EU AI Act, NIST RMF 1.1이 새로운 AI 감사 요구사항을 의무화하다

핵심 요약
EU AI Act는 2026년 3월부터 범용 AI (GPAI) 모델에 대한 투명성 의무를 적극적으로 시행하기 시작했으며, NIST는 편향성 (bias), 공정성 (fairness), 그리고 지속적인 모니터링 (continuous monitoring)에 대한 업데이트된 가이드를 포함한 AI RMF 1.1을 발표했습니다. 이러한 병행적인 규제 조치들은 조직이 감사 가능한 문서 (auditable documentation)를 구축하고 AI 시스템 전반에 걸쳐 지속적인 모니터링 관행을 구현할 것을 요구합니다. 진화하는 글로벌 컴플라이언스 (compliance) 의무를 탐색하고 상당한 운영 및 평판 리스크를 피하기 위해서는 AI 거버넌스 (AI governance) 프레임워크, 기술적 감사 도구, 그리고 숙련된 인력에 대한 선제적인 투자가 이제 필수적입니다.

AI 거버넌스는 2026년 3월 정책 논의 단계에서 적극적인 집행 단계로 넘어갔으며, 대서양 양안의 규제 기관들은 조직이 AI 시스템을 어떻게 배포하고 문서화하는지에 대해 통제를 강화하고 있습니다. EU AI Act의 범용 AI 모델에 대한 투명성 의무가 현재 시행되고 있는 한편, NIST의 업데이트된 AI 리스크 관리 프레임워크 (AI Risk Management Framework)는 편향성 평가 및 지속적인 모니터링을 위한 새로운 기준을 설정했습니다. 이들은 함께 명확한 규제 방향을 시사합니다: AI 시스템은 감사 가능해야 하고, 설명 가능해야 하며, 입증 가능한 신뢰성을 갖추어야 합니다 — 그리고 준비할 시간은 이미 지나갔습니다.

EU AI Act의 투명성과 적합성의 새로운 시대
EU AI Act는 2024년 8월 1일에 공식적으로 발효되었으며, 단계적 이행 일정에 따라 점진적으로 적용되고 있습니다. 2026년 3월 기준으로, 범용 AI (GPAI) 모델 제공자에 대한 투명성 및 기술 문서화 의무의 집행이 활성화되었습니다. EU 시장에 GPAI 모델을 배포하는 조직은 단순히 준비하는 수준을 넘어, 규제 검토를 위해 포괄적인 문서 패키지를 즉시 제출할 수 있도록 준비해야 합니다. 이 법안은 위험 기반 접근 방식 (risk-based approach)을 취하며, 건강, 안전 또는 기본권에 미칠 잠재적 영향으로 인해 "고위험 (high-risk)"로 분류된 AI 시스템에 대해 가장 까다로운 요구사항을 부과합니다.

이러한 시스템에 대한 준수 의무는 광범위합니다. 위험 관리 시스템 (risk management systems), 데이터 거버넌스 (data governance), 기술 문서 (technical documentation), 기록 유지 (record-keeping), 투명성 (transparency), 인간의 감독 (human oversight), 정확성 (accuracy), 견고성 (robustness), 그리고 사이버 보안 (cybersecurity)이 모두 범위에 포함됩니다. 제공자는 고위험 AI 시스템을 시장에 출시하기 전에 의무적인 적합성 평가 (conformity assessment)를 완료해야 합니다. 일부 마감 기한이 변경되었습니다. 유럽 의회는 고위험 시스템 규칙의 적용 시기를 — 원래 2026년 8월 2일로 예정되었으나 — 준수 지원에 관한 위원회의 결정에 따라 Annex III 시스템의 경우 2027년 12월 2일로, Annex I 시스템의 경우 2028년 8월로 연기할 것을 제안했습니다. 하지만 이러한 연기가 근본적인 의무를 경감시키지는 않습니다. 직원을 위한 AI 리터러시 (AI literacy) 요구사항은 여전히 핵심 과제로 남아 있으며, AI 생성 콘텐츠 라벨링에 관한 실무 지침 (Code of Practice)의 두 번째 초안이 2026년 3월 초에 발표되어 법안의 투명성 의제를 강화했습니다. 기업들에게 실질적인 우선순위는 명확합니다. AI 위험 평가 (AI risk assessments)를 실시하고, 위험 등급에 따라 시스템을 정확하게 분류하며, 데이터 거버넌스를 강화하고, 견고한 문서화 및 감독 통제 장치를 구현하는 것입니다.

NIST AI RMF 1.1: 신뢰할 수 있는 AI 감사 표준화
2026년 3월 18일, NIST는 AI 위험 관리 프레임워크 (AI Risk Management Framework, RMF)의 1.1 버전을 출시했습니다. 자발적 사항임에도 불구하고, AI RMF는 사실상의 거버넌스 표준 (de facto governance standard)으로 빠르게 자리 잡고 있습니다. 이는 연방 계약업체들이 새로운 계약 주기에서 이미 준수해야 할 것으로 예상되는 표준이며, 민간 부문에서도 신흥 기준선 (emerging baseline)으로서 점점 더 많이 채택하고 있는 표준입니다. RMF 1.1의 주요 업데이트 사항은 "측정 (MEASURE)" 기능 내의 확장된 가이드라인입니다. 이 섹션은 이제 성능 지표 (performance metrics) 선택, AI 시스템의 편향성 (bias) 및 공정성 (fairness) 평가, 그리고 지속적인 모니터링을 위한 방법론 수립에 대해 더욱 상세한 권장 사항을 제공합니다. 이러한 추가 사항이 중요한 이유는 조직들이 단순히 AI 시스템이 작동하는지 여부를 묻는 것을 넘어, 시스템이 공정하게 작동하는지 그리고 해악을 증폭시키지 않는지를 묻도록 유도하기 때문입니다.

NIST는 신뢰할 수 있는 AI (Trustworthy AI)를 단순히 정확성 (Accuracy)의 문제가 아니라 안전성 (Safety), 보안성 (Security), 회복탄력성 (Resilience), 책임성 (Accountability), 투명성 (Transparency), 개인정보 보호 (Privacy), 그리고 공정성 (Fairness)을 모두 아우르는 개념으로 정의합니다. 업데이트된 프레임워크는 설명 가능성 (Explainability)과 해석 가능성 (Interpretability)에 특별히 강조를 두고 있는데, 이는 인간 운영자가 오류를 포착하고 의미 있는 감독을 유지하기 위해서는 시스템이 어떻게 결과물에 도달하는지를 이해해야 한다는 점을 인식했기 때문입니다. RMF 1.1은 또한 환각 (Hallucinations), 데이터 유출 (Data leakage), 합성 콘텐츠의 오용 (Misuse of synthetic content)을 포함한 생성형 AI (Generative AI)의 구체적인 위험 요소들도 다룹니다. 기업의 경우, 즉각적인 조치 사항은 업데이트된 MEASURE 함수를 검토하고, 현재 모니터링 관행의 격차를 식별하며, 그에 따라 AI 거버넌스 (AI Governance) 문서를 업데이트하는 것입니다. 이는 강화되는 컴플라이언스 (Compliance) 기대치 아래에서 기업용 LLM (Large Language Models)을 어떻게 선택하고 관리할지 고민하는 기업들에게도 관련성 있는 맥락입니다.

감사 가능한 AI 및 리스크 완화를 위한 글로벌 모멘텀
규제 추진은 브뤼셀과 워싱턴을 훨씬 넘어 확장되고 있습니다. 영국에서는 재무보고위원회 (Financial Reporting Council, FRC)가 2026년 3월 30일, 생성형 및 에이전트형 AI (Agentic AI) 도구를 사용하는 감사 법인을 위한 지침을 발표했습니다. 이는 감사 규제 기관으로서는 세계 최초의 사례입니다. 이 지침은 기업이 이러한 기술을 사용하는 동안 감사 품질에 대한 리스크를 어떻게 완화해야 하는지를 개괄하며, 한 가지 사항에 대해서는 명확하게 명시하고 있습니다. 즉, 어떤 도구가 배치되더라도 최종적인 책임은 인간 감사인에게 있다는 점입니다. 또한 영국에서는 경쟁시장국 (Competition and Markets Authority, CMA)이 2026년 3월 24일, AI 에이전트가 인간 직원에게 적용되는 것과 동일한 소비자 보호법을 준수해야 한다는 지침을 발표했습니다. CMA의 입장은 기업이 제3자 도구를 사용하더라도 AI의 행동에 대해 법적 책임을 진다는 것이며, 오해의 소지가 있는 결과물을 방지하기 위해 투명성, 명확한 라벨링, AI 역량에 대한 정직한 공개, 그리고 인간의 감독을 의무화하고 있습니다.

미국에서는 백악관이 2026년 3월 20일에 AI에 관한 국가 정책 프레임워크 (National Policy Framework for AI)를 발표하며, 주(state) 단위의 법률을 부분적으로 우선하는 통일된 연방 접근 방식을 위한 입법 권고를 시사했습니다. 그럼에도 불구하고 개별 주들은 계속해서 추진하고 있습니다. 텍사스주는 2026년 3월에 인사, 신용 및 보험 분야의 고위험 AI 애플리케이션에 대한 위험 평가 (risk assessments)를 요구하는 법안을 상정했습니다. FTC는 2026년 3월 12일에 지침을 업데이트하여, AI가 생성한 추천 및 증언에 대해 명확하고 눈에 띄는 공개를 요구했습니다. FINRA의 2026년 연례 규제 감독 보고서 (Annual Regulatory Oversight Report)는 생성형 AI (generative AI)에 관한 새로운 섹션을 추가하여, 회원사들에게 환각 (hallucinations) 및 편향 (bias)을 포함한 위험을 식별하고 완화할 것을 권고했습니다. 이러한 모든 발전 양상은 일관적입니다. 규제 기관들이 원칙에서 집행 가능한 의무로 이동하고 있다는 점입니다. 위험 평가 (risk assessments), 데이터 거버넌스 (data governance), 편향 탐지 (bias detection), 문서화 (documentation), 지속적인 모니터링 (continuous monitoring), 그리고 인간의 책임 (human accountability)은 관할 구역이나 부문에 관계없이 공통된 핵심 요소입니다. 뉴저지주의 2026년 AI 입법 의제에서 볼 수 있듯이, 미국의 주 단위 활동도 이러한 추세를 반영하고 있습니다.

선제적인 기업 AI 거버넌스의 필요성
이러한 규제 조치들의 수렴은 진정한 변곡점을 나타냅니다. 더 명확한 규제 가이드라인을 기다려온 조직들은 시간이 얼마 남지 않았습니다. EU에서 운영되거나 미국에서 연방 계약을 보유한 조직들은 즉각적인 준수 의무에 직면해 있으며, 일부 EU 고위험 카테고리에 대해 제안된 유예 기간은 책임의 감소가 아닌 추가적인 준비 시간으로 해석되어야 합니다. 이러한 감사 요구사항을 충족하기 위해서는 전체 시스템 수명 주기 (system lifecycle)에 걸친 AI 거버넌스에 대한 통합된 접근 방식이 필요합니다. 주요 우선순위는 다음과 같습니다:
명확한 AI 정책 수립: 설계, 배포 및 지속적인 모니터링을 아우르며 EU AI Act 및 NIST AI RMF 1.1과 일치하는 내부 정책 개발.

기술적 솔루션에 대한 투자: 지속적인 성능 모니터링 (performance monitoring), 편향 탐지 (bias detection), 설명 가능성 (explainability) 및 보안을 위한 도구를 배포하십시오. 이는 규제 기관이 확인하기를 기대할 감사 가능한 증거 (auditable evidence)가 될 것입니다.

데이터 거버넌스 (Data Governance) 강화: 투명한 데이터 출처 (data provenance), 품질 및 윤리적 소싱을 보장하십시오. 데이터 무결성 (Data integrity)은 신뢰할 수 있는 AI의 기초이며 감사를 통과하기 위한 전제 조건입니다.

정기적인 AI 영향 평가 (AI Impact Assessments) 실시: 적용 가능한 프레임워크에 따라 고위험 (high-risk)으로 분류된 시스템을 중심으로 위험을 체계적으로 식별하고 완화하십시오.

AI 리터러시 (AI Literacy) 및 전문성 개발: 책임 있는 배포 문화를 구축하기 위해 AI 윤리, 리스크 관리 (risk management) 및 관련 규제 요구사항에 대해 내부 팀을 교육하십시오.

설명 가능성 (Explainability) 및 투명성 (Transparency) 우선순위 지정: 운영자, 영향을 받는 개인, 그리고 규제 기관 모두에게 의사결정 과정을 명확하게 설명할 수 있는 시스템을 구축하십시오.

AI 감사에 관한 규제 환경은 더 이상 미래의 우려 사항이 아니라 현재의 운영 현실입니다. 이러한 요구사항을 더 신뢰할 수 있는 AI를 구축하기 위한 토대로 취급하는 조직은 컴플라이언스 (compliance)를 관리하고 이해관계자의 신뢰를 유지하는 데 더 유리한 위치를 점하게 될 것입니다. 재정적 벌금과 평판 저하를 아우르는 미준수 (non-compliance) 비용은 이미 실질적인 수준입니다. AI 정책 및 규제에 대한 더 많은 보도를 원하시면, 당사의 AI Policy & Regulation 섹션을 방문하십시오. 원문은 https://autonainews.com/eu-act-nist-rmf-1-1-mandate-new-ai-auditing-requirements-now/ 에서 처음 게시되었습니다.