728x90
반응형
ISO/IEC 42001 · NIST AI RMF · EU AI Act 비교표
| 항목 | ISO/IEC 42001:2023 | NIST AI RMF 1.0 | EU AI Act |
| 성격 | 국제표준(ISO/IEC) – AI 관리시스템(AIMS) 요구사항 | 미국 NIST가 발행한 자율적(비규제) 위험관리 프레임워크 | EU의 법률(규제) – 위반 시 과징금·제재 |
| 목적 | 조직 내에 AI 관리시스템을 구축·운영·개선하기 위한 요구사항 제시 | 조직이 신뢰할 수 있는 AI와 AI 리스크 관리를 위해 따라갈 수 있는 구조 제공 (GOVERN · MAP · MEASURE · MANAGE) | AI를 위험 수준별로 규제하여 기본권·안전 보호(4단계: Unacceptable / High / Limited / Minimal risk) |
| 적용 대상 | AI를 개발·제공·활용하는 모든 유형의 조직 (규모·산업 무관) | AI를 사용하는 전 세계 조직 누구나(특히 미국 내 기업 및 글로벌 기업) | EU 내 제공·사용되는 AI 시스템 또는 EU 거주자를 대상으로 서비스하는 기업(역외 적용) |
| 핵심 포커스 | - AI 거버넌스, 리스크, 품질, 데이터, 윤리 등을 경영시스템 레벨로 통합 - ISO 9001/27001처럼 “관리 체계” 관점 |
- AI 위험을 식별·분류·측정·관리하는 프로세스 중심 - 신뢰성·안전·보안·공정성 등 “Trustworthy AI” 특성 강조 |
- 금지 관행(불허 AI), 고위험 AI 요건(데이터, 문서, 등록, CE 마킹 등), GPAI/기반모델 규칙, 투명성 의무, 과징금 체계 |
| 구조/구성 | - 요구사항 기반: 정책, 책임, 리스크, 목표, 운영, 모니터링, 지속적 개선 등 경영시스템 PDCA 구조 | - 4대 기능(Function): GOVERN / MAP / MEASURE / MANAGE - 각 기능 → 카테고리 → 서브카테고리 → 활동·성과로 세분 |
- 리스크 기반 규제 구조: 4단계 위험분류(Unacceptable, High, Limited, Minimal) - Annex I·III에서 고위험 사용사례 정의, GPAI·Systemic-risk 모델 별도 요건 |
| 법적 강제력 | 없음(자발적) – 하지만 인증을 취득하면 대외 신뢰·조달·고객요건 충족에 유리 | 없음(완전 자율) – “베스트 프랙티스 가이드”에 가까움 | 있음(강제 규제) – 매출의 최대 7% 또는 수천만 유로 수준의 과징금 가능 |
| 리스크 개념 | - AI 관련 리스크를 경영시스템 관점에서 체계적으로 식별·평가·완화 - 조직의 맥락·이해관계자·목표와 연계 |
- AI 리스크를 “전통 IT와 다른 특성”으로 정의하고, 신뢰성·안전·보안·공정성 등으로 분해해서 다룸 | - 위험 수준에 따라 규제 강도 차등 적용: 위험이 높을수록 요구사항·감독·문서화 부담 증가 |
| Trustworthy AI 요소 반영 | - 거버넌스, 데이터 품질, 윤리, 투명성, 안전, 개선 프로세스를 통합하여 조직 수준의 신뢰성 확보 | - Trustworthy AI 특성(안전·보안·공정성·설명가능성·프라이버시 등)을 AI 리스크 관리의 핵심 축으로 정의 | - 고위험 AI에 대해 데이터 거버넌스, 인간감독, 투명성, 정확도·견고성·사이버보안 등 법적 최소 기준 요구 |
| 도입 동기(실무 관점) | - 글로벌 고객·규제기관이 “AI 거버넌스 인증” 요구 - ESG/컴플라이언스·공공조달·B2B 세일즈에서 신뢰 확보에 유리 |
- 아직 법규 요구가 약한 조직에서 “AI 리스크 관리의 기본 프레임”으로 사용하기 좋음 | - EU 시장 대상 또는 EU 거주자 데이터를 활용하는 서비스라면 사실상 필수 규제 대응 |
| 문서화·증빙 요구 수준 | - ISO 계열답게 형식적·체계적 문서화 요구(정책, SOP, 리스크 평가, 내부심사, 경영검토 등) | - “실무적으로 리스크 관리에 도움이 되는 문서”를 강조, 포맷은 유연 | - 기술문서, 데이터 거버넌스 문서, 위험관리 기록, 적합성 평가, EU 데이터베이스 등록 등 규정된 형식·내용 요구 |
| 도입 난이도/범위 | - 조직 전반에 AI 관리시스템을 깔아야 해서 초기 구축은 다소 무겁지만, 한 번 구축하면 전사 표준 운영체계 역할 가능 | - 기존 리스크/보안 프레임워크가 있는 조직은 비교적 가볍게 얹어 사용 가능 | - 고위험 시스템 보유 시 법적 요구사항이 가장 빡세고, 기술·법무·컴플·보안 전 부문 동원 필요 |
728x90
반응형
'IT공부' 카테고리의 다른 글
| 스미싱과 피싱 차이 (0) | 2025.12.08 |
|---|---|
| 웹페이지 로딩속도 개선 방법 - 스피너 대신 스켈레톤 (2) | 2025.11.14 |
| 코인 vs 토큰 vs NFT — 헷갈리는 개념, 한 번에 정리하기 (0) | 2025.10.23 |
| ChatGPT Atlas 발표 핵심 정리 (0) | 2025.10.23 |
| 세일즈포스가 ‘에이전트포스’에서 배운 1년의 교훈 핵심 요약 (1) | 2025.10.14 |