act는 단계적으로 시행되며, 각 시행 시점에 맞춰 거버넌스 체계를 조정해야 합니다.
| 시행 시점 | 내용 | 거버넌스 조치 |
|---|---|---|
| 2025-02-02 | Article 5: 금지 AI 시스템, AI 리터러시 의무 | 금지 항목 비해당성 자체 점검, 임직원 AI 리터러시 교육 이수 확인 |
| 2025-08-02 | 범용 AI(GPAI) 모델 핵심 의무 | 모델 카드, 저작권 정책, 학습 데이터 요약, 평가·사고 보고 절차 준비 |
| 2026-08-02 | 고위험 AI 시스템 주요 의무 및 일반 적용 | 리스크 관리 시스템, 데이터 거버넌스, 기술 문서, 인적 감독 체계 구축 |
| 2027-08-02 | 일부 기존 GPAI·고위험 제품 전환 일정 | 기존 모델·제품의 전환 계획과 잔여 Gap 추적 |
Article 5 즉시 점검 필요
2025년 2월 2일부터 금지 AI 시스템 조항이 시행 중입니다. 자사 AI 서비스가 아래 금지 항목에 해당하지 않는지 즉시 확인하세요:
- 소셜 스코어링 기반 불이익 부여
- 실시간 원격 생체인식(법 집행 예외 제외)
- 감정 인식 기반 의사결정(직장·교육 환경)
- 취약 계층 대상 조작적 AI 기법
- 인터넷/CCTV 영상 무차별 수집을 통한 안면인식 DB 구축
한국 AI 기본법 동향
한국 AI 기본법은 2026년 1월 22일부터 시행 중입니다. 한국 시장 대상 AI 서비스를 운영하는 경우 법령·시행령·고시 기준으로 아래 항목을 운영 레지스터에 반영해야 합니다.
| 추적 항목 | 현재 상태 | 대응 조치 |
|---|---|---|
| 고영향 AI 해당 여부 | 시행령·고시 기준 적용 | 자사 서비스의 고영향 AI 해당 여부를 분류하고 근거 문서화 |
| 투명성·이용자 고지 | 생성형 AI·고영향 AI 고지 체계 필요 | AI 생성 콘텐츠 표시, AI 의사결정 개입 여부, 이용자 문의 경로 점검 |
| 안전성 확보 조치 | 사업자 책임과 신뢰성 확보 요구 | 위험관리, 테스트, 로그, 인적 감독 절차를 통제 카탈로그에 등록 |
| 사고·피해 대응 | 내부 대응과 관계기관 협의 경로 필요 | Ch7 사고 대응 절차에 법무 검토, 고객 통지, 관계기관 상담 경로 반영 |
선제 대응 전략
국내 의무는 서비스 유형과 고영향 AI 해당 여부에 따라 달라집니다. EU AI Act의 고위험 AI 요구사항을 그대로 복사하기보다, 국내 분류 결과와 고객 영향도를 기준으로 증빙 범위를 조정하세요.
운영 체크리스트
- 리스크 레지스터에 소유자/만료일/다음 검토일이 존재하는가
- 예외 승인 항목에 보상 통제가 문서화되어 있는가
- High 이상 리스크가 릴리스 게이트와 연결되어 있는가
- 경영진 리포트가 기술 용어가 아닌 사업 영향 중심으로 작성되어 있는가
- EU AI Act Article 5 금지 항목 자체 점검을 완료했는가
- 한국 AI 기본법 기준으로 고영향 AI 해당 여부와 이용자 고지 체계를 점검했는가
완료 산출물
Ch1 완료 기준
이 장을 적용한 뒤에는 AI System Register, Risk Register, Risk Appetite, RACI, 월간 리스크
리뷰 일정이 남아 있어야 합니다.