블랙박스 경계 설정: AI 위험 규제를 위한 통계적 인증 프레임워크

인공지능(AI)은 이제 누가 대출을 받을 수 있는지, 누가 형사 조사 대상이 되는지, 자율주행 차량이 제때 브레이크를 밟아야 하는지를 결정합니다. 각국 정부는 이에 대응해 왔습니다: EU AI Act, NIST Risk Management Framework, 그리고 유럽 평의회 협약(Council of Europe Convention)은 모두 고위험 시스템(high-risk systems)이 배포 전에 안전성을 입증할 것을 요구합니다. 그러나 이러한 규제적 합의 이면에는 중요한 공백이 존재합니다: 어떤 것이 '허용 가능한 위험(acceptable risk)'을 정량적으로 의미하는지 아무도 명시하지 않았으며, 실제로 배포된 시스템이 그러한 임계값을 충족하는지 검증할 기술적 방법 또한 제공하지 않습니다. 규제 아키텍처는 마련되어 있지만, 검증 도구는 아직 없습니다. 이 격차는 이론적인 문제가 아닙니다. EU AI Act가 전면 시행 단계에 접어들면서, 개발자들은 정량적 안전 증거(quantitative safety evidence)를 산출할 확립된 방법론 없이 의무 적합성 평가(mandatory conformity assessments)에 직면하고 있으며, 감독이 가장 필요한 시스템은 화이트박스 검토(white-box scrutiny)에 저항하는 불투명한 통계적 추론 엔진입니다. 본 논문은 이 빠진 도구를 제공합니다.

항공기 인증 패러다임(aviation certification paradigm)을 활용하여, 우리는 AI 위험 규제를 공학적 실무로 전환하는 2단계 프레임워크를 제안합니다. 1단계에서는 역량 있는 기관(competent authority)이 허용 가능한 실패 확률 $\delta$와 운영 입력 도메인 $\varepsilon$를 공식적으로 확정하는데, 이는 직접적인 민사 책임(civil liability) 함의를 갖는 규범적 행위(normative act)입니다. 2단계에서는 RoMA 및 gRoMA 통계 검증 도구(statistical verification tools)가 시스템의 실제 실패율에 대한 결정적이고 감사 가능한 상한선(definitive, auditable upper bound)을 계산하며, 모델 내부 접근이 필요 없고 임의의 아키텍처로 확장 가능합니다. 우리는 이 인증서가 기존 규제 의무를 충족시키고, 책임 소재를 개발자에게 상류(upstream)로 이동시키며, 오늘날 존재하는 법적 프레임워크와 통합되는 방법을 입증합니다.