보안·윤리

AI Governance

AI 거버넌스

AI 활용 분야에서 쓰이는 용어로, 인공지능 도입에 따른 위험을 줄이기 위해 정부·기업이 만드는 법·정책·내부 절차와 운영 책임 체계 일체를 가리키는 표현입니다.

쉬운 풀이

AI 거버넌스는 회사나 정부가 AI를 도입할 때 "어디까지 쓸지, 누가 책임질지, 사고 나면 어떻게 처리할지"를 미리 정해 두는 운영 규칙 묶음이에요. 동아리에서 새 회계 프로그램을 도입할 때 "현금 입출금은 회장이 확인, 5만 원 넘는 지출은 총무가 영수증 등록" 같은 절차를 적어 두는 장면과 비슷합니다. 사양서·결재 라인 없이 AI 도구를 마구 도입하면 데이터가 새거나 잘못된 답이 외부로 나가는 사고가 생기기 때문에, 미리 통제 장치를 설계해 두는 일이라고 보면 돼요. 2026년 한국 AI 기본법이 시행되면 일정 규모 이상 사업자가 의무 대상이 되기 때문에 알아둘 필요가 있어요.

한 줄 비유

사내 결재·감사 체계를 AI 도입에도 그대로 까는 운영 규칙입니다.

활용 예시

Case 1

글로벌 컨설팅 — KPMG ISO/IEC 42001 인증 취득

KPMG 인터내셔널은 2025년 12월 빅4 본부 중 처음으로 ISO/IEC 42001 인증을 취득했다고 발표했습니다 ^[7]. 호주·스페인·인도·미국 멤버펌이 같은 해 함께 인증 절차를 마무리하면서 그룹 차원의 AI 경영시스템을 표준화했고, 외부 기관 BSI 그룹이 심사를 맡았습니다 ^[7]. 대기업·공공 RFP에 "AI 공급사의 거버넌스 표준 보유 여부"가 입찰 조건으로 들어가면서, ISO/IEC 42001은 컨설팅·SI 업계에서 사양서에 박히는 기본 인증으로 자리 잡고 있습니다.

Case 2

한국 — AI 기본법 2026년 1월 22일 시행

국회는 2024년 12월 26일 「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」을 통과시켜 2025년 1월 21일 공포했고, 2026년 1월 22일 시행에 들어갔습니다 ^[5]. 의료 진단·신용평가·채용·공공서비스 등 "고영향 AI" 영역 사업자는 사전 고지·안전성 확보·이용자 보호 조치 의무를 지며, 학습 누적 연산량 10²⁶ FLOP 이상 대형 모델 운영자는 별도 안전성 확보 의무를 이행해야 합니다 ^[5]. 고지 의무 위반 시 3천만 원 이하 과태료가 부과되며, 과학기술정보통신부는 시행 후 일정 기간 계도 기간을 둔다고 밝혔습니다 ^[5][8].

Case 3

엔터프라이즈 — Gartner 조사로 본 AI 거버넌스 위원회 확산

가트너가 2025년 2분기 임원 1,800명 이상을 조사한 결과 55%가 사내 AI 위원회 또는 전담 감독 조직을 운영 중이라고 답했습니다 ^[9]. 같은 해 IT 리더 360명 조사에서는 "생성형 AI 보안·거버넌스를 자신 있게 관리할 수 있다"는 응답이 23%에 그쳐, 위원회 설치와 실제 운영 역량 사이에 격차가 있는 것으로 나타났습니다 ^[9]. 가트너는 AI 거버넌스 플랫폼(정책 관리·로그·모델 등록부) 시장이 2030년까지 10억 달러 규모로 성장할 것으로 전망했습니다 ^[9].

Case 4

한국 개인정보보호위원회 — 공개 개인정보·생성형 AI 처리 안내서

개인정보보호위원회는 2024년 7월 「AI 개발·서비스를 위한 공개된 개인정보 처리 안내서」를 발간해 크롤링 데이터의 적법 처리 기준을 제시했고 ^[10], 2025년 8월 「생성형 AI 개발·활용을 위한 개인정보 처리 안내서」에서 목적 설정·전략 수립·학습·서비스 4단계별 점검 항목을 정리했습니다 ^[10]. 2024년 3월에는 초거대 AI 사업자 10곳을 사전 실태점검한 뒤 OpenAI·구글·메타 등 6개사에 학습 데이터 처리·이용자 권리 보장 항목을 개선하도록 권고한 사례가 공식 보도자료로 공개됐습니다 ^[10].

참고사항

사내에서 사용 중인 AI 도구·API·플러그인을 부서별로 1차 목록화하고 "섀도 AI" 항목을 별도 표시합니다
각 도구별로 입력 데이터·출력 흐름·접근 권한·로그 보관 기간을 1쪽 양식에 정리합니다
ISO/IEC 42001과 NIST AI RMF 1.0 두 문서를 펼쳐 자사 업종에 맞는 통제 항목 10개를 우선 채택 후보로 추립니다
승인·예외·사고 보고 절차를 문서화하고 책임자(C-level 또는 임원급)를 명시한 위임 규정을 결재 라인에 올립니다
분기별 거버넌스 리뷰 일정과 임직원 교육 자료를 사내 위키에 등재하고 EU AI Act·한국 AI 기본법 시행 일정에 맞춘 점검 항목을 추가합니다

AI 거버넌스 체계는 문서·위원회만 갖춘 채 실제 운영과 분리되기 쉽다는 점이 가장 자주 지적됩니다. 가트너 2025년 2분기 IT 리더 360명 조사에서 "생성형 AI 보안·거버넌스를 자신 있게 관리한다"는 응답이 23%에 그쳤고, 같은 해 임원 1,800명 조사에서 AI 위원회 운영 응답이 55%까지 올라온 것과 비교하면 위원회 설치와 실제 통제 능력 사이의 격차가 큰 셈입니다 ^[9]. 모델·플러그인·에이전트가 빠르게 늘어나면 정책이 따라잡지 못하고 섀도 AI가 늘면서 외부 규제 대응이 사후 대응으로 흐를 위험이 있습니다. 미국에서는 2025년 1월 트럼프 행정부가 *Executive Order 14110*을 폐기하고 1월 23일 *Executive Order 14179* "Removing Barriers to American Leadership in Artificial Intelligence"로 대체했고 ^[3], 7월에는 *America's AI Action Plan*을 발표해 연방 차원 규제를 완화하는 방향으로 선회했습니다 ^[11]. 글로벌 사업자는 EU·한국 강한 규제와 미국 완화 기조 사이에서 거버넌스 정책을 각자 영역별로 분리 운영해야 하는 부담을 안게 됐습니다.

표준·법령은 빠르게 정렬되는 중입니다. 2024년 5월 개정된 OECD AI 원칙은 범용·생성형 AI 관련 사항을 보강했고 ^[6], EU AI Act는 2024년 8월 발효 후 2025년 2월 금지 사례 시행을 시작으로 2025년 8월 범용 AI(GPAI) 사업자 의무 적용, 2026년 8월 본격 시행 단계에 들어갑니다 ^[4]. 한국은 2026년 1월 22일 AI 기본법 시행과 동시에 시행령·고시가 정비되고 있고, 과기정통부는 시행 직후 일정 기간 계도 기간을 운영한다고 밝혔습니다 ^[5][8]. NIST는 2024년 7월 *Generative AI Profile*에 이어 ISO/IEC 42005:2025(AI 영향평가 가이드라인) 등 후속 표준을 잇달아 내놓고 있습니다 ^[2][12]. 한국은 2024년 11월 인공지능안전연구소(AISI)를 출범시켜 국제 AI안전연구소 네트워크에 참여하고 있어, 거버넌스는 단발성 인증이 아니라 시행령·고시·표준이 같이 진화하는 운영 과제로 자리 잡고 있습니다 ^[5]. 가트너는 2030년까지 AI 거버넌스 플랫폼 시장이 10억 달러 규모로 성장할 것으로 전망했습니다 ^[9].