업데이트 내역
AI 보안·컴플라이언스 운영 핸드북 변경 로그
이 문서는 본 핸드북의 내용 변경과 반영 근거를 추적합니다.
최종 업데이트
2026년 5월 4일
운영 원칙
- 변경은 항상 근거 링크 + 영향 챕터를 함께 기록
- 정책/표준 변경은 검증 문서(
verification)와 동시 갱신 - 문장 개선만 수행한 경우에도 변경 목적을 남김
변경 기록
2026-05-04 (보안 운영 지도 삽화 추가)
변경 요약
- 표지와 Ch1~Ch8에
ImageZoom삽화 9장을 추가 - 삽화 스타일을 웜 모노라인 블루프린트 톤으로 통일하고, 화면에 보이는 캡션 없이 접근성
alt만 제공 - 생성 이미지를
/images/ai-security-compliance/경로의 1600x900 JPG 에셋으로 저장 - index: updatedAt 갱신(2026-05-04)
영향 챕터
index.mdxrisk-governance.mdxdata-protection.mdxsecure-architecture.mdxprompt-injection.mdxaccess-control.mdxaudit-readiness.mdxincident-response.mdxboard-reporting.mdxupdates.mdx
2026-05-03 (규제 최신화 + 운영 흐름 정리)
변경 요약
- index: updatedAt 갱신,
AI System Register → Data Inventory → Risk Register → Control Catalog → Evidence Map → Incident Runbook → Board Pack산출물 체인 추가, 한국 AI 기본법·OWASP 명칭 업데이트 - Ch1 리스크 거버넌스: EU AI Act 적용 일정 정정(Article 5/AI 리터러시 2025-02-02, GPAI 핵심 의무 2025-08-02, 고위험 AI 주요 의무 2026-08-02), 한국 AI 기본법을 2026-01-22 시행 기준으로 재정리
- Ch2~Ch8: 각 장 끝에 완료 산출물 기준 추가, Ch3/Ch4/Ch7은 핵심 운영 흐름을 앞부분에 추가
- Ch4/Ch5: OWASP Top 10 for LLM Applications 2025 및 LLM06 Excessive Agency 명칭으로 정리
- Ch6/Ch7: 국내 AI 기본법 관련 감사·사고 대응 표현을 고영향 AI와 관계기관 상담·보고 판단 흐름 중심으로 수정
- verification: 검증 기준일, 페이지 수, 외부 근거 링크, 규제 최신성 검증 항목 갱신
영향 챕터
index.mdxrisk-governance.mdxdata-protection.mdxsecure-architecture.mdxprompt-injection.mdxaccess-control.mdxaudit-readiness.mdxincident-response.mdxboard-reporting.mdxverification.mdxupdates.mdx
근거 링크(공식)
- EU AI Act Implementation Timeline: https://ai-act-service-desk.ec.europa.eu/en/ai-act/eu-ai-act-implementation-timeline
- EU AI Act Article 113: https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-113
- 한국 AI 기본법: https://www.law.go.kr/LSW/lsInfoP.do?efYd=20260122&lsiSeq=282791
- 정책브리핑 AI 기본법 시행 안내: https://www.korea.kr/news/policyNewsView.do?newsId=148958380
- OWASP Top 10 for LLM Applications 2025: https://genai.owasp.org/llm-top-10/
2026-03-26 (규제·위협 동향 업데이트)
변경 요약
- Ch1 리스크 거버넌스: EU AI Act 금지 AI 시스템 조항 및 Annex III 고위험 요구사항 타임라인 추가, 한국 AI 기본법 추적 항목 및 선제 대응 전략 추가, 운영 체크리스트에 규제 점검 항목 추가
- Ch3 보안 아키텍처: AI 공급망 보안 섹션 신설 — 파인튜닝 데이터 오염, 모델 가중치 변조, 서드파티 도구 악용 등 공급망 위협 맵과 통제 매트릭스 추가, 모델 무결성 검증 파이프라인(서명/해시/런타임 검증) Steps 추가, 아키텍처 리뷰 질문 2건 추가
- Ch4 프롬프트 인젝션: OWASP LLM 위험 항목 대응 매핑 테이블 추가, LLM06 과도한 에이전시 경고 Callout 추가, 보안 도구 섹션 신설(PyRIT/Counterfit/Garak/ART 레드팀 도구, MITRE ATLAS/OWASP/NIST AI RMF 위협 인텔리전스 프레임워크)
- Ch5 접근제어: AI 에이전트 보안 위협 섹션 신설 — 도구 호출 조작, 과도한 에이전시, 권한 에스컬레이션, 에이전트 간 공격 전파, 세션 하이재킹 등 6가지 공격 벡터와 방어 통제, 에이전트 보안 설계 3원칙(최소 도구 연결/호출 전 검증/행동 모니터링) Steps 추가
- Ch6 감사 준비도: EU AI Act 컴플라이언스 매핑(Article 5~15 요구사항별 시행 시점/필요 증빙/통제 매핑) 추가, 한국 AI 기본법 감사 대비 항목 추가
- index: updatedAt 갱신(2026-03-26), 컴플라이언스 프레임워크 매핑에 OWASP v2.0/한국 AI 기본법/MITRE ATLAS 추가, EU AI Act 매핑 상세화
영향 챕터
index.mdxrisk-governance.mdxsecure-architecture.mdxprompt-injection.mdxaccess-control.mdxaudit-readiness.mdxupdates.mdx
근거 링크(공식)
- EU AI Act Article 5 시행: https://eur-lex.europa.eu/eli/reg/2024/1689
- OWASP Top 10 for LLM Applications 2025: https://genai.owasp.org/llm-top-10/
- MITRE ATLAS: https://atlas.mitre.org/
- PyRIT: https://github.com/Azure/PyRIT
- 한국 AI 기본법: 국회 본회의 통과 (2026-01)
2026-03-12 (2차 개선: 미개선 챕터 + 구조 개선)
변경 요약
- Ch2 데이터 보호: PIA 프로세스 Steps, 국외이전/위탁 통제 매트릭스, 한국 개인정보보호법 매핑, Data Retention Score FormulaCalc, 수명주기별 암호화 기준 Tabs, AI 학습 데이터 관리 Callout 추가
- Ch4 프롬프트 인젝션: 레드팀 운영 절차 Steps, RAG Trust Score FormulaCalc, 멀티턴 감지 Mermaid 플로차트, 공격 유형별 방어 매핑 Tabs(4유형), 실전 사고 시나리오 테이블(5건) 추가
- Ch7 사고 대응: AI 특화 사고 유형(6유형), 시나리오별 런북 Tabs(3시나리오), 고객 커뮤니케이션 템플릿, 규제기관 보고 체크리스트, Tabletop Exercise 가이드, Incident Cost FormulaCalc, 사고 대응 성숙도 Mermaid 추가
- 신규: glossary.mdx 용어집 부록(43개 용어, 7개 카테고리) 생성
- index: "오늘 시작하는 5가지" 퀵스타트 섹션 추가
- Ch1~Ch8 전 챕터: 하단 "관련 챕터" Cards 링크 추가
- meta.json: glossary 등록, 구분선 "부록"으로 변경
영향 챕터
index.mdxdata-protection.mdxprompt-injection.mdxincident-response.mdxglossary.mdx(신규)meta.json- 전 챕터(Ch1~Ch8) 관련 링크 추가
2026-03-12 (1차 개선: 주요 챕터 고도화)
변경 요약
- Ch1 리스크 거버넌스: 월간 거버넌스 루프 Mermaid 플로차트, 리스크 히트맵 다이어그램 추가
- Ch3 보안 아키텍처: Attack Surface Score FormulaCalc, Zero Trust 구현 가이드, 신뢰경계 다이어그램, 네트워크 분리 패턴, Policy as Code(OPA), 위협 모델 테이블, 배포 보안 체크리스트 추가
- Ch5 접근제어·비밀관리: 아이덴티티 계층 Mermaid 다이어그램, 에이전트 아이덴티티 생명주기, 토큰 범위 매트릭스, Zero Trust for Agents, Secret Exposure Window FormulaCalc, 비밀관리 도구 비교 Tabs 추가
- Ch6 감사 준비도: 컴플라이언스 프레임워크 매핑(SOC 2/ISO 27001/ISMS), 감사 타임라인, Gap Closure Rate FormulaCalc, AI 기업 감사 지적사항 테이블, 증빙 자동화 가이드, 지속적 컴플라이언스 다이어그램 추가
- Ch8 경영진 보고: ALE/ROI FormulaCalc, 월간/분기/연간 보고서 템플릿 Tabs, 리스크 커뮤니케이션 프레임워크, 에스컬레이션 매트릭스 추가
- index: 컴플라이언스 프레임워크 매핑 테이블(ISO 27001/SOC 2/NIST AI RMF/OWASP/ISMS/EU AI Act) 추가
- verification: 신규 검증 항목 5건 및 반례 시나리오 2건 추가
영향 챕터
index.mdxrisk-governance.mdxsecure-architecture.mdxaccess-control.mdxaudit-readiness.mdxboard-reporting.mdxverification.mdxupdates.mdx
2026-02-12
변경 요약
- 신규 핸드북 초판 발행
- 리스크 점수/감사 증빙/사고 대응/경영보고 체계 포함
- 시각 자료(Mermaid) 및 수식(FormulaCalc 포함) 적용
영향 챕터
index.mdxrisk-governance.mdxdata-protection.mdxsecure-architecture.mdxprompt-injection.mdxaccess-control.mdxaudit-readiness.mdxincident-response.mdxboard-reporting.mdxverification.mdx
2026-02-12 (고도화 개정)
변경 요약
- 운영 성숙도 모델(L1~L4) 및 90일 고도화 로드맵 추가
- Risk Appetite 기반 거버넌스 기준과 반례 시나리오 검증 항목 추가
- 프롬프트 인젝션 방어 지표(ASR/False Block Rate) 및 레드팀 주기 명문화
영향 챕터
index.mdxrisk-governance.mdxprompt-injection.mdxverification.mdx
업데이트 템플릿
### YYYY-MM-DD
**변경 요약**
- ...
**영향 챕터**
- `...`
**근거 링크(공식)**
- ...