Fintech-CUI-Trust-Framework

고위험 도메인에서 대화형 AI 에이전트(Conversational AI agents)의 신뢰 경계(Trust boundaries)를 정의하는 오픈 소스 엔지니어링 거버넌스 표준입니다. MIT 라이선스가 적용되었습니다.

대화형 금융 에이전트를 위한 오픈 거버넌스 표준(An Open Governance Standard for Conversational Finance Agents)은 대화형 AI 에이전트의 출력이 금융적 의무, 규제 노출 또는 소비자 피해를 초래할 수 있는 모든 맥락에 배포되기 전, 반드시 구현해야 하는 구조적 거버넌스 구성 요소를 정의하는 오픈 소스 MIT 라이선스 엔지니어링 사양(Engineering specification)입니다. 이것은 소프트웨어 제품이 아닙니다. 엔지니어링 리소스를 보유한 기업이라면 누구나 구현할 수 있는 RFC와 유사한 퍼블릭 도메인 기술 사양입니다.

이 표준은 AI 네이티브 엔지니어링 (AI Native Engineering) 패러다임 하에 설계되었습니다. 즉, 거버넌스는 배포 후 외부 감사 계층으로서 AI 시스템에 사후적으로 적용되는 것이 아닙니다. 의도 분류 (Intent classification), 권한 부여 게이팅 (Authorization gating), 생성 경계 강제 (Generation boundary enforcement), 서킷 브레이킹 (Circuit-breaking), 감사 로깅 (Audit logging)과 같은 거버넌스 메커니즘은 첫 번째 코드 라인부터 구조적 구성 요소로 내장됩니다. 이는 사후적인 콘텐츠 필터가 아니라 상호작용 아키텍처(Interaction architecture)의 속성입니다.

이 표준은 구조적 공백을 해결합니다. 시스템이 그래픽 사용자 인터페이스 (GUI)에서 대화형 사용자 인터페이스 (CUI)로 전환됨에 따라, AI 에이전트는 무엇을 말할지, 무엇을 약속할지, 무엇을 승인할지에 대해 스스로 결정합니다. 현재 이러한 에이전트가 작동해야 하는 신뢰 경계를 정의하는 공유된 산업 수준의 사양은 존재하지 않습니다.

사용자 (User) → [에이전트 런타임 (Agent Runtime)] → [프로토콜 미들웨어 (Protocol Middleware)] → [LLM]
│
┌─────┴─────┐
...

이 표준은 에이전트의 생성 파이프라인(Generation pipeline) 내 특정 지점에서 강제되는 다섯 가지 구조적 계층을 정의합니다:

입력 보호 계층 (Input Safeguard Layer)— 다운스트림 처리(Downstream processing) 전, 사용자 입력을 전처리하여 프롬프트 인젝션 (Prompt injection), 개인정보 (PII) 유출, 그리고 적대적 입력 패턴 (Adversarial input patterns)을 탐지하고 무력화합니다.

의도 분류 계층 (Intent Classifier Layer)— 각 대화 의도를 두 개의 독립적인 축인 금융 약정 리스크 (Financial Commitment Risk, F0–F3)와 규제 민감도 (Regulatory Sensitivity, R0–R3)에 따라 분류합니다.

권한 부여 트리거 계층 (Authorization Trigger Layer)— 권한 부여 트리거 결정 테이블 (Authorization Trigger Decision Table)을 적용합니다. 분류된 의도가 권한 부여를 필요로 하는 경우, 에이전트는 생성을 중단하고 진행하기 전에 사용자의 명시적인 확인을 받습니다.

생성 경계 계층 (Generation Boundary Layer)— 두 지점에서 범주적 금지 사항을 강제합니다: 생성 전 (LLM 호출 전 차단) 및 생성 후 (위반 출력 억제).

감사 추적 계층 (Audit Trail Layer)— 모든 생성, 권한 부여, 에스컬레이션 (Escalation) 및 서킷 브레이크 (Circuit-break) 결정에 대해 변경 불가능하고 (Immutable), 해시 체인 (Hash-chained) 방식의 기계 판독 가능한 로그를 생성합니다.

권한 부여 트리거 (Authorization Trigger)— AI 에이전트가 진행하기 전, 명시적인 사용자 권한 부여가 필요한 대화 의도에 대한 구조화된 분류 체계입니다. 의도는 두 가지 축인 금융 약정 리스크 (Financial commitment risk, F0–F3)와 규제 민감도 (Regulatory sensitivity, R0–R3)를 따라 분류됩니다. 트리거는 에이전트가 응답을 생성하기 전에 작동합니다.

생성 경계 (Generation Boundary)— 에이전트가 자율적으로 생성해서는 안 되는 콘텐츠 유형에 대한 범주적 명세로, 금융 약정, 가격 보장, 컴플라이언스 표명, 그리고 차별적 또는 기만적인 출력을 포함합니다. 생성 전 및 생성 후 단계 모두에서 강제됩니다.

보험 퓨즈 (Insurance Fuse)— 대화 상태가 사전에 정의된 컴플라이언스 임계값에 도달할 때, 실시간으로 에이전트의 생성 권한을 차단하는 서킷 브레이크 (Circuit-break) 메커니즘입니다. 사용자 확인을 기다리며 생성을 일시 중단하는 권한 부여 트리거와 달리, 보험 퓨즈는 생성 권한을 즉시 종료하고 제어권을 인간 운영자 또는 결정론적 표준 운영 절차 (Deterministic SOP)로 이관합니다.

트리거 조건에는 규제 한계에 근접하는 누적 대화 패턴, 사용자 취약성 신호, 그리고 안전 범위를 초과하는 다회차 에스컬레이션 (Escalation) 궤적이 포함됩니다. 감사 추적 (Audit Trail) — 모든 생성, 권한 부여, 에스컬레이션 및 퓨즈 트리거 결정을 전체 결정 체인 추적성 (Decision-chain traceability)과 함께 캡처하는 표준화된 불변 로그 형식으로, 내부 거버넌스와 제3자 감사를 모두 지원합니다. 3단계 채택 모델 (Three-Tier Adoption Model) — Lite (기본 설정, 커스텀 불필요), Standard (지정된 감사 역할), 그리고 Full (기업 통합을 위해 포크 가능)로 구성됩니다. 동일한 사양(Specification)이 소규모 조직과 대기업 모두에 적용됩니다.

이 표준의 결정적인 아키텍처 특성은 핵심 거버넌스 로직을 관할 구역별 컴플라이언스 (Compliance) 규칙과 분리하는 것입니다. 5개의 계층은 배포 컨텍스트에 관계없이 아키텍처적으로 불변합니다. 데이터 보관 기간, 통지 임계값, 추가 금지 콘텐츠 카테고리와 같은 관할 구역별 요구 사항은 핵심 사양을 수정하지 않고도 컴플라이언스 매핑 계층 (Compliance Mapping Layer)을 통해 구성됩니다.

결제, 금융 약정 또는 규제 대상 소비자 결정을 다루는 상호작용을 처리하는 대화형 AI 에이전트를 보유한 모든 기업 — 금융 기관, 의료 예약 플랫폼, 법률 상담 서비스, 교육 등록 시스템, 소매 배송 플랫폼 등이 포함됩니다.

Lite — 사양을 읽습니다. 기본 설정으로 참조 구현체 (Reference implementation)를 배포합니다. 커스텀이 전혀 필요하지 않습니다. Standard — 사양을 읽습니다. 참조 구현체를 배포합니다. 정기적인 감사 검토를 수행할 인원을 한 명 지정합니다. Full — 사양과 참조 구현체를 포크합니다. 기존 컴플라이언스 인프라와 통합합니다. 컴플라이언스 매핑 계층을 커스텀합니다.

전체 사양은 /spec을 참조하십시오.

├── README.md ← 현재 위치
├── LICENSE ← MIT
├── spec/ ← 프로토콜 사양 (핵심 산출물)
...

• Concept Paper — 학술적 프레임워크: AI 거버넌스 프레임워크 (AI governance framework) 및 신뢰 메커니즘 (trust mechanisms)
• Architecture Whitepaper — 5계층 참조 아키텍처 (5-Layer reference architecture)
• Research Proposal — 실증적 연구 설계: 조직 맥락 내 프로세스 혁신으로서의 생성형 AI (GenAI)

MIT — LICENSE 참조.