From 1eaf3676327f5b8b74eb5d6d4f6a4aa81415fae5 Mon Sep 17 00:00:00 2001 From: nowzero Date: Wed, 8 Apr 2026 19:06:17 +0900 Subject: [PATCH 1/2] docs: add standalone MD references for SW supply chain guidelines MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit - SW_공급망_보안_가이드라인_요약본.md (22p, 18K) - SW_공급망_보안_가이드라인_전체본.md (100p, 175K) - Update README.md with MD links Co-Authored-By: Claude Opus 4.6 (1M context) --- README.md | 4 +- ...0_\354\232\224\354\225\275\353\263\270.md" | 664 +++ ...0_\354\240\204\354\262\264\353\263\270.md" | 3695 +++++++++++++++++ 3 files changed, 4361 insertions(+), 2 deletions(-) create mode 100644 "\353\254\270\354\204\234/SW_\352\263\265\352\270\211\353\247\235_\353\263\264\354\225\210_\352\260\200\354\235\264\353\223\234\353\235\274\354\235\270_\354\232\224\354\225\275\353\263\270.md" create mode 100644 "\353\254\270\354\204\234/SW_\352\263\265\352\270\211\353\247\235_\353\263\264\354\225\210_\352\260\200\354\235\264\353\223\234\353\235\274\354\235\270_\354\240\204\354\262\264\353\263\270.md" diff --git a/README.md b/README.md index 69a69ab..5092647 100644 --- a/README.md +++ b/README.md @@ -228,8 +228,8 @@ KESE(KISA Enhanced Security Evaluation Kit)는 KISA(한국인터넷진흥원) | 12 | **제로트러스트 가이드라인 2.0** | 한국제로트러스트포럼 / KISA | 2024 | 245 | [PDF](문서/제로트러스트_가이드라인_2.0.pdf) / [MD](문서/제로트러스트_가이드라인_2.0.md) | | 13 | **제로트러스트 성숙도 모델 해설서** | 한국제로트러스트포럼 / KISA | 2024 | 182 | [PDF](문서/제로트러스트_성숙도_모델_해설서.pdf) / [MD](문서/제로트러스트_성숙도_모델_해설서.md) | | 14 | **OT 환경의 제로트러스트 적용 안내서** | 과기정통부 / KISA | 2025 | 67 | [PDF](문서/OT_환경의_제로트러스트_적용_안내서.pdf) / [MD](문서/OT_환경의_제로트러스트_적용_안내서.md) | -| 15 | **SW 공급망 보안 가이드라인 (요약본)** | 국정원 / 과기정통부 / KISA | 2024 | 22 | [PDF](문서/240513-(요약본)_SW_공급망_보안_가이드라인.pdf) | -| 16 | **SW 공급망 보안 가이드라인 (전체본)** | 국정원 / 과기정통부 / KISA | 2024 | 100 | [PDF](문서/240525-(전체본)_SW_공급망_보안_가이드라인_최종%20수정본.pdf) | +| 15 | **SW 공급망 보안 가이드라인 (요약본)** | 국정원 / 과기정통부 / KISA | 2024 | 22 | [PDF](문서/240513-(요약본)_SW_공급망_보안_가이드라인.pdf) / [MD](문서/SW_공급망_보안_가이드라인_요약본.md) | +| 16 | **SW 공급망 보안 가이드라인 (전체본)** | 국정원 / 과기정통부 / KISA | 2024 | 100 | [PDF](문서/240525-(전체본)_SW_공급망_보안_가이드라인_최종%20수정본.pdf) / [MD](문서/SW_공급망_보안_가이드라인_전체본.md) | ### v2.x에서 마이그레이션 diff --git "a/\353\254\270\354\204\234/SW_\352\263\265\352\270\211\353\247\235_\353\263\264\354\225\210_\352\260\200\354\235\264\353\223\234\353\235\274\354\235\270_\354\232\224\354\225\275\353\263\270.md" "b/\353\254\270\354\204\234/SW_\352\263\265\352\270\211\353\247\235_\353\263\264\354\225\210_\352\260\200\354\235\264\353\223\234\353\235\274\354\235\270_\354\232\224\354\225\275\353\263\270.md" new file mode 100644 index 0000000..faa8dbc --- /dev/null +++ "b/\353\254\270\354\204\234/SW_\352\263\265\352\270\211\353\247\235_\353\263\264\354\225\210_\352\260\200\354\235\264\353\223\234\353\235\274\354\235\270_\354\232\224\354\225\275\353\263\270.md" @@ -0,0 +1,664 @@ +# 240513-(요약본)_SW_공급망_보안_가이드라인.pdf + +> Converted: 2026-04-08 16:31 + + +--- + +05 +요약본 + + +--- + +요약본 +2024. 05 + + +--- + +C o n t e n t s +추진배경 / 1 +•환경변화 +•SW 공급망 보안 필요성 +•주요국 정책동향 +•시사점 +SW 공급망 위험관리 방안 / 3 +제1절 +공급망 사이버보안 위험관리 체계 구축 방안 / 3 +•공급망 사이버보안 위험관리 개요 +•공급망 사이버보안 위험관리 활동 +•SW 개발·운영 환경의 공급망 보안 체계 구축 방안 +•안전한 SW 개발 체계의 활용 +제2절 +SW 구성요소의 신뢰성 확보 방안 / 5 +•SW 구성요소 명세서(SBOM) +•SBOM 최소요건 +•SBOM 활용 +•SBOM의 효과성 +•참고 : 국내외 SBOM 표준화 현황 +SBOM 기반 SW 공급망 강화방안 / 10 +제1절 +SW 공급망 위험관리를 위한 SBOM 확산 / 10 +•SBOM 기반 SW 공급망 보안 +제2절 +SBOM 기반 SW 공급망 보안 실증 / 12 +•SBOM 실증 +제3절 +SW 보안취약점 점검 지원 테스트베드 / 14 +•기업지원허브, 디지털헬스케어 보안리빙랩, +국가사이버안보협력센터 기술공유실 +제4절 +SBOM 기반 SW 공급망 보안 발전 제언 / 15 + +## 제1장 + + +## 제2장 + + +## 제3장 + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +요약본 + + +--- + +요약본은 공공기관 및 기업 관계자들이 짧은 시간 내에 SW 공급망 보안 가이드라인의 주요 +내용을 쉽게 파악할 수 있도록 지원하기 위하여 마련되었습니다. +또한 요약본은 전체본의 목차를 그대로 따르지 않고, 전체본 제2장 제3절의 SBOM 기반의 SW +공급망 보안을 분리하여, SBOM 실증결과, 기업지원 시설 등과 함께 별도의 장으로 구성하여 +다양한 계층의 독자들이 조금이라도 더 쉽게 이해할 수 있도록 지원하기 위해 노력하였습니다. +특히, SW 공급망 보안 관련 상세한 내용보다는 빠른 시간 내에 개념 중심으로 SW 공급망 보안에 +대한 이해가 필요한 정책 결정자 및 기업 경영진들에게 유용할 것으로 보입니다. +본 요약본을 통해 SW 공급망 보안에 대한 개념을 이해한 후 전체본을 읽으면서 세부적인 내용을 +파악하는 방식으로 활용해도 효율적일 것입니다. +정부는 다양한 분야의 독자들의 제언을 수용하여 SW 공급망 보안 가이드라인을 계속해서 +발전시켜 나가겠습니다. + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +요약본 +1 +추진 배경 + +## 제1장 + +(환경변화) 사람과 사물(공간·생물·정보·비즈니스 등)이 물리·가상 공간의 경계 없이 서로 유기적으로 +연결되어 소통하고 상호 작용하는 초연결사회 도래 +•(SW 생산의 분업화) 디지털 제품 및 서비스에 대한 SW 부품(코드) 공급의 분업화로 관리 책임이 복잡해지고, +제품 및 서비스 무결성에 대한 신뢰 하락 +SW 공급망은 최종 SW 제품을 생산하는 사람, 장치, 시스템의 집합을 말함. 이는 개발자가 코드를 작성할 +때부터 해당 코드가 제품으로 생산된 후, 사용자 시스템에서 실행되는 과정까지 일어나는 모든 일을 +의미함 +•(공개 SW에 대한 사이버위협) 디지털 제품 및 서비스는 대부분 자체 개발 SW 외에 다양한 공개 SW, 제3자 +개발 SW 등 외부 SW를 포함, 특히 악성코드 및 보안취약점의 전파가 쉬운 공개 SW에 대한 사이버 위협 증가 +(SW 공급망 보안 필요성) 공급망 공격은 공개 SW의 보안취약점 및 악성코드를 악용한 것으로 피해가 +광범위하고 지속적인 특징을 나타냄 +•(큰 피해규모) SolarWinds(‘20년), Log4j(‘21년) 및 Kaseya(‘22년)와 같이 대형 SW 공급망 공격이 매해 발생하고 +있어 빠른 대응 체계 구축 필요 +•(파급효과) 고객의 소스코드를 검증하는 회사인 Codecov는 리포지토리 인증 정보가 유출되어 2차 공격의 +파급을 가늠하기 어려움(‘21년) +•(지속적 피해) 공개 SW로 널리 활용된 Log4j의 경우 보안취약점 삭제·업데이트 등에 10년이 소요될 것으로 +예측(美 사이버보안검토위원회, `22년) +사례 +사고 내용 및 피해 현황 +SolarWinds +(2020년) +러시아 기반 해킹 그룹의 공격으로 IT SW 공급사의 SW 개발 환경 및 배포 시스템이 해킹 +되어 18,000개 이상의 기관이 피해를 입음 +Log4Shell +(2021년) +Log4j의 제로데이 보안취약점과 공개된 개념 증명 코드를 악용하여 악성코드를 심고, +전 세계 취약 서버를 대상으로 대량의 해킹 공격 발생 +Kaseya +(2022년) +클라우드 기반 IT 원격 관리 솔루션 서버를 해킹하고, 업데이트 파일로 위장한 랜섬웨어를 +고객사에 배포. 17개국 1,500여 조직이 피해 + + +--- + +2 +추진 배경 + +## 제1장 + +(주요국 정책동향) 미국, 유럽 등은 SW 공급망 공격에 체계적으로 대응하기 위해 SW 구성요소 +명세서(SBOM, SW Bill of Materials) 도입 등 제도화 추진 +•(미국) 바이든 정부 행정명령(EO 14028, ‘21.5월)을 통해 연방정부에 납품되는 SW의 SBOM 제출을 +의무화하였고, +- 관리예산처(OMB)는 ‘안전한 정부를 위한 SW 공급망 보안 강화 지침’과 ‘행정 부서 및 기관장을 위한 +각서(Memorandum)’를 발표(‘22.9월) +OMB ‘행정 부서 및 기관장을 위한 각서(M-22-18)’ 주요 내용 +연방정부에 SW를 납품하는 공급자에게 미국 국가기술표준원(NIST)1)의 안전한 SW 개발 체계(SSDF)2)를 +준수했음을 선언하는 ‘자체증명서(Self-attestation Form)3)’를 함께 제출토록 함 +•자체 증명 항목 : 안전한 개발 환경 구축, 자동화된 소스코드 출처 관리, 지속적 취약성 검사 등을 수행 +•이외에도 안전한 SW 개발체계 적합성을 입증하는 증거를 별도로 요구할 수 있음, +제출은 온라인(softwaresecurity.cisa.gov) 또는 이메일로 접수 +•(유럽) EU는 역내에 유통되는 디지털기기의 SBOM 제출을 의무화하는 사이버 복원력 법(Cyber Resilience Act, +CRA) 제정안을 발의( ‘22.9월, EU 집행위원회) +- ‘24.3월, 유럽의회는 CRA 내용을 확정·승인하였으며, 향후 이사회(Council) 승인을 거쳐 최종 법률안의 효력 +발생은 2026년 하반기로 예상 +(시사점) SW 공급망 보안에서 공개 SW의 보안취약점 관리가 매우 중요하며, 효과적인 보안취약점 관리 +방안으로 SBOM이 대두되고 있음 +•지난 수년간 SW 공급망 공격은 국제적인 논의의 중심이 되고 있으며, 미국, 유럽 등 주요국을 중심으로 SW +공급망 보안 제도화 추진 중 +- 우리나라도 SBOM 기반 SW 공급망 보안 체계 확산을 위해 SW 공급망 전 단계에서 SBOM을 원활하게 +유통할 수 있는 관리 체계 마련 필요 +- 해외 주요국의 SW 공급망 보안 정책을 빠르게 분석하고 선제적으로 대응하여 국내 기업의 해외 진출 시 +무역장벽 극복 지원 필요 +1) NIST : National Institute of Standards and Technology +2) SSDF : Secure Software Development Framework +3) 증명(Attestation) 이란 문서의 진위를 법적으로 인정하고, 적절한 프로세스를 따랐다는 것을 입증하는 절차로써, 문서의 내용에 +구속된 사람들이 적절하게 행동했음을 확인하기 위해 서명하고, 제삼의 검증기관(3rd Party Organization)을 통해 공증하는 것 등을 +의미함 + + +![페이지 6 렌더링](images/p0006_full.png) + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +요약본 +3 +SW 공급망 위험관리 방안 + +## 제2장 + +제1절 +공급망 사이버보안 위험관리 체계 구축 방안 +(공급망 사이버보안 위험관리 개요, C-SCRM +4)) 공급망 전체에서 사이버보안 위험을 관리하고 적절한 +대응 정책 및 전략 등을 개발하기 위한 체계적 프로세스 +•공급망의 사이버보안 위험은 공급자(개발사 및 유통사), 공급망(개발 및 업데이트 전송로), 제품 및 서비스에서 +발생할 수 있는 피해와 침해 가능성을 의미 +•공급망의 사이버보안 위험은 공급망 전체에 걸쳐 있는 제품 및 서비스의 보안취약점과 노출을 악용하는 위협에서 +발생 +(공급망 사이버보안 위험관리 활동) NIST는 C-SCRM을 통해 기업 또는 기관이 공급망에서 사이버보안 +위험을 관리하는데 도움이 되는 활동들을 제시 +•C-SCRM은 설계, 개발, 제조, 구매, 배송, 통합, 운영 및 유지보수, 폐기 등 전체 ‘SW 개발 생명주기(SDLC)’에 +걸친 활동을 포괄하므로 공급망 전반의 사이버보안 위험을 해결하려면 C-SCRM이 SDLC 내에 통합되어야 함 +- 또한, 정보보안 및 개인정보보호, 시스템 개발자 및 엔지니어, 인수, 조달, 법무, 인사(HR) 등 기업 내 다양한 +이해관계자 그룹이 함께 참여해야 함 +•공급망 내에서는 적대적(Adversarial) 또는 비적대적 이유로 다양한 사이버 위협이 발생할 수 있으며, 이를 +해결하기 위해 C-SCRM을 전사적 위험관리 체계에 통합해야 함 +- 또한, 기업 전반의 위험을 관리하기 위해서는 전사적, 프로세스, 운영 수준 모델을 포함하는 ‘다단계 전사적 +위험관리’가 필요 +•‘다단계 전사적 위험관리’에서 C-SCRM 활동은 아래와 같은 세 가지 레벨로 구분하여 수행 +- 레벨-1(전사) : 전반적인 C-SCRM 전략, 정책, 구현 계획을 통해 전사적인 C-SCRM으로 관리되는 데 +필요한 기조, 거버넌스 구조, 경계를 설정 +- 레벨-2(프로세스) : 레벨-1에서 결정한 전사적인 상황과 방향을 가정하고, 이를 특정한 미션(Mission) 및 +비즈니스의 프로세스에 맞게 조정 +4) 美 NIST 800-161r1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organization + + +--- + +4 +SW 공급망 위험관리 방안 + +## 제2장 + +- 레벨-3(운영) : C-SCRM 계획은 정보시스템이 비즈니스·기능·기술 요구사항을 충족하고, 적절하게 조정된 +통제를 포함하는지를 결정하기 위한 기반을 제공 +다단계 전사적 위험관리(C-SCRM) 개요 +(SW 개발·운영 환경의 공급망 보안 체계 구축 방안) SW 공급망 전체의 사이버보안 위험을 관리하기 위해 +공급망 참여자(개발사, 공급사, 운영사)들은 SW 공급망에서 안전한 SW 개발·운영을 위한 각자의 역할을 +완수해야 함 +•미국의 지속적인 보안 프레임워크(ESF, Enduring Security Framework5))는 안전한 SW 개발·운용을 위한 +공급망 참여자들의 보안활동을 제시(`22. 8월) +개발사 SW의 설계와 구현, 검증 등 개발 단계에서 보안 활동을 통해 보안취약점을 최소화해야 할 +뿐만 아니라, SW에 포함된 라이브러리와 빌드 및 배포 체계의 보안성을 확보하여야 함 +공급사 보안 요구사항 충족 확인, 타사 SW의 검증, 실행 파일의 테스트를 통해 SW 제품의 보안을 +검증하고, 보안취약점을 발견했을 때는 고객(운영)사에 이를 알리고, 보안취약점에 대응해야 함 +운영사 보안 요구사항과 공급망 위험관리(SCRM) 요구사항을 정의하고, 이에 따라 SW 인수테스트를 +진행하며, 제품 적용 및 생명주기 관리에 필요한 보안 및 공급망 위험관리 대책을 구현해야 함 +5) ESF는 CISA, NSA 등이 참여, 주요 인프라 및 국가 안보 시스템에 대한 위험을 해결하기 위한 민관 파트너십, 다만, 국내에 적용할 +때는 미국 환경과 다소 차이가 있을 수 있음을 고려할 필요 + + +![이미지 8-0](images/p0008_img0.png) + + +![이미지 8-2](images/p0008_img2.png) + + +![이미지 8-3](images/p0008_img3.png) + + +![이미지 8-4](images/p0008_img4.png) + + +![이미지 8-7](images/p0008_img7.png) + + +![이미지 8-8](images/p0008_img8.png) + + +![이미지 8-11](images/p0008_img11.png) + + +![이미지 8-12](images/p0008_img12.png) + + +![이미지 8-13](images/p0008_img13.png) + + +![페이지 8 렌더링](images/p0008_full.png) + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +요약본 +5 +(안전한 SW 개발 체계의 활용) SW 공급망 참여자들은 공급망 보안활동을 수행할 때 NIST의 ‘안전한 SW +개발체계(SSDF6))’를 활용할 수 있음 +•인력과 프로세스, 기술이 안전한 SW 개발을 수행할 수 있도록 준비되어 있는지 확인 +•SW의 모든 구성요소가 변조되거나 비인가 접근이 이루어지지 않도록 보호하며, SW를 출시할 때 보안취약점을 +최소화하여 보안이 잘 갖춰진 SW를 개발 +•출시된 SW에 남아있는 보안취약점을 파악하고 해당 보안취약점을 해결하기 위해 적절히 대응하고 향후 유사한 +보안취약점이 발생하지 않도록 예방 +[ SSDF의 주요 특징 ] +① 안전한 SW 개발에 관한 지식이 없어도 이해할 수 있는 공통 언어를 제공하여 조직 내·외부 +이해관계자*가 소통하는 데 도움을 줌 +* 조직 내부의 사업 책임자, SW 개발자, 프로젝트 관리자, 사이버보안 전문가, IT 운영자, 보안취약점이 적은 SW +확보가 필요한 조직 외부의 SW 구매자 등 +② 사용하는 SDLC 모델과 관계없이 적용할 수 있으며, 기술, 플랫폼, 프로그래밍 언어, 운영 환경과 +관계없이 모든 유형의 SW 개발에 사용할 수 있음 +•SSDF는 위의 권고를 충족하는 방법으로 조직 준비(Prepare the Organization, PO), SW 보호(Protect the +Software, PS), 보안성 높은 SW 개발(Produce Well-Secured Software, PW), 보안취약점 대응(Respond to +Vulnerabilities, RV) 등 각 원칙에 관한 자세한 설명과 필요한 과업(Task)을 제시하였음 +제2절 +SW 구성요소의 신뢰성 확보 방안 +(SW 구성요소 명세서, SBOM) 대표적인 SW 공급망 공격 사례인 SolarWinds 및 Log4j 공격이 큰 피해를 +낳으면서, SW에 어떤 구성요소가 존재하는지 신속하게 파악하고, 위험에 대처하기 위한 도구로 SBOM 활용이 +부각 +•SW 제작 시에 외부 라이브러리나 공개 SW를 포함하여 SW 공급망이 복잡해지고, 보안취약점이 증가함에 따라 +이를 추적하고 관리해야 할 필요성이 대두 +6) Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software +Vulnerabilities, NIST SP 800-218(2022년 2월) + + +--- + +6 +SW 공급망 위험관리 방안 + +## 제2장 + +(SBOM 최소요건) 美 NTIA(National Telecommunications and Information Administration)는 SBOM을 SW +구성요소의 투명성 강화 방안으로 사용하기 위해 최소요건을 제시 +•SBOM의 최소요건은 ①데이터 필드(Data Fields), ②자동화 지원(Automation support), ③관행 및 +프로세스(Practices and processes) 영역을 포함 +- 데이터 필드는 ‘공급자명’, ‘타임스탬프’, ‘저작권자’, ‘구성요소명’, ‘버전’, ‘고유식별자’, ‘종속성 관계’ 총 7개의 +기본항목을 포함 +- 자동화 지원을 위해 SBOM은 컴퓨터 시스템 간 교환이 용이하도록 정해진 형식에 맞춰야 하며, 3가지(SPDX, +CycloneDX, SWID) 포맷을 활용하는 것을 SBOM 공유 및 교환을 위한 자동화 요구사항으로 정의 +- 관행 및 프로세스(Practices and processes) 영역는 SBOM을 업데이트하고 제공해야 하는 방법과 시기와 +관련된 6가지 요구사항7)을 정의 +(SBOM 활용) SW 공급망 참여자들은 SBOM을 통해서 보안취약점, 공개 SW 라이선스 등을 관리할 수 있음 +•(알려진 보안취약점 관리) SCA8) 도구를 이용 SBOM을 생성하고, 이를 기반으로 알려진 보안취약점 정보와 +비교하는 방식으로 보안취약점 검출 +① SBOM 생성 후 SW 구성요소를 식별하고,‘Vulnerabilities’ 항목 등에서 알려진 보안취약점 정보(CVE, KEV +등)9)를 확인 +② 상용 및 공개 SW에서 발견된 보안취약점에 대하여 미국 NVD(National Vulnerability Database)가 제공하는 +보안취약점 정보 확인(https://nvd.nist.gov/vuln/detail/{CVE_ID}) +③ NIST에서 제공하는 보안취약점의 영향범위와 심각도 등을 활용하여 위험 수준을 평가하고 조치 우선순위를 +지정10), CVSS11)는 NVD 보안취약점 데이터베이스에서 정한 심각도와 기본 점수(Base Score)의 등급으로 +위험도를 나타냄(V2.0과 V3.0 두가지 방식으로 제공) +7) ① Frequency, ② Depth, ③ Known Unknowns, ④ Distribution and Delivery, ⑤ Access Control, ⑥ Accommodation of Mistake +8) SCA : SW 구성요소 분석(Software Composition Analysis) 기술로 상용 및 공개 SW 도구가 있음 +9) CVE(Common Vulnerabilities Exposures)란, 공개적으로 알려진 컴퓨터 보안 결함의 목록, CVE는 보통 CVE ID 번호가 할당된 +보안 결함을 뜻함, KEV(Known Exploited Vulnerability)는 악용 사례가 알려진 보안취약점으로써, 공격 가능성이 매우 높아 보완 +조치가 시급함 +10) https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator +11) CVSS(Common Vulnerabilities Scoring System)는 공격자가 보안취약점을 악용할 때 미치는 영향과 보안취약점의 위험도를 +나타내며, 0.0 ~ 10.0 숫자가 높을수록 위험도가 더 높음 + + +![페이지 10 렌더링](images/p0010_full.png) + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +요약본 +7 +SBOM에 연계된 보안취약점 정보 예시(CycloneDX 포맷) +NVD를 통한 알려진 보안취약점(CVE) 조회 화면 +④ 보안취약점에 대한 조치계획 수립 및 관련자와 보안취약점 정보공유 +- 타사 SW 구성요소 등에서 발견된 보안취약점에 대하여 NVD 조치 방안을 확인, 탐지된 보안취약점에 대한 +조치계획을 수립하고, 우선순위에 따라 개발기업, 운영기업(기관) 등에 해당 컴포넌트 정보를 공유 +- 특히, CVSS 7.0 이상의 높은 위험도를 가진 보안취약점은 보안 담당자 등과 즉각적인 완화조치를 +수행하거나, 조치 방안과 시기를 협의할 필요가 있음. 다만, 위험도 판단에는 CVSS 외에 CISA의 KEV +등과 같이 추가적인 지표를 활용할 수 있음 + + +![이미지 11-0](images/p0011_img0.png) + + +![이미지 11-1](images/p0011_img1.png) + + +![이미지 11-2](images/p0011_img2.png) + + +--- + +8 +SW 공급망 위험관리 방안 + +## 제2장 + +(SBOM의 효과성) SBOM은 SW를 개발하거나, 구매할 때 또는 시스템 운영에도 활용할 수 있음 +•[개발자]는 공개 SW 및 타사 SW의 구성요소12)를 사용하여 제품을 만드는 경우가 많음. 이 경우 SW 개발 +기업은 SBOM을 통해 해당 구성요소가 최신 버전인지 식별하고, 새로운 취약성에 신속하게 대응할 수 있음 +•[구매자]는 SBOM을 사용하여 투명하게 취약성 또는 라이선스 분석을 수행할 수 있으며, 이 두 가지 분석은 +제품의 전반적인 위험 수준을 평가하는 데 활용할 수 있음 +•[운영자]는 SBOM을 활용하여 새로 발견된 보안취약점이 잠재적 위험에 노출되어 있는지를 쉽고 빠르게 +확인하고 관리할 수 있음 +12) SBOM은 기본적으로 SW 구성요소가 가진 종속성(Dependency)을 연결하는 트리(Tree) 구조의 형식으로, 이를 통해 Log4j와 +같이 여러 시스템과 패키지에서 사용하는 SW 구성요소를 빠르게 식별할 수 있음 + + +![페이지 12 렌더링](images/p0012_full.png) + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +요약본 +9 +•SBOM 표준은 SBOM 공유 및 교환을 위한 자동화 요구사항으로 국내에서도 다양한 SBOM 포맷 개발과 +표준화가 이루어지고 있음 +•특히, 미국 NTIA에서는 빠른 시장 적용을 위해 3가지(SPDX, CycloneDX, SWID)를 인용, 다만, SWID는 +보안취약점 관리에 활용되지 않고 있음 +구 분 +SPDX +CycloneDX +SWID +목적 +라이선스 관리 +공급망 보안 관리 +미국 정부의 SW 자산 +및 보안 관리에 활용 +개발 기관 +리눅스재단 +OWASP +미국 상무부 지원 프로젝트 +주요 대상 +공개 SW +공개 SW +상용 SW (주로 라이선스 추적·관리) +표준 (년도) +ISO/IEC 5962(‘21.8월) +- +ISO/IEC 19770-2(‘15) +파일 형식 +.rdf, .xls, .spdx, .json, .yml, .xml +.xml, .json +xml +•또한, 국내에서도 정부 및 민간 차원에서 각각 SBOM 표준 개발을 위해 노력 중 +- (민간) SBOM 단체표준(TTAK.KO-11.0182)은 SPDX v2.0을 참조하여 국내 활용을 위해 +개선한 것으로 공개 SW 정보 교환 명세(Open Source Software Package Data Exchange +Specification)에 중점을 두었고, 현재는 “공개 SW 공급망 관리를 위한 SW 목록 구성(SBOM) 속성 +규격”(TTAK.KO-11.0309, ‘22.12월)이 있음 +- (정부) 국가정보원은 국가·공공기관에 도입되는 SW의 공급망 보안 관리 체계를 구축하기 위해 민관 +협력으로 SBOM 기본항목을 개발, NIS-SBOM 기본항목은 ❶ 기본항목 간소화 ❷ 보안취약점 +정보연동 ❸ 사이버 위험관리 효율성 향상을 목표로 20개 기본항목을 정의하고 있음 +또한, NIS-SBOM은 20가지 기본항목의 +SBOM Standard, +SBOM Type, +CycloneDXNo, +SPDX Doc. ID, +SBOM ID, +Product Name, +Product Version, +Component Name, +Component Alias, +Component Version, +Component Supplier Name, +Component Hash, +Component Path, +SBOM Author Name, +Unique Identifier, +Dependency Relationship, +Timestamp, License Name Version, Vul. DB, Vul. Info 임 +국내외 SBOM 표준화 현황 +참고 + + +--- + +10 +SBOM 기반 SW 공급망 강화 방안 + +## 제3장 + +SBOM 기반 SW 공급망 강화 방안 + +## 제3장 + +제1절 +SW 공급망 위험관리를 위한 SBOM 확산 +(SBOM 기반 SW 공급망 보안) 외부 SW 또는 자체 개발 SW는 다양한 공개 SW를 포함할 수 있으며, +SBOM 기반 SW 공급망 보안 관리 체계를 통해 보안취약점 등 공개 SW 활용에 따른 위험에 대응할 수 있음 +내·외부 SW 활용 및 SW 공급망 예시 +•위 그림의 a~d까지 공개 SW가 포함되는 각 SW 개발 생명주기 단계마다 SBOM 관리 체계를 구축하고, 보안 +위험이 해소된 SW를 유통해야 함 +- 모든 SW 구성요소에 대한 SBOM 생성이 어려운 경우, 타사 라이브러리 및 공개 SW 구성요소를 중심으로 +작성자 등 출처 정보와 종속성 관계(Dependency Relationship)를 관리하는 체계를 우선 구축 +•(개발사) SW 개발 생명주기 전반에 걸친 SW 위험관리를 위해 기초 데이터가 되는 SBOM 생성을 위한 필수 +설비를 구축·활용 +- SBOM 도구(공개 SW 및 상용 도구), SW 구성요소 저장소, SBOM 데이터베이스(DB), SW 위험 평가 및 +관리를 위한 자체 보안취약점 DB 및 NVD 연계 등은 SBOM 기반 SW 공급망 보안을 위한 기초 설비임 +- 이와 같은 SBOM 기초 설비를 바탕으로 SW 공급사, 운영사에 대한 SW 구성요소 자산 파악과 보안패치 등을 +통해 사이버보안 위협에 선대적 대응 및 신속한 사후 대응도 가능 + + +![페이지 14 렌더링](images/p0014_full.png) + + +![이미지 14-1](images/p0014_img1.png) + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +요약본 +11 +SW 개발 생명주기에 따른 SBOM 관리 체계 구성 방안(개발사) +•(공급사 및 운영사) 개발사 → 공급(유통)사 → 운영사로 이어지는 SW 공급망에 대한 SBOM 유통 체계를 구축 +- 공공기관 및 협단체 등에 ‘산업별 SW 공급망 거점’을 구축하고 다수의 공급망 생태계에 검증된 정보를 +제공하는 것이 이상적인 체계 +산업별 거점을 활용한 SW 공급망 위험관리 구성도 +SBOM 기반 SW 공급망 보안 체계의 활용 기대효과 +[소비자 신뢰성 향상] 공급망 내 투명한 자산관리, 라이선스 관리, 보안취약점 관리를 통해 소비자들이 +안심하고 활용할 수 있는 기반 제공 +[글로벌 무역장벽 대비] 미국, 유럽 등 SBOM 제출을 제도화하는 움직임에 체계적으로 대비하여 국가 +신뢰도를 높이며, 해외시장 진출을 위한 기업 경쟁력 강화에 도움 + + +![이미지 15-0](images/p0015_img0.png) + + +--- + +12 +SBOM 기반 SW 공급망 강화 방안 + +## 제3장 + +제2절 +SBOM 기반 SW 공급망 보안 실증 +(SBOM 실증) 국내 정부·공공기관 및 민간 기업들의 SBOM 도입 활용과정에서 시행착오를 줄일 수 있도록 +① SBOM 활용 전에 수행하는 SBOM 유효성 분석, ② SBOM을 활용한 컴포넌트 관리사례, ③ SBOM을 활용한 +보안취약점 탐지 및 조치 사례를 제시 +•(실증개요) 국산 SW의 SBOM 생성·활용을 통한 SBOM 기반 SW 공급망 보안 관리 실증 +구 분 +주요 내용 +실증대상 +•의료, 보안 분야 SW 3종(소스코드, 바이너리) +실증도구 +•개발·유통단계 지원 솔루션(1종), 운영·유지보수 단계 지원 솔루션(1종) +•무료 SBOM 생성·점검 지원 도구(2종) +실증내용 +•SBOM 생성 및 검증, 보안취약점 탐지·조치, SW 개발기업 대상 공급망 보안 관리 체계 +점검 지원 +- SW 개발기업의 환경분석을 실시한 후, 담당자 인터뷰를 통해 세부적인 SW 개발환경, 공급망 보안 관리 +체계, 대상 SW의 특성 등을 파악 +- SBOM을 생성하고 유효성을 검증한 후 검증된 SBOM에서 보안취약점 분석 및 대상 기업의 공급망 보안 관리 +체계를 점검 +- 이를 기반으로 해당 기업의 SW 개발자 인식 및 개발 프로세스 개선 등 공급망 보안 관리 체계 향상을 위한 +보안 컨설팅 제공 +•(SBOM 유효성 검증) 정확하고 신뢰성이 높은 SBOM을 SW 공급망 내에서 원활하게 유통하고 관리하기 위한 절차 +- 자동화된 도구로 SBOM 생성 시, SBOM 항목 일부가 누락 되거나 중복되는 현상 등을 수정하는 절차로 +유효성 검증 시 SW 개발자의 참여는 필수 +① 개발자의 성향에 따라 의도 또는 비의도적 변경 등으로 일부 SW 구성요소의 누락, 오기 등과 같이 +부정확한 SBOM 결과가 생성될 수 있음 +* 예시) OPENSSL -> OpenSL, SSL 등으로 컴포넌트명을 변경하여 사용 +② 소스코드 또는 바이너리 등 대상에 따라 추출한 SBOM 결과가 다르며, 개발언어에 따라 추출한 +SBOM 결과도 다를 수 있음(SBOM 도구 도입 시 필수 고려사항) +③ SW 개발과정에서 환경적 요인(개발/구축 시 등)에 따라 개발자가 인지하지 못한 새로운 SW +구성요소가 발견될 수 있음 + + +![페이지 16 렌더링](images/p0016_full.png) + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +요약본 +13 +SBOM 유효성 검증 요령 +❶ (개발자 확인) 개발자와 함께 SW 제품 개발에 대한 상세 현황 정보와* 추출한 SBOM 데이터를 +비교하여 오탐 또는 과탐 여부 등을 검토 +* 제품정보 : 기업명, 서비스명, 개발언어, 패키지 형태, 개발 프레임워크, 공개 SW, 상용 SW, 빌드시스템, 형상 +관리시스템 등 +❷ (완전성 확인) CycloneDX, SPDX 등 SBOM 표준에서 정한 기본항목 누락 여부 및 항목별 내용이 +표준 요구 내용과 일치하는지 확인 +•(SW 컴포넌트 관리) 개발사들은 공개 SW 또는 제3자 개발 SW의 정확한 컴포넌트 관리를 통해서 SW +자산관리, 라이선스 관리, 보안취약점 관리가 가능 +※ 본 실증에서는 ①개발 단계에서는 소스코드, ②유통 단계에서는 바이너리 설치파일을 대상으로 SBOM을 +생성하고 분석을 진행 +- 대상 SW의 SBOM 분석 결과, 개발자가 인지하지 못한 공개 SW 컴포넌트가 식별되었으며, SW 설치 후 대상 +SW와 연결되는 라이브러리에 포함된 공개 SW 컴포넌트도 추가로 발견할 수 있었음 +- 또한, SBOM 분석 방식(소스코드 또는 바이너리) 및 사용 도구 종류에 따라 SBOM 정보가 서로 일치하지 +않을 수 있음을 확인13) +컴포넌트 관리 요령 +❶ SW를 개발·유통하는 과정에서 변경·수정되는 SW 제품에 대한 SBOM을 지속 공유해야만, 누락 +없는 컴포넌트 관리가 가능 +❷ 개발자(기업)가 인지하지 못한 공개 SW 컴포넌트와 SW를 설치 후 생성되는 공개 SW 컴포넌트를 +추가하여 관리 +❸ 소스코드, 바이너리, 의존성을 종합적으로 분석한 SBOM을 관리하여야, 신뢰성 높은 보안취약점, +라이선스, SW 자산관리가 가능 +※ SBOM 유효성 검증 및 SW 컴포넌트 관리는 SBOM 활용의 필수사항으로 요약본에서 소개하였으며, +SBOM을 활용한 보안취약점 관리 및 보안 컨설팅 등에 관한 세부사항은 전체본 제3장 참고 +13) 분석방식(소스코드와 바이너리)에 따라 SBOM 정보가 상이함, 또한 바이너리 대상 분석은 분석하는 기술과 DB가 달라서 도구 간 +격차가 큰 것으로 판단, 신뢰성 높은 SBOM 생성 및 유통을 위해 2개 이상의 도구를 이용한 교차 검증이 필요 + + +--- + +14 +SBOM 기반 SW 공급망 강화 방안 + +## 제3장 + +제3절 +SW 보안취약점 점검 지원 테스트베드 +(기업지원허브, 판교) 일반 국민들과 중소기업들의 애로사항을 해결하기 위하여 기업지원허브를 개소하고, +사이버보안 위협 시연 및 보안취약점 점검, 견학·교육 프로그램 등을 지원(`15.10월~) +•(사이버보안 위협시연) 디지털기술의 융·복합 확산 동향에 맞춰서 연차별로 분야를 확대 및 개선하여 서비스 중14) +•(보안취약점 점검지원) 다양한 디지털 제품·서비스의 보안 내재화를 위해 중소기업 등이 자체 검증하고 보완할 +수 있는 환경 제공 +- SBOM 도구(소스코드, 바이너리) 등 전문 도구를 활용하여 다양한 분야의 디지털제품 및 서비스의 소스코드, +펌웨어, 통신 프로토콜 등의 보안취약점 점검 지원 +(디지털헬스케어 보안 리빙랩, 원주) 디지털헬스케어기기 등에서 발생할 수 있는 사이버보안 위협 시연, +디지털헬스케어 기기 및 서비스에 대한 보안성 테스트 등 기업 지원을 위해 구축(`20.12월) +•(사이버보안 위협시연) 다양한 분야의 종사자들이 디지털헬스케어 기기 및 서비스에 대한 사이버위협을 +체감할 수 있도록 ① 환자 의료정보 모니터링 시스템 데이터 변조, ② 영상정보처리시스템 데이터 변조, ③ +개인의료장비(심박기, 약물주입기) 트래픽 변조를 통한 오작동 유도, ④ 네트워크(통신 구간 미암호화) 보안 +취약점을 통한 병원 모니터링을 다양한 시나리오를 통한 위협 시연 +•(보안취약점 점검지원) 디지털헬스케어기기의 네트워크 보안취약점 점검, 소스코드 보안취약점 점검 등을 지원 +중, ‘24년 상반기부터 SBOM 생성 도구를 도입하여 SBOM 생성 및 보안취약점 조치를 지원 +•(의료기기 인허가 지원) 디지털헬스케어 보안리빙랩에서 보안취약점 조치 확인서를 받아서 의료기기 +인·허가시 첨부할 경우 사이버보안 시험항목은 기준을 만족한 것으로 갈음 +- 디지털헬스케어기기 인허가 지원은 식약처와 협의를 통해 연 8~9건을 선정하여 지원 +(국가사이버안보협력센터 기술공유실, 판교) 급격하게 발전하는 ICT 기술의 안전성을 선제적으로 +확인하고, 보안업체·시험기관에게 고가·신기술 융합제품에 대한 안전성 평가 기술 지원(`22.11월 개소) +•(공급망 보안 테스트베드) Log4j·3CX 등 공개 SW의 보안취약점을 악용한 공급망 공격이 지속 발생함에 따라 +SW 공급망 보안 강화를 위해 ❶ SBOM 생성 자동화 ❷ SBOM 관리 ❸ SW 보안취약점 추적·관리 등을 실증할 +수 있는 테스트베드의 필요성 대두 +- 국가·공공기관에 도입되는 SW제품의 투명성 및 신뢰성을 확인하고 보안취약점을 식별·추적할 수 있는 +SBOM 기반 공급망 보안 관리 체계를 실증할 수 있는 테스트베드를 기술공유실에 구축 +- 국내외 상용 SW 분석도구(SCA) 3종이 선별 적용되었으며, 분석도구를 활용 SBOM 생성 및 유효성 검증을 +실시 +14) 홈·에너지(‘15), 교통(’16), 의료(‘17), 안전·재난·환경(’18), 건설(‘19) 분야 시연환경, 홈 리빙랩(’20) 구축, 테스트베드 VR(‘21), +메타버스(’22) 제작 및 드론·의료 시연환경 개선(‘23) 등 현재 6종의 사이버보안 위협 시연 + + +![페이지 18 렌더링](images/p0018_full.png) + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +요약본 +15 +- 신뢰성 높은 SBOM 생성도구의 조건 네 가지를 식별할 수 있었으며, 각 도구의 장점을 통합한 SBOM +통합엔진을 개발, 테스트베드에 적용 +•(발전계획) 향후 산·학·연 전문가들과 SW 공급망 보안 통합관리 체계 구축 방안을 지속적으로 논의하면서 각 +방안들을 실증할 수 있는 테스트베드로 발전시켜 나갈 계획 +제4절 +SBOM 기반 SW 공급망 보안 발전 제언 +가. 개발기업의 SW 투명성 확보 지원 +국내 중소기업들이 SW 공급망 보안 체계를 구축하기 위해서는 인력 및 시설 등에 대한 투자가 필요하며, +기업들의 이와 같은 초기 투자에 대한 부담을 완화하기 위해서 범정부 차원의 지원센터 운영, SBOM 기반의 SW +공급망 보안 관리 체계 도입 지원 및 SW 공급망 보안 관리 공통모델 연구 필요 +나. SBOM 및 SW 공급망 보안에 대한 적극적 투자 +기업 차원에서 SW 공급망에 대한 사이버 위협에 대응하고, 미국 및 유럽 등 주요국 시장에서 추진하고 있는 +무역장벽에 대응하기 위해 SBOM 및 공급망 보안 기술 확보를 위한 적극적인 투자가 필요. 보안 수준이 높은 기업은 +신뢰도가 향상되고, 신뢰도가 높은 기업의 제품 및 서비스는 소비자가 믿고 구매할 수 있음을 잊지 말아야 할 것임 +다. 공급자와 수요자가 연계되는 SBOM 기반 공급망 보안 관리 +기관 내 IT 자산과 SW, 그리고 SW의 구성요소를 같이 관리하고 관련 보안취약점을 지속적으로 모니터링할 수 +있는 입체적인 관리 체계를 구축할 필요. 이렇게 함으로써 SW 개발기업과 수요기업의 공급망 관리 체계가 연동될 +수 있다면 상호 시너지 효과를 발휘할 수 있고, 산업 전반에서 선순환 효과를 창출할 수 있게 될 것임 +라. 안전한 SW 개발 환경 조성 등 사이버 복원력 강화 +SW 위험관리 및 사이버 복원력을 강조하고, 향후 이를 제도적으로 구체화하고 실행하기 위한 법적, 기술적 +프레임워크를 도입할 필요. 시장에 공급되는 SW 제품 및 서비스 등의 생애주기 전반에서 보안관리를 강화하고, +소비자가 보안성 내재화 여부를 고려할 수 있도록 제도화(보안적합성, IoT 보안 라벨링 등) 하는 방안도 필요 +마. SBOM의 안전한 활용 및 기밀성 보장 기반 공유 방안 +SBOM은 기업들이 공개를 꺼리는 다양한 정보를 포함할 수 있음. 따라서 SBOM 활용에 따른 SW 개발기업의 +리스크를 최소화하면서도 보안취약점 관리를 통해 수요자의 보안 리스크도 동시에 최소화 할 수 있는 방안 필요. +이를 해결하기 위해 SBOM의 기밀성을 보장하면서 동시에 SBOM을 안전하게 공유하는 기술에 대한 다양한 +연구가 필요 + + +--- + + + +--- + +요약본 +2024년 5월 13일 1판 1쇄 +발행처 한국인터넷진흥원 +나주시 진흥길 9 한국인터넷진흥원 +제 작 국가정보원, 과학기술정보통신부, 디지털플랫폼정부위원회, +한국인터넷진흥원 +SW 공급망 보안 가이드라인은 +크리에이티브 커먼즈 저작자 표시-비영리-변경금지 2.0 +대한민국 라이선스에 따라 이용할 수 있습니다. + + +--- + +요약본 diff --git "a/\353\254\270\354\204\234/SW_\352\263\265\352\270\211\353\247\235_\353\263\264\354\225\210_\352\260\200\354\235\264\353\223\234\353\235\274\354\235\270_\354\240\204\354\262\264\353\263\270.md" "b/\353\254\270\354\204\234/SW_\352\263\265\352\270\211\353\247\235_\353\263\264\354\225\210_\352\260\200\354\235\264\353\223\234\353\235\274\354\235\270_\354\240\204\354\262\264\353\263\270.md" new file mode 100644 index 0000000..47d0c34 --- /dev/null +++ "b/\353\254\270\354\204\234/SW_\352\263\265\352\270\211\353\247\235_\353\263\264\354\225\210_\352\260\200\354\235\264\353\223\234\353\235\274\354\235\270_\354\240\204\354\262\264\353\263\270.md" @@ -0,0 +1,3695 @@ +# 240525-(전체본)_SW_공급망_보안_가이드라인_최종 수정본.pdf + +> Converted: 2026-04-08 16:34 + + +--- + +05 + + +--- + +2024. 05 + + +--- + +날로 증가하는 사이버 위협에 대응하기 위해서는 디지털 인프라의 근간인 소프트웨어(SW)와 SW +공급망의 신뢰성을 강화해야 합니다. SW를 포함한 디지털 제품에 포함될 수 있는 악성코드와 +보안취약점을 악용한 사이버 공격을 사전에 방지하고, 사고 발생 시 신속하게 대응할 수 있는 +SW 공급망 보안체계 수립을 위해 범정부적 노력이 필요합니다. +본 가이드라인은 국내 정부·공공기관 및 기업 관계자가 SW 공급망 보안 관련 국제동향을 +비롯하여 SW 공급망을 위협할 수 있는 악성코드 및 보안취약점 관리 등에 관한 제반 사항을 +쉽게 이해하고 활용할 수 있도록 지원하기 위해 마련되었습니다. +SW 개발과정에서 공개 SW와 같이 외부에서 개발된 SW의 사용 비중이 높아짐에 따라 SW에 +포함된 악성코드 및 보안취약점 관리의 중요성이 커지고 있습니다. 일례로 공개 SW로 널리 +활용되고 있는 ‘Log4j(자바 로깅 라이브러리)’의 보안취약점을 악용한 사이버보안 사고는 2021년 +국내외에서 큰 피해를 입히며 맹위를 떨쳤던 대표적인 SW 공급망 공격사례입니다. +이와 같은 SW 공급망 공격은 대상 범위가 넓고 연쇄적 사고로 이어지며, 즉각 조치하지 +못할 경우 수년간 피해가 지속되는 등 파급력이 큰 특징을 나타내고 있습니다. 그러나 SW의 +보안취약점을 효과적으로 찾아내고 관리할 수 있다면 사전에 이를 예방할 수 있고, 사고 발생 +시에는 타 사용자들에게 사고 상황을 빠르게 전파할 수 있을 뿐만 아니라, 신속하고 효과적인 +복구를 지원하는 등 효율적인 대응이 가능합니다. +미국, 유럽 등 주요국은 SBOM(SW Bill of Materials)을 활용하여 SW의 신뢰성 확보에서 +보안취약점 관리에 이르기까지 SW 공급망 보안 강화가 가능하다고 판단하고, SBOM을 적극 +활용하기 위한 제도화를 추진하고 있습니다. +Introduction +서문 + + +--- + +미국은 지난 2021년 5월, 연방정부에 SW를 납품할 때 SBOM을 포함한 보안관리 자체증명서 +(Self Attestation Form)를 제출하도록 하고 이를 위한 세부 이행계획을 마련 중이며, 유럽연합(EU)도 +역내에 공급(유통)되는 디지털 제품의 보안취약점 관리를 주요 내용으로 하는 ‘사이버복원력법 +(CRA, Cyber Resilience Act)’ 제정안에 대해 EU 의회(Parliament)와 EU 이사회(Council)가 +정치적으로 합의(’23.12월)하였고, 2024년 3월에는 EU 의회에서 제정 법안을 승인하는 등 +법제화가 진행 중입니다. 그러나 SW 공급망의 신뢰성 강화를 위해 SBOM 제출을 의무화하는 +것은 SW 개발기업은 물론 공급(유통)·수요 기업 등에게도 비용·인력 측면에서 현실적인 부담이 +될 수 있습니다. +이에 국가정보원·과기정통부·디지털플랫폼정부위원회는 국내에 효과적으로 적용할 수 있는 +SW 공급망 보안 강화방안을 마련하기 위해 산·학·연 전문가들과 협력하여 글로벌 동향을 +분석·토론하였고, 국내 중소기업들이 제품 및 서비스 개발단계에서부터 SW 보안취약점을 +찾아내고 보완할 수 있도록 기업 지원 시설을 보강하는 한편, 국산 SW 제품을 대상으로 SBOM +생성, 보안취약점 분석 및 조치 등에 관한 실증도 진행하였습니다. 금번 가이드라인에는 이와 +같은 전문가 논의 결과, 중소기업 지원 경험 및 SBOM 국내 실증결과가 반영되었습니다. +본 가이드라인을 통해 SW 공급망 보안에 대한 사회적 인식이 새롭게 정립될 수 있기를 +바랍니다. 정부는 앞으로도 해외사례 및 제도들을 모니터링하고, 주요 국가들과 협력을 +강화하면서 가이드라인을 지속적으로 보완하고 발전시켜 나갈 계획입니다. + + +--- + + + +--- + +제정일 +버전 +내역 +비고 +2024. 5. +1.0 +「SW 공급망 보안 가이드라인 v1.0」 제정 +문서이력 + + +--- + +C o n t e n t s +추진배경 / 1 +제1절 +제1절 환경변화 / 2 +1. [변화-1] 초연결 사회의 도래 / 2 +2. [변화-2] SW 부품 공급의 분업화 / 3 +3. [변화-3] 공개 SW 사용의 확대 / 4 +제2절 +SW 공급망 위기 대응의 필요성 / 5 +1. SW 공급망 공격 대응의 문제 / 5 +2. SW 공급망 침해사고의 피해 규모 / 6 + +## 3. 공개 SW 사이버보안 관리의 중요성 / 7 + +4. SW 공급망 공격의 주요 유형 및 대상 / 9 +제3절 +주요국 SW 공급망 보안 정책 동향 / 14 + +## 1. 미국 / 14 + + +## 2. 유럽연합(EU) / 16 + + +## 3. 일본 / 17 + +4. Quad 사이버보안 파트너십 / 18 + +## 5. 시사점 / 19 + + +## 제1장 + +SW 공급망 위험관리 방안 / 20 +제1절 +안전한 SW 개발환경의 필요성 / 21 + +## 1. 공급망의 사이버보안 위험관리 개요 / 21 + +2. SW 개발·운영 환경의 공급망 보안체계 구축 방안 / 24 +제2절 +SW 구성요소의 신뢰성 확보 방안 / 32 +1. SBOM이란? / 32 +2. SBOM의 필요성 및 효과성 / 33 +3. SBOM 최소 요건 / 35 +4. SW 보안취약점 및 라이선스 관리방안 / 38 +제3절 +SBOM 기반 SW 공급망 보안 강화 방안 / 45 +1. SW 위험관리를 위한 SBOM 기반 확산 / 45 + +## 제2장 + +SW 공급망 보안 국제동향 및 SBOM 활용사례 + + +--- + +SBOM 기반 SW 공급망 보안 활성화 지원 / 64 +제1절 +SW 보안취약점 점검 지원 테스트베드 / 65 + +## 1. 기업지원허브(판교) / 65 + + +## 2. 디지털헬스케어 보안 리빙랩(원주) / 67 + + +## 3. 국가사이버안보협력센터 기술공유실(판교) / 71 + +제2절 +SW 공급망 보안을 위한 SBOM 개발 / 77 + +## 1. 국내 SBOM 표준 사례 / 77 + + +## 2. 국가정보원 제안 SBOM 기본항목 / 79 + +제3절 +SBOM 기반 SW 공급망 보안 발전 제언 / 85 + +## 제4장 + +맺음말 / 87 + +## 제5장 + +SBOM 기반 SW 공급망 보안 실증사례 / 50 +제1절 +SBOM 생성·활용 실증사례 / 51 + +## 1. 실증 개요 / 51 + +2. SBOM 생성 과정에서 SBOM 유효성 검증 / 52 +3. SBOM 도구를 활용한 컴포넌트 관리사례 / 54 +4. SBOM을 활용한 보안취약점 탐지 및 조치 / 57 +제2절 +SW 공급망 보안 관리체계 점검 실증사례 / 59 +제3절 +자가 점검용 SW 공급망 단계별 체크리스트 / 61 + +## 제3장 + + +--- + +C o n t e n t s +[그림 1] 공급망 생태계 기본 모형 … …………………………………………… 2 +[그림 2] 전통적인 공급망과 SW 공급망 비교 … ……………………………… 3 +[그림 3] 2024년도 사이버보안 위협분석과 전망 리포트[KISA] … ………… 4 +[그림 4] 공개 SW 사용률 분석(OSSRA Report 2023) … …………………… 8 +[그림 5] EU 사이버 복원력 법안 개정 주요 내용 …………………………… 16 +[그림 6] 공급망 전반의 사이버보안 위험 예시 …………………………………22 +[그림 7] 다단계 전사적 위험관리(C-SCRM) 개요 … ……………………… 23 +[그림 8] SW 공급망 참여자에 따른 보안 활동 ……………………………… 24 +[그림 9] SW 공급망 보안 개발 프로세스 … ………………………………… 25 +[그림 10] NShiftKey 보안 체크 화면 … ……………………………………… 31 +[그림 11] SBOM 활용의 효과성 ……………………………………………… 33 +[그림 12] SBOM 도입 효과성 분석 … ……………………………………… 34 +[그림 13] SBOM에 연계된 보안취약점 정보 예시(CycloneDX 포맷) … … 38 +[그림 14] NVD를 통한 알려진 보안취약점(CVE) 조회 화면 ……………… 39 +[그림 15] 기본 점수에 따른 악용 가능성 분석 예시(CVSS Calculator) …… 40 +[그림 16] NVD 보안취약점의 조치방안(Log4j 예시) … …………………… 40 +[그림 17] 공개 SW 라이선스 분류 …………………………………………… 41 +[그림 18] SBOM 라이선스 탐지 예시(SPDX 포맷) ………………………… 43 +[그림 19] SW 공급망과 내·외부 SW 유형 예시 …………………………… 45 +[그림 20] SW 개발 생명주기에 따른 SBOM 구성 방안(개발사) … ……… 46 +[그림 21] 산업별 거점을 활용한 SW 위험관리 구성도 … ………………… 47 +[그림 22] SW 공급망 관리센터 체계도 ……………………………………… 48 +[그림 23] SBOM 생성·공급(유통) 체계도 …………………………………… 49 +[그림 24] SBOM 기반 공급망 보안 관리 실증 절차 ……………………… 51 +[그림 25] 소스코드에서 검출된 컴포넌트 리스트(예시) …………………… 55 +[그림 26] SBOM을 활용한 보안취약점 탐지(예시) ………………………… 57 +[그림 27] 보안취약점데이터베이스 검색 결과(예시) … …………………… 58 +[그림 28] 기업지원허브 IoT 기기 사이버보안 위협 시연시설 … ………… 65 +[그림 29] 디지털헬스케어 보안리빙랩 구성도 ……………………………… 68 +[그림 30] 디지털헬스케어 보안리빙랩 현장 ………………………………… 69 +[그림 31] NIS-SBOM 적용 SW 컴포넌트별 출력 예시 … ………………… 83 +SW 공급망 보안 국제동향 및 SBOM 활용사례 +그림 차례 + + +--- + +[표 1] 국내외 SW 공급망 침해사고의 피해 규모… …………………………… 6 +[표 2] 주요 SW 공급망 공격 유형… …………………………………………… 9 +[표 3] 유형별 SW 공급망 공격 대상 및 침투 경로… ……………………… 10 +[표 4] 미국의 SW 공급망 보안 추진경과… ………………………………… 15 +[표 5] 경제산업성이 공개한 SBOM 실증 로드맵(2022.05)………………… 17 +[표 6] Quad 사이버보안 파트너십 요약……………………………………… 18 +[표 7] 이해관계자의 역할에 따른 주요 C-SCRM 활동 예시… …………… 23 +[표 8] 개발사를 위한 공급망 보안 권장 활동………………………………… 26 +[표 9] 공급사를 위한 공급망 보안 권장 활동………………………………… 27 +[표 10] 운영사를 위한 공급망 보안 권장 활동… …………………………… 27 +[표 11] SW 개발 생명주기(SDLC) 단계별 개념 정의… …………………… 30 +[표 12] SSDF 구현을 위한 공급망 보안 권장 활동… ……………………… 30 +[표 13] SBOM과 기타 BOM 명세서와 비교… ……………………………… 32 +[표 14] 데이터 필드의 기본항목… …………………………………………… 35 +[표 15] SBOM 표준간 데이터 속성 비교… ………………………………… 36 +[표 16] 공개 SW 라이선스 관리 범위(예시)… ……………………………… 42 +[표 17] 실증 추진계획 수립… ………………………………………………… 51 +[표 18] SBOM 유효성 검증 단계에서 데이터 누락·중복 사례… ………… 53 +[표 19] SBOM 데이터를 수정·보완한 사례… ……………………………… 53 +[표 20] SW 제품 형태별 SBOM 생성 후 컴포넌트 수 비교 – 기업 A…… 56 +[표 21] SW 공급망 보안 점검 실증 항목 일부… …………………………… 59 +[표 22] SW 공급망 보안 점검 상세 결과… ………………………………… 60 +[표 23] SW 공급망 보안 점검 결과 미흡 사례… …………………………… 60 +[표 24] 공급망 보안 단계별 체크리스트(안)… ……………………………… 61 +[표 25] SBOM 생성 도구 현황 및 주요 특징(요약)… ……………………… 66 +[표 26] 연도별 기업지원허브(IoT 테스트베드) 이용 현황… ……………… 67 +[표 27] 보안취약점 점검도구 현황… ………………………………………… 69 +[표 28] 분석 도구 지원 사양…………………………………………………… 71 +[표 29] 분석 도구 주요 특징…………………………………………………… 72 +[표 30] SBOM 기반 공급망 보안 테스트베드 주요 동작 방식…………… 73 +[표 31] 공급망 보안 테스트베드 활용 분석 결과… ………………………… 75 +[표 32] SW 공급망 보안 관리 체계 시나리오 ……………………………… 76 +[표 33] SBOM 관련 국내외 표준 현황… …………………………………… 77 +[표 34] 정보통신 단체표준 SBOM 속성 규격… …………………………… 78 +[표 35] NIS-SBOM 구성항목(* : 자체 선정)………………………………… 80 +표 차례 + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +1 +추진 배경 + +## 제1장 + + +## 제1장에서는 범정부 차원에서 광범위하고, 지속적인 확산성을 갖고 있는 SW 공급망 공격에 대응하기 + +위해 디지털 기술의 발전에 따른 환경변화와 미국, 유럽 등 주요국의 정책동향을 분석하였다. +제1절 (환경변화) 디지털 제품 및 서비스 개발과정의 연결성으로 인해 생태계 범위가 더욱 확장되고 +있다. 디지털 제품 및 서비스의 중요 구성품인 SW의 개발·공급이 분업화되면서 최종 디지털 제품 및 +서비스의 무결성에 대한 신뢰가 하락하고, 악성코드 삽입 및 보안취약점의 전파가 쉬운 공개 SW는 +공급망 공격의 주요 목표가 되었다. 또한 KISA에서 발행한 2024년도 사이버보안 위협 전망에서도 +SW 공급망 공격에 대한 대응의 필요성을 강조하고 있다. +제2절 (SW 공급망 위기 대응의 필요성) 디지털 제품 및 서비스에 포함된 악성코드 또는 보안취약점은 +사전에 탐지하기가 어렵고, 사고가 발생하면 광범위한 피해와 함께 사고가 연이어 발생하는 특징을 +갖는다. 공개 SW로 널리 활용되는 Log4j에서 초고도 보안취약점이 발견된 사건(2021년)은 국내외에 큰 +충격을 주었고, 공개 SW의 보안 강화를 추진하게 하는 계기가 되었다. 아울러 공격대상 및 침투 경로를 +표시한 SW 공급망 공격 유형(7종)을 제시하여 SW 공급망 보안에 대한 이해를 높일 수 있도록 하였다. +제3절 (주요국 공급망 보안 정책 동향) 미국은 바이든 행정부의 행정명령(EO 14028, ‘21.5월) 이후 +보안관리 자체증명서를 제출하도록 제도화하였으며, EU는 SW 공급망 보안을 의무화하는 사이버 +복원력법 제정 발의(‘22.9월) 후 EU 의회 및 이사회의 의결(‘24.3월) 등 제도화를 추진 중이며, 일본의 +SBOM 실증사례와 4개국 안보협의체(Quad)의 정책동향을 분석하였다. +이를 통해 SBOM 기반 SW 공급망 보안 관리체계 확산의 필요성과 미국, 유럽 등 주요국의 무역장벽 +극복 지원 필요성에 대한 정책적 시사점을 도출하였다. + + +--- + +2 +추진 배경 + +## 제1장 + +제1절 +환경변화 +1. [변화-1] 초연결 사회의 도래 +초(超)연결1) 시대에 전 세계는 분산된 생산 체계와 다양한 경로로 연결된 공급망 생태계(Ecosystem)를 통해 +서로 협력하고 있다. 특히, 디지털 제품 및 서비스의 개발-공급(유통)-운영의 연결성(Connectivity)으로 인해 +생태계 참여 계층의 범위가 점점 확장되고 있다. [그림 1] +기존 공급망은 다양한 비즈니스 주체(예 : 부품 공급사, 최종 생산자2), 공급(유통)사, 고객사)가 +❶ 원자재를 부품으로 전환하고, ❷ 부품을 지정된 최종 제품으로 조립하고, ❸ 이러한 제품을 최종 +소비자에 전달하기 위해 협력하는 통합 프로세스 +•TV, 냉장고 등 가전제품에서부터 의료, 자동차, 선박, 항공우주 등 전통산업에 이르기까지 SW가 서비스 +구현의 핵심을 담당하는 디지털 전환(Digital Transformation, DX)의 가속화 +•모바일, 사물인터넷(IoT), 클라우드 등 디지털 제품 및 서비스 개발, 공급(유통)에서 혁신성과 경제성을 이유로 +외부 SW의 활용이 늘어나고 있으며, 다양한 정보통신기술(ICT)과의 상호 의존성(Dependency)도 증가 +공급망 생태계 기본 모형 +그림 1 +. +1) 초연결(Hyper-Connectivity) 이란, 사람과 사물(공간·생물·정보·비즈니스 등)이 물리·가상공간의 경계 없이 서로 유기적으로 +연결되어 소통하고 상호작용하는 만물 인터넷 (Internet of Everything) 인프라 [ETRI] +2) 최종 생산자(Original Equipment Manufacturer, OEM) + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +3 +2. [변화-2] SW 부품 공급의 분업화 +디지털 제품 및 서비스에 대한 SW 부품(코드) 공급 역할이 분업화되면서 최종 제품 및 서비스에 대한 관리 +책임을 복잡하게 하고, 이는 SW 공급망을 통한 최종 디지털 제품 및 서비스의 무결성에 대한 ‘신뢰’ 하락으로 +이어지고 있다. +SW 공급망은 최종 SW 제품을 생산하는 사람, 장치, 시스템의 집합을 말함. 이는 개발자가 코드를 +작성하는 때부터 해당 코드가 제품으로 생산된 후, 사용자 시스템에서 실행되는 때까지 일어나는 모든 +일을 의미함 [그림 2] +•외부 SW, CI/CD3), 공용 리포지토리(Repository)4)와 클라우드 호스팅 서비스 등 최신 SW 개발 파이프라인에 +대한 공격 표면(Attack Surface)이 늘어나고 있어 SW 제품 개발환경에 대한 보안성 확보가 중요 +•특히 외부 SW의 활용과 보안취약점의 증가는 SW 품질에 대한 유지관리 비용뿐만 아니라 사이버보안 관리 +비용도 높이고 있어서 SW 개발단계부터 운영단계까지 사이버보안 관리체계에 대한 지원도 중요 +•다만 SW 공급망 전반의 사이버 위협을 해결하기 위해서는 조직의 SW 개발 생명주기(SDLC)5) 전체 과정에서 +사이버보안 위험관리가 필요 +전통적인 공급망과 SW 공급망 비교 +그림 2 +3) 지속적 통합 및 지속적 배포(Continuous Integration & Continuous Delivery)를 실현하는 SW 개발 방식 [Wikipedia] +4) 개발자가 소스코드에 대한 변경을 수행 및 관리하는 데 사용하는 중앙화된 디지털 저장소 [AWS] +5) SDLC : Software Development Life Cycle + + +![이미지 13-7](images/p0013_img7.png) + + +![이미지 13-20](images/p0013_img20.png) + + +![이미지 13-21](images/p0013_img21.png) + + +--- + +4 +추진 배경 + +## 제1장 + +3. [변화-3] 공개 SW 사용의 확대 +최근 디지털 제품 및 서비스는 대부분 자체(내부) 개발 SW 외에 다양한 외부 SW(공개 SW 또는 제3자 +개발 SW)가 포함되어 있다. 특히, 공개 SW는 관리 주체가 명확하지 않고, 악성코드 및 보안취약점의 전파가 +쉬워서 사이버 공격의 주요 목표가 되고 있다. [그림 3] +공개 SW(Open Source Software)는 SW의 내용을 프로그래밍 언어로 나타낸 ‘소스코드’를 공개하여, +정해진 라이선스에 따라 개량·재배포할 수 있는 SW +‘타사(3rd Party) SW 구성요소’는 SW의 원래 공급사가 아닌 다른 개발사에서 계약에 의해 배포하거나 +판매할 수 있도록 개발된 재사용 가능한 SW 부품(Component) +•상용 SDK 등 타사 SW 구성요소와 공개 SW를 활용하면 SW 개발기간 단축과 안정화된 서비스 구현으로 +비용이 절감되고, 기업 간, 기업-기관 간 등 다양한 형태의 협력 개발이 가능해지는 등 개발 효율성 증대 +•다만, 전 세계적으로 널리 사용되는 공개 SW인 Log4j에서 심각한 보안취약점이 발견되어 우리나라 및 +전 세계 기업과 정부·공공기관에 큰 피해 발생 +•이에, 미국, EU 등 주요국을 중심으로 SW 공급망 보안 강화를 위한 제도화를 추진 중이며, 우리나라도 +SW 공급망의 사이버 위험을 관리하기 위한 국가적 대책 마련에 대한 필요성 증가 +•[그림 3]은 국내 정보보호 전문기관인 한국인터넷진흥원(KISA)의 2024년도 사이버보안 위협 전망으로 +SW 공급망 공격에 대한 대응 필요성을 제시 +2024년도 사이버보안 위협분석과 전망 리포트[KISA] +그림 3 + + +![이미지 14-0](images/p0014_img0.png) + + +![이미지 14-1](images/p0014_img1.png) + + +![이미지 14-2](images/p0014_img2.png) + + +![이미지 14-3](images/p0014_img3.png) + + +![이미지 14-4](images/p0014_img4.png) + + +![이미지 14-5](images/p0014_img5.png) + + +![이미지 14-6](images/p0014_img6.png) + + +![이미지 14-7](images/p0014_img7.png) + + +![이미지 14-8](images/p0014_img8.png) + + +![이미지 14-9](images/p0014_img9.png) + + +![이미지 14-10](images/p0014_img10.png) + + +![이미지 14-11](images/p0014_img11.png) + + +![이미지 14-12](images/p0014_img12.png) + + +![이미지 14-13](images/p0014_img13.png) + + +![이미지 14-14](images/p0014_img14.png) + + +![이미지 14-15](images/p0014_img15.png) + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +5 +제2절 +SW 공급망 위기 대응의 필요성 +1. SW 공급망 공격 대응의 문제 +디지털 제품 및 서비스의 공급망을 대상으로 하는 사이버 공격 방법이 다양해지고 고도화되고 있다. 악의적인 +목적으로 특정 제품 및 서비스에 악성코드를 설치하여 공급한다면, 해당 제품 또는 서비스를 도입한 +기관에서는 악성코드 존재와 이를 악용한 정보 유출 등의 피해 사실을 파악하기란 거의 불가능하다. +[사례-1] 2018년 9월, 유럽의 모 보안 SW 업체에서 UEFI6)의 펌웨어 루트킷(Rootkit)7)인 ‘LoJax’를 +발견했다고 발표. ‘LoJax’는 악의적인 UEFI 모듈을 시스템의 플래시 메모리에 기록하고, PC의 부팅 +과정에서 악성코드를 저장소에 주입해 실행됨. 해당 루트킷은 운영체제를 재설치하여도 펌웨어 +영역에 남아 삭제되지 않음 [ESET Research] +[사례-2] 2020년 3월, 軍은 국내 S사와 ‘해·강안 경계 과학화 사업’ 납품 계약을 체결. 이후 자체 +점검 결과 도입된 215대 모두 CCTV 內 DNS 서버 주소가 악성코드 유포 이력이 있는 중국 IP로 +설정된 채 납품되었으며, 해당 제품은 국산 제품으로 위장된 외산 제품이었음. 다행히 설치된 CCTV는 +모든 네트워크가 내부망으로만 구성되어 정보 유출은 없었지만, 인터넷과 연결된 환경이었다면 CCTV +영상 정보가 외부 공격자에게 넘어갈 수 있는 사고로 이어질 수 있었음 [보안뉴스] +[사례-3] 2023년 7월, 정부 기관에 납품된 외산 계측장비에서 악성코드가 발견되었음. 해당 장비는 +지상에서 약 5㎞ 고도까지 바람의 속도와 방향을 측정하는 장비이며, 확인 결과 악성코드가 식별된 +외산 장비는 A사 3대, B사 2대였음. 식별된 악성코드는 모두 컴퓨터 운영체계를 기반으로 하는 +‘신호처리부’에서 발견되었음[환경일보] +6) UEFI : Unified Extensible Firmware Interface +7) 공격자가 들키지 않고 시스템을 제어하도록 설계된 악성 SW 모음 + + +--- + +6 +추진 배경 + +## 제1장 + +2. SW 공급망 침해사고의 피해 규모 +미국은 솔라윈즈(Solarwinds) 등 대규모 SW 공급망 공격을 경험하면서 2021년 5월 ‘국가 사이버보안의 개선에 +관한 대통령의 행정명령(EO 14028)’을 발표하였다. 이는 연방정부의 SW 공급망 보안을 위한 정책 실행을 +가속화하는 계기가 되었으며 이를 통해 연방정부의 사이버보안 개선 정책의 구체적인 제도화를 추진 중이다. +국내외 SW 공급망 침해사고의 피해 규모 +표 1 +공격명 +(발생 시기) +사고 내용 및 피해 현황 +SolarWinds +(2020년) +러시아 기반 해킹 그룹의 공격으로 IT SW 공급사의 SW 개발환경 및 배포 시스템이 해 +킹되어 18,000개 이상의 기관이 피해를 입음 +Codecov +(2021년) +컨테이너 이미지 보안취약점을 악용해 소스코드 검증을 위한 배포 환경의 인증 정보가 +유출, 전 세계 2만 9천여 개 고객사에 영향을 끼침 +Colonial Pipeline +(2021년) +송유관 관리사의 IT 시스템이 랜섬웨어에 감염되어 미국 남동부 8,900km 일대 공급이 +중단, 지역 비상사태 선포와 약 50억 원의 랜섬머니(Ransom Money) 지급 발생 +Log4Shell +(2021년) +Log4j의 제로데이 보안취약점과 공개된 개념 증명 코드를 악용하여 악성코드를 심고, +전 세계 취약 서버를 대상으로 대량의 해킹 공격 발생 +Kaseya +(2022년) +클라우드 기반 IT 원격 관리 솔루션 서버를 해킹하고, 업데이트 파일로 위장한 랜섬웨어를 +고객사에 배포. 17개국 1,500여 조직이 피해 +3CX +(2023년) +악성코드가 삽입된 X-트레이더 금융 SW를 다운받은 PC를 감염시켜 60만 명 이상의 +고객과 1,200만 개 조직으로 전파 +이니세이프 +(2023년) +금융 보안인증 SW의 보안취약점을 악용해 PC 해킹 및 악성코드 유포로 국내 61개 기관, +총 207대의 기관, 기업, 개인 PC 해킹 피해 +•고객의 소스코드를 검증하는 회사인 Codecov사의 공급망 공격 사건은 도입사 리포지토리의 인증 정보가 +유출되어 2차 공격의 파급을 가늠하기 어려움(2021년) +•미국 사이버보안 검토 위원회의 보고(2022년)에 따르면 Log4j와 같이 수천 개의 프로젝트에 통합된 +공개 SW는 관련 시스템의 인스턴스(Instance)를 삭제·업데이트하는 데만 10년이 소요 +•SolarWinds(2020년), Log4j(2021년) 및 Kaseya(2022년)와 같이 대형 SW 공급망 공격이 매년 발생하고 +있어서, 이에 대한 체계적인 대응이 필요 +•국내에서도 북한이 배후로 추정되는 3CX 화상회의 앱(App) 대상 연쇄 공급망 공격(2023년)이 있었고, +우리나라도 예외적인 상황이 아님 + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +7 + +## 3. 공개 SW 사이버보안 관리의 중요성 + +공개 SW인 Log4j 보안취약점을 악용한 사이버 공격은 웹 방화벽 차단, 원격 코드베이스 비활성화, JNDI +Lookup 비활성화 등 다양한 방법으로 방어할 수 있으나, 이보다 더 큰 위험은 Log4j가 어느 제품 및 서비스에 +어떻게 사용되고 있는지 파악하기 어렵다는 점이다. +•미국은 SW 공급망 보안 강화를 강조(EO 14028, ‘21.5월)한 이후, 공개 SW의 보안 측면을 살펴보고자 +백악관에서 민관 전문가들이 참석하는 SW 보안 정상회의8)를 개최 +•이후 리눅스(Linux) 재단에서 공개 SW 보안에 관한 구체적인 동원 계획9)을 발표함으로써 SW 공급망의 보안 +확보를 위한 공개 SW 보안 강화의 필요성 인식이 확산되기 시작 +•또한 와이어드(Wired) 뉴스의 보도에 따르면 Log4j 사태 발생 후 1년이 지났지만, 아직도 25%는 보안에 +취약한 버전이 다운로드 되고 있음10). 따라서 공개 SW 구성요소에 대한 관리가 이루어지지 않는다면, 제2의 +Log4j 사태는 언제든지 재발할 수 있는 상황 +8) 백악관, “Readout of White House Meeting on Software Security”(2022년 1월) +9) 리눅스 재단, “Open Source Software Security Mobilization Plan”(2022년 5월) +10) Wired “A Year Later, That Brutal Log4j Vulnerability Is Still Lurking”(2022년 12월) + + +--- + +8 +추진 배경 + +## 제1장 + +공개 SW의 활용 및 보안취약점 현황 분석 +참고 +S社가 매년 발간하는 공개 SW 위험분석 보고서에 따르면, 2022년에 분석한 코드베이스11)의 96%는 +공개 SW를 포함하고 있는 것으로 파악 (총 1,703개 대상) +•또한 코드베이스의 84%는 보안취약점을 한 개 이상 포함하고 있어 개발과정에서 공개 SW 활용 +비중이 매우 높으나 보안 관리는 미흡하다는 것을 알 수 있음 +•고위험 보안취약점이 있는 구성요소의 비율도 매년 약 50%에 육박하여 공개 SW 재사용으로 인한 +보안취약점 전파의 심각성이 드러남 +•특히, 리눅스 커널, PHP 개발 언어, 아파치 톰캣(Tomcat)과 같이 시스템 구축에 많이 사용하는 기반 +SW에도 고위험 보안취약점이 발견되어, 공개 SW 공급망의 시작 단계부터 보안취약점 대응 조치가 +필요함 +공개 SW 사용률 분석(OSSRA Report 2023) +그림 4 +11) 코드베이스(Codebase) : SW를 빌드할 수 있는 소스 코드가 저장된 저장소 + + +![이미지 18-0](images/p0018_img0.png) + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +9 +4. SW 공급망 공격의 주요 유형 및 대상 +SW 공급망 공격은 공급망 구성요소 중 하나 이상의 약점(Weakness)이 손상되어(공격에 노출되어) 최종 +제품이 변경되는 것을 의미한다. 즉, 공급망에서 어떤 방식으로든 구성요소의 일부가 변경되어 최종 제품이 +취약해지거나 임의의 SW가 포함되는 공격을 뜻한다. 따라서, SW 개발, 변환(Build)12), 배포, 운영 시스템 등 +모든 SW 인프라가 공급망 공격의 대상이 된다. 대표적인 공급망 공격 유형은 [표 2]와 같다. +주요 SW 공급망 공격 유형 +표 2 +유형 +세부 내용 + +## 1. 공개 SW 보안취약점 + +(Vulnerabilities in OSS) +공개 SW에 취약한 코드 또는 유해한 구성요소가 포함되어 취약성이 공개 SW를 +사용하는 모든 SW에 전파 + +## 2. 타사 의존성 + +(3rd Party Dependencies) +공격자가 타사 SW(상용 SDK, 라이브러리 또는 컴포넌트13))에 악성코드를 +삽입하여 이를 악용하는 운영 시스템을 침해 + +## 3. 공용 리포지토리 + +(Public Repositories) +공개 SW 코드를 찾는 개발자를 목표로 GitHub 등 알려진 리포지토리 호스팅 +서비스에 합법적인 SW 패키지와 유사한 이름을 가진 악성코드를 업로드 + +## 4. 변환 시스템 + +(Build Systems) +개발 프로세스 자동화를 위한 CI/CD 상의 중요 코드, 리포지토리, 컨테이너 및 +변환 서버를 침해하여 악성코드로 교체 + +## 5. 업데이트 가로채기 + +(Hijacking Updates) +공격자가 SW 업데이트 과정을 침해하거나 업데이트 서버의 관리 권한을 +가로채어 악성코드를 삽입 + +## 6. 내부 리포지토리 + +(Private Repositories) +공격자가 기업 내부에서 사용 중인 코드 저장소에 침입하여 악성코드를 삽입 + +## 7. 공급사 및 협력사 + +(Suppliers and Business +Partners) +SW 부품 또는 완제품 개발사, 공급사 등으로부터 외부 서비스를 제공받는 경우 +관리되지 않는 타사 위험(Risk)이 내부 시스템으로 전이 +12) Build : 소스코드를 컴퓨터나 휴대전화에서 실행할 수 있는 독립 SW로 변환하는 과정 또는 결과물 [Wiki] +13) 컴포넌트(Component) : 독립된 단위 기능의 SW 부품 [Wikipedia] + + +--- + +10 +추진 배경 + +## 제1장 + +제시된 SW 공급망 공격 유형에 따른 시스템 침해 시나리오는 다음과 같다. +유형별 SW 공급망 공격 대상 및 침투 경로 +표 3 +(유형1) 공개 SW 보안취약점(Vulnerabilities in OSS) +(유형2) 타사 의존성(Third-Party Dependencies) + + +![이미지 20-0](images/p0020_img0.png) + + +![이미지 20-1](images/p0020_img1.png) + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +11 +(유형3) 공용 리포지토리(Public Repositories) +(유형4) 변환 시스템(Build Systems) + + +![이미지 21-0](images/p0021_img0.png) + + +![이미지 21-1](images/p0021_img1.png) + + +--- + +12 +추진 배경 + +## 제1장 + +(유형5) 업데이트 가로채기(Hijacking Updates) +(유형6) 내부 리포지토리(Private Repositories) + + +![이미지 22-0](images/p0022_img0.png) + + +![이미지 22-1](images/p0022_img1.png) + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +13 +(유형7) 공급사 및 협력사(Suppliers and Business partners) + + +![이미지 23-0](images/p0023_img0.png) + + +--- + +14 +추진 배경 + +## 제1장 + +제3절 +국내외 주요국 SW 공급망 보안 정책 동향 + +## 1. 미국 + +가. 관리예산처(OMB) ‘SW 보안 강화’ 지침 발표 +미국은 바이든 정부 행정명령(EO 14028, ‘21.5월)을 통해 연방정부에 납품되는 SW의 공급망 보안관리를 +의무화하였고, ‘22년 9월, ‘안전한 정부를 위한 SW 공급망 보안 강화 지침’과 ‘행정 부서 및 기관장을 위한 +각서(Memorandum)’를 발표했다. +OMB ‘행정 부서 및 기관장을 위한 각서(M-22-18)’ 주요 내용 +연방정부에 SW를 납품하는 공급자에게 미국 국가기술표준원(NIST) +14)의 ‘안전한 SW 개발 체계(SSDF) +15)’의 +모범사례 준수를 요구하며, 이를 수행했음을 선언하는 ‘자체증명서(Self-attestation Form)16)’를 함께 +제출토록 함 +•자체 증명 항목 : 안전한 개발환경 구축, 자동화된 소스코드 출처 관리, 지속적 취약성 검사 등을 수행 +•이외에도 연방정부 기관은 안전한 SW 개발체계 적합성을 입증하는 증거를 별도로 요구할 수 있음 +•자체증명서 등의 제출은 온라인(softwaresecurity.cisa.gov) 또는 이메일로 접수 +‘M-23-16 update to M-22-18’을 통해 연기된 OMB 증명 양식17)의 최종 버전이 2024년 3월에 확정되어 +자체증명서 제출이 시행될 예정이다. +나. 식품의약국(FDA) 의료기기 사이버보안 강화 정책 +2023년 1월, 미국 FDA는 의료기기의 사이버보안 강화 관련 자금 및 법적권한을 확대하기 위해 연방식품의약품 +화장품법(FD&C Act)을 개정했다. +FDA는 같은 해 3월, 의료기기의 시장 출시를 결정짓는 심사의 ‘승인 거부(Refuse to Accept, RTA)’ 정책에 +제조사가 보안이 내재된 안전한 의료장치 개발체계를 구축해야 한다는 요구사항을 추가하였다. +14) NIST : National Institute of Standards and Technology +15) SSDF : Secure Software Development Framework +16) 증명(Attestation) 이란 문서의 진위를 법적으로 인정하고, 적절한 프로세스를 따랐다는 것을 입증하는 절차로써, 문서의 내용에 +구속된 사람들이 적절하게 행동했음을 확인하기 위해 서명하고, 제삼의 검증기관(3rd Party Organization)을 통해 공증하는 것 +등을 의미함 +17) 미국 관리예산처(OMB)이 공통 양식을 승인한 기점을 기준으로 중요(Critical) SW는 3개월 이내, 모든 SW는 6개월 이내 제출 + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +15 +FDA RTA(승인거부, REFUSE TO ACCEPT)의 주요 사이버보안 보증 요구사항 +RTA의 요구사항은 SW를 포함하고 인터넷에 연결될 수 있어서 사이버보안 위협에 취약할 수 있는 +모든 장치를 대상으로 하며, FDA에 승인을 요청하는 모든 제조사는 장치의 사이버보안 요구사항을 +충족하는 계획을 제출 +•사이버보안 취약성 및 보안취약점 공격(Exploit)을 적시에 모니터링, 식별 및 해결하기 위한 계획 +•공개 SW 및 상용 SW의 구성요소 목록을 포함하는 SBOM 제공 +참고로 RTA의 사이버보안 보증을 위한 두 가지 요구사항은 이미 승인되어 시장에 출시된 장치에도 요구할 수 +있다.(2023년 10월부터 시행) +미국의 SW 공급망 보안 추진 경과 +표 4 +‘21 +‘23 +‘22 +2월, NSA·CISA·ODNI +공급망 보안 강화 실행 +지침 발표 +5월, NIST +공급망 보안 강화 추가 +가이드 발표 +5월, NIST +공급망 사이버보안 위험 +관리(C-SCRM) 기준 +개정(SP 800-161) +2월, NIST +안전한 SW 개발보안 체계 발표 +(SP 800-218 r1) +9월, ODNI·NSA·CISA +개발자의 SW 공급망 보안 +지침 발표 (ESF) +9월, CISA +S.4913-공개 SW 보호법 발의 +10월, ODNI·NSA·CISA +고객사의 SW 공급망 +보안 지침 발표(ESF) +12월, NIST +정부 납품 모든 SW에 SBOM +적용(연기) +11월, NIST +공급망 보안 강화 예비 +가이드 발표 +4월, CISA +1차 자체 증명서(초안) 공 +개 및 의견 수렴 +11월, CISA +2차 자체 증명 공통 양식 +공개 및 의견 수렴 +공급망 보안 강화 +7월, NIST +SW 공급자/개발자 대상 소스 +코드 검증 최소 기준 마련 +(NIST IR 8397) +5월, CISA +H.R.3286-공개 SW 보호법 유 +사 법안의 하원 발의 +SW 관리 및 보호 +6월, NIST +중요(Critical) SW 정의 +7월, NTIA +SBOM 최소 구성요소 정의 +7월, NIST +중요 SW 보안 조치 지침 +10월, FDA +FDA 의료기기 인허가 시 SBOM +제출 의무화 +SBOM 적용 정책 + + +--- + +16 +추진 배경 + +## 제1장 + + +## 2. 유럽연합(EU) + +EU는 역내에 공급(유통)되는 디지털기기의 SBOM 제출을 의무화18)하는 사이버 복원력 법(Cyber Resilience +Act, 이하 CRA) 제정안을 발의하였다.(2022년 9월, EU 집행위원회(Commission)) +•자체 또는 인증기관을 통해 사이버보안에 대한 적합성 평가를 시행하고 CE 마크 +19)의 부착 여부를 결정하는데, +이때 기술 문서로서 SBOM을 요구할 계획(사이버보안 강화를 위해 제조사에 제품 보안 업데이트, 공급망 +사이버보안 점검, 정부 당국과 보안 취약성 정보공유 등 일련의 요건을 부가함) +•사이버보안 강화를 위해 제조사에 제품 보안 업데이트, 공급망 사이버보안 점검, 정부 당국과 보안 취약성 +정보공유 등 일련의 요건을 부가함 +•개정안에 대한 입법 논의를 진행한 EU 의회(Parliament)와 EU 이사회(Council)는 관련 개정 법안의 역내 +시행에 정치적으로 합의(2023년 12월) +EU 사이버 복원력 법안 개정 주요 내용 +그림 5 +18) EU 시장에서 디지털 제품을 제조하거나 공급(유통)하려는 업체는 SBOM을 작성하는 등 제품에 포함된 구성요소를 식별하고 +문서화해야 한다.(EU CRA 성명서 제37조) +19) CE 마크(CE Marking)는 EU 시장 공급(유통)을 위한 의무 사항으로 판매되는 제품이 안건, 건강, 환경 그리고 소비자 보호와 +관련된 EU 규격의 조건을 준수한다는 의미임 + + +![이미지 26-0](images/p0026_img0.png) + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +17 + +## 3. 일본 + +일본 정부는 경제산업성에 SW TF를 설치하고 의료·자동차·SW 분야에 걸친 SBOM 실증(PoC)을 통해 개념 +정립, 효과성 검증, 제도화 방안을 마련하고 있다. +•‘경제산업성’은 공개 SW의 활용 및 보안성 강화를 위한 사례집20)을 발간하고, SBOM 실증사업을 통해 SBOM +도입에 따른 비용·효과를 평가하여, 활용·거래 모델과 기술적 측면에서의 자동화·공유 방안 등을 검토. +또한, 자국 기업 내 보안 부서와 경영층을 위한 SBOM 도입 안내서21)의 배포를 통해 민간 부문에 SBOM +활용을 확산하기 위해 노력 +•‘총무성’의 사이버보안 TF는 공개 SW의 급속한 확대로 통신 분야 공급망에 대한 SBOM 도입 가능성을 +검토 중(SW 사이버보안 종합대책안 2023) +경제산업성이 공개한 SBOM 실증 로드맵(2022.05) +표 5 +1단계(12개월) +2단계(12개월) +3단계(12개월) +① PoC를 통한 비용 및 +이점 평가와 이슈 논의 +대상 선정 및 +PoC 구현 +PoC 구현 +(필요성 및 대상 영역 고려) +② SBOM의 효과적인 활용 +모델 논의 +PoC 결과를 통한 +활용 모델 논의 +활용 모델 합의를 위한 방법 및 +프로세스 논의 +타 분야 적용 논의 +③ SBOM 공유를 위한 +거래 검토 +이슈 정리 +분야별 거래 합의 모델 논의 +다른 영역에 대한 +논의, PoC 결과 활용 +④ SBOM 노하우 공유 +가이드 문서 개발 +문서 홍보 및 업데이트 +⑤ SBOM 자동화 및 공유를 +위한 기술적 고려 사항 +기술적 난제 파악 +기술적 난제 해결을 지원하기 +위한 이니셔티브(Initiative) 계획 +및 논의 +이니셔티브 실행 +⑥ 타 국가와의 제도적 +조화 검토 +협력 항목 정리 +이니셔티브 계획 및 논의 +적절한 시기에 PoC 결과 등을 공유 +20) 공개 SW 활용 및 보안성 확보를 위한 관리 방법 사례집(日 경제산업성, 2022년 8월) +21) SW 관리를 위한 SBOM 도입 안내서(日 경제산업성, 2023년 7월) + + +--- + +18 +추진 배경 + +## 제1장 + +4. Quad 사이버보안 파트너십 +4자 안보대화체(Quadrilateral Security Dialogue, Quad)로 불리는 4개국 사이버보안 파트너십에서는 SW 공급망 +보안을 위한 SW 개발 활동(Practice)의 이행을 장려한다. +•미국, 일본, 인도, 호주 등 4개국이 참여하는 회담에서 주요 기반 시설의 사이버보안, 공급망 위험관리, SW 보안, +대응 역량 강화 등을 중점 논의 +•높은 수준의 ‘안전한 SW 개발 활동’이 각국의 정부 정책에 반영되어 이를 충족하는 SW 확보 및 구현 환경을 +구축할 수 있도록 장려하기로 협의 +•이를 위해 ‘안전한 SW를 위한 공동 원칙’을 발표하고, “정부가 SW의 개발·공급(유통)·운영을 위한 최소한의 +사이버보안 지침을 수립하여, SW 보안을 공동으로 개선하겠다”는 약속을 재천명함22) +Quad 사이버보안 파트너십 요약 +표 6 +23) +① 높은 수준의 안전한 SW 개발체계 활동을 추구 +- 조직을 구성, 보안 테스트를 시행, 보안취약점의 식별 및 대응 +- 무단 접근 방지, 릴리즈 보관, 릴리즈에 사용된 구성요소 세부 +사항(SBOM 등), 공급망 관계에 대한 적절한 기록 유지 및 +통제 보장 +② SW 제품의 정부 조달에 대해 최소 가이드라인 추구 +- 안전한 개발환경에 대한 Self-attestation 또는 타사 인증 +- 각국의 보안취약점 공개 프로그램(Vulnerability Disclosure +Program, VDP)에 개발자 보고를 권장 +③ 정부 SW 사용에 대한 보안 조치를 추구 +- SW 플랫폼에 대한 보안(데이터 기밀성, 무결성, 가용성 보장) +- 침해사고를 신속하게 탐지, 대응 및 복구, 사용자 교육 등 +22) 각 회원국이 국제 및 국내 법률과 규정에 따라 자체적인 체계를 구축할 것, 다른 국가들도 안전한 SW에 대한 공동의 비전을 +추구하기 위해 원칙을 채택하기를 권장함(2022년 5월) +23) https://www.pmc.gov.au/resources/quad-leaders-summit-2023/2023-quad-leaders-summit-documents + + +![이미지 28-0](images/p0028_img0.png) + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +19 + +## 5. 시사점 + +디지털 전환 가속화의 핵심에는 SW가 있으며, SW 개발과정에서 공개 SW의 비중이 높아짐에 따라 SW 공급망 +전반에 대한 사이버 위협이 높아지고 있다. +•SW 공급망 보안에서 공개 SW의 보안취약점 관리가 매우 중요하며, 특히 공개 SW의 비용 효과적인 +보안취약점 관리 방안으로 SBOM이 대두되고 있음 +지난 수년간 SW 공급망 공격은 국제적인 논의의 중심이 되고 있으며 미국, 유럽 등 주요국을 중심으로 +제도화를 통한 SW 공급망 보안 강화 동향이 보고되고 있다. +•국내에서도 SBOM 기반 SW 공급망 보안 체계 확산을 위해 SW 개발사 – 공급(유통)사 - 운영사 간에 +SBOM을 원활하게 공급(유통)할 수 있는 관리 체계를 마련할 필요가 있음 +•미국, 유럽 등 변화하는 SW 공급망 보안 관련 정책을 빠르게 분석하고 선제적으로 대응하여, 공급망 분야 +국내 기준과 글로벌 기준의 조화를 통해 국내 기업의 해외 진출을 위한 진입장벽의 해소 역할이 필요(세이프 +하버 정책의 마련24)) +24) 안전한 항구(Safe Harbor) 정책이란 규제 당국이 제시한 요건이나 기준을 충족하면 해당 규범을 준수한 것으로 보아 더 이상 +위법한 것으로 취급하지 않는다는 원칙 + + +--- + +20 +SW 공급망 위험관리 방안 + +## 제2장 + +SW 공급망 위험관리 방안 + +## 제2장 + + +## 제2장은 정부·공공기관 및 기업들의 SW 개발-공급(유통)-운영 등 공급망 전 과정에서 SW 공급망 + +보안관리를 위한 권고사항들을 체계적으로 정리하였고, 이와 함께 SBOM 기반 SW 공급망 보안 +관리방안을 제시하였다. +제1절 (안전한 SW 개발환경의 필요성) 공급자, 공급망, 제품 및 서비스에서 발생할 수 있는 피해와 +침해 가능성 등 SW 공급망 위험에 대응하여 사이버보안 공급망 위험관리(C-SCRM)를 전사적 위험관리 +체계에 통합해야 하며, 공급망 참여자들이 개발, 공급(유통) 및 운영 등 각 단계에서 자신의 역할을 +완수해야 SW 공급망 전체의 위험이 관리될 수 있다. +제2절 (SW 구성요소의 신뢰성 확보방안) SBOM은 SW의 구성요소를 목록화 한 것으로 ‘SW 구성요소 +명세서’라 할 수 있으며, 이를 통해 SW 자산관리, 공개 SW 라이선스 및 보안취약점 관리가 가능하며, +SBOM 도입 및 활성화를 위해 정부의 적극적인 지원과 기업들의 적극적인 참여가 필요하다. 보안취약점 +관리 외에도 SBOM 활용·효과성을 강조하기 위해 ‘서체’ 라이선스 위반사례 및 국내 공개 SW DB 통합 +프로젝트(OSORI)를 소개하였다. +제3절 (SBOM 기반 SW 공급망 보안 강화방안) 개발, 공급(유통), 운영 등 SW 공급망 각 단계에서 +SBOM을 생성, 보안취약점 분석 및 조치 등을 통해 SW 공급망의 투명성과 신뢰성을 확보할 수 있다. +이를 위해 SBOM 기반 SW 공급망 보안 관리체계를 정의하였고, 이를 확산하고 효과성을 높이기 위해 +산업별 SW 공급망 거점 및 SW 공급망 관리센터 등을 제시하였다. +또한, SBOM 활용에 대한 국제적 사례로 국제의료기기규제당국자포럼(IMDRF)의 의료기기의 +사이버보안을 위한 SBOM 원칙과 사례를 소개하였다. + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +21 +제1절 +안전한 SW 개발환경의 필요성 + +## 1. 공급망의 사이버보안 위험관리 개요 + +가. 공급망의 사이버보안 위험관리 정의 +미국 NIST는 공급망 보안에 대한 기본 개념을 다음과 같이 정의하였다.25) +•공급망 요소(Supply Chain Element)는 시스템 및 구성요소의 연구 및 설계, 개발, 제조, 구입, 배포, +통합, 운영 및 유지보수 또는 폐기에 사용되는 조직과 개체, 도구를 포함 +•공급망의 전반적인 사이버보안 위험(Risk)은 공급자(개발사 및 공급(유통)사), 공급망(개발환경 및 +업데이트 전송로), 제품 및 서비스에서 발생할 수 있는 피해와 침해 가능성으로 정의 +•공급망 전체의 사이버보안 위험(Cybersecurity Risks throughout the Supply Chain)은 공급망에 +걸쳐 있는 제품 및 서비스의 보안취약점과 노출을 악용하는 위협에서 발생 +•사이버보안 공급망 위험 평가(Cybersecurity Supply Chain Risk Assessment)는 공급망 전체의 +사이버보안 위험, 발생 가능성 및 잠재적 영향에 대한 체계적인 조사를 의미 +•공급망 사이버보안 위험관리(Cybersecurity Supply Chain Risk Management, C-SCRM)는 +공급망 전체에서 사이버보안 위험에 대한 노출을 관리하고 적절하게 대응하기 위한 전략, 정책 및 +절차 등의 관리체계를 의미 +나. 공급망 사이버보안 위험관리 체계 구축 방안 +NIST는 ‘공급망 사이버보안 위험관리 활동’(이하 C-SCRM)을 통해 기업 또는 기관이 공급망에서 사이버보안 +위험을 관리하는데 도움이 되는 활동을 제시하였으며, 주요 내용은 아래와 같다. +•C-SCRM은 연구 및 설계, 개발, 제조, 통합, 운영 및 유지보수, 폐기 등 전체 ‘SW 개발 생명주기(SDLC)’에 +걸친 활동을 포괄하므로 공급망 전반의 사이버보안 위험을 해결하려면 C-SCRM이 SDLC 내에 통합되어야 함 +•또한, 정보보안 및 개인정보보호, 시스템 개발자 및 엔지니어, 인수, 조달, 법무, 인사(HR) 등 기업 내 다양한 +이해관계자 그룹이 함께 참여해야 함 +•공급망 내에서는 적대적(Adversarial) 또는 비적대적 이유로 다양한 사이버 위협이 발생할 수 있으며, 사이버 +위협을 해결하기 위해 C-SCRM을 전사적 위험관리 체계에 통합해야 함 +25) Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (C-SCRM), NIST SP 800-161r1 +(2022년 5월) + + +--- + +22 +SW 공급망 위험관리 방안 + +## 제2장 + +공급망 전반의 사이버보안 위험 예시 +그림 6 +또한, 기업 전반의 위험을 관리하기 위해서는 전사적 수준, 프로세스 수준, 운영 수준 모델을 포함하는 ‘다단계 +전사적 위험관리’가 필요하다. ‘다단계 전사적 위험관리’에서 C-SCRM 활동은 아래와 같은 세 가지 레벨로 +구분하여 수행한다. +• 레벨-1(전사) +전반적인 C-SCRM 전략, 정책, 이행 계획을 통해 전사적인 C-SCRM으로 관리되는데 필요한 기조, +거버넌스 구조, 경계를 설정 +•레벨-2(프로세스) +레벨-1에서 결정한 전사적인 상황과 방향을 가정하고, 그것을 특정한 미션(Mission) 및 비즈니스의 +프로세스에 맞게 조정 +• 레벨-3(운영) +C-SCRM 계획은 정보시스템이 비즈니스·기능·기술 요구사항을 충족하고, 적절하게 조정된 통제를 +포함하는지를 결정하기 위한 기반을 제공함. 단, 운영 수준은 레벨-2에서 제공하는 환경과 방향 설정에 +따라 결정됨 + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +23 +다단계 전사적 위험관리(C-SCRM) 개요 +그림 7 +이해관계자의 역할에 따른 주요 C-SCRM 활동 예시 +표 7 +수준 +이해관계자 +역할 +활동 +1. +전사 +경영진26) +C-SCRM 활동에 +대한 경영진의 +감독을 확립 +•전사적 C-SCRM 전략 정의 +•거버넌스 구조 및 운영 모델 수립 +•기업의 위험 구성, 위험관리 방식의 기조 설정 +•대체적인 구현 계획, 정책, 목적, 목표를 정의 +•전사적 수준의 C-SCRM 의사 결정 수행 +•C-SCRM PMO(프로젝트 관리조직) 구성 +2. +프로세스 +비즈니스 +관리자27) +기업의 미션과 +비즈니스 프로세스 +측면에서 공급망의 +사이버보안 위험을 +평가, 대응, +모니터링 +•비즈니스 프로세스별 전략 개발 +•정책, 절차, 지침, 제약사항 개발 +•신규 IT 프로젝트에서 보안취약점 감축 +•C-SCRM 구현 계획 개발 +•기업의 위험관리 체계를 비즈니스 프로세스에 맞게 조정 +(예, 위험 허용 범위 설정) +•비즈니스 프로세스 내 위험관리 +•C-SCRM에 관해 레벨1에 보고, 레벨3의 보고에 대한 조치 +3. +운영 +시스템 +관리자28) +개별 시스템 및 +업무에 C-SCRM을 +적용하고 운영 및 +보고 +•C-SCRM 계획 개발 +•C-SCRM 정책과 요구사항 구현 +•레벨1과 2에서 제공한 제약사항 준수 +•개별 시스템의 상황에 맞게 C-SCRM을 조정하고 SDLC에 적용 +•C-SCRM에 관해 레벨2에 보고 +26) 기업의 C-Level 임원(예, CEO, CIO, COO, CTO, CISO, CPO, CAO 등) +27) 프로젝트 매니저, 통합 프로젝트 팀원, R&D, 엔지니어링(SDLC 감독자), 공급사 및 원가 관리, 기타 신뢰성, 안전성, 보안, 품질자, +C-SCRM PMO(Project Management Office) 등 +28) 아키텍트, 개발자, 시스템 책임자, QA/QC, 테스터, 계약 담당자, PMO 팀원, 제어시스템 운영자 + + +![이미지 33-0](images/p0033_img0.png) + + +![이미지 33-2](images/p0033_img2.png) + + +![이미지 33-3](images/p0033_img3.png) + + +![이미지 33-4](images/p0033_img4.png) + + +![이미지 33-5](images/p0033_img5.png) + + +![이미지 33-7](images/p0033_img7.png) + + +![이미지 33-8](images/p0033_img8.png) + + +![이미지 33-9](images/p0033_img9.png) + + +![이미지 33-10](images/p0033_img10.png) + + +![이미지 33-11](images/p0033_img11.png) + + +![이미지 33-12](images/p0033_img12.png) + + +![이미지 33-13](images/p0033_img13.png) + + +--- + +24 +SW 공급망 위험관리 방안 + +## 제2장 + +2. SW 개발·운영 환경의 공급망 보안체계 구축 방안 +SW 공급망의 참여자는 크게 개발사, 공급(유통)사, 운영(고객)사로 구분할 수 있으며, 각 참여자가 안전한 SW의 +개발, 공급(유통), 운영을 위해 자신의 역할을 완수해야 SW 공급망 전체의 보안 위험이 관리될 수 있다. +가. 안전한 SW 개발·운영을 위한 개발사, 공급사, 운영사의 역할 +2022년 8월, 미국의 지속적 보안 프레임워크(Enduring Security Framework, ESF)29)는 ‘SW 공급망 보안 +- 개발사, 공급(유통)사, 운영(고객)사를 위한 권장 활동’을 통해 SW 공급망 주요 참여자의 공급망 보안 활동을 +제시하였으며, SW 개발, 공급(유통), 운영과 SW 보안 활동의 상호 관계는 아래 [그림 8]과 같다. +SW 공급망 참여자에 따른 보안 활동 +그림 8 +29) ESF는 CISA, NSA 등이 참여하는 주요 인프라 및 국가 안보 시스템에 대한 위험을 해결하기 위한 민관 파트너십 + + +![이미지 34-0](images/p0034_img0.png) + + +![이미지 34-1](images/p0034_img1.png) + + +![이미지 34-2](images/p0034_img2.png) + + +![이미지 34-3](images/p0034_img3.png) + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +25 +SW의 설계, 구현, 검증 등 개발단계에서 보안 활동을 통해 보안취약점을 최소화해야 할 +뿐만 아니라, SW에 포함된 라이브러리와 빌드 및 배포 체계의 보안성을 확보하여야 함 +보안 요구사항 충족 여부 확인, 타사 SW의 검증, 실행 파일 테스트를 통해 SW 제품의 +보안을 검증하고, 보안취약점을 발견했을 때는 고객(운영)사에 이를 알리고, 보안취약점에 +대응해야 함 +보안 요구사항과 공급망 위험관리(SCRM) 요구사항을 정의하고, 그에 따라 SW +인수테스트를 진행하며, 제품 적용 및 생명주기 관리에 필요한 보안 및 공급망 위험관리 +대책을 구현해야 함 +1) [개발사]를 위한 공급망 보안 권장 활동 주요 내용30) +•[개발사]는 개발의 각 단계에서 개발자가 수행해야 할 보안 활동을 문서로 작성하고, 실제 준수되도록 해야 함 +SW 공급망 보안 개발 프로세스 +그림 9 +30) Enduring Security Framework, 「Securing the Software Supply Chain - Recommended practices guide for developers」 +(2022년 10월) +개발사 +공급사 +운영사 + + +![이미지 35-0](images/p0035_img0.png) + + +![이미지 35-3](images/p0035_img3.png) + + +![이미지 35-4](images/p0035_img4.png) + + +![이미지 35-5](images/p0035_img5.png) + + +--- + +26 +SW 공급망 위험관리 방안 + +## 제2장 + +[개발사]가 해야 할 공급망 보안 권장 활동은 아래 표와 같다. +개발사를 위한 공급망 보안 권장 활동 +표 8 +구분 +세부 내용 +안전한 제품 +기준 및 관리 +•개발팀이 SW 보안 개발 프로세스의 각 보안 활동에서 활용할 개발 보안 정책과 절차 +등 프로세스를 문서로 정의 +•조직의 최고경영진은 보안 개발 정책과 관행이 예산과 일정 내에서 지원되고, 개발팀이 +준수할 수 있도록 관리 +안전한 코드의 +개발 +•내부자에 의한 소스 코드 수정 또는 공격 차단 +•안전한 공개 SW 관리 관행 마련 +•안전한 SW 개발 관행 마련(안전한 개발자 환경 및 빌드 설정 사용) +•코드 통합시 보안성 검증 +•신고된 결함/보안취약점에 대한 체계적인 대응 +•외부 개발팀에 의한 제품 기능 확장 시 보안성 확보 +타사 구성요소 +검증 +•타사 바이너리의 보안취약점 점검 +•타사 구성요소 선택 및 통합시 보안 위험 평가 +•신뢰할 수 있는 공급사로부터 컴포넌트(부품) 확보 +•통합된 구성요소 유지 관리(공급사 활동 모니터링, 관련 계약 맺기) +•SBOM을 이용한 검증 +빌드 환경 +보안 강화 +•빌드 체인 공격 대응(소스코드 저장소, 빌드 시스템에 대한 공격 대응) +•서명 서버 해킹 대응 +코드 배포 시 +보안 강화 +•최종 패키지 검증 +•배포 시스템의 SW 패키지·업데이트 보호 배포 +•시스템 보호 +2) [공급사]를 위한 공급망 보안 권장 활동 주요 내용31) +[공급사]는 [개발사]와 [운영사] 사이의 중개자 역할을 하므로, 공급망 보안에 관한 다음 사항을 갖출 수 있도록 +노력할 필요가 있다. +•안전하게 제공되는 SW 무결성 유지 +•SW 패키지·업데이트 유효성 검사(Validation) +•알려진 보안취약점 관리 +•운영(고객)사의 보안취약점 신고를 접수하고 이를 해결하기 위해 개발사 통보 +[공급사]가 해야 할 공급망 보안 권장 활동은 아래 표와 같다.32) +31) Securing the Software Supply Chain - Recommended practices guide for suppliers, Enduring Security Framework(2022년 9월) +32) 개발사가 공급사를 겸하는 경우, 개발사 권장 활동에 포함하여 수행함 + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +27 +공급사를 위한 공급망 보안 권장 활동 +표 9 +구분 +세부 내용 +조직 준비 +•SW 보안 점검을 위한 기준 정의 및 수행 조직 준비 +SW 보호 +•모든 형태의 코드를 비인가 접근으로부터 보호 +•SW 출시(Release) 무결성 검증 메커니즘 제공 +•SW 출시 버전의 보관 및 보호 +보안성이 높은 +SW 제작 +•보안 요구사항을 충족하는 SW 설계 +•타사 공급 SW가 보안 요구사항을 충족하는지 검증 +•컴파일 및 빌드 프로세스의 보안 구성 +•사람이 읽을 수 있는 코드(Human-readable code)에 대한 검토 및 분석 +•실행 파일 테스트를 통해 보안취약점 식별, 보안 요구사항 준수 여부 검증 +•기본 보안 설정이 안전하도록 SW 구성 +보안취약점 대응 +•지속적인 보안취약점 식별, 분석, 보완 +3) [운영사]를 위한 공급망 보안 권장 활동 주요 내용33) +•운영사는 SW 제품의 구매 시 요구사항 정의, 제품 평가, 획득, 적용(배포), 유지 관리의 프로세스를 따름 +•운영사는 특정한 위험 완화 활동을 할 때 조직의 구조 및 임무, 위험의 허용 범위에 따라 각 프로세스를 +보완하는 것이 필요 +[운영사]가 해야 할 공급망 보안 권장 활동은 아래 표와 같다. +운영사를 위한 공급망 보안 권장 활동 +표 10 +구분 +세부 내용 +조달 및 +인수 +•보안 요구사항 정의 +•제품 평가(평가 대상 제품에 대한 SBOM 요구) +•구매 계약에 공급망 보안 요구사항 추가 +적용 +(배포) +•제품 인수 시 공급사가 사용하는 SW 배포 인프라의 보안 검증, 제품과 구성요소의 +무결성 검증, 인수한 제품과 SBOM을 비교, 확인 등 보안 활동 수행 +•기능 테스트에는 제품 설치 및 설정, 테스트 수행 및 결과 보고 프로세스를 구비 +(향후 참조를 위해 테스트 환경을 보관) +•보증, 충분한 시간 동안 테스트하여 숨겨진 악성 기능이 발생하지 않도록 유의하고 +계약에 포함된 보안 관련 명세를 검증 +•구성 제어 위원회(Configuration Control Board)의 검토 +•기능 및 보증 결과 검토, SW 자체 및 기존 시스템/SW와의 연관성을 포함한 위험 검토, +이를 기반으로 한 제품의 진행/중단 결정 +33) Securing the Software Supply Chain - Recommended practices guide for customers, Enduring Security Framework(2022년 10월) + + +--- + +28 +SW 공급망 위험관리 방안 + +## 제2장 + +구분 +세부 내용 +적용 +(배포) +•통합, 구매한 제품을 운영환경에 통합하면서 운영환경에 필요한 보안 통제를 배포하고, +지속적 모니터링 등 보안 활동 수행 +•초기 제품의 배포 시작 시 성공 여부를 검증하고 분석 수행 +•클라이언트 시스템, 기업 네트워크, 클라우드 등에 SW를 배포하는 단계로서 보안 운영 +측면에서 암호화 세션 등을 지속해서 모니터링하는 등의 보안 활동 수행 +제품 +업그레이드 +•계획 수립, 통합-보안-상호운영 테스트, 회귀테스트 필요 +•SW 업그레이드, SW를 다운받은 인프라에 관한 무결성 검증, 공급사의 SBOM 및 +자체 증명서 확인 +•업그레이드 후 모니터링을 통해 이상 동작 확인 등 보안 활동 수행 +제품 단종 +•단종된 제품의 제거 시 발생할 수 있는 보안 위협을 예방하기 위한 활동으로서 제품 +관련 계정 및 권한의 비활성화 +•보안 인프라에서 제품 관련 모든 규칙/역할/그룹 제거 등 보안 활동 수행 +교육/지원 +•교육·훈련 SW 및 관련 시스템, 환경을 보호함으로써 구매 SW에 관한 교육·훈련이 +잘 진행될 수 있도록 지원 +SW 운영 +① 사용자 +•제품의 최종 사용자 또는 책임 있는 자는 운영사의 IT 시스템에서 발생하는 오류나 +이상 현상을 보고함으로써 기업의 IT 보안에 기여해야 함 +•운영사는 이상 현상을 보고하는 방법을 사용자에게 교육하고, 문제가 발생한 특정한 +제품을 격리할 수 있어야 하며, 접수된 문제를 공급사에 알리고 추적하는 절차를 +마련하는 등 보안 활동 수행 +② 업데이트 +•운영사는 승인된 채널과 출처에서만 업데이트를 하고, 개발사와 공급사는 상세한 +업데이트 노트, 전자서명 등을 이용해 제공 인프라와 메커니즘의 무결성 검증 방법을 +도입사에 제공해야 함 +•운영사는 자동화된 방법으로 SBOM 활용 및 업데이트 내용의 무결성 확인, 업데이트 +전과 후의 동작으로 비교하여 이상 동작을 모니터링하여 문제 발생 시 배포 중단 등 +활동 수행 +보안 및 +공급망 위험 +관리 운영 +•운영사는 제품의 기능 변경 및 보안 이벤트 모니터링, 정기적인 보안 테스트, 제품에 +대한 감사 수행, 전체 SCRM에 관한 평가와 대응 등의 지속적인 보안 활동 필요 +•배포된 보안 에이전트의 무결성 보호, 지속적인 위협 헌팅(Hunting), SW 제품의 모니터링과 +분석을 위한 보안 운영 교육, 제품에 대한 위협 모델링을 수행하고 정부 및 업계 간 협업을 +통해 SW 공급망 위험 처리 등 활동 +※ 다만, ESF 가이드를 국내에 적용할 때 [개발사]와 [공급사]의 역할이 미국의 환경과는 다소 차이가 있을 수 +있어 이를 고려해야 한다. + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +29 +나. 안전한 SW 개발 체계의 활용 +개발사, 공급사, 운영사 등 SW 공급망 보안 참여자는 공급망 보안 활동을 수행할 때 NIST가 발표한 ‘안전한 +SW 개발체계(SSDF)34)를 활용할 수 있다. +•인력, 프로세스, 기술이 안전한 SW 개발을 수행할 수 있도록 준비되어 있는지 확인 +•SW의 모든 구성요소가 변조되거나 비인가 접근되지 않도록 보호 +•출시할 때 보안취약점을 최소화한 보안이 잘 갖춰진 SW를 제작 +•출시된 SW에 남아있는 보안취약점을 파악하고 해당 보안취약점을 해결하기 위해 적절히 대응하고 향후 +유사한 보안취약점이 발생하지 않도록 예방 +NIST의 SSDF는 다음과 같은 특징이 있다. +•안전한 SW 개발에 관한 지식이 없어도 이해할 수 있는 공통 언어를 제공하여 조직 내·외부 이해관계자가 +소통하는 데 도움을 줌 +내·외부 이해관계자 : 조직 내부의 사업 책임자, SW 개발자, 프로젝트 관리자, 사이버보안 전문가, IT +운영자, 보안취약점이 적은 SW 확보가 필요한 조직 외부의 SW 구매자 등 +•사용하는 SDLC 모델과 관계없이 적용할 수 있음 +•기술, 플랫폼, 프로그래밍 언어, 운영환경과 관계없이 모든 유형의 SW 개발에 사용할 수 있음 +SSDF는 위의 권고를 충족할 방법으로 아래 네 가지 권장 사항을 제시하였으며, 각 원칙에 관한 자세한 설명과 +필요한 과업(Task), 이에 관한 개념적인 구현 예시와 관련 참고 문서도 함께 제시하고 있다. +•조직 준비(Prepare the Organization, PO) +•SW 보호(Protect the Software, PS) +•보안성 높은 SW 제작(Produce Well-Secured Software, PW) +•보안취약점 대응(Respond to Vulnerabilities, RV) +34) Secure Software Development Framework(SSDF) Version 1.1 : Recommendations for Mitigating the Risk of Software +Vulnerabilities, NIST SP 800-218(2022년 2월) + + +--- + +30 +SW 공급망 위험관리 방안 + +## 제2장 + +SW 개발 생명주기(SDLC) 단계별 개념 정의 +표 11 +단계 +개념 +설계 +•개발할 SW의 기능과 제약조건 등을 정의하고, 시스템이 무엇을 수행할지 기능을 정의 +하여 논리적으로 결정하는 단계 +개발 +•설계 단계에서 논리적으로 결정한 해결 방법(알고리즘)을 프로그래밍 언어를 사용하여 +실제 프로그램을 작성하는 단계 +시험 +•개발한 시스템이 요구사항을 만족하는지, 실행 결과가 예상한 결과와 정확하게 맞는지를 +검사하고 평가하는 단계 +배포 +•상품이나 서비스가 생산자나 서비스 제공자로부터 최종 고객에게 이르는 과정에 개입되는 +다양한 조직들 사이의 거래 관계를 설계하고 전달 및 운영하는 단계 +운영 +•시스템을 구매 후 일어나는 프로그램 오류 수정, 시스템 디자인 수정, 새로운 요구사항, +시스템 환경변화에 대한 교정 등 일련의 과정을 수행하는 단계 +SSDF 구현을 위한 공급망 보안 권장 활동 +표 12 +영역 +관행 +조직 준비 +(PO) +PO.1 : SW 개발을 위한 보안 요구 사항 정의 +PO.2 : 역할 및 책임 구현 +PO.3 : 지원 도구(Tool chain) 구현 +PO.4 : SW 보안 점검 기준 정의 및 사용 +PO.5 : SW 개발을 위한 보안 환경 구현 및 유지 관리 +SW 보호 +(PS) +PS.1 : 모든 형태의 코드를 비인가 접근 및 변조로부터 보호 +PS.2 : 출시하는 SW의 무결성 검증을 위한 메커니즘 제공 +PS.3 : 출시된 SW의 보관 및 보호 +보안성 높은 +SW 제작 +(PW) +PW.1 : 보안 요구사항을 충족하고 보안 위험을 완화하도록 SW를 설계 +PW.2 : SW 설계를 검토하여 보안 요구 사항 및 위험 정보를 준수하는지 검증 +PW.3 : 타사 SW가 보안 요구사항을 준수하는지 검증 (PW.4에 통합) +PW.4 : 가능하면 기능을 복제하는 대신 보안이 잘된 기존 SW를 재사용 +PW.5 : 보안 코딩 관행을 준수하여 소스 코드 생성 +PW.6 : 실행파일의 보안을 개선하도록 컴파일, 인터프리터 및 빌드 프로세스를 구성 +PW.7 : 사람이 읽을 수 있는 코드(Human-readable code)를 검토·분석하여 보안취약점을 +식별하고 보안 요구사항을 준수하는지 검증 +PW.8 : 실행 코드를 테스트하여 보안취약점 식별 및 보안 요구 사항 준수 여부 검증 +PW.9 : SW가 기본 설정으로 보안을 갖추도록 구성 + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +31 +영역 +관행 +보안취약점 +대응 +(RV) +RV.1 : 지속적인 보안취약점 식별 및 확인 +RV.2 : 보안취약점의 평가, 우선순위 지정, 해결 +RV.3 : 보안취약점을 분석하여 근본 원인 파악 +국내 자체 개발 공개 SW ‘DevSecOps’ 기술 공개 +참고 +국내 기업이 자체 개발한 DevSecOps(개발·보안·운영) 시스템 ‘NShiftKey’를 공개 SW 앱으로 일반에 +공개함35) +•(추진배경) ‘Let’s shift left’ 전략으로 서비스의 기획부터 출시까지 각 단계에서 필요한 보안 요소들을 +산출하고, 자체 기술을 적용하여 운영하고 있음. DevSecOps 전략 중 하나로, 소스코드를 사전에 +점검하는 프로세스를 보다 쉽게 정착할 수 있도록 외부에서도 무료로 사용하도록 도구를 공개 +•(기대효과) Github를 활용하여 개발이 이루어지고 있기 때문에, 개발자가 개발한 소스코드를 반영할 +때마다 발생가능한 보안취약점을 확인하여 조치할 수 있음. 개발자라면 누구나 간단한 설치만으로 자신이 +개발한 제품 및 서비스의 보안성을 높일 수 있으며, 깃허브(GitHub)를 통해 무료로 다운로드 가능함 +NShiftKey 보안 체크 화면 +그림 10 +35) Github marketplace를 통해 2023년 6월에 공개(https://github.com/marketplace/nshiftkey) + + +![이미지 41-0](images/p0041_img0.png) + + +![이미지 41-1](images/p0041_img1.png) + + +--- + +32 +SW 공급망 위험관리 방안 + +## 제2장 + +제2절 +SW 구성요소의 신뢰성 확보 방안 +미국 OMB의 ‘SW 공급망 보안 강화에 대한 각서(M-22-18)’는 연방정부의 SW 공급망 보안을 강화하기 위해 +조달 정책을 개선하고자 한 것이다. +•특히, SW 부품 명세서라고 할 수 있는 SBOM의 공유를 통한 SW 구성요소의 투명성 강화를 강조 +•SBOM이 활성화되면 SW 구성요소의 전반적 가시성이 확보되어, 이에 기반한 보안 기술이 새롭게 등장하고, +향후 SW 공급망의 위험관리를 위한 인텔리전스(Intelligence) 업무의 자동화까지 가능할 것으로 기대 +•향후 미국, EU, 일본에 SW 제품 수출 시 보안성 강화 및 보증에 관한 다양한 컴플라이언스 준수 등 +우리 기업에도 지속해서 도움이 될 것으로 예상되지만, ① 안전한 SW 개발환경을 구축하고, ② 공개 SW +및 기타 제3자 SW 구성요소의 위험을 관리할 수 있는 SBOM이 도입되고 일상화되어 정착하기까지는 범정부 +차원의 지원과 기업들의 적극적인 참여가 중요 +SBOM은 제조업의 자재명세서 또는 부품명세서(BoM, Bill of Materials), 식품 공급(유통)에 사용되는 +식품의 원재료 명세서(food ingredients)의 개념을 SW에 적용함 +SBOM과 기타 BOM 명세서와 비교 +표 13 +구분 +적용 분야 +사용 목적 +Food ingredients +식품 +공급(유통)되는 식품에 관한 소비자의 위험 성분 확인 +BOM +제조업 +지속적인 양산 체제 유지를 위한 부품 관리와 자동화 +SBOM +SW +공급망 위험관리를 위한 투명한 SW 구성요소 정보 제공 +1. SBOM이란? +SBOM은 SW 구성요소를 서술하는 일종의 메타 데이터로 SW 전체의 구성요소를 목록화한 것이다. +미국 NTIA는 SBOM을 ‘SW 재료의 목록’이며 "SW 구축에 사용되는 다양한 구성요소의 세부 사항과 +공급망 관계를 포함하는 공식적인 기록”으로 정의36) +•대부분의 SW는 개발 시에 외부 라이브러리나 공개 SW를 포함하여 개발하고 있어 SW 공급망이 복잡해지고, +보안취약점이 늘어남에 따라 이를 추적하고 관리해야 할 필요성이 대두됨 +•국내에서는 SW 구성 명세서, SW 구성요소 명세서, SW 부품명세서 등으로 다양하게 부르고 있음 +36) NTIA : National Telecommunications and Information Administration + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +33 +•본 가이드라인에서는 국내 정부·공공기관 및 기업 관계자 등의 편의를 위해 SBOM을 ‘SW 구성요소 +명세서’로 통칭 +•SW 구성요소를 식별·관리할 수 있는 정보를 제공하는 SBOM을 SW 구성요소의 투명성 강화 방안으로 +사용하기 위해 NTIA는 SBOM의 최소 요건을 제시37) +•다만, 각 기업(기관)의 사용 목적에 부합하도록 SBOM에 포함되어야 하는 항목을 추가·수정하여 활용할 수 있음 +SW 공급망을 통한 SolarWinds 및 Log4j 공격이 큰 피해를 초래하면서, SW 내 어떤 구성요소가 존재하는지 +신속하게 파악하고, 위험에 대처하기 위한 도구로 SBOM이 주목받고 있다. +2. SBOM의 필요성 및 효과성 +SBOM은 SW를 개발하거나, 구매할 때 또는 시스템 운영에도 활용할 수 있으며, SW 생명주기 및 역할에 따른 +이점은 다음과 같다. +•[개발자]는 공개 SW 및 타사 SW의 구성요소 +38)를 사용하여 제품을 만드는 경우가 많음. 이 경우 SW 개발기업은 +SBOM을 통해 해당 구성요소가 최신 버전인지 식별하고, 새로운 보안취약점에 신속하게 대응할 수 있음 +•[구매자]는 SBOM을 사용하여 투명하게 보안취약점 또는 라이선스 분석을 수행할 수 있으며, 이 두 가지 +분석은 제품의 전반적인 위험 수준을 평가하는 데 활용할 수 있음 +•[운영자]는 SBOM을 활용하여 새로 발견된 보안취약점이 잠재적 위험에 노출되어 있는지를 쉽고 빠르게 +확인하고 관리할 수 있음 +SBOM 활용의 효과성 +그림 11 +37) “The Minimum Elements For a Software Bill of Materials(SBOM)”(NTIA, 2021년 07월) +38) SBOM은 기본적으로 SW 구성요소가 가진 종속성(Dependency)을 연결하는 트리(Tree) 구조의 형식으로, 이를 통해 Log4j와 +같이 여러 시스템과 패키지에서 사용하는 SW 구성요소를 빠르게 식별할 수 있음 + + +--- + +34 +SW 공급망 위험관리 방안 + +## 제2장 + +미국 전기통신정보청(NTIA)의 SBOM 효과성 분석 사례 +참고 +미국은 의료기기, 자동차, 에너지 산업 등 분야의 SW를 대상으로 공급망 단계별로 SBOM 적용 전과 +후에 대한 효과성을 분석 +•새로운 보안취약점이 발견되면 며칠 또는 몇 주 이내에 악용 사례가 보고되는 것과 대조적으로 +방어자는 공급 단계의 복잡성으로 인해 최종 보안취약점 조치에 이르기까지 수개월 또는 수년까지 +걸림 +•SW 도입(운영)사의 보안취약점 관리는 개발 및 공급사에 의존할 수 밖에 없어 최종 운영단계에서 +보안취약점 발견·조치에 필요한 기간이 길어질 수 있음 +•SBOM이 제공하는 공급망 투명성은 SW 컴포넌트(부품) 개발사 및 공급사, 도입(운영)사 등을 +포함하는 각 참여자가 동시에 보안취약점을 식별할 수 있도록 지원 +•아래 그림은 SBOM 적용 전과 후에 대한 보안취약점 발견 및 조치에 걸리는 시간을 비교한 것으로, +SBOM 활용으로 보안취약점 발견과 동시에 공급망 전 단계에서 해결책 또는 완화(Mitigation) 조치를 +즉시 시행 +SBOM 도입 효과성 분석 +그림 12 +출처 : Roles and Benefits for SBOM Across the Supply Chain, NTIA(2019년 11월) + + +![이미지 44-0](images/p0044_img0.png) + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +35 +3. SBOM 최소 요건 +가. NTIA의 SBOM 최소요건 +SBOM이 기술해야 하는 데이터는 여러 가지가 있으나, 글로벌 공급(유통)을 위한 최소기준은 미국 NTIA에서 +제시한 ‘SBOM을 위한 최소요건’이다. +•NTIA에서 정의한 SBOM의 최소요건은 ①데이터 필드(Data Fields), ②자동화 지원(Automation support), +③관행 및 프로세스(Practices and processes) 영역을 포함하도록 정의 +1) 데이터 필드(Data Fields) +•NTIA는 SBOM 데이터 필드에 다음과 같은 7가지 기본항목이 포함되어야 한다고 명시39) +데이터 필드의 기본항목 +표 14 +항목 +설명 +공급자명 +(Supplier Name) +•구성요소를 생성하고, 정의 및 식별한 주체의 이름 +타임스탬프 +(Timestamp) +•SBOM 데이터로 변환(Assembly)한 날짜 및 시간 기록 +저작권자 +(Author Name) +•구성요소에 대한 SBOM 데이터를 생성하는 주체의 이름 +구성요소명 +(Component Name) +•최초 공급자에 의해 정의된 SW 단위에 할당된 명칭 +버전 +(Version String) +•이전 버전으로부터 SW의 변경 사항을 지정하는 데 사용하는 식별자 +고유 식별자 +(Unique Identifier) +•구성요소를 식별하는 데 사용되거나 관련 DB의 조회 키(Look-up Key) 역할을 +하는 기타 식별자 +종속성 관계 +(Relationship) +•상위(Upstream) 구성요소 X가 SW Y에 포함된다는 관계를 특정함 +39) Framing Software Component Transparency : Establishing a Common Software Bill of Materials(2021년) + + +--- + +36 +SW 공급망 위험관리 방안 + +## 제2장 + +2) 자동화 지원(Automation support) +SBOM은 컴퓨터 시스템 간 교환이 용이하도록 정해진 형식에 맞춰 기술해야 한다. 이를 위해 NTIA는 다음 +3가지 표준을 SBOM 최소 요소로 지정했다. +•NTIA는 SBOM 데이터 공유 및 교환을 위한 자동화 요구 사항으로 국제적으로 통용되는 세 가지 형식(SPDX, +CycloneDX, SWID)을 활용하는 것으로 정의40) +•다만, 각 형식마다 NTIA의 SBOM 기본 항목 데이터를 상이하게 표현 [표 15] +SBOM 표준간 데이터 속성 비교 +표 15 +Data Fields +SPDX +CycloneDX +SWID +공급자명 +(Supplier Name) +PackageSupplier : +Supplier publisher +@ +role(soffwareCretor/ +publisher),@name +컴포넌트명 +(Component Name) +PackageName : +name + @ +name +고유 식별자 +(Unique Identifer) +SPDX Document +Namespace SPDXID : +Bom/seriaNunber +Component/bom-ref + @ +tagID +버전 +(Version String) +PackageVersion : +Version + @ +version +컴포넌트 해시 +(Component Hash) +PackageChecksum : +PackageVerificationCode : +Hash +“alg” +/../ @ +[hash-algorithm]:hash +종속성 관계 +(Relationship) +Relationship : DESCRIBES +CONTAINS +(중첩된 어셈블리 또는 +하위 어셈블리 및 종속성 +그래프에 내장되어 있음) + @rel, @href +저작권자 +(Author Name) +Creator : +metadata/authors/ +author + @role +(tagCreator), @name +40) NTIA에서 직접적으로 SBOM 표준을 개발·제정한 것은 아니며, 빠른 시장 적용을 위해 기존에 활성화된 SBOM 표준을 인용한 것임 + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +37 +3) 활동 및 프로세스(Practices and processes) +SBOM을 업데이트하고 제공해야 하는 방법과 시기와 관련된 6가지 요구사항을 정의하고 있다. +•Frequency : 새롭게 빌드 또는 릴리즈(Release) 되는 경우 새로운 SBOM을 반드시 생성 +•Depth : SBOM 작성자는 최상위 구성요소부터 하위 구성요소까지 포함하여 모든 종속성을 표시 +•Known Unknowns : SBOM에 종속성이 표시되지 않은 경우에 표기 +1) 구성요소에 추가 종속성이 없어서 표시하지 않았는지 여부 +2) 종속성을 알 수 없는 불완전한 상태인지 기록 +•Distribution and Delivery : SBOM을 적절한 접근권한과 방식을 통하여 제공 +•Access Control : SBOM 공개 범위에 따라 적절한 접근제어 조건을 지정 +•Accommodation of Mistake : SBOM 생성은 아직 초기 단계로 SBOM 수요자는 의도하지 않은 오류 +또는 누락을 용인 +CISA의 SBOM 최소요건 개정 예고 +SBOM은 SW 공급망 보안을 강화하고, SW의 투명성을 높일 수 있는 수단이지만, 아직 SBOM에 어떤 +정보를 담을 것인가에 대해서는 명확하게 정해지지 않았다. 이에 미국 CISA는 2021년에 SBOM +최소요건을 제정하였으나, 5개의 연구반(Working Group)을 중심으로 실현할 수 있는 기본 요소가 +늘어났으며, 산업 피드백을 통해 요구사항이 확장되었음을 인정하고, 현재 최소요건의 개정 작업이 +진행 중 임을 밝혔다.(2023년 9월) +SW 공급망 보안은 글로벌 표준과의 조화가 요구되는 만큼 본 가이드라인 개정 시, CISA의 SBOM +개정 사항을 적극 반영하여 우리 산업계가 국제적인 경쟁력을 갖출 수 있도록 지원할 것이다. + + +--- + +38 +SW 공급망 위험관리 방안 + +## 제2장 + +4. SW 보안취약점 및 라이선스 관리방안 +가. 알려진 보안취약점 관리 +SCA(SW Component Analysis)41) 도구를 활용하여 SW 구성요소를 분석하고, SBOM을 생성할 수 있다. +또한 이를 기반으로 공개 SW의 알려진 보안취약점 정보와의 매칭이 가능하다. +1) SBOM에 연계된 보안취약점 정보 확인 +•공개 SW 등에 대한 구성요소를 식별하여 SBOM 생성 후 ‘Vulnerabilities’ 항목 등에서 알려진 보안취약점 +정보(CVE, KEV 등)42)를 확인 +SBOM에 연계된 보안취약점 정보 예시(CycloneDX 포맷) +그림 13 +41) SCA : SW 구성요소 분석(Software Composition Analysis) 기술로 상용 및 공개 SW 도구가 있음 +42) CVE(Common Vulnerabilities Exposures)란, 공개적으로 알려진 컴퓨터 보안 결함의 목록, CVE는 보통 CVE ID 번호가 할당된 보안 +결함을 뜻함. KEV(Known Exploited Vulnerability)는 악용 사례가 알려진 보안취약점으로써, 공격 가능성이 매우 높아 보완 조치가 +시급함 + + +![이미지 48-0](images/p0048_img0.png) + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +39 +2) 발견된 보안취약점에 대한 관리 시스템의 영향범위를 분석 +•상용 및 공개 SW에서 발견된 보안취약점에 대하여 미국 NVD가 제공하는 보안취약점 정보 확인 +(https://nvd.nist.gov/vuln/detail/{CVE_ID}) +NVD를 통한 알려진 보안취약점(CVE) 조회 화면 +그림 14 +3) NIST에서 제공하는 보안취약점의 영향범위와 심각도 등을 활용하여 위험 수준을 평가하고 조치 우선 +순위를 결정43) +•CVSS44)는 NVD 보안취약점 데이터베이스에서 정한 심각도와 기본 점수(Base Score)의 등급으로 위험도를 +나타냄(V2.0과 V3.0 두 가지 방식으로 제공) +43) https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator +44) CVSS(Common Vulnerabilities Scoring System)는 공격자가 보안취약점을 악용할 때 미치는 영향과 보안취약점의 위험도를 +나타내며, 0.0 ~ 10.0 숫자가 높을수록 위험도가 더 높음 + + +![이미지 49-0](images/p0049_img0.png) + + +![이미지 49-1](images/p0049_img1.png) + + +![이미지 49-2](images/p0049_img2.png) + + +--- + +40 +SW 공급망 위험관리 방안 + +## 제2장 + +기본 점수에 따른 악용 가능성 분석 예시(CVSS Calculator) +그림 15 +4) 보안취약점에 대한 조치계획 수립 및 관련자와 보안취약점 정보공유 +•타사 구성요소 등에서 발견된 보안취약점에 대하여 NVD 조치 방안을 확인 +•탐지된 보안취약점에 대한 조치계획을 산정된 우선순위에 따라 수립 후 개발기업, 운영기업(기관) 등에 해당 +컴포넌트 정보를 공유 +•특히, CVSS 7.0 이상의 높은 위험도를 가진 보안취약점은 보안 담당자 등과 즉각적인 완화조치를 +수행하거나, 조치 방안과 시기를 협의 해야함 +•위험도 판단에는 CVSS 외에 CISA의 KEV 등과 같이 추가적인 지표를 활용할 수 있음 +Description +Apache Log4j2 2.0-beta9 through 2.15.0(excluding security releases 2.12.2, 2.12.3, and 2.3.1) +JNDI features used in configuration, log messages, and parameters do not protect against attacker +controlled LDAP and other JNDI related endpoints. An attacker who can control log messages or +log message parameters can execute arbitrary code loaded from LDAP servers when message +lookup substitution is enabled. From log4j 2.15.0, this behavior has been disabled by default. +From version 2.16.0(along with 2.12.2, 2.12.3, and 2.3.1), this functionality has been completely +removed. Note that this vulnerability is specific to log4j-core and does not affect log4net, log4cxx, +or other Apache Logging Services projects. +NVD 보안취약점의 조치방안(Log4j 예시) +그림 16 + + +![이미지 50-0](images/p0050_img0.png) + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +41 +나. 공개 SW 라이선스 관리 +특정 컴포넌트의 라이선스에 대해 준수가 불가능하거나 준수할 수 없는 조건을 발견할 수 있으며, +컴포넌트 자체를 변경하는 등의 조치를 수행 +SBOM을 통해서 얻은 컴포넌트 정보에서 서비스 중단, 3rd 협력자 라이선스 만료 또는 폐기된 +컴포넌트 정보를 확인하고 적절한 조치 필요 +SBOM을 통해서 식별된 공개 SW, 상용 SW, 타사(3rd party) SW 등의 모든 라이선스 정보에 대해서 +저작 권리와 사용 허가 등의 제공 여부를 추적·관리 필요 +공개 SW 활용 확대와 함께 공개 SW 라이선스 관리의 중요성은 계속해서 강조되었으며, 이 과정에서 SBOM은 +라이선스 관리에 유용하게 사용되고 있다. +•생성된 SBOM은 SW에 포함된 컴포넌트의 라이선스 준수 상황을 확인하여야 하며, 라이선스 관리는 다음의 +사항을 확인해야 함 +공개 SW 라이선스는 저작권자의 저작 권리 주장 및 사용 허가를 제공하는 명문화된 형태, 코드 공개 여부와 +범위에 따라 분류한다.45) +•Permissive 계열 : 사용자에게 광범위한 사용 권한을 부여하는 계열로 저작권 및 라이선스 사용 고지 +정도만을 요구 +•Copyleft 계열 : Free SW 계열의 라이선스 +1) Weak copyleft 계열 : 수정 부분을 포함한 소스코드 공개 요구 +2) (Strong) copyleft 계열 : 결합된 모든 코드의 소스코드 공개 요구 +공개 SW 라이선스 분류 +그림 17 +45) 추가 정보는 2024년에 발간한 공개 SW 라이선스 가이드(NIPA)를 통해 확인 + + +![이미지 51-0](images/p0051_img0.png) + + +--- + +42 +SW 공급망 위험관리 방안 + +## 제2장 + +공개 SW를 활용하여 개발한 SW를 대상으로 필요한 라이선스 관리범위를 다음과 같이 정의할 수 있다. +공개 SW 라이선스 관리 범위(예시) +표 16 +구분 +주요 내용 +형태 +① 수정 없이 그대로 사용하는 복제, ② 수정 및 결합 +이슈 사항 +공개 SW를 사용함으로써 발생하는 사용자의 의무 사항과 관련 있으며, 사용자의 +저작권에 해당하는 수정 및 결합 저작물의 경우 이슈가 많이 발생 +의무 사항 +라이선스 및 결합 형태별로 공개 범위는 다르지만, 소스코드 공개의 의무, 무상 +특허 권리 허용의 의무, 사용 및 변경 사용에 대한 고지 필요 +고지 방법 +저작권과 라이선스 사본 고지 +저작권 +일반적으로 “copyright”라는 단어를 포함하여 연도와 저작권자 혹은 회사명을 +포함하는 문자열로 표현 +라이선스 +사용한 공개 SW 라이선스를 명시하고 라이선스 사본을 첨부 +국내 기업(기관)은 SW에서 SBOM을 생성하고 발견된 공개 SW 저작권에 대하여 빠르게 현황을 확인하여 관련 +라이선스 조건에 따라 적절한 조치를 해야 할 필요가 있다. +•국내 A기업 사례를 보면 공개 SW 라이선스 대응을 위한 전담 부서 외에도 법률 전문가들과 함께 라이선스 +대응팀을 운영하고 있음 +•국내 B기관 사례에서는 공개 SW 라이선스 관리를 위한 전담 부서를 두고 자체 개발 SW 및 제3자 협력 개발 +SW에 포함된 공개 SW 라이선스 관리를 수행하고 있음 +국내 정부·공공기관 및 기업들은 공개 SW 활용 비중이 확대됨에 따라 해외 저작권자들로부터 저작권 +소송을 경험하면서 이와 같은 상황에 대응하기 위해 저작권 관리에 활용되던 SBOM을 최근에는 +보안취약점 관리에도 활용 + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +43 +공개 SW 서체 라이선스 위반 탐지 사례 +참고 1 +다음은 SBOM 생성 도구를 활용하여, 공개 SW 서체를 활용하는 컴포넌트의 라이선스 위반 여부를 +확인한 사례 +•아래 그림의 SBOM 예시(SPDX 형식)에서 볼 수 있듯이 해당 SW는 “License” 항목에 ‘Non- +Commercial-Use-Only-Font-License’의 서체를 사용하고 있음(빨간색 박스 부분) +•(이슈) 첨부된 라이선스의 정책에 따라 탐지된 서체는 개인의 작업 용도로는 사용할 수 있지만, +기업에서 영리 목적으로 판매용 제품에 적용하는 등 활용할 경우, 라이선스 정책 위반으로 향후 +소유자가 라이선스 사용 위반에 대한 법적 조치를 요구할 가능성이 있음 +•(조치) 영리 기업에서 사용이 가능한 다른 라이선스 종류의 공개 SW 서체로 대체하거나 해당 서체를 +구매하여 라이선스 정책을 준수해야 함 +SBOM 라이선스 탐지 예시(SPDX 포맷) +그림 18 + + +![이미지 53-0](images/p0053_img0.png) + + +--- + +44 +SW 공급망 위험관리 방안 + +## 제2장 + +국내 공개 SW 데이터베이스 통합 프로젝트, 오소리(OSORI)46) +참고 2 +공개 SW(소스코드, 폰트, 데이터베이스 등)는 누구나 자유롭게 복제, 배포, 수정이 가능해 유용하지만, +기업ㆍ개인 개발자가 공개 SW를 사용할 때 저작권 침해, 특허분쟁, 라이선스 위반 등의 법률적인 +문제를 일으킬 위험도 있음46) +공개 SW는 ‘공개’ 되어 있다는 의미 때문에 ‘무료’ 또는 ‘마음대로’ 쓸 수 있다고 생각하기 +쉽지만 ‘공개 SW’ 프로젝트마다 관련 라이선스 등 의무사항이 각각 다르게 설정되어 있음. 이를 +인지하지 못했거나 인지하고도 따르지 않는 경우 법적 이슈 발생 +•특히 특허, 법률 등 전문 직원 확보가 어려운 개인, 중소기업 등은 공개 SW 사용 과정에서 공개 SW +라이선스와 관련된 저작권 문제를 겪음 +•공개 SW 컴플라이언스 : 공개 SW 사용 과정에서 발생 가능한 법률적 문제 등을 사전 검증해 +리스크를 관리하는 활동을 말함 +국내 3社에서도 자체적으로 구축한 공개 SW 라이선스 정보 6만여 건을 공유하고, 데이터에 접근할 수 +있는 API를 무료로 제공(2023년) +•3社는 자사가 보유한 DB 공개를 넘어 타사가 보유하고 있는 DB를 공유하고, 또한 교차 검증을 통해 +추가적인 데이터의 신뢰성을 확보함 +•개발한 SW/디지털 서비스 등에 포함될 수 있는 공개 SW 라이선스 정보를 확인하여 관련 조치를 +제품 출시 전에 취함으로써 신뢰도를 높이고, 분쟁을 사전에 예방할 수 있음 +국내 개인, 중소기업 등도 자유롭게 오소리 프로젝트에 참여함으로써 공개 SW 사용과 관련된 저작권 +문제를 사전에 예방할 수 있음 +•홈페이지(osori-db.github.io)에서 사용법을 포함한 가이드 제공 +•공개 SW 라이선스 종합정보시스템(olis.or.kr)에서도 공개 SW 데이터 활용을 지원하고 있음 +46) 오소리는 ‘공개 SW 소리내다’라는 의미를 담고 있으며, 공개 SW 라이선스 정보를 표준화해 공개하고 개인, 기업 등이 무료로 +활용할 수 있도록 함으로써 보다 투명하고 신뢰성 있는 공개 SW 생태계 구축에 기여하기 위해 출범 + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +45 +제3절 +SBOM 기반 SW 공급망 보안 강화 방안 +1. SW 위험관리를 위한 SBOM 기반 확산 +SW 공급망은 최초 SW 개발사에서 시작되며, 공개 및 상용 SW 등 다양한 SW 구성요소가 개발·조립되어, +SW 공급사 및 최종 고객사로 납품되는 과정을 포함한다. +•외부 SW 또는 자체 개발 SW는 다양한 공개 SW를 포함할 수 있으며, SBOM 기반 SW 공급망 보안 +관리체계를 통해 보안취약점 등 공개 SW 활용에 따른 위험에 대응할 수 있음 +SW 공급망과 내·외부 SW 유형 예시 +그림 19 +이를 위해서는 [그림 19]의 a~d까지 공개 SW의 각 SW 개발 생명주기 단계마다 SBOM 생성 및 배포 체계를 +구축하고, 보안 위험이 해소된 SW를 공급(유통)해야 한다. +•각 공급망 참여자는 SBOM 공급(유통)을 통해 SW 공급망의 투명성과 신뢰성을 높일 필요성이 있음 +•그러나 모든 SW 구성요소에 대한 SBOM 생성이 어려운 경우, 타사 라이브러리 및 공개 SW 구성요소를 +중심으로 작성자 등 출처 정보와 종속성 관계(Dependency Relationship)를 관리하는 체계를 우선 구축함 +•SW 개발사 및 공급사는 SW 납품 전에 산업별 SW 공급망 거점의 지원을 받아 신뢰할 수 있는 SBOM을 생성 +및 통합하고, 이를 기반으로 공개 SW 라이선스 및 보안취약점 등 SW 위험관리를 시행해야 함 + + +![이미지 55-0](images/p0055_img0.png) + + +![이미지 55-6](images/p0055_img6.png) + + +![이미지 55-7](images/p0055_img7.png) + + +![이미지 55-21](images/p0055_img21.png) + + +![이미지 55-28](images/p0055_img28.png) + + +![이미지 55-29](images/p0055_img29.png) + + +![이미지 55-30](images/p0055_img30.png) + + +--- + +46 +SW 공급망 위험관리 방안 + +## 제2장 + +SW 공급망과 내·외부 SW 유형 예시 +그림 20 +[개발사] SW 개발 생명주기 전반에 걸친 SW 위험관리를 위해 기초 데이터가 되는 SBOM 생성을 위한 +필수설비 구축이 필요하다. +•SBOM 도구(공개 SW 및 상용 도구 활용), SW 구성요소 저장소, SBOM 데이터베이스(DB), SW 위험 평가 및 +관리를 위한 자체 보안취약점 DB 및 NVD 연계는 SBOM 기반의 SW 공급망 보안을 위한 기초 설비임 +•이와 같은 SBOM 기초 설비를 바탕으로 SW 공급사 및 운영사에 대한 SW 구성요소 자산 파악과 보안패치 등 +선제 대응 및 신속한 사후 대응도 가능함 +[공급사 및 운영사] 개발사 → 공급사 → 운영사로 이어지는 SW 공급망에 대한 SBOM 공급(유통) 체계를 +구축한다. +•정부·공공기관 및 협단체 등에 ‘산업별 SW 공급망 거점’을 구축하고 다수의 공급망 생태계에 검증된 정보를 +제공하는 것이 이상적인 체계 +•제3자가 SW 개발사의 소스코드를 제공받기는 어려우므로 기업의 지적 재산이 보장되도록 정보를 선별, +최소화된 SBOM을 제공받아 SW 위험관리에 활용함 + + +![이미지 56-0](images/p0056_img0.png) + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +47 +산업별 거점을 활용한 SW 위험관리 구성도 +그림 21 +[산업별 SW 공급망 거점] SW 개발자, 공급사, 운영사를 포괄하는 산업 생태계는 SBOM 정보를 스스로 +공급(유통)하고, 정부는 산업별 SW 공급망에 대한 지원 기능을 수행하는 거점을 구축할 수 있다. +•산업별 거점의 역할은 새로운 SW 위험 발생 시, 빠르게 조처할 수 있도록 SBOM 공급(유통)을 체계화하고 +자동화하는 것이며, 다만 기업 지식재산권에 침해가 발생하지 않도록 산업 생태계에 최소한의 지원 필요 +•또한, SBOM으로 관리할 대상 SW는 우선순위를 두어 하나씩 시행하는 것이 부담을 줄이는 방법으로 +자체적으로 개발하지 않은 상용 SDK와 같은 외부 SW부터 먼저 SBOM으로 관리 필요 +•공개 SW 역시 매우 중요한 관리 대상이지만 아직은 고려할 사항이 많아 시장의 자율성에 맡길 필요가 +있으며, 정부는 공개 SW의 신뢰성을 높이는 방안을 추가 지원 필요 +SW 공급망 거점은 기존의 보안성 점검 위주 시설(기업지원허브, 보안리빙랩, 기술공유실 등)에 정보공유 +체계를 추가로 구성하는 발전적 활용이 가능하다. +•다만, SBOM 정보공유 체계의 구성이 완료된 이후 보안취약점 패치 등 대응은 생태계 참여자의 책임으로 전환 +필요 + + +![이미지 57-2](images/p0057_img2.png) + + +![이미지 57-3](images/p0057_img3.png) + + +![이미지 57-4](images/p0057_img4.png) + + +--- + +48 +SW 공급망 위험관리 방안 + +## 제2장 + +SW 공급망 관리센터 체계도 +그림 22 +[SW 공급망 관리센터] SW 공급망의 각 단계에서 발생할 수 있는 위험을 사전에 분석하고, 관리하는 상위 +추진체계를 구축하여 산업별 공급망 거점에 필수 정보를 공유하는 기능을 부여한다. 거점을 통합하는 +관리센터를 통해 체계적인 SW 공급망 위험관리가 가능하며, 이것이 SBOM 기반의 공급망 관리의 미래 +비전이자 사이버 복원력 확보의 기초이다. +•SW 공급망 관리센터의 주요 역할은 ① SW 공급망 보안 활동 계획수립, ② 관련 이해관계자와 정보 교류, +③ 교육/홍보 등 정보격차 해소 노력 등이며, 상위 관리센터는 산업별로 여러 곳이 있어도 무방함 +•이러한 자동화된 체계를 지향하는 이유는 더 쉽고 안전하게 보안취약점 및 악성코드 정보를 공유하자는 +취지이며, 궁극적으로는 현재 ‘비정형 문서 형태’인 ‘보안 권고(Security Advisory)’를 분야별로 체계화하고, +우선순위를 지정하여, 자동으로 대응(패치)하도록 함 +•또한, 공급망 생태계별 SBOM 정보 공급(유통) 체계를 기반으로 향후 ‘보안 취약성 및 악용 가능성 자동 +교환(VEX)47)’ 인텔리전스 체계로 발전이 가능함 +•다만, SW 개발사를 포함하는 각 공급망 생태계와 SW 공급망 거점에 SBOM 기초 설비를 구축하는데 SW +제작 단가 상승 등 비용 증가가 예상되므로 기반 구축 초기 단계에 정부의 지원이 필요함 +SBOM 기반 공급망 보안 체계의 활용 기대효과 +[소비자 신뢰성 향상] 공급망 내 투명한 자산관리, 라이선스 관리, 보안취약점 관리를 통해 +소비자들이 안심하고 활용할 수 있는 기반 제공 +[글로벌 무역장벽 대비] 미국, 유럽 등 SBOM 제출을 제도화하는 움직임에 체계적으로 대비하여 +국가 신뢰도를 높이며, 해외시장 진출을 위한 기업 경쟁력 강화에 도움 +47) VEX : Vulnerability and Exploitability Exchange + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +49 +의료기기의 사이버보안을 위한 SBOM 원칙과 사례 +참고 +국제의료기기규제당국자포럼(IMDRF48))은 의료기기 시판 전 및 시판 후 사이버보안 관리 모범사례와 +이해관계자를 위한 여러 권장 활동을 제공한다. +•의료기기 SW 개발사와 병원 또는 의료 서비스와 같은 공급사 및 고객사 간의 SBOM 체계를 제시한 +‘의료기기 사이버보안을 위한 SBOM 원칙과 사례’ 기술 문서를 발표하였음(2023년 4월) +•SBOM을 활용하면 의료 시스템이 타사 SW 구성요소를 포함하여 발생하는 위험을 관리할 수 +있으며, SBOM이 의료기기와 관련된 SW 공급망의 취약점을 빠르게 식별하고 수정하여 악용 +가능성을 줄이는 목표에 부합하는 투명한 메커니즘을 제공한다고 강조함 +•특히, 의료기기 SW 개발 생명주기(Lifecycle)에서 SBOM 개발 및 배포, 유지에 대한 고려사항을 +포함하고 있으면, SBOM이 SW 생산 비용을 많이 증가시키지 않으면서도 의료 시스템의 공급망과 +관련된 모든 이해관계자에 혜택을 줄 수 있는 잠재력이 있다고 평가함 +SBOM 생성·공급(유통) 체계도 +그림 23 +48) IMDRF : International Medical Device Regulators Forum + + +![이미지 59-0](images/p0059_img0.png) + + +--- + +50 +SBOM 기반 SW 공급망 보안 실증사례 + +## 제3장 + + +## 제3장은 국내 정부·공공기관 및 기업이 SBOM 기반의 SW 공급망 보안 관리체계를 도입할 때 + +시행착오를 줄이고, 비용 효과적으로 도입할 수 있도록 지원하기 위해 마련되었다. +이를 위해 정부 주도의 전문가 그룹은 정보보호 및 의료 분야 국산 SW 3종에 대해 4종(유료 2종, 무료 +2종)의 SBOM 도구를 활용하여 SCA 즉, SBOM을 생성하고 보안취약점 분석·조치 등에 관한 일련의 +과정을 정리·제시하였다. +제1절 (SBOM 생성·활용 실증사례) 국산 SW를 대상으로 SBOM을 생성하고, 이를 분석하여 +보안취약점을 발견하고, 조치할 수 있도록 하였다. 이 과정에서 SBOM 신뢰성 확보를 위한 유효성 검증 +방법과 SW 컴포넌트 관리요령을 도출하였다. +제2절 (SW 공급망 보안 관리체계 점검 실증사례) 공개 SW 보안취약점 탐지·조치 외에도 SW +개발환경의 악성코드 반입 가능성을 확인하는 관리체계 점검은 매우 중요한 SW 공급망 보안 +관리요소이다. 이를 통해 기업의 SW 공급망 공격에 대한 사고 발생 위험도를 점검하고, 취약한 항목을 +발굴하여 이에 대한 보안대책을 포함한 분석 리포트를 공유하여 기업의 보안수준 제고를 지원하였다. +제3절 (자가 점검용 SW 공급망 단계별 보안 체크리스트) 미국 NIST 문서(NIST 800-161, NIST 800- +218)를 참고하여 우리나라 정부·공공기관 및 기업의 실정에 맞도록 공급망 단계별 체크리스트를 +마련하였다. SW 공급망 참여자들이 공급망 각 단계에서 보안수준을 스스로 점검할 수 있도록 +제공하였다. +SBOM 기반 +SW 공급망 보안 실증사례 + +## 제3장 + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +51 +제1절 +SBOM 생성·활용 실증사례 + +## 1. 실증 개요 + +국산 SW의 SBOM 생성·활용을 통한 SBOM 기반의 SW 공급망 보안 관리 실증을 위해 아래와 같은 계획을 +수립하였다. +실증 추진계획 수립 +표 17 +구 분 +주요 내용 +실증대상 +•의료, 보안 분야 SW 3종 +분석대상 +•소스코드 파일, 바이너리 파일 +실증도구 +•개발, 공급(유통)단계 지원 솔루션(1종) +•운영, 유지보수 단계 지원 솔루션(1종) +•무료 SBOM 생성·점검 지원 도구(2종) +실증내용 +•SBOM 생성 및 검증 +•보안취약점 탐지·조치 +•SW 개발기업 대상 공급망 보안 관리체계 점검 지원 +•체계적인 실증을 위해 먼저 SW 개발기업 및 실증 대상 SW 제품의 환경분석을 실시한 후, 담당자 인터뷰를 +통해 기업의 개발환경, 공급망 보안 관리 체계, 대상 SW 제품의 특성 등을 파악하였다. +•분석대상 SW의 제반 상황을 확인한 후 SBOM 도구를 활용하여 SBOM을 생성하고 유효성을 검증한 후 +검증된 SBOM에서 보안취약점 분석 및 대상 기업의 공급망 보안 관리체계를 점검하였다. +•이를 기반으로 해당 기업의 SW 개발자 인식 및 개발 프로세스 개선 등 공급망 보안 관리체계 향상을 위해 +보안 컨설팅도 제공하였다. +본 절에서는 국내 정부·공공기관 및 기업들의 SBOM 도입 활용과정에서 시행착오를 줄일 수 있도록 ① SBOM +생성 과정에서 수행하는 SBOM 유효성 분석, ② SBOM을 활용한 컴포넌트 관리사례, ③ SBOM을 활용한 +보안취약점 탐지 및 조치 사례를 제시하였다. +SBOM 기반 공급망 보안 관리 실증 절차 +그림 24 + + +![이미지 61-0](images/p0061_img0.png) + + +--- + +52 +SBOM 기반 SW 공급망 보안 실증사례 + +## 제3장 + +2. SBOM 생성 과정에서 SBOM 유효성 검증 +유효성 검증의 필요성 +① 개발자의 성향에 따라 의도 또는 비의도적 변경 등으로 일부 SW 구성요소의 누락, 오기 등과 같이 +부정확한 SBOM 결과가 생성될 수 있다. +* 예시) OPENSSL -> OPENSL, SSL 등으로 컴포넌트명을 변경하여 사용 +② SW의 소스코드 또는 바이너리 중 어떠한 대상을 분석하는가에 따라 결과가 다르며, 개발언어에 +따라 추출한 SBOM 결과가 다를 수 있고, 이는 SBOM 도구 구입(도입) 시 필수 고려사항이다. +③ SW 개발과정에서 환경적 요인(개발/구축 시 등)에 따라 개발자도 모르는 새로운 SW 구성요소가 +발견될 수 있다. +자동화된 도구를 이용해 SBOM을 생성하면 SBOM 항목 일부가 누락되거나 중복되는 현상이 발생한다. +이 단계에서 생성된 SBOM의 정보가 정확한지 검토하는 ‘유효성 검증’ 절차가 필요하다. +SBOM 유효성 검증은 정확하고 신뢰성이 높은 SBOM을 SW 공급망 내에서 원활하게 공급(유통)하고 관리하기 +위한 절차이다. 검증 과정에서 SW 개발자의 참여는 필수적이며, 각 기관 및 기업들은 이를 참고·활용할 수 +있다. +사례 +데이터 누락·중복 수정 사례 – 기업 A +실증 기업 A의 SW를 대상으로 생성한 SBOM 신뢰성 향상을 위해 확인 작업을 실시하였다. SBOM 생성 시, +아래 [표 18]과 같이 SBOM 각 항목들 중 데이터가 누락되는 등 신뢰성이 낮은 것을 알 수 있다. +또한, 생성된 SBOM에서 공개 SW의 하나인49)내 commons-io50)공급자, 라이선스명 등에 대한 정보가 +누락되었으며, 같은 컴포넌트 내용이 중복해서 포함된 것도 확인할 수 있었다. +49) apache-commons apache-commons: Apache SW 재단의 프로젝트로써, 재사용 가능한 자바 기반의 컴포넌트를 모아놓은 +통합 프로젝트 +50) commons-io: apache-commons 내 하위 프로젝트로써, 파일 복사, 삭제 또는 데이터 읽기/쓰기와 같은 파일 및 디렉토리 작업 +관련 기능을 제공 + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +53 +SBOM 유효성 검증 단계에서 데이터 누락·중복 사례 +표 18 +컴포넌트 +(Component Name) +버전 +(Component Version) +공급자 +(Supplier Name) +라이선스명·버전 +(License Name·Version) +commons-io + +#### 1.3.2 + +정보누락 +정보누락 +commons-io +2.2 +commons-io: +commons-io +2.2 +Apache-2.0 +commons-io: +commons-io +2.1 +Apache-2.0 +commons-io: +commons-io + +#### 1.3.2 + +Apache-2.0 +commons-io: +commons-io +1.3 +Apache-2.0 +발견된 오류를 수정하기 위해 commons-io에 대한 정보를 검색하여, 누락 정보인 공급자, 라이선스 정보를 +확인하였고, 동일 버전의 중복 출력 내용을 삭제하여 아래와 같이 SBOM 정보를 수정하였다. +SBOM 데이터를 수정·보완한 사례 +표 19 +컴포넌트 +(Component Name) +버전 +(Component Version) +공급자 +(Supplier Name) +라이선스명·버전 +(License Name·Version) +commons-io + +#### 1.3.2 + +apache +Apache-2.0 +commons-io +1.3 +apache +Apache-2.0 +commons-io +2.1 +apache +Apache-2.0 +commons-io +2.2 +apache +Apache-2.0 +SBOM 유효성 검증 요령 +❶ (개발자 확인) 기업의 개발자와 함께 SW 제품 개발에 대한 상세 현황 정보와* 추출한 SBOM +데이터를 비교하여 오탐 또는 과탐 여부 등을 검토 +* 제품정보 : 기업명, 서비스명, 개발언어, 패키지 형태, 개발 프레임워크, 공개 SW, 상용 SW, 빌드시스템, 형상 +관리시스템 등 +❷ (완전성 확인) CycloneDX, SPDX 등 SBOM 표준에서 정한 기본항목 누락 여부 및 항목별 내용이 +표준 요구 내용과 일치하는지 확인 + + +--- + +54 +SBOM 기반 SW 공급망 보안 실증사례 + +## 제3장 + +3. SBOM 도구를 활용한 컴포넌트 관리사례 +SW 공급망의 개발, 공급(유통), 운영단계별로 SBOM을 관리할 수 있으며, 본 실증에서는 ①개발단계에 +해당되는 소스코드, ②공급(유통)단계에 해당하는 설치 파일 바이너리를 대상으로 SBOM을 생성 및 보안취약점 +분석을 진행하였다. +SW 개발기업은 활용하는 공개 SW 또는 제3자 개발 SW의 컴포넌트를 정확히 관리하고 있어야 SW 자산관리, +라이선스 관리, 보안취약점 관리를 할 수 있다. 그러나 실증을 통해서 참여 기업들은 사용하는 컴포넌트들의 +출처 및 사용이력 등을 체계적으로 관리하지 못하는 것으로 확인되었다. +특히, 대상 SW의 SBOM 분석 결과, 개발자가 인지하지 못한 공개 SW 컴포넌트가 식별되었으며, SW 설치 후 +대상 SW와 연결되는 라이브러리에 포함된 공개 SW 컴포넌트도 추가로 발견할 수 있었다. +또한, 실증을 통해 SBOM 분석 방식(소스코드 또는 바이너리) 및 사용 도구 종류에 따라 SBOM 정보가 서로 +일치하지 않을 수 있음을 확인하였다. 먼저, 소스코드 분석 방식과 바이너리 분석 방식은 SBOM 정보가 많이 +상이함을 확인할 수 있었다. 따라서 SBOM의 신뢰도 향상을 위해 2개 이상의 도구를 이용한 교차 검증이 +필요할 수 있다. +사례 +소스코드, 바이너리 기반 SBOM 생성 비교 사례 – 기업 A +실증 기업 A의 SW 소스코드와 바이너리를 대상으로 SBOM 도구를 활용하여 SBOM을 생성하고 비교하였다. +소스코드 분석을 통한 SBOM 생성 결과, 약 1700~1800여 개의 컴포넌트가 식별되었으며 도구 간 차이가 +적었다. 설치 전 바이너리 파일 분석을 통한 SBOM 생성 결과는 소스코드 기반 SBOM보다 숫자도 적었고, 도구 +간 차이가 매우 큰 것을 확인하였다. +소스코드 분석 결과가 바이너리 분석 결과보다 더 많은 컴포넌트를 발견한 이유는 소스코드 분석 시 소스파일, +헤더파일, 그리고 소스코드에 연결이 명시된 라이브러리 및 공개 SW 등 소스코드 개발단계에서 많은 +컴포넌트를 식별할 수 있기 때문인 것으로 판단된다. + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +55 +SBOM 기반 공급망 보안 관리 실증 절차 +그림 25 +바이너리 분석의 경우, 기업별로 바이너리에 사용된 공개 SW를 분석하는 기술과 데이터베이스가 크게 +다르므로 도구 간 큰 격차를 보이는 것으로 판단된다. 이를 통해 한 종류의 도구에 의존하기보다 2종 이상의 +도구를 사용하여 그 결과를 교차 비교하는 것이 보다 정확하게 SW 구성요소를 파악할 수 있을 것으로 보인다. + + +![이미지 65-0](images/p0065_img0.png) + + +--- + +56 +SBOM 기반 SW 공급망 보안 실증사례 + +## 제3장 + +SW 제품 형태별 SBOM 생성 후 컴포넌트 수 비교 – 기업 A +표 20 +도구 종류 +소스코드 분석 +도구 종류 +바이너리 분석 +A 도구 +1,862 +A 도구 +141 +B 도구 +1,747 +B 도구 +924 +C 도구 +1,834 +D 도구 +453 +E 도구 +186 +※ 도구 A, B는 소스코드와 바이너리 모두 분석 가능, C, D, E는 소스코드 또는 바이너리 분석 전용 도구 +컴포넌트 관리 요령 +❶ SW를 개발·공급(유통)하는 과정에서 변경·수정되는 SW 제품에 대한 SBOM을 지속 공유해야만, +누락 없는 컴포넌트 관리가 가능하다. +❷ 개발자(기업)가 인지하지 못한 공개 SW 컴포넌트와 SW를 설치 후 생성되는 공개 SW 컴포넌트를 +추가하여 관리하여야 한다. +❸ 소스코드, 바이너리, 의존성을 종합적으로 분석한 SBOM을 관리해야만, 신뢰성 높은 보안취약점, +라이선스, SW 자산관리를 할 수 있다. + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +57 +4. SBOM을 활용한 보안취약점 탐지 및 조치 +SW의 빠른 보안취약점 탐지 및 조치를 위해서는 SBOM 생성을 통한 컴포넌트 관리가 매우 필요하다. 다만, +대상 SW의 소스코드 또는 바이너리(SW 설치파일, SW 바이너리) 분석, 도구별 생성된 SBOM의 컴포넌트의 +내용이 다를 수 있고, 그에 따라 보안취약점 탐지 결과도 상이할 수 있음을 주지해야 한다. +즉, SBOM에 포함된 컴포넌트의 버전 정보 또는 명칭 오류로 보안취약점 정보 매칭에 오류가 발생할 수 있으므로, +SBOM 유효성 검증을 통해 SBOM의 신뢰성을 높이는 것이 효과적인 보안취약점 관리를 위해 필요한 사항이다. +사례 +SBOM 기반 SW 공급망 보안취약점 관리 실증사례 – 기업 A +실증 기업 A의 SW 소스코드와 바이너리를 대상으로 SBOM을 생성하고, 이를 보안취약점 DB와 비교하여 +보안취약점을 검출하였다. [그림 26]과 같이 CycloneDX 표준을 이용하는 SBOM에서는 ‘Vulnerabilities’ +항목에서 보안취약점 정보 확인이 가능하다. +SBOM을 활용한 보안취약점 탐지(예시) +그림 26 + + +![이미지 67-0](images/p0067_img0.png) + + +--- + +58 +SBOM 기반 SW 공급망 보안 실증사례 + +## 제3장 + +발견된 보안취약점에 대한 더 자세한 정보 및 조치 수단은 미국 NIST의 보안취약점 데이터베이스(NVD)에서 +확인할 수 있으며 검색 경로는 https://nvd. nist.gov/vuln/detail/(CVE 코드명)이다. [그림 27] +SBOM 도구에 따라 CVE-ID, 보안취약점 출처(보안취약점 소스명, URL), 조치방안 등 보안취약점의 상세 +항목이 다르게 표현되므로 지속적인 활용을 통한 경험을 축적하는 것이 필요하다. +보안취약점 데이터베이스 검색 결과(예시) +그림 27 +또한, 각 기관 및 기업들은 CVSS 점수 외에도 기업 내부 상황, 고객의 관련 SW 운영 현황 등 여러 상황을 종합 +고려하여 조치 방안을 강구하는 것이 바람직하다. +SBOM 기반의 SW 공급망 보안 관리 요령 +❶ 대상 SW 개발언어의 호환성, 도구의 분석 알고리즘, 기업의 공급망 특성 등을 꼼꼼하게 확인하여 +SBOM의 신뢰성을 높일 수 있는 적합한 SBOM 도구 선정 +❷ 소스코드 또는 바이너리 분석 방식 선택은 기업의 환경에 맞게 하되, 2개 이상의 도구를 상호 +보완적으로 활용하는 것을 권장(상용 SBOM 도구 외에도 무료 도구 선택 可) +❸ 설계-개발-공급(유통)-도입 및 운영-유지보수 등 공급망 각 단계별로 SBOM을 생성·공급(유통)할 +수 있는 관리체계를 구축할 것을 권고 +❹ 보안취약점 탐지 성능을 높이기 위해 SBOM DB 구축, NVD(NIST의 보안취약점 데이터베이스) 등과 +연동 체계구축 필요 +❺ 보안취약점 탐지 시, 신속하게 개발자(부서, 기업 등)에 전파하여 조치계획을 수립하고, +고객(운영)사에도 적의 조치할 수 있는 체계 구축 필요 + + +![이미지 68-0](images/p0068_img0.png) + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +59 +제2절 +SW·공급망 보안 관리체계 점검 실증사례 +공개 SW 보안취약점 탐지·조치 외에도 공급망 공격의 주요 목표가 되었던 개발환경, 악성코드 반입 가능성을 +확인하는 관리체계 점검 등을 수행하였다. 이를 통해 대상 기업의 SW 공급망 공격에 대한 사고 발생 위험도를 +점검하고, 취약한 항목을 발굴하여 이에 대한 보안대책을 포함한 분석 리포트를 공유하였다. +SW 공급망 보안 관리체계 점검을 위해 미국의 관련 가이드 참조 및 자체 항목 개발을 통해 5가지 분야, 54개 +세부항목으로 구성된 SW 공급망 보안 점검 항목을 도출하여 기업의 실제 개발 현장에 적용하여 보았다. +SW 공급망 보안 점검 실증 항목 일부 +표 21 +보안 요구 분야 +점검 항목(예) +안전한 제품 관리 +(12개) +•정기적인 SW 보안 교육 여부 +•모의해킹, 보안취약점 진단 등 보안을 위한 활동 여부 +보안코드 개발 +(13개) +•빌드 관리 및 보안성 검토 수행 여부 +•빌드단계에서의 보안요구사항 확인 여부 +타사 구성요소 확인 +(7개) +•공개 SW, 상용 SW의 보안요구사항 확인 여부 +•취약성, 라이선스 만료 확인 여부 +개발환경 보안 +(16개) +•빌드 환경에 대한 공격 표면 조사 및 위협 모델링 수행 여부 +•개발환경에 대한 접근제어, 인터넷 차단 등 조치 수행 여부 +보안코드 전달 +(6개) +•패키지 바이너리의 전자서명 생성 여부 +•계약 명기 시, SBOM 전달 여부 +현장 점검을 통해서 대상 중소기업은 SW 공급망 보안관리에 대한 인식이 부족한 것을 확인하였다. 다만, +공급망보안 포럼 전문가 자문을 통해 국내 상당수의 대기업들은 SW의 투명성과 안전성을 확보하기 위해 SBOM +기반의 SW 공급망 보안관리 체계 구축·운영 중인 것을 확인할 수 있었다. +일부 기업들은 SW 개발 모든 단계에서 보안 테스트를 통합 지원하는51) DevSecOps 도입도 검토 중이나, +보안취약점 관리보다 라이선스 관리에 중심을 두는 경우가 대부분이었다. +51) DevSecOps는 보안이 포함된 개발환경 + + +--- + +60 +SBOM 기반 SW 공급망 보안 실증사례 + +## 제3장 + +사례 +SW 공급망 보안 관리체계 점검 실증사례 – 기업 A +A기업의 SW 공급망 단계 중 개발기업에 요구되는 관리체계를 점검하고 담당자 인터뷰를 통해 공급망 보안 +상태를 점검하였다. SW 공급망 보안 점검 요구사항 54개를 확인한 결과, 양호 24개, 부분 양호 16개, 취약 +12개로 분석되었다. 특히, 보안 코드 개발과 개발환경 보안에서 취약 항목이 많았으며, 모든 분야에서 공급망 +보안에 대한 보완이 시급함을 알 수 있다. [표 22]. +SW 공급망 보안 점검 상세 결과 +표 22 +보안 요구사항 +전체 항목 +Y(양호) +P(부분양호) +N(취약) +N/A +안전한 제품 관리 +12 +5 +6 +1 +0 +보안 코드 개발 +13 +4 +5 +4 +0 +타사 구성요소 확인 +7 +5 +1 +1 +0 +개발환경 보안 +16 +7 +3 +4 +2 +보안 코드 전달 +6 +3 +1 +2 +0 +합계 +54 +24 +16 +12 +2 +SW 공급망 보안 점검 결과 미흡 사례 +표 23 +보안 요구사항 +주요 내용 +안전한 제품 관리 +·웹 보안취약점만 수행됨 +·모의침투, 소스코드 진단 등 추가적인 보안취약점 진단 필요 +보안 코드 개발 +·보안성 검토 미수행으로 서비스 위주의 SW 개발을 수행 +타사 구성요소 확인 +·관리자의 허가 없이 출처가 불분명한 공개 SW 무단 사용 +·서비스 계약이 종료된 SW 제품의 사용(보안 업데이트 미수행) +개발환경 보안 +·외부에서 개발한 단말기에 접속하여 개발(빌드)업무를 수행 +·악성코드 감염 USB를 백신검사 없이 개발 단말기에 무단 사용 +보안 코드 전달 +·안전이 확인되지 않은 SW의 업데이트 파일 배포 +·SW 제품에 대한 무결성 검증 미수행 +SW 공급망 보안 관리체계 점검 실증 시사점 +•국내 중소기업들의 SBOM 기반 SW 공급망 보안 관리체계 구축이 아직 미흡한 상황임을 인식 +•SW 개발(공급) 기업 중심의 개발·공급 생태계에 대한 SBOM 기반 SW 공급망 보안 관리체계 단계적 +지원 필요 +•특히, 공급망 보안 수준 향상을 위해 SW 공급망 보안 점검 항목을 이용하여 개발 전 분야(안전한 제품 +관리, 보안 코드 개발, 타사 구성요소 확인, 개발환경 보안, 보안 코드 전달)에 대해 지속 점검 지원 필요 + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +61 +제3절 +자가 점검용 SW 공급망 단계별 체크리스트 +실증 추진 과정에서 SW 공급망 보안 점검 실증 항목을 이용하여 기업의 공급망 보안 수준을 체계적으로 점검할 +수 있었다. 하지만 항목의 수가 다소 많고 관련 기업들이 스스로 수행하기 어려운 항목들이 있어, 이 항목들을 +정제하였다. 또한, 앞서 소개된 미국 공급망 보안 지침인 NIST SP 800-161(Cybersecurity Supply Chain Risk +Management Practices for Systems and Organizations) 및 NIST SP 800-218(Secure Software Development +Framework) 등을 참조하여 국내 기업의 개발환경에서 효율적으로 적용할 수 있는 공급망 단계별 체크리스트를 +마련하였다. +이 체크리스트는 SW 제품의 개발단계부터 운영단계까지 SW 제품 이해관계자(개발사, 공급(유통)사, 고객(운영)사 +모두가 공급망 각 단계에서 공급망 보안 상태를 스스로 확인하는 점검 도구로 작성하였므로, 이해관계자의 +역할과 공급망 단계에 따라 선택적으로 활용할 수 있다. +•개발사 : 개발자 공급망 보안 업무 지시, 개발환경 보안 자체 점검 등으로 활용 +•공급(유통)사 : 개발사 공급망 보안 준비도 점검, 고객(운영)사에 제품의 공급망 수준 입증 근거로 활용 +•고객(운영)사 : 도입 전 공급망 보안을 고려한 제품 개발 및 공급(유통) 여부에 대한 확인, SW 도입 후 공급망 +관리에 활용 +자가점검 항목은 공급망 보안 단계별로 설계, 개발, 공급(유통) 및 도입, 유지보수 단계로 이루어진다. +공급망 보안 단계별 체크리스트(안) +표 24 +단계 +연번 +점검 항목 +세부 설명 +설계 +단계 +1 +안전한 개발과 관련하여 조직 내 역할 +및 책임을 명시하는가? +사내 공지 및 발령 내용에 역할 및 책임 명시 +2 +SW 제품, 서비스 개발자 및 관련자에게 보안 +교육을 하는가? +교육 자료에 보안교육 +(공급망 보안, 시큐어 코딩 등) 확인 +3 +개발단계에서 공급망 보안을 고려하였는가? +형상관리 시스템, SBOM 생성 및 관리 +4 +개발환경의 보안상태를 관리하는가? +개발환경, 엔드포인트의 운영체제, +백신 업데이트 현황 +5 +제품의 주요 보안항목을 식별하고 문서로 +보관하는가? +주요 보안항목(데이터 보호 수준, 암호화, 인증, +인가, 접근 통제 등) 명세 확인 +개발 +단계 +6 +SW의 보안취약점 최소화를 위해서 시큐어코딩을 +준수하는가? +소스코드 개발 또는 빌드 시 시큐어코딩 확인 + + +--- + +62 +SBOM 기반 SW 공급망 보안 실증사례 + +## 제3장 + +단계 +연번 +점검 항목 +세부 설명 +개발 +단계 +7 +배포 전 기본 설정을 검토하였는가? +개발도구 내에 보안 설정 기능 제공 시 배포 전 +기본 설정을 검토 +* 배포 하기 전 개발도구에서 제공하는 보안 기능 옵셥 +값 활성화 필요 +예) 클라이언트와 서버 간의 모든 네트워크 통신에 +SSL(Secure Sockets Layer) 프로토콜을 사용, 접근 +권한 설정, 리포지터리 암호화 설정 등 +8 +외부 라이브러리를 도입할 때, 보안성을 +확인하는가? +외부 라이브러리 검사(유해성, 무결성 등) +9 +내부 저장소에는 인가된 사용자만 접근하는가? +내부 저장소(소스코드 형상관리 시스템 등)에 +접근통제 확인 +10 +내부 저장소에 저장된 공개 SW 및 내부 개발 +소스코드의 보안취약점을 지속적으로 점검하는가? +SW의 보안취약점 확인(로그 등) +11 +빌드 과정에서 자동화된 보안 테스트를 +수행하는가? +빌드 환경에 자동화 보안 테스트 포함 여부 확인 +12 +컴파일러, 인터프리터의 사용 시 보안 옵션을 +사용하는가? +빌드 옵션에 보안 기능 활성화 여부 확인 +* 컴파일러, 인터프리터 도구에서 제공하는 보안 기능 +옵션 활성화 필요 +예) 권한설정, 암호화 설정, 내부 정책 반영 여부 등 +13 +빌드 후 결과물을 보관하는가? +빌드 관련 결과물(실행파일, 컴파일 로그, +SBOM, 보안 테스트 결과물 등) 검토 +14 +SBOM에 적시된 컴포넌트의 보안취약점을 +확인하는가? +SBOM 결과 점검 시 컴포넌트의 보안취약점 +식별 +15 +SBOM을 통해 식별된 심각한 보안취약점에 +대한 검증과정이 있는가? +CVSS 7.0 이상 높은 등급의 보안취약점을 가진 +컴포넌트에 대한 경로 확인 등 유효성 검증 +16 +SBOM 작성 이력은 일정 기간 보관하는가? +SBOM 생성 이력 검토 +공급 +(유통) +단계 +17 +SW의 무결성을 확인할 수 있는 데이터를 +전달하는가? +코드서명, 해시값 등 전달 여부 +18 +배포 SW 생성에 사용된 소스코드, 라이브러리, +공개 SW 정보를 안전하게 보관하는가? +소스코드, 라이브러리 등 안전하게 보관 +19 +필요시, 공급(유통)사는 고객(운영)사에 SBOM, +보안취약점, 라이선스, 제재 정보 등을 제공하는가? +SBOM 활용 + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +63 +단계 +연번 +점검 항목 +세부 설명 +도입 +및 +운영 +단계 +20 +SW 제품 도입에 대한 공급망 보안 요구사항 +및 관리에 대한 매뉴얼이 있는가? +매뉴얼에 SBOM 제공, 보안취약점 제거 및 완화 +및 업데이트 제공, 외주업체 보안 요구사항 등 검토 +21 +도입 계약 체결 시, 보안 요구사항 이행을 +확인하는가? +보안 요구사항 이행 여부 확인 +22 +제품 도입 시, SW의 코드서명 또는 해시값으로 +무결성을 확인하는가? +코드서명 및 해시값 검증 +23 +CVE 등 주요 보안취약점 공개 시 해당 보안취약점 +포함한 SW가 있는지 모니터링하는가? +알려진 보안취약점에 대한 확인 +도입 +및 +운영 +단계 +24 +심각한 보안취약점 발견 시, 공급(유통)사 +또는 개발사에 보안취약점 처리 요구를 하는가? +보안취약점 조치를 위한 절차 점검 여부 확인 +25 +외부 개발사를 통해 도입된 SW인 경우, +SBOM을 제공 받는가? +SBOM 검토 +26 +외부 개발사를 통해 도입된 SW인 경우, +소스코드에 대해 취약요인을 점검하는가? +외부 개발 소스코드에 대한 보안취약점 점검 +유지 +보수 +단계 +27 +운영 SW에 대한 보안취약점 점검을 지속적으로 +실시하는가? +보안취약점 점검결과 검토 +28 +보안취약점 식별 시, 보안취약점 평가 및 대응 +방안을 가지고 있는가? +보안취약점 평가 및 대응 방안 검토 +29 +신속한 보안취약점 패치를 위한 효율적인 절차를 +수행하였는가? +패치 적용 절차 확인 +30 +배포/업데이트 서버 운영 시 서버에 대한 +보안관리를 수행하는가? +배포/업데이트 서버에 적용된 보안정책 +(인증, 인가, 접근통제 등) 검토 + + +--- + +64 +SBOM 기반 SW 공급망 보안 활성화 지원 + +## 제4장 + + +## 제4장은 SBOM 기반 공급망 보안 활성화를 위한 정부 지원 및 전문가 활동을 중심으로 기술하였다. + +SW 공급망 보안 각 단계에서 활용할 수 있는 SBOM의 유용성에도 불구하고, 국내 중소기업들이 빠른 +시일 내에 SBOM 기반의 SW 공급망 보안 관리체계를 도입(운영)하기에는 전문 인력 및 관리체계 +구축을 위한 예산 부족 등으로 어려움을 겪을 수 있는 점을 감안하여 중소기업들이 효과적으로 이용할 +수 있는 기업지원 시설과 국내에서 제정되었거나 제안된 SBOM 표준을 제시하였다. +제1절 (SW 보안취약점 점검 지원 테스트베드) 기업지원허브(판교)에서는 가전, 금융, 스마트도시, +의료 등의 다양한 분야에서 활용되는 SW의 보안취약점 탐지 및 조치 등을 위해 SBOM 기반 SW 공급망 +보안 관리체계를 포함한 다양한 보안취약점 점검 도구의 활용을 지원하고, 견학 및 교육 프로그램도 +운영하고 있다. 디지털헬스케어 보안리빙랩(원주)에서는 SW 의료기기를 포함한 다양한 디지털헬스케어 +의료기기에 대한 보안취약점 점검을 지원하고 있고, 국가사이버안보협력센터 기술공유실(판교)에서는 +공급망보안 테스트베드 구축하고 시범 운영을 통해 SBOM 기반의 SW 공급망 보안취약점 점검 지원 및 +관련 기술을 공유 중이다. +제2절 (SW 공급망 보안을 위한 SBOM 개발) 국내 민간 표준화 기관인 정보통신기술협회(TTA)를 통해서 +정보통신 단체표준으로 SBOM 표준이 제정되어 있으며, 국가 표준 SBOM도 제정·등록되어 있다. 또한 +국가정보원에서도 보안취약점 분석 및 관리 등에 특화된 NIS-SBOM을 마련하여 제시하였다. +제3절 (SBOM 기반 SW 공급망 보안 발전 제언) 공급망 각 단계가 연계되는 SBOM 기반 SW 공급망 +보안 관리체계 확산을 통해 SW 공급망 보안을 강화하고, 기업도 자체적인 투자 노력을 통해 기업의 +신뢰성을 확보할 수 있도록 노력할 필요가 있다. 또한 정부는 안전한 환경에서 SBOM을 유통할 수 +있도록 연구개발 지원 등의 노력이 필요하다. +SBOM 기반 +SW 공급망 보안 활성화 지원 + +## 제4장 + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +65 +제1절 +SW 보안취약점 점검 지원 테스트베드 + +## 1. 기업지원허브(판교) + +모바일, 사물인터넷(IoT, Internet of Things) 기기, 클라우드 등 디지털 기술이 국민의 일상생활과 다양한 +산업분야로 융·복합 확산되고 있다. 특히, 아파트 월패드, 도어락, 전기검침, 자동제어 등 IoT 기기들은 국민의 +일상생활 깊숙이 자리 잡아가고 있다. +그러나 국민들과 산업계에서는 생활주변과 산업환경에서 사이버보안 위협을 정확하게 인식하고 있지 못하며, +막연한 불안감을 갖고 있는 것이 현실이다. +따라서 정부는 이와 같은 일반 국민들과 중소기업들의 애로사항을 해결하기 위하여 2015년 10월에 +기업지원허브를 개소하고, 사이버보안 위협 시연 및 보안취약점 점검, 견학·교육 프로그램 등을 지원하고 있다. +가. 사이버보안 위협 시연 +교통(‘16년 구축, ’20년 개선) +의료(‘17년 구축, ’23년 개선) +안전, 재난, 환경(‘18년) +교통(‘16년 구축, ’20년 개선) +의료(‘17년 구축, ’23년 개선) +안전, 재난, 환경(‘18년) +기업지원허브 IoT 기기 사이버보안 위협 시연시설 +그림 28 + + +![이미지 75-0](images/p0075_img0.png) + + +![이미지 75-1](images/p0075_img1.png) + + +![이미지 75-2](images/p0075_img2.png) + + +![이미지 75-3](images/p0075_img3.png) + + +![이미지 75-4](images/p0075_img4.png) + + +![이미지 75-5](images/p0075_img5.png) + + +--- + +66 +SBOM 기반 SW 공급망 보안 활성화 지원 + +## 제4장 + +정부는 기업지원허브 방문자들을 대상으로 국민들이 일상생활 및 산업 환경에서 일어날 수 있는 사이버위협을 +체감할 수 있도록 시연함으로써 사이버위협을 제대로 인식할 수 있도록 지원하고 있다. +또한, 디지털기술의 융·복합 확산 동향에 맞춰서 시연환경도 연차별로 확대 및 개선 해나가고 있다. +홈·에너지(‘15년), 교통(’16년), 의료(‘17년), 안전·재난·환경(’18년), 건설(‘19년) 분야 시연환경, +홈 리빙랩(’20년) 구축, 테스트베드 VR(‘21년), 메타버스(’22년) 제작 및 드론·의료 시연환경 개선(‘23) 등 현재 +6종의 사이버보안 위협 시연시설을 갖추고 있다. +나. 보안취약점 점검 지원 +디지털 제품/서비스가 홈, 의료, 교통 등 다양한 융합 분야로 확산됨에 따라 다양한 디지털 제품·서비스의 +보안 내재화를 위해 중소기업 등이 디지털 제품/서비스의 보안수준을 자체 검증하고 보완할 수 있는 환경을 +제공하고 있다. +교통, 의료, 안전·재난·환경, 건설, 홈리빙랩, 드론 등 다양한 분야의 디지털제품 및 서비스의 소스코드, 펌웨어, +통신 프로토콜 등의 보안취약점 점검도구를 사용하여 보안취약점을 점검하고 조치할 수 있도록 지원하고 있다. +특히, SW 개발, 공급(유통), 운영, 폐기 등의 공급망 전 단계에 대한 사이버보안 위협이 강화되고 있어서 +2024년부터 소스코드 분석 방식과 바이너리 분석 방식의 SBOM 생성·분석 도구를 도입하여 기업들이 디지털 +제품 및 서비스 개발단계에서부터 보안성을 내재화할 수 있도록 지원하고 있다. +SBOM 생성 도구 현황 및 주요 특징(요약) +표 25 +① 소스코드 분석 방식 +② 바이너리 분석 방식 +•SW 컴포넌트를 분석하여 공개 SW 라이선스 +및 알려진 보안취약점 등 탐지 +- (보안위협 탐지) 컴포넌트별 보안취약점 결과 +(보안취약점 정보 식별자, 위험점수, 개선상태, +CWE, 보안취약점 완화 가능여부 등) 확인, +개선 및 수정 방법 안내 +- (라이선스 탐지) 2,700개 이상의 공개 SW +라이선스 종류 검출 및 파일, 파일일부, 디렉토리 +구조, 패키지 매니저 등 다양한 정보 분석, 라이선스 +정책에 따른 위험도 분류 +- (SBOM 생성) SPDX, CycloneDX 포맷 생성 +•정적·동적 분석엔진을 통해 바이너리 코드만으로 +보안위험 탐지 +- (보안위협 탐지) 메모리 손상, 메모리 참조, +네트워크 보안취약점, 기능 오용 등 알려지지 +않은 중대한 보안취약점, 제로데이 보안취약점 +탐지 및 포괄적 보안취약점 DB를 활용하여 +알려진 보안취약점 탐지 +- (라이선스 탐지) 공개 SW 라이선스 정보 +(라이선스 이름, 패키지 이름, 패키지 버전, +라이선스 구분, 라이선스 텍스트 정보 등) 제공 +- (SBOM 생성) SPDX, CycloneDX 포맷 생성 + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +67 +다. 견학·교육 프로그램 운영 +사이버보안 위협 시연 및 보안취약점 점검지원 외에도 학생, 일반인 등을 대상으로 디지털 제품 및 서비스 보안 +점검도구 활용, 디지털 제품 및 서비스 보안 실습 교육 및 보안 테스트베드 견학 프로그램도 운영하고 있으며 +연간 2,000여 명이 이용하고 있다. +연도별 기업지원허브(IoT 테스트베드) 이용 현황 +표 26 +’16년 +’17년 +’18년 +’19년 +’20년 +’21년 +’22년 +’23년 +누적 +횟수 +164 +370 +402 +404 +457 +568 +512 +447 +2,877 +이용자 +224 +1,455 +1,789 +2,135 +1,432 +2,132 +2,284 +2,246 +11,451 +이용절차 및 연락처 +•(신청서) KISA 누리집(kisa.or.kr) - 공지사항 또는 정보보호산업진흥포털 - IoT 보안 - 공지사항에서 +IoT 보안 테스트베드 이용 신청서를 다운로드 +•(소재지) 경기도 성남시 수정구 대왕판교로 815 기업지원허브 4층 정보보호 클러스터 490호 +•(이용절차) 이용 신청서 작성 → 신청서 제출 → 일정협의 → IoT보안 테스트베드 방문 → 테스트 +점검 결과 검토 및 컨설팅 +※ 이메일(iottestbed@kisa.or.kr) 신청 + +## 2. 디지털헬스케어 보안 리빙랩(원주) + +의료분야에도 병원정보시스템부터 각종 진단·진료 및 치료기기에 SW가 내장되거나 SW 의료기기가 널리 +확산되고 있다. 의료기기에 포함될 수 있는 SW 보안취약점은 기기 오작동, 민감정보 유출 등으로 이어질 수 +있어서 더욱 중요하게 다루어져야 한다. +디지털헬스케어 보안리빙랩은 디지털헬스 기기 등에서 발생할 수 있는 사이버보안 위협 시연, 디지털헬스케어 +기기·서비스에 대한 보안성을 테스트하고 다양한 사이버 위협에 대응하기 위해 구축한 시설로 2020년 12월에 +개소하였다. + + +--- + +68 +SBOM 기반 SW 공급망 보안 활성화 지원 + +## 제4장 + +가. 사이버보안 위협 시연 +일반인, 기업인, 의료인 등 다양한 분야의 종사자들이 디지털헬스케어 기기에 대한 사이버위협을 +체감할 수 있도록 지원하는 시설로 구체적으로는 ① 환자 의료정보 모니터링 시스템 데이터 변조, +② 영상정보처리시스템(X-ray 등) 데이터 변조, ③ 개인의료장비(심박기, 약물주입기) 트래픽 변조를 통한 +오작동 유도, ④ 네트워크(통신 구간 미암호화) 보안취약점을 통한 병원 모니터링 시스템 변조 등의 사이버 +위협 시연 서비스를 제공하고 있다. +디지털헬스케어 보안리빙랩 구성도 +그림 29 + + +![이미지 78-0](images/p0078_img0.png) + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +69 +디지털헬스케어 보안리빙랩 현장 +그림 30 +나. 보안취약점 점검 지원 +각종 디지털헬스케어기기에 대한 네트워크 보안취약점 점검, 소스코드 보안취약점 점검 등을 지원하고 있으며 +2024년 상반기 부터 SBOM 생성 도구를 도입하여 디지털헬스케어기기의 SBOM 생성 및 보안취약점 조치를 +지원해 나갈 계획이다. +보안취약점 점검도구 현황 +표 27 +도구명 +주요특징 +SBOM 도구 +소스코드 분석 방식, SBOM 생성 및 보안취약점 분석 +침투 테스트 도구 +네트워크 프로토콜 보안취약점 점검 +APP Security 도구 +소스코드 보안취약점 점검 분석 +보안취약점 분석 도구 +네트워크 및 펌웨어 보안취약점 점검 분석 + + +![이미지 79-0](images/p0079_img0.png) + + +--- + +70 +SBOM 기반 SW 공급망 보안 활성화 지원 + +## 제4장 + +구체적인 사이버보안 시험항목은 디지털헬스케어 기기의 펌웨어 추출 및 수정 등 안정성, 메모리 보안취약점 +점검, 네트워크 프로토콜, CVE 보안취약점, 무선통신 패킷 보안취약점 등의 네트워크 보안취약점 점검을 +지원하고, 의료정보시스템의 경우 비인가 접근통제, 설정파일 및 기기 연동 보안취약점 점검을 지원하고 있다. +다. 의료기기 인허가 지원 +우리나라 식약처 또한 SW가 포함된 의료기기 인·허가 시 사이버보안 적합성을 평가하고 있다. 디지털헬스케어 +보안리빙랩에서 보안취약점 조치 확인서를 받아서 의료기기 인·허가시 첨부할 경우 사이버보안 시험항목은 +기준을 만족한 것으로 갈음하고 있어서 디지털헬스케어 기업들에게 큰 도움이 되고 있다. +•디지털헬스케어기기 인허가 지원은 관련 기관과 협의를 통해 연 8~9건을 선정하여 지원 +•(홍보) 식약처, 원주의료기기테크노밸리, 강원테크노파크 등과 협력을 통해 보안취약점 점검 및 컨설팅 지원 +사업 홍보 추진 +※ 유관기관과의 협력을 통한 홍보와 보안취약점 점검 수행 사업자의 자체 설문조사52)를 병행하여 +보안취약점 점검 대상 수요조사 실시 +•(선정) 보안모델 적용ㆍ실증 가능여부를 고려하여 점검 대상 업체를 목록화하고 유관기관 및 디지털헬스케어 +보안협의체와 논의를 통해 선정 +•(검증) 보안취약점 점검 및 컨설팅 결과를 토대로 디지털헬스케어 보안협의체에서 내용을 검토하고, 미흡 +항목 보완 +이용절차 및 연락처 +•(신청서) KISA 누리집(kisa.or.kr)-사업소개–디지털산업본부(융합보안 산업 활성화 지원)- +디지털헬스케어 보안강화 지원(신청서) +•(이용절차) 이용 신청서 작성 → 신청서 제출 → 일정협의 → 보안리빙랩 방문 후 테스트 → 테스트 +점검 결과 검토 및 컨설팅 +※ 이메일(cslivinglab@kisa.or.kr) 신청 +52) 국내 디지털헬스케어 산업 실태조사(산업통상부) 기반 설문조사 대상 표본 추출 + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +71 + +## 3. 국가사이버안보협력센터 기술공유실(판교) + +국가정보원은 공급망 보안, 클라우드, 제로트러스트 등 급격하게 발전하는 ICT 기술의 안전성을 선제적으로 +확인하고, IT 보안업체·시험기관에게 고가(高價)·신기술 융합제품에 대한 안전성 평가를 지원하기 위해 +국가사이버안보협력센터내에 기술공유실을 2022년 11월 개소하였다. +기술공유실은 정부·공공기관에 도입되는 IT보안제품의 안전성을 검증하기 위하여 정부·공공기관의 네트워크 +환경을 그대로 모사한 시험환경을 갖추고 있으며 실환경에서 발생될 수 있는 기능 오류, 보안취약점 등을 +식별ㆍ분석을 할 수 있다. +가. 공급망 보안 테스트베드 +Log4j·3CX 등 공급망 공격이 지속 발생함에 따라 SW 공급망 보안 강화를 위해 ❶ SBOM 생성 자동화 +❷ SBOM 관리 ❸ SW 보안취약점 추적·관리 등을 실증할 수 있는 테스트베드의 필요성이 대두되었다. 이에, +국가정보원은 정부·공공기관에 도입되는 SW 제품의 투명성 및 신뢰성을 확인하고 보안취약점을 식별·추적할 +수 있는 SBOM 기반 공급망 보안 관리 체계를 실증할 수 있는 테스트베드를 기술공유실에 구축하였다. +분석 도구 지원 사양 +표 28 +A +B +C +소스코드 +지원언어 +C, C++, C#, Go, +Java, JavaScript, +Kotlin, Python +Java, JavaScript, PHP, +ASP.NET, Ruby, Swift, +C/C++, Object-C, +Python +C, C++, C#, Clojure, Erlang, Go, +Groovy, Java, JavaScript, Kotlin, +Node.js, Objective-C, Perl, Python, +PHP, R, Ruby, Scala, Swift, .NET +바이너리 +지원포맷 +실행 파일 +압축파일 +설치파일 +펌웨어 파일 +디스크 이미지 +실행파일 +압축파일 +패키지 매니저 +실행파일 +압축파일 +설치파일 +펌웨어 파일 +디스크 이미지 +패키지 매니저 + + +--- + +72 +SBOM 기반 SW 공급망 보안 활성화 지원 + +## 제4장 + +기술공유실 공급망 보안 테스트베드에는 국내외 상용 SW 분석 도구(SCA) 3종이 선별 적용되었으며 각 분석 +도구가 지원하는 소스코드 및 바이너리 포맷은 [표 28]과 같다. 분석 도구를 활용하여 SBOM을 생성하고 +유효성을 검증하였다. 이를 통해 분석 도구의 주요 특징을 도출할 수 있었으며 신뢰성 높은 SBOM 생성 도구의 +조건 네 가지를 식별할 수 있었다. +분석 도구 주요 특징 +표 29 +주요 특징 +A 도구 +•분석 대상 파일을 입력하면 대상 파일에서 문자열, 함수 또는 변수 이름과 같은 +요소(Finger Print)를 추출 +•공개 SW 데이터베이스를 구축하고 추출된 구성요소와 비교하여 공개 SW를 식별 +B 도구 +•실행 파일 내 컴포넌트와 해당하는 해시값을 추출하고 공개 SW 데이터베이스를 +구축하여 해시값을 비교하여 식별 +•소스코드 내에 공개 SW의 소스코드 파일이 존재할 시 이를 구축된 데이터베이스와 +비교하여 일치하는 공개 SW를 식별 +•특정 언어에서 공개 SW에 필수로 사용되는 헤더파일이 있는 경우 이를 비교하여 +공개 SW를 식별 +C 도구 +•분석 대상 파일을 입력하면 폴더 및 파일 단위로 필요한 구성요소를 해시값으로 +추출 +•소스 일부분을 복사하여 사용할 경우, 소스 일부분 단위로 해시값을 추출하여 +구축된 데이터베이스와 비교하여 공개 SW를 식별 +•공개 SW 데이터베이스를 구축하여 추출된 구성요소 해시값과 비교하여 +공개 SW를 식별 +신뢰성 높은 SBOM 생성 도구의 조건 +❶ 소스코드 및 바이너리 데이터 분석 가능 +❷ 분석 결과에 대한 유효성 검증 가능(컴포넌트 해시, 경로 등 제공) +❸ 보안취약점 정보와 연동 +❹ 대용량 리포지토리 및 빠른 검색결과 제공 + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +73 +나. 테스트베드를 활용한 SBOM 출력 +기술공유실에 구축된 공급망 보안 테스트베드는 사용자가 쉽게 활용할 수 있도록 개발하였으며 주요 동작 +방식은 [표 30]과 같다. +SBOM 기반 공급망 보안 테스트베드 주요 동작 방식 +표 30 +❶ 분석 요청 +❷ 분석 결과 조회 +분석을 하고자 하는 SW를 선택하여 업로드 +분석이 완료되면 완료된 결과를 컴포넌트 +기준으로 보안취약점 정보 출력 +❸ 보안취약점 정보 조회 +❹ 문서출력 +검출된 보안취약점을 클릭하면 파일명, CVE ID, +CVSS, 보안취약점 설명 등 보안취약점 정보를 확인 +PDF, 한글, 엑셀, JSON 형태로 다운로드 받아 +출력. 엑셀에서 전체 컴포넌트 목록을 출력함 +테스트베드에 검증대상 SW 제품의 소스코드 혹은 바이너리를 입력하면 자동으로 SBOM을 생성하고 +보안취약점 등 주요 정보를 출력한다. 그리고 생성된 SBOM은 데이터베이스에 저장되어 해당 SW 제품의 +보안취약점을 추적·관리하기 위해 활용할 수 있다. + + +![이미지 83-0](images/p0083_img0.png) + + +![이미지 83-1](images/p0083_img1.png) + + +![이미지 83-2](images/p0083_img2.png) + + +![이미지 83-3](images/p0083_img3.png) + + +--- + +74 +SBOM 기반 SW 공급망 보안 활성화 지원 + +## 제4장 + +다. 테스트베드를 활용한 보안취약점 탐지 및 패치 사례 +기술공유실 테스트베드를 활용하여 국내외 펌웨어·운영 SW·웹소스·설치파일 등 4개 분야 10개 SW 제품을 +대상으로 SBOM을 생성하고 SW 컴포넌트에 대한 분석을 수행하였다. +구 분 +분석 대상 +보안취약점 점검 제품군 +•펌웨어 : 네트워크장비 2대, CCTV 1대 +•운영 SW : 관측장비 1대 +•웹소스 : 웹애플리케이션 2개 +•설치파일 : 정보보호제품 4개 +실증결과 10개의 제품 중 7개의 제품에서 CVSS 9.0 이상의 중대 보안취약점이 발견되었으며, 3개 제품에서는 +중대 보안취약점이 발견되지 않았다. 중대 보안취약점이 발견되지 않은 3개의 제품 중 CCTV는 펌웨어 +자체가 암호화되어 SBOM 출력 결과를 얻을 수 없었으며, 나머지 2개는 CVSS 9.0 미만의 보안취약점이 일부 +확인되었다. +SBOM 분석 결과, 데이터베이스, 개발 프레임워크, 환경설정, 실행파일 배포 등 다양한 종류의 컴포넌트에서 +보안취약점이 발견되었으며, 심각한 보안취약점은 원격코드실행(RCE), 명령어삽입(Command Injection), +DB 명령어삽입(SQL Injection) 등이 확인되었다. 분석 결과 요약은 [표 31]과 같다. +공급망 보안 테스트베드를 활용하여 펌웨어, 운영 SW, 웹소스, 설치파일 등 대부분의 SW를 대상으로 SBOM을 +출력할 수 있었고, 이를 통해 SW 제품의 보안취약점 점검이 가능한 것을 확인할 수 있었다. 이 과정에서 +원격코드실행, 명령어삽입, DB 명령어삽입, 버퍼 오버플로우 등 즉시 공격 가능한 13개 중대 보안취약점을 +확인하고 개발사에 통보하여 패치 완료하였다. +본 테스트베드를 통해 SBOM 기반 공급망 보안 관리체계가 사이버보안 위험 관리 및 대응역량 강화에 매우 +중요한 역할을 할 수 있으며 이를 통해 사이버안보에 크게 기여할 수 있음을 확인하였다. + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +75 +공급망 보안 테스트베드 활용 분석 결과 +표 31 +제품 +컴포넌트 +용도 +보안취약점 +(CVE) +위험도 +(CVSS) +A +imagemagick v6.8.2 +이미지 편집 +CVE-2023-34152 +(원격코드 실행) +9.8 +XStream v1.4.15 +XML 변환 +CVE-2021-21351 +(원격코드 실행) +9.1 +libtiff v4.0.3 +이미지 편집 +CVE-2015-8668 +(서비스거부 공격) +9.8 +Qt 5.3.2 +개발 +프레임워크 +CVE-2017-10904 +(원격공격) +9.8 +B +OpenSSL v1.0.2k +암호화 통신 +CVE-2022-2068 +(명령어 삽입) +9.8 +C +busybox v1.21.1 +실행파일 배포 +CVE-2018-1000517 +(버퍼오버플로우) +9.8 +D +Mybatis v3.2.1 +데이터베이스 +CVE-2023-25330 +(DB명령어 삽입) +9.8 +OpenLDAP v2.4 +디렉토리서비스 +CVE-2022-29155 +(SQL 삽입) +9.8 +spring-framework +v3.2.8 +웹개발 프레임워크 +CVE-2022-22965 +(원격코드 실행) +9.8 +E +h2 v1.4.192 +데이터베이스 +CVE-2022-23221 +(원격코드 실행) +9.8 +jackson-databind +XML 파서 +CVE-2019-17531 +(원격코드 삽입·실행) +9.8 +F +Log4j v1.2 +로그 관리 +CVE-2022-23305 +(SQL 삽입) +9.8 +thymeleaf v3.0.12 +화면구성 +CVE-2021-43466 +(원격코드 실행) +9.8 + + +--- + +76 +SBOM 기반 SW 공급망 보안 활성화 지원 + +## 제4장 + +라. 발전 계획 +기술공유실 공급망 보안 테스트베드는 SBOM 생성 및 보안취약점 점검을 수행할 수 있도록 구축되었다. +신뢰할 수 있는 SW 공급망 보안 관리 체계를 구축하기 위해서 신규 보안취약점 공개시 개발사·공급사·운영사 +간 SW의 보안취약점 정보를 실시간으로 전파·공유할 수 있는 공급망 보안 통합관리체계가 필요하다. 이에, +국가정보원은 산·학·연 전문가들과 SW 공급망 보안 통합관리 체계를 구축 방안을 지속적으로 논의하면서 각 +방안들을 실증할 수 있는 테스트베드로 발전시켜 나갈 계획이다. +SW 공급망 보안 관리 체계 시나리오 +표 32 +주체 +주체별 주요기능 +개발사 +❶ 개발사는 개발하는 SW 대상 SBOM을 생성하고 통합관리 시스템에 등록 +❷ 신규 보안취약점이 공개되면 개발사 SBOM 통합관리 시스템에 등록된 SW 대상 +보안취약점을 자동으로 진단 +❸ 보안취약 SW 식별 시 공급사·운영사에 위기 상황을 전파, 보안조치를 지원 +공급사 +❶ 개발사로부터 도입, 운영사에 공급하는 SW 대상 SBOM을 생성 통합관리 시스템에 등록 +❷ 신규 보안취약점이 공개되면 공급사 SBOM 통합관리 시스템에 등록된 SW 대상 +보안취약점을 자동으로 진단 +❸ 보안취약 SW 식별 시 개발사·운영사에 위기 상황을 전파, 보안조치를 지원 +운영사 +❶ 공급사로부터 도입한 SW 대상 SBOM을 생성 통합관리 시스템에 등록 +❷ 신규 보안취약점이 공개되면 운영사 SBOM 통합관리 시스템에 등록된 SW 대상 +보안취약점을 자동으로 진단 +❸ 보안취약 SW 식별 시 공급사에 보안조치를 요청 +보안 +취약점 +관리기관 +❶ 전 세계에서 공개되는 보안취약점을 실시간으로 수집하고 통합관리 +❷ 신규 보안취약점이 식별되면 관할 내 개발사·공급사·운영사에게 보안권고 등 +위협정보를 자동으로 전파ㆍ공유하고 보안조치 현황을 취합 +국가정보원은 기술공유실 공급망 보안 테스트베드를 공급망 보안 통합관리 체계로 확장 발전시키고 실증을 통해 +SW 공급망의 발생 가능한 위험요소를 분석하고, SW 공급망 위기대응 체계를 마련해 나갈 것이다. + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +77 +제2절 +SW 공급망 보안을 위한 SBOM 개발 + +## 1. 국내 SBOM 표준 사례 + +국제적으로 잘 알려진 SBOM 형식으로는 SPDX, CycloneDX, SWID가 있다. 리눅스재단에서 개발한 SPDX는 +공개 SW 라이선스 관리 및 SW 패키지 정보 공유에 중점을 두고 있고, OWASP(The Open Worldwide Application +Security Project)에서 개발한 CycloneDX는 사이버 위험 감소를 위한 공급망 관리를 위해 만들어졌으며 +보안취약점 정보 공유 등 확장성을 제공한다. ISO/IEC 표준화 그룹에 의해 개발된 SWID는 IT 자산 관리를 위해 +SW 식별 및 관리에 사용될 수 있다. +국내 산업계에서도 SBOM 도입·활용을 위해 산·학·연 전문가들이 협력하여 표준화를 진행하였고, +정보통신기술협회(TTA)와 국립전파연구원에 각각 단체표준과 국가표준이 제정되어 있다. SBOM +단체표준(TTAK.KO-11.0182)은 SPDX v2.0 일부를 참조하여 국내 실정에 맞게 적용할 수 있도록 개선한 것으로 +공개 SW 정보 교환 명세(Open Source Software Package Data Exchange Specification)에 중점을 두었고, +국가 표준(KS X ISO/IEC 19770-2)은 SWID(ISO/IEC 19770-2)를 한글 표준으로 도입한 것으로 분석된다. 다만, +SW 보안취약점 관리에 SWID가 널리 활용되지 않고 있다는 점은 주지할 필요가 있다. +SBOM 관련 국내외 표준 현황 +표 33 +구 분 +개발기구 +국제표준 +국내표준 +국가표준 +단체표준 +SPDX +리눅스재단 +ISO/IEC5962 +(‘21) +- +TTAK.KO-11.0182(‘15) +※ SPDX v2.0 일부 참조 +CycloneDX +OWASP +- +- +- +SWID +ISO/IEC 19770-2 +(‘09제정,‘15개정) +KS X ISO/IEC +19770-2(‘21) +- +현재는 2022년 12월에 제정된 “공개 SW 공급망 관리를 위한 SW 목록 구성(SBOM) 속성 규격”(TTAK.KO- +11.0309)에 이르고 있으며, 이 표준에서는 15개의 SBOM 구성요소를 정의하고 있다. + + +--- + +78 +SBOM 기반 SW 공급망 보안 활성화 지원 + +## 제4장 + +SBOM 구성요소는 SBOM 표준 제정 당시 SBOM 활용 목적, 분야 등을 유추할 수 있는 좋은 정보를 포함하고 +있다. [표 34]는 정보통신 단체표준의 SBOM 구성요소를 설명한다. 구성요소 중 CVE 항목은 SW 보안취약점 +관리에 직접 활용할 수 있는 정보로 우리나라 SBOM 정보통신 단체표준도 SW 보안취약점 관리에 활용할 수 +있음을 알 수 있다. +정보통신 단체표준 SBOM 속성 규격 +표 34 +구분(Baseline) +속성(Attribution) +① SBOM 검증 도구(SBOM Validation Tool Name) +ex) Folosology +② 공급자(Supplier Name) +ComponentSupplier +③ 저작권자(Author Name) +ComponentAuthor +④ 컴포넌트(Component Name) +ComponentName +⑤ 버전(Version String) +ComponentVersion +⑥ 고유식별자(Unique Identifier) +FormatID +⑦ 컴포넌트 해시(Component Hash) +FileChecksum +⑧ 라이선스 명(License Name) +Component License +⑨ 라이선스 결합 형태(License Usage) +Dynamic/Satic Linking +⑩ 보안취약점 DB(Vulnerability DB) +VulnerabilityDB, NVD +⑪ 관계성(Relationship) +IncludeComponent, ImportComponent +⑫ 릴리즈 날짜(Release Date) +ReleaseDate +⑬ CVE ID +CVE-Year-Serial Number +⑭ CVSS Base Score +Base, Impact, Exploitability +⑮ CVSS Severity +CVSS Severity : High, Medium, Low, None +또한 상기 표준 제정을 추진한 기술위원회는 2023년 12월 추가적으로 “공개 SW SBOM 거버넌스 관리 +지침”(TTAK.KO-11.0322)을 정보통신단체표준으로 제정하였다. 이 표준은 SW 공급망 관리를 목적으로 SBOM +환경분석, SBOM 관리포맷 정의, 자동화 지원 SBOM 생성을 위한 관리정책, R&R, 관리 프로세스 구축 및 주요 +수행 내용을 정의하고 있다. +이와 같이 국내에서도 SBOM 활용을 위한 다양한 표준화 노력이 있었다는 것을 확인할 수 있었고, 향후 자동차, +방위산업 등 다양한 산업 분야에 특화된 SBOM 표준화 활동이 기대된다. + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +79 + +## 2. 국가정보원 제안 SBOM 기본항목 + +가. SBOM 기본항목 제안 +미국, 유럽 등 주요국은 SW에 포함된 보안취약점을 추적·관리하기 위해 정부·공공기관에 도입되는 +SW 대상 SBOM 제출을 의무화하는 제도를 추진하는 등 공급망 보안을 강화 중이다. 미국의 경우, +NTIA(전기통신정보청)에서 선정한 7개 항목을 SBOM의 기본항목으로 권고하였으며 사이버보안 체계를 강화를 +위해서 항목 추가도 가능하다. +국내에서도 공개 SW 관리 및 보안취약점 식별을 위한 SBOM 생성·활용에 대한 관심이 증가하고 있으나, +현재 국제적으로 통용되고 있는 SBOM 데이터 교환 표맷(CyclonceDX, SPDX)은 항목이 지나치게 많거나 +보안취약점 정보 등을 제공하지 않고, NTIA 데이터 필드의 기본항목은 너무 적어 구성요소에 대한 충분한 +정보를 제공하지 못하는 단점이 존재한다. 정보통신단체표준 SBOM 속성 규격 또한 실증 과정에서 다소 부족한 +부분이 있어, 정부·공공기관에 도입되는 SW의 관리를 위해 공통으로 활용할 수 SBOM 기본항목 선정을 +추진하게 되었다. +본 절에서는 정부·공공기관에 도입되는 SW의 공급망 보안 관리 체계를 구축하기 위해 국가정보원이 제안하는 +SBOM(NIS-SBOM) 기본항목을 소개한다. NIS-SBOM 기본항목은 ❶기본항목 간소화 ❷보안취약점 정보연동 +❸사이버 위험관리 효율성 향상을 주요 목표하였다. +NIS-SBOM 기본항목은 NTIA의 권고안, 국내외 표준 등을 분석하여 선정하였고, 추가적으로 7개 항목을 +자체 선정하여 총 20개 항목으로 구성하였다. 보안취약점 정보는 CVE, KEV, CVSS를 연동하여 사용하며, +보안취약점 관리는 SW 제품별로 하고, 보안취약점은 제품내 구성요소 단위로 식별된다. 또한, 테이블 형태의 +표준 출력 양식을 지원하여 PDF, 한글, 엑셀 등 보고서 형태에서 작업하는 사용자의 편의성을 향상시켰다. +국내 SBOM 개발업체 및 유관 부처를 대상으로 NIS-SBOM 설명회를 개최하고 의견을 수렴하였으며 앞 절에서 +소개한 협력센터 기술공유실 테스트베드에 NIS-SBOM 기본항목을 적용하여 정부·공공기관 도입 SW의 공급망 +보안 관리 체계 구축 시 활용 가능한지 실증을 수행하였다. + + +--- + +80 +SBOM 기반 SW 공급망 보안 활성화 지원 + +## 제4장 + +나. NIS-SBOM 기본항목 +NIS-SBOM 기본항목 (* : 자체 선정) +표 35 +구분 +속성 +① SBOM Standard* +NIS / SPDX / CycloneDX / TTA 등 SBOM 표준 +② SBOM Type* +개발 / 유통 등 SBOM 생성단계 +③ CycloneDXNo. +CycloneDX번호 +④ SPDX Doc. ID +SPDX 문서번호 +⑤ SBOM ID* +SBOM 문서번호 +⑥ Product Name* +제품 이름 +⑦ Product Version* +제품 버전 +⑧ Component Name +컴포넌트 이름 +⑨ Component Alias* +컴포넌트 별칭 +⑩ Component Version +컴포넌트 버전 +⑪ Component Supplier Name +컴포넌트 공급자 이름 +⑫ Component Hash +컴포넌트 해시(SHA-256 이상 사용) +⑬ Component Path* +컴포넌트 경로(컴포넌트 실제 위치 식별) +⑭ SBOM Author Name +SBOM 작성자 +⑮ Unique Identifier +컴포넌트 버전 외에 조회가 가능한 고유 식별자 (CPE, PURL 등) +⑯ Dependency Relationship +상위 컴포넌트와의 종속 관계 +⑰ Timestamp +SBOM 생성일시 +⑱ License Name·Version +라이선스 이름·버전 +⑲ Vul. DB +NVD(CVE), CISA(KEV) 등 보안취약점 DB +⑳ Vul. Info +CVE 식별자 및 CVSS 보안취약점 등급 + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +81 +① SBOM Standard(SBOM 표준) +- SBOM 표준의 종류로 NIS 1.0, CycloneDX 1.6 등과 같이 표기 +② SBOM Type(SBOM 생성단계) +- Design, Source, Build, Analyzed, Deployed, Runtime 등 SBOM이 생성된 단계 표기 +③ CycloneDXNo.(CycloneDX번호) +- CycloneDX SBOM을 사용하는 경우 해당 CycloneDX번호를 표기 +④ SPDX Doc. ID(SPDX 문서번호) +- SPDX SBOM을 사용하는 경우 해당 SPDX 문서번호를 표기 +⑤ SBOM ID(SBOM 문서번호) +- SBOM 문서의 고유 식별자로, 기업명-생성년월일-일련번호(6자리)로 표기 +⑥ Product Name(제품 이름) +- SBOM 생성 대상 제품의 이름 표기 +⑦ Product Version(제품 버전) +- SBOM 생성 대상 제품의 버전 표기 +⑧ Component Name(컴포넌트 이름) +- SW 구성요소인 컴포넌트의 이름 표기 +* CycloneDX는 Component, SPDX는 Package로 SW 구성요소 표기 +⑨ Component Alias(컴포넌트 별칭) +- 보안취약점을 식별하기 위한 최소 구성요소인 컴포넌트의 별칭 표기, 컴포넌트 이름이 중복되는 경우 +Alias로 구분하기 위함 +⑩ Component Version(컴포넌트 버전) +- 보안취약점을 식별하기 위한 최소 구성요소인 컴포넌트의 버전 표기 +⑪ Component Supplier Name(컴포넌트 공급자 이름) +- 컴포넌트를 개발한 개발자 이름을 표기 +⑫ Component Hash(컴포넌트 해시) +- 식별된 컴포넌트가 정확한지 검증을 위하여 사용, SHA-256 이상 안정성이 확보된 해시를 이용하여 표기 +⑬ Component Path(컴포넌트 경로) +- 식별된 컴포넌트가 정확한지 검증을 위하여 사용, 컴포넌트의 정확한 위치를 확인하여 검증 + + +--- + +82 +SBOM 기반 SW 공급망 보안 활성화 지원 + +## 제4장 + +⑭ SBOM Author Name(SBOM 작성자) +- SBOM을 작성한 작성자의 이름을 표기 +⑮ Unique Identifier(고유 식별자) +- SBOM의 고유 식별자로 조회가 가능한 Key(CPE, PURL 등), 컴포넌트의 정보를 알 수 있는 유일한 정보를 표기 +⑯ Dependency Relationship(종속성 관계) +- 상위 컴포넌트와 종속관계가 있는 경우 상위 컴포넌트를 표기 +⑰ Timestamp(SBOM 생성일시) +- SBOM을 생성한 날짜 및 시간을 표기 +⑱ License Name·Version(라이선스 이름·버전) +- 대상 컴포넌트의 라이선스 이름과 버전을 표기 +⑲ Vul. DB(보안취약점 DB) +- NVD(CVE), CISA(KEV) 등 보안취약점 DB에 대한 정보를 표기 +⑳ Vul. Info(CVE ID(CVSS)) +- SW 보안취약점에 번호를 부여한 CVE 번호와 보안취약점의 심각성을 등급(0.0 없음 → 0.1~3.9 낮음 +→ 4.0~6.9 중간 → 7.0~8.9 확인 → 9.0~10.0 심각)화한 CVSS를 연동하여 사용 + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +83 +국가사이버안보협력센터 기술공유실에 구축된 공급망보안 테스트베드를 통해 출력한 NIS-SBOM 예시는 +[그림 31]과 같다. +NIS-SBOM 기본항목 적용 SW 컴포넌트별 출력 예시 +그림 31 + + +![이미지 93-0](images/p0093_img0.png) + + +--- + +84 +SBOM 기반 SW 공급망 보안 활성화 지원 + +## 제4장 + +다. NIS-SBOM 기본항목 의의와 향후 계획 +NIS-SBOM 기본항목은 정부·공공기관에 도입되는 SW의 SBOM 기본항목을 제안함으로써 SW 공급자와 도입 +기관들 간에 일관성을 제공하고 국가적으로 SW 공급망의 투명성과 신뢰성을 확보하고 관리 효율성을 제고할 +수 있다. 향후, NIS-SBOM을 통해 정부·공공기관에 도입되는 SW를 추적·관리할 수 있는 체계가 마련된다면 +알려진 보안취약점에 대한 더 빠르고 확실한 보안조치를 촉진하여 국가 사이버안보 강화에 이바지할 것으로 +기대된다. +본 절에서 명시된 NIS-SBOM 기본항목은 공급망 보안 관리 체계 구축을 위해 국내 산·학·연 관계자들과 +의견을 나누고 실증을 통해 확인된 SBOM 기본항목을 제안한 것이다. SBOM의 기본항목을 검증하는 절차는 +끝나지 않았다. 본 문서에서 제안한 NIS-SBOM 기본항목은 버전 1.0이며 국내 산·학·연 관계자들과 지속적인 +논의를 통해 발전시켜 나갈 것이다. 또한 현재 SBOM 개정을 추진중인 美 CISA의 개정 사항들을 적극 +검토하고, SW 공급망 보안 관련 국제 협력도 강화하여 우리 산업계가 국제적인 경쟁력을 갖출 수 있도록 +지원할 것이다. 그에 따라 기본항목은 변경되고 버전도 업데이트 될 것이다. + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +85 +제3절 +SBOM 기반 SW 공급망 보안 발전 제언 +정부·공공기관 및 기업들은 SBOM 도입을 통해 SW 투명성을 확보할 수 있고, 이를 통해 SW 제품 전반의 +품질 제고와 함께 기업의 신뢰도를 개선할 수 있을 것이다. 본 가이드는 SW 투명성 확보를 통해 SW에 포함된 +보안취약점 및 라이선스 관리를 가능하게 하고, 이는 SW 제품 및 서비스의 보안성 향상 및 지적 재산권 침해 +위험을 제거하는데 실질적인 도움이 될 수 있음을 보여주었다. 그러나 SW 투명성을 확보하는 과정에서 SW +공급망 참여자들은 전문 인력의 확보, 시설 등 SW 공급망 보안 관리체계 구축 부담 및 민감 정보 유출 우려 등의 +어려움을 겪을 수밖에 없다. +따라서 본 절에서는 SW 공급망 참여자들의 애로사항 개선을 적극 지원하고, SBOM 기반의 SW 공급망 보안 +관리체계 도입 과정에서 겪을 수 있는 시행착오를 줄이는 한편, 향후 SBOM 도입·확산을 위해 해결해야 할 +과제들을 순차적으로 제시하였다. +가. 개발기업의 SW 투명성 확보 지원 +SW 공급망 전단계에서 SW 투명성을 확보하기 위해서는 먼저 관련 기술이 도입되어야 하고, 이를 운영할 수 +있는 인력이 필요하다. 또한 SW 개발·제작 공정에 공급망 보안 관리가 추가되어야 하므로 SW 개발·제작 +기간이 늘어날 수 밖에 없으며, 이는 SW 생산 비용 증가의 원인이 될 수 있으며, 이 비용을 SW 개발기업에 +전가하는 것은 국내 SW 기업에 경제적 부담이 될 수밖에 없다. +이 문제를 해결하기 위해 공적 자원 투입을 고려할 수 있다. 먼저 SW 공급망 보안을 지원하기 위한 지원센터를 +통해서 SW의 투명성을 확보하려는 기업들에게 보안취약점 관리 및 컨설팅 지원 등을 제공할 필요가 있다. +또한 SW 개발기업이 SBOM 기반의 SW 공급망 보안 관리체계를 구축·운영하거나 필요시 이용할 수 있도록 +지원할 수 있어야 하며, 이를 위해 SBOM 기반의 SW 공급망 보안 관리체계 공통모델에 대한 선제적인 연구도 +필요하다. +나. SBOM 및 SW 공급망 보안에 대한 적극적 투자 +미국 FDA의 의료기기 인·허가 시 SBOM 제출, 연방정부의 ‘안전한 SW 개발 증명’제도 도입 및 유럽의 CRA +사이버복원력법 개정 등은 모두 자국 시장보호 기능을 활용한 사이버보안 정책으로 향후 우리 기업들에게 +무역장벽으로 작용할 수 있다. 이 위기를 새로운 기회로 전환시키는 방안으로 SBOM 및 공급망 보안 기술 +확보를 위한 적극적인 투자가 필요하다. +다수의 기업들이 소극적으로 SW 공급망 보안 관리체계의 도입을 망설일 때, 오히려 적극적으로 투자를 한다면 +무역장벽을 극복할 수도 있고, 유럽과 미국에서 규정하는 보안취약점 관리 수준에 이른다면 기업 신뢰성 +향상으로 이어져서 기업에게 장기적으로 더 큰 이익이 될 것이다. 보안 수준이 높은 기업은 신뢰도가 향상되고, +신뢰도가 높은 기업의 제품 및 서비스는 소비자가 믿고 구매할 수 있음을 잊지 말아야 할 것이다. + + +--- + +86 +SBOM 기반 SW 공급망 보안 활성화 지원 + +## 제4장 + +다. 공급자와 수요자가 연계되는 SBOM 기반 공급망 보안 관리 +현재 EU, 미국 등 주요국의 공급망 보안은 SW 공급자, 즉 개발기업을 대상으로 한 정책이 주를 이룬다. 하지만, +보안취약점과 악성코드를 통해 발생하는 피해자는 결국 SW 수요자, 즉 SW를 도입해서 사용하는 기관 및 +기업이다. 특히, 대부분의 기관과 기업은 내부 IT 시스템에 설치된 SW의 세부 구성요소 정보를 전혀 모르고, +해당 SW의 구성요소 관리에 대한 필요성조차 인식하지 못하고 있다. 이런 상태에서는 세계적으로 심각한 +보안취약점이 발표되어도 대응이 매우 어렵다. +이를 해결하기 위해서는 기관 내 IT 자산과 SW, 그리고 SW의 구성요소를 같이 관리하고 관련 보안취약점을 +지속적으로 모니터링 할 수 있는 입체적인 관리체계를 구축할 필요가 있다. 이렇게 함으로써 SW 개발기업과 +수요기업의 공급망 관리 체계가 연동될 수 있다면 상호 시너지 효과를 발휘할 수 있고, 산업 전반에서 선순환 +효과를 창출할 수 있게 될 것이다. +라. 안전한 SW 개발환경 조성 등 사이버 복원력 강화 +디지털 및 사이버보안 정책의 핵심 개념으로 SW 위험관리 및 사이버 복원력을 강조하고, 향후 이를 제도적으로 +구체화하고 실행하기 위한 법적, 기술적 프레임워크를 도입할 필요가 있다. 시장에 공급되는 SW 제품 및 +서비스 등의 생애주기 전반에서 보안 관리를 강화하고, 소비자가 SW 제품 및 서비스 등을 선택할 때 보안성 +내재화 여부를 고려할 수 있도록 제도화(보안적합성, IoT 보안 라벨링 등) 하는 방안도 필요하다. +또한 기업 차원에서는 안전한 SW 개발환경을 조성할 수 있도록 개발자 커뮤니티를 통한 SW 공급망 보안 +문화의 확산, SDL 또는 DevSecOps 등 SW 개발보안 체계에 대한 교육 및 기술지원 방안에 대한 본격적인 +논의와 함께 SW 공급사 및 운영사의 임원급(C-Level)에 대한 보안인식 제고 활동도 필요하다. +마. SBOM의 안전한 활용 및 기밀성 보장 기반 공유 방안 +SBOM은 공개 SW의 라이선스 및 보안취약점 관리 등을 위한 다양한 정보를 포함할 수 있다. 따라서 무제한적 +SBOM 공유·활용은 자칫 보안취약점 공격에 역으로 활용될 수 있고, 기업의 지적재산권을 탈취하는데 악용될 +수도 있다. 또한 공급기업이 기업비밀 보장을 이유로 SBOM 공유를 거부한다면, 사용자 측면에서 SW내에 +어떠한 위험 요소가 내재 되어 있는지 알 수 없는 어려움에 처하게 된다. +따라서 SBOM 활용에 따른 SW 개발기업의 리스크를 최소화하면서도 보안취약점 관리를 통해 수요자의 보안 +리스크도 동시에 최소화 할 수 있는 방안이 필요하다. 이를 해결하기 위해 SBOM의 기밀성을 보장하면서 +동시에 SBOM을 안전하게 공유하는 기술에 대한 다양한 연구가 진행되기를 바란다. +예를 들면, 기밀성이 보장되는 컴퓨팅 환경에서 SBOM을 안전하게 관리할 수 있으며, 이를 통해 기업 +비밀정보의 보호와 함께 보안취약점 데이터베이스 서비스도 안전하게 보호될 수 있다. 더 나아가 이러한 +안전한 환경에서 SW 안전 문자나 익명 통보와 같은 공공 시스템을 구축할 수 있으며, 정부는 이를 통해 +SBOM의 안전한 활용 및 공유 거점을 구축하고 SW 구성요소 별로 신규 보안취약점에 대한 신속하고 효과적인 +대응을 위한 자동화된 시스템을 구축할 수 있을 것으로 기대된다. + + +--- + +SW 공급망 보안 국제동향 및 SBOM 활용사례 +87 +맺음말 + +## 제5장 + +우리나라는 세계 어느 나라보다 빠르게 디지털화를 이루어냈으며, 이런 디지털화의 핵심 요소로 SW가 +자리하고 있습니다. 정부·공공기관 및 기업의 대다수 업무가 SW 기반으로 운영되고 있으며, 스마트폰 +앱을 통해서 가전제품을 편리하게 제어할 수 있고, 다양한 레저활동도 즐길 수 있게 되었습니다. 생산 +현장에서도 네트워크 기반의 스마트 공장이 확산되고 있으며, 이를 통해 산업 생산성을 크게 향상시킬 수 +있는 기반이 구축되었습니다. +본 가이드라인은 이와 같이 중요성이 커지고 있는 SW의 개발, 공급(유통), 운영, 폐기 등 SW 공급망 각 +단계에서 SW에 포함될 수 있는 보안취약점 등을 효과적으로 관리할 수 있는 방안을 제시하고, 정부의 +기업지원 대책을 소개하였습니다. +특히, SW 공급망 보안의 핵심 요소로 부상한 SBOM에 대해 소개하고, 정부 주도로 수행한 SBOM +실증결과와 기업지원을 위한 테스트베드도 소개하였습니다. SBOM은 구성요소의 버전 및 저작권을 +관리할 뿐만 아니라, 제3자 SW에 대한 보안취약점을 찾아냄으로써 보안 사고를 사전에 예방하는 데에도 +유용하기 때문에 그 쓰임새가 나날이 확대되고 있습니다. +국가정보원, 과학기술정보통신부 및 디지털플랫폼정부위원회와 SW 공급망 보안 포럼 전문가들은 +지난 수 개월 간 독자의 범위, 수록 내용 등 집필 방향에 대해 치열하게 고민하고 많은 논의를 거쳤고, +정부·공공기관 및 기업의 SBOM 도입을 위한 첫 걸음에 도움을 줄 수 있도록 합동으로 본 가이드라인을 +만들게 되었습니다. +SW 공급망 보안 수준을 높이는 것은 국가 안보는 물론 수출과 산업 발전에도 큰 도움이 될 것이며, +궁극적으로 대한민국의 글로벌 경쟁력 강화에 기여할 것으로 기대합니다. +국가정보원, 과학기술정보통신부, 디지털플랫폼정부위원회는 앞으로도 국민의 안전과 국가 경쟁력 +강화를 위해 더욱 긴밀하게 협력하면서 SW 공급망 보안 가이드라인을 지속적으로 발전시켜 +나가겠습니다. +국가정보원 · 과학기술정보통신부 · 디지털플랫폼정부위원회 + + +--- + +88 +SBOM 기반 SW 공급망 보안 활성화 지원 + +## 제4장 + +집필진│ +고려대학교 최윤성 교수 +한남대학교 이만희 교수 +한국과학기술원(KAIST) 강병훈 교수 +한국인터넷진흥원(KISA) 이향진 디지털안전정책팀장 +한국정보보호산업협회(KISIA) 박윤현 정책연구소장 +SW 공급망 보안 민관 전문가 협의체(국가정보원) +SW 공급망 보안 포럼(과학기술정보통신부) +제로트러스트·공급망 보안 TF(디지털플랫폼정부위원회) + + +--- + +2024년 5월 13일 1판 1쇄 +발행처 한국인터넷진흥원 +나주시 진흥길 9 한국인터넷진흥원 +제 작 국가정보원, 과학기술정보통신부, 디지털플랫폼정부위원회, +한국인터넷진흥원 +SW 공급망 보안 가이드라인은 +크리에이티브 커먼즈 저작자 표시-비영리-변경금지 2.0 +대한민국 라이선스에 따라 이용할 수 있습니다. + + +--- + From 6b747b758cd17f957bbd4cd02829661a4f955cb4 Mon Sep 17 00:00:00 2001 From: nowzero Date: Wed, 8 Apr 2026 19:25:12 +0900 Subject: [PATCH 2/2] =?UTF-8?q?docs:=20add=20AI=20=EA=B8=B0=EB=B3=B8?= =?UTF-8?q?=EB=B2=95=20=EA=B5=90=EC=95=88=20as=20standalone=20reference=20?= =?UTF-8?q?(11=20chapters,=2060=20sections)?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit - 문서/AI_기본법_교안/ (60 MD files, 7,812 lines) - Covers: 법 구조, 사업자 유형, 투명성, 안전성, 고영향AI, 영향평가, 해외사업자, 제재, 체크리스트, FAQ 20선, 부록(조문/용어/서식) - Update README.md source documents table Co-Authored-By: Claude Opus 4.6 (1M context) --- README.md | 1 + ...44\354\226\264\354\241\214\353\202\230.md" | 101 +++++ ...4\354\262\264_\352\265\254\354\241\260.md" | 171 ++++++++ ...1\354\226\264_\354\240\225\353\246\254.md" | 191 +++++++++ ...01\354\232\251\353\220\230\353\202\230.md" | 101 +++++ ...4\354\232\251_\353\260\251\353\262\225.md" | 129 ++++++ ...0\355\230\225_\355\214\220\353\213\250.md" | 88 ++++ ...51\354\202\254\354\227\205\354\236\220.md" | 110 +++++ ...5\353\202\264_\354\235\230\353\254\264.md" | 90 ++++ ...0_\354\227\206\353\212\224\352\260\200.md" | 104 +++++ ...70\352\260\234\353\260\234\354\236\220.md" | 175 ++++++++ ...0\353\254\264_\352\260\234\354\232\224.md" | 108 +++++ ...0\354\247\200_\354\235\230\353\254\264.md" | 134 ++++++ ...4\354\213\234_\354\235\230\353\254\264.md" | 215 ++++++++++ ...1\353\263\204_\354\235\230\353\254\264.md" | 130 ++++++ ...4\354\240\234_\354\230\210\354\231\270.md" | 158 +++++++ ...4_\352\260\200\354\235\264\353\223\234.md" | 391 ++++++++++++++++++ ...0\353\254\264_\352\260\234\354\232\224.md" | 85 ++++ ...0\353\254\264_\354\243\274\354\262\264.md" | 128 ++++++ ...\353\246\254_4\353\213\250\352\263\204.md" | 279 +++++++++++++ ..._\353\260\217_\354\240\234\354\266\234.md" | 162 ++++++++ ...4\352\260\200_\354\235\230\353\254\264.md" | 211 ++++++++++ ...0\354\235\230_\354\235\230\353\257\270.md" | 84 ++++ ...1\354\227\255_\355\214\220\353\213\250.md" | 114 +++++ ...4\355\227\230_\355\214\220\353\213\250.md" | 110 +++++ ...5\354\235\270_\354\232\224\354\262\255.md" | 143 +++++++ ...0\353\213\250_\354\202\254\353\241\200.md" | 283 +++++++++++++ ...4\354\262\264_\352\265\254\354\241\260.md" | 122 ++++++ ...30\353\246\275\354\232\264\354\230\201.md" | 118 ++++++ ...5\354\204\261_\355\231\225\353\263\264.md" | 129 ++++++ ...4\355\230\270_\353\260\251\354\225\210.md" | 104 +++++ ...0\353\217\205_\354\262\264\352\263\204.md" | 103 +++++ ...21\354\204\261\353\263\264\352\264\200.md" | 149 +++++++ ...1\354\204\261_\354\230\210\354\213\234.md" | 163 ++++++++ ...1\352\260\200_\352\260\234\354\232\224.md" | 99 +++++ ...0\355\226\211_\354\240\210\354\260\250.md" | 177 ++++++++ ...5\353\252\251_\355\225\264\354\204\244.md" | 88 ++++ ...1_\352\260\200\354\235\264\353\223\234.md" | 124 ++++++ ...0\354\233\220_\354\262\264\352\263\204.md" | 123 ++++++ ...0\353\254\264_\352\260\234\354\232\224.md" | 72 ++++ ...0\354\203\201_\352\270\260\354\244\200.md" | 98 +++++ ...0\352\263\240_\354\240\210\354\260\250.md" | 102 +++++ ...0\352\263\274_\354\261\205\354\236\204.md" | 99 +++++ ...5\354\213\234_\354\240\234\354\236\254.md" | 127 ++++++ ...4_\354\264\235\354\240\225\353\246\254.md" | 127 ++++++ ...34\353\202\230\353\246\254\354\230\244.md" | 152 +++++++ ...74\354\235\264\354\226\270\354\212\244.md" | 139 +++++++ ...04\353\241\234\354\204\270\354\212\244.md" | 175 ++++++++ ...54\353\246\254\354\212\244\355\212\270.md" | 84 ++++ ...54\353\246\254\354\212\244\355\212\270.md" | 110 +++++ ...54\353\246\254\354\212\244\355\212\270.md" | 118 ++++++ ...54\353\246\254\354\212\244\355\212\270.md" | 86 ++++ ...4\203\201_\354\202\254\353\241\2001to5.md" | 76 ++++ ...\226\211_\354\202\254\353\241\2006to13.md" | 110 +++++ ...213\250_\354\202\254\353\241\20014to18.md" | 92 +++++ ...226\211_\354\202\254\353\241\20019to20.md" | 80 ++++ ...0\353\254\270_\354\203\211\354\235\270.md" | 93 +++++ ...B_\354\232\251\354\226\264\354\247\221.md" | 80 ++++ ...70\354\241\260\353\254\270\355\227\214.md" | 56 +++ ...4\354\213\235_\353\252\250\354\235\214.md" | 205 +++++++++ ...0\353\246\274_\353\252\251\353\241\235.md" | 37 ++ 61 files changed, 7813 insertions(+) create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/01_1-1_\354\231\234_\353\247\214\353\223\244\354\226\264\354\241\214\353\202\230.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/02_1-2_\353\262\225\354\235\230_\354\240\204\354\262\264_\352\265\254\354\241\260.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/03_1-3_\355\225\265\354\213\254_\354\232\251\354\226\264_\354\240\225\353\246\254.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/04_1-4_\353\210\204\352\265\254\354\227\220\352\262\214_\354\240\201\354\232\251\353\220\230\353\202\230.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/05_1-5_\354\235\264_\354\261\205\354\235\230_\355\231\234\354\232\251_\353\260\251\353\262\225.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/06_2-1_AI_\354\202\254\354\227\205\354\236\220_\354\234\240\355\230\225_\355\214\220\353\213\250.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/07_2-2_\352\260\234\353\260\234\354\202\254\354\227\205\354\236\220_vs_\354\235\264\354\232\251\354\202\254\354\227\205\354\236\220.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/08_2-3_\355\225\264\354\231\270\354\202\254\354\227\205\354\236\220\354\235\230_\352\265\255\353\202\264_\354\235\230\353\254\264.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/09_2-4_\354\235\264\354\232\251\354\236\220\353\212\224_\354\235\230\353\254\264\352\260\200_\354\227\206\353\212\224\352\260\200.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/10_2-5_\353\260\224\354\235\264\353\270\214\354\275\224\353\215\224_\355\224\204\353\246\254\353\236\234\354\204\234_1\354\235\270\352\260\234\353\260\234\354\236\220.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/11_3-1_\355\210\254\353\252\205\354\204\261_\355\231\225\353\263\264_\354\235\230\353\254\264_\352\260\234\354\232\224.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/12_3-2_\354\202\254\354\240\204_\352\263\240\354\247\200_\354\235\230\353\254\264.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/13_3-3_AI_\354\203\235\354\204\261\353\254\274_\355\221\234\354\213\234_\354\235\230\353\254\264.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/14_3-4_\353\224\245\355\216\230\354\235\264\355\201\254_\354\203\235\354\204\261\353\254\274_\355\212\271\353\263\204_\354\235\230\353\254\264.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/15_3-5_\355\221\234\354\213\234_\353\251\264\354\240\234_\354\230\210\354\231\270.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/16_3-6_\354\213\244\353\254\264_\352\265\254\355\230\204_\352\260\200\354\235\264\353\223\234.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/17_4-1_\354\225\210\354\240\204\354\204\261_\355\231\225\353\263\264_\354\235\230\353\254\264_\352\260\234\354\232\224.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/18_4-2_\354\240\201\354\232\251_\353\214\200\354\203\201_\354\235\230\353\254\264_\354\243\274\354\262\264.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/19_4-3_\354\234\204\355\227\230\352\264\200\353\246\254_4\353\213\250\352\263\204.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/20_4-4_\353\263\264\352\263\240_\353\260\217_\354\240\234\354\266\234.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/21_4-5_\352\263\240\354\204\261\353\212\245AI_\354\266\224\352\260\200_\354\235\230\353\254\264.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/22_5-1_\352\263\240\354\230\201\355\226\245AI_\355\214\220\353\213\250\354\235\230_\354\235\230\353\257\270.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/23_5-2_1\353\213\250\352\263\204_\354\230\201\354\227\255_\355\214\220\353\213\250.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/24_5-3_2\353\213\250\352\263\204_\354\234\204\355\227\230_\355\214\220\353\213\250.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/25_5-4_\352\263\274\352\270\260\354\240\225\355\206\265\353\266\200_\355\231\225\354\235\270_\354\232\224\354\262\255.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/26_5-5_\354\230\201\354\227\255\353\263\204_\355\214\220\353\213\250_\354\202\254\353\241\200.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/27_6-1_\354\202\254\354\227\205\354\236\220_\354\261\205\353\254\264_\354\240\204\354\262\264_\352\265\254\354\241\260.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/28_6-2_\354\234\204\355\227\230\352\264\200\353\246\254\353\260\251\354\225\210_\354\210\230\353\246\275\354\232\264\354\230\201.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/29_6-3_\354\204\244\353\252\205\352\260\200\353\212\245\354\204\261_\355\231\225\353\263\264.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/30_6-4_\354\235\264\354\232\251\354\236\220_\353\263\264\355\230\270_\353\260\251\354\225\210.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/31_6-5_\354\202\254\353\236\214\354\235\230_\352\264\200\353\246\254\352\260\220\353\217\205_\354\262\264\352\263\204.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/32_6-6_\354\225\210\354\240\204\354\213\240\353\242\260_\353\254\270\354\204\234_\354\236\221\354\204\261\353\263\264\352\264\200.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/33_6-7_\354\261\204\354\232\251\353\266\204\354\225\274_\354\236\221\354\204\261_\354\230\210\354\213\234.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/34_7-1_\354\230\201\355\226\245\355\217\211\352\260\200_\352\260\234\354\232\224.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/35_7-2_\354\230\201\355\226\245\355\217\211\352\260\200_\354\210\230\355\226\211_\354\240\210\354\260\250.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/36_7-3_\355\217\211\352\260\200_\355\225\255\353\252\251_\355\225\264\354\204\244.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/37_7-4_\354\230\201\355\226\245\355\217\211\352\260\200\354\204\234_\354\236\221\354\204\261_\352\260\200\354\235\264\353\223\234.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/38_7-5_\354\230\201\355\226\245\355\217\211\352\260\200_\354\247\200\354\233\220_\354\262\264\352\263\204.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/39_8-1_\352\265\255\353\202\264\353\214\200\353\246\254\354\235\270_\354\235\230\353\254\264_\352\260\234\354\232\224.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/40_8-2_\353\214\200\354\203\201_\352\270\260\354\244\200.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/41_8-3_\354\247\200\354\240\225_\354\213\240\352\263\240_\354\240\210\354\260\250.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/42_8-4_\353\214\200\353\246\254\354\235\270_\354\227\255\355\225\240\352\263\274_\354\261\205\354\236\204.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/43_8-5_\353\257\270\354\247\200\354\240\225\354\213\234_\354\240\234\354\236\254.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/44_9-1_\354\240\234\354\236\254_\354\262\264\352\263\204_\354\264\235\354\240\225\353\246\254.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/45_9-2_\354\241\260\355\225\255\353\263\204_\354\234\204\353\260\230_\354\213\234\353\202\230\353\246\254\354\230\244.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/46_9-3_\354\230\210\353\260\251\354\240\201_\354\273\264\355\224\214\353\235\274\354\235\264\354\226\270\354\212\244.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/47_9-4_\354\234\204\353\260\230\354\213\234_\353\214\200\354\235\221_\355\224\204\353\241\234\354\204\270\354\212\244.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/48_10-1_\353\260\224\354\235\264\353\270\214\354\275\224\353\215\224_\352\260\234\353\260\234\354\236\220_\354\262\264\355\201\254\353\246\254\354\212\244\355\212\270.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/49_10-2_AI_\354\212\244\355\203\200\355\212\270\354\227\205_\354\202\254\354\227\205\354\236\220_\354\262\264\355\201\254\353\246\254\354\212\244\355\212\270.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/50_10-3_\353\263\264\354\225\210_\353\262\225\353\254\264_\353\213\264\353\213\271\354\236\220_\354\262\264\355\201\254\353\246\254\354\212\244\355\212\270.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/51_10-4_\352\263\265\352\263\265\352\270\260\352\264\200_\353\213\264\353\213\271\354\236\220_\354\262\264\355\201\254\353\246\254\354\212\244\355\212\270.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/52_11-1_\354\235\230\353\254\264_\354\243\274\354\262\264_\354\240\201\354\232\251\353\214\200\354\203\201_\354\202\254\353\241\2001to5.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/53_11-2_\355\210\254\353\252\205\354\204\261_\354\235\230\353\254\264\354\235\264\355\226\211_\354\202\254\353\241\2006to13.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/54_11-3_\352\263\240\354\230\201\355\226\245AI_\355\214\220\353\213\250_\354\202\254\353\241\20014to18.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/55_11-4_\354\232\264\354\230\201\354\235\230\353\254\264_\354\247\221\355\226\211_\354\202\254\353\241\20019to20.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/56_\353\266\200\353\241\235A_\354\241\260\353\254\270_\354\203\211\354\235\270.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/57_\353\266\200\353\241\235B_\354\232\251\354\226\264\354\247\221.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/58_\353\266\200\353\241\235C_\354\260\270\354\241\260\353\254\270\355\227\214.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/59_\353\266\200\353\241\235D_\354\204\234\354\213\235_\353\252\250\354\235\214.md" create mode 100644 "\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/60_\353\266\200\353\241\235E_\355\221\234\352\267\270\353\246\274_\353\252\251\353\241\235.md" diff --git a/README.md b/README.md index 5092647..f74b0c5 100644 --- a/README.md +++ b/README.md @@ -230,6 +230,7 @@ KESE(KISA Enhanced Security Evaluation Kit)는 KISA(한국인터넷진흥원) | 14 | **OT 환경의 제로트러스트 적용 안내서** | 과기정통부 / KISA | 2025 | 67 | [PDF](문서/OT_환경의_제로트러스트_적용_안내서.pdf) / [MD](문서/OT_환경의_제로트러스트_적용_안내서.md) | | 15 | **SW 공급망 보안 가이드라인 (요약본)** | 국정원 / 과기정통부 / KISA | 2024 | 22 | [PDF](문서/240513-(요약본)_SW_공급망_보안_가이드라인.pdf) / [MD](문서/SW_공급망_보안_가이드라인_요약본.md) | | 16 | **SW 공급망 보안 가이드라인 (전체본)** | 국정원 / 과기정통부 / KISA | 2024 | 100 | [PDF](문서/240525-(전체본)_SW_공급망_보안_가이드라인_최종%20수정본.pdf) / [MD](문서/SW_공급망_보안_가이드라인_전체본.md) | +| 17 | **인공지능기본법 교안** (11장 60개 절, 실무 해설) | KESE-KIT | 2026 | - | [MD](문서/AI_기본법_교안/) | ### v2.x에서 마이그레이션 diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/01_1-1_\354\231\234_\353\247\214\353\223\244\354\226\264\354\241\214\353\202\230.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/01_1-1_\354\231\234_\353\247\214\353\223\244\354\226\264\354\241\214\353\202\230.md" new file mode 100644 index 0000000..d82cdb0 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/01_1-1_\354\231\234_\353\247\214\353\223\244\354\226\264\354\241\214\353\202\230.md" @@ -0,0 +1,101 @@ +# 1장. 인공지능기본법이란 + +## 1-1. 왜 만들어졌나 --- 제정 배경과 목적 + +### 1-1-1. 국내외 AI 규제 동향 + +인공지능(Artificial Intelligence, AI) 기술이 산업 전반에 확산되면서, 세계 각국은 저마다의 방식으로 AI 규범을 정비하고 있습니다. 주요국의 접근 방식을 비교하면 다음과 같습니다. + +| 구분 | 핵심 접근 | 주요 내용 | +|:---:|:---:|---------| +| EU AI Act | 위험 기반 차등 규제 | 포괄적 법체계로 AI 위험 수준별 차등 규제 적용. 법적 구속력 있는 규제를 통해 글로벌 규범을 선도합니다. 2024년 1월 제정, 2026년 8월 전면 시행 예정입니다. | +| 일본 AI촉진법 | 진흥 중심 연성 규제 | AI 연구개발 및 이용 촉진을 뒷받침하는 진흥법입니다. 정부가 조사/지도 권한을 갖고 기업은 협력 의무를 부담하는 자율적 방식을 택했습니다. 2025년 6월 시행입니다. | +| 미국 AI 위험관리 프레임워크 | 자율적 위험 관리 | "혁신은 촉진, 위험은 최소화" 원칙 아래 자율적 규범을 제시합니다. 2023년 1월 발표입니다. | +| **한국 인공지능기본법** | **균형 잡힌 기본법** | 산업 발전과 안전/신뢰라는 두 가치를 균형 있게 담았습니다. 여야 합의로 제정, 2026년 1월 22일 시행입니다. | + +> **실무 TIP** +> EU AI Act는 2026년 8월 전면 시행 예정이나, 고위험 AI 적용 유예 연장 등 개정 협상이 진행 중입니다. 글로벌 서비스를 운영하는 사업자는 EU 규제 동향도 함께 모니터링할 필요가 있습니다. + +--- + +### 1-1-2. 인공지능기본법 제정 주요 취지 + +우리나라도 4년여 간의 사회적 논의 끝에 2024년 12월 국회를 통과, 2026년 1월 22일부터 시행되었습니다. 정식 명칭은 「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」입니다. + +제정의 3대 축은 다음과 같습니다. + +``` +┌─────────────────────┬─────────────────────┬─────────────────────┐ +│ 1. 거버넌스 확립 │ 2. 산업 육성 지원 │ 3. 안전/신뢰 기반 │ +│ │ │ 조성 │ +├─────────────────────┼─────────────────────┼─────────────────────┤ +│ 대통령 소속 │ AI 개발/도입/활용 │ AI 윤리원칙 │ +│ 국가인공지능전략위원회│ 전 영역 정부 지원 │ 검/인증 제도 │ +│ 설치 │ │ │ +│ │ R&D 지원, 기술 │ 투명성/안전성 확보 │ +│ 개별 부처 AI 정책 │ 표준화, 학습용데이터 │ 의무 │ +│ 심의/의결 근거 마련 │ 구축 │ │ +│ │ │ 고영향 AI 확인/ │ +│ │ 중소기업/창업 지원, │ 사업자 책무 │ +│ │ 국제협력 │ │ +│ │ │ 인공지능 영향평가 │ +└─────────────────────┴─────────────────────┴─────────────────────┘ +``` + +> **법률 원문** | 제1조(목적) +> 이 법은 인공지능의 건전한 발전과 신뢰 기반 조성에 필요한 기본적인 사항을 규정함으로써 국민의 권익과 존엄성을 보호하고 국민의 삶의 질 향상과 국가경쟁력을 강화하는 데 이바지함을 목적으로 한다. + +핵심은 **산업 발전**과 **안전/신뢰**라는 두 축의 균형입니다. 인공지능사업자에게 투명성 확보, 안전성 확보, 고영향 인공지능 관리 등의 의무를 부과하되, 과도한 규제 대신 자율적 준수를 우선합니다. + +--- + +### 1-1-3. 법의 3가지 특징: 맥락 기반/유연한/포괄적 규제 + +「고영향 인공지능 판단 가이드라인」은 이 법의 규제 특징을 세 가지로 정리합니다. + +#### (1) 맥락에 기반한 규제 + +AI가 활용되는 개별 영역과 그 안에서의 상호작용, 즉 **맥락에 따라 위험이 달라진다**는 점을 전제로 합니다. + +- 고영향 인공지능(「인공지능기본법」 제31조, 제34조)과 생성형 인공지능(「인공지능기본법」 제31조)에 대해 특정 맥락에서의 위험에 대응하여 규제를 적용합니다. +- 다만, 학습에 사용된 누적 연산량이 일정 기준 이상인 고성능 인공지능시스템(「인공지능기본법」 제32조)은 맥락과 관계없이 시스템 자체의 잠재적 위험을 전제로 안전성 규제를 적용합니다. + +#### (2) 유연한 규제 + +AI는 빠르게 발전하는 기술이므로, 변화에 적응할 수 있는 유연한 규제가 필요합니다. + +- **자율규제**: 민간 자율 검/인증(「인공지능기본법」 제30조제1항) +- **적응적 규제**: 규제특례 적극 적용(「인공지능기본법」 제19조제3항) +- **위험 기반 규제**: 고영향 인공지능 확인(「인공지능기본법」 제33조제3항), 영향평가(「인공지능기본법」 제35조제3항) + +#### (3) 포괄적 규제 + +영역별(수직적) 규제와 포괄적(수평적) 규제는 상호 보완적입니다. 이 법은 **포괄적 규제를 기본**으로 채택하면서도, 영역별 특수성을 반영하기 위해 다른 법제와의 연계 조항(「인공지능기본법」 제34조제3항)을 두고 있습니다. + +``` +┌───────────────────────────────────────────────┐ +│ 인공지능기본법의 규제 특징 3가지 │ +├───────────────┬───────────────┬───────────────┤ +│ 맥락 기반 │ 유연한 │ 포괄적 │ +│ │ │ │ +│ "같은 AI도 │ "기술 변화에 │ "일관된 기준, │ +│ 맥락에 따라 │ 적응하는 │ 영역별 특수성 │ +│ 위험이 다름" │ 규제" │ 도 반영" │ +│ │ │ │ +│ 고영향/생성형 │ 자율규제 │ 수평적 규제 │ +│ → 맥락별 규제 │ 적응적 규제 │ + 타 법령 연계 │ +│ │ 위험기반 규제 │ │ +│ 최첨단AI │ │ │ +│ → 시스템 기반 │ │ │ +└───────────────┴───────────────┴───────────────┘ +``` + +--- + +### 핵심 요약 + +> **핵심 요약** +> - 세계 각국은 EU(차등 규제), 일본(진흥법), 미국(자율 관리) 등 각자의 방식으로 AI 규범을 정비 중입니다. +> - 한국 인공지능기본법은 **산업 발전**과 **안전/신뢰 기반 조성**이라는 두 가치를 균형 있게 담은 기본법입니다. +> - 법은 세 가지 특징을 갖습니다: (1) 맥락에 기반한 규제, (2) 유연한 규제, (3) 포괄적 규제. +> - 2024년 12월 국회 통과, 2026년 1월 22일 시행되었습니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/02_1-2_\353\262\225\354\235\230_\354\240\204\354\262\264_\352\265\254\354\241\260.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/02_1-2_\353\262\225\354\235\230_\354\240\204\354\262\264_\352\265\254\354\241\260.md" new file mode 100644 index 0000000..fd45e3c --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/02_1-2_\353\262\225\354\235\230_\354\240\204\354\262\264_\352\265\254\354\241\260.md" @@ -0,0 +1,171 @@ +# 1장. 인공지능기본법이란 + +## 1-2. 법의 전체 구조 + +### 1-2-1. 5장 체계 한눈에 보기 + +「인공지능기본법」은 총칙, 추진체계(발전), 산업 육성, 윤리/신뢰 확보, 보칙/벌칙의 체계로 구성되어 있습니다. 법률 원문은 제1장~제6장이지만, 실무상 핵심은 **총칙 + 발전 + 신뢰 기반 조성 + 보칙/벌칙**의 큰 틀로 이해하면 됩니다. + +[그림 1-1: 인공지능기본법 체계도] + +``` +┌──────────────────────────────────────────────────────────┐ +│ 인공지능기본법 (법률 제21311호) │ +│ 시행일: 2026. 1. 22. │ +├──────────┬──────────┬──────────────────────┬──────────────┤ +│ 제1장 │ 제2장 │ 제3장~제4장 │ 제5~6장 │ +│ 총칙 │ 추진체계 │ 산업육성 + 신뢰확보 │ 보칙/벌칙 │ +│ │ (발전) │ │ │ +│ ·목적 │ ·기본계획│ [산업 육성] │ ·재원확충 │ +│ ·정의 │ ·전략 │ ·R&D/표준화 │ ·실태조사 │ +│ (12개) │ 위원회 │ ·데이터/인재 │ ·사실조사 │ +│ ·기본원칙│ ·정책센터│ ·중소기업/창업 │ ·시정명령 │ +│ ·적용범위│ ·안전 │ ·융합/집적단지 │ │ +│ ·다른법률│ 연구소 │ │ ·벌칙(§42) │ +│ 과의관계│ │ [윤리/신뢰 확보] │ 비밀누설 │ +│ │ │ ·윤리원칙 (§27) │ 3년↓징역 │ +│ │ │ ·검/인증 (§30) │ │ +│ │ │ ·투명성 (§31) │ ·과태료(§43) │ +│ │ │ ·안전성 (§32) │ 3천만원↓ │ +│ │ │ ·고영향확인 (§33) │ │ +│ │ │ ·사업자책무 (§34) │ │ +│ │ │ ·영향평가 (§35) │ │ +│ │ │ ·국내대리인 (§36) │ │ +└──────────┴──────────┴──────────────────────┴──────────────┘ +``` + +--- + +### 1-2-2. 제1장 총칙 --- 목적/정의/기본원칙/적용범위 + +총칙은 법 전체의 뼈대를 세우는 부분입니다. 핵심 조문은 다음과 같습니다. + +| 조문 | 제목 | 핵심 내용 | +|:---:|------|---------| +| 제1조 | 목적 | AI의 건전한 발전과 신뢰 기반 조성 | +| 제2조 | 정의 | 12개 주요 용어 정의 (1-3절에서 상세 해설) | +| 제3조 | 기본원칙 및 국가 등의 책무 | 안전성/신뢰성 제고, 설명 제공, 취약계층 참여 보장 | +| 제4조 | 적용범위 | 국외 행위도 국내 영향 시 적용. 국방/국가안보 예외 | +| 제5조 | 다른 법률과의 관계 | 특별법 우선, 신규 입법 시 본법 목적 부합 필요 | + +> **법률 원문** | 제3조제2항(기본원칙) +> 영향받는 자는 인공지능의 최종결과 도출에 활용된 주요 기준 및 원리 등에 대하여 기술적/합리적으로 가능한 범위에서 명확하고 의미 있는 설명을 제공받을 수 있어야 한다. + +--- + +### 1-2-3. 제2장 인공지능 발전 --- 기본계획/전략위원회/산업진흥 + +제2장~제3장은 AI 산업의 **발전 인프라**를 구축하는 조항입니다. 실무자가 직접 이행해야 하는 의무보다는 정부 정책의 기반이 됩니다. + +``` +┌─────────────────────────────────────────────────┐ +│ AI 발전 추진체계 │ +│ │ +│ ┌──────────────┐ ┌──────────────────────┐ │ +│ │ 기본계획(§6) │ │ 국가인공지능전략위원회 │ │ +│ │ 3년마다 수립 │───▶│ (§7~§9) │ │ +│ └──────────────┘ │ 위원장: 대통령 │ │ +│ │ 60명 이내 위원 │ │ +│ ┌──────────────┐ │ 5년간 존속 │ │ +│ │ 정책센터(§11) │ └──────────────────────┘ │ +│ │ 정책개발/국제 │ │ +│ │ 규범 정립 │ ┌──────────────────────┐ │ +│ └──────────────┘ │ 안전연구소(§12) │ │ +│ │ 위험 정의/분석 │ │ +│ │ 안전 평가 기준 연구 │ │ +│ └──────────────────────┘ │ +├─────────────────────────────────────────────────┤ +│ 산업 육성 (§13~§26) │ +│ R&D 지원 | 기술 표준화 | 학습용데이터 구축 │ +│ 중소기업 특별지원 | 창업 활성화 | 융합 촉진 │ +│ 전문인력 양성 | 국제협력 | 집적단지 | 데이터센터 │ +└─────────────────────────────────────────────────┘ +``` + +--- + +### 1-2-4. 제3장(제4장) 신뢰 기반 조성 --- 투명성/안전성/고영향/영향평가 + +이 부분이 **실무자에게 가장 중요한 영역**입니다. 법률 구조상 제4장(인공지능윤리 및 신뢰성 확보)에 해당하며, 사업자에게 직접적인 의무를 부과합니다. + +``` +┌────────────────────────────────────────────────────┐ +│ 신뢰 기반 조성 --- 사업자 의무 체계 │ +├────────────────────────────────────────────────────┤ +│ │ +│ [모든 AI 사업자 공통 의무] │ +│ ┌─────────────────────┐ ┌─────────────────────┐ │ +│ │ 투명성 확보 (§31) │ │ 안전성 확보 (§32) │ │ +│ │ ·사전고지 │ │ ·위험 식별/평가/완화 │ │ +│ │ ·AI생성물 표시 │ │ ·위험관리체계 구축 │ │ +│ │ ·딥페이크 표시 │ │ ·이행결과 제출 │ │ +│ └─────────────────────┘ └─────────────────────┘ │ +│ ↓ 고영향 AI 해당 시 추가 ↓ │ +│ ┌─────────────────────────────────────────────┐ │ +│ │ 고영향 AI 사업자 추가 의무 │ │ +│ │ ·고영향 확인 (§33) ·사업자 책무 (§34) │ │ +│ │ ·영향평가 (§35) │ │ +│ └─────────────────────────────────────────────┘ │ +│ ↓ 해외 사업자인 경우 ↓ │ +│ ┌─────────────────────────────────────────────┐ │ +│ │ 국내대리인 지정 (§36) │ │ +│ └─────────────────────────────────────────────┘ │ +└────────────────────────────────────────────────────┘ +``` + +| 조문 | 의무 | 대상 | 상세 | +|:---:|------|------|------| +| §31 | 투명성 확보 | 고영향/생성형 AI 사업자 | 사전고지, 생성물 표시 | +| §32 | 안전성 확보 | 최첨단 AI 사업자 | 위험관리, 이행결과 제출 | +| §33 | 고영향 확인 | 모든 AI 사업자 | 사전 검토 의무 | +| §34 | 사업자 책무 | 고영향 AI 사업자 | 위험관리, 설명, 이용자 보호, 관리감독, 문서 보관 | +| §35 | 영향평가 | 고영향 AI 사업자 | 기본권 영향 사전 평가 (노력 의무) | +| §36 | 국내대리인 | 해외 AI 사업자 | 일정 기준 이상 시 국내대리인 지정/신고 | + +> **실무 TIP** +> 의무 조항의 상세 이행 방법은 가이드라인으로 구체화되어 있습니다. 투명성(3장), 안전성(4장), 고영향 판단(5장), 사업자 책무(6장), 영향평가(7장)에서 각각 다룹니다. + +--- + +### 1-2-5. 제4~5장(제5~6장) 보칙/벌칙 --- 과태료 체계 + +법 위반 시 제재 수단은 **벌칙**(형사)과 **과태료**(행정)로 나뉩니다. + +| 구분 | 조문 | 내용 | 금액 | +|:---:|:---:|------|:---:| +| 벌칙 | §42 | 위원회 비밀 누설 | 3년 이하 징역 또는 3천만원 이하 벌금 | +| 과태료 | §43제1항제1호 | 사전고지 미이행 (§31제1항) | 3천만원 이하 | +| 과태료 | §43제1항제2호 | 국내대리인 미지정 (§36제1항) | 3천만원 이하 | +| 과태료 | §43제1항제3호 | 시정명령 미이행 (§40제3항) | 3천만원 이하 | + +``` +┌──────────────────────────────────────────────┐ +│ 의무 위반 시 주요 프로세스 │ +│ │ +│ 위반 인지/신고 → 사실조사(§40) → 결과 │ +│ (현재 유예 중) │ +│ │ │ +│ ┌────────────┼────────────┐ │ +│ ▼ ▼ ▼ │ +│ ┌────────────┐ ┌──────────┐ ┌─────────┐ │ +│ │사전고지 미이│ │시정명령 │ │국내대리인│ │ +│ │행/국내대리인│ │(§40③) │ │미지정 │ │ +│ │미지정 │ │ │ │ │ │ +│ │→ 곧바로 │ │불이행 시 │ │→ 곧바로 │ │ +│ │ 과태료 │ │→ 과태료 │ │ 과태료 │ │ +│ └────────────┘ └──────────┘ └─────────┘ │ +└──────────────────────────────────────────────┘ +``` + +> **주의** +> 법 시행 초기 유예기간이 운영되고 있으나, **인명사고나 심각한 인권 침해 등 중대한 문제**가 발생하면 유예기간 중에도 사실조사가 이루어질 수 있습니다. 유예기간 연장 여부는 기술 발전 속도, 글로벌 규제 추세 등을 고려하여 결정될 예정입니다. + +--- + +### 핵심 요약 + +> **핵심 요약** +> - 인공지능기본법은 **총칙 - 발전(추진체계/산업육성) - 신뢰 기반 조성 - 보칙/벌칙**의 체계로 구성됩니다. +> - 실무자에게 가장 중요한 부분은 **제31조~제36조**(투명성, 안전성, 고영향 확인, 사업자 책무, 영향평가, 국내대리인)입니다. +> - 과태료는 사전고지 미이행, 국내대리인 미지정, 시정명령 불이행 시 **3천만원 이하**가 부과됩니다. +> - 법 시행 초기 유예기간이 운영 중이나, 중대 사안에는 예외가 적용됩니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/03_1-3_\355\225\265\354\213\254_\354\232\251\354\226\264_\354\240\225\353\246\254.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/03_1-3_\355\225\265\354\213\254_\354\232\251\354\226\264_\354\240\225\353\246\254.md" new file mode 100644 index 0000000..403ab9d --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/03_1-3_\355\225\265\354\213\254_\354\232\251\354\226\264_\354\240\225\353\246\254.md" @@ -0,0 +1,191 @@ +# 1장. 인공지능기본법이란 + +## 1-3. 핵심 용어 정리 (제2조 정의 해설) + +「인공지능기본법」 제2조는 12개 용어를 정의합니다. 이 절에서는 실무상 가장 중요한 용어를 중심으로 해설합니다. + +--- + +### 1-3-1. 인공지능 / 인공지능시스템 / 인공지능기술 + +이 세 용어는 서로 층위가 다릅니다. **인공지능**이 가장 넓은 개념이고, **인공지능시스템**은 그것을 기반으로 만든 시스템, **인공지능기술**은 구현 수단입니다. + +| 용어 | 법 조항 | 정의 | +|------|:------:|------| +| 인공지능 | 제2조제1호 | 학습, 추론, 지각, 판단, 언어의 이해 등 인간이 가진 지적 능력을 **전자적 방법**으로 구현한 것 | +| 인공지능시스템(AI System) | 제2조제2호 | 다양한 수준의 자율성과 적응성을 가지고 주어진 목표를 위해 예측, 추천, 결정 등의 결과물을 추론하는 인공지능 **기반 시스템** | +| 인공지��기술(AI Technology) | ���2조제3호 | 인공지능을 구현하기 위해 필요한 **하드웨어/소프트웨어 기술** 또는 그 활용 기술 | + +> **법률 원문** | 제2조제1호 +> "인공지능"이란 학습, 추론, 지���, 판단, 언어의 이��� 등 인간이 가진 지적 능력을 전자적 방법으로 구현한 것을 말한다. + +``` +┌─────────────────────────────────────────────┐ +│ 인공지능 (AI) │ +│ "인간의 지적 능력을 전자적으로 구현" │ +│ │ +│ ┌──────────────────────────────────┐ │ +│ │ 인공지능시스템 (AI System) │ │ +│ │ "자율성/적응성을 갖고 결과물 추론" │ │ +│ │ │ │ +│ │ 예: ChatGPT, 자율주행 시스템, │ │ +│ │ AI 진단 보조 시스템 │ │ +│ └──────────────────────────────────┘ │ +│ │ +│ ┌──────────────────────────────────┐ │ +│ │ 인공지능기술 (AI Technology) │ │ +│ │ "AI 구현에 필요한 HW/SW 기술" │ │ +│ │ │ │ +│ │ 예: 딥러닝 프레임워크, GPU, │ │ +│ │ 학습 알고리즘 │ │ +│ └─────────��────────────────────────┘ │ +└─────���────────────────────────���──────────────┘ +``` + +> **실무 TIP** +> "고영향 인공지능"은 고영향 분야의 **인공지능시스템**을 의미합니다. 기술(Technology) 자체가 아니라, 그 기술로 만든 시스템이 고영향 영역에서 활용될 때 고영향 AI에 해당합니다. + +--- + +### 1-3-2. 고영향 인공지능 --- 법정 정의와 11개 영역 + +고영향 인공지능(High-impact AI)은 이 법에서 가장 무거운 의무가 부과되는 개념입니다. + +> **법률 원문** | 제2조제4호 +> "고영향 인���지능"이란 사람의 생명, 신체의 안전 및 기본권에 중대한 영향을 미치거나 위험을 초래할 우���가 있는 인공지능시스템으로서 다음 각 목의 어느 하나의 영역에서 활용되는 것을 말한다. + +법이 정한 **11개 영역**은 다음과 같습니다. + +| 번호 | 영역 | 근거 법령 | +|:---:|------|----------| +| 가 | 에너지 공급 | 「에너지법」 | +| 나 | 먹는물 생산 공정 | 「먹는물관리법」 | +| 다 | 보건의료 제공 및 이용체계 | 「보건의료기본법」 | +| 라 | 의료기기/디지털의료기기 개발 및 이용 | 「의료기기법」「디지털의료제품��」 | +| 마 | 핵물질/원자력시설 안전 관리 및 운영 | 「원자력시설 등의 방호 및 방사능 방재 대책법」 | +| 바 | 범죄 수사/체포를 위한 생체인식정보 분석/활용 | - | +| **사** | **채용, 대출 심사 등 개인 권리/의무에 중대한 영향을 미치는 판단/평가** | - | +| 아 | 교통수단/교통시설/교통체계의 주요 작동 및 운영 | 「교통안전법」 | +| 자 | 공공서비스 자격 확인/결정, 비용징수 등 국가기관등의 의사결정 | - | +| 차 | 유아교육/초등교육/중등교육에서의 학생 평가 | 「교육기본법」 | +| 카 | 그 밖에 대통령령으로 정하는 영역 | 시행령 위임 | + +> **주의** +> 11개 영역에 해당한다고 **자동으로** 고영향 AI가 되는 것은 아닙니다. 해당 영역에서 활용되면서 **사람의 생명/신체 안전/기본권에 중대한 영향**을 미칠 우려가 있어야 합니다. 구체적 판단 기준은 5장(고영향 AI 판단)에서 다룹니다. + +--- + +### 1-3-3. 생성형 인공지능 + +> **법률 원문** | 제2조제5호 +> "생성형 인공지능"이란 입력한 데이터의 구조와 특성을 모방하여 글, 소리, 그림, 영상, 그 밖의 다양한 결과물을 생성하는 ���공지능시스템을 말한다. + +생성형 인공지능(Generative AI)은 **투명성 확보 의무**(「인공지능기본법」 제31조)의 핵심 대상입니다. ChatGPT, 이미지 생성 AI, 음성 합성 AI 등이 이에 해당합니다. + +--- + +### 1-3-4. 인공지능사업자 --- 개발사업자 vs 이용사업자 + +인공지능사업자는 **개발사업자**와 **이용사업자**로 나뉩니다. 이 구분은 의무 범위를 결정하는 핵심 기준입니다. + +> **법률 원문** | 제2조제7호 +> "인공지능사업자"란 인공지능산업과 관련된 사업을 하는 자로서 다음 각 목의 어느 하나에 해당하는 법인, 단체, 개인 및 국가기관등을 말한다. +> - 가. 인공지능개발사업자: 인공지능을 개발하여 제공하는 자 +> - 나. 인공지능이용사업자: 가목의 사업자가 제공한 인공지능을 이용하여 인공지능제품 또는 인공지능서비스를 제공하는 자 + +| 구분 | 정의 | 예시 | +|------|------|------| +| 인공지능개발사업자 | AI를 **직접 개발**하여 제공하는 자 | LG AI연구원(EXAONE), 네이버 클라우드(클로바), SKT(에이닷), OpenAI(ChatGPT) | +| 인공지능이용사업자 | 개발사업자가 제공한 AI를 **이용하여** 제품/서비스를 제공하는 자 | AI 챗봇 서비스 운영 기업, API를 활용한 서비스 제공사 | + +``` +┌───────────────────────────────────────────────────────┐ +│ 인공지능사업자 (법 제2조제7호) │ +│ 법인, 단체, 개인 및 국가기관등 모두 포함 │ +│ │ +│ ┌─────────────────┐ ┌────��────────────────┐ │ +│ │ 개발사업자 │────▶│ 이용사업자 │ │ +│ │ (AI 직접 개발) │ AI │ (AI 활용 서비스 제공) │ │ +│ │ │제공 │ │ │ +│ │ 예: OpenAI, │ │ 예: API 활용 챗봇 │ │ +│ │ 네이버클라우드 │ │ 서비스 운영사 │ │ +│ └─────────────────┘ └──────────┬──────────┘ │ +│ │ 서비스 제공 │ +│ ▼ │ +│ ┌──────────────┐ │ +│ │ 이용자 │ │ +│ │ (법 제2조제8호)│ │ +│ └──────��───────┘ │ +└───��─────────────────────────────────��─────────────────┘ +``` + +> **실무 TIP** +> 타사가 개발한 AI 서비스를 납품받아 고객에게 제공하는 경우, 해당 회사의 지위는 서비스 관여 수준에 따라 달라집니다. 상세한 판단 기준은 2장에서 다룹니다. + +--- + +### 1-3-5. 이용자 + +> **법률 원문** | ��2조제8호 +> "이용자"란 인공지능제품 또는 인공지능서���스를 제공받는 자를 말한다. + +이용자는 개인, 기업, 기관 모두를 포함합니다. 이용자에게는 법상 직접적인 의무가 부과되지 않으나, **이용자가 AI를 활용하여 다시 서비스를 제공**하면 이용사업자가 될 수 있습니다. 이 경계 판단도 2장에서 상세히 다룹니다. + +관련 개념으로 **영향받는 자**(「인공지능기본법」 제2조제9호)가 있습니다. 이는 AI 제품/서비스에 의해 생명, 신체 안전, 기본권에 중대한 영향을 받는 자를 뜻합니다. + +--- + +### 1-3-6. 용어 간 관계도 + +[그림 1-2: 인공지능기본법 핵심 용어 관계도] + +``` +┌─────────────────────────────────────────────────────────────┐ +│ 인공지능 (제2조제1호) │ +│ "인간의 지적 능력을 전자적으로 구현" │ +│ │ +│ ┌───────────────────────────────────────────────────┐ │ +│ │ 인공지능시스템 (제2조제2호) │ │ +│ │ "자율성/적응성 + 결과물 추론" │ │ +│ │ │ │ +│ │ ┌────────────┐ ┌───────────┐ ┌──────────────┐ │ │ +│ │ │ 고영향 AI │ │ 생성형 AI │ │ 일반 AI 시스템│ │ │ +│ │ │ (제2조제4호)│ │ (제2조제5호)│ │ │ │ │ +│ │ │ 11개 영역 │ │ 글/그림/ │ │ │ │ │ +│ │ │ + 중대영향 │ │ 영상 생성 │ │ │ │ │ +│ │ └────────────┘ └───────────┘ └──────────────┘ │ │ +│ └───────────────────────────────────────────────────┘ │ +│ │ │ +│ 개발/제공/이용 주체 │ +│ │ │ +│ ┌───────────────────────┴───────────────────────┐ │ +│ │ 인공지능사업자 (제2조제7호) │ │ +│ │ │ │ +│ │ ┌──────────────┐ ┌──────────────────┐ │ │ +│ │ │ 개발사업자 │───▶│ 이용사업자 │ │ │ +│ │ │ (직접 개발) │AI │ (AI 활용 서비스) │ │ │ +│ │ └──────────────┘제공 └────────┬─────────┘ │ │ +│ └────────────────────────────────┼───────────────┘ │ +│ │ 서비스 │ +│ ┌─────▼─────┐ │ +│ │ 이용자 │ │ +│ │ (제2조제8호)│ │ +│ └─────┬─────┘ │ +│ │ 영향 │ +│ ┌─────▼──────┐ │ +│ │ 영향받는 자 │ │ +│ │ (제2조제9호) │ │ +│ └────────────┘ │ +└─────���───────────────────────────────────────────────────────┘ +``` + +--- + +### 핵심 요약 + +> **핵심 요약** +> - **인공지능 > 인공지능시스템 > 인공지능기술**: 층위가 다른 개념입니다. 의무는 주로 시스템 단위에 적용��니다. +> - **고영향 인공지능**: 11개 법정 영역에서 활용되며 생명/안전/기본권에 중대한 영향을 미치는 AI 시스템입니다. 가장 무거운 의무가 부과됩니다. +> - **생성형 인공지능**: 글, 그림, 영상 등을 생성하는 AI 시스템입니다. 투명성 확보 의무의 핵심 대상입니다. +> - **인공지능사업자**: 개발사업자(직접 개발)와 이용사업자(API 등 활용)로 구분됩니다. +> - **이용자**: AI 제품/서비스를 제공받는 자입니다. 직접 의무는 없으나, 다시 서비스를 제공하면 사업자가 될 수 있습니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/04_1-4_\353\210\204\352\265\254\354\227\220\352\262\214_\354\240\201\354\232\251\353\220\230\353\202\230.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/04_1-4_\353\210\204\352\265\254\354\227\220\352\262\214_\354\240\201\354\232\251\353\220\230\353\202\230.md" new file mode 100644 index 0000000..269d5fe --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/04_1-4_\353\210\204\352\265\254\354\227\220\352\262\214_\354\240\201\354\232\251\353\220\230\353\202\230.md" @@ -0,0 +1,101 @@ +# 1장. 인공지능기본법이란 + +## 1-4. 누구에게 적용되나 --- 적용 범위와 예외 + +--- + +### 1-4-1. 적용 범위 (법 제4조) + +「인공지능기본법」은 원칙적으로 **모든 인공지능사업자**에게 적용됩니다. 법인, 단체, 개인, 국가기관 모두 포함되며, **해외 사업자**도 국내 시장이나 이용자에게 영향을 미치면 적용 대상입니다. + +> **법률 원문** | 제4조(적용범위) +> - 제1항: 이 법은 국외에서 이루어진 행위라도 **국내 시장 또는 이용자에게 영향을 미치는 경우**에는 적용한다. +> - 제2항: 이 법은 국방 또는 국가안보 목적으로만 개발/이용되는 인공지능으로서 대통령령으로 정하는 인공지능에 대하여는 적용하지 아니한다. + +``` +┌───────────────────────────────────────────────────┐ +│ 인공지능기본법 적용 범위 판단 │ +│ │ +│ Q. AI 관련 사업을 하는가? │ +│ │ │ +│ ┌────┴────┐ │ +│ ▼ ▼ │ +│ 예 아니오 │ +│ │ │ │ +│ │ 이용자 → 원칙적으로 │ +│ │ 의무 없음 │ +│ ▼ │ +│ Q. 국방/국가안보 목적만을 위한 AI인가? │ +│ │ │ +│ ┌────┴────┐ │ +│ ▼ ▼ │ +│ 예 아니오 │ +│ │ │ │ +│ 적용 제외 ▼ │ +│ (§4②) 인공지능기본법 적용 대상 │ +│ │ +│ [해외 사업자도 국내 영향 시 적용 (§4①)] │ +└───────────────────────────────────────────────────┘ +``` + +--- + +### 1-4-2. 적용 제외 대상 (시행령 제2조) --- 국방/국정원/경찰 등 + +「인공지능기본법 시행령」 제2조는 법 제4조제2항에 따라 적용 제외되는 AI를 구체적으로 정합니다. 핵심은 **국방/국가안보 목적 업무만을 수행하기 위해 개발/이용되는 AI**입니다. + +| 호 | 지정권자 | 적용 제외 업무 | +|:---:|:------:|-------------| +| 1호 | 국방부장관 | 국방정보통신망/국방정보시스템의 구축/운영, 무기체계/전력지원체계의 개발/운용 | +| 2호 | 국가정보원장 | 경제안보 조기경보시스템 운영, 보안과제 연구개발, 사이버보안 대응체계, 국가첨단전략기술 유출 조사, 대테러 활동, 방위산업기술 보호, 국가핵심기술 유출 방지, 전자정부 보안조치, 대공정보업무, 방첩업무, 국가정보원법상 업무 등 | +| 3호 | 경찰청장 | 국가첨단전략기술 유출 수사, 대테러 활동, 방위산업기술 유출 수사, 국가핵심기술 유출 수사, 방첩업무, 정보사범 수사/체포 | + +> **주의** +> 적용 제외는 **해당 업무만을 수행하기 위한 AI**에 한정됩니다. 예를 들어, 국방부가 내부 행정에 사용하는 일반 AI 시스템은 적용 제외 대상이 아닙니다. 각 지정권자가 지정한 업무 범위 안에서만 예외가 적용됩니다. + +--- + +### 1-4-3. 다른 법률과의 관계 (법 제5조) + +> **법률 원문** | 제5조(다른 법률과의 관계) +> - 제1항: 인공지능등에 관하여 **다른 법률에 특별한 규정이 있는 경우를 제외하고는** 이 법에서 정하는 바에 따른다. +> - 제2항: 인공지능등에 관하여 다른 법률을 제정하거나 개정하는 경우에는 이 법의 목적에 부합하도록 하여야 한다. + +이 조항은 두 가지를 의미합니다. + +``` +┌─────────────────────────────────────────────────┐ +│ 인공지능기본법과 다른 법률의 관계 │ +│ │ +│ [원칙] 인공지능기본법이 일반법으로 적용 │ +│ │ +│ [예외] 다른 법률에 특별 규정이 있으면 │ +│ 그 법률이 우선 적용(특별법 우선 원칙) │ +│ │ +│ [의무] 새로운 AI 관련 법률 제정/개정 시 │ +│ 인공지능기본법의 목적에 부합해야 함 │ +│ │ +│ ┌─────────────────────────────────────────┐ │ +│ │ 예시 │ │ +│ │ │ │ +│ │ 의료기기 AI → 「의료기기법」 특별규정 우선 │ │ +│ │ + 인공지능기본법 보충 적용 │ │ +│ │ │ │ +│ │ 개인정보 처리 → 「개인정보 보호법」 우선 │ │ +│ │ + 인공지능기본법 투명성 의무 병행 │ │ +│ └─────────────────────────────────────────┘ │ +└─────────────────────────────────────────────────┘ +``` + +> **실무 TIP** +> 「인공지능기본법」 제34조제3항은 다른 법령에 따라 고영향 AI 사업자 책무에 준하는 조치를 이행한 경우, 본법상 조치를 이행한 것으로 인정합니다. 이미 다른 규제를 준수하고 있다면 **중복 부담을 줄일 수 있는 경로**가 열려 있습니다. + +--- + +### 핵심 요약 + +> **핵심 요약** +> - **적용 대상**: 국내외 모든 인공지능사업자(법인/단체/개인/공공기관). 해외 사업자도 국내 영향 시 적용됩니다. +> - **적용 제외**: 국방/국가안보 목적만을 위한 AI(국방부장관/국가정보원장/경찰청장이 지정한 업무 한정)입니다. +> - **다른 법률과의 관계**: 특별법 우선 원칙이 적용됩니다. 다른 법에 특별 규정이 있으면 그 법이 우선하고, 인공지능기본법이 보충 적용됩니다. +> - 다른 법령으로 유사 조치를 이행했다면 중복 의무를 면할 수 있습니다(「인공지능기본법」 제34조제3항). diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/05_1-5_\354\235\264_\354\261\205\354\235\230_\355\231\234\354\232\251_\353\260\251\353\262\225.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/05_1-5_\354\235\264_\354\261\205\354\235\230_\355\231\234\354\232\251_\353\260\251\353\262\225.md" new file mode 100644 index 0000000..c7c4b16 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/05_1-5_\354\235\264_\354\261\205\354\235\230_\355\231\234\354\232\251_\353\260\251\353\262\225.md" @@ -0,0 +1,129 @@ +# 1장. 인공지능기본법이란 + +## 1-5. 이 책의 활용 방법 + +--- + +### 1-5-1. 독자별 학습 경로 + +이 책은 세 가지 독자 유형을 고려하여 구성되었습니다. 모든 장을 순서대로 읽을 필요는 없으며, 자신의 역할에 맞는 경로를 선택하면 됩니다. + +[그림 1-3: 독자 유형별 추천 경로] + +``` +┌─────────────────────────────────────────────────────────────┐ +│ 독자 유형별 추천 학습 경로 │ +├─────────────────────────────────────────────────────────────┤ +│ │ +│ [유형 A] 바이브코더/개발자 │ +│ "AI 서비스를 만들거나, AI 도구로 개발합니다" │ +│ │ +│ 1장(전체 이해) → 2장(사업자 판단) → 3장(투명성) │ +│ → 5장(고영향 판단) → 11장(FAQ) │ +│ │ +│ 핵심 질문: "내가 만든 서비스에 어떤 의무가 적용되는가?" │ +│ │ +├─────────────────────────────────────────────────────────────┤ +│ │ +│ [유형 B] AI 사업자(기획자/경영진) │ +│ "AI 제품/서비스를 기획하거나 사업 의사결정을 합니다" │ +│ │ +│ 1장(전체 이해) → 2장(사업자 판단) → 5장(고영향 판단) │ +│ → 6장(사업자 책무) → 7장(영향평가) → 10장(체크리스트) │ +│ │ +│ 핵심 질문: "우리 서비스는 고영향 AI인가? 어떤 조치가 필요한가?" │ +│ │ +├─────────────────────────────────────────────────────────────┤ +│ │ +│ [유형 C] 보안/법무/컴플라이언스 담당자 │ +│ "법 준수 체계를 수립하고 리스크를 관리합니다" │ +│ │ +│ 1장(전체 이해) → 2장(사업자 판단) → 3~4장(투명성/안전성) │ +│ → 5~7장(고영향/책무/영향평가) → 8장(국내대리인) │ +│ → 9장(위반 제재) → 10장(체크리스트) → 부록 │ +│ │ +│ 핵심 질문: "위반 시 리스크는 무엇이며, 전체 준수 체계는?" │ +│ │ +└─────────────────────────────────────────────────────────────┘ +``` + +> **실무 TIP** +> 어떤 유형이든 **1장(법 개요)**과 **2장(사업자 유형 판단)**은 반드시 먼저 읽으시기를 권합니다. 자신이 어떤 유형의 사업자인지 파악해야 이후 의무 범위를 올바르게 이해할 수 있습니다. + +--- + +### 1-5-2. 이 책의 구성과 표기법 + +#### 전체 구성 + +이 책은 크게 세 파트로 구성됩니다. + +``` +┌─────────────────────────────────────────────────────────┐ +│ 이 책의 전체 구성 │ +├─────────────────────────────────────────────────────────┤ +│ │ +│ Part I. 인공지능기본법 한눈에 보기 │ +│ ┌──────────────────────────────────────┐ │ +│ │ 1장. 인공지능기본법이란 (법 개요) │ ◀ 현재 │ +│ │ 2장. 나는 어떤 사업자인가 (유형 판단) │ │ +│ └──────────────────────────────────────┘ │ +│ │ +│ Part II. 모든 AI 사업자의 공통 의무 │ +│ ┌──────────────────────────────────────┐ │ +│ │ 3장. 투명성 확보 │ │ +│ │ 4장. 안전성 확보 │ │ +│ └──────────────────────────────────────┘ │ +│ │ +│ Part III. 고영향 AI 사업자의 추가 의무 │ +│ ┌──────────────────────────────────────┐ │ +│ │ 5장. 고영향 AI 판단 │ │ +│ │ 6장. 고영향 AI 사업자 책무 │ │ +│ │ 7장. 인공지능 영향평가 │ │ +│ │ 8장. 해외사업자 국내대리인 │ │ +│ │ 9장. 위반 제재 대응 │ │ +│ │ 10장. 독자별 실무 체크리스트 │ │ +│ │ 11장. FAQ 사례 20선 │ │ +│ │ 부록 │ │ +│ └──────────────────────────────────���───┘ │ +└─────────────────────────────────────────────────────────┘ +``` + +#### 표기법 + +이 책에서 사용하는 특수 표기 요소는 다음과 같습니다. + +| 요소 | 형태 | 용도 | +|------|------|------| +| 법률 인용 박스 | > **법률 원문** | 법 조문을 원문 그대로 인용할 때 사용합니다 | +| 실무 TIP | > **실무 TIP** | 현장에서 바로 활용할 수 있는 실무 팁입니다 | +| 주의 | > **주의** | 흔히 오해하기 쉬운 사항을 짚어줍니다 | +| 사례 | > **사례 N** | 지원데스크 사례 등 실제 Q&A를 소개합니다 | +| 체크리스트 | - [ ] 항목 | 자가점검용 체크리스트입니다 | +| 텍스트 블록도 | 코드 블록 내 도표 | 구조/흐름/관계를 시각적으로 표현합니다 | + +#### 인용 형식 + +| 대상 | 인용 형식 | 예시 | +|------|----------|------| +| 법률 | 「인공지능기본법」 제N조제N항 | 「인공지능기본법」 제31조제1항 | +| 시행령 | 「인공지능기본법 시행령」 제N조 | 「인공지능기본법 시행령」 제2조 | +| 가이드라인 | 「가이드라인명」 | 「투명성 확보 가이드라인」 | +| 사례집 | 「지원데스크 사례집」 사례 N | 「지원데스크 사례집」 사례 3 | + +#### 용어 표기 + +- 법률 용어는 법률 원문 표기를 그대로 따릅니다. + - 예: "인공지능사업자" (붙여쓰기) +- 영문/약어는 첫 등장 시에만 병기합니다. + - 예: 고영향 인공지능(High-impact AI) + +--- + +### 핵심 요약 + +> **핵심 요약** +> - 독자 유형에 따라 **바이브코더/개발자**, **AI 사업자**, **보안/법무 담당자** 세 가지 학습 경로를 제안합니다. +> - 어떤 유형이든 1장(법 개요)과 2장(사업자 판단)은 필수입니다. +> - 이 책은 Part I(법 한눈에 보기), Part II(공통 의무), Part III(고영향 AI 추가 의무)의 3파트 구성입니다. +> - 법률 인용 박스, 실무 TIP, 주의, 사례, 체크리스트, 텍스트 블록도 등 특수 요소를 활용하여 내용을 전달합니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/06_2-1_AI_\354\202\254\354\227\205\354\236\220_\354\234\240\355\230\225_\355\214\220\353\213\250.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/06_2-1_AI_\354\202\254\354\227\205\354\236\220_\354\234\240\355\230\225_\355\214\220\353\213\250.md" new file mode 100644 index 0000000..a2c2347 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/06_2-1_AI_\354\202\254\354\227\205\354\236\220_\354\234\240\355\230\225_\355\214\220\353\213\250.md" @@ -0,0 +1,88 @@ +# 2장. 나는 어떤 사업자인가 + +## 2-1. AI 사업자 유형 판단 + +인공지능기본법의 의무는 "인공지능사업자"에게 부과됩니다. 따라서 가장 먼저 확인해야 할 것은 **"나는 사업자인가, 이용자인가?"** 그리고 사업자라면 **"어떤 유형인가?"**입니다. 이 절에서는 판단 플로우차트와 유형별 의무 범위를 정리합니다. + +--- + +### 2-1-1. 판단 플로우차트 [그림 2-1] + +아래 플로우차트를 따라가면 자신의 법적 지위를 판단할 수 있습니다. + +``` +[그림 2-1] AI 사업자 유형 판단 플로우차트 + +시작 + │ + ▼ +┌─────────────────────────────────────────┐ +│ Q1. AI 제품 또는 서비스를 이용자에게 │ +│ 제공합니까? │ +└─────────────┬───────────────┬───────────┘ + │ Yes │ No + ▼ ▼ + │ ┌──────────────┐ + │ │ 이용자 │ + │ │ (의무 없음) │ + │ └──────────────┘ + ▼ +┌─────────────────────────────────────────┐ +│ Q2. AI를 직접 개발했습니까? │ +│ (구조 설계·학습 방식 등 핵심 결정) │ +└─────────────┬───────────────┬───────────┘ + │ Yes │ No + ▼ ▼ +┌──────────────────┐ ┌──────────────────────┐ +│ 인공지능개발사업자 │ │ Q3. 타사 AI를 활용하여│ +│ │ │ 제품·서비스를 제공? │ +└──────────────────┘ └──────────┬───────────┘ + │ Yes + ▼ + ┌──────────────────────┐ + │ 인공지능이용사업자 │ + └──────────────────────┘ +``` + +> **실무 TIP** +> 동일 기업이라도 서비스 단위로 사업자 지위가 달라질 수 있습니다. 예를 들어, A 서비스에서는 인공지능개발사업자이면서 B 서비스에서는 인공지능이용사업자일 수 있습니다. 판단은 **기업 단위가 아닌 서비스(제품) 단위**로 이루어집니다. + +판단의 핵심 갈림길은 다음 세 가지입니다. + +| 갈림길 | 핵심 질문 | 결과 | +|--------|-----------|------| +| 제공 여부 | 이용자에게 AI 제품·서비스를 직접 제공하는가? | No이면 이용자 | +| 개발 여부 | AI를 직접 개발(구조 설계·학습 통제)했는가? | Yes이면 개발사업자 | +| 활용 제공 | 타사 AI를 활용하여 서비스를 제공하는가? | Yes이면 이용사업자 | + +> **주의** +> "제공"이란 이용자가 서비스 내에서 AI와 직접 상호작용(프롬프트 입력·응답 반환 등)하는 기능을 제공하는 것을 의미합니다. 단순히 AI로 만든 결과물(이미지, 텍스트 등)을 자사 콘텐츠에 삽입하는 것은 "제공"이 아닙니다. + +--- + +### 2-1-2. 유형별 의무 범위 총정리 [표 2-1] + +[표 2-1] 사업자 유형별 의무 범위 + +| 의무 조항 | 내용 | 개발사업자 | 이용사업자 | 이용자 | +|-----------|------|:----------:|:----------:|:------:| +| 제31조 제1항 | 사전 고지 (고영향·생성형 AI 기반 운용 사실) | O | O | X | +| 제31조 제2항 | 표시 (AI 생성물 표시) | O | O | X | +| 제31조 제3항 | 딥페이크 생성물 고지·표시 | O | O | X | +| 제32조 | 안전성 확보 | O | O | X | +| 제33조 | 고영향 AI 확인 | O | O | X | +| 제34조 | 고영향 AI 사업자 책무 | O | O | X | +| 제36조 | 국내대리인 지정 (해외사업자) | O | O | X | + +> **실무 TIP** +> 투명성 확보 의무(제31조)는 이용자에게 **최종적으로** AI 제품·서비스를 제공하는 사업자에게 부과됩니다. 파운데이션 모델(Foundation Model) 개발사가 API만 제공하고, 이를 활용한 B사가 이용자에게 서비스를 제공하는 구조라면 투명성 의무는 B사에게 있습니다. 단, 파운데이션 모델 개발사가 직접 이용자에게 서비스를 제공하면 개발사에게도 직접 의무가 발생합니다. + +--- + +### 핵심 요약 + +- 인공지능기본법의 의무는 **인공지능사업자(개발사업자 + 이용사업자)**에게만 부과됩니다. +- 사업자 여부 판단의 핵심은 **"이용자에게 AI 제품·서비스를 제공하는가"**입니다. +- AI를 도구로 사용하여 결과물만 활용하는 자는 **이용자**이며 의무가 없습니다. +- 사업자 지위는 기업 단위가 아닌 **서비스(제품) 단위**로 판단합니다. +- 영리·비영리, 공공·민간 구분 없이 동일한 기준이 적용됩니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/07_2-2_\352\260\234\353\260\234\354\202\254\354\227\205\354\236\220_vs_\354\235\264\354\232\251\354\202\254\354\227\205\354\236\220.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/07_2-2_\352\260\234\353\260\234\354\202\254\354\227\205\354\236\220_vs_\354\235\264\354\232\251\354\202\254\354\227\205\354\236\220.md" new file mode 100644 index 0000000..c981064 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/07_2-2_\352\260\234\353\260\234\354\202\254\354\227\205\354\236\220_vs_\354\235\264\354\232\251\354\202\254\354\227\205\354\236\220.md" @@ -0,0 +1,110 @@ +## 2-2. 개발사업자 vs 이용사업자 + +인공지능사업자는 **인공지능개발사업자(AI Developer)**와 **인공지능이용사업자(AI Deployer)**로 나뉩니다. 두 유형 모두 법적 의무를 부담하지만, 구분 기준을 정확히 이해해야 자사의 의무 범위를 파악할 수 있습니다. + +--- + +### 2-2-1. 구분 기준 -- "개발"과 "제공"의 의미 + +> **법률 원문** | 제2조(정의) 제7호 +> "인공지능사업자"란 인공지능산업과 관련된 사업을 하는 자로서 다음 각 목의 어느 하나에 해당하는 법인, 단체, 개인 및 국가기관등을 말한다. +> 가. 인공지능개발사업자: 인공지능을 개발하여 제공하는 자 +> 나. 인공지능이용사업자: 가목의 사업자가 제공한 인공지능을 이용하여 인공지능제품 또는 인공지능서비스를 제공하는 자 + +법 조문에서 핵심 키워드는 **"개발"**과 **"제공"**입니다. 「투명성 확보 가이드라인」은 이를 다음과 같이 설명합니다. + +| 키워드 | 의미 | +|--------|------| +| **개발** | AI 또는 AI 기술을 직접 개발하거나, 그 성능에 **중대한 영향**을 줄 정도로 수정·변경·개량한 것 | +| **제공** (개발사업자의 제공) | 유료뿐 아니라 무상(공공서비스, 오픈소스 등)의 제공도 포함 | +| **이용** (이용사업자의 이용) | 개발사업자로부터 직접 제공받은 경우는 물론, 다른 이용사업자를 통해 제공받은 경우도 포함 | +| **제공** (이용사업자의 제공) | AI 기반 기능을 수행하는 제품을 이용자에게 제공하거나, AI를 활용한 서비스를 이용자의 이용에 제공하는 것. **이용자에 대한 제공 행위가 필수** | + +``` +[개발사업자와 이용사업자의 관계] + +┌──────────────┐ AI 제공 ┌──────────────┐ 서비스 제공 ┌────────┐ +│ 개발사업자 │ ──────────────────▶ │ 이용사업자 │ ───────────────▶ │ 이용자 │ +│ (AI 개발) │ API/모델 │ (AI 활용) │ 제품/서비스 │ │ +└──────────────┘ └──────────────┘ └────────┘ + 예) OpenAI, 네이버 예) 뤼튼테크놀로지스 예) 일반 사용자 + (ChatGPT, 하이퍼클로바) (작문 서비스) +``` + +--- + +### 2-2-2. 파운데이션 모델 개발사 vs API 활용사 사례 + +가장 전형적인 사례입니다. + +| 구분 | 역할 | 사업자 유형 | +|------|------|-------------| +| OpenAI | ChatGPT 모델 개발 및 API 제공. 동시에 chat.openai.com에서 직접 서비스 제공 | 개발사업자 (직접 서비스 제공 시 투명성 의무도 부담) | +| 네이버 | 하이퍼클로바(HyperCLOVA) 개발 및 API 제공. 클로바X로 직접 서비스도 제공 | 개발사업자 | +| 뤼튼테크놀로지스 | 기반모델의 API를 활용하여 작문 서비스를 이용자에게 제공 | 이용사업자 | + +> **실무 TIP** +> 파운데이션 모델 개발사가 API만 제공하고 이용자에게 직접 서비스를 제공하지 않는 경우에는, **이용자에게 최종 서비스를 제공하는 이용사업자**가 투명성 확보 의무의 주된 이행 주체입니다. 단, 개발사업자가 직접 서비스(예: ChatGPT, 클로바X)를 제공하면 해당 서비스 범위에서 직접적인 투명성 의무가 발생합니다. + +--- + +### 2-2-3. 오픈소스 모델을 수정한 경우의 판단 + +오픈소스 AI 모델(예: Meta의 LLaMA, Mistral 등)을 다운로드하여 파인튜닝(Fine-tuning)한 후 서비스에 활용하는 경우, 판단 기준은 **"수정의 정도"**입니다. + +| 수정 정도 | 예시 | 판단 | +|-----------|------|------| +| 경미한 수정 | 프롬프트 조정, 파라미터 일부 튜닝, 래퍼(Wrapper) 추가 | 이용사업자 | +| 중대한 수정 | 모델 구조 변경, 대규모 재학습, 핵심 알고리즘 교체 등 성능에 중대한 영향을 주는 변경 | 개발사업자 | + +> **법률 원문** | 「투명성 확보 가이드라인」 +> 【개발】 인공지능 또는 인공지능 기술을 직접 개발하거나, 그 성능에 중대한 영향을 줄 정도로 수정·변경·개량한 것을 의미 + +"중대한 영향"의 판단은 다음 요소를 종합적으로 고려합니다. + +- 원래 AI와의 **동일성** 인정 여부 +- **성능**, **안전성(위험성)**, **용도(목적)** 의 변화 +- **이용 분야와 맥락**, **신뢰성**의 변화 + +> **실무 TIP** +> 오픈소스 모델을 그대로 또는 경미하게 수정하여 서비스를 제공하면 이용사업자입니다. 다만, 오픈소스 모델을 원래 제공한 개발사가 "무상으로 제공"한 것이므로 해당 개발사는 여전히 개발사업자에 해당합니다. **무상 제공도 법상 "제공"에 포함**되기 때문입니다. + +--- + +### 2-2-4. 납품·위탁 관계에서의 유형 판단 + +외주 개발·납품 구조에서의 사업자 유형 판단은 실무에서 가장 빈번하게 발생하는 질문입니다. + +> **사례 3** | 「지원데스크 사례집」 +> **Q.** C사는 외부 개발사에 AI 서비스 개발을 위탁하고, 개발사가 C사 데이터를 활용하여 AI 서비스를 개발·납품합니다. C사는 이를 고객에게 제공합니다. C사는 개발사업자인가, 이용사업자인가? +> +> **A.** 외부 개발사가 AI를 개발하고 C사가 납품받아 고객에게 제공하는 경우, C사는 원칙적으로 **인공지능이용사업자**에 해당합니다. 단, C사가 단순한 요구 사양 제시 이상으로 개발에 중대하게 관여하거나, 납품 후 중대한 기능 변경을 가한 경우에는 **인공지능개발사업자**에 해당할 수 있습니다. + +판단 기준을 정리하면 다음과 같습니다. + +| 판단 기준 | 이용사업자로 판단 | 개발사업자로 판단 | +|-----------|-------------------|-------------------| +| 설계 통제 | 요구사항만 전달 | 모델 구조·알고리즘·학습 방식 직접 결정 | +| 개발 관여 | 외주사가 개발 전반 수행 | 발주자가 핵심 모듈을 직접 개발 | +| 납품 후 변경 | 그대로 운영 | 기능·용도·성능의 중대한 변경 | +| 제공 주체 | C사가 최종 서비스 운영 | (공통) | + +> **실무 TIP** +> 외주 계약에서 사업자 지위가 불분명한 경우, 다음 자료를 문서화해 두면 향후 분쟁이나 규제 조사 시 합리적 근거로 활용할 수 있습니다. +> 1. **요구사항 정의서** -- 기능 목표만 기재했는지, 알고리즘 구조까지 지정했는지 +> 2. **의사결정 회의록** -- 핵심 판단을 누가 내렸는지 +> 3. **납품 후 변경 이력** -- 발주자 주도 변경인지, 개발사 주도 변경인지 + +> **주의** +> 외주 개발이라도 발주사가 모델 아키텍처 선택, 학습용데이터 구성 방침, 핵심 성능 목표를 사내 회의에서 결정하고 개발사는 이를 구현하는 역할에 가까웠다면, 형식상 외주 계약이더라도 **인공지능개발사업자로 평가될 여지**가 있습니다. + +--- + +### 핵심 요약 + +- **개발사업자**: AI를 직접 개발(구조 설계·학습 통제)하여 제공하는 자 +- **이용사업자**: 타사 AI를 활용하여 이용자에게 제품·서비스를 제공하는 자 +- 구분의 핵심은 **"개발의 실질적 통제권"**이 누구에게 있느냐입니다. +- 오픈소스 모델의 경미한 수정은 이용사업자, **중대한 수정**은 개발사업자로 판단됩니다. +- 외주·납품 관계에서는 **설계 통제, 개발 관여, 납품 후 변경** 수준을 종합적으로 판단합니다. +- **무상 제공**(오픈소스 포함)도 법상 "제공"에 해당합니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/08_2-3_\355\225\264\354\231\270\354\202\254\354\227\205\354\236\220\354\235\230_\352\265\255\353\202\264_\354\235\230\353\254\264.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/08_2-3_\355\225\264\354\231\270\354\202\254\354\227\205\354\236\220\354\235\230_\352\265\255\353\202\264_\354\235\230\353\254\264.md" new file mode 100644 index 0000000..3674727 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/08_2-3_\355\225\264\354\231\270\354\202\254\354\227\205\354\236\220\354\235\230_\352\265\255\353\202\264_\354\235\230\353\254\264.md" @@ -0,0 +1,90 @@ +## 2-3. 해외사업자의 국내 의무 + +인공지능기본법은 국내 기업에만 적용되는 법이 아닙니다. 해외에서 AI 서비스를 개발·제공하더라도 국내 이용자에게 영향을 미치면 이 법의 적용을 받습니다. + +--- + +### 2-3-1. 해외사업자도 적용 대상인가? + +> **법률 원문** | 제4조(적용범위) 제1항 +> 이 법은 국외에서 이루어진 행위라도 국내 시장 또는 이용자에게 영향을 미치는 경우에는 적용한다. + +이 조항이 의미하는 바는 명확합니다. **서버가 해외에 있거나, 본사가 해외에 있더라도** 국내 시장 또는 국내 이용자에게 영향을 미치면 인공지능기본법이 적용됩니다. + +``` +[해외사업자 적용 판단] + +┌─────────────────────────────────────────────┐ +│ 해외 AI 사업자의 서비스가 │ +│ 국내 시장 또는 이용자에게 영향을 미치는가? │ +└────────────────┬──────────────┬──────────────┘ + │ Yes │ No + ▼ ▼ + ┌──────────────────┐ ┌────────────────┐ + │ 인공지능기본법 │ │ 적용 대상 아님 │ + │ 적용 대상 │ └────────────────┘ + └────────┬─────────┘ + ▼ + ┌──────────────────────────────────────┐ + │ 이용자 수·매출액 기준 충족 시 │ + │ 국내대리인 지정 의무 추가 발생 │ + └──────────────────────────────────────┘ +``` + +이에 따라 OpenAI(ChatGPT), Google(Gemini), Meta(LLaMA) 등 해외 사업자도 국내 이용자에게 서비스를 제공하는 범위에서 다음 의무를 부담합니다. + +| 의무 | 해외사업자 적용 여부 | +|------|---------------------| +| 투명성 확보 (제31조) | O -- 국내 이용자에게 서비스 제공 시 | +| 안전성 확보 (제32조) | O | +| 고영향 AI 확인 (제33조) | O | +| 고영향 AI 사업자 책무 (제34조) | O | +| 국내대리인 지정 (제36조) | O -- 기준 충족 시 | + +> **실무 TIP** +> 「투명성 확보 가이드라인」에서도 "해외 사업자라도 우리 국민에게 영향을 미치면 적용 대상"이라고 명시하고 있습니다. 해외에서 개발된 AI를 국내 기업이 API로 활용하여 서비스를 제공하는 경우, 해외 개발사와 국내 이용사업자 모두가 각자의 역할 범위에서 의무를 부담합니다. + +--- + +### 2-3-2. 국내대리인 지정 의무 요약 + +해외 AI 사업자 중 일정 규모 이상인 경우, **국내대리인**을 지정하여 과학기술정보통신부장관에게 신고해야 합니다. + +> **법률 원문** | 제36조(국내대리인 지정) 제1항 +> 국내에 주소 또는 영업소가 없는 인공지능사업자로서 이용자 수, 매출액 등이 대통령령으로 정하는 기준에 해당하는 자는 국내대리인을 서면으로 지정하고, 이를 과학기술정보통신부장관에게 신고하여야 한다. + +**지정 기준** (시행령 기준, 하나 이상 해당 시 의무 발생) + +| 기준 | 구체적 수치 | +|------|-------------| +| 전체 매출액 | 전년도 매출액 **1조원** 이상 | +| AI 서비스 매출액 | AI 서비스 부문 전년도 매출액 **10억원** 이상 | +| 국내 이용자 수 | 직전 12개월간 일 평균 **100만명** 이상 | +| 과태료 이력 | 제36조 제1항 위반으로 과태료를 부과 받은 사실이 있는 경우 | + +**국내대리인의 역할** + +국내대리인은 다음 사항을 대리합니다. + +1. 「인공지능기본법」 제32조제2항에 따른 안전성 확보 이행 결과의 제출 +2. 제33조제1항에 따른 고영향 AI 해당 여부 확인의 요청 +3. 제34조제1항 각 호에 따른 안전성·신뢰성 확보 조치의 이행에 필요한 지원 + +**국내대리인의 자격** + +- 국내에 주소 또는 영업소가 있는 자(자연인 또는 법인) +- 국적 제한은 없으나, 한국어로 원활한 의사소통이 가능해야 합니다. + +> **주의** +> 국내대리인을 지정하지 않으면 **과태료 2,000만원**이 부과됩니다(1차~3차 이상 동일). 국내대리인이 법을 위반한 경우, 해당 국내대리인을 지정한 해외 사업자가 그 행위를 한 것으로 봅니다(제36조 제3항). + +> 국내대리인 제도의 상세 내용(지정 절차, 신고 서식, 변경 신고 등)은 **8장**에서 다룹니다. + +--- + +### 핵심 요약 + +- 인공지능기본법은 **역외 적용**됩니다. 국외 행위라도 국내 이용자에게 영향을 미치면 적용 대상입니다. +- 해외사업자도 투명성·안전성·고영향 AI 관련 의무를 동일하게 부담합니다. +- 일정 규모(매출 1조원 이상, AI 매출 10억원 이상, 국내 이용자 일 평균 100만명 이상) 이상의 해외사업자는 **국내대리인을 지정·신고**해야 합니다. +- 미지정 시 과태료 2,000만원이 부과됩니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/09_2-4_\354\235\264\354\232\251\354\236\220\353\212\224_\354\235\230\353\254\264\352\260\200_\354\227\206\353\212\224\352\260\200.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/09_2-4_\354\235\264\354\232\251\354\236\220\353\212\224_\354\235\230\353\254\264\352\260\200_\354\227\206\353\212\224\352\260\200.md" new file mode 100644 index 0000000..b64c572 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/09_2-4_\354\235\264\354\232\251\354\236\220\353\212\224_\354\235\230\353\254\264\352\260\200_\354\227\206\353\212\224\352\260\200.md" @@ -0,0 +1,104 @@ +## 2-4. "이용자"는 의무가 없는가? + +인공지능기본법의 의무는 인공지능사업자에게만 부과됩니다. 그렇다면 이용자는 아무런 의무가 없을까요? 원칙적으로는 그렇습니다. 하지만 이용자와 사업자의 경계는 고정되어 있지 않습니다. + +--- + +### 2-4-1. 이용자의 정의와 범위 + +> **법률 원문** | 제2조(정의) 제8호 +> "이용자"란 인공지능제품 또는 인공지능서비스를 제공받는 자를 말한다. + +이용자는 AI 서비스를 **제공받는** 쪽에 있는 모든 자를 의미합니다. 개인은 물론, 기업이나 공공기관도 이용자가 될 수 있습니다. + +| 이용자 예시 | 설명 | +|-------------|------| +| ChatGPT를 사용하는 개인 | 전형적인 이용자 | +| AI 이미지 생성 도구로 콘텐츠를 제작하는 기업 | 도구로 사용만 하면 이용자 | +| 외부 AI를 활용하여 교육자료를 제작하는 공공기관 | 내부 제작물 용도이면 이용자 | +| AI 생성 이미지를 영화에 삽입하는 영화제작자 | AI 생성물을 콘텐츠에 활용한 것이므로 이용자 | + +> **실무 TIP** +> 이용자에게는 인공지능기본법상 투명성 확보 의무(제31조), 안전성 확보 의무(제32조) 등이 적용되지 않습니다. 다만, 이용자에게도 **권리**가 있습니다. AI 생성물이 자신의 기본권에 중대한 영향을 미치는 경우, "영향받는 자"로서 설명을 제공받을 권리(제3조 제2항)를 가집니다. + +--- + +### 2-4-2. 이용자가 사업자로 전환되는 경우 + +이용자와 사업자의 경계에서 가장 중요한 사례입니다. + +> **사례 1** | 「지원데스크 사례집」 +> **Q.** A사는 온라인 백과사전 서비스를 운영합니다. ChatGPT·Gemini 등 외부 AI 도구를 사용하여 텍스트·이미지·영상 콘텐츠를 제작한 뒤 자사 웹사이트에 게시합니다. A사는 인공지능이용사업자에 해당합니까? +> +> **A.** 현재 행위(타사 AI 서비스를 도구로 사용하여 생성물을 제작·게시)는 AI 제품 또는 서비스를 이용자에게 직접 "제공"하는 것으로 보기 어렵습니다. A사는 **이용자**에 해당하여 투명성 의무 적용 대상이 아닙니다. 단, A사가 이용자와 직접 상호작용하는 AI 서비스(예: 챗봇·요약 생성 기능)를 제공하면 **인공지능이용사업자**에 해당합니다. + +이 사례에서 핵심적인 **전환 포인트**는 다음과 같습니다. + +``` +[이용자에서 사업자로의 전환] + + 이용자 영역 +┌─────────────────────────────────────────────────┐ +│ AI 도구로 콘텐츠 생성 → 자사 사이트에 게시 │ +│ (AI 서비스 자체를 제공하지 않음) │ +└─────────────────────────────┬───────────────────┘ + │ 전환 포인트 + │ "AI 서비스를 이용자에게 + │ 직접 제공하기 시작" + ▼ + 사업자 영역 +┌─────────────────────────────────────────────────┐ +│ 이용자가 서비스 내에서 AI에 입력하고 │ +│ 응답을 받는 기능을 제공 │ +│ (예: "AI에게 질문하기" 챗봇 기능 추가) │ +└─────────────────────────────────────────────────┘ +``` + +> **사례 2** | 「지원데스크 사례집」 (공공기관 사례) +> **Q.** 공공기관 B가 외부사업자의 생성형 AI를 활용하여 교육자료와 시민 안내 영상을 제작합니다. 투명성 확보 의무 대상입니까? +> +> **A.** 공공기관도 민간과 동일한 기준을 적용합니다. AI를 도구로 활용하여 산출물을 제작하는 경우에는 **이용자**에 해당합니다. 다만, 시민이 기관 시스템에서 AI와 직접 상호작용하도록 제공(예: 민원 상담 AI 챗봇)하면 **인공지능이용사업자**로 의무가 발생합니다. + +전환 여부를 판단하는 체크리스트입니다. + +| 확인 항목 | Yes | No | +|-----------|-----|-----| +| 타사 AI를 도구로 사용하여 생성물을 제작·게시하고, 이용자에게 AI 서비스 자체는 제공하지 않는가? | 이용자 | 아래 항목 확인 | +| 이용자가 서비스 내에서 AI와 직접 상호작용(프롬프트 입력·응답 반환)하는 기능을 제공하는가? | 이용사업자 | -- | +| AI를 직접 개발하여 이용자에게 제품·서비스로 제공하는가? | 개발사업자 | -- | + +--- + +### 2-4-3. 개인 창작자의 위치 + +유튜버, 인스타그래머 등 개인 창작자가 AI를 활용하여 콘텐츠를 제작하는 경우가 급증하고 있습니다. + +> **사례 4** | 「지원데스크 사례집」 +> **Q.** 개인 연구자·창작자가 생성형 AI를 활용하여 영상·이미지를 제작하고 유튜브·SNS 등에 업로드합니다. 표시 의무가 있습니까? +> +> **A.** 인공지능기본법 제31조 의무는 인공지능사업자에게만 적용됩니다. 개인이 광고·후원 등으로 수익을 얻더라도 그것만으로 곧바로 인공지능사업자가 되지 않습니다. 개인 창작자·유튜버·인스타그래머는 **이용자**에 해당하므로 법상 투명성 확보 의무가 발생하지 않습니다. + +핵심 판단 기준을 정리합니다. + +| 상황 | 판단 | 설명 | +|------|------|------| +| AI로 콘텐츠 생성 후 SNS 업로드 | 이용자 | 광고·후원 수익이 있어도 이용자 | +| AI 생성 콘텐츠를 유상 판매 (구독·광고 수익) | 이용자 | AI 서비스 자체를 제공하는 것이 아님 | +| 타사 AI를 활용하여 이용자에게 AI 서비스를 직접 제공 | 이용사업자 | **전환 발생** | +| 개인이 AI를 직접 개발하여 유료 구독 서비스로 제공 | 개발사업자 | **전환 발생** | + +> **주의** +> "수익이 있으면 사업자"라고 오해하기 쉽습니다. 인공지능기본법에서 사업자 여부를 판단하는 기준은 **"AI 제품 또는 서비스 자체를 이용자에게 제공하는가"**이지, 수익 유무가 아닙니다. 광고 수익을 얻는 유튜버라도 AI 서비스 자체를 제공하지 않으면 이용자입니다. + +> **실무 TIP** +> 법적 의무는 없지만, 개인 창작자가 AI 생성물임을 자발적으로 표시하는 것은 **신뢰도 제고**에 기여할 수 있습니다. 인스타그램 등 주요 플랫폼에서도 AI 콘텐츠 레이블 기능을 제공하고 있으므로 활용을 권장합니다. + +--- + +### 핵심 요약 + +- **이용자**는 인공지능기본법상 의무가 없습니다(투명성·안전성 등 모두 해당 없음). +- 이용자에서 사업자로의 **전환 포인트**는 "이용자에게 AI 서비스를 직접 제공하기 시작하는 시점"입니다. +- AI를 도구로 사용하여 콘텐츠를 만드는 것은 이용자 행위이며, **수익 유무와 무관**합니다. +- 공공기관도 민간과 동일한 기준으로 판단합니다. +- 개인 창작자(유튜버·인스타그래머)는 원칙적으로 **이용자**에 해당합니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/10_2-5_\353\260\224\354\235\264\353\270\214\354\275\224\353\215\224_\355\224\204\353\246\254\353\236\234\354\204\234_1\354\235\270\352\260\234\353\260\234\354\236\220.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/10_2-5_\353\260\224\354\235\264\353\270\214\354\275\224\353\215\224_\355\224\204\353\246\254\353\236\234\354\204\234_1\354\235\270\352\260\234\353\260\234\354\236\220.md" new file mode 100644 index 0000000..1fbfd1f --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/10_2-5_\353\260\224\354\235\264\353\270\214\354\275\224\353\215\224_\355\224\204\353\246\254\353\236\234\354\204\234_1\354\235\270\352\260\234\353\260\234\354\236\220.md" @@ -0,0 +1,175 @@ +## 2-5. 바이브코더·프리랜서·1인 개발자의 경우 + +AI 도구를 활용한 개발(바이브코딩, Vibe Coding)이 일상화되면서, 프리랜서·1인 개발자도 인공지능기본법의 적용 범위에 대해 정확히 이해할 필요가 있습니다. 이 절에서는 가장 빈번하게 발생하는 세 가지 상황을 정리합니다. + +--- + +### 2-5-1. AI 도구를 활용한 코딩 -- 이용자인가 사업자인가? + +GitHub Copilot, Cursor, Claude 등 AI 코딩 도구를 사용하여 소프트웨어를 개발하는 바이브코더(Vibe Coder)의 법적 지위는 어떻게 판단할까요? + +``` +[바이브코더의 법적 지위 판단] + + AI 코딩 도구 사용 + │ + ▼ +┌─────────────────────────────────────────────────┐ +│ AI 코딩 도구(Copilot, Cursor 등)를 이용하여 │ +│ 코드를 생성하는 행위 자체 │ +│ → 이용자 (AI를 도구로 사용) │ +└──────────────────────┬──────────────────────────┘ + │ + 개발한 소프트웨어가 + AI 기능을 포함하는가? + │ │ + ▼ No ▼ Yes + ┌──────────────┐ ┌──────────────────────────┐ + │ AI 비관련 │ │ 그 SW가 AI 제품·서비스를 │ + │ 소프트웨어 │ │ 이용자에게 제공하는가? │ + │ → 의무 없음 │ └─────────┬────────────────┘ + └──────────────┘ │ Yes + ▼ + ┌──────────────────────┐ + │ 인공지능사업자 해당 │ + │ (개발/이용 판단 필요) │ + └──────────────────────┘ +``` + +핵심 원칙을 정리합니다. + +| 상황 | 판단 | +|------|------| +| AI 코딩 도구로 일반 웹사이트를 개발 | 이용자 -- AI를 도구로 사용했을 뿐, AI 서비스를 제공하지 않음 | +| AI 코딩 도구로 쇼핑몰 백엔드를 개발 | 이용자 -- AI 기능이 없는 소프트웨어 | +| AI 코딩 도구로 AI 챗봇 서비스를 개발하여 이용자에게 제공 | 사업자 -- AI 서비스를 이용자에게 제공 | +| AI 코딩 도구로 AI 이미지 생성 앱을 만들어 앱스토어에 출시 | 사업자 -- AI 서비스를 이용자에게 제공 | + +> **실무 TIP** +> **"AI를 사용하여 개발했다"**와 **"AI 서비스를 제공한다"**는 별개의 문제입니다. AI 코딩 도구를 사용한 것은 개발 과정의 도구 활용일 뿐, 그 자체로 인공지능사업자가 되는 것은 아닙니다. 사업자 여부는 **최종 결과물(제품·서비스)이 이용자에게 AI 기능을 제공하는가**에 따라 결정됩니다. + +--- + +### 2-5-2. 1인 개발 AI 서비스 출시 시 의무 범위 + +프리랜서 또는 1인 개발자가 AI 서비스를 직접 개발하여 출시하는 경우, 인공지능기본법상 사업자에 해당합니다. + +> **법률 원문** | 제2조(정의) 제7호 +> "인공지능사업자"란 인공지능산업과 관련된 사업을 하는 자로서 다음 각 목의 어느 하나에 해당하는 법인, 단체, **개인** 및 국가기관등을 말한다. + +법문에 **"개인"**이 명시되어 있습니다. 1인 개발자라도 AI 서비스를 이용자에게 제공하면 인공지능사업자에 해당합니다. + +| 1인 개발자 시나리오 | 사업자 유형 | 주요 의무 | +|---------------------|-------------|-----------| +| 자체 AI 모델을 개발하여 SaaS로 제공 | 개발사업자 | 투명성 + 안전성 + 고영향 확인 | +| 오픈소스 모델 활용(경미한 수정)하여 서비스 제공 | 이용사업자 | 투명성 + 안전성 + 고영향 확인 | +| 오픈소스 모델을 대규모 재학습 후 서비스 제공 | 개발사업자 | 투명성 + 안전성 + 고영향 확인 | +| API(OpenAI 등)를 활용하여 AI 챗봇 서비스 출시 | 이용사업자 | 투명성 + 안전성 + 고영향 확인 | + +> **주의** +> 1인 개발자도 대기업과 동일한 법적 의무를 부담합니다. 다만, 실무적으로 의무 이행의 수준과 방법은 서비스 규모·영향에 비례하여 판단됩니다. 핵심은 다음 세 가지입니다. +> 1. **투명성**: 사전 고지 + AI 생성물 표시 (생성형 AI를 활용한 서비스인 경우) +> 2. **안전성**: 위험 식별·평가·완화 체계 수립 (3장 참조) +> 3. **고영향 확인**: 자사 서비스가 고영향 AI에 해당하는지 검토 (5장 참조) + +> **실무 TIP** +> 1인 개발자가 AI 서비스를 출시할 때 최소한으로 준비할 사항은 다음과 같습니다. +> - 서비스 화면에 "이 서비스는 인공지능에 기반하여 운용됩니다" 문구 표시 (사전 고지) +> - AI 생성물에 "AI가 생성한 결과입니다" 표시 (생성형 AI인 경우) +> - 이용약관에 AI 활용 사실 명시 +> - 고영향 AI 해당 여부 자가점검 수행 + +--- + +### 2-5-3. 내부 업무용 AI는 의무 대상인가? + +사내 업무 효율화를 위해 AI를 자체 개발·활용하되, 외부에는 제공하지 않는 경우입니다. + +> **사례 5** | 「지원데스크 사례집」 +> **Q.** D사는 외부에 제품·서비스를 제공하지 않고, 내부 직원 업무용으로만 AI를 개발·이용합니다. 투명성 확보 의무 적용 대상입니까? +> +> **A.** 내부 업무 전용으로만 AI를 사용하는 경우, 「인공지능기본법」 시행령 제23조 제4항 제2호에 따라 **생성형 AI에 대한 사전고지 또는 표시 의무가 적용 제외**됩니다. 단, 내부용이라도 고영향 AI에 해당하면 제34조 사업자 책무(기록 보관·설명 가능성 확보 등)는 적용될 수 있습니다. + +``` +[내부 업무용 AI 의무 판단] + +┌────────────────────────────────────────────┐ +│ 내부 직원만 사용하고 │ +│ 외부 이용자에게 서비스로 제공하지 않는가? │ +└────────────────┬───────────────┬───────────┘ + │ Yes │ No + ▼ ▼ + ┌──────────────────┐ ┌──────────────────────┐ + │ 투명성 의무 예외 │ │ 외부 제공이면 │ + │ (사전고지·표시 │ │ 투명성 의무 발생 │ + │ 적용 제외) │ └──────────────────────┘ + └────────┬─────────┘ + │ + ▼ +┌────────────────────────────────────────────┐ +│ 활용 영역이 채용·대출심사·의료·교육평가 등 │ +│ 고영향 AI 분야인가? │ +└────────────────┬───────────────┬───────────┘ + │ Yes │ No + ▼ ▼ + ┌──────────────────┐ ┌──────────────────────┐ + │ 제34조 사업자 │ │ 의무 적용 제외 │ + │ 책무 적용 검토 │ │ 가능 │ + └──────────────────┘ └──────────────────────┘ +``` + +이 판단을 정리하면 다음과 같습니다. + +| 의무 | 내부 업무용 AI 적용 여부 | 근거 | +|------|-------------------------|------| +| 투명성 확보 (사전고지·표시) | **적용 제외** | 시행령 제23조 제4항 제2호 | +| 안전성 확보 | 원칙적 적용 제외 (외부 미제공 시) | -- | +| 고영향 AI 확인 | **별도 검토 필요** | 법 제33조 | +| 고영향 AI 사업자 책무 | **적용 가능** (고영향 해당 시) | 법 제34조 | + +> **주의** +> 내부 업무 용도라도, 해당 AI가 **채용·인사 결정(직원 대상)** 또는 **대출·신용 심사 결정(고객 대상)** 등 사람의 권리·의무에 실질적 영향을 미치는 영역에 활용된다면, 고영향 AI 해당 여부를 별도로 검토해야 합니다. 고영향 AI로 확인되면 **내부 업무 전용 여부와 무관**하게 제34조 사업자 책무가 적용됩니다. + +> **실무 TIP** +> "내부용이니까 의무가 없다"고 단정하지 마십시오. 내부용 AI라도 다음 질문에 하나라도 "Yes"라면 추가 검토가 필요합니다. +> - 이 AI가 직원의 채용·승진·평가에 영향을 미치는가? +> - 이 AI가 고객의 대출·보험·계약에 영향을 미치는가? +> - 이 AI가 사람의 생명·신체 안전에 관련된 판단을 하는가? + +--- + +### 자가점검 체크리스트: 나의 사업자 유형 확인 + +아래 체크리스트를 통해 자신의 법적 지위를 확인하십시오. + +**Step 1. 사업자 여부 판단** + +- [ ] AI 제품 또는 서비스를 이용자에게 직접 제공하고 있습니까? (No이면 이용자 -- 아래 생략 가능) +- [ ] AI를 도구로만 사용하고 결과물(텍스트·이미지 등)을 콘텐츠에 활용하는 수준입니까? (Yes이면 이용자) + +**Step 2. 사업자 유형 판단** + +- [ ] AI의 구조 설계·학습 방식·학습용데이터 구성을 직접 결정·통제했습니까? (Yes이면 개발사업자 가능) +- [ ] 오픈소스 모델을 성능에 중대한 영향을 줄 정도로 수정·변경·개량했습니까? (Yes이면 개발사업자 가능) +- [ ] 타사 AI를 활용(API 호출, 모델 경미한 수정 등)하여 이용자에게 서비스를 제공합니까? (Yes이면 이용사업자) +- [ ] 외주 개발을 맡겼지만 모델 아키텍처·핵심 알고리즘을 직접 지시·통제했습니까? (Yes이면 개발사업자 가능) + +**Step 3. 해외사업자 추가 확인** + +- [ ] 국내에 주소 또는 영업소가 없는 해외사업자입니까? +- [ ] 전체 매출 1조원 이상, AI 서비스 매출 10억원 이상, 또는 국내 이용자 일 평균 100만명 이상에 해당합니까? (Yes이면 국내대리인 지정 필요 -- 8장 참조) + +**Step 4. 내부 업무용 AI 추가 확인** + +- [ ] AI를 내부 업무용으로만 사용하고 외부에 제공하지 않습니까? (Yes이면 투명성 의무 예외) +- [ ] 내부용 AI가 채용·대출심사·의료·교육평가 등 고영향 영역에서 활용됩니까? (Yes이면 고영향 AI 확인 필요 -- 5장 참조) + +--- + +### 핵심 요약 + +- **바이브코딩(AI 코딩 도구 사용)** 자체는 이용자 행위이며, 의무가 발생하지 않습니다. +- 1인 개발자라도 AI 서비스를 이용자에게 제공하면 **인공지능사업자(개인 포함)**에 해당합니다. +- 내부 업무용 AI는 투명성 의무가 **적용 제외**되지만, 고영향 AI에 해당하면 **사업자 책무가 적용**됩니다. +- 사업자 판단의 핵심은 **"AI 서비스 자체를 이용자에게 제공하는가"**입니다. +- "AI를 사용하여 개발"과 "AI 서비스를 제공"은 별개의 문제입니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/11_3-1_\355\210\254\353\252\205\354\204\261_\355\231\225\353\263\264_\354\235\230\353\254\264_\352\260\234\354\232\224.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/11_3-1_\355\210\254\353\252\205\354\204\261_\355\231\225\353\263\264_\354\235\230\353\254\264_\352\260\234\354\232\224.md" new file mode 100644 index 0000000..25c8ec2 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/11_3-1_\355\210\254\353\252\205\354\204\261_\355\231\225\353\263\264_\354\235\230\353\254\264_\352\260\234\354\232\224.md" @@ -0,0 +1,108 @@ +# 3장. 투명성 확보 (제31조) + +## 3-1. 투명성 확보 의무 개요 + +「인공지능기본법」 제31조는 AI 제품·서비스의 **투명성 확보 의무**를 규정합니다. 이 절에서는 의무의 취지, 구조, 적용 대상을 살펴봅니다. + +--- + +### 3-1-1. 취지 — 혼동·오인 방지와 사회적 신뢰 + +투명성 확보 의무는 두 가지 목적을 가집니다. + +1. **이용자 인식 보장** — 이용자가 AI 기반 제품·서비스를 이용하고 있다는 사실과, 제공되는 결과물이 AI에 의해 생성된 것임을 명확히 인식할 수 있도록 합니다. +2. **혼동·오인 방지** — 정보 이용 과정에서 발생할 수 있는 혼동과 오인을 방지하고, AI에 대한 사회적 신뢰를 높이기 위한 제도적 장치를 마련합니다. + +> **실무 TIP** +> 투명성 의무는 "이용자가 모르는 사이에 AI와 상호작용하는 상황"을 방지하는 것이 핵심입니다. 단순히 형식적 표시가 아니라, 이용자가 실질적으로 인지할 수 있어야 합니다. + +--- + +### 3-1-2. 의무 구조 — 제1항(사전고지), 제2항(표시), 제3항(딥페이크) + +「인공지능기본법」 제31조는 세 가지 의무를 단계적으로 부과합니다. + +> **법률 원문** | 제31조(인공지능 투명성 확보 의무) +> ① 인공지능사업자는 고영향 인공지능이나 생성형 인공지능을 이용한 제품 또는 서비스를 제공하려는 경우 제품 또는 서비스가 해당 인공지능에 기반하여 운용된다는 사실을 이용자에게 사전에 고지하여야 한다. +> ② 인공지능사업자는 생성형 인공지능 또는 이를 이용한 제품 또는 서비스를 제공하는 경우 그 결과물이 생성형 인공지능에 의하여 생성되었다는 사실을 표시하여야 한다. +> ③ 인공지능사업자는 인공지능시스템을 이용하여 실제와 구분하기 어려운 가상의 음향, 이미지 또는 영상 등의 결과물을 제공하는 경우 해당 결과물이 인공지능시스템에 의하여 생성되었다는 사실을 이용자가 명확하게 인식할 수 있는 방식으로 고지 또는 표시하여야 한다. + +세 가지 의무를 표로 정리하면 다음과 같습니다. + +``` +┌──────────┬────���───────────────────────┬──────────────────────┬──────────┐ +│ 조항 │ 적용 범위 │ 의무 내용 │ 이행방법 │ +├──────────┼────────────────────────────┼──────────────────────┼──────────┤ +│ 제1항 │ 고영향 AI 및 생성형 AI를 │ 제품·서비스가 AI에 │ 사전 고지 │ +│ (사전고지)│ 이용한 제품·서비스 제공 시 │ 기반하여 운용된다는 │ │ +│ │ │ 사실 │ │ +├──────────┼────────────────────────────┼──────────────────────┼──────────┤ +│ 제2항 │ 생성형 AI 및 이를 이용한 │ 결과물이 AI로 │ 표시 │ +│ (표시) │ 제품·서비스 제공 시 │ 생성되었다는 사실 │ │ +├──────────┼────────────────────────────┼──────────────────────┼──────────┤ +│ 제3항 │ AI시스템으로 실제와 구분하기│ 결과물이 AI에 의해 │ 고지 또는│ +│ (딥페이크)│ 어려운 가상의 생성물 제공 시│ 생성되었다는 사실 │ 표시 │ +└──────────┴────────────────────────────┴──────────────────────┴──────────┘ +``` + +**제1항**과 **제2��**의 차이를 명확히 구분해야 합니다. + +- **제1항(사전고지)**: "제품·서비스" 자체가 AI에 기반하여 운용된다는 사실에 관한 것입니다. 생성 결과물과는 무관합니다. +- **제2항(표시)**: "결과물"이 생성형 AI에 의해 생성되었다는 사실에 관한 것입니다. +- **제3항(딥페이크)**: 제2항의 강화 버전으로, 실제와 구분하기 어려운 수준의 생성물에 대해 더 엄격한 표시를 요구합니다. + +> **주의** +> 사전고지(제1항) 위반 시 3,000만원 이하의 과태료가 부과됩니다(「인공지능기본법」 제43조제1항제1호). 표시 의무(제2항·제3항) 위반은 시정명령·과징금의 대상이 될 수 있습니다(제40조). + +--- + +### 3-1-3. 적용 대상과 의무 주체 + +투명성 확보 의무는 **이용자에게 최종적으로 AI 제품·서비스를 제공하는 인공지능사업자**에게 부과됩니다. + +**의무 주체 판단 원칙** + +``` +┌─────────────────────────────────────────────────────────┐ +│ 의무 주체 판단 흐름 │ +├─────────────────────────────────────────────────────────┤ +│ │ +│ 개발사 A (파운데이션 모델 API 제공) │ +│ │ │ +│ ▼ │ +│ 이용사업자 B (API 활용하여 AI 서비스를 이용자에게 제공) │ +│ │ │ +│ ▼ │ +│ 이용자 (최종 소비자) │ +│ │ +│ → 투명성 의무는 B에게 부여 │ +│ → 단, A가 직접 이용자에게 서비스하면 A에게도 의무 발생 │ +└─────────────────────────────────────────────────────────┘ +``` + +**인공지능사업자의 구분** + +| 구분 | 정의 | 예시 | +|------|------|------| +| AI개발사업자 | AI를 직접 개발하거나 성능에 중대한 영향을 줄 정도로 수정·변경·개량하여 제공하는 자 | 네이버(하이퍼클로바), OpenAI(ChatGPT) | +| AI이용사업자 | AI개발사업자가 제공한 AI를 이용하여 제품·서비스를 이용자에게 제공하��� 자 | 뤼튼테크놀로지스(기반모델 활용 작문 서비스) | + +**적용되지 않는 경우** + +단순히 AI 제품·서비스를 이용한 결과물을 자신의 서비스에 활용하는 자는 인공지능사업자에 해당하지 않습니다. 이들은 **이용자**로 분류됩니다. + +> **사례 8** (온라인 커머스 상세페이지) +> **Q.** 상품 상세페이지 이미지 제작 과정에서 AI로 배경을 합성·생성한 경우 '인공지능 사용' 표기를 해야 합니까? +> **A.** 타사 AI서비스를 이용하여 콘텐츠를 만드는 경우 이용자에 해당하므로 표시 의무의 대상이 아닙니다. 다만, 소비자에게 직접 AI 생성 기능을 제공하는 구조(예: 소비자가 프롬프트로 이미지를 생성)로 전환되면 AI이용사업자에 해당할 수 있습니다. + +**해외 사업자 적용** + +해외 사업자라도 국내 이용자에게 AI 제품·서비스를 제공하는 경우 투명성 확보 의무가 적용됩니다(8장 참조). + +--- + +> **핵심 요약** +> - 투명성 확보 의무는 AI 이용 사실에 대한 **이용자의 인식 보장**과 **혼동·오인 방지**가 목적입니다. +> - 제31조는 **사전고지**(제1항), **표시**(제2항), **딥페이크 표시**(제3항)의 3단 구조입니다. +> - 의무 주체는 **이용자에게 최종적으로 AI 제품·서비스를 제공하는 인공지능사업자**입니다. +> - 단순히 AI 서비스를 활용하여 콘텐츠를 만드는 자는 **이용자**이며, 투명성 의무 대상이 아닙니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/12_3-2_\354\202\254\354\240\204_\352\263\240\354\247\200_\354\235\230\353\254\264.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/12_3-2_\354\202\254\354\240\204_\352\263\240\354\247\200_\354\235\230\353\254\264.md" new file mode 100644 index 0000000..73d7416 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/12_3-2_\354\202\254\354\240\204_\352\263\240\354\247\200_\354\235\230\353\254\264.md" @@ -0,0 +1,134 @@ +## 3-2. 사전 고지 의무 (제31조제1항) + +사전 고지 의무는 AI 기반 제품·서비스를 이용하기 **전에** 이용자가 AI 운용 사실을 인지할 수 있도록 하는 의무입니다. + +--- + +### 3-2-1. 사전 고지 대상 + +사전 고지 의무는 다음 두 가지 유형의 AI를 이용한 제품·서비스에 적용됩니다. + +| 대상 AI | 설명 | +|---------|------| +| 고영향 인공지능(High-impact AI) | 생명·신체 안전·기본권에 중대한 영향을 미치는 AI 시스템 | +| 생성형 인공지능(Generative AI) | 입력 데이터의 구조·특성을 모방하여 글·소리·그림·영상 등을 생성하는 AI 시스템 | + +> **주의** +> 사전 고지 의무는 **제품·서비스** 자체에 관한 것입니다. "이 서비스는 AI에 기반하여 운용됩니다"라는 사실을 알리는 것이지, 개별 생성 결과물에 관한 것이 아닙니다. 결과물 표시는 제2항(3-3절)에서 다룹니다. + +--- + +### 3-2-2. 고지해야 할 내용 + +고지해��� 할 핵심 내용은 **"해당 제품·서비스가 고영향 또는 생성형 AI에 기반하여 운용된다는 사실"**입니다. + +구체적으로 이용자가 알 수 있어야 할 사항은 다음과 같습니다. + +- 제품·서비스가 AI 기술을 활용하여 작동한다는 사실 +- 고영향 AI 또는 생성형 AI가 핵심 기능의 일부임 + +> **실무 TIP** +> 법률은 특정 문구를 강제하지 않습니다. "본 ���비스는 생성형 AI를 활용하여 운용됩니다", "AI 기반 서비스입니다" 등 이용자가 사실을 인지할 수 있는 표현이면 충분합니다. + +--- + +### 3-2-3. 고지 방법 + +「인공지능기본법 시행령」 제23조제1항은 사전 고지 방법을 다음과 같이 규정합니다. + +``` +┌──────────────────────────────────────────────────────────┐ +│ 사전 고지 방법 4가지 │ +├──────────────────────────────────────────────────��───────┤ +│ │ +│ ① 제품에 직접 기재하거나, │ +│ 계약서·사용설명서·이용약관 등에 기재 │ +│ │ +│ ② 이용자의 화면 또는 단말기 등에 표시 │ +│ │ +│ ③ 제품 등을 제공하는 장소에 인식하기 쉬운 │ +│ 방법으로 게시 │ +│ │ +│ ④ 그 밖에 제품 등의 특성을 고려하여 │ +│ 과학기술정보통신부장관이 인정하는 방법 │ +│ │ +└──────────────────────────────────────────────────────────┘ +``` + +「투명성 확보 가이드라인」은 구체적인 이행 사례를 제시합니다. + +**방법 1: 이용약관·계약서 활용** + +이용약관이나 서비스 가입 절차에 생성형 AI 또는 고영향 AI를 활용함을 명시합니다. + +``` +┌──────────────────────────────────────────────┐ +│ [이용약관 기재 예시] │ +│ │ +│ 제○조 (서비스 운용 기술) │ +│ 본 서비스는 생성형 인공지능 기술을 │ +│ 활용하여 운용됩니다. │ +│ ※ 참고 사례: 스캐터랩 제타(Zeta) │ +└──────────────────────────────────────────────┘ +``` + +**방법 2: 화면 표시** + +소프트웨어, 모바일 앱 등을 통해 서비스 제공 시 화면에 AI 활용 사실을 명시합니다. + +``` +┌──────────────────────────────────────────────┐ +│ [화면 표시 예시] │ +│ │ +│ ┌────────────────────────────────┐ │ +│ │ 🤖 AI 기반 대화 서비스 │ │ +│ │ 이 서비스는 생성형 AI를 │ │ +│ │ 활용하여 운용됩니다. │ │ +│ └────────────────────────────────┘ │ +│ ※ 참고 사례: 카카오 타임톡 │ +└──────────────────────────────────────────────┘ +``` + +**방법 3: 제공 장소에 게시** + +오프라인 서비스의 경우, 이용 전 충분히 인식할 수 있는 관련 장소에 게시합니다. + +> **사례 7** (챗봇·보이스봇 사전고지) +> **Q.** 서비스명에 AI가 포함되어 있거나 이용자가 AI 운용 사실을 명백히 알 수 있을 때도 별도 고지가 필요한가요? +> **A.** 서비스명·화면 문구 등을 종합적으로 고려하여 AI 활용 사실이 명백한 경우 의무의 전부 또는 일부가 예외로 인정될 수 있습니다(시행령 제23조제4항제1호). 다만 서비스명 하나만으로는 명백성 요건을 충족한다고 보기 어려우며, 설계 단계에서 충분히 검토하는 것이 안전합니다. + +--- + +### 3-2-4. 고지 시점 + +사전 고지는 **이용자가 서비스를 이용하기 전**에 이루어져야 합니다. + +``` +┌──────────────────────────────────────────────────────┐ +│ 고지 시점 판단 기준 │ +├──────────────────────────────────────────────────────┤ +│ │ +│ ① 서비스 가입·설치 단계 → 이용약관에 명시 │ +│ ② 서비스 첫 실행 시 → 초기 화면에 안내 문구 │ +│ ③ 음성 서비스 연결 시 → 연결 초기 음성 안내 │ +│ ④ 오프라인 매장 → 이용 전 안내판·디스플레이 │ +│ │ +│ ★ 핵심: 이용자가 AI와 상호작용을 시작하기 전 │ +│ AI 기반 운용 사실을 인지할 수 있어야 합니다. │ +│ │ +│ ★ 매번 반복 고지 불필요 │ +│ 이용자가 한 번 인지할 수 있는 구조라면 충분합니다. │ +└──────────────────────────────────────────────────────┘ +``` + +> **실무 TIP** +> 챗봇의 경우 첫 대화 화면에서, 보이스봇의 경우 연결 초기 음성 안내로 고지하면 됩���다. 이용약관·앱 정보 화면 표시를 병행하면 이행의 충실도가 높아집니다. 상담원 연결 후에는 별도 고지가 필요하지 않습니다. + +--- + +> **핵심 요약** +> - 사전 고지 대상: **고영향 AI** 또는 **생성형 AI**를 이용한 제품·서비스 +> - 고지 내용: 해당 제품·서비스가 AI에 기반하여 **운용된다는 사실** +> - 고지 방법: 이용약관·화면 표시·장소 게시 등 **다양한 방법 허용** +> - 고지 시점: **이용 전**에 이루어져야 하며, 매번 반복 불��요 +> - 위반 시: **3,000만원 이하 과태료** (제43조제1항제1호) diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/13_3-3_AI_\354\203\235\354\204\261\353\254\274_\355\221\234\354\213\234_\354\235\230\353\254\264.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/13_3-3_AI_\354\203\235\354\204\261\353\254\274_\355\221\234\354\213\234_\354\235\230\353\254\264.md" new file mode 100644 index 0000000..841d65e --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/13_3-3_AI_\354\203\235\354\204\261\353\254\274_\355\221\234\354\213\234_\354\235\230\353\254\264.md" @@ -0,0 +1,215 @@ +## 3-3. AI 생성물 표시 의무 (제31조제2항) + +AI 생성물 표시 의무는 생성형 AI가 만든 결과물에 AI 생성 사실을 표시하는 의무입니다. 사전 고지(제1항)가 "서비스"에 관한 것이라면, 표시 의무(제2항)는 "결과물"에 관한 것입니다. + +--- + +### 3-3-1. 표시 대상 + +표시 대상은 **생성형 AI 또는 이를 이용한 제품·서비스가 생성한 결과물**입니다. + +| 구분 | 표시 대상 여부 | 설명 | +|------|:---:|------| +| 생성형 AI가 생성한 텍스트·이미지·음성·영상 등 | O | 제2항의 직접 대상 | +| 생성형 AI 연계 기능을 적용하지 않은 일반 편집 결과물 | X | 이미지 자르기 등 단순 편집 기능은 대상 아님 | +| 중간 생성물(프롬프트 입력·선택 과정) | X | 최종 결과물 제공 단계에서 표시하면 충분 | + +**표시 방법의 기본 원칙** + +시행령 제23조제2항에 따라 표시 방법은 두 가지로 나뉩니다. + +1. **사람이 인식할 수 있는 방법** — 로고, 워터마크, 안내 문구, 음성 등 +2. **기계가 판독할 수 있는 방법** — 디지털 워터마킹, 메타데이터 등 + +> **주의** +> 기계가 판독할 수 있는 방법(비가시적 방법)을 사용하는 경우, **최소 1회 이상 안내 문구·음성 등을 별도로 제공**해야 합니다. + +**서비스 내 제공 vs 외부 반출** + +``` +┌──────────────────────────────────────────────────────────────┐ +│ 표시 기본원칙 적용 흐름 │ +├──────────────────────────────────────────────────────────────┤ +│ │ +│ AI 생성물 제공 │ +│ │ │ +│ ├── 서비스 내 제공 (UI, 플랫폼 내) │ +│ │ └─ AI 생성물에 표시 또는 │ +│ │ 서비스 UI에 이용자가 알 수 있도록 표시 │ +│ │ │ +│ └── 외부 반출 (다운로드, 공유 등) │ +│ └─ AI 생성물 자체에 표시 필수 │ +│ ※ UI 표시만으로는 불충분 │ +│ │ +│ ★ 여러 유형의 결과물을 생성하는 경우(범용 AI 등) │ +│ → 각 유형에 따른 표시 방법을 개별 적용 │ +└──────────────────────────────────────────────────────────────┘ +``` + +> **실무 TIP** +> 서비스 내에서 UI 표시를 했더라도, 다운로드·공유 등 **외부 반출 기능을 제공하는 경우** 결과물 자체에 표시를 포함해야 합니다. 이 점을 설계 단계에서 반드시 반영해야 합니다. + +--- + +### 3-3-2. 매체별 표시 방법 (텍스트/이미지/음성/영상/코드) + +#### (1) 텍스트 생성물 + +**적용 대상**: 문자·부호로 구성된 텍스트 결과물을 다운로드·공유 등 기능으로 제공하는 경우 + +> 이용자가 클립보드(Copy & Paste) 기능을 이용하는 경우는 해당하지 않습니다. + +| 표시 방법 | 구체적 이행 | +|-----------|------------| +| 파일 형태로 제공 시 | 문서 머리말 또는 파일 메타데이터에 표시 | +| 비가시적 방법 적용 시 | 다운로드 시 문구·음성 등으로 AI 생성 사실을 1회 이상 안내 | + +**서비스 예시**: ChatGPT, 클로드(Claude), 제미나이(Gemini), 하이퍼클로바(HyperCLOVA) 등 + +#### (2) 이미지 생성물 + +| 표시 방법 | 구체적 이행 | +|-----------|------------| +| 사람이 인식할 수 있는 방법 | 이미지 내 로고 삽입 등 가시적 방법 | +| 기계가 판독할 수 있는 방법 | 디지털 워터마킹, 메타데이터 등 비가시적 방법 | + +> **사례 6** (이미지 생성 시 워터마크와 메타데이터) +> **Q.** 가시적 워터마크와 비가시적 메타데이터를 반드시 동시에 적용해야 합니까? +> **A.** 가시적·비가시적 방법 중 선택 또는 병용이 모두 허용되며, 법정 표준 서식은 없습니다. 서비스 환경(UI) 내에서만 제공되는 경우 화면 내 로고·문구 표시로 충분하며, 개별 이미지마다 워터마크를 반복 삽입할 필요는 없습니다. 다만 외부 반출 시에는 생성물 자체에 표시를 포함해야 하고, 비가시적 방법만 사용하는 경우 최소 1회 안내가 필요합니다. + +**서비스 예시**: Sora, 미드저니(Midjourney), 달리(DALL-E), 어도비 파이어플라이(Adobe Firefly) 등 + +#### (3) 음성·오디오 생성물 + +| 표시 방법 | 구체적 이행 | +|-----------|------------| +| 사람이 인식할 수 있는 방법 | 음성 시작 부분에 AI 생성 사실 안내 | +| 기계가 판독할 수 있는 방법 | 음성 워터마킹 기술, 메타데이터 등 | + +``` +┌───────────────────────────────────────────────────────┐ +│ 음성 생성물 표시 흐름 │ +├───────────────────────────────────────────────────────┤ +│ │ +│ "이 음성은 AI가 생성한 음성입니다." │ +│ ↓ │ +│ [AI 생성 오디오 콘텐츠 재생] │ +│ │ +│ ★ 재생 시간 전체에 표시할 필요 없음 │ +│ ★ 시작 부분에 간단히 안내하면 충분 │ +│ ★ AI 텍스트 대본을 AI 음성으로 읽는 경우에도 │ +│ "AI가 생성한 음성입니다" 등의 안내 필요 │ +└───────────────────────────────────────────────────────┘ +``` + +**서비스 예시**: Suno 등 + +#### (4) 영상·비디오 생성물 + +| 표시 방법 | 구체적 이행 | +|-----------|------------| +| 사람이 인식할 수 있는 방법 | 화면 영역 일부에 로고 표출, 영상 시작 부분에 AI 생성 사실 안내 | +| 기계가 판독할 수 있는 방법 | 디지털 워터마킹, 메타데이터 등 | + +> **주의** +> 딥페이크 수준의 영상은 AI로 생성된 재생구간 **전체에** 로고 표출 등으로 표시해야 합니다(3-4절 참조). + +**서비스 예시**: Runway, Sora, Pika Labs 등 + +#### (5) 코드 생성물 + +| 표시 방법 | 구체적 이행 | +|-----------|------------| +| 코드 생성 도구 | 프로젝트 설명, 코드 내 주석 등으로 표시 | + +``` +┌───────────────────────────────────────────────────────┐ +│ 코드 생성물 표시 예시 │ +├───────────────────────────────────────────────────────┤ +│ │ +│ // 이 코드는 AI(생성형 인공지능)에 의해 생성되었습니다 │ +│ // Generated by AI │ +│ function calculateTotal(items) { │ +│ return items.reduce((sum, item) => │ +│ sum + item.price, 0); │ +│ } │ +│ │ +│ ★ 프로젝트 실행에 영향을 미치지 않는 주석 형식 사용 │ +│ ★ 또는 README.md 파일 등에 명시 │ +└───────────────────────────────────────────────────────┘ +``` + +#### 기타 파일 형식 (슬라이드, PDF 등) + +| 표시 방법 | 구체적 이행 | +|-----------|------------| +| 사람이 인식할 수 있는 방법 | 머리말, 첫 슬라이드 일부 영역 등에 AI 생성 사실 표시 | +| 기계가 판독할 수 있는 방법 | 파일 작성자 등 메타데이터 영역에 AI 생성물임을 표시 | + +**서비스 예시**: Canva, Gamma 등 + +--- + +### 3-3-3. 멀티 LLM 환경에서의 표시 + +여러 LLM 모델을 선택할 수 있는 서비스에서 구체적인 모델명까지 표시해야 하는지가 실무에서 자주 문의됩니다. + +> **사례 10** (멀티 LLM 환경에서의 모델명 표시) +> **Q.** 이용자가 GPT-4, Gemini 등 여러 LLM 중 하나를 선택하는 서비스에서 구체적인 모델명까지 표시해야 하나요? +> **A.** 현행 법령에서는 구체적인 모델명(예: GPT-4o)까지 기재하도록 요구하지 않습니다. "인공지능이 생성한 결과물" 또는 "인공지능 생성물" 등의 포괄적 표현으로 표시 의무를 이행할 수 있습니다. 다만 이용자 신뢰와 선택권 측면에서 모델명을 함께 제공하는 것이 바람직합니다. + +``` +┌──────────────────────────────────────────────────────┐ +│ 멀티 LLM 환경 표시 가이드 │ +├──────────────────────────────────────────────────────┤ +│ │ +│ 법적 최소 요건: │ +│ "AI 생성물" 또는 "인공지능이 생성한 결과물" │ +│ → 포괄적 표현으로 충분 │ +│ │ +│ 권장 사항 (자율적 투명성 강화): │ +│ 모델명 또는 사용 엔진 정보를 서비스 화면이나 │ +│ 정책 페이지에서 일관되게 안내 │ +│ │ +│ ★ B2B 서비스에서 모델명이 기밀인 경우에도 │ +│ "AI 생성물" 표시 의무는 별도로 이행해야 합니다. │ +└──────────────────────────────────────────────────────┘ +``` + +--- + +### 3-3-4. 온라인 커머스·광고·SNS·인쇄물 + +이 영역에서의 핵심은 **"AI서비스를 이용하는 자(이용자)"와 "AI서비스를 제공하는 자(사업자)"의 구분**입니다. + +> **사례 11** (광고영상·SNS 콘텐츠·인쇄물) +> **Q.** 광고영상·SNS 콘텐츠·인쇄물 제작을 위해 AI 생성물을 사용하면 표시 의무가 있습니까? +> **A.** 단순히 생성형 AI로 광고용 콘텐츠를 만들어 게시하는 경우는 '이용자'에 해당하여 표시 의무가 없습니다. 반면 이용자에게 AI서비스를 제공하는 사업자라면 표시 의무가 발생하며, 워터마크·자막·게시글 텍스트 등 다양한 방법이 허용됩니다. 워터마크의 위치/크기 등 정형 규격은 없으며, 이용자가 합리적으로 인지할 수 있는 수준이면 됩니다. + +``` +┌──────────────────────────────────────────────────────────────┐ +│ 온라인 커머스·광고·SNS에서의 표시 의무 판단 │ +├──────────────────────────────────────────────────────────────┤ +│ │ +│ [상황 1] 타사 AI서비스로 광고 이미지를 만들어 게시 │ +│ → 이용자에 해당 → 표시 의무 없음 │ +│ │ +│ [상황 2] 자사 AI서비스를 통해 소비자가 직접 이미지를 생성 │ +│ → AI이용사업자에 해당 → 표시 의무 있음 │ +│ │ +│ [상황 3] 자사 AI서비스를 타사에게 제공하여 광고 제작 │ +│ → AI사업자에 해당 → 투명성 확보 의무 적용 │ +│ │ +│ ★ 핵심: "AI서비스를 제공하는 구조인가?"가 판단 기준 │ +└──────────────────────────────────────────────────────────────┘ +``` + +--- + +> **핵심 요약** +> - 표시 대상: **생성형 AI가 생성한 결과물** (단순 편집·중간 생성물 제외) +> - 표시 방법: **가시적 방법**(로고·워터마크·문구)과 **비가시적 방법**(메타데이터·디지털 워터마킹) 중 선택 또는 병용 +> - 외부 반출 시: 결과물 **자체에** 표시 필수 (UI 표시만으로는 불충분) +> - 비가시적 방법만 사용하는 경우: **최소 1회** 안내 문구·음성 제공 필요 +> - 멀티 LLM 환경: **구체적 모델명은 법적 의무가 아님** (포괄적 표현으로 충분) +> - 온라인 커머스·광고: AI서비스 **이용자**인 경우 표시 의무 없음, **사업자**인 경우 의무 발생 diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/14_3-4_\353\224\245\355\216\230\354\235\264\355\201\254_\354\203\235\354\204\261\353\254\274_\355\212\271\353\263\204_\354\235\230\353\254\264.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/14_3-4_\353\224\245\355\216\230\354\235\264\355\201\254_\354\203\235\354\204\261\353\254\274_\355\212\271\353\263\204_\354\235\230\353\254\264.md" new file mode 100644 index 0000000..80dc3d5 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/14_3-4_\353\224\245\355\216\230\354\235\264\355\201\254_\354\203\235\354\204\261\353\254\274_\355\212\271\353\263\204_\354\235\230\353\254\264.md" @@ -0,0 +1,130 @@ +## 3-4. 딥페이크 생성물 특별 의무 (제31조제3항) + +제31조제3항은 "실제와 구분하기 어려운 가상의 생성물"에 대해 일반 생성물보다 강화된 표시 의무를 부과합니다. 이른바 딥페이크(Deepfake) 생성물에 대한 특별 규정입니다. + +--- + +### 3-4-1. "실제와 구분하기 어려운 가상 생성물"의 범위 + +> **법률 원문** | 제31조제3항 +> 인공지능사업자는 인공지능시스템을 이용하여 실제와 구분하기 어려운 가상의 음향, 이미지 또는 영상 등의 결과물을 제공하는 경우 해당 결과물이 인공지능시스템에 의하여 생성되었다는 사실을 이용자가 명확하게 인식할 수 있는 방식으로 고지 또는 표시하여야 한다. + +**딥페이크 생성물의 범위** + +| 대상 매체 | 포함 여부 | 설명 | +|-----------|:---------:|------| +| 음향 | O | 실존 인물의 목소리를 모방한 AI 합성 음성 등 | +| 이미지 | O | 실제 사진과 구분하기 어려운 AI 생성 이미지 등 | +| 영상 | O | 실존 인물의 얼굴·동작을 합성한 영상 등 | +| 텍스트 | X | 텍스트는 딥페이크 범위에 해당하지 않음 | + +> **주의** +> "실제와 구분하기 어려운" 수준인지는 **인공지능사업자가 판단**합니다. 이를 판단·통제할 수 없는 경우(예: 이용자 입력에 따라 다양한 수준의 결과물이 나오는 서비스)에는 **딥페이크 기준을 적용**해야 합니다. + +``` +┌──────────────────────────────────────────────────────────────┐ +│ 딥페이크 해당 여부 판단 흐름 │ +├──────────────────────────────────────────────────────────────┤ +│ │ +│ AI 제품·서비스가 이미지·음향·영상을 생성하는가? │ +│ │ │ +│ ├── No → 딥페이크 표시 의무 해당 없음 │ +│ │ │ +│ └── Yes │ +│ │ │ +│ ├── 사업자가 "실제와 구분하기 어렵지 않다"고 │ +│ │ 명확하게 판단할 수 있는가? │ +│ │ (예: 웹툰·캐릭터·애니메이션 전용 도구) │ +│ │ │ │ +│ │ └── Yes → 일반 생성물 기준 적용 │ +│ │ │ +│ └── 사업자가 딥페이크 여부를 판단·통제할 │ +│ 수 없는가? │ +│ │ │ +│ └── Yes → 딥페이크 기준 적용 │ +└──────────────────────────────────────────────────────────────┘ +``` + +> **실무 TIP** +> 웹툰·캐릭터·애니메이션 전용 저작도구처럼 실제와 구분하기 어려운 결과물을 제공할 가능성이 없다고 사업자가 명확하게 판단할 수 있는 경우에는 일반 생성물의 표시 기준을 적용할 수 있습니다. + +--- + +### 3-4-2. 이행 방법 + +딥페이크 생성물에 대한 표시는 일�� 생성물보다 **강화된 기준**이 적용됩니다. + +**서비스 내 제공 시** + +서비스 이용 환경 내에서 제공되는 경우에는 일반 생성물과 동일한 방법을 적용합니다. + +**외부 반출 시 (핵심 차이점)** + +| 구분 | 일반 생성물 | 딥페이크 생성물 | +|------|-----------|----------------| +| 표시 방법 선택 | 가시적 또는 비가시적 방법 중 선택 가능 | **사람이 직관적으로 인식할 수 있는 방법** 적용 (가시적 방법 원칙) | +| 영상의 경우 | 시작 부분 안내 등으로 충분 | AI로 생성된 재생구간 **전체에** 로고 표출 등 | +| 추가 조치 | - | 인물 특성 합성, 오인·혼동 위험이 있는 경우 **추가적 조치** 필요 | + +시행령 제23조제3항은 딥페이��� 표시 시 고려할 사항을 다음과 같이 규정합니다. + +``` +┌──────────────────────────────────────────────────────────────┐ +│ 딥페이크 표시 시 고려사항 (시행령 제23조제3항) │ +├──────────────────────────────────────────────────────────────┤ +│ │ +│ ① 이용자가 시각, 청각 등을 통하거나 소프트웨어 등을 │ +│ 이용하여 쉽게 내용을 확인할 수 있는 방법으로 │ +│ 고지 또는 표시할 것 │ +│ │ +│ ② 주된 이용자의 연령, 신체적·사회적 조건 등을 │ +│ 고려하여 고지 또는 표시할 것 │ +│ │ +└──────────────────────────────────────────────────────────────┘ +``` + +> **주의** +> 딥페이크의 위험성은 현실적으로 매우 심각합니다. 가짜뉴스 유포(펜타곤 폭발 가짜뉴스 사건, 2023), 선거 개입(미국 대통령 선거 딥페이크 이미지 유포), 디지털 성범죄(텔레그램 딥페이크 합성 사건, 2024) 등이 대표적입니다. 이러한 위험을 고려하여 딥페이크 표시는 일반 생성물보다 엄격하게 적용해야 합니다. + +--- + +### 3-4-3. AI 생성 + 사람 수정 콘텐츠 + +AI가 생성한 결과물에 사람이 편집·수정을 가한 경우의 표시 의무 여부는 "누가, 어떤 구조로 제공하는가"에 따라 달라집니다. + +> **사례 9** (AI 생성 + 사람 수정 콘텐츠) +> **Q.** 생성형 AI로 만든 결과물을 사람이 일부 수정하면 표시 의무가 달라지나요? +> **A.** 타사의 생성형 AI서비스로 이미지를 만들고 단순 삽입하는 경우는 이용자에 해당하여 표시 의무가 없습니다. 다만, 생성형 AI 제품·서비스 내 기능의 일부로 리터칭(추가 편집) 기능을 제공하고 최종 결과물을 출력하는 구조라면 해당 사업자에게 표시 의무가 적용됩니다. + +``` +┌──────────────────────────────────────────────────────────────┐ +│ AI 생성 + 사람 수정 콘텐츠의 표시 의무 판단 │ +├──────────────────────────────────────────────────────────────┤ +│ │ +│ [상황 1] 이용자가 AI 생성물을 받아서 직접 편집 │ +│ (예: AI로 이미지 생성 → 포토샵으로 색보정) │ +│ → 이용자에 해당 → 표시 의무 없음 │ +│ │ +│ [상황 2] 사업자가 AI 생성 + 리터칭 기능을 서비스로 제공 │ +│ (예: AI 이미지 생성 → 서비스 내 편집 기능 → 최종 출력) �� +│ → AI사업자에 해당 → 표시 의무 적용 │ +│ │ +│ [상황 3] 이용자가 편집 기능을 자동화하여 타인에게 서비스 제공 │ +│ → AI이용사업자로 전환 → 표시 의무 발생 가능 │ +│ │ +│ ★ 핵심: "편집 기능을 서비스로 타인에게 제공하는가?" │ +└──────────────────────────────────────────────────────────────┘ +``` + +> **실무 TIP** +> AI 생성물에 사람이 단순 보조 역할(색보정·노이즈 제거 등)만 한 경우는 표시 의무에서 제외될 수 있습니다. 다만, 이 기능을 자동화하여 타인에게 제공하는 구조로 전환되면 의무가 발생할 수 있으므로 기능 제공 구조가 변경될 때마다 재검토가 필요합니다. + +--- + +> **핵심 요약** +> - 딥페이크 생성물: **실제와 구분하기 어려운 가상의 음향·이미지·영상** (텍스트 제외) +> - 딥페이크 여부를 판단·통제할 수 없으면 **딥페이크 기준을 적용** +> - 외부 반출 시: **사람이 직관적으로 인식할 수 있는 가시적 표시가 원칙** +> - 영상은 AI 생성 재생구간 **전체에** 표시 +> - AI 생성 + 사람 수정: **누가 어떤 구조로 제공하는가**에 따라 의무 여부 결정 +> - 이용자가 직접 편집하는 것은 의무 대상이 아니지만, 서비스로 타인에게 제공하면 의무 발생 diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/15_3-5_\355\221\234\354\213\234_\353\251\264\354\240\234_\354\230\210\354\231\270.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/15_3-5_\355\221\234\354\213\234_\353\251\264\354\240\234_\354\230\210\354\231\270.md" new file mode 100644 index 0000000..83a439b --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/15_3-5_\355\221\234\354\213\234_\353\251\264\354\240\234_\354\230\210\354\231\270.md" @@ -0,0 +1,158 @@ +## 3-5. 표시 면제·예외 사항 + +투명성 확보 의무에는 법령상 면제 사유가 있으며, 예술적 표현물이나 법 시행 전 제작물에 대한 특례도 존재합니다. + +--- + +### 3-5-1. 법령상 면제 사유 + +「인공지능기본법 시행령」 제23조제4항은 투명성 확보 의무의 예외를 규정합니다. + +``` +┌──────────────────────────────────────────────────────────────┐ +│ 투명성 확보 의무 면제·예외 사유 │ +├──────────────────────────────────────────────────────────────┤ +│ │ +│ ① 명백성 예외 (시행령 제23조제4항제1호) │ +│ 서비스명·화면 문구·표시 방법 등을 종합적으로 고려하여 │ +│ AI 활용 사실이 이용자에게 명백한 경우 │ +│ → 의무의 전부 또는 일부를 예외로 할 수 있음 │ +│ │ +│ ② 내부 업무 전용 (시행령 제23조제4항제2호) │ +│ 인공지능사업자의 내부 업무 용도로만 사용하는 경우 │ +│ → 사전고지 및 표시 의무 적용 제외 │ +│ │ +└──────────────────────────────────────────────────────────────┘ +``` + +**면제 사유별 상세 설명** + +**1. 명백성 예외** + +서비스명·화면 문구·표시 방법 등을 종합적으로 고려할 때, AI 활용 사실이 이용자에게 **명백한** 경우 의무의 전부 또는 일부가 예외로 인정될 수 있습니다. + +> **주의** +> 서비스명 하나만으로는 명백성 요건을 충족한다고 보기 어렵습니다. 또한 예외가 자동으로 발생하는 것이 아니므로, 설계 단계에서 충분히 검토하는 것이 안전합니다. + +**2. 내부 업무 전용** + +외부에 제품·서비스를 제공하지 않고, 내부 직원이 업무용으로만 사용하는 AI에는 투명성 확보 의무가 적용되지 않습니다. + +> **사례** (내부 업무용 AI — 「지원데스크 사례집」 사례 5) +> **Q.** 내부 업무용으로만 자체 개발하여 사용하는 AI는 투명성 확보 의무 적용 대상인가? +> **A.** 시행령 제23조제4항제2호에 따라 사전고지 및 표시 의무가 제외됩니다. 단, 해당 AI가 제3자에게 제공되면(무상·유상 무관) 투명성 의무가 적용되므로 제공 범위 관리가 필요합니다. 또한 내부용이라도 고영향 AI에 해당하면 제34조의 사업자 책무는 별도로 적용됩니다. + +``` +┌──────────────────────────────────────────────────────────────┐ +│ 내부 업무 전용 AI의 의무 범위 │ +├──────────────────────────────────────────────────────────────┤ +│ │ +│ 투명성 의무 (제31조) → 예외 적용 (사전고지·표시 면제) │ +│ 고영향 AI 책무 (제34조) → 별도 판단 필요 (면제 아님) │ +│ │ +│ ★ 내부 전용이라도 모든 의무에서 벗어나는 것은 아닙니다. │ +│ ★ 제공 범위가 바뀌면 투명성 의무가 즉시 발생합니다. │ +└──────────────────────────────────────────────────────────────┘ +``` + +**면제 사유 요약표** + +| 면제 사유 | 사전고지(제1항) | 표시(제2항) | 근거 | +|-----------|:---:|:---:|------| +| AI 활용 사실이 이용자에게 명백한 경우 | 예외 가능 | 예외 가능 | 시행령 제23조제4항제1호 | +| 내부 업무 전용 AI | 면제 | 면제 | 시행령 제23조제4항제2호 | +| 법 시행 전 생성·게시된 결과물 | 해당 없음 | 소급 없음 | 부칙(적용 시기) | + +--- + +### 3-5-2. 예술적 표현물의 표시 + +「인공지능기본법」 제31조제3항 후단은 예술적·창의적 표현물에 대한 완화된 표시 방법을 허용합니다. + +> **법률 원문** | 제31조제3항 후단 +> 해당 결과물이 예술적·창의적 표현물에 해당하거나 그 일부를 구성하는 경우에는 전시 또는 향유 등을 저해하지 아니하는 방식으로 고지 또는 표시할 수 있다. + +**예술적·창의적 표현물이란** + +미술, 영화, 문학, 사진, 출판, 만화, 게임, 애니메이션 등 창의적 표현 활동에 따른 결과물을 의미합니다. + +> **사례 12** (예술적·창의적 표현물의 표시) +> **Q.** 전시·감상 목적의 AI 생성 예술 작품에서 가시적 워터마크가 감상을 해칠 수 있습니다. 비가시적 방법으로 의무 이행이 가능한가요? +> **A.** 예술적·창의적 표현물에서 가시적 표시가 전시·향유를 실질적으로 저해하는 경우, 두 가지 대체 방법이 허용됩니다. +> - **별도 영역 표시**: 주요 콘텐츠와 겹치지 않는 영역(엔딩크레딧, 자막 등)에 표시 +> - **비가시적 표시**: 기계가 판독할 수 있는 메타데이터 삽입 등 +> +> 단, 비가시적 방법만 단독으로 사용하는 경우 이용자에게 최소 1회 이상 별도 안내 문구·음성을 제공해야 합니다. + +``` +┌──────────────────────────────────────────────────────────────┐ +│ 예술적 표현물의 표시 방법 선택 흐름 │ +├──────────────────────────────────────────────────────────────┤ +│ │ +│ AI 생성 예술 작품을 제공하는 인공지능사업자인가? │ +│ │ │ +│ ├── No → 이용자에 해당 → 표시 의무 없음 │ +│ │ │ +│ └── Yes │ +│ │ │ +│ ├── 가시적 표시가 감상을 저해하는가? │ +│ │ │ │ +│ │ ├── No → 가시적 표시 적용 권장 │ +│ │ │ │ +│ │ └── Yes → 대체 방법 선택 │ +│ │ │ │ +│ │ ├── 별도 영역 표시 │ +│ │ │ (엔딩크레딧, 자막 등) │ +│ │ │ │ +│ │ └── 비가시적 표시 │ +│ │ (메타데이터 등) │ +│ │ + 1회 이상 안내 필수 │ +│ │ │ +│ └── 시간적으로 주요 콘텐츠와 차이를 두어 │ +│ 표시하는 방법도 허용 │ +│ (예: 전시장 입구 안내판, 작품 설명문) │ +└──────────────────────────────────────────────────────────────┘ +``` + +--- + +### 3-5-3. 법 시행 전 제작물의 소급 적용 여부 + +> **사례 13** (법 시행 전 제작물의 소급 적용) +> **Q.** 인공지능기본법 시행(2026.1.22.) 이전에 AI로 생성하여 SNS·유튜브 등에 게시한 결과물에 대해서도 소급하여 워터마크를 삽입해야 하나요? +> **A.** 인공지능기본법은 법 시행 이후 생성되는 AI 생성물에 대해 표시 의무를 부과합니다. 법 시행 이전에 이미 생성·게시된 결과물에 대해서는 **소급 적용이 되지 않으므로**, 기존 게시물에 워터마크를 삽입하거나 삭제·재업로드할 필요가 없습니다. + +``` +┌──────────────────────────────────────────────────────────────┐ +│ 소급 적용 여부 판단 기준 │ +├──────────────────────────────────────────────────────────────┤ +│ │ +│ 2026.1.22. (법 시행일) │ +│ │ │ +│ ─────┼───────────────────────────── │ +│ │ │ +│ 이전 │ ★ 소급 적용 없음 │ +│ │ ★ 기존 게시물 유지 가능 │ +│ │ ★ 워터마크 삽입·삭제·재업로드 불필요 │ +│ │ │ +│ 이후 │ ★ 새로 생성하여 제공하는 결과물부터 의무 적용 │ +│ │ ★ 동일·유사 콘텐츠라도 새로 생성하면 의무 발생 │ +│ │ ★ 단순 게시 유지는 해당 없음 │ +│ │ │ +│ 경계 │ 법 시행 전 생성물을 법 시행 후 대폭 수정·재편집하여 │ +│ 사례 │ 실질적으로 새로운 생성물을 만들어 제공하는 경우 │ +│ │ → 그 새로운 생성물에는 표시 의무가 적용될 수 있음 │ +└──────────────────────────────────────────────────────────────┘ +``` + +> **실무 TIP** +> "단순 게시 유지"와 "새로 생성하여 제공"의 구분이 중요합니다. 법 시행 전에 광고·심의를 완료한 영상에 소급 책임을 묻지는 않지만, 법 시행 후 제작·송출하는 광고 콘텐츠에는 표시 의무가 적용됩니다. 또한 이용자 본인이 직접 콘텐츠를 수정·재편집하여 게시하는 행위는 이 의무의 대상이 아닙니다. + +--- + +> **핵심 요약** +> - **명백성 예외**: AI 활용 사실이 이용자에게 명백한 경우 의무의 전부 또는 일부 면제 가능 (단, 서비스명만으로는 불충분) +> - **내부 업무 전용**: 사전고지·표시 의무 면제 (단, 고영향 AI 책무는 별도) +> - **예술적 표현물**: 전시·향유를 저해하지 않는 방식(별도 영역 표시, 비가시적 표시) 허용 +> - **소급 적용 없음**: 법 시행(2026.1.22.) 전 생성·게시 결과물에는 표시 의무 미적용 +> - 법 시행 후 동일·유사 콘텐츠를 **새로 생성하여 제공**하면 그 시점부터 의무 발생 diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/16_3-6_\354\213\244\353\254\264_\352\265\254\355\230\204_\352\260\200\354\235\264\353\223\234.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/16_3-6_\354\213\244\353\254\264_\352\265\254\355\230\204_\352\260\200\354\235\264\353\223\234.md" new file mode 100644 index 0000000..90307e0 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/16_3-6_\354\213\244\353\254\264_\352\265\254\355\230\204_\352\260\200\354\235\264\353\223\234.md" @@ -0,0 +1,391 @@ +## 3-6. 실무 구현 가이드 + +이 절에서는 개발자를 대상으로 투명성 확보 의무를 실제 서비스�� 구현하는 방법을 설명합니다. 웹 서비스, 모바일 앱, API 서비스, 챗봇·보이스봇의 네 가지 환경별 구현 예시를 다룹니다. + +--- + +### 3-6-1. 웹 서비스 + +**사전고지 구���** + +```html + + + + +
+

제○조 (인공지능 활용 안내)

+

본 서비스는 생성형 인공지능 기술에 기반하여 + 운용되며, 제공되��� 결과물은 인공지능에 의해 + 생성됩니다.

+
+``` + +**AI 생성물 표시 구현 (서비스 내 제공)** + +```html + +
+ + AI 생성 + +

{{ ai_generated_text }}

+
+ + +``` + +**AI 생성물 표시 구현 (외부 반출 — 파일 다운로드)** + +```python +# 이미지 메타��이터에 AI 생성 사실 삽입 (Python 예시) +from PIL import Image +from PIL.PngImagePlugin import PngInfo + +def add_ai_metadata(image_path, output_path): + """이미지 파일에 AI 생성물 메타데이터를 삽입합니다.""" + img = Image.open(image_path) + metadata = PngInfo() + metadata.add_text("AI-Generated", "true") + metadata.add_text("AI-Generator", "서비스명") + metadata.add_text("AI-Disclaimer", + "이 이미지�� 인공지능에 의해 생성되었습니다.") + img.save(output_path, pnginfo=metadata) +``` + +```javascript +// 다운로드 시 1회 안내 문구 표시 (비가시적 방법 사용 시) +function downloadAiContent(fileUrl) { + const confirmed = confirm( + "이 파일은 인공지능에 의해 생성된 콘텐츠입니다.\n" + + "다운로드하시겠습니까?" + ); + if (confirmed) { + window.location.href = fileUrl; + } +} +``` + +**HTML 메타태그 활용** + +```html + + + + +``` + +--- + +### 3-6-2. 모바일 앱 + +**사전고지 구현** + +``` +┌──────────────────────────────────────────┐ +│ 모바일 앱 사전���지 흐름 │ +├──────────────────────────────────────────┤ +│ │ +│ ① 앱 설치 시 │ +│ → 앱 스토어 설명에 AI 활용 명시 │ +│ │ +│ ② 첫 실행 시 │ +│ → 온보딩 화면에 AI 기반 운용 안내 │ +│ → "이 앱은 생성형 AI를 활용합니다" │ +│ → 확인 버튼으로 인지 확인 │ +│ │ +│ ③ 이용약관 동의 시 │ +│ → AI ��용 조항 포함 │ +│ │ +└──────────────────────────────────────────┘ +``` + +```swift +// iOS — 앱 첫 실행 시 AI 고지 (Swift 예시) +func showAIDisclosure() { + let alert = UIAlertController( + title: "AI 기반 서비스 안내", + message: "본 서비스는 생성형 인공지능을 활용하여 " + + "운용됩니다. 제공되는 결과물은 인공지능에 " + + "의해 생성됩니다.", + preferredStyle: .alert + ) + alert.addAction(UIAlertAction( + title: "확인", + style: .default + )) + present(alert, animated: true) +} +``` + +```kotlin +// Android — 인앱 AI 생성물 표시 (Kotlin 예시) +fun showAiBadge(view: TextView) { + val badge = SpannableString(" AI 생성 ") + badge.setSpan( + BackgroundColorSpan(Color.parseColor("#6B7280")), + 0, badge.length, + Spannable.SPAN_EXCLUSIVE_EXCLUSIVE + ) + view.append(badge) +} +``` + +**이미지 공유 시 표���** + +```kotlin +// 이미지 공유 시 AI 생성 사실 안내 +fun shareAiImage(imageUri: Uri) { + // 공유 전 1회 안내 + AlertDialog.Builder(context) + .setTitle("AI 생성물 안내") + .setMessage("이 이미지는 인공지능에 의해 " + + "생성되었습니다.") + .setPositiveButton("공유") { _, _ -> + val intent = Intent(Intent.ACTION_SEND).apply { + type = "image/*" + putExtra(Intent.EXTRA_STREAM, imageUri) + } + startActivity( + Intent.createChooser(intent, "공유") + ) + } + .setNegativeButton("취소", null) + .show() +} +``` + +--- + +### 3-6-3. API 서비스 + +AI 기능을 API로 제공하는 경우, API 응답에 AI 생성 사실을 포함하는 것이 중요합니다. + +**응답 헤더에 AI 생성 메타데이터 포함** + +``` +HTTP/1.1 200 OK +Content-Type: application/json +X-AI-Generated: true +X-AI-Model: service-model-v1 +X-AI-Transparency: 이 응답은 인공지능에 의해 생성되었습니다 +``` + +**응답 본문에 메타데이터 필드 포함** + +```json +{ + "result": { + "text": "AI가 생성한 텍스트 내용...", + "image_url": "https://example.com/generated.png" + }, + "ai_metadata": { + "ai_generated": true, + "generator": "서비스명", + "generated_at": "2026-04-08T10:00:00Z", + "disclosure": "이 결과물은 인공지능에 의해 생성되었습니다." + } +} +``` + +**API 문서에 투명성 가이드 포함** + +``` +┌──────────────────────────────────────────────────────────────┐ +│ API 투명성 구현 체크리스트 │ +├──────────────────────────────────────────────────────────────┤ +│ │ +│ ① 응답 헤더에 X-AI-Generated 필드 포함 │ +│ │ +│ ② 응답 본문에 ai_metadata 객체 포함 │ +│ - ai_generated: boolean │ +│ - generator: string (서비스명) │ +│ - disclosure: string (안내 문구) │ +│ │ +│ ③ 이미지/파일 응답 시 메타데이터에 AI 생성 정보 삽입 │ +│ │ +│ ④ API 문서에 투명성 가이드라인 명시 │ +│ → "이 API를 통해 생성된 결과물을 이용자에게 │ +│ 제공하는 경우, AI 생성물 표시 의무가 발생할 │ +│ 수 있습니다." │ +│ │ +│ ⑤ SDK에 표시 헬퍼 함수 제공 (권장) │ +│ → addAiDisclosure(), getAiMetadata() 등 │ +└──────────────────────────────────────────────────────────────┘ +``` + +> **실무 TIP** +> API를 통해 AI 기능을 제공하는 경���, 최종 이용자에게 서비스를 제공하는 주체(API를 호출하는 이용사업자)가 투명성 의무의 1차적 주체입니다. 그러나 API 제공자(개발사업자)도 이용사업자가 의무를 쉽게 이행할 수 있도록 메타데이터와 가이드를 함께 제공하는 것이 바람직합니다. + +--- + +### 3-6-4. 챗봇·보이스봇 + +> **사례 7** (챗봇·보이스봇 사전고지와 표시) +> **Q.** 챗봇·보이스봇에서 사전고지와 표시 의무를 어떻게 이행하나요? +> **A.** 챗봇은 첫 대화 화면 문구로, 보이스봇은 연결 초기 음성 안내로 사전고지를 이행합니다. 서비스 환경 내 응답은 UI 로고·문구로 처리하고, 외부 반출(대화 내용 다운로드 등) 기능이 있으면 생성물 자체에 표시를 포함해야 합니다. + +**챗봇 구현** + +``` +┌──────────────────────────────────────────────────────────────┐ +│ 챗봇 투명성 구현 구조 │ +├──────────────────────────────────────────────────────────────┤ +│ │ +│ ┌─────────────────────────────────────┐ │ +│ │ 💬 AI 어시스턴트 │ ← 서비스명에 │ +│ │ │ AI 표시 │ +│ │ ℹ️ 이 서비스는 생성형 인공지능을 │ ← 초기 안내 │ +│ │ 활용하여 운용됩니다. │ (사전고지) │ +│ │ │ │ +│ │ ───────────────────────── │ │ +│ │ │ │ +│ │ 🤖 안녕하세요! 무엇을 도와 │ ← 로고/아이콘으로 │ +│ │ 드릴까요? │ AI 표시 │ +│ │ │ │ +│ │ 👤 오늘 날씨 알려줘 │ │ +│ │ │ │ +│ │ 🤖 서울 기온은 18도입니다. │ │ +│ │ [AI 생성] ← │ ← 생성물 표시 │ +│ │ │ │ +│ │ [대화 내용 다운로드] │ ← 외부 반출 시 │ +│ │ │ 파일에 표시 포함 │ +│ └─────────────────────────────────────┘ │ +└──────────────────────────────────────────────────────────────┘ +``` + +```python +# 챗봇 초기 메시지에 사전���지 포함 (Python 예시) +class AIChatbot: + def get_welcome_message(self): + return { + "type": "system", + "content": "이 서비스는 생성형 인공지능을 " + "활용하여 운용됩니다.", + "ai_disclosure": True + } + + def generate_response(self, user_input): + response = self.model.generate(user_input) + return { + "type": "ai_response", + "content": response, + "ai_generated": True, + "ai_badge": "AI 생성" + } + + def export_conversation(self, conversation): + """대화 내용 다운로드 시 AI 생성 표시 포함""" + header = ("이 대화는 인공지능에 의해 " + "생성된 응답을 포함합니다.\n" + "---\n\n") + return header + "\n".join( + f"[{'AI' if m['ai_generated'] else '사용자'}] " + f"{m['content']}" + for m in conversation + ) +``` + +**보이스봇 구현** + +``` +┌──────────────────────────────────────────────────────────────┐ +│ 보이스봇 투명성 ��현 흐름 │ +├──────────────────────────────────────────────────────────────┤ +│ │ +│ ① 통화 연결 시 │ +│ TTS: "안녕하세요. 이 서비스는 인공지능 음성 │ +│ 서비스입니다." │ +│ ↓ │ +│ ② AI 응답 제공 │ +│ (연속 대화에서 매번 안내 불필요) │ +│ ↓ │ +│ ③ 사람 상담원 전환 시 │ +│ TTS: "지금부터 상담원이 응대합니다." │ +│ (AI → 사람 전환 안내) │ +│ │ +│ ★ 음성 가전 등 실물 제품의 경우 │ +│ → 제품 겉면에 AI 기반 운용 사실 표시 │ +│ │ +└──────────────────────────────────────────────────────────────┘ +``` + +> **실무 TIP** +> 하이브리드 구조(AI + 사람 상담원)의 경우, AI 응답 구간과 사람 응답 구간을 이용자가 구별할 수 있도록 표시하는 것이 바람직합니다. 전�� 시점을 명확히 안내하면 혼선을 방지할 수 있습니다. + +--- + +**서비스 유형별 표시 방법 요약** + +| 서비스 유형 | 사전���지 방법 | 서비스 내 표시 | 외부 반출 시 표시 | +|------------|-------------|--------------|-----------------| +| 대화 기반 서비스 (ChatGPT 등) | 초기 안내 또는 지속 로고 표출 | 채팅 UI 로고·문구 | 파일 메타데이터, 머리말 | +| 음성 어시스턴트 | 이용 전 음성 안내 | 호출식이면 반복 안내 불필요 | 음성 시작 부분 안내 | +| 게임·메타버스 | 초기 화면 안내, NPC명에 AI 표시 | AI NPC 대화 시 안내 | - | +| 생산성 향상 서비스 | 이용 화면 내 로고 | 개별 결과물 표시 불필요 | 파일 저장 시 추가 표시 필요 | +| 이미지 생성 서비스 | 서비스 화면 안내 | UI 내 로고·문구 | 워��마크 또는 메타데이터 | +| 코드 생성 도구 | 서비스 화면 안내 | UI 내 표시 | 코드 주석 또는 README | + +--- + +> **핵심 요약** +> - **웹 서비스**: 상단 배너·이용약관에 사전고지, AI 배지로 서비스 내 표시, 다운로드 시 메타데이터 삽입 + 1회 안내 +> - **모바일 앱**: 온보딩 화면·이용약관에 사전고지, 인앱 배지 표시, 공유 시 안내 팝업 +> - **API 서비스**: 응답 헤더·본문에 AI 메타데이터 포함, API 문서에 투명성 가이드 명시 +> - **챗봇·보이스봇**: 첫 대화·연결 초기에 사전고지, UI/음성으로 표시, 대화 내용 다운로드 시 헤더에 표시 포함 + +--- + +## 3장 투명성 확보 체크리스트 + +3장의 내용을 기반으로, 투명성 확보 의무 이행을 위한 자가점검 체크리스트입니다. + +### 사전고지 점검 (제31조제1항) + +- [ ] 서비스가 고영향 AI 또는 생성형 AI에 기반하는지 확인했는가? +- [ ] 이용약관·계약서에 AI 기반 운용 사��을 명시했는가? +- [ ] 서비스 첫 화면 또는 이용 전 단계에서 AI 운용 안내를 제공하는가? +- [ ] 음성 서비스의 경우 연결 초기에 음성 안내를 제공하는가? +- [ ] 오프라인 서비스의 경우 제공 장소에 안내를 게시했는가? + +### AI 생성물 표시 점검 (제31조제2항) + +- [ ] 생성형 AI의 결과물에 AI 생성 사실을 표시하고 있는가? +- [ ] 서비스 내 제공 시 UI에 이용자가 인지할 수 있는 표시(로고·문구 등)가 있는가? +- [ ] 다운로드·공유 등 외부 반출 기능을 제공하는 경우, 결과물 자체에 표시를 포함하는가? +- [ ] 비가시적 방법만 사용하는 경우 최소 1회 안내 문구·음성을 제공하는가? +- [ ] 텍스트·이미지·음성·영상·코�� 등 매체별 적절한 표시 방법을 적용하는가? + +### 딥페이크 특별 의무 점검 (제31조제3항) + +- [ ] 서비스가 실제와 구분하기 어려운 생성물을 ��공할 가능성이 있는지 검토했는가? +- [ ] 딥페이크 해당 여부를 판단·통제할 수 없는 경우 딥페이크 기준을 적용하는가? +- [ ] 딥페이크 생성물의 외부 반출 시 사람이 직관적으로 인식할 수 있는 가시적 표시를 적용하는가? +- [ ] 영상의 경우 AI 생성 재생구간 전체에 표시하는가? + +### 면제·예외 확인 + +- [ ] 내부 업무 전용 AI인 경우 면제 사유에 해당하는지 확인했는가? +- [ ] ��부 전용이라도 고영향 AI 해당 여부를 별도로 검토했는가? +- [ ] 예술적 표현물의 경우 ��상을 저해하지 않는 대체 표시 방법을 적용했는가? +- [ ] 법 시행 전 생성물과 법 시행 후 생성물을 구분하여 관리하는가? + +### 서비스 설계 점검 + +- [ ] 이용자 vs AI사업자 지위를 정확히 판단했는가? +- [ ] API 응답에 AI 메타데이터 필드를 포함하는가? +- [ ] AI와 사람 응답이 혼재하는 경우 구분할 수 있는 표시가 있는가? +- [ ] 서비스 구조 변��� 시 투명성 의무 재검토 프로세스를 갖추고 있는가? diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/17_4-1_\354\225\210\354\240\204\354\204\261_\355\231\225\353\263\264_\354\235\230\353\254\264_\352\260\234\354\232\224.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/17_4-1_\354\225\210\354\240\204\354\204\261_\355\231\225\353\263\264_\354\235\230\353\254\264_\352\260\234\354\232\224.md" new file mode 100644 index 0000000..6bf3942 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/17_4-1_\354\225\210\354\240\204\354\204\261_\355\231\225\353\263\264_\354\235\230\353\254\264_\352\260\234\354\232\224.md" @@ -0,0 +1,85 @@ +# 4장. 안전성 확보 (제32조) + +## 4-1. 안전성 확보 의무 개요 + +### 4-1-1. 취지와 목적 + +「인공지능기본법」 제32조는 인공지능시스템(AI System)의 안전성을 확보하기 위한 의무를 규정합니다. 이 조항의 핵심 취지는 다음과 같습니다. + +첫째, 인공지능이 사람의 생명, 신체의 안전 및 기본권에 미칠 수 있는 위험을 사전에 관리하도록 의무화합니다. 둘째, 인공지능 수명주기(AI Lifecycle) 전반에 걸쳐 체계적인 위험관리를 요구합니다. 셋째, 안전사고 발생 시 신속한 대응과 보고 체계를 갖추도록 합니다. + +> **법률 원문** | 제32조(인공지능 안전성 확보 의무) +> ① 인공지능사업자는 학습에 사용된 누적 연산량이 대통령령으로 정하는 기준 이상인 인공지능시스템의 안전성을 확보하기 위해 다음 각 호의 사항을 이행해야 한다. +> 1. 인공지능 수명주기 전반에 걸친 위험의 식별·평가 및 완화 +> 2. 인공지능 관련 안전사고를 모니터링하고 대응하는 위험관리체계 구축 +> ② 인공지능사업자는 제1항 각 호에 따른 사항의 이행 결과를 과학기술정보통신부장관에게 제출해야 한다. + +「안전성 확보 가이드라인」은 이 의무를 실제로 이행하는 데 필요한 기준과 절차를 체계적으로 정리한 참고 문서입니다. 법령이나 고시를 대체하거나 새로운 의무를 부과하는 것은 아닙니다. + +> **실무 TIP** +> 안전성 확보 의무의 직접적인 적용 대상이 아닌 사업자도, 자율적인 위험관리체계 구축을 위하여 가이드라인을 참고할 수 있습니다. + +--- + +### 4-1-2. 법·시행령·고시·가이드라인의 관계 + +안전성 확보 의무는 4단계의 법령 체계로 구성됩니다. 상위 규범일수록 구속력이 강하고, 하위로 갈수록 실무 이행 지침의 성격을 가집니다. + +``` +┌─────────────────────────────────────────────────┐ +│ [1단계] 법률 │ +│ 「인공지능기본법」 제32조 │ +│ → 안전성 확보 의무의 근거 │ +├─────────────────────────────────────────────────┤ +│ [2단계] 시행령 │ +│ 「인공지능기본법 시행령」 제24조 │ +│ → 적용 대상 기준 (누적 연산량 10^26 FLOPs 등) │ +├─────────────────────────────────────────────────┤ +│ [3단계] 고시 │ +│ 「인공지능 안전성 확보 의무의 이행방법 등에 관한 │ +│ 고시」 제1조~제9조 │ +│ → 구체적 이행 방법, 문서화, 보고 절차 │ +├─────────────────────────────────────────────────┤ +│ [4단계] 가이드라인 │ +│ 「안전성 확보 가이드라인」 │ +│ → 실무적 기준, 예시, 참고 자료 │ +│ (구속력 없음, 감독·점검 시 참고 활용) │ +└─────────────────────────────────────────────────┘ +``` + +> **주의** +> 가이드라인에 명시되지 않은 세부 사항은 관련 법령, 정부의 기술적 권고, 분야별 가이드라인 등을 함께 참고할 수 있습니다. 가이드라인은 법령 개정, 기술 환경 변화 등을 고려하여 정기적으로 검토·개정될 수 있습니다. + +--- + +### 4-1-3. 의무 구조 요약 + +안전성 확보 의무는 크게 4가지 책무사항으로 구성됩니다. 각 책무사항은 고시의 조문과 대응됩니다. + +| 책무사항 | 주요 내용 | 관련 고시 | +|----------|-----------|-----------| +| 1. 적용 대상 및 의무 주체 판단 | 누적 연산량, 최첨단 기술, 위험도 판단 | 제3조 | +| 2. 수명주기 위험관리 | 위험의 식별 → 평가 → 완화 | 제4조~제6조 | +| 3. 안전사고 모니터링 및 대응 | 위험관리체계 구축·운영 | 제7조 | +| 4. 보고 및 제출 | 조치 결과 제출, 사고 단계별 보고 | 제8조 | + +이를 시간 순서로 정리하면 다음과 같습니다. + +``` +[적용 대상 판단] ──→ [위험 식별] ──→ [위험 평가] ──→ [위험 완화] + │ │ + │ ┌─────────────────────────────────────┘ + │ │ + │ ▼ + │ [모니터링 및 사고 대응] + │ │ + ▼ ▼ + [초기 제출] [사고 발생 시 단계별 보고] + (인지 후 3개월) (24h / 7일 / 15일) +``` + +> **핵심 요약** +> - 안전성 확보 의무는 「인공지능기본법」 제32조에 근거하며, 고성능 AI 시스템을 운영하는 사업자에게 적용됩니다. +> - 의무 체계는 법률 → 시행령 → 고시 → 가이드라인의 4단계로 구성됩니다. +> - 핵심 책무는 적용 대상 판단, 위험관리(식별·평가·완화), 모니터링 및 사고 대응, 보고 및 제출의 4가지입니다. +> - 가이드라인은 법적 구속력이 없으나, 정부의 감독·점검 시 참고 자료로 활용됩니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/18_4-2_\354\240\201\354\232\251_\353\214\200\354\203\201_\354\235\230\353\254\264_\354\243\274\354\262\264.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/18_4-2_\354\240\201\354\232\251_\353\214\200\354\203\201_\354\235\230\353\254\264_\354\243\274\354\262\264.md" new file mode 100644 index 0000000..14e84df --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/18_4-2_\354\240\201\354\232\251_\353\214\200\354\203\201_\354\235\230\353\254\264_\354\243\274\354\262\264.md" @@ -0,0 +1,128 @@ +## 4-2. 적용 대상 및 의무 주체 판단 + +### 4-2-1. 적용 대상 AI 판단 기준 + +안전성 확보 의무가 적용되는 인공지능은 시행령 제24조제1항의 세 가지 요건을 **모두** 충족해야 합니다. 어느 하나라도 충족되지 않으면 적용 대상에 해당하지 않습니다. + +#### (1) 요건 1: 누적 연산량 기준 (시행령 제24조제1항제1호) + +학습에 사용된 누적 연산량(Cumulative Training Compute)이 **10^26 부동소수점연산(FLOPs)** 이상이어야 합니다. + +**누적 연산량에 포함되는 연산:** +- 사전학습, 사후학습, 파인튜닝(Fine-tuning) 등 모델 성능에 직접 기여하는 학습 연산 +- 모델 병합, 가중치 평균, 혼합전문가(MoE, Mixture of Experts) 구조의 각 구성 모델 학습 연산량 +- 학습용 합성 데이터(Synthetic Data) 생성에 사용된 연산량 + +**누적 연산량에서 제외 가능한 연산:** +- 프로토타입 개발, 탐색적 실험, 하이퍼파라미터 튜닝 등 실험적 성격의 연산 +- 증류용 부모 모델, 보상 모델 등 직접적 성능 발휘 주체가 아닌 보조 모델의 학습 연산 + +**대표적 연산량 산정 방식 3가지:** + +| 산정 방식 | 산식 예시 | 이점 | 한계 | +|-----------|-----------|------|------| +| 이론적 계산식 | C = N(파라미터) x D(토큰) x 연산반복횟수 | 간단, 비용 저렴 | 설계 가정에 따른 오차 | +| 경험적·통계적 추정식 | C = 6 x N x D | 공개 정보만으로 계산 | 모델별 계수 편차 | +| GPU 사용량 기반 | C = GPU수 x 1대당 최대 FLOPs/s x 학습시간 x 평균가동률 | 높은 정확도 | 실행 로그 필요 | + +> **실무 TIP** +> 초기 설계 단계에서 연산량 추정치가 기준 미달이더라도, 추가 학습으로 기준을 초과하면 적용 대상이 됩니다. 학습 과정의 실시간 또는 주기적 모니터링 체계를 유지하는 것이 중요합니다. + +#### (2) 요건 2: 최첨단 인공지능기술 적용 (시행령 제24조제1항제2호) + +해당 인공지능이 기술 발전 수준을 고려할 때 **최첨단(State-of-the-Art, SOTA)의 인공지능기술**을 적용하여 구성·운영되고 있어야 합니다. + +판단 시 고려 요소는 다음과 같습니다. + +- **설계 목표의 SOTA 지향성**: 동시점 최고 성능 모델을 비교 기준으로 설정했는지 +- **기술적 구현 수준**: 최신 아키텍처, 대규모 파라미터, 고급 학습 기법(RLHF 등) 적용 여부 +- **결과적 기술 위치**: 공개 벤치마크(Benchmark), 내부 평가에서 SOTA급 성능을 보유하는지 + +> **주의** +> 이 판단은 기술의 절대적 우열이 아니라, 동시점 대비 상대적 위치와 설계 의도, 구현 수준을 종합적으로 고려합니다. + +#### (3) 요건 3: 광범위하고 중대한 영향 가능성 (시행령 제24조제1항제3호) + +인공지능시스템의 위험도가 사람의 **생명, 신체의 안전 및 기본권에 광범위하고 중대한 영향**을 미칠 우려가 있어야 합니다. + +판단 기준: +- 인공지능의 사용 목적 및 적용 분야 +- 오용·악용 가능성 (합리적으로 예측 가능한 수준) +- 유사 AI에서 발생한 위험 사례 +- 잠재적 피해의 범위, 지속성 및 회복 가능성 + +'광범위하고 중대한 영향'이란 특정 개인이나 제한된 상황에 국한되지 않고, **다수의 이용자 또는 사회 전반에 걸쳐 중대한 피해가 발생할 가능성**을 의미합니다. + +``` + ┌──────────────────────────────────────────────────┐ + │ 적용 대상 AI 판단 3요건 (AND 조건) │ + ├──────────────────────────────────────────────────┤ + │ │ + │ 요건 1: 누적 연산량 ≥ 10^26 FLOPs [충족?] │ + │ │ │ + │ ▼ Yes │ + │ 요건 2: 최첨단 AI 기술 적용 [충족?] │ + │ │ │ + │ ▼ Yes │ + │ 요건 3: 생명·신체·기본권에 광범위·중대 [충족?] │ + │ │ │ + │ ▼ Yes │ + │ │ + │ ★ 안전성 확보 의무 적용 대상 ★ │ + │ │ + │ * 어느 하나라도 "No" → 적용 대상 아님 │ + └──────────────────────────────────────────────────┘ +``` + +--- + +### 4-2-2. 의무 주체 -- 개발사업자와 이용사업자 역할 분담 + +안전성 확보 조치 이행 결과의 제출 의무는 **적용 대상 인공지능에 해당하게 된 원인 행위를 수행한 사업자**에게 귀속됩니다. 두 가지 경우로 구분합니다. + +**경우 1: 인공지능개발사업자(AI Developer)** +- 인공지능이 개발되어 타인에게 제공되는 시점부터 적용 대상에 해당하는 경우 +- 개발 단계의 설계·학습·구현 행위가 원인이므로 개발사업자가 의무 주체 + +**경우 2: 실질적 변경을 가한 사업자** +- 적용 대상이 아니었던 인공지능에 실질적 변경을 가하여 적용 대상이 된 경우 +- 변경을 가한 인공지능사업자가 의무 주체 + +**실질적 변경에 해당하는 경우:** +- 파라미터의 1/3 이상을 재학습하거나 전체 학습량의 상당 부분을 추가 학습 +- 고영향 분야 활용을 위한 지속적·체계적 파인튜닝으로 적용 범위·위험 특성이 변경 +- 입출력 구조, 추론 방식, 의사결정 흐름이 변경되어 기능적 성격이 달라진 경우 +- 자율 실행 시스템, 외부 서비스와의 결합으로 위험 수준이 중대하게 변동 +- 배포·운영 구조 변경으로 사용 방식이 본질적으로 확대·전환 + +> **실무 TIP** +> 복수의 사업자가 개발·변경에 관여한 경우, 각 사업자의 역할과 책임 범위를 명확히 구분하여 의무 주체를 판단합니다. 관련 사실관계를 문서로 정리하여 책임 귀속의 근거로 활용하는 것이 좋습니다. + +**시나리오별 의무 주체 판단 예시:** + +| 시나리오 | 의무 주체 | +|----------|-----------| +| A사가 10^26 FLOPs 이상의 AI를 개발하여 출시 | A사 (개발사업자) | +| B사가 A사의 비대상 AI를 도입 후 대규모 추가 학습으로 대상이 됨 | B사 (실질적 변경자) | +| A사 개발 AI가 이미 대상 + B사가 자율 실행 기능 추가로 위험 증대 | A사 + B사 모두 가능 | + +--- + +### 4-2-3. 적용 제외 인공지능 + +「인공지능기본법」 제4조제2항 및 시행령 제2조에 따라, 다음 업무만을 수행하기 위하여 개발·이용되는 인공지능은 법의 적용에서 제외됩니다. + +| 제외 대상 | 지정 권한 | +|-----------|-----------| +| 국방정보통신망·무기체계 관련 업무 | 국방부장관 | +| 국가안보·정보보안 관련 업무 (대테러, 방위산업기술, 사이버보안 등) | 국가정보원장 | + +> **주의** +> 적용 제외는 해당 업무 **만을** 수행하기 위해 개발·이용되는 경우에 한합니다. 범용적으로 활용되는 인공지능이 일부 국방·안보 업무에도 사용된다는 이유만으로 적용 제외 대상이 되는 것은 아닙니다. + +--- + +> **핵심 요약** +> - 안전성 확보 의무는 누적 연산량 10^26 FLOPs 이상, 최첨단 기술 적용, 광범위·중대한 영향의 세 가지 요건을 **모두** 충족하는 AI에 적용됩니다. +> - 의무 주체는 적용 대상이 되게 한 원인 행위의 수행자(개발사업자 또는 실질적 변경자)에게 귀속됩니다. +> - 국방·국가안보 전용 인공지능은 법 적용에서 제외됩니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/19_4-3_\354\234\204\355\227\230\352\264\200\353\246\254_4\353\213\250\352\263\204.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/19_4-3_\354\234\204\355\227\230\352\264\200\353\246\254_4\353\213\250\352\263\204.md" new file mode 100644 index 0000000..2d6bd4e --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/19_4-3_\354\234\204\355\227\230\352\264\200\353\246\254_4\353\213\250\352\263\204.md" @@ -0,0 +1,279 @@ +## 4-3. 위험관리 4단계 + +인공지능 안전성 확보의 핵심은 수명주기 전반에 걸친 위험관리입니다. 이는 식별 → 평가 → 완화 → 모니터링의 4단계 순환 구조로 이루어집니다. + +### [그림 4-1] 위험관리 4단계 사이클 + +``` + ┌─────────────────┐ + │ AI 수명주기 │ + │ (기획~폐기) │ + └────────┬────────┘ + │ + ┌──────────────┼──────────────┐ + │ │ │ + ▼ ▼ ▼ + ┌─────────────┐ ���──────────────┐ ┌──────────────┐ + │ Step 1 │ │ │ │ │ + │ 위험의 식별 │ │ │ │ │ + │ (Identify) │ │ │ │ │ + └──────┬──────┘ │ │ │ │ + │ │ │ │ │ + ▼ │ │ │ │ + ┌─────────────┐ │ 순환 구조 │ │ 문서화·기록 │ + │ Step 2 │ │ │ │ (전 단계) │ + │ 위험의 평가 │◄┤ 위험 수준 │ │ │ + │ (Assess) │ │ 변동 시 │ │ │ + └──────┬──────┘ │ 재실시 │ │ │ + │ │ │ │ │ + ▼ │ │ │ │ + ┌─────────────┐ │ │ │ │ + │ Step 3 │ │ │ │ │ + │ 위험의 완화 │─┘ │ │ │ + │ (Mitigate) │ │ │ │ + └──────┬──────┘ │ │ │ + │ │ │ │ + ▼ │ │ │ + ┌─────────────┐ │ │ │ + │ Step 4 │ │ │ │ + │ 모니터링 및 │────────────────┘ └──────────────┘ + │ 사고 대응 │ + │ (Monitor) │ + └─────────────┘ + │ + ▼ + ┌─────────────┐ + │ 보고 �� 제출 │ + │ (Report) │ + └─────────────┘ +``` + +--- + +### 4-3-1. Step 1: 위험의 식별 + +��험 식별은 합리적으로 예상 가능한 범위 내에서 인공지능이 초래할 수 있는 위험을 사전에 파악하는 단계입니다. 이후 평가·완화 조치의 기초가 됩니다. + +#### (1) 식별 대상의 범위 + +위험 식별은 AI 수명주기의 **전 과정**을 대상으로 수행합니다. + +| 수명주기 단계 | 탐색해야 할 위험 유형 (예시) | +|---------------|------------------------------| +| 기획/계획 | 위험 허용 수준 미정의, 민감 영역 사용 가능성 | +| 데이터 수집·전처리 | 개인정보 침해, 대표성 결여, 라이선스 미준수 | +| 모델 설계·학습 | 조작 유도 가능성, 학습 편향, 부적절한 강화학습 | +| 검증·평가 | 고위험 능력 미탐지, 외부 오용 테스트 ��비 | +| 배포·통합 | 안전장치 우회, 허위 정보 생성, UI 오용 가능성 | +| 운영·유지보수 | 오용 모니터링 실패, 기능 악화 탐지 미비 | +| 종료·철회 | 데이터 잔존성, 안전 폐기 실패, API 잔존 위험 | + +#### (2) 위험 유형 4가지 + +고시 제4조제2항에 따라 다음 사항을 고려하여 위험을 식별합니다. + +| 위험 유형 | 정의 | 예시 | +|-----------|------|------| +| 기능적 오류(Functional Failures) | 의도대로 작동하지 않는 상태 | ��도한 환각, 설명 불가능한 의사결정 | +| 데이터 편향(Data Bias) | 불균형·편향 데이터로 인한 문제 | 얼굴 인식 인종 편향, 성별 고정관념 재생산 | +| 보안 취약점(Security Vulnerabilities) | 외부·내부 위협에 의한 침해 가능 | 적대적 ���격, 모델 추출, 백도어 삽입 | +| 악용 가능성(Misuse Potential) | 악의적 목적의 비정상 사용 | 사이버 공격 자동화, 딥페이크 남용 | + +#### (3) 위험 식별 절차 6단계 + +| 단계 | 주요 내용 | +|------|-----------| +| 1단계: 준비 | 범위·목적 정의, 책임 부서 지정, TF 구성 | +| 2단계: 정보 수집 | 내부 자료(설계 문서, 로그, 과거 사고) + 외부 자료(유사 사례, 규제 가이드) | +| 3단계: 위험 발굴 | 필수 방법론 1개 + 선택 방법론 1개 이상 (총 2��� 이상 병행) | +| 4단계: 기록 관리 | 고유 식별���호, 위험 명칭, 식별 시점, 현존/잠재 구분 | +| 5단계: 검증 | 내부 교차 검토 + 필요시 외부 전문가 검토 | +| 6단계: 갱신 | 정기 갱신(분기 1회 이상) + 수시 갱신(변경·사고 발생 시) | + +**주요 위험 식별 방법론:** + +| 구분 | 방법론 | 활용 시점 | +|------|--------|-----------| +| 주요 방법론 | 관리 후보 위험 목록 (EU AI법 4대 위험 등) | 전 단계 | +| 주요 방법론 | 위험 분류체계 (국제 AI 안전 보고서) | 전 단계 | +| 권장 방법론 | 레드팀 테스트(Red-teaming) | 배포 전 | +| 권장 방법론 | 위협 모델링(Threat Modeling) | 배포 전 | +| 선택 방법론 | 시��리오 분석, 델파이 기법 | 개발 초기·복잡한 위험 | + +#### (4) 문서화 필수 항목 + +고시 제4조제4항에 따라 다음 항목을 포함하여 문서화합니다. +- 위험의 식별번호 및 명칭 +- 위험식별 시점 +- 위험식별 방법 +- 위험식별 결과 + +> **실무 TIP** +> 위험 식별 문서화 예시: +> - 위험 ID: R-2025-A00001 +> - 위험 명칭: 프롬프트 인젝션에 의한 시스템 응답 왜곡 가능성 +> - 식별 시점: 2025.12.15 (최초) / 2026.03.15 (재식별) +> - 식별 방법: 배포 전 레드팀 테스트 + 유사 AI 악용 사례 분석 +> - 식별 결과: 외부 입력으로 시스템 지침 우회 가능성 확인 (현존 ��험) + +--- + +### 4-3-2. Step 2: 위험의 평가 + +위험 평가는 식별된 각 위험의 상대적 중요도를 판단하고, 이후 완화 방안을 합리적으로 설계하기 위한 단계입니다. + +#### (1) 평가 항목 5가지 + +고시 제5조제1항에 따라 다음 요소를 중심으로 위험을 평가합니다. + +| 평가 항목 | 1점 (낮음) | 3점 (중간) | 5점 (높음) | +|-----------|------------|------------|------------| +| 심각성 | 경미한 손실·제한적 피해 | 중대한 피해 발생 가능 | 치명적 손상 (인명 피해 등) | +| 중대성 | 국소적 불편 | 조직·특정 고객군 단위 영향 | 광범위한 사회적·국가적 파급 | +| 실현 가능성 | 전제조건 거의 부재 | 일부 전제조건 충족 | 전제조건 광범위하게 충족 | +| 빈도 | 극히 드물게 발생 | 때때로 발생 | 상시적·빈발 | +| 관리 가능성 | 통제 수단 부재·지연 | 제한적 통제 가능 | 즉시 차단·신속 복구 가능 | + +**위험 점수 산출 방식 예시:** + +``` +위험 점수 = (심각성 x 중대성) x (실현가능성 x 빈도) x (1 / 관리가능성) + +- 100점 이상: 즉시 조치 필요 +- 20~99점: 1개월 내 대응 +- 20점 미만: 정기 모니터링 +``` + +#### (2) 위험 평가 조직 + +- 위험평가조직을 **별도로 구성**하며, 기술·윤리·정책·보안 전문가를 포함합니다. +- 개발·사업 부서와 **조직적으로 분리**하여 독립성을 확보합니다. +- 평가 결과는 최고책임자 또는 독립된 의사결정 라인에 직접 보고합니다. +- 필요��� 외부 기관(학계, 연구기관, 인권·법률 전문가)을 ��여시킵니다. + +#### (3) 평가 방법론 + +최소 1종 이상의 평가 방법을 적용하되, 고위험 사안에 대해서는 **2종 이상** 병행합니다. + +| 평가 방법 | 특성 | 적용 상황 | +|-----------|------|-----------| +| 정성·서열 평가 | 등급·색상 기반 리스크 매트릭스 | 초기 스크리닝 | +| 준정량 점수화 | 항목별 가중치·산식으로 점수 산출 | 복수 위험 비교 | +| 정량 분석 | 벤치마크, 레드팀 성공률, ���영 로그 | 객관적 ���이터 충분 시 | +| 시나리오 기반 분석 | Bow-tie, FTA, FMEA | 원인-결과 구조 분석 | + +#### (4) 평가 절차 7단계 + +| 단계 | 단계명 | 주요 내용 | 산출물 | +|------|--------|-----------|--------| +| 1 | 평가 준비 | 위험 항목 정제, 이전 평가 이력 검토 | 평가 대상 위험 목록 | +| 2 | 평가 범위 확정 | 우선���위 설정, 내부 승인 | 범위 설정 문서 | +| 3 | 평가 실시 | 정성·정량 평가 수행 | 위험별 평가 시트 | +| 4 | 위험 수준 산정 | 고·중·저 등급 분류 | 위험 등급 분류표 | +| 5 | 사후 검증 | ���부 검토·외부 검증 | 검증 의견서 | +| 6 | 대응 우선순위 결정 | 즉각·단기·모니터링 연계 | 우선순위 목록 | +| 7 | 문서화·보관 | 전 과정 기록·보관 | 위험 평가 기록 | + +> **실무 TIP** +> 위험 평가 기록은 위험 식별번호(예: R-2025-A00001)를 ��준으로 연계 관리합니다. 반복 평가 시 R-2025-A00001-v2처럼 버전을 추가하여 이력을 관리합니다. + +--- + +### 4-3-3. Step 3: 위험의 완화 + +위험 완화는 평가 결과에 따라 위험을 수용 가능한 수준으로 제거하거나 감소시키는 단계입니다. + +#### (1) 완화 조치의 수립 원칙 + +- 평가 지표와 우선순위에 근거하여 **고위험부터 우선** 조치합니다. +- 시급성, 효과성, 실행 가능성을 종합적으로 검토합니다. +- 위험 수준별 **차등 승인 체계**를 적용합니다. + +| 위험 수준 | 승인 체계 | +|-----------|-----------| +| 저위험·중위험 | 실무 부서 책임자 승인 후 즉시 시행 | +| 고위험 | 위험관리전담부서 검토 → 위험관리위원회 또는 경영진 최종 승인 | +| 긴급 ��황 | 실무 부서 임시 조치 우선 시행 → 사후 공식 승인 | + +#### (2) 수명주기 단계별 완화 조치 + +| 단계 | 완화 조치 예시 | +|------|----------------| +| 모델 설계 | 위험 기능 제한, 유해 요청 거부 학습, 안전 중심 설계 | +| 보안 강화 | 접근 통제, 암호화, 내부자 위협 대응, 보안 감사 | +| 배포 전략 | 제한적 공개, 단계��� 롤아웃, 조건부 기능 활성화 | +| 운영 단계 | 실시간 모니터링, 위협 모델 갱신, 사용자 신고 채널 | + +#### (3) 효과 확인 및 재평가 + +- 완화 조치 시행 후 **동일 위험에 대해 위험 평가를 재실시**합니다. +- 잔여 위험(Residual Risk)이 수용 가능 수준을 초과하면 추가 조치 또는 수정·보완을 실시합니다. + +#### (4) 긴급 대응 계획 + +위험 완화 조치를 신속히 시행하기 어려운 경우를 대비한 **긴급 대응 계획**을 사전에 수립합니다. + +- **발동 조건**: 이상 사용 패턴 탐지, 레드팀 결과, 외부 제보, 사고 발생 등 +- **피해 최소화 조치**: 고위험 기능 비활성화, 접근 차단, 서비스 범위 축소·임시 중단 +- **의사결정 체계**: 긴급 상황 책임자, 승인 권한, 보고 체계를 사전 정의 +- **정기 점검**: 모의 훈련(테이블탑 연습)을 통해 계획의 실행 가능성을 검증 + +#### (5) 문서화 필수 항목 + +고시 제6조제4항에 따라 다음 사���을 문서화합니다. +- 위험의 식별번호 및 명칭 +- 위험완화조치 시행 시점 +- 위험완화조치 방법 (기술적·운영적·조직적 ��분) +- 위험완화조치 결과 (재평가 결과 포함) + +--- + +### 4-3-4. Step 4: 모니터링 및 사고 대응 + +고시 제7조에 따라 인공지능 관련 안전사고를 상시적으로 관리하기 위한 위험관리체계를 구축·운영합니다. + +#### (1) 안전사고 대응 조직 구성 + +- **다학제적 구조**: 기술, 윤리, 법률, 정책, 보안, 사용자 보호 관점을 통합합니다. +- **최고 책임자 지정**: CAIO(Chief AI Officer) 또는 CAISO(Chief AI Safety Officer) 등 명확한 책임 주체를 지정합니다. +- **전담 조직 설치**: 모니터링, 사고 분석, 대응 조치 설계를 담당하는 전담 조직을 설치합니다. +- **독립성 보장**: 개발 일정·사업 성과 등 내부 이해관계로부터 독립적으로 판단합니다. +- **외부 협력 구조**: 학계, 법률·인권 전문가, 보안 전문기관과의 협력 체계를 마련합니다. + +#### (2) 안전사고 대응 절차 + +단계�� 사고 대응 절차를 사��에 정의합니다. + +``` + 사고 인지 → 초기 판단 → 조치 결정 → 실행 → 사후 점검 + │ │ │ │ │ + │ 심각성·확산 중단/제한/ 기록 재발 + │ 가능성 분류 통제 결정 보존 방지 + │ 계획 + ▼ + 내부 보고 ──→ 외부 보고 (과기정통부) + (병행 가능) +``` + +**중단·제한·통제 조치 유형:** +- 시스템 전면 중단 또는 기능 제한 +- 접근 통제, 배포 중단, 롤백 +- 즉시성, 가역성, 최소 권한 원칙을 함께 고려 + +#### (3) 안전사고 예방을 위한 교육·훈련 + +- **교육 대상**: 개발자, 운영 담당자, 고객 대응 인력, 정책·법무 담당자, 경영진을 포함합니다. +- **교육 내용**: 공통 기초 교육 + 역할별 전문 교육으로 구조화합니다. +- **모의 훈련**: 실제 사고 상황을 가정한 시나리오 기반 훈련을 정기적으로 실시합니다. +- **교육 주기**: 신규 인력 초기 교육, 기존 인력 정기 교육, 사고 후 보완 교육��로 구분합니다. +- **효과 평���**: 이수 여부가 아닌 실제 대응 역량 향상 여부를 기준으로 평가합니다. + +--- + +> **핵심 요약** +> - 위험관리는 식별 → 평가 → 완화 → 모니터링의 4단계 순환 구조입니다. +> - **식별**: 수명주기 전 과정에서 2개 이상의 방법론을 병행하여 위험을 발굴합니다. +> - **평가**: 심각성·중대성·실현가능성·빈도·관리가능성의 5개 항목으로 위험 수준을 산정합니다. +> - **완화**: 고위험부터 우선 조치하고, 조치 후 반드시 재평가를 실시합니다. +> - **모니터링**: 전담 대응 조직, 단계��� 대응 절차, ��기 교육·훈련을 갖춥니다. +> - 모든 단계에서 **문서화**는 필수이며, 식별번호로 전 과정을 연계 관리합니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/20_4-4_\353\263\264\352\263\240_\353\260\217_\354\240\234\354\266\234.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/20_4-4_\353\263\264\352\263\240_\353\260\217_\354\240\234\354\266\234.md" new file mode 100644 index 0000000..0bea39b --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/20_4-4_\353\263\264\352\263\240_\353\260\217_\354\240\234\354\266\234.md" @@ -0,0 +1,162 @@ +## 4-4. 보고 및 제출 + +고시 제8조에 따라 인공지능사업자는 안전성 확보 조치의 이행 결과를 제출하고, 안전사고 발생 시 단계별로 보고해야 합니다. + +--- + +### 4-4-1. 안전성 확보 조치 결과 제출 + +#### (1) 초기 제출 + +인공지능이 적용 대상에 해당함을 **인지한 날로부터 3개월 이내**에 안전성 확보 조치 사항을 ��서로 작성하여 과학기술정보통신부장관에게 제출합니다. + +- '인지'란 적용 대상에 해당한다고 **합리적으로 판단한 경우**를 의미합니다. +- 인지 시점과 그 근거를 내부적으로 기록·관리하여 제출 기산일의 명확성을 확보합니다. +- 3개월은 안전성 확보 조치의 완결을 요구하는 것이 아니라, 인지 시점까지 이행한 조치와 계획을 성실히 ��리·제출할 것을 요구합니다. + +**제��� 문서에 포함해야 할 내용:** +- 위험의 식별·평가·완화 조치의 이행 내용 (고시 제4조~제6조) +- 안전사고 모니터링 및 대응체계의 구축·운영 현황 (고시 제7조) +- 관련 조직, 절차, 문서화 ��� 관리 체계 + +> **주의** +> 영업비밀 등 다른 법령에 따라 보호되는 정보는 해당 범위 내에서 제출 대상에서 ��외할 수 있습니다. + +#### (2) 특정 사유로 인한 추가 제출 + +초기 제출 이후 다음 사유가 발생하면 **1개월 이내**에 추가 제출합니다. + +| 사유 | 기산일 | 제출 기한 | +|------|--------|-----------| +| 실질적 변경으로 위험 증가가 수반되는 경우 | 변경이 이루어진 날 | 1개월 이내 | +| 새로운 위험이 발생하거나 발생 예상되는 경우 | 위험 발생·가능성을 인지한 날 | 1개월 이내 | + +- 추가 제출은 기존 문서를 전면 재작성하는 것이 아니라, **변경·신규 위험과 직접 관련된 사항**을 중심으로 작성합니다. +- 부득이한 사정이 있는 경우 과학기술정보통신부장관과 **사전 협의**를 통해 제출 기한을 연장할 수 있습니다. + +``` +[적용 대상 인지] ──3개월 이내──→ [초기 제출] + │ + ▼ + [변경 또는 신규 위험 발생] + │ + 1개월 이내 + │ + ▼ + [추가 제출] +``` + +--- + +### 4-4-2. 안전사고 발생 시 단계별 보고 ��차 + +안전��고가 발생��� 경우, 3단계로 나누어 과학기술정보통신부장관에게 보고합니다. + +#### 1단계: 최초 보고 (사고 인지 후 24시간 이내) + +사고의 확산과 추가 피해를 방지하기 위한 **신속한 정보 공유** 단계입니다. 모든 원인이 확정되지 않아도, 확인된 범위 내에서 사실 중심으로 보고합니다. + +**필수 포함 항목:** +- 사고 발생 시점 및 인지 시점 +- 사고가 발생한 인공지능의 명칭·버전·식별 정보 +- 사고 유형 (유해 출력, 개인정보 노출, 시스템 오작동 등) +- 보고 시점까지 확인된 피해 내용 및 범위 + +> **실무 TIP** +> '사고 인지 시점'은 내부 모니터링 결과, 이용자 신고, 외부 제보, 언론 보도 등을 통해 사고 발생 사실을 인식한 시점입니다. 사고 **발생** 시점이 아닌 **인지** 시점이 기준입니다. + +#### 2단계: 초동조치 보고 (사고 발생 보고일로부터 7일 이내) + +실제로 수행된 대응 조치의 내용과 그 결과를 보고합니다. + +**포함 사항:** +- 위험관리체계 구축 및 운영 내역 (대��� 조직 가동 여부, 의사결정 구조 등) +- 초동 조치의 구체적 내용 및 결과 + - 문제 기능 일시 중단·제한 + - 사용자 접근 제한, 출력 필터 강화 + - 사고 관련 로그 확보·증거 보존 + - 이용자·이해관계자에 대��� 초기 고지 +- 추가로 필요한 조치 및 향후 사고 처리 계획 +- 관계기관에 대한 지원 요청 여부 + +#### 3단계: 사고 처리 결과 보고 (사고 발생 보고일로부터 15일 이내) + +사고에 대한 **종합적 판단과 후속 관리 방안**을 제시하는 최종 보고입니다. + +**포함 사항:** +- 사고의 원인 분석 (기술적 요인 + 운영 절차·조직적 판단 등 비기술적 요인) +- 피해 규모 및 영향 범위 +- 잔존 위험에 대한 평가 및 관리 방안 +- 위험 제거·완화를 위한 후속 조치 내용 +- 재발 방지 계획 (위험 식별·평가·완화 절차 개선 사항 포함) + +``` +┌──────────────────────────────────────────────────────────┐ +│ 안전사고 단계별 보고 타임라인 │ +├──────────────────────────────────────────────────────────┤ +│ │ +│ [사고 인지] │ +│ │ │ +│ ├──── 24시간 이내 ──→ [1단계] 최초 보고 │ +│ │ 사고 개요, 확인된 피해 │ +│ │ │ │ +│ │ 7일 이내 │ +│ │ │ │ +│ │ ▼ │ +│ │ [2단계] 초동조치 보고 │ +│ │ 대응 조치 내용·결과 │ +│ │ │ │ +│ │ 15일 이내 │ +│ │ │ │ +│ │ ▼ │ +│ │ [3단계] 사고 처리 결과 보고 │ +│ │ 원인 분석, 재발 방지 계획 │ +│ │ │ +└──────────────────────────────────────────────────────────┘ +``` + +--- + +### 4-4-3. 제출 서식 및 기한 + +#### 제출 주체 및 방법 + +| 항목 | 내용 | +|------|------| +| 제출 주체 | 인공지능을 개발한 사업자 (해외 소재 시 국내대리인) | +| 제출 양식 | 과기정통부 지정 양식 (별지 '안전성 확보 결과 제출서') | +| 제출 경로 | 정부 운영 제출 웹사이트 또는 담당 부서 이메일 | +| 보완 절차 | 미비 시 과기정통부가 보완 요청, 사업자는 보완·재제출 | + +#### 안전성 확보 결과 제출서 구성 + +| 구분 | 기재 항목 | +|------|-----------| +| 1. 기본 정보 | 회사명, 소재지, 사업자등록번호, (해당 시) 국내대리인 정보 | +| | AI 모델명, 버전, 출시일, 파라미터 수, 훈련 기간, 계산 자원(FLOPs), 측정 방법 | +| | 업무 분야, 고영향 AI 여부, 입출력 형��, 이용 정책 | +| 2. 위험 관리 | ��험의 식별·평가·완화 조치 이행 내용 (4-3절 참조) | +| 3. 위험관리체계 | 안전사고 모니터링·대응 체계 현황 | +| 4. 서명 | 검토자·승인자 서��� 및 제출일 | + +#### 기한 종합 정리 + +| 제출·보고 유형 | 기산일 | 기한 | +|----------------|--------|------| +| 초기 제출 | 적용 대상 인지일 | 3개월 이내 | +| 추가 제출 (변경) | 실질적 변경일 | 1개월 이내 | +| 추가 제출 (신규 위험) | 위험 인지일 | 1개월 이내 | +| 최초 보고 | 사고 인지 시점 | 24시간 이내 | +| 초동조치 보고 | 최초 보고일 | 7일 이내 | +| 사고 처리 결과 보고 | 최초 보고일 | 15일 이내 | + +> **실무 TIP** +> 제출 전 반드시 내부 검토·승인 절차를 거칩니다. 제출 내용의 사실성, 고시 책무와의 대응 관계, 문서화 충실도, 근거 자료 존재 여부를 점검합니다. 법무·기술·정책·경영 부문 간 교차 검토를 권장합니다. + +--- + +> **핵심 요약** +> - 초기 제출은 적용 대상 인지 후 **3개월** 이내, 추가 제출은 사유 발생 후 **1개월** 이내입니다. +> - 안전사고 발생 시 **24시간 → 7일 → 15일**의 3단계 보고를 이행합니다. +> - 각 단계별 보고�� 성격이 다릅니다: 최초 보고(신속 공유) → 초동조치(대응 내역) → 처리 결과(종합 분석). +> - 제출 기한 연장이 필요한 경우 과기정통부와 **사전 협의**가 가능합니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/21_4-5_\352\263\240\354\204\261\353\212\245AI_\354\266\224\352\260\200_\354\235\230\353\254\264.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/21_4-5_\352\263\240\354\204\261\353\212\245AI_\354\266\224\352\260\200_\354\235\230\353\254\264.md" new file mode 100644 index 0000000..65d4b0b --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/21_4-5_\352\263\240\354\204\261\353\212\245AI_\354\266\224\352\260\200_\354\235\230\353\254\264.md" @@ -0,0 +1,211 @@ +## 4-5. 고성능 AI 시스템 추가 의무 + +「인공지능기본법」 제32조의 안전성 확보 의무는 일정 규모 이상의 고성능 인공지능시스템(High-performance AI System)에 적용됩니다. 이 절에서는 고성능 AI의 판단 기준과 추가 의무, 그리고 맥락 무관 규제의 성격을 정리합니다. + +--- + +### 4-5-1. 누적 연산량 기준과 대상 판단 + +#### 10^26 FLOPs의 의미 + +시행령 제24조제1항제1호는 **학습에 사용된 누적 연산량이 10^26 부동소수점연산(FLOPs, Floating Point Operations) 이상**인 인공지능시스템을 규제 대상의 첫 번째 요건으로 규정합니다. + +10^26 FLOPs는 현재 시점에서 글로벌 최상위 수준의 대규모 언어 모델(LLM, Large Language Model)에 해당하는 연산량입니다. 참고로, 스케일링 법칙(Scaling Law) 기반 추정에 따르면 다음과 같습니다. + +| 모델 | 추정 연산량 | 기준 충족 여부 | +|------|-------------|----------------| +| GPT-3 (175B) | 약 3.15 x 10^23 FLOPs | 미충족 | +| Llama 3 (400B) | 약 3.6 x 10^25 FLOPs | 미충족 | +| GPT-4급 이상 | 10^26 FLOPs 이상 추정 | **충족** | + +> **주의** +> 10^26 FLOPs 기준은 절대적으로 고정된 것이 아닙니다. 시행령 제24조제2항에 따라 누적 연산량의 구체적 산정 방식은 과학기술정보통신부장관이 고시로 정합니다. 기술 발전에 따라 기준이 조정될 수 있습니다. + +#### 3요건의 AND 구조 + +누적 연산량은 적용 대상 판단의 세 가지 요건 중 하나일 뿐입니다. 안전성 확보 의무의 적용 대상이 되려면 다음 세 가지 요건을 **모두** 충족해야 합니다 (4-2-1절 참조). + +1. 누적 연산량 10^26 FLOPs 이상 +2. 최첨단 인공지능기술 적용 +3. 생명·신체·기본권에 광범위하고 중대한 영향 가능성 + +따라서 단순히 연산량이 많다는 이유만으로 의무가 부과되지는 않습니다. 반대로 연산량이 기준 미만이면 나머지 요건과 무관하게 적용 대상에서 제외됩니다. + +#### 누적 연산량 모니터링의 실무 + +- 초기 설계 단계에서 기준 미달이더라도, **추가 학습**으로 기준을 초과하면 적용 대상이 됩니다. +- 사업자는 학습 과정의 연산량 변동을 **실시간 또는 주기적으로 모니터링**하는 체계를 유지해야 합니다. +- 산정 방식, 대상, 근거 수치, 보정 계수 등은 **문서화**하여 보존하고, 제3자 검증이 가능하도록 관리합니다. +- 과학기술정보통신부장관은 필요시 사업자 동의를 받아 전문기관에 검증을 의뢰할 수 있습니다. + +--- + +### 4-5-2. 추가 안전성 조치 + +고성능 AI 시스템에 적용되는 안전성 확보 의무는 4-3절에서 설명한 위험관리 4단계와 동일한 구조를 따릅니다. 다만, 시스템의 규모와 잠재적 영향력을 고려하여 다음 사항에서 **더 높은 수준의 이행**이 요구됩니다. + +#### (1) 위험 식별의 강화 + +고성능 AI는 범용성이 높고 예측 불가능한 능력이 발현될 수 있으므로, 일반 AI보다 넓은 범위의 위험을 식별해야 합니다. + +- **모델 능력 ���계 테스트**: 특정 ��계값 초과 여부를 사전에 평가합니다. +- **레드팀 테스트 필수화**: 배포 전 반드시 악의적 공격 시뮬레이션을 실시합니다. +- **EU AI법 GPAI 행동강령의 4대 위험** 필수 검토: + - 사이버 공격 위험 + - 화생방(CBRN) 위험 + - 유해한 대규모 조작 위험 + - 통제 상실 위험 + +#### (2) 위험 평가의 정밀화 + +- 고위험으로 분류될 가능성이 높은 만큼, **2종 이상의 평가 방법**을 병행합니다. +- 정량 분석(벤치마크, 레드팀 성공률)과 시나리오 기반 분석을 결합합니다. +- 외부 기관 또는 전문가를 통한 **평가 결과 검증**을 적극 활용합니다. + +#### (3) 위험 완화의 다층 설계 + +고성능 AI의 위험 완화는 **사전 예방 + 사후 대응의 다층적 구조**로 설계합니다. + +``` +┌──────────────────────────────────────────────┐ +│ 고성능 AI 다층 방어 구조 │ +├──────────────────────────────────────────────┤ +│ │ +│ Layer 1: 안전 중심 설계 (Safety by Design) │ +│ - 위��� 기능 제한, 유해 요청 거부 학습 │ +│ │ +│ Layer 2: 보안 강화 │ +│ - 접근 통제, 암호화, 모델 가중�� 보호 │ +│ │ +│ Layer 3: 단계적 배포 │ +│ - 제한적 공개, 조건부 기능 활성화 │ +│ │ +│ Layer 4: 실시간 모니터링 │ +│ - 이상 패턴 탐지, 사용자 신고 채널 │ +│ │ +│ Layer 5: 긴급 대응 │ +│ - 서비스 중단, 기능 비활성화, 롤백 │ +│ │ +└──────────────────────────────────────────────┘ +``` + +#### (4) 모니터링 및 보고의 강화 + +- **전담 안전사고 대응 조직**의 설치가 사실상 필수적입니다. +- CAIO(Chief AI Officer) 또는 CAISO(Chief AI Safety Officer)를 지정합니다. +- 안전사고 단계별 보고(24시간/7일/15일) 체계를 상시 운영합니다. +- 보고 내용은 내부 사고 대응 기록과 **정합성을 유지**해야 합니다. + +--- + +### 4-5-3. 맥락 무관 규제 + +#### 맥락 무관 규제란 + +안전성 확보 의무의 가장 큰 특징은 **맥락 무관(Context-agnostic) 규제**라는 점입니다. 이는 고영향 인공지능 판단(5장 참조)과 근본적으로 다른 접근입니다. + +| 구분 | 안전성 확보 (제32조) | 고영향 AI (제33조~제34조) | +|------|---------------------|--------------------------| +| 규제 방식 | 맥락 무관 | 맥락 의존 | +| 판단 기준 | 시스템 자체 속성 (연산량, 기술 수준) | 활용 영역·맥락 (11개 법정 영역) | +| 적용 범위 | 고성능 AI 전체 | 특정 영역에서 활용되는 AI | +| 핵심 관점 | AI의 잠재적 위험 능력 | AI의 실제 활용과 영향 | + +#### 맥락 무관 규제의 배경 + +고성능 AI 시스템은 범용적으로 활용될 수 있어, 특정 활용 맥락을 사전에 확정하기 어렵습니다. 따라서 활용 맥락과 무관하게 **시스템 자체의 잠재적 위험 능력**을 기준으로 규제합니다. + +- 대규모 연산량으로 학습된 AI는 다양한 맥락에서 예측하기 어려운 능력이 발현될 수 있습니다. +- 동일한 모델이 무해한 용도와 위험한 용도 모두에 사용될 수 있습니다. +- 이러한 특성 때문에 **시스템의 능력 자체**에 대한 관리가 필요합니다. + +> **실무 TIP** +> EU AI법의 범용 인공지능(GPAI, General-Purpose AI) 규제도 유사한 접근을 채택하고 있습니다. EU는 누적 연산량 10^25 FLOPs를 기준으로 '체계적 위험을 수반하는 GPAI 모델'을 별도 관리합니다. 우리 법의 기준(10^26 FLOPs)은 EU보다 10��� 높은 수준입니다. + +#### 고영향 AI 판단과의 관계 + +안전성 확보 의무(제32조)와 고영향 AI 사업자 책무(제33조~제34조)는 **별개의 의무**입니다. 하나의 AI 시스템이 양쪽 의무를 동시에 부담할 수도 있습니다. + +``` + ┌────────────────────────────────────┐ + │ 인공지능시스템 │ + │ │ + │ ┌─────────────────────────────┐ │ + │ │ 제32조 안전성 확보 의무 │ │ + │ │ (누적 연산량 10^26 FLOPs │ │ + │ │ + 최첨단 기술 + 중대 영향) │ │ + │ │ ┌──────────────┐ │ │ + │ │ │ 중복 영역 │ │ │ + │ │ │ (양쪽 의무 │ │ │ + │ │ │ 모두 적용) │ │ │ + │ └─────────┤ ├────┘ │ + │ └──────────────┘ │ + │ ┌─────────────────────────────┐ │ + │ │ 제33~34조 고영향 AI 책무 │ │ + │ │ (11개 법정 영역 활용 시) │ │ + │ └─────────────────────────────┘ │ + └────────────────────────────────────┘ +``` + +--- + +> **핵심 요약** +> - 고성능 AI 시스템은 누적 연산량 10^26 FLOPs 이상, 최첨단 기술 적용, 광범위��중대한 영향의 3요건을 모두 충족해야 의무가 적용됩니다. +> - 위험관리 4단계는 동일하나, 위험 식별·평가·완화·모니터링 각 단계에서 **더 높은 수준**의 이행이 요구됩니다. +> - 안전성 확보 의무는 **맥락 무관 규제**로서, 활용 맥락이 아닌 시스템 자체의 잠재적 위험 능력을 기준으로 합니다. +> - 고영향 AI 판단(제33조)과는 **별개의 의무**이며, 하나의 AI에 양쪽이 동시에 적용될 수 있습니다. + +--- + +## 안전성 확보 체크리스트 + +4장의 전체 내용을 자가점검할 수 있는 체크리스트입니다. + +### 적용 대상 판단 + +- [ ] 학습 누적 연산량이 10^26 FLOPs 기준을 충족하는지 판단하였는가? +- [ ] 누적 연산량 산정 자료와 근거를 확보·문서화하였는가? +- [ ] 최첨단 인공지능기술 적용 여부를 판단하였는가? +- [ ] 생명·신체·기본권에 광범위하고 중대한 영향 가능성을 검토하였는가? +- [ ] 의무 주체(개발사업자 또는 실질적 변경자)를 판단·문서화하였는가? + +### 위험 식별 + +- [ ] 수명주기 전 과정에 걸쳐 위험을 식별하였는가? +- [ ] 2개 이상의 위험 식별 방법론을 병행하였는가? +- [ ] 기능적 오류, 데이터 편향, 보안 취약점, 악용 가능성을 모두 검토하였는가? +- [ ] 식별된 위험에 고유 식별번호를 부여하고 문서화하였는가? +- [ ] 위험 목록을 분기 1회 이상 정기적으로 갱신하고 있는가? + +### 위험 평가 + +- [ ] 심각성·중대성·실현가능성·빈도·관리가능성을 종합 평가하였는가? +- [ ] 위험 평가 조직을 구성하고 독립성을 확보하였는가? +- [ ] 고위험 사안에 대해 2종 이상의 평가 방법을 병행하였는가? +- [ ] 평가 결과를 고·중·저 등급으로 분류하였는가? +- [ ] 평가 결과를 문서화하고 식별번호와 연계 관리하고 있는가? + +### 위험 완화 + +- [ ] 위험 평가 결과와 연계하여 완화 조치를 수립하였는가? +- [ ] 위험 수준별 차등 승인 체계를 마련하였는가? +- [ ] 완화 조치 시행 후 위험 평가를 재실시하였는가? +- [ ] 잔여 위험의 수용 가능 여부를 판단·기록하였는가? +- [ ] 긴급 대응 계획을 수립하고 정기 점검·훈련을 실시하고 있는가? + +### 모니터링 및 사고 대응 + +- [ ] 안전사고 전담 대응 조직을 구성하였는가? +- [ ] 최고 책임���(CAIO/CAISO)를 지정하였는가? +- [ ] 단계별 사고 대응 절차(인지→판단→��치→점검)를 마련하였는가? +- [ ] 역할별 교육·훈련을 정기적으로 실시하고 있는가? +- [ ] 시나리오 기반 모의 훈련을 실시하고 있는가? + +### 보고 및 제출 + +- [ ] 적용 대상 인지 시점과 근거를 기록하고 있는가? +- [ ] 초기 제출 기한(인지 후 3개월)을 ���리하고 있는가? +- [ ] 실질적 변경·신규 ���험 발생 시 추가 제출(1개월) 체계가 마련되어 있는가? +- [ ] 안전사고 발생 시 24시간/7일/15일 단계별 보고 체계가 운영되고 있는가? +- [ ] 제출 서식(과기정통부 지정 양식)을 준수하고 있는가? +- [ ] 제출 전 내부 검토·승인 절차를 이행하고 있는가? diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/22_5-1_\352\263\240\354\230\201\355\226\245AI_\355\214\220\353\213\250\354\235\230_\354\235\230\353\257\270.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/22_5-1_\352\263\240\354\230\201\355\226\245AI_\355\214\220\353\213\250\354\235\230_\354\235\230\353\257\270.md" new file mode 100644 index 0000000..a296d98 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/22_5-1_\352\263\240\354\230\201\355\226\245AI_\355\214\220\353\213\250\354\235\230_\354\235\230\353\257\270.md" @@ -0,0 +1,84 @@ +# 5장. 우리 AI가 고영향인가? — 판단 절차 (제33조) + +## 5-1. 고영향 AI 판단의 의미 + +### 5-1-1. 왜 고영향 여부를 판단해야 하나 + +인공지능기본법은 모든 인공지능(Artificial Intelligence, AI)에 동일한 의무를 부과하지 않습니다. 인공지능이 **활용되는 영역**과 **초래할 수 있는 위험의 수준**에 따라 의무의 범위가 달라집니다. + +고영향 인���지능(High-impact AI)은 사람의 생명, 신체의 안전 및 기본권에 중대한 영향을 미치거나 위험을 초래할 우려가 있는 인공지능시스템을 말합니다. + +> **법률 원문** | 제2조(정의) 제4호 +> +> "고영향 인공지능"이란 사람의 생명, 신체의 안전 및 기본권에 중대한 영향을 미치거나 위험을 초래할 우려가 있��� 인공지능시스템으로서 다음 각 목의 어느 하나의 영역에서 활용되는 것을 말한다. + +따라서 인공지능사업자는 자사가 제공하는 인���지능이 고영향 ��공지능에 해당하는지 **사전에 판단**해야 합니다. 이 판단을 하지 않으면 어떤 의무를 이행해야 하는지 알 수 없고, 판단 자체를 누락하면 법 위반이 될 수 있습니다. + +> **실무 TIP** +> +> 고영향 판단은 "우리 회사에 어떤 의무가 적용되는가?"를 결정하는 출발점입니다. 투명성 확보(3장 참조), 안전성 확보(4�� 참조)는 모든 인공지능사업자에게 적용되지만, **고영향 인공지능 사업자 책무**(6장 참조)와 **영향평가**(7장 참조)는 고영향 인공지능에만 추가로 적용됩니다. + +--- + +### 5-1-2. 법적 효과 — 추가 의무 발생 + +고영향 인공지능으로 판단되면 「인공지능기본법」 제34조에 따라 다음과 같은 **추가 책무**가 발생합니다. + +| 순번 | 추가 의무 | 근거 | +|------|-----------|------| +| 1 | 위험관리방안의 수립·운영 | 제34조제1항제1호 | +| 2 | 설명 방안의 수립·시행 (최종결과, 주요 기준, 학습용데이터 개요 등) | 제34조제1항제2�� | +| 3 | 이용자 보호 방안의 수립·운영 | 제34조���1항제3호 | +| 4 | 사람의 관리·감독 체계 구축 | 제34조제1항제4호 | +| 5 | 안전성·신뢰성 확보 조치 문서의 작성과 보관 | 제34��제1항제5호 | +| 6 | 위원회 심의·의결 사항 이행 | 제34조제1항제6호 | + +> **법률 원문** | 제34조(고���향 인공지능과 관련한 사업자의 책무) 제1항 +> +> 인공지능사업자는 고영향 인공���능 또는 이를 이용한 제품·서비스를 제���하는 경우 고영향 인공��능의 안전성·신뢰성을 확보하기 위하여 다음 각 호의 내용을 포함하는 조치를 대통령령으로 정하는 바에 따라 이행하여야 한다. + +또한 고영향 인공지능을 제공하는 경우에는 사전에 검·인증을 받도록 **노력 의무**가 부여되며(제30조제3항), 국가기관등이 고영향 인공지능을 이용하려는 경우에는 검·인증을 받은 제품·서비스를 우선 고려해야 합니다(제30조제4항). + +이 밖에도 **영향평가**(제35조)를 사전에 실시할 노력 의무가 발생합니다. 자세한 내용은 6장과 7장에서 다룹니다. + +--- + +### 5-1-3. 자율 판단 원칙과 정부 확인 제도 + +인공지능기본법의 가장 중요한 특징 중 하나는 **자율 판단 원칙**입니다. + +> **법률 원문** | 제33조(고���향 인공지능의 확인) 제1항 +> +> 인공지능사업���는 인공지능 또는 이를 이용한 제품·서비스를 제공하는 경우 그 인공지능이 고영향 인공지능에 해당하는지에 대하여 **사전에 검토**하여��� 하며, 필요��� 경우 과학기술정보통신부장관에게 고영향 인공지능에 해당하는지 여부의 확인을 요청할 수 있다. + +���리하면, 고영향 인공지능 판단 체계는 두 가지 경로로 구성됩니다. + +``` +┌─────────────────────────────────────────────────┐ +│ 고영향 인공지능 판단 체계 │ +├─────────────────────────────────────────────────┤ +│ │ +│ 경로 1. 사업자 자율 판단 (원칙) │ +│ ┌───────────────────────────────────────────┐ │ +│ │ 사업자가 가이드라인 기준으로 스스로 판단 │ │ +│ │ → 고영향 해당 / 비해당 자체 결론 │ │ +│ └───────���──────────────────────────────��────┘ │ +│ │ +│ 경로 2. 정부 확인 요청 (선택) │ +│ ┌─────────────��─────────────────────────────┐ │ +│ │ 자율 판단이 어려운 경우 │ │ +│ │ → 과기정통부에 확인 요청 │ │ +│ │ → 30일 이내 회신 �� │ +│ │ → 불복 시 10일 이내 재확인 요청 가능 │ │ +│ └─────��──────────────────────────��──────────┘ │ +│ │ +└─────��───────────────────────────────────────────┘ +``` + +**자율 판단이 원칙**이고, 정부 확인은 **선택적 절차**입니다. 과학기술정보통신부장관은 이 판단을 돕기 위해 「고영향 인공지능 판단 가이드��인」을 수립·보급합니다(제33조제3항). + +> **실무 TIP** +> +> 정부 확인 결과는 **행정상의 판단**에 그치며 최종적인 법적 구속력이 있는 것은 아닙니다. 민·형사상 최종 판단은 법원의 사법적 판단에 따라 결정됩니다. 따라서 정부 확인을 받았더라도 법적 책임에 대한 별도 대비가 필요합니다. + +자율 판단을 수행하기 위한 구체적인 2단계 절차는 5-2절과 5-3절에서 설명합니다. 정부 확인 요청 절차는 5-4절에서 다룹니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/23_5-2_1\353\213\250\352\263\204_\354\230\201\354\227\255_\355\214\220\353\213\250.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/23_5-2_1\353\213\250\352\263\204_\354\230\201\354\227\255_\355\214\220\353\213\250.md" new file mode 100644 index 0000000..6b6f501 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/23_5-2_1\353\213\250\352\263\204_\354\230\201\354\227\255_\355\214\220\353\213\250.md" @@ -0,0 +1,114 @@ +## 5-2. 1단계: 영역 판단 + +고영향 인공지능 판단은 **2단계**로 이루어집니다. 1단계에서는 인공지능이 활용되는 영역이 법에서 정한 영역에 해당하는지를 확인합니다. + +### [그림 5-1] 고영향 인공지능 2단계 판단 절차 + +``` +┌──────────────────────────────────────────────────────────────┐ +│ 고영향 인공지능 2단계 판단 절차 │ +├──────────────────────────────────────────────────────────────┤ +│ │ +│ ┌────────────────────────────────────┐ │ +│ │ 인공지능 제품·서비스 제공 예정 │ │ +│ └──────────────┬─────────────────────┘ │ +│ ▼ │ +│ ┌─────────────────────────────────────────────┐ │ +│ │ [1단계] 영역 판단 │ │ +│ │ 법 제2조제4호 가~차목 │ │ +│ │ 11개 영역 중 하나에 해당하는가? │ │ +│ └──────────┬──────────────┬───────────────────┘ │ +│ Yes ▼ ▼ No │ +│ ┌──────────────────┐ ┌─────────────────────┐ │ +│ │ [2단계] 위험 판단│ │ 고영향 비해당 �� │ +│ │ 사람의 생명·신체 │ │ → 추가 의무 없음 │ │ +│ │ 안전·기본권에 │ └─────────────────────┘ │ +│ │ 중대한 영향 또는 │ │ +│ │ 위험 초래 우려? │ │ +│ └────┬─────────┬────┘ │ +│ Yes ▼ ▼ No │ +│ ┌──────────┐ ┌──────────────────┐ │ +│ │ 고영향 │ │ 고영향 비해당 │ │ +│ │ 인공지능 │ │ → 추가 의무 없음 │ │ +│ │ 해당 ��� └──────────────────┘ │ +│ │ → 제34조 │ │ +│ │ 책무 발생│ │ +│ └──────────┘ │ +└──────────────────────────────────────────────────────────────┘ +``` + +> **실무 TIP** +> +> 1단계에서 **법정 영역에 해당하지 않으면** 2단계 검토 없이 곧바로 고영향 비해당으로 판단합니다. 영역 판단이 가장 먼저 수행해야 하는 핵심 관문입니다. + +--- + +### 5-2-1. 법정 11개 영역 총정리 + +「인공지능기본법」 제2조제4호는 고영향 인공지능이 적용될 수 있는 영역을 **가~차목, 총 11개**로 열거하고 있습니다. 아래 [표 5-1]은 각 영역의 근거 법령과 핵심 내용을 정리한 것입니다. + +#### [표 5-1] 고영향 인공지능 법정 11개 영역 + +| 목 | 영역 | 근거 법령 | 적용 범위 요약 | 관련 기본권 | +|----|------|-----------|----------------|-------------| +| 가 | 에너지 공급 | 「에너지법」 제2조제1호 | 연료·열·전기의 공급 (발전·송전·변전·배전·소비 전 과정) | 행동의 자유, 재산권 | +| 나 | 먹는물 생산 공정 | 「먹는물관리법」 제3조제1호 | 수돗물·먹는샘물·먹는염지하수 등의 생산 공정 | 생명·건강권, 환경권 | +| 다 | 보건의료 | 「보건의료기본법」 제3조제1호 | 보건의료의 제공 및 이용체계 구축·운영 | 생명·신체 안전, 보건권 | +| 라 | 의료기기 | 「의료기기법」 제2조제1항, 「디지털의료제품법」 제2조제2호 | 의료기기 및 디지털의료기기의 개발·이용 | 생명·신체 안전, 보건권 | +| 마 | 원자력 | 「원자력시설 등의 방호 및 방사능 방재 대책법」 제2조제1항 | 핵물질·원자력시설의 안전한 관리·운영 | 생명 안전, 환경권 | +| 바 | 범죄 수사·체포 | (법률 직접 규정) | 범죄 수사·체포 업무를 위한 **생체인식정보**의 분석·활용 | 신체의 자유, 사생활 보호 | +| 사 | 채용·대출심사 등 | (법률 직접 규정) | 개인의 권리·의무 관계에 중대한 영향을 미치는 판단·평가 | 직업선택의 자유, 평등권 | +| 아 | 교통 | 「교통안전법」 제2조제1~3호 | 교통수단·교통시설·교통체계의 주요한 작동·운영 | 생명·신체 안전, 이동권 | +| 자 | 공공서비스 | (법률 직접 규정) | 자격 확인·결정·비용징수 등 국민에게 영향을 미치는 국가기관등의 의사결정 | 평등권, 사회적 기본권 | +| 차 | 교육 | 「교육기본법」 제9조제1항 | 유아교육·초등교육·중등교육에서의 **학생 평가** | 교육받을 권리, 평등권 | + +> **주의** +> +> - **'사'목(채용·대출심사 등)**은 채용과 대출심사를 예시로 들면서 "등"으로 확장하고 있습니다. 개인의 권리·의무 관계에 중대한 영향을 미치는 판단·평가라면 채용·대출 외의 영역도 해당될 수 있습니다. +> - **'차'목(교육)**은 유아·초등·중등교육의 **'학생 평가'**에 한정됩니다. 학습 보조, 콘텐츠 생성, 학원 교육 등은 해당하지 않습니다. +> - **'바'목(범죄 수사·체포)**은 생체인식정보의 분석·활용에 한정됩니다. 단순 모니터링이나 관제 목적의 CCTV는 해당하지 않습니다. + +--- + +### 5-2-2. 영역 해당 여부 판단 기준 + +영역 해당 여부는 인공지능이 **어떤 분야에서**, **어떤 목적으로** 활용되는지를 기준으로 판단합니다. + +**핵심 판단 기준:** + +1. **법정 영역의 정의와 범위 확인** — 각 목이 인용하는 개별 법령의 정의 조항을 참고합니다. +2. **활용 목적의 일치 여부** — 인공지능이 해당 영역 본연의 업무에 활용되는지 확인합니다. +3. **'기기의 기능'이 아닌 '활용 분야'가 기준** — 예를 들어 지능형 CCTV의 경우, 생체인식 기능 자체가 아니라 **범죄 수사·체포 목적으로 활용되는지**가 판단 기준입니다. + +``` +┌───────────────────────────────────────────────────┐ +│ 영역 해당 여부 판단 흐름 │ +├───────────────────────────────────────────────────┤ +│ │ +│ ① 우리 AI가 활용되는 분야는? │ +│ └→ 에너지 / 먹는물 / 보건의료 / 의료기기 / │ +│ 원자력 / 범죄수사 / 채용·대출 / │ +│ 교통 / 공공서비스 / 교육 │ +│ │ +│ ② 해당 분야의 법적 정의·범위에 포함되는가? │ +│ └→ 개별 법령의 정의 조항 참조 │ +│ │ +│ ③ 활용 목적이 해당 영역의 본질적 기능인가? │ +│ └→ Yes: 1단계 해당 → 2단계 진행 │ +│ └→ No: 고영향 비해당 │ +│ │ +└───────────────────────────────────────────────────┘ +``` + +> **실무 TIP** +> +> 영역 해당 여부가 불분명한 경우에는 5-4절에서 설명하는 **과기정통부 확인 요청** 절차를 활용할 수 있습니다. 다만 확인 요청 전에 자체적으로 충분한 검토를 수행하는 것이 원칙입니다. + +**영역 판단 자가점검 체크리스트:** + +- [ ] 우리 AI 제품·서비스의 활용 분야를 명확히 식별했는가? +- [ ] 해당 분야가 [표 5-1]의 11개 영역 중 하나에 포함되는가? +- [ ] 해당 목이 인용하는 개별 법령의 정의·범위를 확인했는가? +- [ ] AI의 활용 목적이 해당 영역의 본질적 기능에 해당하는가? +- [ ] '사'목 해당 시, "개인의 권리·의무 관계에 중대한 영향"을 미치는 판단·평가인가? +- [ ] '차'목 해당 시, "유아·초등·중등교육에서의 학생 평가"에 한정되는가? diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/24_5-3_2\353\213\250\352\263\204_\354\234\204\355\227\230_\355\214\220\353\213\250.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/24_5-3_2\353\213\250\352\263\204_\354\234\204\355\227\230_\355\214\220\353\213\250.md" new file mode 100644 index 0000000..42e773e --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/24_5-3_2\353\213\250\352\263\204_\354\234\204\355\227\230_\355\214\220\353\213\250.md" @@ -0,0 +1,110 @@ +## 5-3. 2단계: 위험 판단 + +1단계에서 법정 11개 영역 중 하나에 해당한다고 판단되면, 2단계로 넘어갑니다. 2단계에서는 해당 인공지능시스템이 **"사람의 생명, 신체의 안전 및 기본권의 보호에 중대한 영향을 미치거나 위험을 초래할 우려"**가 있는지를 판단합니다. + +> **법률 원문** | 제2조(정의) 제4호 본문 +> +> "고영향 인공지능"이란 **사람의 생명, 신체의 안전 및 기본권에 중대한 영향을 미치거나 위험을 초래할 우려**가 있는 인공지능시스템으로서 다음 각 목의 어느 하나의 영역에서 활용되는 것을 말한다. + +--- + +### 5-3-1. 5가지 고려 요소 + +「고영향 인공지능 판단 가이드라인」은 2단계 위험 판단 시 다음 **5가지 요소**를 종합적으로 고려하도록 안내합니다. 이 요소들은 영역에 따라 구체적인 적용 방식이 달라지지만, 공통 프레임워크로서 모든 영역에 적용됩니다. + +| 순번 | 고려 요소 | 핵심 질문 | +|------|-----------|-----------| +| 1 | **기능 중요도** (Criticality of Function) | 인공지능이 해당 영역의 안전성·효율성에 직접적으로 필수적인 기능을 수행하는가? | +| 2 | **잠재적 위험성** (Potential Risk) | 인공지능의 의도하지 않은 작동(오류·오작동)으로 인해 중대한 장애를 초래할 수 있는가? | +| 3 | **시스템 신뢰성** (System Reliability) | 인공지능시스템의 오류 발생 빈도가 높거나, 안정적으로 작동하지 않는 요인이 있는가? | +| 4 | **데이터 정확성 및 처리 능력** (Data Accuracy & Processing) | 데이터를 정확하게 수집·처리하여 올바른 결정을 내리는가? 데이터 오류가 시스템 전체에 영향을 미치는가? | +| 5 | **자율성 및 의사결정 능력** (Autonomy & Decision-making) | 사람의 개입 없이 자율적으로 의사결정을 내리는 정도가 높은가? | + +> **실무 TIP** +> +> 5가지 요소 중 **자율성 및 의사결정 능력**이 가장 중요한 판단 갈림길이 됩니다. 인공지능이 최종 결정을 내리는지, 아니면 사람이 실질적으로 개입하여 판단하는지에 따라 고영향 해당 여부가 달라지는 경우가 많습니다. + +**각 요소의 상세 설명:** + +**1. 기능 중요도** + +인공지능시스템이 수행하는 기능이 해당 영역의 핵심 운영에 얼마나 필수적인지를 평가합니다. 에너지 영역의 발전소 제어, 교통 영역의 자율주행 제어 등은 기능 중요도가 높은 대표적 사례입니다. + +**2. 잠재적 위험성** + +인공지능시스템의 오작동이 발생했을 때 초래될 수 있는 피해의 규모·심각성을 평가합니다. 생명·신체에 직접적인 위험을 초래하는 경우 잠재적 위험성이 높습니다. + +**3. 시스템 신뢰성** + +인공지능시스템 자체의 안정성과 오류 발생 빈도를 평가합니다. 신뢰도가 낮을수록 위험 발생 가능성이 증가하므로 고영향에 해당할 가능성이 높아집니다. + +**4. 데이터 정확성 및 처리 능력** + +인공지능시스템이 수집·처리하는 데이터의 정확성을 평가합니다. 잘못된 데이터에 기반한 판단은 오류를 증폭시킬 수 있습니다. + +**5. 자율성 및 의사결정 능력** + +사람의 개입 없이 인공지능이 독립적으로 판단·실행하는 정도를 평가합니다. 자율성이 높을수록 오류 시 인간이 개입할 수 있는 여지가 줄어들므로 위험성이 높아집니다. + +--- + +### 5-3-2. 위험 판단 매트릭스 + +아래 [표 5-2]는 5가지 고려 요소를 바탕으로 위험 수준을 체계적으로 평가하기 위한 매트릭스입니다. + +#### [표 5-2] 고영향 인공지능 위험 판단 매트릭스 + +| 고려 요소 | 고위험 (고영향 해당 가능성 높음) | 저위험 (고영향 비해당 가능성 높음) | +|-----------|----------------------------------|-------------------------------------| +| **기능 중요도** | 해당 영역의 핵심 운영에 필수적인 기능 수행 | 부수적·보조적 기능만 수행 | +| **잠재적 위험성** | 오작동 시 생명·신체 안전에 직접적 피해 초래 가능 | 오작동 시 경미한 불편·비용 발생에 그침 | +| **시스템 신뢰성** | 오류 발생 빈도가 높거나 검증 이력이 부족 | 충분한 검증을 거치고 오류율이 낮음 | +| **데이터 정확성** | 데이터 오류가 시스템 전체 판단에 영향 | 데이터 오류가 국소적이고 보정 가능 | +| **자율성·의사결정** | 사람의 개입 없이 최종 결정을 자율 수행 | 사람이 최종 판단하고 AI는 보조 역할 | + +> **실무 TIP** +> +> 위 매트릭스에서 **고위험 항목이 다수**인 경우 고영향 인공지능에 해당할 가능성이 높습니다. 반대로 **자율성·의사결정 항목만 저위험**(사람이 실질적으로 최종 판단)이라면, 다른 요소가 고위험이더라도 고영향 비해당으로 판단될 수 있습니다. + +**위험 판단의 핵심 원칙:** + +``` +┌─────────────────────────────────────────────────────────┐ +│ 위험 판단 핵심 원칙 │ +├─────────────────────────────────────────────────────────┤ +│ │ +│ 1. 종합적 판단 │ +│ → 5가지 요소를 개별적이 아닌 종합적으로 고려 │ +│ │ +│ 2. 부정적 영향 초점 │ +│ → 고영향 규제의 입법 취지에 따라 │ +│ 주로 부정적 영향에 초점 │ +│ │ +│ 3. 맥락 고려 │ +│ → 인공지능의 의도된 목적, 기능, 활용 맥락을 │ +│ 다양한 관점에서 고려 │ +│ │ +│ 4. 인간 개입의 실질성 │ +│ → 형식적 확인이 아닌 실질적 검토·조정·승인이 │ +│ 이루어지는지를 기준으로 판단 │ +│ │ +│ 5. 영향받는 자 포함 │ +│ → 이용자뿐 아니라 간접적으로 영향받는 자도 │ +│ 위험 판단 대상에 포함 │ +│ │ +└─────────────────────────────────────────────────────────┘ +``` + +> **주의** +> +> **"사람의 개입"이 형식적 확인에 그치는 경우**에는 실질적 인간 개입으로 인정되지 않습니다. 예를 들어, 인공지능 결과를 담당자가 기계적으로 승인만 하는 구조라면 사람의 실질적 개입이 없는 것으로 판단될 수 있습니다. 담당자가 인공지능 결과와 다른 판단을 내린 사례가 통계적으로 극히 드물다면, 이 역시 실질적으로 인공지능이 의사결정을 지배하는 구조로 평가될 수 있습니다. + +**2단계 위험 판단 자가점검 체크리스트:** + +- [ ] 우리 AI가 해당 영역의 핵심 기능을 수행하는가? (기능 중요도) +- [ ] AI 오작동 시 생명·신체 안전에 직접적 피해가 발생할 수 있는가? (잠재적 위험성) +- [ ] AI 시스템의 검증 이력과 오류율을 확인했는가? (시스템 신뢰성) +- [ ] 데이터 오류 시 시스템 전체 판단에 영향을 미치는가? (데이터 정확성) +- [ ] AI가 사람의 개입 없이 최종 결정을 내리는가? (자율성·의사결정) +- [ ] 사람의 개입이 실질적인가, 형식적 확인에 그치는가? +- [ ] 이용자뿐 아니라 간접적 영향받는 자까지 고려했는가? diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/25_5-4_\352\263\274\352\270\260\354\240\225\355\206\265\353\266\200_\355\231\225\354\235\270_\354\232\224\354\262\255.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/25_5-4_\352\263\274\352\270\260\354\240\225\355\206\265\353\266\200_\355\231\225\354\235\270_\354\232\224\354\262\255.md" new file mode 100644 index 0000000..261c765 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/25_5-4_\352\263\274\352\270\260\354\240\225\355\206\265\353\266\200_\355\231\225\354\235\270_\354\232\224\354\262\255.md" @@ -0,0 +1,143 @@ +## 5-4. 판단이 어려울 때 — 과기정통부 확인 요청 + +자율 판단이 원칙이지만, 자사 인공지능이 고영향에 해당하는지 판단하기 어려운 경우가 있습니다. 이때 활용할 수 있는 것이 **과학기술정보통신부(이하 '과기정통부') 확인 요청** 제도��니다. + +--- + +### 5-4-1. 확인 요청 절차 (시행령 제24조) + +확인 요청 절차는 「인공지능기본법」 제33조제1항 및 시행령 제24조에 근거합니다. + +> **법률 원문** | 제33조(고영향 인공지능의 확인) 제1항 +> +> 인공지능사업자는 (...) 필요한 경우 과학기술정보통신부장관에게 고영향 인공지능에 해당하는지 여부의 확인을 요청할 수 있다. + +전체 절차를 아래 블록도로 정리합니다. + +``` +┌───────────────────────────────────────────────────────────────┐ +│ 고영향 인공지능 확인 요청 절차 │ +├───────────────────────────────────────────────────────────────┤ +│ │ +│ ① 사업자: 자율 판단 수행 │ +│ └→ 판단이 어려운 경우 확인 요청 결정 │ +│ │ +│ ② 사업자 → 과기정통부 │ +│ └→ 별지 제1호 서식의 확인 요청서 제출 │ +│ │ +│ ③ 과기정통부: 고려사항을 종합하여 판단 │ +│ └→ 필요시 전문위원회 자문 │ +│ │ +│ ④ 과기정통부 → 사업자: 30일 이내 회신 │ +│ └→ 복잡성·중요성 등 고려 시 30일 이내 1회 연장 가능 │ +│ │ +│ ⑤ (불복 시) 사업자 → 과기정통부 │ +│ └→ 회신 수령 후 10일 이내 재확인 요청 가능 │ +│ └→ 반대 증빙 자료 + 재확인 취지·이유 기재 문서 제출 │ +│ │ +│ ⑥ 과기정통부: 전문위원회 자문 후 재확인 │ +│ └→ 재확인 요청일로부터 30일 이내 회신 │ +│ │ +└───────────────────────────────────────────────────────────────┘ +``` + +--- + +### 5-4-2. 확인 요청서 작성 방법 + +확인 요청 시에는 시행령 별지 제1호 서식의 **확인 요청서**를 과기정통부장관에게 제출해야 합니다. + +> **실무 TIP** +> +> 확인 요청서에는 다음 내용을 포함하여 작성하는 것이 권장됩니다. +> +> 1. **사업자 기본 정보** — 회사명, 사업자등록번호, 담당자 연락처 +> 2. **인공지능 제품·서비스 개요** — 인공지능의 목적, 기능, 활용 영역 +> 3. **자율 판단 결과** — 1단계(영역 판단), 2단계(위험 판단)의 사전 검토 내용 +> 4. **판단이 어려운 이유** — 경계 사례인 구체적 사유 +> 5. **첨부 자료** — 기술 문서, 서비스 흐름도, 인간 개입 체계 설명 등 + +--- + +### 5-4-3. 처리 기간 (30일 이내, 재확인 10일) + +확인 요청의 처리 기간은 시행령 제24조에 명확히 규정되어 있습니다. + +| 구분 | 기간 | 비고 | +|------|------|------| +| **최초 확인** | 요청 후 **30일 이내** 회신 | 복잡성·중요성 고려 시 30일 이내 1회 연장 가능 | +| **재확인 요청 기한** | 회신 수령 후 **10일 이내** | 반대 증빙 자료 + 취지·이유 기재 문서 제출 | +| **재확인 회신** | 재확인 요청일로부터 **30일 이내** | 전문위원회 자문을 거쳐 판단 | + +> **법률 원문** | 시행령 제24조(고영향 인공지능의 확인 절차 등) +> +> ③ 과학기술정보통신부장관은 제1항에 따른 요청을 받은 후 30일 이내에 회신하여야 한다. 이 경우 제품 등의 복잡성 및 중요성 등을 고려하여 30일 이내의 기간을 정하여 연장할 수 있다. +> +> ④ 제3항에 따라 회신을 받은 인공지능사업자는 회신을 받은 날로부터 10일 이내에 (...) 재확인을 요청할 수 있다. + +> **주의** +> +> 재확인 요청 시에는 **반대되는 증빙 자료**와 함께 재확인 요청의 취지와 이유를 기재한 문서를 제출해야 합니다. 단순한 불만 표시가 아닌, 구체적인 반론 근거를 준비해야 합니다. + +--- + +### 5-4-4. 전문위원회 자문 + +과기정통부장관은 고영향 인공지능 판단 과정에서 **전문위원회**의 자문을 받을 수 있습니다. + +**전문위원회의 주요 사항:** + +| 항목 | 내용 | +|------|------| +| 구성 | 50인 이상의 전문가 풀(pool) | +| 회의 구성 | 전문위원 5명의 회의를 통해 의견 청취 | +| 추가 자문 | 필요시 전문위원 외의 전문가 의견 청취 가능 | +| 법적 성격 | 법적 구속력이 없는 **자문** 역할 | +| 절차적 위치 | 반드시 거쳐야 하는 절차가 아닌 **선택적** 절차 | + +> **실무 TIP** +> +> 전문위원회의 자문은 법적 구속력이 없지만, 고영향 영역과 인공지능에 관한 전문가들이 제공하는 종합적 검토 의견으로서 **확인 결과에 중요한 참고자료**가 됩니다. 재확인 요청 시에는 전문위원회 자문을 거치게 됩니다(시행령 제24조제5항). + +**확인 결과의 법적 한계:** + +과기정통부의 확인은 **행정적 판단**에 그칩니다. + +- 행정절차에 활용되거나 사법적으로는 참고적 성격에 불과합니다. +- 민·형사상 법적 분쟁 시 최종 판단은 **법원의 사법적 판단**에 따라 결정됩니다. +- 따라서 확인 결과를 받았더라도 법적 책임에 대한 별도 대비가 필요합니다. + +``` +┌──────────────────────────────────────────────────────┐ +│ 확인 결과의 법적 위상 │ +├──────────────────────────────────────────────────────┤ +│ │ +│ 과기정통부 확인 결과 │ +│ ┌────────────────────────────────────────┐ │ +│ │ • 행정적 판단 (행정해석 수준) │ │ +│ │ • 법적 구속력 없음 │ │ +│ │ • 행정절차에서 활용 가능 │ │ +│ │ • 사법적으로는 참고 자료 │ │ +│ └────────────────────────────────────────┘ │ +│ │ +│ 최종 법적 판단 │ +│ ┌────────────────────────────────────────┐ │ +│ │ • 법원의 사법적 판단에 의함 │ │ +│ │ • 확인 결과와 다를 수 있음 │ ��� +│ └────────────────────────────────────────┘ │ +│ │ +│ → 사업자는 확인 결과와 별개로 │ +│ 법적 책임에 대한 대비가 필요 │ +│ │ +└──────────────────────────────────────────────────────┘ +``` + +**확인 요청 자가점검 체크리스트:** + +- [ ] 자율 판단(1단계 영역 + 2단계 위험)을 먼저 수행했는가? +- [ ] 판단이 어려운 구체적 사유를 정리했는가? +- [ ] 별지 제1호 서식에 따른 확인 요청서를 작성했는가? +- [ ] AI 제품·서비스의 기술 문서, 서비스 흐름도를 첨부했는가? +- [ ] 인간 개입 체계를 구체적으로 설명했는가? +- [ ] 확인 결과에 대한 불복 시 10일 이내 재확인 요청이 가능함을 인지하고 있는가? +- [ ] 확인 결과의 법적 한계를 이해하고 별도 법적 대비를 마련했는가? diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/26_5-5_\354\230\201\354\227\255\353\263\204_\355\214\220\353\213\250_\354\202\254\353\241\200.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/26_5-5_\354\230\201\354\227\255\353\263\204_\355\214\220\353\213\250_\354\202\254\353\241\200.md" new file mode 100644 index 0000000..1e46093 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/26_5-5_\354\230\201\354\227\255\353\263\204_\355\214\220\353\213\250_\354\202\254\353\241\200.md" @@ -0,0 +1,283 @@ +## 5-5. 영역별 판단 사례 + +이 절에서는 인공지능기본법 지원데스크에 접수된 실제 문의를 바탕으로 구성된 5가지 사례를 통해 고영향 인공지능 판단 과정을 구체적으로 살펴봅니다. + +--- + +### 5-5-1. 채용 서류전형 AI (사례14) + +> **사례 14** | 채용 서류전형에서 인공지능을 보조도구로 활용하면 고영향 인공지능인가? + +**사실관계:** +- 인공지능을 활용하여 자기소개서 요약·키워드 추출·주제 분석을 제공합니다. +- 인공지능이 문장 완성도·유사도 검사 결과를 제공하지만, 평가·선별 정보는 제공하지 않습니다. +- 최종 평가는 면접위원이 직접 수행합니다. + +**판단 과정:** + +| 판단 단계 | 분석 내용 | 결과 | +|-----------|-----------|------| +| 1단계: 영역 | 채용 분야는 '사'목(채용, 대출 심사 등)에 해당 | 해당 | +| 2단계: 위험 | AI가 합격·탈락을 직접 결정하는가? | No | +| 인간 개입 | 면접위원이 독립적으로 평가 수행 | 실질적 | + +**결론:** 채용 분야는 고영향 인공지능 해당 가능 영역이나, 인공지능이 **기초 자료 작성(요약·추출·분류)**에만 활용되고 평가 자체는 면접위원이 수행하는 경우라면 **고영향 인공지능에 해당하지 않을 가능성이 높습니다**. + +> **실무 TIP** +> +> 인공지능 분석 결과를 '참고자료'로 제공하더라도 평가 자체를 사람이 수행하면 고영향에 해당하지 않을 수 있습니다. 다만, 타사 인공지능서비스를 도입하여 자사 채용 업무에만 활용하고 외부에 제공하지 않는 경우, 해당 기관은 인공지능사업자가 아닌 **이용자**에 해당합니다(2장 참조). + +**경계 사례:** +- 인공지능이 유사도 검사 후 일정 점수 이하를 **자동으로 탈락 처리**하는 구조라면, 사람의 판단이 개입하지 않은 채 인공지능이 직접 결과를 결정하는 것이므로 **고영향 인공지능에 해당할 가능성이 높습니다**. +- 자사 채용에만 사용하던 인공지능서비스를 **계열사·협력사 등 외부에도 제공**하기 시작하면 인공지능이용사업자로 전환될 수 있습니다. + +**사례14 체크리스트:** + +| 확인 항목 | Yes | No | +|-----------|-----|-----| +| AI가 지원자 합격·탈락 여부를 직접 산출하거나 권고하는가? | 고영향 해당 가능성 높음 | 기초 자료 보조만이면 제외 가능 | +| AI 분석 결과가 평가 점수·등급에 수치로 반영되는가? | 세부 검토 필요 | 참고자료로만 사용 시 제외 가능 | +| 최종 합격·불합격 결정을 면접위원 등 사람이 독립적으로 수행하는가? | 고영향 해당 가능성 낮음 | 고영향 해당 가능성 높음 | + +--- + +### 5-5-2. 대출·신용 심사 AI (사례15) + +> **사례 15** | 대출·신용 심사에 활용하는 인공지능은 고영향 인공지능에 해당하는가? + +**사실관계:** +- 대출 심사 과정에서 신용평가 인공지능 모델 결과값을 참고자료로 활용합니다. +- 최종 대출 승인 여부는 담당자가 검토·조정·승인합니다. + +**판단 과정:** + +| 판단 단계 | 분석 내용 | 결과 | +|-----------|-----------|------| +| 1단계: 영역 | 대출 심사는 '사'목(채용, 대출 심사 등)에 해당 | 해당 | +| 2단계: 위험 | AI 결과값이 최종 결정에 직접 활용되는가? | 참고만 | +| 인간 개입 | 담당자가 검토·조정·승인 수행 | 실질적 | + +**결론:** 대출 심사는 고영향 인공지능에 해당할 가능성이 있는 분야입니다. 다만 인공지능 결과값을 **단순 참고로만 활용**하고 최종 결정을 담당자가 검토·조정·승인하는 구조라면 **고영향 인공지능에 해당하지 않을 수 있습니다**. + +> **주의** +> +> 인공지능이 '단순 참고'라는 명목으로 활용되더라도, 담당자가 인공지능 결과와 다른 판단을 내린 사례가 **통계적으로 극히 드물다면** 실질적으로 인공지능이 의사결정을 지배하는 구조로서 고영향 인공지능으로 평가될 수 있습니다. + +**경계 사례:** +- 인공지능이 신용점수를 산출하고 일정 점수 이하이면 **자동으로 대출을 거절**하는 구조는 사람의 실질적 검토·승인이 없으므로 **고영향 인공지능에 해당할 가능성이 높습니다**. + +**사례15 체크리스트:** + +| 확인 항목 | Yes | No | +|-----------|-----|-----| +| AI 신용평가 결과가 대출 승인 여부·조건에 수치 그대로 반영되는가? | 고영향 해당 가능성 있음 | 단순 참고면 제외 가능 | +| 담당자가 AI 결과 외 다른 정보와 종합하여 독립적으로 판단하는가? | 인간 개입의 실질성 인정 | 고영향 해당 가능성 있음 | + +--- + +### 5-5-3. 의료기기 AI 진단 (사례16) + +> **사례 16** | 의료기기에 탑재된 인공지능 진단 기능은 고영향 인공지능인가? + +**사실관계:** +- 진단용 초음파 의료기기에 인공지능기술이 탑재되어 있습니다. +- 인공지능이 병변을 탐지·분석하여 의사에게 결과를 제공합니다. + +**판단 과정:** + +| 판단 단계 | 분석 내용 | 결과 | +|-----------|-----------|------| +| 1단계: 영역 | 의료 분야는 '다'목(보건의료) 및 '라'목(의료기기)에 해당 | 해당 | +| 2단계: 위험 | AI가 자동 진단·처방을 내리는가? | 의사 보조 | +| 인간 개입 | 의사가 독립적으로 임상 판단 수행, 오류 시 직접 개입 가능 | 실질적 | + +**결론:** 의료 분야는 고영향 인공지능 적용 가능 영역입니다. 인공지능 결과가 의사의 진단·치료 결정에 **실질적 영향**을 미치는 경우라면 고영향에 해당할 수 있습니다. 반면 인공지능이 검사 편의성을 높이고 예측값을 제공하여 의료진의 판단을 **보조하는 데 그치며**, 오류 시 의료진이 직접 개입할 수 있는 구조라면 **고영향 인공지능에 해당하지 않습니다**. + +> **주의** +> +> 의료기기에 탑재된 인공지능은 「인공지능기본법」 외에 「의료기기법」, 「디지털의료제품법」, 「보건의료기본법」 등 **관련 법령과 중첩**될 수 있습니다. 소관 부처 기준을 병행하여 검토하는 것이 필요합니다. + +**경계 사례:** +- 인공지능이 단순 보조 도구로 도입되었더라도, 실제 임상 현장에서 의사가 인공지능 결과를 **사실상 그대로 채택**하고 독립적 판단을 거의 하지 않는 구조라면 고영향 인공지능으로 평가될 수 있습니다. + +**사례16 체크리스트:** + +| 확인 항목 | Yes | No | +|-----------|-----|-----| +| AI 판단 결과가 의사의 진단서·처방·치료 계획에 직접 반영되는가? | 고영향 해당 가능성 있음 | 고영향 해당 가능성 낮음 | +| 의사가 AI 결과 없이도 독립적으로 진단할 수 있고 오류 시 직접 개입할 수 있는 구조인가? | 고영향 제외 가능 | 고영향 해당 가능성 있음 | + +--- + +### 5-5-4. 교육 AI 서비스 (사례17) + +> **사례 17** | 교육 인공지능서비스는 고영향 인공지능에 해당하는가? + +**사실관계:** +- 중·고등 특수교육 대상 학생의 학습 콘텐츠 초안 생성, 활동 기록 분석, 교사·보호자 참고용 리포트를 제공하는 인공지능서비스입니다. + +**판단 과정:** + +| 판단 단계 | 분석 내용 | 결과 | +|-----------|-----------|------| +| 1단계: 영역 | '차'목(교육)은 유아·초등·중등교육의 **'학생 평가'**에 한정 | 비해당 | +| 2단계: 위험 | 법정 영역에 해당하지 않으므로 판단 불필요 | — | + +**결론:** 교육 분야 인공지능은 유아교육·초등교육 및 중등교육에서의 **'평가'** 분야에서 활용되는 경우에 한하여 고영향 인공지능으로 분류됩니다. 문의 서비스는 학습 콘텐츠 생성, 활동 정리, 참고용 리포트 작성 등 **교육자료 생성과 교육과정 진행·정리**를 목적으로 하며 '평가' 분야에 해당하지 않으므로 **고영향 인공지능에 해당하지 않습니다**. + +> **실무 TIP** +> +> '차'목의 적용 범위는 명확합니다. **학습 보조·콘텐츠 생성·학원 교육 목적**은 제외됩니다. 그러나 인공지능이 학생의 **성적·등급·합격 여부를 직접 산출**하거나 그 결정에 활용되는 경우에는 고영향에 해당할 수 있습니다. + +**경계 사례:** +- 학원에서 사용하던 인공지능이 향후 **학교 교육과 연계**되어 이용된다면, 그 기능 범위에서 고영향 인공지능 해당 여부를 재검토해야 합니다. + +**사례17 체크리스트:** + +| 확인 항목 | Yes | No | +|-----------|-----|-----| +| 서비스가 유아·초·중·고교 교육기관의 학생 '성취도 평가'에 활용되는가? | 고영향 해당 가능. 추가 검토 필요 | 고영향 해당 가능성 낮음 | +| AI가 학생의 성적·등급·합격 여부를 직접 산출하거나 그 결정에 활용되는가? | 고영향 해당 가능성 있음 | 학습 보조·콘텐츠 생성이면 고영향 제외 | + +--- + +### 5-5-5. 공공안전 AI (사례18) + +> **사례 18** | 공공안전 분야 인공지능(홍수예보·지능형 CCTV 등)은 고영향 인공지능인가? + +**사실관계:** +- 인공지능이 10분마다 하천 수위를 자동 예측하고 위험 알람을 생성합니다. +- 홍수예보관이 검증 후 홍수특보를 발령합니다. +- 지능형 CCTV 등 스마트 감시 시설 운영도 검토 중입니다. + +**판단 과정 — 홍수예보 AI:** + +| 판단 단계 | 분석 내용 | 결과 | +|-----------|-----------|------| +| 1단계: 영역 | 홍수예보가 법정 11개 영역에 해당하는가? | 비해당 | +| 비고 | '가'목(에너지)이나 '나'목(먹는물)과 무관 | — | + +**판단 과정 — 지능형 CCTV:** + +| 판단 단계 | 분석 내용 | 결과 | +|-----------|-----------|------| +| 1단계: 영역 | 기기의 기능(생체인식 여부)이 아니라 **활용 분야**가 법정 영역에 해당하는지가 기준 | 분야별 판단 | +| 범죄 수사·체포 목적 | '바'목(생체인식정보 분석·활용) 해당 가능 | 해당 가능 | +| 단순 관제 목적 | 법정 영역 비해당 | 비해당 | + +**결론:** +- **홍수예보 AI**: 법정 고영향 인공지능 영역에 해당하지 않으므로, 단순한 홍수예보 체계에만 활용된다면 **고영향 인공지능에 포함되지 않을 가능성이 높습니다**. +- **지능형 CCTV**: 단순 모니터링·관제인지, 생체인식인지의 기능 구분이 기준이 아닙니다. **범죄 수사·체포를 위한 생체인식정보 분석·활용**에 사용되는 경우 고영향 인공지능에 해당할 수 있습니다. + +> **실무 TIP** +> +> 공공안전 분야에서는 **"어떤 기능을 가진 기기인가"가 아니라 "어떤 분야에서 어떤 목적으로 활용되는가"**가 고영향 판단의 핵심 기준입니다. 도입 목적이 변경되면 고영향 해당 여부도 재검토해야 합니다. + +**경계 사례:** +- 홍수예보 인공지능이 법정 영역에서 국민의 생명·신체 안전에 중대한 영향을 미치는 활용으로 **범위가 확대**된다면 재검토가 필요합니다. +- 지능형 CCTV의 도입 목적이 단순 관제에서 **범죄 수사·체포를 위한 생체인식 활용으로 전환**된다면 그 시점부터 고영향 해당 여부를 확인해야 합니다. + +**사례18 체크리스트:** + +| 확인 항목 | Yes | No | +|-----------|-----|-----| +| 해당 AI가 법 제2조제4호 각 목의 영역에서 활용되는가? | 고영향 판단 단계 진입 | 고영향 가능성 낮음 | +| 지능형 CCTV의 경우, 범죄 수사·체포를 위한 생체인식정보 분석·활용 목적인가? | 고영향 해당 가능 | 단순 모니터링·관제이면 고영향 제외 가능 | + +--- + +## 5장 종합: 판단 플로우차트 + 자가점검표 + +### [그림 5-2] 고영향 인공지능 판단 종합 플로우차트 + +``` +┌──────────────────────────────────────────────────────────────────┐ +│ 고영향 인공지능 판단 종합 플로우차트 │ +├──────────────────────────────────────────────────────────────────┤ +│ │ +│ START: 인공지능 제품·서비스를 제공하려는 사업자 │ +│ │ │ +│ ▼ │ +│ ┌────────────────────────────────────────────┐ │ +│ │ Q1. 인공지능사업자에 해당하는가? │ │ +│ │ (2장 참조) │ │ +│ └─────┬──────────────────────┬────────────────┘ │ +│ Yes ▼ ▼ No │ +│ 계속 이용자에 해당 │ +│ │ → 고영향 의무 없음 │ +│ ▼ │ +│ ┌────────────────────────────────────────────┐ │ +│ │ Q2. [1단계] 법정 11개 영역 중 하나에 │ │ +│ │ 해당하는가? (5-2절) │ │ +│ │ 가.에너지 나.먹는물 다.보건의료 │ │ +│ │ 라.의료기기 마.원자력 바.범죄수사 │ │ +│ │ 사.채용·대출 아.교통 자.공공서비스 │ │ +│ │ 차.교육 │ │ +│ └─────┬──────────────────────┬────────────────┘ │ +│ Yes ▼ ▼ No │ +│ 계속 고영향 비해당 │ +│ │ → 추가 의무 없음 │ +│ ▼ │ +│ ┌────────────────────────────────────────────┐ │ +│ │ Q3. [2단계] 사람의 생명·신체 안전·기본권에 │ │ +│ │ 중대한 영향 또는 위험 초래 우려? │ │ +│ │ (5가지 요소 종합 판단, 5-3절) │ │ +│ └─────┬───────────┬──────────┬────────────────┘ │ +│ Yes ▼ 불확실 ▼ ▼ No │ +│ 고영향 과기정통부 고영향 비해당 │ +│ 해당 확인 요청 → 추가 의무 없음 │ +│ │ (5-4절) │ +│ ▼ │ │ +│ 제34조 30일 이내 │ +│ 책무 발생 회신 대기 │ +│ (6장 참조) │ +│ │ +└──────────────────────────────────────────────────────────────────┘ +``` + +--- + +### 5장 자가점검표 + +아래 체크리스트를 활용하여 고영향 인공지능 판단을 체계적으로 수행할 수 있습니다. + +**[1단계: 영역 판단]** + +- [ ] 우리 AI 제품·서비스의 활용 분야를 명확히 식별했는가? +- [ ] 해당 분야가 법 제2조제4호의 11개 영역(가~차목) 중 하나에 해당하는가? +- [ ] 해당 목이 인용하는 개별 법령의 정의·범위를 확인했는가? +- [ ] AI의 활용 목적이 해당 영역 본연의 기능에 해당하는가? + +**[2단계: 위험 판단]** + +- [ ] AI가 해당 영역의 핵심 기능을 수행하는가? (기능 중요도) +- [ ] AI 오작동 시 생명·신체 안전에 직접적 피해가 발생할 수 있는가? (잠재적 위험성) +- [ ] AI 시스템의 검증 이력과 오류율을 확인했는가? (시스템 신뢰성) +- [ ] 데이터 오류가 시스템 전체 판단에 영향을 미치는가? (데이터 정확성) +- [ ] AI가 사람의 개입 없이 최종 결정을 내리는가? (자율성·의사결정) +- [ ] 사람의 개입이 실질적인가, 형식적 확인에 그치는가? + +**[판단 결과 조치]** + +- [ ] **고영향 해당 시**: 제34조 사업자 책무 이행 준비 (6장 참조) +- [ ] **고영향 해당 시**: 영향평가 실시 준비 (7장 참조) +- [ ] **판단 불확실 시**: 과기정통부 확인 요청서 작성 (5-4절 참조) +- [ ] **고영향 비해당 시**: 판단 근거 문서화 (향후 입증 대비) + +> **실무 TIP** +> +> 고영향 비해당으로 판단한 경우에도 **판단 근거를 문서화**하여 보관하는 것이 권장됩니다. 추후 활용 범위 변경, 규제 환경 변화, 또는 법적 분쟁 시 자율 판단의 합리성을 입증하는 자료가 됩니다. + +--- + +### 핵심 요약 + +> **5장 핵심 요약** +> +> 1. 고영향 인공지능 판단은 **사업자의 자율 판단이 원칙**이며, 정부 확인은 선택적 절차입니다. +> 2. 판단은 **2단계**로 수행합니다: ① 법정 11개 영역 해당 여부 → ② 생명·신체·기본권에 대한 위험 판단. +> 3. 1단계에서 법정 영역에 해당하지 않으면 **2단계 검토 없이 고영향 비해당**입니다. +> 4. 2단계에서는 기능 중요도·잠재적 위험성·시스템 신뢰성·데이터 정확성·자율성의 **5가지 요소**를 종합적으로 고려합니다. +> 5. 판단의 핵심 갈림길은 **인간 개입의 실질성**입니다. AI가 최종 결정을 내리는지, 사람이 실질적으로 검토·판단하는지가 고영향 해당 여부를 결정합니다. +> 6. 판단이 어려운 경우 과기정통부에 **확인 요청**(30일 이내 회신)을 할 수 있으며, 불복 시 **10일 이내 재확인 요청**이 가능합니다. +> 7. 고영향으로 판단되면 제34조에 따른 **추가 책무**(위험관리, 설명가능성, 이용자 보호, 인간 관리·감독 등)가 발생합니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/27_6-1_\354\202\254\354\227\205\354\236\220_\354\261\205\353\254\264_\354\240\204\354\262\264_\352\265\254\354\241\260.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/27_6-1_\354\202\254\354\227\205\354\236\220_\354\261\205\353\254\264_\354\240\204\354\262\264_\352\265\254\354\241\260.md" new file mode 100644 index 0000000..2abfb71 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/27_6-1_\354\202\254\354\227\205\354\236\220_\354\261\205\353\254\264_\354\240\204\354\262\264_\352\265\254\354\241\260.md" @@ -0,0 +1,122 @@ +# 6장. 고영향 AI 사업자 책무 + +## 6-1. 사업자 책무 전체 구조 + +「인공지능기본법」 제34조는 고영향 인공지능(High-impact AI)을 제공하는 사업자에게 안전성·신뢰성 확보를 위한 **5대 조치사항**을 이행하도록 의무화하고 있습니다. 본 절에서는 5대 조치사항의 전체 구조와 법·시행령·가이드라인 간 대응 관계, 그리고 이행 주체를 정리합니다. + +--- + +### 6-1-1. 5대 조치사항 총정리 + +고영향 인공지능 사업자가 이행해야 하는 5대 조치사항은 다음과 같습니다. + +> **법률 원문** | 제34조(고영향 인공지능과 관련한 사업자의 책무) +> ① 인공지능사업자는 고영향 인공지능 또는 이를 이용한 제품·서비스를 제공하는 경우 고영향 인공지능의 안전성·신뢰성을 확보하기 위하여 다음 각 호의 내용을 포함하는 조치를 대통령령으로 정하는 바에 따라 이행하여야 한다. + +**[그림 6-1] 5대 조치사항 구조도** + +``` +┌─────────────────────────────────────────────────────────────┐ +│ 고영향 AI 사업자 5대 조치사항 │ +│ 「인공지능기본법」 제34조제1항 │ +├─────────────────────────────────────────────────────────────┤ +│ │ +│ ┌─────────────────────┐ ┌─────────────────────────────┐ │ +│ │ 조치 1 │ │ 조치 2 │ │ +│ │ 위험관리방안의 │ │ 설명 방안의 수립·시행 │ │ +│ │ 수립·운영 │ │ (설명가능성 확보) │ │ +│ │ (제1호) │ │ (제2호) │ │ +│ │ │ │ │ │ +│ │ · 위험관리정책 │ │ · 최종결과 설명 │ │ +│ │ · 위험관리 조직체계 │ │ · 주요 기준 설명 │ │ +│ │ │ │ · 학습용데이터 개요 │ │ +│ └─────────────────────┘ └─────────────────────────────┘ │ +│ │ +│ ┌─────────────────────┐ ┌─────────────────────────────┐ │ +│ │ 조치 3 │ │ 조치 4 │ │ +│ │ 이용자 보호 방안의 │ │ 사람의 관리·감독 │ │ +│ │ 수립·운영 │ │ (제4호) │ │ +│ │ (제3호) │ │ │ │ +│ │ │ │ · 개입 기준·방법 수립 │ │ +│ │ · 데이터 관리 │ │ · 정기적 점검 │ │ +│ │ · 안전 설계·개발 │ │ · 교육 및 훈련 │ │ +│ │ · 모니터링·대응 │ │ │ │ +│ │ · 이용자 권리 보호 │ │ │ │ +│ └─────────────────────┘ └─────────────────────────────┘ │ +│ │ +│ ┌──────────────────────────────────────────────────────┐ │ +│ │ 조치 5 │ │ +│ │ 안전·신뢰 문서의 작성과 보관 (제5호) │ │ +│ │ │ │ +│ │ · 조치 1~4의 이행 내용을 안전신뢰문서로 통합 작성 │ │ +│ │ · 5년간 보관 (전자적 방법 포함) │ │ +│ │ · 주기적 점검·갱신으로 최신 상태 유지 │ │ +│ └──────────────────────────────────────────────────────┘ │ +│ │ +│ + 제6호: 위원회 심의·의결 사항 (추후 결정) │ +└─────────────────────────────────────────────────────────────┘ +``` + +> **실무 TIP** +> 5대 조치사항은 개별적으로 이행하는 것이 아니라 서로 연결됩니다. 위험관리(조치 1)에서 식별한 위험은 설명 방안(조치 2)과 이용자 보호(조치 3)에 반영되고, 사람의 관리·감독(조치 4) 결과는 위험관리 개선에 환류됩니다. 조치 5(안전신뢰문서)는 이 모든 활동을 하나의 문서로 통합하여 기록하는 역할을 합니다. + +--- + +### 6-1-2. 법 조항·시행령·가이드라인 대응 관계 + +**[표 6-1] 5대 조치사항의 법·시행령·가이드라인 대응표** + +| 조치 | 법 조항 | 시행령 | 가이드라인 | 홈페이지 게시 | +|------|---------|--------|------------|---------------| +| 1. 위험관리방안 수립·운영 | 제34조제1항제1호 | 시행령 제34조제1항제1호 | 제3조(위험관리방안의 수립·운영) | 위험관리정책·조직체계 주요 내용 | +| 2. 설명 방안 수립·시행 | 제34조제1항제2호 | 시행령 제34조제1항제2호 | 제4조(설명방안의 수립·시행) | 설명 방안 주요 내용 | +| 3. 이용자 보호 방안 | 제34조제1항제3호 | 시행령 제34조제1항제3호 | 제5조(이용자 보호방안의 수립·운영) | 이용자 보호 방안 | +| 4. 사람의 관리·감독 | 제34조제1항제4호 | 시행령 제34조제1항제4호 | 제6조(사람의 관리·감독) | 관리·감독 담당자 성명·연락처 | +| 5. 안전·신뢰 문서 | 제34조제1항제5호 | 시행령 제34조제2항 | 제7조(문서의 작성·보관) | -- | + +> **주의** +> 홈페이지 게시 시 「부정경쟁방지 및 영업비밀보호에 관한 법률」에 따른 영업비밀은 제외할 수 있습니다. 기술적 사양보다 관리 체계와 이용자 권리 보호 절차 위주로 공개하면 됩니다. + +**주요 관계 정리:** + +- 법 제34조제2항: 과학기술정보통신부장관이 구체적 사항을 **고시**하고 **권고** 가능 +- 법 제34조제3항: 다른 법령에 따라 동등한 조치를 이행한 경우 **이행 간주** (시행령 별표로 구체화) +- 시행령 제34조제2항: 조치 이행 근거를 문서로 **5년간** 보관 의무 + +--- + +### 6-1-3. 이행 주체 — 개발사업자 vs 이용사업자 + +고영향 인공지능 사업자 책무의 이행 주체는 **인공지능개발사업자**(AI Developer)와 **인공지능이용사업자**(AI Deployer)로 구분됩니다. + +| 구분 | 정의 | 책무 범위 | +|------|------|-----------| +| **개발사업자** | AI를 직접 개발하여 제공하는 자 | 설계·개발·학습 전 과정의 위험관리, 투명성·설명가능성 확보, 이용사업자에 대한 정보 제공 | +| **이용사업자** | 개발사업자가 제공한 AI를 이용하여 제품·서비스를 제공하는 자 | 운영 단계 위험관리, 이용자 대상 설명 방안 수립·시행, 이용자 보호, 사람의 관리·감독 | + +**책무 면제 조건 (시행령 제34조제3항):** + +이용사업자가 다음 조건을 **모두** 충족하면 개발사업자의 조치를 이행한 것으로 간주합니다. + +1. 개발사업자가 조치 1~4를 모두 또는 일부 이행한 AI 시스템을 제공받았을 것 +2. 해당 AI 시스템의 **중대한 기능 변경**을 하지 않았을 것 + +> **실무 TIP** +> "중대한 기능 변경"이란 성능, 안전성(위험성), 용도(목적), 이용 분야·맥락, 신뢰성의 변화 등을 종합적으로 고려합니다. 범용 AI 모델을 통합하여 고영향 AI 시스템을 만든 경우는 **개발사업자**의 지위를 갖게 됩니다. + +**이용사업자의 자료 요청권:** + +이용사업자는 개발사업자에게 책무 이행에 필요한 자료 제공을 요청할 수 있으며, 개발사업자는 이에 협력하도록 노력해야 합니다(시행령 제34조제4항). + +--- + +### 핵심 요약 + +| 항목 | 내용 | +|------|------| +| 법적 근거 | 「인공지능기본법」 제34조 | +| 5대 조치 | 위험관리 → 설명가능성 → 이용자 보호 → 사람의 감독 → 안전신뢰문서 | +| 이행 주체 | 개발사업자 + 이용사업자 (역할 분담) | +| 면제 조건 | 개발사업자 조치 이행 + 중대한 기능 변경 없음 | +| 문서 보관 | 5년간, 전자적 방법 포함 | +| 홈페이지 게시 | 4개 항목 게시 의무 (영업비밀 제외 가능) | diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/28_6-2_\354\234\204\355\227\230\352\264\200\353\246\254\353\260\251\354\225\210_\354\210\230\353\246\275\354\232\264\354\230\201.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/28_6-2_\354\234\204\355\227\230\352\264\200\353\246\254\353\260\251\354\225\210_\354\210\230\353\246\275\354\232\264\354\230\201.md" new file mode 100644 index 0000000..94f83d7 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/28_6-2_\354\234\204\355\227\230\352\264\200\353\246\254\353\260\251\354\225\210_\354\210\230\353\246\275\354\232\264\354\230\201.md" @@ -0,0 +1,118 @@ +## 6-2. 조치 1: 위험관리방안 수립·운영 (제34조제1항제1호) + +고영향 인공지능 사업자가 가장 먼저 이행해야 할 조치는 **위험관리방안의 수립·운영**입니다. 위험관리는 나머지 4대 조치의 기반이 되므로, 체계적인 수립이 필수적입니다. + +--- + +### 6-2-1. 범위와 내용 + +> **법률 원문** | 제34조제1항제1호 +> 위험관리방안의 수립·운영 + +**기술고시 조문(제3조)에 따른 위험관리방안의 필수 포함 사항:** + +| 구분 | 내용 | +|------|------| +| 위험관리정책 수립·이행 | 위험관리 계획 수립, 위험 식별, 위험 분석·평가, 위험 처리, 정책 개선 | +| 위험관리 조직체계 수립·운영 | 조직체계 구성, 정보 제공, 유관 조직과의 협력 | + +**위험관리의 대상이 되는 "위험"이란:** + +인공지능 수명주기(Lifecycle) 전반에 걸쳐 사람의 **생명·신체의 안전** 또는 **기본권**이 침해될 가능성과 그 잠재적 피해의 심각성을 말합니다. + +--- + +### 6-2-2. 수립 절차 및 운영 방법 + +위험관리방안은 다음 **5단계 절차**로 수립·운영합니다. + +``` +┌───────���──┐ ┌──────────┐ ┌──────────┐ ┌──────────┐ ┌──────────┐ +│ 1. 계획 │ → │ 2. 식별 │ → │ 3. 분석 │ → │ 4. 처리 │ → │ 5. 개선 │ +│ 수립 │ │ 위험 │ │ ·평가 │ │ 위험 │ │ 정책 │ +└──────────┘ └──────────┘ └──────────┘ └──────────┘ └──────────┘ + ↑ │ + └──────────────── 피드백 환류 (지속적 개선) ─────────────────┘ +``` + +**1단계: 위험관리 계획 수립** + +- 인공지능 전 수명주기에 걸쳐 발생할 수 있는 위험을 관리하기 위한 계획을 수립합니다. +- 위험 식별·분석·평가·처리 절차를 포함해야 합니다. +- 영향평가(「인공지능기본법」 제35조) 절차를 효과적으로 활용할 수 있습니다. +- 이용사업자는 개발사업자의 위험관리계획 중 자신의 책임 범위를 준용할 수 있습니다. + +**2단계: 위험 식별** + +| 사업자 | 식별 범위 | +|--------|-----------| +| 개발사업자 | 설계·데이터 수집·모델 학습·테스트 등 개발 전 과정의 잠재적 위험 | +| 이용사업자 | 실제 운영 환경에서의 위험, 사고 신고·불만 사항·수리 내역 등을 통해 지속 갱신 | + +> **실무 TIP** +> OECD에서 제시한 생성형 AI의 대표 위험 요소: AI 환각, 허위·오해 콘텐츠, 지적재산권 침해, 노동시장 변화, 에너지 소비·환경 부담, 편견·고정관념 증폭, 개인정보 보호 문제 등 + +**3단계: 위험 분석 및 평가** + +- AI가 활용되는 영역의 특성, AI 유형(생성형/판별형)을 고려하여 **심각도**와 **발생빈도**를 분석합니다. +- 이해관계자 집단을 식별하고 편익·위험의 불균형 가능성을 분석합니다. +- 개발사업자: 환각, 설명 미제공, 데이터 중독 등 AI 고유 위험 분석 +- 이용사업자: 장애, 오남용 등으로 발생할 수 있는 위험 분석 + +**4단계: 위험 처리** + +| 처리 방법 | 설명 | 예시 | +|-----------|------|------| +| **제거** | 위험 원천을 제거 | 특정 기능·시스템 제거 | +| **완화** | 발생 가능성 또는 결과를 변경 | 새로운 알고리즘 도입 | +| **모니터링** | 지속적 관찰 및 피드백 | 배포 후 지속 모니터링, 보험 활용 | +| **수용** | 경미한 위험을 정보에 기반하여 수용 | 신제품·서비스 출시 | + +- 잔여 위험이 허용 가능한 수준인지 확인합니다. +- 개발사업자는 처리 결과를 이용사업자에게 제공해야 합니다. + +**5단계: 위험관리정책 개선** + +- 위험 처리 후 파급효과를 재평가하여 위험이 실제로 제거·방지·완화되었는지 확인합니다. +- 모니터링·대응 결과(3-2-1)를 위험관리정책 개선에 활용합니다. + +**위험관리 조직체계:** + +| 요소 | 내용 | +|------|------| +| 조직 구성 | 기술·법률·윤리 등 다양한 분야 전문가로 구성 (규모에 따라 겸임 가능) | +| 독립성 확보 | 개발 부서와 분리된 조직적·기능적 독립성 권장 | +| 정보 제공 | 개발사업자 → 이용사업자·이용자에게 위험 관련 정보 충분히 제공 | +| 유관 조직 협력 | 법무·윤리·보안·개인정보·고객응대 부서와 지속적 협력 체계 구축 | + +> **실무 TIP** +> 위험관리를 위해 반드시 별도 전담 조직을 신설할 필요는 없습니다. 사업자의 규모와 역량을 고려하여 기존 조직이나 인력이 겸임할 수 있습니다. 다만, 개발 부서와 분리된 독립성을 확보하는 것이 권장됩니다. + +--- + +### 6-2-3. 4장 안전성 확보 위험관리와의 관계 + +4장에서 다룬 「안전성 확보 가이드라인」의 위험관리와 본 조치의 관계는 다음과 같습니다. + +| 구분 | 4장 안전성 확보 가이드라인 | 6장 사업자 책무 가이드라인 | +|------|---------------------------|---------------------------| +| 적용 대상 | 모든 인공지능사업자 | 고영향 인공지능 사업자 | +| 성격 | 자율적 이행 권고 | **법적 의무** (대통령령에 따라 이행) | +| 범위 | 안전성 위험관리 일반 | 5대 조치사항 전체 (위험관리 포함) | +| 관계 | 기본 토대 | 4장 위험관리를 포함하되 더 넓은 범위 적용 | + +> **주의** +> 4장의 안전성 확보 위험관리는 자율적 권고 사항이지만, 고영향 AI로 판단된 경우 6장의 사업자 책무 위험관리는 **법적 의무**입니다. 고영향 AI 사업자는 4장의 위험관리를 기반으로 하되, 제34조가 요구하는 5대 조치를 모두 이행해야 합니다. + +--- + +### 핵심 요약 + +| 항목 | 내용 | +|------|------| +| 법적 근거 | 제34조제1항제1호, 기술고시 제3조 | +| 핵심 절차 | 계획 수립 → 위험 식별 → 분석·평가 → 위험 처리 → 정책 개선 | +| 조직 요건 | 기술·법률·윤리 전문가 구성, 독립성 확보 권장 | +| 개발사업자 | 전 수명주기 위험관리, 처리 결과를 이용사업자에 제공 | +| 이용사업자 | 운영 위험관리, 개발사업자 계획 준용 가능 | +| 4장과의 관계 | 4장은 자율적 권고, 6장은 법적 의무 (더 넓은 범위) | diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/29_6-3_\354\204\244\353\252\205\352\260\200\353\212\245\354\204\261_\355\231\225\353\263\264.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/29_6-3_\354\204\244\353\252\205\352\260\200\353\212\245\354\204\261_\355\231\225\353\263\264.md" new file mode 100644 index 0000000..f324323 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/29_6-3_\354\204\244\353\252\205\352\260\200\353\212\245\354\204\261_\355\231\225\353\263\264.md" @@ -0,0 +1,129 @@ +## 6-3. 조치 2: 설명가능성 확보 (제34조제1항제2호) + +두 번째 조치는 AI의 결과와 기준, 데이터 개요에 대해 **설명 방안을 수립·시행**하는 것입니다. 이는 AI의 투명성과 설명가능성(Explainability)을 확보하기 위한 핵심 조치입니다. + +--- + +### 6-3-1. 설명 대상 — 최종결과, 주요 기준, 학습용 데이터 개요 + +> **법률 원문** | 제34조제1항제2호 +> 기술적으로 가능한 범위에서의 인공지능이 도출한 최종결과, 인공지능의 최종결과 도출에 활용된 주요 기준, 인공지능의 개발·활용에 사용된 학습용데이터의 개요 등에 대한 설명 방안의 수립·시행 + +설명 대상은 세 가지로 구분됩니다. + +| 설명 대상 | 내용 | 담당 | +|-----------|------|------| +| **최종결과** | AI가 도출한 예측·추천·결정 등의 결과물 | 개발+이용사업자 | +| **주요 기준** | 최종결과 도출에 활용된 핵심 판단 기준·요소(feature) | 개발사업자 | +| **학습용데이터 개요** | 데이터의 형식·수량·크기·수집 목적·전처리 방법 등 | 개발사업자 | + +**기술고시 조문(제4조) 구조:** + +| 조항 | 내용 | +|------|------| +| 제4조제1항 | 투명성·설명가능성을 확보하여야 함 | +| 제4조제2항 | 학습용데이터 개요를 정의하고 관리하여야 함 | +| 제4조제3항 | 설명방안을 자율적으로 정하여 수립·시행 | +| 제4조제4항 | 설명방안의 주요 내용을 홈페이지 게시 또는 서면 제공 | + +--- + +### 6-3-2. "기술적으로 가능한 범위"의 의미 + +법 조문의 "기술적으로 가능한 범위에서"라는 문구는 중요한 의미를 가집니다. + +- AI의 모든 판단 근거를 **100% 설명할 의무가 아닙니다**. +- 실질적으로 이용자의 권리에 영향을 미치는 **중대한 결과**에 대해서는 상세히 설명합니다. +- 영향이 적은 출력에 대해서는 시스템 수준의 **일반적인 설명**을 제공하는 등 차등을 둘 수 있습니다. + +> **실무 TIP** +> 설명 수준의 차등화 기준: +> - **결과별 설명**: 이용자의 권리에 직접 영향을 미치는 결과 (예: 대출 거절, 채용 탈락) +> - **코호트/시스템 수준 설명**: 영향이 적은 일반적 출력 (예: 콘텐츠 추천) + +--- + +### 6-3-3. 설명 방안 수립·시행 + +**개발사업자의 투명성 확보 (2-1-1)** + +- AI의 주요 작동원리, 기능 및 한계를 문서화합니다. +- 학습 구조, 알고리즘 구조, 모델 등을 포함할 수 있습니다. +- 시각화 도구 또는 요약보고서 등 보조 수단을 활용할 수 있습니다. + +**학습용데이터 개요 관리 (2-2-1)** + +학습용데이터 개요에 포함하는 주요 항목은 다음과 같습니다. + +| 항목 | 내용 | +|------|------| +| 일반 내용 | 제품·서비스명, 제공사, 연락처, 서비스 요약 | +| 데이터 사양 | 이름, 형식, 업데이트 시기, 수량, 크기 | +| 수집 정보 | 수집 목적, 수집 방법(자체구축/공개/라이선스/크롤링) | +| 전처리 | 전처리 방법(정규화, 라벨링, 증강 등), 전처리 전후 특성 | +| 데이터 특성 | 요약, 유형(모달리티), 분포 | +| 합성데이터 | 합성 이유, 사용 모델·서비스 (해당 시) | + +> **주의** +> 학습용데이터 개요는 개발사업자가 **내부적으로 관리**하기 위한 정보입니다. 이용사업자·이용자에게 제공할 내용의 범위는 개발사업자가 결정할 수 있습니다. + +**이용사업자의 설명 방안 수립 (2-3-1)** + +이용사업자는 이용자를 대상으로 설명 방안을 수립할 때 **육하원칙**을 고려합니다. + +| 원칙 | 내용 | +|------|------| +| **누가** | 공식 절차를 통해 요청한 이용자에게, 이용사업자가 | +| **언제** | 관련법 또는 내규에 따라 (예: 서면 통지를 받은 OO일 이내) | +| **어디서** | AI에서 이용자가 설명을 요청한 기능 또는 모듈 | +| **무엇을** | 도출결과, 주요 기준, 학습용데이터 개요 중 공개 가능 사항 | +| **어떻게** | 전담부서 연락처 공개 등 이용자가 접근 용이한 방법 | +| **왜** | 이용사업자로서의 책무사항 수행을 위해 | + +**설명 방안의 시행 절차 (2-3-2):** + +``` +이용자 요청사항 파악 → 설명자료 작성·검토 → 설명 방안 선정 → 전달 → 개선 + │ │ │ │ │ + FAQ 등 확인 용어 통일, 이메일, 이용자 피드백 반영, + 이미지·도식 활용 Q&A 게시판, 에게 최신 상태 유지 + 부서 검토 요청 홈페이지 등 전달 +``` + +--- + +### 6-3-4. 블랙박스 모델에서의 설명가능성 + +딥러닝 등 복잡한 모델에서 설명가능성을 확보하기 위한 기술적 접근 방법은 다음과 같습니다. + +| 기법 | 설명 | 적용 대상 | +|------|------|-----------| +| **SHAP** | 각 특성(feature)의 기여도를 수치로 제시 | 모든 모델 | +| **Grad-CAM** | 모델이 주목한 영역을 히트맵으로 시각화 | 이미지 모델 | +| **Attention Map** | 트랜스포머 모델의 주의 집중 영역 시각화 | 자연어·비전 모델 | +| **LIME** | 개별 예측에 대한 국소적 설명 제공 | 모든 모델 | + +**오픈소스 모델 활용 시 고려사항:** + +| 항목 | 직접 개발 | 오픈소스 모델 | +|------|-----------|---------------| +| 투명성 확보 | 모델 전체를 상세 문서화 가능 | 기반 모델 명칭·버전을 기록, 수정 내역 반영 | +| 데이터 개요 | 수집~전처리까지 직접 정의·기록 | 공개된 데이터 수집 경로를 유형별로 기록 | +| 설명 방안 | 주요 특성 기반으로 설명 방안 수립 | 기술적 제약(한국어 이해도, 최신 데이터 미반영 등)을 구체적으로 안내 | +| 설명 시행 | 업데이트 주기에 맞춰 동기화 용이 | 원저작자 업데이트 시 변화 사항을 반영 | + +> **실무 TIP** +> 홈페이지에 설명 방안을 게시할 때 영업비밀 유출이 우려된다면, 시행령에 따라 영업비밀에 해당하는 사항은 제외할 수 있습니다. 기술적 사양보다는 **관리 체계와 이용자 권리 보호 절차** 위주로 공개하면 됩니다. + +--- + +### 핵심 요약 + +| 항목 | 내용 | +|------|------| +| 법적 근거 | 제34조제1항제2호, 기술고시 제4조 | +| 설명 3대 대상 | 최종결과 + 주요 기준 + 학습용데이터 개요 | +| 기술적 범위 | 100% 설명 아님, 권리 영향에 따라 차등 | +| 개발사업자 | 투명성 확보(문서화), 데이터 개요 관리 | +| 이용사업자 | 육하원칙 기반 설명 방안 수립, 홈페이지 게시 | +| 블랙박스 대응 | SHAP, Grad-CAM 등 XAI 기법 활용 | diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/30_6-4_\354\235\264\354\232\251\354\236\220_\353\263\264\355\230\270_\353\260\251\354\225\210.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/30_6-4_\354\235\264\354\232\251\354\236\220_\353\263\264\355\230\270_\353\260\251\354\225\210.md" new file mode 100644 index 0000000..5839b43 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/30_6-4_\354\235\264\354\232\251\354\236\220_\353\263\264\355\230\270_\353\260\251\354\225\210.md" @@ -0,0 +1,104 @@ +## 6-4. 조치 3: 이용자 보호 방안 (제34조제1항제3호) + +세 번째 조치는 **이용자 보호 방안의 수립·운영**입니다. AI 개발 단계부터 운영 단계까지 이용자의 권리와 안전을 보호하기 위한 체계적인 방안을 마련해야 합니다. + +--- + +### 6-4-1. 이용자 보호의 범위 + +> **법률 원문** | 제34조제1항제3호 +> 이용자 보호 방안의 수립·운영 + +**기술고시 조문(제5조)에 따른 이용자 보호 범위:** + +| 단계 | 포함 사항 | +|------|-----------| +| **개발 단계** (제5조제1항) | 1. 안전하고 적법한 데이터 수집·관리 | +| | 2. 적대적 공격 등에 대응하기 위한 안전한 설계·개발 | +| | 3. 위험에 대한 지속적인 시험·평가 수행 | +| **운영 단계** (제5조제2항) | 1. 위험 탐지를 위한 모니터링·대응방안 수립 | +| | 2. 이용자 의견 수렴·지속적 개선 체계 마련 | +| | 3. 이용자 권리 보장·피해 보상 방안 수립 | + +**이용자 구분:** + +가이드라인은 이용자를 두 유형으로 구분하여 접근합니다. + +| 유형 | 설명 | 예시 | +|------|------|------| +| **A영역** (직접 영향) | AI 이용에 따라 직접 영향을 받는 이용자 | 채용 AI의 지원자, 대출 심사 AI의 신청자 | +| **B영역** (간접 영향) | 직접 영향은 받지 않으나 안전·신뢰를 위해 고려해야 하는 경우 | 원자력시설 AI의 주변 주민 | + +> **실무 TIP** +> B영역의 경우 이용자 보호방안은 **영향받는 자**를 고려하여 설계되어야 합니다. 예를 들어, 원자력시설에 AI가 사용될 경우 AI 위험 발생 시 일반 국민이 영향을 받을 수 있습니다. + +--- + +### 6-4-2. 이의제기·피해구제 절차 + +이용자의 이의제기 및 피해구제를 위한 절차를 체계적으로 마련해야 합니다. + +**개발 단계 보호 조치:** + +| 조치 | 내용 | +|------|------| +| **데이터 수집·관리** | 수집 목적·처리 방식 문서화, 적법한 동의 절차, 보유 기간·파기 절차 수립, 암호화·접근 권한 관리 | +| **안전한 설계·개발** | 오류탐지·비상정지 기능 구현, 입력값 유효성 검증, 적대적 공격 방어 능력 강화 | +| **시험·평가** | 다양하고 예외적인 상황 포함, 외부 전문가·기관 검증, 참여형 평가(A영역) | + +**운영 단계 보호 조치:** + +| 조치 | 내용 | +|------|------| +| **모니터링·대응** | 지속적 모니터링 기술 기반 마련, 안전 제약 설정, 대응 절차 마련 | +| **피드백 수렴·적용** | 다양한 피드백 경로 확보(웹 폼, 앱, 챗봇, 이메일 등), 접근성 낮은 집단 고려 | +| **이용자 권리 보호** | 이용 중단·이의제기·설명 요구 권리 부여, 피해 보상 체계 도입 | + +**이의제기 처리 절차:** + +``` +이의제기 접수 → 사람(전문가) 재검토 → AI 분석 로그 기반 근거 안내 → 결과 통보 + │ │ │ │ + 다양한 채널 개별 결정을 판단 근거를 처리 현황· + (전화, 웹, 앱) 재검토 이용자에게 안내 결과 공유 +``` + +--- + +### 6-4-3. 이용자 권리 보장 방안 + +이용사업자는 이용자에게 다음 권리를 보장하기 위한 체계를 마련해야 합니다. + +| 권리 | 구체적 조치 | +|------|-------------| +| **고지받을 권리** | 개인정보 활용 내역(목적·기간·범위)을 사전 고지, 필요 시 상세 동의 | +| **설명 요구 권리** | AI 결정으로 불이익을 받은 이용자에게 설명 요구 권리 부여 | +| **이의제기 권리** | 인간 전문가의 재검토를 받을 수 있는 명확한 절차 보장 | +| **이용 중단 권리** | 이용자가 원할 경우 이용 중단 가능 | +| **안전 사용 안내** | 오남용 방지를 위한 사용 가이드라인 마련·안내 | +| **피해 보상** | 피해 발생 시 보상 체계 도입 | + +**관련 법령과의 관계:** + +| 법령 | 관련 조항 | 차이점 | +|------|-----------|--------| +| 개인정보보호법 제37조의2 | 자동화된 결정에 대한 거부·설명 요구 | 개인정보 처리에 한정 | +| 신용정보법 제36조의2 | 자동화평가 결과에 대한 설명·이의제기 | 신용정보 분야에 한정 | +| **인공지능기본법 제34조** | 고영향 AI 전반의 이용자 보호 | 모든 고영향 AI 대상 | + +> **주의** +> 개인정보가 포함된 데이터를 학습에 사용할 경우, 적법한 동의를 받거나 가명처리 등 「개인정보 보호법」에 따른 조치를 취한 후 사용해야 합니다. 데이터의 보유 기간과 파기 절차도 수립해야 합니다. + +--- + +### 핵심 요약 + +| 항목 | 내용 | +|------|------| +| 법적 근거 | 제34조제1항제3호, 기술고시 제5조 | +| 보호 범위 | 개발 단계(데이터·설계·시험) + 운영 단계(모니터링·피드백·권리 보호) | +| 이용자 구분 | A영역(직접 영향) / B영역(간접 영향 — 영향받는 자 고려) | +| 핵심 권리 | 고지, 설명 요구, 이의제기, 이용 중단, 피해 보상 | +| 이의제기 | 사람(전문가) 재검토 + AI 분석 로그 기반 근거 안내 | +| 개발사업자 | 데이터 적법 수집·관리, 안전 설계, 시험·평가 | +| 이용사업자 | 모니터링, 피드백 수렴, 이용자 권리 보장 체계 | diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/31_6-5_\354\202\254\353\236\214\354\235\230_\352\264\200\353\246\254\352\260\220\353\217\205_\354\262\264\352\263\204.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/31_6-5_\354\202\254\353\236\214\354\235\230_\352\264\200\353\246\254\352\260\220\353\217\205_\354\262\264\352\263\204.md" new file mode 100644 index 0000000..33aba28 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/31_6-5_\354\202\254\353\236\214\354\235\230_\352\264\200\353\246\254\352\260\220\353\217\205_\354\262\264\352\263\204.md" @@ -0,0 +1,103 @@ +## 6-5. 조치 4: 사람의 관리·감독 체계 (제34조제1항제4호) + +네 번째 조치는 고영향 인공지능에 대한 **사람의 관리·감독** 체계를 마련하는 것입니다. AI가 비정상적으로 작동할 때 사람이 즉각 개입할 수 있어야 합니다. + +--- + +### 6-5-1. 관리·감독 체계의 의미 + +> **법률 원문** | 제34조제1항제4호 +> 고영향 인공지능에 대한 사람의 관리·감독 + +**기술고시 조문(제6조)에 따른 이행 사항:** + +| 단계 | 이행 사항 | +|------|-----------| +| **개발 단계** (제6조제1항) | 1. 사람이 AI 동작에 개입할 수 있는 **기준** 확립 | +| | 2. 긴급 정지 기능 등 사람이 즉각적으로 AI를 정지·변경할 수 있는 **개입 방법** 마련 | +| **운영 단계** (제6조제2항) | 1. 성능저하·오류 발생에 대한 **정기적 점검** 계획·방안 마련 | +| | 2. AI의 범위·수행능력에 대한 이해도를 향상시키기 위한 **교육·훈련** 제공 | + +> **실무 TIP** +> "사람의 관리·감독"이란 사람이 AI를 24시간 감시해야 한다는 뜻이 **아닙니다**. 위험 수준에 따라 상시 개입 또는 예외적 개입 등 적절한 수준을 정하면 됩니다. 중요한 것은 이상 상태 발생 시 즉각 개입할 수 있는 **권한과 기준**이 명확히 정의되어 있는 것입니다. + +--- + +### 6-5-2. Human-in-the-Loop 설계 + +AI 의사결정에 대한 사람의 개입 정도는 세 가지 수준으로 분류됩니다(ISO/IEC 24028:2020, WEF 참고). + +| 개입 수준 | 정의 | 예시 | +|-----------|------|------| +| **Human-in-the-Loop** | AI가 의사결정을 수행하지 않으며, 사람의 의사결정을 **보조** | 의료 진단·처방, 채용 면접 평가 | +| **Human-over-the-Loop** | AI가 의사결정을 수행하되, 사람이 **모니터링**하고 최종 결정에 개입 | 내비게이션, 신용평가 검토 | +| **Human-out-of-the-Loop** | AI가 의사결정을 수행하며, 사람이 개입하지 않음 | 항공사 예비 부품 예측, 상품 추천 | + +> **주의** +> 고영향 AI의 경우 Human-out-of-the-Loop 방식만으로는 사업자 책무를 충족하기 어렵습니다. 위험 수준에 따라 최소한 Human-over-the-Loop 이상의 관리·감독 체계를 마련하는 것이 바람직합니다. + +**사람의 개입 기준 수립:** + +| 개입 기준 유형 | 예시 | +|----------------|------| +| 안전 임계값 미달 | AI 추론 결과가 설정된 안전 임계값(Safety Threshold) 미만인 경우 | +| 명시적 판단 불가 | AI가 "현재 데이터로는 판단이 불가능합니다"라고 표현하는 경우 | +| 재정적 손실 위험 | 대규모 금융거래 등 중대한 의사결정의 경우 | +| 비정상 동작 탐지 | AI가 의도된 목적과 다른 결과를 도출하는 경우 | + +**사람의 개입 방법:** + +| 방법 | 설명 | +|------|------| +| **오류 탐지** | AI 시스템의 오류를 탐지하여 사람의 개입 여부를 판단 | +| **결과 검증·수정** | 사람이 직접 AI 결과를 검증하고 필요 시 수정·보완 | +| **비상정지** | AI를 즉각 중단할 수 있는 긴급 정지 기능 | +| **기능 비활성화** | 특정 기능만 선택적으로 비활성화 | +| **임계값 수동 조정** | 사람이 상황에 맞게 민감도·임계값을 수동 변경 | + +--- + +### 6-5-3. 관리·감독 인력 요건 + +**정기적 점검:** + +| 항목 | 내용 | +|------|------| +| 점검 목적 | 성능 최적화, 보안 패치, 백업·복구, 하드웨어·네트워크 안정성 유지 | +| 점검 주기 | 목적에 따라 월 1회, 분기별, 이상 탐지 시 즉시 등으로 구분 | +| 점검 담당자 | 목적별로 지정 | +| 점검표 | 발견한 문제를 관리하기 위한 절차 또는 점검표 마련 | + +**교육·훈련:** + +| 구분 | 대상 | 내용 | +|------|------|------| +| 개발사업자 → 이용사업자 | 이용사업자 직원 | AI 운영에 필요한 지식, 대표적 오류 유형(입력·출력 오류, 데이터 편향, 시스템 중단 등)과 대응 방안 | +| 이용사업자 → 이용자 | 최종 이용자 | AI 시스템의 한계·오류 가능성, 올바른 활용 방법 | +| AI 리터러시 교육 | 이해관계자 전체 | 책임 있는 AI 활용을 위한 기본 이해 교육 | + +> **실무 TIP** +> 사람의 관리·감독을 위해 반드시 AI 안전 전문 인력을 새로 고용할 필요는 없습니다. 사업자의 규모와 역량을 고려하여 기존 조직 내에서 담당 인력을 지정하거나 겸임할 수 있습니다. + +**오픈소스 모델 활용 시 고려사항:** + +| 항목 | 직접 개발 | 오픈소스 모델 | +|------|-----------|---------------| +| 개입 기준 | 내부 신뢰도 점수 등 세밀한 기준 설정 가능 | 출력 결과의 비정상 여부, 의도 이탈 여부 기준 | +| 개입 방법 | 특정 모듈 선택적 제어, 알고리즘 직접 수정 가능 | 입출력 단계에서 사람의 검증·보완 절차 강화 | +| 정기적 점검 | 학습 데이터셋 재검토, 가중치 재조정 가능 | 커뮤니티 보안 패치·업데이트·오류 리포트 모니터링 | +| 교육·훈련 | 모델의 특수 로직과 한계 기반 맞춤형 교육 | 범위·수행능력 한계 인지, 오남용 방지 교육 강화 | + +--- + +### 핵심 요약 + +| 항목 | 내용 | +|------|------| +| 법적 근거 | 제34조제1항제4호, 기술고시 제6조 | +| 개발 단계 | 개입 기준 확립 + 긴급 정지 등 개입 방법 마련 | +| 운영 단계 | 정기적 점검 계획 + 교육·훈련 제공 | +| 개입 수준 | Human-in/over/out-of-the-Loop (위험 수준에 따라 결정) | +| 24시간 감시 | 의무 아님 — 이상 시 즉각 개입할 권한과 기준이 핵심 | +| 인력 요건 | 기존 인력 겸임 가능, 독립적 권한 부여가 중요 | +| 홈페이지 게시 | 관리·감독 담당자의 성명·연락처 게시 | diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/32_6-6_\354\225\210\354\240\204\354\213\240\353\242\260_\353\254\270\354\204\234_\354\236\221\354\204\261\353\263\264\352\264\200.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/32_6-6_\354\225\210\354\240\204\354\213\240\353\242\260_\353\254\270\354\204\234_\354\236\221\354\204\261\353\263\264\352\264\200.md" new file mode 100644 index 0000000..0b04e26 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/32_6-6_\354\225\210\354\240\204\354\213\240\353\242\260_\353\254\270\354\204\234_\354\236\221\354\204\261\353\263\264\352\264\200.md" @@ -0,0 +1,149 @@ +## 6-6. 조치 5: 안전·신뢰 문서 작성·보관 (제34조제1항제5호) + +다섯 번째 조치는 안전성·신뢰성 확보를 위한 **조치 내용을 확인할 수 있는 문서의 작성과 보관**입니다. 이 문서를 **안전신뢰문서**라 하며, 조치 1~4의 이행 내용을 통합적으로 기록합니다. + +--- + +### 6-6-1. 문서 작성 범위와 항목 + +> **법률 원문** | 제34조제1항제5호 +> 안전성·신뢰성 확보를 위한 조치의 내용을 확인할 수 있는 문서의 작성과 보관 + +**기술고시 조문(제7조):** + +| 조항 | 내용 | +|------|------| +| 제7조제1항 | 제3조(위험관리)부터 제6조(사람의 관리·감독)까지의 사항을 **문서로 작성**하여 관리 | +| 제7조제2항 | 안전신뢰문서를 **주기적으로 점검**하고 최신 기술·방법이 적용되도록 관리 | +| 제7조제3항 | 각 조항의 내용을 **하나의 문서로 통합**하여 작성·관리 가능 | + +> **주의** +> 본 조치는 추가적인 안전성·신뢰성 확보 조치 의무를 부여하는 것이 **아닙니다**. 조치 1~4의 이행 내용을 기록하는 것이 목적입니다. 새로운 조치 의무를 부과하려면 법 제34조제1항제6호에 따라 위원회의 심의·의결 절차를 거쳐야 합니다. + +--- + +### 6-6-2. 안전·신뢰 문서 양식 + +가이드라인 부록에서 제시하는 안전신뢰문서의 표준 양식 구조는 다음과 같습니다. + +**문서 기본 정보:** + +| 항목 | 내용 | +|------|------| +| 문서 ID | 프로젝트별 고유 식별자 | +| 작성자/검토자/승인자 | 소속, 직책, 이름, 날짜, 서명 | +| 변경 이력 | 버전, 작성자(팀), 날짜, 변경 내용 | +| 접근 제한 | 프로젝트 참여자 한정, 외부 제공 시 승인자 서면 동의 | + +**문서 목차 구조:** + +``` +1. 문서 소개 + 1.1. 용어 정의 + 1.2. 적용 문서 + 1.3. 참조 문서 + +2. 인공지능 위험관리 ← 조치 1 + 2.1. 인공지능 개요 + 2.2. 위험관리 관련 조직 및 역할 + 2.3. 위험관리 활동 + +3. 인공지능 설명방안 ← 조치 2 + 3.1. 투명성 및 설명가능성 확보 노력 + 3.2. 학습용데이터 개요 + 3.3. 설명방안의 수립 및 시행 + +4. 이용자 보호 ← 조치 3 + 4.1. 데이터 수집 및 관리 활동 + 4.2. 인공지능의 안전성 및 견고성 확보 활동 + 4.3. 시험 및 평가 활동 + 4.4. 모니터링 및 대응 활동 + 4.5. 피드백 수렴 및 적용 활동 + 4.6. 이용자 권리 보장 활동 + +5. 사람의 관리·감독 ← 조치 4 + 5.1. 사람의 개입 기준 및 방법 + 5.2. 정기적 점검 + 5.3. 교육 및 훈련 +``` + +**위험관리 활동 기록 항목:** + +| 항목 | 기록 내용 | +|------|-----------| +| 주요 위험원 | 위험 명칭, 설명 | +| 위험도 정의 | 심각도(손실 금액, 생명·신체 안전), 발생 가능성(실제 빈도, 동종 서비스 빈도) | +| 위험도 점수 | 결과 심각성 + 발생 가능성으로 계산 | +| 위험 식별 | 식별 활동 및 기록문서 참조 | +| 위험 분석·평가 | 분석·평가 활동 및 기록문서 참조 | +| 위험 처리 | 처리 방안 및 기록문서 참조 | + +> **실무 TIP** +> 안전신뢰문서 양식은 법적 의무 이행을 위한 최소한의 틀입니다. 양식 자체의 작성이 법적 강제사항은 아닙니다. 사업자가 이미 책무를 준비한 경우, 관련 문서를 **참조하는 것으로 갈음**(동등성 진술, equivalence statement)할 수 있습니다. + +--- + +### 6-6-3. 보관 기간과 관리 방법 + +**보관 의무:** + +| 항목 | 내용 | +|------|------| +| 보관 기간 | **5년간** | +| 보관 방법 | 전자적 방법을 통한 보관 포함 | +| 점검·갱신 | 주기적으로 점검하고 최신 기술·방법이 적용되도록 관리 | +| 열람 제공 | 이용자, 과학기술정보통신부장관 등의 요청 시 열람 제공 | +| 영업비밀 보호 | 관련 법령에 따라 영업비밀 해당 내용은 제외하여 제공 가능 | + +**문서 관리 핵심 요건:** + +| 요건 | 설명 | +|------|------| +| 식별성 | 문서 ID, 버전, 작성 담당자, 작성일이 기록될 것 | +| 추적성 | 문서간 추적성이 유지되고 내용의 일관성이 유지될 것 | +| 보안성 | 문서화된 정보의 접근·보안이 체계적으로 관리될 것 | +| 최신성 | 정기적으로 점검·갱신하여 최신 상태를 유지할 것 | + +> **주의** +> 개발사업자와 이용사업자가 반드시 개별적으로 문서화할 필요는 없습니다. 한 사업자가 다른 사업자에게 제공한 내용을 일부 변경·추가하거나, 함께 문서화 작업을 수행하는 것도 가능합니다. + +--- + +### 6-6-4. 자가점검 항목 + +가이드라인은 각 조치사항별로 **자가점검 항목**을 제시하고 있습니다. 자가점검 결과는 Yes / No / N/A로 기록합니다. + +**안전신뢰문서 관련 자가점검:** + +- [ ] 문서를 정기적으로 점검·갱신하여 최신 상태를 유지하고 있는가? +- [ ] 문서 ID, 버전, 작성 담당자, 작성일이 식별되는가? +- [ ] 문서에 대상 시스템이 식별되고 관련 설명이 있는가? +- [ ] 문서간 추적성이 유지되고, 각 문서에서 기술하는 내용의 일관성이 유지되고 있는가? +- [ ] 문서화된 정보의 접근 및 보안이 체계적으로 관리되고 있는가? + +**5대 조치사항 전체 자가점검 요약:** + +| 조치 | 주요 자가점검 항목 수 | 개발 | 이용 | +|------|----------------------|------|------| +| 1. 위험관리방안 | 15개 항목 | O | O | +| 2. 설명가능성 | 10개 항목 | O | O | +| 3. 이용자 보호 | 12개 항목 | O | O | +| 4. 사람의 관리·감독 | 7개 항목 | O | O | +| 5. 안전신뢰문서 | 5개 항목 | O | O | + +> **실무 TIP** +> 「신뢰할 수 있는 인공지능 개발안내서」(TTA)의 검증항목과 본 가이드라인의 자가점검 항목은 **성격이 다릅니다**. 개발안내서의 검증항목은 사업자가 자발적으로 고려·이행할 수 있는 내용이며, 사업자 책무의 자가점검 항목은 법적 의무 이행 여부를 확인하는 것입니다. + +--- + +### 핵심 요약 + +| 항목 | 내용 | +|------|------| +| 법적 근거 | 제34조제1항제5호, 기술고시 제7조 | +| 문서 범위 | 조치 1~4의 이행 내용을 통합 기록 | +| 보관 기간 | 5년간 (전자적 방법 포함) | +| 양식 활용 | 표준 양식 참고, 기존 문서 참조(동등성 진술) 가능 | +| 관리 요건 | 식별성·추적성·보안성·최신성 유지 | +| 열람 제공 | 이용자·관계기관 요청 시 제공 (영업비밀 제외 가능) | +| 자가점검 | 조치별 Yes/No/N/A 점검 | diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/33_6-7_\354\261\204\354\232\251\353\266\204\354\225\274_\354\236\221\354\204\261_\354\230\210\354\213\234.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/33_6-7_\354\261\204\354\232\251\353\266\204\354\225\274_\354\236\221\354\204\261_\354\230\210\354\213\234.md" new file mode 100644 index 0000000..6d6d5ee --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/33_6-7_\354\261\204\354\232\251\353\266\204\354\225\274_\354\236\221\354\204\261_\354\230\210\354\213\234.md" @@ -0,0 +1,163 @@ +## 6-7. 채용 분야 작성 예시 + +본 절에서는 「고영향 인공지능 사업자 책무 가이드라인」 부록에 수록된 **채용 AI 서비스**의 안전신뢰문서 작성 예시를 정리합니다. 채용은 고영향 인공지능의 법정 영역(「인공지능기본법」 제2조제4호제6목: 채용 및 대출 심사)에 해당합니다. + +--- + +### 6-7-1. 채용 AI 서비스의 5대 조치사항 적용 사례 + +**서비스 개요:** + +| 항목 | 내용 | +|------|------| +| 서비스명 | 채용 AI 시스템 (AI-Career) | +| 제공사 | (주)커리어 | +| 서비스 요약 | 지원자의 직무 역량을 AI 기반으로 평가하여 이력서·자기소개서 검토, 면접 진행, 합격자 최종 의사결정까지 수행하는 채용 AI 시스템 | + +**주요 용어 정의:** + +| 용어 | 정의 | +|------|------| +| 참고 지표 | AI가 산출한 점수·등급·추천 결과 중 채용 의사결정의 근거 정보로 제공되는 지표 | +| 최종 의사결정 | 채용 여부·단계 통과 여부를 결정하는 행위 | +| 안전 임계값 | 편향·품질 저하 등 위험 징후를 판단하기 위해 사전 설정한 기준값 | +| 이의제기 | 지원자 또는 고객사가 AI 도출 결과에 대해 설명 요청·재검토를 요구하는 행위 | +| 근거 문장/구간 | AI가 평가 참고를 위해 중요하다고 판단한 지원자 답변 텍스트 또는 면접 영상 구간 | + +--- + +**조치 1: 위험관리방안 — 채용 AI 적용** + +| 구분 | 내용 | +|------|------| +| **주요 위험원** | 채용 의사결정 영향 — AI의 채용 결과가 특정 집단에 불리한 결과(차별·공정성 저해)를 초래할 위험 | +| **위험도 정의** | 결과 심각성(손실 금액 + 권익 침해) × 발생 가능성(실제 빈도 + 동종 서비스 빈도)로 점수 산출 | +| **위험관리 조직** | AI 위험관리 위원회(위원장: 대표이사), AI 서비스운영팀, AI 연구개발팀, 데이터거버넌스팀, 개인정보처리팀, 품질관리팀, 고객만족팀 | + +위험도 점수 기준 (채용 분야): + +| 점수 | 위험도 | 결과 심각성 예시 | +|------|--------|------------------| +| 9점 이상 | 치명적 위험 | 대규모·구조적 차별, 중대한 법적 분쟁·제재 | +| 8점 | 높은 위험 | 특정 집단 불리 영향 뚜렷, 채용 공정성 신뢰 붕괴 | +| 7점 | 위험 | 일부 지원자 점수 왜곡·오분류 발생 | +| 5~6점 | 낮은 위험 | 제한된 범위 오류 (일부 문항·일부 응시자) | +| 4점 이하 | 매우 낮은 위험 | 단순 UI/표시 오류, 결과 영향 거의 없음 | + +--- + +**조치 2: 설명가능성 — 채용 AI 적용** + +| 항목 | 내용 | +|------|------| +| **투명성 확보** | 시스템 구조, 추론 방식, 설명가능성 확보 기법(SHAP, Grad-CAM 등) 문서화 | +| **학습용데이터 개요** | 채용 과정 텍스트·영상 데이터셋, 수집 목적·방법·전처리 과정 관리 | +| **설명 방안** | 담당 조직(고객지원부 + AI 서비스부), 설명 절차(요청 접수 → 데이터 추출 → 내부 검토 → 설명보고서 → 이용자 전달) | + +설명 방안 시행 시 유의사항: +- AI가 평가에서 참고한 **근거 문장·구간**을 제공합니다. +- 최종 의사결정이 AI에 의해 자동으로 이루어지는 경우, 판단 근거를 상세히 설명합니다. +- 영업비밀에 해당하는 알고리즘 상세는 제외할 수 있습니다. + +--- + +**조치 3: 이용자 보호 — 채용 AI 적용** + +| 단계 | 조치 내용 | +|------|-----------| +| 데이터 관리 | 지원자 개인정보 비식별 조치, 보유 기간 설정, 파기 절차 수립 | +| 안전 설계 | 적대적 훈련으로 견고성 확보, 제어권 이양 메커니즘 | +| 시험·평가 | 배포 환경 테스트, 성능·부하 테스트, 오류 대응 시험 | +| 모니터링 | 운영 중 경고·알림, 오류 발생 시 직전 안정 버전으로 롤백 | +| 피드백 수렴 | 이용자 포커스 그룹 인터뷰(FGI), 제품·서비스 내 직접 피드백 | +| 이용자 권리 | 개인정보 활용 내역 사전 고지, 설명 요구·이의제기 권리, 안전 사용 가이드라인 | + +> **실무 TIP** +> 채용 AI에서 지원자(이용자)가 AI 결정에 대해 이의를 제기하면, 인간 전문가가 해당 결정을 재검토하거나 AI 분석 로그를 바탕으로 판단 근거를 안내하는 절차가 필요합니다. + +--- + +**조치 4: 사람의 관리·감독 — 채용 AI 적용** + +| 항목 | 내용 | +|------|------| +| **개입 기준** | AI 추론 결과가 안전 임계값 미만, AI가 판단 불가 표현, 재정적 손실 위험이 큰 경우 | +| **개입 방법** | 임계값 수동 변경, 사람이 해답 작성 후 재학습, 중간·최종 결과 사람 승인 | +| **정기적 점검** | 모델 드리프트 감지(월 1회), 보안 점검(분기별), 입출력 데이터 이상 점검(탐지 시 즉시) | +| **교육·훈련** | 고객사 대상 일반 오류 교육, 오류 특화 교육(분기별), 이용자 대상 AI 리터러시 교육(연 1회) | + +--- + +**조치 5: 안전신뢰문서 — 채용 AI 적용** + +안전신뢰문서에 포함되는 참조 문서 목록 예시: + +| ID | 문서 종류 | 문서명 | +|----|-----------|--------| +| REG-2026-003 | 내부규정 | AI 신뢰성 관리 규정 v1.0 | +| SOP-2026-001 | 절차서 | AI 시스템 운영 절차서 v1.0 | +| SOP-2026-002 | 절차서 | AI 시스템 이슈 대응 절차서 v1.0 | +| RM-PL-0001 | 기타 | 위험관리계획서 | +| RM-PL-0002 | 기타 | 인공지능 시험 계획서 | +| RM-REF-0001 | 기타 | 위험관리대장 | +| RM-REF-0002 | 기타 | 공정성/편향성 관리 대장 | +| RM-REF-0005 | 기타 | 데이터 관리 대장 | +| RM-REF-0006 | 기타 | 시스템 운영·모니터링 대장 | + +--- + +### 6장 사업자 책무 이행 체크리스트 + +아래는 고영향 AI 사업자가 5대 조치사항을 이행할 때 활용할 수 있는 통합 체크리스트입니다. + +**조치 1: 위험관리방안 수립·운영** +- [ ] 위험관리 계획을 수립하고 책임을 명시하였는가? +- [ ] 위험 식별·분석·평가·처리 절차를 포함하고 있는가? +- [ ] 위험관리를 위한 조직 또는 담당이 지정되어 있는가? +- [ ] 위험관리 조직의 독립성과 자율성이 보장되는가? +- [ ] 위험 처리 후 파급효과를 재평가하고 정책을 개선하고 있는가? +- [ ] 유관 조직(법무·보안·윤리·개인정보)과 협업 체계가 구축되어 있는가? + +**조치 2: 설명가능성 확보** +- [ ] AI의 주요 작동원리·기능·한계를 문서화하였는가? +- [ ] 설명가능성 확보를 위한 기술적 조치(XAI 기법 등)를 적용하고 있는가? +- [ ] 학습용데이터의 형식·수량·수집 방법·전처리 등을 정의하였는가? +- [ ] 이용자 대상 설명 방안(육하원칙)을 수립하였는가? +- [ ] 설명 방안의 주요 내용을 홈페이지에 게시하였는가? + +**조치 3: 이용자 보호 방안** +- [ ] 데이터 관리 계획(보유 기간, 파기 절차)을 수립하였는가? +- [ ] 개인정보 수집 시 적법한 동의 절차를 거쳤는가? +- [ ] 적대적 공격에 대한 안전 설계·개발 조치를 마련하였는가? +- [ ] 위험 기반의 지속적 시험·평가를 수행하고 있는가? +- [ ] 이용자 피드백 채널이 마련되어 있는가? +- [ ] 이용자가 이의제기·설명 요구 권리를 행사할 수 있는 절차가 있는가? + +**조치 4: 사람의 관리·감독** +- [ ] AI 동작에 사람이 개입할 수 있는 기준이 확립되어 있는가? +- [ ] 긴급 정지 등 즉각적 개입 방법이 마련되어 있는가? +- [ ] 정기적 점검 계획(점검 담당자·주기·점검표)이 수립되어 있는가? +- [ ] 이용사업자·이용자에게 교육·훈련을 제공하고 있는가? +- [ ] 관리·감독 담당자의 성명·연락처를 홈페이지에 게시하였는가? + +**조치 5: 안전·신뢰 문서** +- [ ] 조치 1~4의 이행 내용을 안전신뢰문서로 작성하였는가? +- [ ] 문서 ID, 버전, 작성자, 작성일이 식별 가능한가? +- [ ] 문서간 추적성과 일관성이 유지되고 있는가? +- [ ] 문서를 주기적으로 점검·갱신하여 최신 상태를 유지하고 있는가? +- [ ] 이행 근거를 5년간 보관하고 있는가? +- [ ] 관계기관·이용자의 열람 요청에 대응할 준비가 되어 있는가? + +--- + +### 핵심 요약 + +| 항목 | 내용 | +|------|------| +| 채용 AI 특성 | 고영향 법정 영역(제2조제4호제6목), 지원자의 권익에 직접 영향 | +| 핵심 위험 | 특정 집단에 불리한 차별·공정성 저해 | +| 위험관리 조직 | 위원회(대표이사) + 서비스운영 + 연구개발 + 데이터 + 개인정보 + 품질 + 고객 | +| 설명 방안 | 근거 문장·구간 제공, 설명보고서 작성·전달 | +| 이용자 보호 | 이의제기 시 인간 재검토, 개인정보 비식별 조치 | +| 사람 관리·감독 | 안전 임계값 기반 개입, 정기 점검(월/분기), 교육·훈련 | +| 안전신뢰문서 | 표준 양식 기반, 관련 문서 체계(15종 이상) 관리 | diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/34_7-1_\354\230\201\355\226\245\355\217\211\352\260\200_\352\260\234\354\232\224.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/34_7-1_\354\230\201\355\226\245\355\217\211\352\260\200_\352\260\234\354\232\224.md" new file mode 100644 index 0000000..5500912 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/34_7-1_\354\230\201\355\226\245\355\217\211\352\260\200_\352\260\234\354\232\224.md" @@ -0,0 +1,99 @@ +# 7장. 인공지능 영향���가 + +## 7-1. 영향평가 개요 + +### 7-1-1. 개념과 목적 + +인공지능 영향평가(AI Impact Assessment)란 인공지능사업자가 고영향 인공지능을 이용한 제품 또는 서비스를 제공하기 전에, 해당 제품/서비스가 사람의 기본권에 미치는 영향을 사전에 평가하는 절차를 말합니다. + +영향평가의 **핵심 목적**은 다음 세 가지입니다. + +1. **기본권 보호**: 인공지능 제품/서비스가 인간의 존엄성��� 기본권에 미치는 잠재적 영향을 사전에 식별/분석하고, 이를 존중/보호하는 방향으로 개선방안을 마련합니다. +2. **자율적 개선 유도**: 사업자가 스스로 리스크를 식별하고 개선방안을 마련/이행하도록 유도합니다. +3. **글로벌 상호운용성 확보**: 국제 규범과 상호운용성을 확보하여 해외 진출 시 제도적 장벽을 최소화합니다. + +> **실무 TIP** +> 영향평가는 고영향 인공지능에 국한되지 않습니다. 모든 인공지능 제품/서비스에 대해 자율적으로 수행할 수 있으며, 선제적 리스크 관리와 자율적 책임경영을 뒷받침하는 핵심 수단이 됩니다. + +--- + +### 7-1-2. 법적 근거 --- 법 제35조, 시행령 + +영향평가의 법적 근거는 「인공지능기본법」 제35조와 동법 시행령안 제28조입니다. + +> **법률 원문** | 제35조(고영향 인공지능 영향평가) +> ①인공지능사업자가 고영향 인공지능을 이용한 제품 또는 서비스를 제공하는 경우 사전에 사람의 기본권에 미치는 영향��� 평가(이하 "영향평가"라 한다)하기 위하여 노력하여야 한다. +> ②국가기관등이 고영향 인공지능을 이용한 제품 또는 서비스를 이용하려는 경우에는 영향평가��� 실시한 제품 또는 서��스를 우선적으로 고려하여야 한다. +> ③그 밖에 영향평가의 구체적인 내용/방법 등에 관하여 필요한 사항은 대통���령으로 정한다. + +시행령안 제28조는 영향평가에 포함되어야 할 **7가지 필수 사항**을 규정합니다. + +| 순번 | 필수 포함 사항 | +|:---:|--------------| +| 1 | 영향받을 가능성이 있는 개인/집단의 식별 | +| 2 | 영향받을 수 있는 기본권 유형의 식별 | +| 3 | 기본권에 대한 사회적/경제적 영향의 내용/범위 | +| 4 | 고영향 인공지능의 사용 행태 | +| 5 | 정량적 또는 정성적 평가지표/결과산출 방식 | +| 6 | 위험의 예방/완화/손실 복구에 관한 사��� | +| 7 | 개선이 필요한 경우 이행계획 | + +**평가 대상**: 고영향 인공지능 제품/서비스를 제공하는 인공지능사업자가 수행 대상입니다. 고영향 여부는 「인공��능기본법」 제2조제4호가 정한 11개 영역(에너지, 먹는물, 보건의료, 의료기기, 원자력, 생체인식, 채용/대출, 교통, 공공서비스, 학생평가 등)을 기준으로 판단합니다(5장 참조). + +**평가 시기**: 신규 인공지능 제품/서비스 제공 **전**에 수행합니다. 제품/서비스의 핵심 기능이나 영향받는 대상에 중대한 변화가 발생한 경우 재시행을 권장합니다. + +**평가 수행 주체**: 사업자가 직접 수행하거나, 전문성을 보유한 제3자에 의뢰하여 수행할 수 있습니다(시행령안 제28조제2항). + +--- + +### 7-1-3. 타 영향평가와의 관계 + +다른 영향평가에서 해당 제품/서비스의 기본권 영향을 이미 평가한 경우, 그 결과를 인공지능 영향평가의 근거로 활용할 수 있습니다. 이를 통해 **중복 평가 부담을 완화**합니다. + +| 유사 평가제도 | 근거법 | 관계 정리 | +|-------------|-------|----------| +| 개인정보 영향평가 | 「개인정보 보호법」 제33조 | 기본권 범위에 개인정보 관련 권리가 포함되어 일부 중복 가능하나, 적용 범위(민간 vs 공공)가 상이하여 직접적 중복규제 논란은 제한적입니다. | +| 디지털의료제품 영향평가 | 「디지털의료제품법」 제37조 | 적용 목적(기본권 보호 vs 의료 안전성)과 평가 주체(사업자 vs 식약처)가 상이하여 중복 논란은 제한적입니다. | +| EU 기본권 영향평가 | EU AI Act 제27조 | 국내 영향평가와 상호운용성을 지속적으로 확보해 나갈 예정입니다. | + +> **실무 TIP** +> ISO/IEC 42001, ISO/IEC 42005 등 국제 표준에 따라 수행된 평가 결과도 참고 자료로 활용할 수 있습니다. 글로벌 서비스를 운영하는 사업자는 EU FRIA(Fundamental Rights Impact Assessment) 등 해외 평가 결과를 국내 영향평가에 활용하는 전략을 검토할 수 있습니다. + +--- + +### 7-1-4. 법적 성격 --- "노력 의무" vs 공공기관 "우선 고려" + +「인공지능기���법」 제35조가 부여하는 의무의 성격은 두 가지로 구분됩니다. + +``` +┌──────────────────────────────┬──────────────────────────────┐ +│ 민간 인공지능사업자 │ 국가기관 등 ��� +├──────────────────────────────┼─────────────��────────────────┤ +│ 제35조제1항 │ 제35조제2항 │ +│ │ │ +│ 영향평가를 수행하기 위하여 │ 영향평가를 실시한 제품/ │ +│ "노력하여야 한다" │ 서비스를 "우선적으로 │ +│ │ 고려하여야 한다" │ +│ │ │ +│ → 노력 의무 (권고적 성격) │ → 우선 고려 의무 │ +│ → 미이행 시 직접적 제재 없음│ → 조달/도입 시 실질적 영향 │ +└──────────────────��───────────┴───────────────────���──────────┘ +``` + +**민간 사업자**에게는 "노력 의무"로서 법적 강제력이 직접적이지 않습니다. 그러나 다음 이유로 사실상 이행이 권장됩니다. + +- **공공 시장 진입**: 국가기관 등이 영향평가를 실시한 제품/서비스를 우선 고려하므로, 공공 조달/입찰에서 영향평가 수행이 경쟁력이 됩니다. +- **글로벌 대응**: EU AI Act 등 해외 규제에서 기본권 영향평가를 의무화하는 추세에 대응할 �� 있습니다. +- **리스크 관리**: 선제적 리스크 관리와 브랜드 가치 제고에 기여합니다. + +> **실��� TIP** +> 공공기관에 AI 제품/서비스를 납품하는 B2G 사업자라면, 영향평가 결과 문서를 사전에 준비하는 것이 사실상 필수입니다. 법 제35조제2항에 따라 국가기관 등이 영향평가를 실시한 제품/서비스를 우선 고려해야 하기 때문입니다. + +--- + +> **핵심 요약 | 7-1. 영향평가 개요** +> - 영향평가란 고영향 AI 제품/서비스가 기본권에 미치는 영향을 사전에 평가하는 절차입니다. +> - 법적 근거는 「인공지능기본법」 제35조 + 시행령안 제28조이며, 7가지 필수 포함 사항이 규정되어 있습니다. +> - 타 영향평가 결과를 활용하여 중복 평가 부담을 줄일 수 있습니다. +> - 민간에게는 "노력 의무", 공공기관에게는 "우선 고려 의무"로 차등 적용됩니다. +> - 공공 시장 진출을 위해서는 사실상 영향평가 수행이 필수적입니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/35_7-2_\354\230\201\355\226\245\355\217\211\352\260\200_\354\210\230\355\226\211_\354\240\210\354\260\250.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/35_7-2_\354\230\201\355\226\245\355\217\211\352\260\200_\354\210\230\355\226\211_\354\240\210\354\260\250.md" new file mode 100644 index 0000000..cbb968b --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/35_7-2_\354\230\201\355\226\245\355\217\211\352\260\200_\354\210\230\355\226\211_\354\240\210\354\260\250.md" @@ -0,0 +1,177 @@ +## 7-2. 영향평가 수행 절차 + +「인공지능 영향평가 가이드라인」은 영향평가를 3단계로 구분합니다. 각 단계의 목표와 주요 활동을 살펴봅니다. + +### [그림 7-1] 인공지능 영향평가 3단계 수행 절차 + +``` +┌─────────────────────────────────────────────────────────────────────────┐ +│ 인공지능 영향평가 3단계 수행 절차 │ +├───────────────────┬───────────────────────┬─────────────────────────────┤ +│ 1단계 │ 2단계 │ 3단계 │ +│ 사전 준비 단계 │ 본 평가 수행 단계 │ 사후 단계 │ +├───────────────────┼───────────────────────┼─────────────────────────────┤ +│ │ │ │ +│ ① 평가 필요성 검토 │ ① 피영향자 분석 │ ① 후속 조치 │ +│ · 고영향 해당 │ · 직접 피영향자 │ · 개선/보완 계획 수립 │ +│ 여부 판단 │ · 간접 피영향자 │ · 운영 정책 업데이트 │ +│ │ · 예상치 못한 │ · 이의 제기 처리 체계 │ +│ ② 평가대상 정의 │ 피영향자 │ 마련 │ +│ · 제품/서비스 │ │ │ +│ 개요 │ ② 작동원리 분석 │ ② 문서 보관 및 │ +│ · 목적/필요성 │ · 데이터 수집 │ 결과 공개 │ +│ · 적용 분야 │ · 분석/판단 │ · 평가 결과 자율 보관 │ +│ · 사용 절차 │ · 결정 │ · 공개 여부 자율 결정 │ +│ · 이용자/ │ · 피드백 │ · 공공 입찰 시 제출 │ +│ 영향받는 자 │ │ 가능하도록 준비 │ +│ · 선택권 범위 │ ③ 기본권 영향 │ │ +│ │ 식별 및 분석 │ │ +│ │ · 시나리오 기반 │ │ +│ │ 위협 분석 │ │ +│ │ · 관련 기본권 식별 │ │ +│ │ · 기본권 영향 판단 │ │ +│ │ │ │ +├───────────────────┼───────────────────────┼─────────────────────────────┤ +│ 목표 │ 목표 │ 목표 │ +│ 평가 필요성 판단 │ 기본권 영향을 │ 후속 자율 조치 및 │ +│ + 평가대상 정보 │ 체계적으로 │ 문서 관리 │ +│ 작성 │ 식별/분석 │ │ +└───────────────────┴───────────────────────┴─────────────────────────────┘ +``` + +--- + +### 7-2-1. 사전 준비 단계 + +사전 준비 단계의 **목표**는 해당 인공지능 제품/서비스 제공에 앞서 영향평가 필요성 여부를 판단하고, 평가대상이 되는 제품/서비스의 세부 정보를 작성하는 것입니다. + +#### (1) 평가 필요성 검토 + +「인공지능기본법」 제35조에 따라 고영향 인공지능 제품/서비스를 제공하는 사업자는 영향평가 수행에 노력해야 합니다. 이를 위해 **먼저 해당 여부를 검토**합니다. + +- 자사 인공지능이 고영향 인공지능에 해당하는지 사전에 검토합니다(법 제33조제1항). +- 필요 시 과학기술정보통신부장관에게 고영향 해당 여부 확인을 요청할 수 있습니다. +- 고영향 인공지능 해당 여부는 「고영향 인공지능 판단 가이드라인」을 참고합니다(5장 참조). + +> **실무 TIP** +> 법은 고영향 인공지능에 대한 영향평가만 규정하고 있으나, 모든 인공지능사업자가 자율적으로 영향평가를 수행하도록 장려하고 있습니다. 법적 의무가 없더라도 자율 수행은 글로벌 경쟁력 확보에 도움이 됩니다. + +#### (2) 평가대상 정의 + +본 평가에 앞서 대상이 되는 인공지능 제품/서비스의 특성을 파악하기 위해, 다음 7가지 항목을 작성합니다. + +| 항목 | 작성 내용 | +|-----|----------| +| 1. 제품/서비스 개요 | 주요 기능과 특징을 간략히 설명합니다. | +| 2. 목적 및 필요성 | 핵심 가치나 목적, 해결하고자 하는 문제를 기재합니다. | +| 3. 적용 분야 | 제공/운영될 산업 또는 분야를 작성합니다. | +| 4. 사용 절차 | 이용자의 사용 절차와 AI 작동 시점/역할을 설명합니다. | +| 5. 운영기간 및 빈도 | 운영 기간과 평균 사용 빈도를 작성합니다. | +| 6. 이용자/영향받는 자의 범주/특성 | 직접 이용자, 간접 영향자의 특성(연령대, 숙련도, 취약성 등)을 작성합니다. | +| 7. 이용자 선택권 | AI 기능 미사용 선택, 결과 거부, 이의제기, 결과 철회 가능 여부를 설명합니다. | + +--- + +### 7-2-2. 본 평가 수행 단계 + +본 평가 수행 단계의 **목표**는 인공지능 제품/서비스가 기본권에 미칠 수 있는 영향을 체계적으로 식별/분석하는 것입니다. 3개의 핵심 활동으로 구성됩니다. + +#### (1) 피영향자 분석 + +제품/서비스의 사용으로 인해 직접/간접적으로 영향을 받을 수 있는 대상을 식별합니다. + +| 피영향자 유형 | 설명 | 예시 | +|-------------|------|-----| +| 직접 피영향자(영향받는 자) | AI에 의해 직접적으로 생명/기본권에 영향을 받는 자 | 채용 평가 대상자, 진료 환자 | +| 간접 피영향자 | 영향받는 자와의 관계/환경 변화로 간접적으로 영향을 받는 자 | 채용 기업, 보호자/가족 | +| 예상치 못한 피영향자 | 예상치 못하게 영향을 받을 수 있는 대상 | 지역사회, 데이터 제공자 | + +> **실무 TIP** +> 의도치 않은 피영향자를 사전에 완벽히 파악하기는 어렵습니다. 그러나 극단적이거나 가능성이 낮은 시나리오를 상상하는 브레인스토밍은 잠재적 위험에 대한 선제적 대비 체계를 구축하는 데 큰 의미가 있습니다. + +#### (2) 평가대상 작동원리 분석 + +인공지능 기반 제품/서비스의 기술적/운영상 작동원리를 조사하고 기록합니다. + +- **가치 판단 배제**: 이 단계에서는 기본권 영향과 같은 가치 판단 요소는 배제하고, 순수한 기술/운영 방식에 집중합니다. +- **단계별 구분**: 인공지능 활용 전 단계를 `데이터 수집 → 분석/판단 → 결정 → 피드백`으로 구분하여 파악합니다. + +``` +┌──────────────┬──────────────┬──────────────┬──────────────┐ +│ 데이터 수집 │ 분석/판단 │ 자동화 결정 │ 피드백 │ +├──────────────┼──────────────┼──────────────┼──────────────┤ +│ · 개인정보 │ · 패턴 인식 │ · 프로파일링 │ · 피드백 수집 │ +│ 수집 │ 및 분류 │ · 자동화된 │ · 오류 감지/ │ +│ · 행동 패턴 │ · 예측 및 │ 의사결정 │ 대응 │ +│ 분석 │ 추론 │ · 콘텐츠 │ │ +│ │ │ 필터링 │ │ +│ │ │ · 개인화 추천 │ │ +└──────────────┴──────────────┴──────────────┴──────────────┘ +``` + +#### (3) 기본권 영향 식별 및 분석 + +이 활동은 다시 3개의 세부 단계로 나뉩니다. + +**가. 시나리오 기반 위협 분석** + +앞서 파악한 작동원리가 어떤 방식으로 기본권을 위협할 수 있는지 시나리오를 폭넓게 작성합니다. + +- 발생 가능성이 다소 낮더라도 최대한 다양한 위험을 제시합니다. +- 동일한 작동원리라도 활용 분야에 따라 주요 위험이 달라질 수 있음에 유의합니다. +- 개발자, 운영자, 법무팀 등 내부 협업을 통해 작성하고, 필요 시 외부 전문가 조력을 활용합니다. + +**나. 관련 기본권의 식별** + +위험 시나리오에 잠재적으로 관련된 모든 기본권을 누락 없이 파악합니다. "인공지능기술 일반 차원"과 "제품/서비스 차원"으로 구분하여 식별하면 체계적입니다. + +| 구분 | 주요 기본권 | +|-----|-----------| +| AI기술 일반 차원 | 개인정보자기결정권, 사생활의 비밀, 평등권, 재산권 | +| 제품/서비스 차원 | 사생활의 자유, 생명권, 건강권, 평등권, 표현의 자유, 집회의 자유, 알권리, 재산권, 직업의 자유, 예술의 자유, 학문의 자유 | + +**다. 기본권 영향 판단** + +위험 시나리오를 바탕으로 '작동원리-위험'과 '잠재적 피영향 기본권'의 연결 관계와 현실성을 평가합니다. + +- **영향 내용**: 기본권 내용을 바탕으로 구체적 위험을 서술합니다. +- **영향수준**: 영향 규모(보통/경미 ~ 매우 높음), 영향 기간(단기 ~ 세대 간), 발생 가능성(낮음 ~ 매우 높음)을 평가합니다. +- **이행 중인 관리방안**: 현재 시행 중인 완화/보호 조치를 기재합니다. + +위 과정은 영향평가서 양식(7-4절 참조)에 시나리오별로 하나의 양식을 각각 작성하는 방식으로 진행합니다. + +--- + +### 7-2-3. 사후 단계 + +사후 단계의 **목표**는 영향평가 후 개선/보완 등 후속 자율 조치 사항을 검토하고 이행하는 것입니다. + +#### (1) 후속 조치 + +영향평가 완료 후 다음 사항을 자율적으로 시행하는 것을 권장합니다. + +- [ ] 부정적 영향을 완화/제거하기 위한 **개선/보완 계획**을 수립합니다. +- [ ] 내부/외부 전문가, 이해관계자 피드백을 반영하여 **운영 정책/절차를 업데이트**합니다. +- [ ] 부정적 영향이 현실화될 경우 취할 조치를 사전에 마련합니다(내부 거버넌스, 피해 최소화, **이의 제기/처리 체계** 포함). + +#### (2) 문서의 보관 및 결과의 공개 + +**문서 보관** +- 영향평가 결과와 수행 과정에서 수집/작성한 근거자료를 자율적으로 보관/관리하는 것을 권장합니다. +- 국가기관 등이 고영향 AI 제품/서비스 도입 시 영향평가 결과 제출을 요청할 수 있으므로, 보관해 둔 문서를 활용할 수 있습니다(법 제35조제2항). + +**결과 공개** +- 공개 여부는 사업자가 자율적으로 결정합니다. +- 사회적 신뢰 확보 차원에서 결과 공개가 권장됩니다. + +> **실무 TIP** +> 영향평가 문서는 법적 의무는 아니지만, 공공기관 납품 시 요청받을 수 있습니다. 평가 결과와 근거자료를 체계적으로 보관하는 것이 사실상 필수입니다. + +--- + +> **핵심 요약 | 7-2. 영향평가 수행 절차** +> - 영향평가는 **사전 준비 → 본 평가 수행 → 사후** 3단계로 진행됩니다. +> - 사전 준비 단계에서 고영향 해당 여부를 검토하고, 평가대상을 7가지 항목으로 정의합니다. +> - 본 평가에서 피영향자 분석, 작동원리 분석, 기본권 영향 식별/분석을 수행합니다. +> - 시나리오 기반 위협 분석 시 발생 가능성이 낮더라도 폭넓게 위험을 제시하는 것이 핵심입니다. +> - 사후 단계에서 개선 계획을 수립하고, 문서를 보관합니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/36_7-3_\355\217\211\352\260\200_\355\225\255\353\252\251_\355\225\264\354\204\244.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/36_7-3_\355\217\211\352\260\200_\355\225\255\353\252\251_\355\225\264\354\204\244.md" new file mode 100644 index 0000000..3e94bda --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/36_7-3_\355\217\211\352\260\200_\355\225\255\353\252\251_\355\225\264\354\204\244.md" @@ -0,0 +1,88 @@ +## 7-3. 평가 항목 해설 + +### 7-3-1. AI 시스템 기능별 침해 가능 작동원리 + +인공지능 시스템의 기능을 단계별로 분류하면, 각 단계에서 기본권 침해가 발생할 수 있는 작동원리를 체계적으로 파악할 수 있습니다. 「인공지능 영향평가 가이드라인」 부록2의 분류를 정리하면 다음과 같습니다. + +| 기능 구분 | 침해 발생 가능 작동원리 | 설명 | +|:--------:|:-------------------:|------| +| **데이터 수집** | 개인정보 수집 | 사용자 식별 및 서비스 개인화를 위한 개인정보(이름, 연락처, 생년월일 등) 수집 | +| | 행동 패턴 분석 | 서비스 이용 과정에서 사용자 행동 로그(웹/앱 로그, 쿠키, 컴퓨터 비전 등) 수집 | +| **분석 및 판단** | 패턴 인식 및 분류 | 입력 데이터를 알고리즘으로 분석하여 패턴 도출 및 분류(클러스터링, 분류 알고리즘) | +| | 예측 및 추론 | 과거 데이터를 바탕으로 미래 상황 예측(딥러닝, 신경망 등) | +| **자동화 결정** | 프로파일링 | 수집된 데이터를 종합하여 사용자 분류 및 프로파일 생성 | +| | 자동화된 의사결정 | AI 분석 결과를 바탕으로 인간 개입 없이 의사결정(임계값 설정, 규칙 기반 처리) | +| | 콘텐츠 필터링 | 텍스트, 이미지, 영상을 분석하여 부적절 콘텐츠 검열 및 차단 | +| **상호작용** | 개인화 추천 | 개인 프로파일과 유사 사용자 분석을 통한 추천(협업 필터링, 콘텐츠 기반 필터링) | +| | 피드백 수집 | 서비스 개선을 위한 사용자 반응 수집 | + +> **실무 TIP** +> 영향평가 시 위 표의 작동원리를 체크리스트로 활용하면, 자사 AI 시스템이 어떤 기능에서 기본권 침해 가능성이 있는지 빠짐없이 검토할 수 있습니다. 각 작동원리를 `데이터 수집 → 분석/판단 → 결정 → 피드백` 흐름에 맞춰 목록화하는 것이 핵심입니다. + +--- + +### 7-3-2. 주요 평가 항목 상세 + +영향평가에서 검토해야 할 기본권은 "인공지능기술 일반 차원"과 "제품/서비스 차원"으로 구분됩니다. + +#### (1) 인공지능기술 일반 차원에서 고려되는 기본권 + +인공지능기술 자체의 작동 방식에 기인한 위험을 다룹니다. 인공지능기술을 이용하는 한 **반드시 검토가 필요**합니다. + +| 기본권 | 내용 | 침해 시나리오 예시 | +|-------|------|-----------------| +| **개인정보자기결정권** | 개인정보의 공개와 이용에 관하여 스스로 결정할 권리 | AI의 불투명한 작동으로 통제권 형해화, 학습된 개인정보에 대한 사후 통제 불가 | +| **사생활의 비밀** | 의사에 반하여 사생활 영역이 공개되지 않을 권리 | 음성 AI 비서의 사적 대화 무단 수집, 건강 정보 무단 공유 | +| **평등권** | 합리적 이유 없는 차별 금지 | 편견 기반 데이터 가중치 조정으로 차별적 분류, 대리변수를 통한 우회적 차별 | +| **재산권** | 재산적 가치 있는 구체적 권리의 보호 | 생성형 AI가 창작물을 무단 학습/활용하여 경제적 기회 박탈 | + +#### (2) 제품/서비스 차원에서 영향받을 수 있는 기본권 + +제품/서비스의 활용 맥락에서 발생하는 위험을 다루며, 자동화된 의사결정에 초점을 맞춥니다. 활용 영역에 따라 기본권 목록은 유연하게 결정됩니다. + +| 기본권 | 내용 | 침해 시나리오 예시 | +|-------|------|-----------------| +| **사생활의 자유** | 외부 개입 없이 사생활을 형성할 자유 | 스마트홈이 '최적화된 생활방식' 제안 명목으로 개입, 건강관리 앱이 생활에 과도하게 개입 | +| **생명권** | 생명을 박탈당하지 않을 권리 | 의료 AI의 치명적 오진, 자율주행의 위험 상황 대응 실패, 안전 시스템 오작동 | +| **건강권** | 신체적 건강을 훼손당하지 않을 권리 | 의료 AI 분석 오류로 부적절한 치료, 산업용 로봇 안전 프로토콜 오류 | +| **평등권** | 합리적 이유 없는 차별 금지 | 성별 편향으로 특정 성에 불리한 결과, 거주 지역 기반 대출 차등 평가 | +| **표현의 자유** | 자기 의견을 간섭 없이 표명/전파할 자유 | AI 필터링이 소수자 비판적 의견을 혐오 표현으로 오인하여 삭제 | +| **집회의 자유** | 집회 참가 여부/목적/시간/장소/방법을 결정할 권리 | 원격 얼굴인식으로 위축 효과 발생 | +| **알권리** | 정보원으로부터 자유롭게 정보를 수집할 자유 | 검색 결과 순위 조작, 특정 성향 의견 체계적 차단 | +| **재산권** | 재산적 가치 있는 권리의 보호 | 신용평가 오류로 신용등급 조작, AI가 시장 변동 오판으로 자산 대량 매도 | +| **직업의 자유** | 원하는 직업을 선택/수행할 자유 | 편향된 채용 시스템이 특정 배경 지원자의 진입 체계적 차단 | +| **예술의 자유** | 예술 작품을 창작/전시/보급할 자유 | 저작권 검증 시스템이 과도한 기준으로 패러디/오마주 차단 | +| **학문의 자유** | 연구의 전 과정을 결정/결과 발표할 자유 | AI가 효율성만 기준으로 연구 주제/방법론 제한 | + +> **주의** +> 인간의 존엄성과 행복추구권(헌법 제10조)은 다른 기본권과의 관계에서 보충적으로 기능하는 일반적 자유권입니다. 따라서 "어떤 기본권에 어떻게 영향을 미치는지" 파악하는 영향평가에서는 개별 기본권을 직접 특정하는 것이 더 적절합니다. + +#### (3) 영향수준 평가 기준 + +각 기본권에 대한 영향을 3개 축으로 평가합니다. + +``` +┌───────────────────────────────────────────────────────┐ +│ 영향수준 평가 3개 축 │ +├──────────────────┬──────────────────┬─────────────────┤ +│ 영향 규모 │ 영향 기간 │ 발생 가능성 │ +├──────────────────┼──────────────────┼─────────────────┤ +│ □ 보통/경미 │ □ 단기 │ □ 낮음 │ +│ □ 중간 │ □ 중기 │ □ 중간 │ +│ □ 높음 │ □ 장기 │ □ 높음 │ +│ □ 매우 높음 │ □ 세대 간 │ □ 매우 높음 │ +└──────────────────┴──────────────────┴─────────────────┘ +``` + +평가 시 다음 사항을 함께 기재합니다. + +- **영향 내용**: 해당 기본권의 보호영역이 어떻게 제약되는지 구체적으로 서술합니다. +- **이행 중인 관리방안**: 현재 시행 중인 완화/보호 조치를 기재합니다. + +--- + +> **핵심 요약 | 7-3. 평가 항목 해설** +> - AI 시스템 작동원리를 `데이터 수집 → 분석/판단 → 자동화 결정 → 상호작용` 4단계로 분류하여 침해 가능성을 체계적으로 검토합니다. +> - 기본권은 "AI기술 일반 차원"(개인정보자기결정권, 사생활의 비밀 등)과 "제품/서비스 차원"(생명권, 건강권, 직업의 자유 등)으로 구분하여 식별합니다. +> - 영향수준은 영향 규모/기간/발생 가능성의 3개 축으로 평가합니다. +> - 활용 영역이 확장됨에 따라 기본권 목록도 정기적 최신화가 필요합니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/37_7-4_\354\230\201\355\226\245\355\217\211\352\260\200\354\204\234_\354\236\221\354\204\261_\352\260\200\354\235\264\353\223\234.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/37_7-4_\354\230\201\355\226\245\355\217\211\352\260\200\354\204\234_\354\236\221\354\204\261_\352\260\200\354\235\264\353\223\234.md" new file mode 100644 index 0000000..eb02b11 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/37_7-4_\354\230\201\355\226\245\355\217\211\352\260\200\354\204\234_\354\236\221\354\204\261_\352\260\200\354\235\264\353\223\234.md" @@ -0,0 +1,124 @@ +## 7-4. 영향평가서 작성 가이드 + +### 7-4-1. 양식 해설 + +「인공지능 영향평가 가이드라인」 부록1에서 제공하는 영향평가서 양식은 크게 **평가대상 정의**(항목 1~7)와 **위험 시나리오 분석**(항목 8)으로 구성됩니다. + +#### 영향평가서 양식 구조 + +``` +┌─────────────────────────────────────────────────────────────┐ +│ 인공지능 영향평가서 양식 구조 │ +├─────────────────────────────────────────────────────────────┤ +│ │ +│ ┌─ 평가대상 정의 (사전 준비 단계에서 작성) ──────────────┐ │ +│ │ │ │ +│ │ 1. 제품/서비스 개요 │ │ +│ │ 2. 목적 및 필요성 │ │ +│ │ 3. 적용 분야 │ │ +│ │ 4. 사용 절차 ← AI 작동 시점/역할 명시 │ │ +│ │ 5. 운영기간 및 빈도 │ │ +│ │ 6. 이용자/영향받는 자의 범주/특성 │ │ +│ │ 7. 이용자 선택권 │ │ +│ │ │ │ +│ └──────────────────────────────────────────────────────┘ │ +│ │ +│ ┌─ 위험 시나리오 분석 (본 평가 단계에서 작성) ────────────┐ │ +│ │ │ │ +│ │ 8. 위험 시나리오 (복수 작성 가능) │ │ +│ │ ├─ 시나리오 서술 │ │ +│ │ ├─ 피영향자 (직접/간접/예상치 못한) │ │ +│ │ └─ 관련 기본권별 영향 평가 │ │ +│ │ ├─ 영향 내용 │ │ +│ │ ├─ 영향수준 (규모/기간/발생가능성) │ │ +│ │ └─ 이행 중인 관리방안 │ │ +│ │ │ │ +│ └──────────────────────────────────────────────────────┘ │ +│ │ +└─────────────────────────────────────────────────────────────┘ +``` + +**항목별 작성 요령** + +| 항목 | 작성 요령 | +|-----|----------| +| 1. 제품/서비스 개요 | 핵심 기능 1~2문장으로 요약합니다. 기술적 세부사항보다 "무엇을 하는 서비스인지"에 초점을 맞춥니다. | +| 2. 목적 및 필요성 | "어떤 문제를 해결하는가"를 중심으로 작성합니다. | +| 3. 적용 분야 | 산업 분야(의료, 금융, 교육 등)를 명시합니다. | +| 4. 사용 절차 | 이용자의 사용 흐름을 단계별로 기술하고, **AI가 작동하는 시점**을 명확히 표시합니다. | +| 5. 운영기간/빈도 | SaaS인지 프로젝트 단위인지, 평균 이용 빈도는 어떤지 기재합니다. | +| 6. 이용자/영향받는 자 | 직접 이용자와 간접 영향자를 구분하고, 연령대/숙련도/취약성 여부를 포함합니다. | +| 7. 이용자 선택권 | AI 기능 비사용 가능 여부, 결과 거부/재생성, 이의제기/수정요청, 결과 철회 가능 여부를 기재합니다. | +| 8. 위험 시나리오 | 시나리오별로 피영향자(3유형), 관련 기본권별 영향수준, 이행 중인 관리방안을 작성합니다. | + +--- + +### 7-4-2. 작성 예시 + +「인공지능 영향평가 가이드라인」은 3가지 가상 서비스에 대한 작성 예시를 제공합니다. 핵심 내용을 요약합니다. + +#### 예시 1: 스마트채용 --- AI 기반 채용 후보자 평가/적합도 판정 서비스 + +| 항목 | 내용 | +|-----|------| +| 개요 | 후보자의 이력서/SNS 정보 등을 수집/분석하여 직무 적합도를 점수화하는 SaaS | +| 적용 분야 | 기업/공공기관 HR/채용 업무 | +| AI 작동 시점 | 후보자 데이터 자동 수집 → AI 분석 → 점수 산출 | +| 직접 피영향자 | 채용 후보자 | +| 주요 위험 기본권 | 직업의 자유(편향 기반 불공정 채용), 사생활의 자유(광범위한 정보 분석), 평등권(차별적 평가), 알권리(불투명한 평가) | + +> **사례 1** | 채용 AI 영향평가 시나리오 +> 학습 데이터에 내재된 사회적/관습적 편향이 교정되지 않으면 불공정한 채용 결과를 초래할 수 있습니다. 또한 후보자의 비공개적이거나 사적인 정보까지 활용될 위험이 있으며, AI 평가 과정의 불투명성으로 인해 후보자의 알권리가 제한될 수 있습니다. +> **관리방안 예시**: 차별적 변수 배제, 소수자 배려 요소 반영, HR 담당자 최종 확인/보완, 평가 기준 사전 안내 + +#### 예시 2: Face Swap Studio --- 딥페이크 얼굴 합성 영상 제작 서비스 + +| 항목 | 내용 | +|-----|------| +| 개요 | 업로드된 영상/이미지와 타인 얼굴 데이터를 AI 합성하여 얼굴 변환 영상 생성 | +| 적용 분야 | 엔터테인먼트, 마케팅/광고, 교육/연구 | +| AI 작동 시점 | 얼굴 인식/추출 → 합성 모델 작동 → 결과 영상 생성 | +| 직접 피영향자 | 합성 대상이 되는 개인(유명인, 일반인) | +| 주요 위험 기본권 | 개인정보자기결정권(본인 동의 없는 얼굴 합성), 사생활의 비밀(음란물 변형/유포), 평등권(특정 집단 타깃 합성) | + +#### 예시 3: Edu Score --- AI 기반 학생 평가 서비스 + +| 항목 | 내용 | +|-----|------| +| 개요 | 학생 답안/에세이를 분석하여 점수 산출/피드백 제공 | +| 적용 분야 | 초/중/고/대학 교육기관, 온라인 학습 플랫폼 | +| AI 작동 시점 | 답안 제출 → AI 자동 분석 → 점수/피드백 생성 | +| 직접 피영향자 | 평가받는 학습자 | +| 주요 위험 기본권 | 평등권(문체/언어 패턴 편향), 알권리(설명가능성 한계), 사생활의 비밀(학습 정보 유출) | + +> **사례 2** | 학생 평가 AI 시나리오 --- 닻내림 효과 사례 +> 대학생 B가 제출한 에세이를 AI가 분석한 결과, AI 작성 확률 40~70%로 산출되고 C+ 점수가 부여됩니다. 담당 교수 C가 해당 점수를 그대로 반영했으나, 학생 B는 직접 작성한 과제라며 성적 정정을 요구합니다. 교수가 재평가하여 B로 수정했지만, 학생은 초기 AI 평가 점수의 **닻내림 효과(Anchoring Effect)**를 주장하며 학교에 이의를 제기합니다. +> **관리방안 예시**: 중요 과제는 교사 표본 검토로 교차 확인, AI는 객관식/단답형 채점에 제한적 활용, 성적 이의제기/재검토 절차 운영 + +--- + +### 7-4-3. FAQ + +「인공지능 영향평가 가이드라인」 부록4의 FAQ를 정리합니다. + +| Q | A | +|---|---| +| **영향평가란 무엇인가요?** | 고영향 AI 제품/서비스 제공 전, 기본권에 미치는 영향을 사전 평가하는 절차입니다(법 제35조제1항). | +| **어떤 사업자가 수행해야 하나요?** | 고영향 AI 제품/서비스를 제공하는 사업자는 노력 의무를 부담합니다. 일반 AI 사업자도 자율 수행이 장려됩니다. | +| **언제 수행하나요?** | 신규 제품/서비스 제공 **전**에 수행합니다. 핵심 기능이나 영향받는 대상에 중대한 변화가 있으면 재시행을 권장합니다. | +| **외부 기관 의뢰가 가능한가요?** | 가능합니다. 시행령안 제28조제2항에 따라 직접 수행 또는 제3자 의뢰가 모두 가능합니다. | +| **피영향자를 어디까지 고려해야 하나요?** | 직접 피영향자뿐만 아니라 간접 피영향자, 예상치 못한 피영향자까지 모두 고려하는 것이 권고됩니다. | +| **작동원리 분석 시 중점은?** | 데이터 수집, 분석/판단, 결정, 피드백 모든 단계에서 AI가 작동하는 방식에 집중하여 조사합니다. | +| **위험 시나리오 작성 기준은?** | 실제 활용 분야와 상황을 기준으로 작성합니다. 발생 가능성이 낮더라도 폭넓게 제시하는 것이 효과적입니다. | +| **기본권은 어떻게 식별하나요?** | "AI기술 일반 차원"과 "제품/서비스 차원"으로 구분하여 포괄적으로 식별합니다(7-3절 참조). | +| **영향 판단은 어떻게 하나요?** | 위험 시나리오를 바탕으로 영향 내용, 규모, 기간, 발생 가능성을 종합적으로 판단합니다. | +| **평가 결과를 공개해야 하나요?** | 공개 여부는 자율 결정이나, 사회적 신뢰 확보를 위해 권장됩니다. 국가기관 납품 시 결과 제출이 필요할 수 있으므로 문서 보관을 권장합니다. | + +--- + +> **핵심 요약 | 7-4. 영향평가서 작성 가이드** +> - 영향평가서는 평가대상 정의(항목 1~7)와 위험 시나리오 분석(항목 8)으로 구성됩니다. +> - 항목 4(사용 절차)에서는 AI 작동 시점을 명확히 표시하는 것이 핵심입니다. +> - 항목 8(위험 시나리오)은 복수 작성 가능하며, 시나리오별로 피영향자와 기본권 영향을 상세히 기재합니다. +> - 가이드라인은 채용(스마트채용), 콘텐츠(Face Swap), 교육(Edu Score) 3가지 가상 서비스 작성 예시를 제공합니다. +> - 외부 기관 의뢰, 결과 공개는 모두 사업자의 자율적 판단 사항입니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/38_7-5_\354\230\201\355\226\245\355\217\211\352\260\200_\354\247\200\354\233\220_\354\262\264\352\263\204.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/38_7-5_\354\230\201\355\226\245\355\217\211\352\260\200_\354\247\200\354\233\220_\354\262\264\352\263\204.md" new file mode 100644 index 0000000..ff1e8c0 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/38_7-5_\354\230\201\355\226\245\355\217\211\352\260\200_\354\247\200\354\233\220_\354\262\264\352\263\204.md" @@ -0,0 +1,123 @@ +## 7-5. 영향평가 지원 체계 + +### 7-5-1. 정부 지원 안내 + +과학기술정보통신부는 영향평가 제도의 원활한 안착을 위해 전담기관인 정보통신정책연구원(KISDI)을 통해 지원을 제공합니다. + +#### 지원 체계 구조 + +``` +┌─────────────────────────────────────────────────────────┐ +│ 인공지능 영향평가 지원 체계 │ +├─────────────────────────────────────────────────────────┤ +│ │ +│ 과학기술정보통신부 │ +│ └─ 제도적 기반 마련 (법 + 시행령) │ +│ │ +│ 정보통신정책연구원(KISDI) ← 전담기관 │ +│ └─ 가이드라인 제공 │ +│ └─ 사업자 상담/컨설팅 │ +│ └─ 샘플 보고서 및 참고자료 제공 │ +│ └─ 스타트업/중소기업 지원 강화 │ +│ │ +├─────────────────────────────────────────────────────────┤ +│ 문의처 │ +│ · 정보통신정책연구원(KISDI) 인공지능정책연구실 │ +│ · 전화: 043-531-4114 │ +│ · 이메일: aiia@kisdi.re.kr │ +└─────────────────────────────────────────────────────────┘ +``` + +**주요 지원 내용** + +| 지원 항목 | 설명 | +|----------|------| +| 가이드라인 제공 | 영향평가 수행 절차, 양식, 작성 예시를 포함한 가이드라인을 제공합니다. | +| 상담/컨설팅 | 사업자의 영향평가 관련 문의사항에 대해 전문적 상담을 제공합니다. | +| 샘플 보고서 | 참고할 수 있는 샘플 영향평가 보고서와 참고자료를 제공합니다. | +| 스타트업/중소기업 지원 | 전문 인력이 부족한 스타트업/중소기업의 원활한 영향평가 수행을 특별히 지원합니다. | + +> **실무 TIP** +> 영향평가에 전문 인력이나 경험이 부족한 사업자는 KISDI의 상담/컨설팅 서비스를 적극 활용하는 것이 좋습니다. 컨설팅을 통해 평가 전문성과 결과의 객관성을 높이고, 사회적 신뢰와 인정을 확보할 수 있습니다. + +--- + +### 7-5-2. 평가 결과 활용 + +영향평가 결과는 다음과 같이 활용됩니다. + +#### (1) 공공기관 우선 고려 (법 제35���제2항) + +「인공지능기본법」 제35조제2항은 국가기관 등이 고영향 AI 제품/서비스를 도입�� 때 **영향평가를 실시한 제품/서비스를 우선적으로 고려**하도록 규정합니다. + +이는 영향평가 수행이 다음과 같은 실질적 이점을 가져다준다는 의미입니다. + +- **공공 조달 경쟁력**: 정부/지자체/공공기관 입찰 시 영향평가 결과 보유가 사실상 필수 요건이 됩니다. +- **제출 근거 확보**: 국가기관 등이 도입 과정에서 영향평가 결과 제출을 요청할 수 있으므로, 문서를 미리 보관해 두어야 합니다. + +#### (2) 글로벌 규제 대응 + +- EU AI Act 제27조의 기본권 영향평가(FRIA)와 상호운용성 확보에 기여합니다. +- ISO/IEC 42001, ISO/IEC 42005 등 국제 표준 인증 시 근거 자료로 활용할 수 있습니다. +- 해외 시장 진출 시 제도적 장벽 최소화에 도움이 됩니다. + +#### (3) 자율적 리스크 관리 + +- 잠재적 위험을 사전에 식별/��석하여 선제적 대응이 가능합니다. +- 이해관계자에 대한 투명성을 확보하여 브랜드 신뢰를 높입니다. +- 사고 발생 시 사전 리스크 관리 노력을 입증하는 근거가 됩니다. + +--- + +### 영향평가 수행 체크리스트 + +7장의 마무리로, 영향평가 전 과정을 점검할 수 있는 체크리스트를 제공합니다. + +#### 사전 준비 단계 + +- [ ] 자사 AI가 고영향 인공지능에 해당하는지 검토했습니다 (법 제33조, 5장 참조) +- [ ] 필요 시 과학기술정보통신부에 고영향 해당 여부 확인을 요청했습니다 +- [ ] 평가대상 제품/���비스의 개요를 작성했습니다 +- [ ] 제품/서비스의 목적 및 필요성을 기재했습니다 +- [ ] 적용 분야를 명시했습니다 +- [ ] 사용 절차와 AI 작동 시점/역할을 기술했습니다 +- [ ] 운영기간 및 빈도를 작성했습니다 +- [ ] 이용자/영향받는 자의 범주/특성을 파악했습니다 +- [ ] 이용자 선택권의 범위를 정리했습니다 + +#### 본 평가 수행 단계 + +- [ ] 직접 피영향자(영향받는 자)를 식별했습니다 +- [ ] 간접 피영향자를 식별했습니다 +- [ ] 예상치 못한 피영향자까지 브레인스토밍으로 검토했습니다 +- [ ] 데이터 수집 단계의 작동원리를 조사/기록했습니다 +- [ ] 분석/판단 단계의 작동원리를 조사/기록했습니다 +- [ ] 자동화 결정 단계의 작동원리를 조사/기록했습니다 +- [ ] 피드백 단계의 작동원리를 조사/기록했습니다 +- [ ] 위험 시나리오를 활용 분야/상황 기준으로 폭넓게 작성했습니다 +- [ ] AI기술 일반 차원의 기본권(개인정보자기결정권, 사생활의 비밀 등)을 검토했습니다 +- [ ] 제품/서비스 차원의 기본권(생명권, 평등권, 직업의 자유 등)을 검토했습니다 +- [ ] 시나리오별로 영향 내용, 규모, 기간, 발생 가능성을 판단했습니다 +- [ ] 이행 중인 관리방안을 기재했습니다 + +#### 사후 단계 + +- [ ] 부정적 영향의 완화/제거를 위한 개선/보완 계획을 수립했습니다 +- [ ] 내부/외부 피드백을 반영하여 운영 정책/절차를 업데이트했습니다 +- [ ] 부정적 영향 현실화 시 대응 조치를 마련했습니다 (이의 제기/처리 체계 포함) +- [ ] 영향평가 결과와 근거자료를 보관했습니다 +- [ ] 결과 공개 여부를 검토했습니다 + +#### 공통 + +- [ ] 평가서를 영향평가서 양식(부록1)에 맞춰 작성했습니다 +- [ ] 공공기관 납품을 위한 결과 문서를 보관했습니다 +- [ ] 필요 시 KISDI 상담/컨설팅을 활용했습니다 + +--- + +> **핵심 요약 | 7-5. 영향평가 지원 체계** +> - KISDI가 전담기관으로서 가이드라인, 상담/컨설팅, 샘플 보고서를 제공합니다. +> - 공공기관은 영향평가를 실시한 제품/서비스를 우선 고려해야 하므로, B2G 사업자에게 영향평가 수행은 사실상 필수입니다. +> - 영향평가 결과는 글로벌 규제 대응, 자율적 리스크 관리에도 활용됩니다. +> - 위 체크리스트를 활용하여 영향평가 전 과정을 빠짐없이 점검할 수 있습니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/39_8-1_\352\265\255\353\202\264\353\214\200\353\246\254\354\235\270_\354\235\230\353\254\264_\352\260\234\354\232\224.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/39_8-1_\352\265\255\353\202\264\353\214\200\353\246\254\354\235\270_\354\235\230\353\254\264_\352\260\234\354\232\224.md" new file mode 100644 index 0000000..a1bd4e2 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/39_8-1_\352\265\255\353\202\264\353\214\200\353\246\254\354\235\270_\354\235\230\353\254\264_\352\260\234\354\232\224.md" @@ -0,0 +1,72 @@ +# 8장. 해외사업자의 국내대리인 지정 + +## 8-1. 국내대리인 지정 의무 개요 + +### 8-1-1. 제도의 취지 + +해외에 본사를 둔 인공지능사업자(AI Business Operator)가 국내 이용자에게 서비스를 제공하면서도 국내에 물리적 거점이 없는 경우, 규제 이행과 이용자 보호에 공백이 발생합니다. 「인공지능기본법」 제36조는 이러한 공백을 메우기 위해 **국내대리인(Domestic Representative) 지정 의무**를 규정합니다. + +제도의 핵심 목적은 세 가지입니다. + +1. **안전성 확보 지원** --- 해외사업자를 대신하여 안전성 의무 이행 결과를 제출합니다. +2. **사고 대응 창구 확보** --- 국내에서 AI 관련 문제 발생 시 규제기관과 소통할 수 있는 접점을 마련합니다. +3. **법 실효성 확보** --- 해외사업자에 대한 규제 집행력을 높여 국내 이용자를 보호합니다. + +> **실무 TIP** +> 이 제도는 EU AI Act의 역외 적용 조항, 개인정보보호법의 국내대리인 제도와 유사한 맥락입니다. 글로벌 AI 서비스를 운영하는 해외 기업이라면 각 국가의 대리인 제도를 종합적으로 관리할 필��가 있습니다. + +--- + +### 8-1-2. 의무 구조 요약 + +「인공지능기본법」 제36조의 국내대리인 지정 의무 구조를 정리하면 다음과 같습니다. + +[표 8-1: ���내��리인 지정 의무 구조 요약] + +| 항목 | 내용 | +|:---:|------| +| 의무 주체 | 국내에 주소 또는 영업소가 **없는** 인공지능사업자 중 대통령령 기준 해당자 | +| 지정 방법 | **서면** 지정 + 과학기술정보통신부장관에게 **신고** | +| 대리인 자격 | 국내에 주소 또는 영업소가 **있는** 자 (자연인 또는 법인) | +| 대리 업무 | (1) 안전성 이행 결과 제출, (2) 고영향 AI 확인 요청, (3) 사업자 책무 이행 지원 | +| 법적 책임 | 대리인이 법 위반 시 → **지정 사업자에게 책임 귀속** | +| 미지정 시 | 과태료 최대 3,000만원 (1~3차 위반 모두 2,000만원) | + +> **법률 원문** | 제36조(국내대���인 지정) +> ① 국내에 주소 또는 영업소가 없는 인공지능사업자로서 이용자 수, 매출액 등이 대통령령으로 정하는 기준에 해당하는 자는 다음 각 호의 사항을 대리하는 자(이하 "국내대���인"이라 한다)를 서면으로 지정하고, 이를 과학기술정보통���부장관에게 신고하여야 한다. + +``` +┌──────────────────────────────────────────────────────┐ +│ 국내대리인 제도 전체 흐름 │ +├──────────────────────────────────────────────────────┤ +│ │ +│ 해외 AI 사업자 │ +│ (국내 주소/영업소 없음) │ +│ │ │ +│ ▼ │ +│ 시행령 기준 충족 여부 확인 │ +│ (매출 1조 / AI매출 100억 / 이용자 100만 / 과태료 이력) │ +│ │ │ +│ ▼ 기준 충족 │ +│ 국내대리인 서면 지정 │ +│ (국내 주소/영업소 보유자) │ +│ │ │ +│ ▼ │ +│ 과학기술정보통신부장관에게 신고 │ +│ │ │ +│ ▼ │ +│ 대리인 정보 인터넷 사이트에 공개 │ +│ (성명, 주소, 전화번호, 전자우편) │ +│ │ +└────────��─────────────────────────���───────────────────┘ +``` + +--- + +### 핵심 요약 + +> **핵심 요약** +> - 국내대리인 제도는 해외 AI 사업자의 국내 규제 이행과 이용자 보호를 위한 장치입니다. +> - 의무 대상은 국내에 주소/영업소가 없으면서 시행령 기준(매출, 이용자 수 등)을 충족하는 해외 인공지능사업자입니다. +> - 서면 지정 + 과기정통부 신고 + 인터넷 공개가 핵심 절차입니다. +> - 대리인이 법을 위반하면 지정한 사업자에게 책임이 귀속됩니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/40_8-2_\353\214\200\354\203\201_\352\270\260\354\244\200.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/40_8-2_\353\214\200\354\203\201_\352\270\260\354\244\200.md" new file mode 100644 index 0000000..976d042 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/40_8-2_\353\214\200\354\203\201_\352\270\260\354\244\200.md" @@ -0,0 +1,98 @@ +## 8-2. 대상 기준 + +「인공지��기본법」 시행령 제29조는 국내대리인 지정 의무가 발생하는 해외 인공지능사���자의 기준을 네 가지로 규정합니다. **어느 하나라도** 해당하면 지정 의무가 발생합니다. + +> **법률 원문** | 시행령 제29조(국내대리�� 지정 사업자의 기준) +> ① 법 제36조제1항 각 호 외의 부분에서 "대통령령으로 정하는 기준에 해당하는 자"란 다음 각 호의 어느 하나에 해당하는 인공지능사업자를 말한다. + +--- + +### 8-2-1. 기준 1: 전년도 매출 1조원 이상 + +전년도(법인인 경우에는 전 사업연도) 매출액이 **1조원 이상**인 인공지능사업자입니다. AI 서비스 매출뿐 아니라 **전체 매출액**을 기준으로 합니다. + +| 구분 | 내용 | +|:---:|------| +| 기준 금액 | 전년도 매출액 1조원 이상 | +| 산정 범위 | 회사 **전체** 매출 (AI 부문 한정 아님) | +| 환율 적용 | 전년도 평균환율로 원화 환산 | + +> **실무 TIP** +> 글로벌 빅테크 기업의 경우 전체 매출이 1조원을 넘는 경우가 대부분입니다. 해외 기업이 국내에 AI 서비스를 제공하고 있다면 이 기준에 해당할 가능성이 높습니다. + +--- + +### 8-2-2. 기준 2: AI 서비스 매출 100억원 이상 + +인공지능서비스 부문 전년도(법인인 경우에는 전 사업연도) 매출액이 **100억원 이상**인 인공지능사업자입니다. 기준 1과 달리 **AI 서비스 부문 매출만** 산정합���다. + +| 구분 | 내용 | +|:---:|------| +| 기준 금액 | AI 서비스 부문 매출액 100억원 이상 | +| 산정 범위 | 인공지능서비스 **부문 한정** | +| 환율 적용 | 전년도 평균환율로 원화 환산 | + +> **주의** +> 시행령 제29조제2항에 따라, 기준 1과 기준 2의 매출액은 **전년도 평균환율을 적용하여 원화로 환산**한 금액을 기준으로 합니다. 해외 사업자는 환율 변동에 따라 기준 충족 여부가 달라질 수 있으므로 매년 재확인이 필요합니다. + +--- + +### 8-2-3. 기준 3: 국내 이용자 일평균 100만명 이상 + +전년도 말 기준, 해당 사업자의 인공지능제품 및 인공지능서비스에 대한 직전 3개월간 국내 이용자 수가 **1일 평균 100만명 이상**인 인공지능사업자입니다. + +| 구분 | 내용 | +|:---:|------| +| 기준 시점 | 전년도 말 기준 | +| 측정 기간 | 직전 3개월간 | +| 기준 수치 | 1일 평균 국내 이용자 100만명 이상 | + +> **실무 TIP** +> 국내에서 대규모 이용자를 확보한 해외 AI 서비스(예: 글로벌 생성형 AI 플랫폼 등)가 이 기준에 해당할 수 있습니다. "이용자 수"의 구체적 산정 방식(MAU, DAU 등)은 향후 세부 가이드라인을 확인할 필요가 있습니다. + +--- + +### 8-2-4. 기준 4: 과태료 부과 이력 + +「인공지능기본법」 제43조제1항제3호에 따른 과태료를 부과받은 사실이 있는 인공지능사업자입니다. 이는 **시정명령 불이행**으로 과태료를 받은 이력이 있는 경우를 의미합니다. + +| ���분 | 내용 | +|:---:|------| +| 대상 과태료 | 법 제43조제1항제3호 (시정명령 불이행) | +| 기간 제한 | 별도 규정 없음 (부과 이력이 있으면 해당) | +| 효과 | 기존 기준 미달이더라도 과태료 이력만으로 지정 의무 발생 | + +> **주의** +> 이 기준은 **매출이나 이용자 수와 무관하게** 과태료 부과 이력만으로 국내대리인 지정 의무가 발생하는 규정입니다. 한 번이라도 시정명령 불이행 과태료를 받으면 이후 국내대리인 지정이 의무화됩니다. + +--- + +네 가지 기준을 종합하면 다음과 같습니다. + +``` +┌──────────────────────────────────────────────────────┐ +│ 국내대리인 지정 의무 발생 기준 (택 1) │ +├─────────────────────────────────────────────────────���┤ +│ │ +│ 기준 1 ─── 전체 매출 1조원 이상 │ +│ OR │ +│ 기준 2 ─── AI 서비�� 매출 100억원 이상 │ +│ OR │ +│ 기��� 3 ─── 국내 이용자 일평균 100만명 이상 │ +│ OR │ +│ 기준 4 ─── 시정명령 불이행 과태료 이력 보유 │ +│ │ +│ ※ 어느 하나라도 해당하면 → 국���대리인 지정 의무 발생 │ +│ │ +└─────────���────────────────────────────────────────────┘ +``` + +--- + +### 핵심 요약 + +> **핵심 요약** +> - 국내대리인 지정 의무는 네 가지 기준 중 **하나라도** 충족하면 발생합니다. +> - 기준 1(전체 매출 1조원)과 기준 2(AI 매출 100억원)는 **전년도 평균환율로 원화 환산**합니다. +> - 기준 3(일평균 이용자 100만명)은 **직전 3개월** 국내 이용자 수로 판단합��다. +> - 기준 4(과태료 이력)는 매출·이용자 수 무관하게 시정명령 불이행 과태료 이력만으로 의무가 발생합니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/41_8-3_\354\247\200\354\240\225_\354\213\240\352\263\240_\354\240\210\354\260\250.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/41_8-3_\354\247\200\354\240\225_\354\213\240\352\263\240_\354\240\210\354\260\250.md" new file mode 100644 index 0000000..21029e9 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/41_8-3_\354\247\200\354\240\225_\354\213\240\352\263\240_\354\240\210\354\260\250.md" @@ -0,0 +1,102 @@ +## 8-3. 국내대리인 지정 및 신고 절차 + +### 8-3-1. 대리인 자격 요건 + +「인공지능기���법」 제36조제2항에 따라, 국내대리인은 **국내에 주소 또는 영업소가 있는 자**로 한정됩니다. + +| 요건 | 내용 | +|:---:|------| +| 필수 요건 | 국내에 주소 또는 영업소 보유 | +| 법인/자연인 | 자연인 또는 법인 모두 가능 | +| 국적 요건 | 한국 국적 **불요** (외국인도 가능) | +| 언어 능력 | 한국어로 원활한 의사소통이 가능해야 함 (명시 규정 없으나 실무상 필요) | +| 복수 지정 | 가능 (복수의 대리인 지정 시 모두에 대해 정보 명시) | + +> **법률 원문** | 제36조제2항 +> ② 국내대리���은 국내에 주소 또는 영업소가 있는 자로 한다. + +> **실무 TIP** +> 법령상 별도의 자격 시험이나 등록 요건은 없습니다. 다만, 국내대리인은 안전성 이행 결과 제출, 고영향 AI 확인 요청 등의 업무를 수행하므로, AI 규제에 대한 이해와 규제기관 대응 역량을 갖춘 자를 지정하는 것이 바람직합니다. 법무법인, 컨설팅 기관, 국내 계열사 등이 실무적 선택지가 됩니다. + +--- + +### 8-3-2. 서면 지정 및 과기정통부 신고 + +국내대리인 지정은 반드시 **서면**으로 하여야 하며, 과학기술정보통신부장관에게 **신고**하여야 합니다. + +#### (1) 서면 지정 + +해외 인공지능사업자가 국내대리인을 서면으로 지정합니다. 지정서에는 다음 정보를 반드시 포함하여야 합니다. + +| 기재 항목 | 세부 내용 | +|:---:|------| +| 국내대리인 성명 | 법인인 경우 명칭과 대표자 성명 | +| 국내대리인 주소 | 법인인 경우 영업소 소재지 | +| 전화번호 | 국내 전화번호 (업무 처리 가능한 연락처) | +| 전자우편 주소 | 업무 연락용 이메일 | + +> **주의** +> 전화번호는 반드시 국내대리인 개인의 이동전화번호일 필요는 없습니다. 해당 업무를 실제 처리할 수 있는 연락처를 기재하면 됩니다. + +#### (2) 과기정통부 신고 + +서면 지정 후, 위 정보를 명시하여 **공문으로 신고**합니다. + +- 별도의 법정 서식은 없으나, 국내대리인 정보를 반드시 포함하여야 합니다. +- 과학기술정보통신부에서 제공하는 **"국내대리인 지정 확인서" 샘플**을 활용할 수 있습니다(REF-09 참조). + +[표 8-2: 국내대리인 지정 확인서 주요 기재사항] + +| 구분 | 기재 항목 | +|:---:|------| +| 대상자(해외사업자) | 법인명, 대표자명, 주소(본점 소재지), 전화번호, 사업자등록번호, 담당자 이메일 | +| 국내대리인 | 법인명, 대리인명(법인인 경우 대표자명), 주소, 전화번호, 사업자등록번호, 담당자 이메일 | +| 첨부서류 | 국내대리인 지정 여부를 확인할 수 있는 자료 | + +#### (3) 인터넷 공개 + +지정된 국내대리인의 정보(성명, 주소, 전화번호, 전자우편 주소)를 인터넷 사이트에 **공개**하여야 합니다. 이용자가 쉽게 접근할 수 있는 위치에 게시하는 것이 바람직합니다. + +--- + +### 8-3-3. 대리인 변경 및 해임 시 절차 + +국내대리인이 변경되거나 정보가 변경된 경우, **지체 없이** 수정하여 신고하여야 합니다. + +``` +┌──────────────────────────────────────────────────────┐ +│ 국내대리인 변경/해임 시 절차 │ +├──────────────────────────────────────────────────���───┤ +│ │ +│ 변경 사유 발생 │ +│ (대리인 교체, 주소 변경, 연락처 변경 등) │ +│ │ │ +│ ▼ │ +│ 새 대리인 서면 지정 (교체 시) │ +│ 또는 정보 수정 (정보 변경 시) │ +│ │ │ +│ ▼ │ +│ "재지정/정보변경 확인서" 작성 │ +│ (변경 사유 기재 포함) │ +│ │ │ +│ ▼ │ +│ 과학기술정보통신부에 지체 없이 신고 │ +│ │ │ +│ ▼ │ +│ 인터넷 사이트 공개 정보 즉시 수정 │ +│ │ +└─────────────��─────────────────────────────────��──────┘ +``` + +> **실무 TIP** +> "재지정/정보변경 확인서" 서식은 과학기술정보통신부에서 샘플을 제공합니다. 기존 지정 확인서와 동일한 구조이며, **재지정/정보변경 사유**를 추가 기재합니다. 대리인 해임 후 새 대리인을 지정하지 않으면 **미��정** 상태가 되어 과태료 부과 대상이 됩니다. + +--- + +### 핵심 ��약 + +> **핵심 요약** +> - 국내대리인은 국내에 주소/영업소가 있는 자연인 또는 법인이면 됩니다. 별도 자격 요건은 없습니다. +> - 서면 지정 → 과기정통부 공문 신고 → 인터넷 공개의 3단계로 진행합니다. +> - 별도 법정 서식은 없으나, 과기정통부 제공 샘플 확인서를 활용할 수 있습니다. +> - 변경/해임 시 지체 없이 수정 신고하여야 하며, 미지정 상태가 되면 과태료 대상입니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/42_8-4_\353\214\200\353\246\254\354\235\270_\354\227\255\355\225\240\352\263\274_\354\261\205\354\236\204.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/42_8-4_\353\214\200\353\246\254\354\235\270_\354\227\255\355\225\240\352\263\274_\354\261\205\354\236\204.md" new file mode 100644 index 0000000..d38a199 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/42_8-4_\353\214\200\353\246\254\354\235\270_\354\227\255\355\225\240\352\263\274_\354\261\205\354\236\204.md" @@ -0,0 +1,99 @@ +## 8-4. 대리인의 역할과 책임 + +### 8-4-1. 대리 업무 3가지 + +「��공지능기본법」 제36조제1항은 국내대리인이 수행하는 대리 업무를 세 가지로 명시합니다. + +> **법률 원문** | 제36조제1항 각호 +> 1. 제32조제2항에 따른 이행 결과의 제출 +> 2. 제33조제1항에 따른 고영향 인공지능 해당 여부 확인의 요청 +> 3. 제34조제1항 각 호에 따른 안전성/신뢰성 확보 조치의 이행에 필요한 지원(같은 항 제5호에 따른 문서의 최신성/정확성에 대한 점검을 포함한다) + +--- + +#### (1) 안전성 확보 조치 이행 결과 제출 (제32조제2항) + +학습에 사용된 누적 연산량이 대통령령 기준 이상인 인공지능시스템을 운영하는 해외 사업자를 대신하여, 안전성 확보 의무(위험 식별/평가/완화, 위험관리체계 구축) 이행 결과를 과학기술정보통신부장관에게 제출합니다. + +| 항목 | 내용 | +|:---:|------| +| 근거 조항 | 법 제32조제2항 | +| 대리 내용 | 안전성 확보 의무 이행 결과 제출 | +| 제출 대상 | 과학기술정보통신부장관 | + +--- + +#### (2) 고영향 인공지능 확인 요청 (제33조제1항) + +해외 사업자가 제공하는 AI가 고영향 인공지능(High-impact AI)에 해당하는지 여부의 확인을 과학기술정보통신부장관에게 요청합니다. 사업자는 사전에 자체 검토를 수행하되, 필요한 경우 이 요청을 국내대리인이 대리합니다. + +| 항목 | 내용 | +|:---:|------| +| 근거 조항 | 법 제33조제1항 | +| 대리 내용 | 고영향 AI 해당 여부 확인 요청 | +| 요청 대상 | 과학기술정보통신부��관 | + +--- + +#### (3) 사업자 책무 이행 지원 (제34조제1항) + +고영향 인공지능 관련 사업자 책무(위험관리, 설명가능성, 이용자 보호, 인간 감독, 문서 작성/보관 등)의 이행에 필요한 지원을 수행합니다. 특히, **안전신뢰문서의 최신성 및 정확성에 대한 점검**이 포함됩니다. + +| 항목 | 내용 | +|:---:|------| +| 근거 조항 | 법 제34조제1항 각호 | +| 대리 내용 | 6대 책무 이행 지원 + 문서 점검 | +| 주요 포함 사항 | 위험관리방안, 설명가능성, 이용자 보호, 인간 관리/감독, 안전신뢰문서 작성/보관, 위원회 심의 사항 | + +``` +┌──────────────────────────────────────────────────────┐ +│ 국내대리인의 대리 업무 3가지 │ +├──────────────────────────────────────────────────────┤ +│ │ +│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ +│ │ 업무 1 │ │ 업무 2 │ │ 업무 3 │ │ +│ │ │ │ │ │ │ │ +│ │ 안전성 확보 │ │ 고영향 AI │ │ 사업자 책무 │ �� +│ │ 이행 결과 │ │ 확인 요청 │ │ 이행 지원 │ │ +│ │ 제출 │ │ │ │ + 문서 점검 │ │ +│ │ │ │ │ │ │ │ +│ │ (제32조) │ │ (제33조) │ │ (제34조) │ │ +│ └─────────────┘ └─────────────┘ └─────────────┘ │ +│ │ +│ → 모두 과학기술정보통신부장관에게 제출/요청 │ +│ │ +└──────────────────────────────────────────────────────┘ +``` + +> **실무 TIP** +> 국내대리인의 역할은 단순한 연락 창구가 아닙니다. 안전성 이행 결과 제출, 고영향 확인 요청, 문서 점검 등 **실질적인 규제 대응 업무**를 수행합니다. 따라서 AI 규제에 대한 전문 역량을 갖춘 자를 지정하는 것이 중요합니다. + +--- + +### 8-4-2. 법적 책임 + +「인공지능기본법」 제36조제3항은 국내대리인의 법 위반에 대한 책임 귀속을 명확히 합니다. + +> **법률 원문** | 제36조제3항 +> ③ 국내대리인이 제1항 각 호와 관련하여 이 법을 위반한 경우에는 해당 국내대리인을 지정한 인공지능사업자가 그 행위를 한 것으로 본다. + +이 규정의 핵심 포인트는 다음과 같습니다. + +| 항목 | 내용 | +|:---:|------| +| 책임 귀속 | 대리인 위반 → **해외 사업자에게 귀속** | +| 적용 범위 | 제36조제1항 각호 관련 사항에 한정 | +| 효과 | 해외 사업자가 직접 위반한 것으로 간주 | + +> **주의** +> 국내대리인이 법을 위반하더라도 책임은 해외 사업자에게 돌아갑니다. 이는 해외 사업자가 국내대리인의 업무 수행을 면밀히 관리해야 할 이유입니다. SLA(Service Level Agreement, 서비스 수준 협약) 등을 통해 대리인의 의무 이행을 구체적으로 약정해 두는 것이 바람직합니다. + +--- + +### 핵심 요약 + +> **핵심 요약** +> - 국내대리인은 (1) 안전성 이행 결과 제출, (2) 고영향 AI 확인 요청, (3) 사업자 책무 이행 지원의 세 가지 업무를 수행합니다. +> - 단순 연락 창구가 아니라 실질적 규제 대응 업무를 수행하므로 전문 역량이 필요합니다. +> - 대리인이 법을 위반하면 **지정한 해외 사업자에게 책임이 귀속**됩니다. +> - SLA 등을 통해 대리인과의 책임 범위를 사전에 명확히 약정하는 것이 중요합니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/43_8-5_\353\257\270\354\247\200\354\240\225\354\213\234_\354\240\234\354\236\254.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/43_8-5_\353\257\270\354\247\200\354\240\225\354\213\234_\354\240\234\354\236\254.md" new file mode 100644 index 0000000..b161e16 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/43_8-5_\353\257\270\354\247\200\354\240\225\354\213\234_\354\240\234\354\236\254.md" @@ -0,0 +1,127 @@ +## 8-5. 미지정 시 제재 + +### 8-5-1. 과태료 기준 + +국내대리인을 지정하지 않은 경우, 「인공지능기본법」 제43조제1항제2호에 따라 **3,000만원 이하의 과태료**가 부과됩니다. 시행령 별표2에 따른 구체적 부과 기준은 다음과 같습니다. + +[표 8-3: 국내대리인 미지정 시 과태료 부과 기준] + +| 위반 횟수 | 1차 위반 | 2차 위반 | 3차 이상 위반 | +|:---:|:---:|:---:|:---:| +| 과태료 금액 | **2,000만원** | **2,000만원** | **2,000만원** | + +> **주의** +> 투명성 위반(고지 미이행)이나 시정명령 불이행과 달리, 국내대리인 미지정은 **1차부터 3차 이상까지 동일하게 2,000만원**이 부과됩니다. 위반 횟수에 따른 감경 효과가 없으므로 조기 대응이 중요합니다. + +--- + +#### 과태료 감경/가중 기준 + +시행령 별표2의 일반기준에 따라 과태료 금액이 조정될 수 있습니다. + +**감경 사유 (1/2 범위에서 감경 가능)** + +| 순번 | 감경 사유 | +|:---:|------| +| 1 | 중소기업, 벤처기업, 소상공인에 해당하는 경우 | +| 2 | 사소한 부주의나 오류로 인한 위반인 경우 | +| 3 | 법 위반 상태를 시정/해소하기 위하여 노력한 것이 인정되는 경우 | +| 4 | 그 밖에 위반의 종류, 정도, 동기, 결과 등을 고려하여 줄일 필요가 있는 경우 | + +**가중 사유 (1/2 범위에서 가중 가능, 법정 상한 3,000만원 초과 불가)** + +| 순번 | 가중 사유 | +|:---:|------| +| 1 | 위반의 내용/정도가 중대하여 AI 산업 및 이용자 피해가 큰 경우 | +| 2 | 법 위반 상태의 기간이 6개월 이상인 경우 | +| 3 | 그 밖에 위반의 정도, 동기, 결과 등을 고려하여 늘릴 필요가 있는 경우 | + +> **주의** +> 과태료를 체납하고 있는 위반행위자에 대해서는 감경이 적용되지 않습니다. + +--- + +#### 유예기간 현황 + +현재(2026년 4월 기준) 국내대리인 미지정에 대해서는 **유예기간이 운영**되고 있습니다. 유예기간 중에는 사실조사가 유예되며, 기업들이 준비할 시간을 확보할 수 있습니다. 다만, 유예기간 종료 시점에 대비하여 사전 준비가 필요합니다. + +> **실무 TIP** +> 유예기간의 연장 여부는 기술 발전 속도, 글로벌 규제 추세 등을 고려하여 이해관계자 의견 수렴을 통해 결정될 예정입니다. 유예기간이 끝나면 즉시 과태료 부과 대상이 되므로, 미리 대리인 선정과 신고 절차를 완료해 두는 것이 안전합니다. + +--- + +### 8-5-2. 실무 대응 방안 + +해외 인공지능사업자가 국내대리인 지정 의무에 효과적으로 대응하기 위한 실무 방안을 정리합니다. + +#### (1) 대상 해당 여부 자가진단 + +먼저 시행령 제29조의 네 가지 기준에 해당하는지 확인합니다. + +``` +┌──────────────────────────────────────────────────────┐ +│ 국내대리인 지정 필요 여부 자가진단 │ +├──────────────────────────────────────────────────────┤ +│ │ +│ Q1. 국내에 주소/영업소가 있습니까? │ +│ │ │ +│ ├── YES → 국내대리인 지정 불요 │ +│ │ (단, 실질적 의무 이행 가능한 경우) │ +│ │ │ +│ └── NO → Q2로 이동 │ +│ │ +│ Q2. 아래 기준 중 하나라도 해당합니까? │ +│ ■ 전체 매출 1조원 이상 │ +│ ■ AI 서비스 매출 100억원 이상 │ +│ ■ 국내 이용자 일평균 100만명 이상 │ +│ ■ 시정명령 불이행 과태료 이력 있음 │ +│ │ │ +│ ├── YES → 국내대리인 지정 의무 발생 │ +│ │ │ +│ └── NO → 현재 지정 의무 없음 │ +│ (단, 매년 기준 재확인 필요) │ +│ │ +└──────────────────────────────────────────────────────┘ +``` + +#### (2) 대리인 선정 시 고려 사항 + +| 고려 항목 | 설명 | +|:---:|------| +| AI 규제 전문성 | 인공지능기본법 및 관련 가이드라인에 대한 이해도 | +| 규제기관 대응 경험 | 과기정통부 등 규제기관과의 소통 경험 | +| 언어 역량 | 한국어 및 본사와의 소통을 위한 외국어 역량 | +| 문서 관리 역량 | 안전신뢰문서 점검, 이행 결과 제출 등의 실무 역량 | +| 지속 가능성 | 장기적 파트너십 가능 여부 | + +#### (3) 지정 후 관리 체계 + +- 본사 ↔ 국내대리인 간 **SLA 또는 서비스 계약**을 체결합니다. +- 정기적으로 이행 상황을 점검하고 보고 체계를 마련합니다. +- 법령 변경 시 대응 절차를 사전에 약정합니다. +- 대리인 변경이 필요한 경우를 대비한 **비상 계획**을 수립합니다. + +--- + +### 핵심 요약 + +> **핵심 요약** +> - 국내대리인 미지정 시 1~3차 모두 **2,000만원의 과태료**가 부과됩니다. +> - 감경/가중 사유에 따라 1/2 범위에서 조정 가능하나, 법정 상한(3,000만원)은 넘을 수 없습니다. +> - 현재 유예기간 운영 중이나, 종료에 대비한 사전 준비가 필수입니다. +> - 대리인 선정 시 AI 규제 전문성, 규제기관 대응 경험, 문서 관리 역량을 종합적으로 검토하여야 합니다. + +--- + +## 8장 체크리스트: 해외사업자 국내대리인 지정 + +- [ ] 국내에 주소 또는 영업소가 없는 해외 인공지능사업자에 해당하는지 확인 +- [ ] 시행령 제29조의 네 가지 기준(매출 1조, AI 매출 100억, 이용자 100만, 과태료 이력) 중 하나라도 해당하는지 확인 +- [ ] 국내에 주소/영업소를 보유한 적격 대리인 후보 선정 +- [ ] 대리인의 AI 규제 전문성, 규제기관 대응 역량 검토 +- [ ] 대리인과 SLA/서비스 계약 체결 (업무 범위, 보고 체계, 책임 범위 명시) +- [ ] 국내대리인 서면 지정서 작성 +- [ ] 과학기술정보통신부장관에게 공문으로 신고 완료 +- [ ] 인터넷 사이트에 대리인 정보(성명, 주소, 전화번호, 이메일) 공개 +- [ ] 대리인 변경/해임 시 지체 없이 수정 신고 절차 확인 +- [ ] 정기적 이행 상황 점검 체계 마련 diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/44_9-1_\354\240\234\354\236\254_\354\262\264\352\263\204_\354\264\235\354\240\225\353\246\254.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/44_9-1_\354\240\234\354\236\254_\354\262\264\352\263\204_\354\264\235\354\240\225\353\246\254.md" new file mode 100644 index 0000000..b54c0f3 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/44_9-1_\354\240\234\354\236\254_\354\262\264\352\263\204_\354\264\235\354\240\225\353\246\254.md" @@ -0,0 +1,127 @@ +# 9장. 위반 시 제재 및 대응 전략 + +## 9-1. 제재 체계 총정리 + +「인공지능기본법」은 의무 위반에 대한 제재 수단으로 **과태료**, **시정명령**, **벌칙(징역/벌금)**을 두고 있습니다. 이 절에서는 각 제재의 구분, 위반 시 프로세스, 과태료 부과 기준을 총정리합니다. + +--- + +### 9-1-1. 과태료/시정명령/벌칙 구분 + +[표 9-1: 인공지능기본법 제재 체계 구분] + +| 제재 유형 | 근거 조항 | 대상 행위 | 제재 수준 | +|:---:|:---:|------|------| +| **벌칙** (형사) | 제42조 | 직무상 비밀 누설/목적 외 사용 | 3년 이하 징역 또는 3,000만원 이하 벌금 | +| **과태료** (행정) | 제43조제1항제1호 | 투명성 확보 의무 위반 (고지 미이행) | 3,000만원 이하 | +| **과태료** (행정) | 제43조제1항제2호 | 국내대리인 미지정 | 3,000만원 이하 | +| **과태료** (행정) | 제43조제1항제3호 | 시정명령 불이행 | 3,000만원 이하 | +| **시정명령** | 제40조제3항 | 법 위반 사실 확인 시 | 위반행위 중지/시정 조치 명령 | +| **사실조사** | 제40조제1항 | 법 위반 발견/신고 접수 시 | 자료 제출, 사업장 조사 | + +> **실무 TIP** +> 현행 「인공지능기본법」은 과징금(매출액 비례 부과) 조항을 별도로 두고 있지 않습니다. 벌칙은 제42조의 비밀누설에 한정되며, 나머지 의무 위반은 과태료 + 시정명령 체계로 운영됩니다. + +--- + +### 9-1-2. 의무 위반 시 주요 프로세스 + +[그림 9-1: 의무 위반 시 주요 프로세스] + +위반 인지부터 제재 부과까지의 절차를 정리하면 다음과 같습니다. 위반 유형에 따라 두 가지 경로로 나뉩니다. + +``` +┌──────────────────────────────────────────────────────────────┐ +│ 의무 위반 시 주요 프로세스 [그림 9-1] │ +├──────────────────────────────────────────────────────────────┤ +│ │ +│ ┌────────────┐ ┌─────────────┐ │ +│ │ 위반 사항 │ │ 신고 접수 │ │ +│ │ 발견 │ │ │ │ +│ └─────┬──────┘ └──────┬──────┘ │ +│ └──────┬────────────┘ │ +│ ▼ │ +│ ┌─────────────────────┐ │ +│ │ 사실조사 │ ← 제40조제1항 │ +│ │ (자료 제출 요구, │ (현재 유예 중) │ +│ │ 사업장 출입 조사) │ │ +│ └─────────┬───────────┘ │ +│ ▼ │ +│ ┌──────────────────────────────────────────┐ │ +│ │ 위반 유형에 따라 분기 │ │ +│ ├────────────────────┬─────────────────────┤ │ +│ │ │ │ │ +│ ▼ ▼ │ │ +│ 경로 A 경로 B │ │ +│ (직접 과태료) (시정명령 선행) │ │ +│ │ │ +│ ■ 투명성 고지 ■ 안전성 위반 │ │ +│ 미이행(제31조) ■ 고영향 확인 위반 │ │ +│ ■ 국내대리인 ■ 사업자 책무 위반 │ │ +│ 미지정(제36조) │ │ +│ │ │ │ │ +│ ▼ ▼ │ │ +│ ┌──────────┐ ┌──────────────┐ │ │ +│ │ 과태료 │ │ 시정명령 │ ← 제40조제3항 │ +│ │ 즉시 부과│ │ (중지/시정) │ │ +│ │ (제43조) │ └──────┬───────┘ │ +│ └──────────┘ │ │ +│ ▼ │ +│ ┌──────────────┐ │ +│ │ 시정명령 │ │ +│ │ 이행 여부 │ │ +│ ├──────┬───────┤ │ +│ │이행 │불이행 │ │ +│ ▼ ▼ │ │ +│ 종결 과태료 │ │ +│ (제43조 │ │ +│ 제1항제3호)│ │ +│ │ +└──────────────────────────────────────────────────────────────┘ +``` + +> **주의** +> **경로 A**(직접 과태료): 투명성 고지 미이행과 국내대리인 미지정은 시정명령 없이 **곧바로 과태료**가 부과됩니다. +> **경로 B**(시정명령 선행): 그 외 법 위반 사항은 먼저 시정명령이 내려지고, 이를 이행하지 않은 경우에 과태료가 부과됩니다. + +--- + +### 9-1-3. 과태료 부과 기준 (시행령 별표) + +시행령 별표2에 따른 과태료 개별기준을 정리합니다. + +[표 9-2: 과태료 부과 개별기준] + +| 위반행위 | 근거 법조문 | 1차 위반 | 2차 위반 | 3차 이상 | +|------|:---:|:---:|:---:|:---:| +| 가. 투명성 고지 미이행 (제31조제1항) | 제43조제1항제1호 | 1,000만원 | 1,500만원 | 2,000만원 | +| 나. 국내대리인 미지정 (제36조제1항) | 제43조제1항제2호 | 2,000만원 | 2,000만원 | 2,000만원 | +| 다. 시정명령 불이행 (제40조제3항) | 제43조제1항제3호 | 1,000만원 | 2,000만원 | 3,000만원 | + +#### 일반기준 --- 가중/감경 + +**위반 횟수 산정**: 최근 **2년간** 같은 위반행위로 과태료 부과처분을 받은 경우에 적용합니다. + +| 구분 | 조정 범위 | 주요 사유 | +|:---:|:---:|------| +| **감경** | 1/2까지 감경 | 중소기업/벤처기업/소상공인, 부주의에 의한 위반, 시정 노력 인정 | +| **가중** | 1/2까지 가중 | 위반 내용이 중대, 위반 상태 6개월 이상 지속 | +| **감경 제외** | --- | 과태료 체납 중인 자 | +| **가중 상한** | --- | 법정 상한(3,000만원) 초과 불가 | + +> **법률 원문** | 제43조(과태료) +> ① 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다. +> 1. 제31조제1항을 위반하여 고지를 이행하지 아니한 자 +> 2. 제36조제1항을 위반하여 국내대리인을 지정하지 아니한 자 +> 3. 제40조제3항에 따른 중지명령이나 시정명령을 이행하지 아니한 자 +> ② 제1항에 따른 과태료는 대통령령으로 정하는 바에 따라 과학기술정보통신부장관이 부과/징수한다. + +--- + +### 핵심 요약 + +> **핵심 요약** +> - 「인공지능기본법」의 제재 수단은 벌칙(비밀누설), 과태료(최대 3,000만원), 시정명령의 세 가지입니다. +> - 투명성 고지 미이행과 국내대리인 미지정은 **시정명령 없이 직접 과태료**가 부과됩니다. +> - 과태료 위반 횟수는 최근 2년간 동일 위반 이력으로 산정합니다. +> - 중소기업 등은 1/2 범위 감경이 가능하나, 과태료 체납자는 감경 대상에서 제외됩니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/45_9-2_\354\241\260\355\225\255\353\263\204_\354\234\204\353\260\230_\354\213\234\353\202\230\353\246\254\354\230\244.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/45_9-2_\354\241\260\355\225\255\353\263\204_\354\234\204\353\260\230_\354\213\234\353\202\230\353\246\254\354\230\244.md" new file mode 100644 index 0000000..bfe491b --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/45_9-2_\354\241\260\355\225\255\353\263\204_\354\234\204\353\260\230_\354\213\234\353\202\230\353\246\254\354\230\244.md" @@ -0,0 +1,152 @@ +## 9-2. 조항별 위반 시나리오와 제재 수준 + +이 절에서는 「인공지능기본법」의 주요 의무 조항별로 위반 시나리오, 적용 제재, 실무 대응 포인트를 정리합니다. + +--- + +### 9-2-1. 투명성 위반 (제31조) + +#### 위반 유형 + +| 위반 행위 | 근거 조항 | 제재 경로 | +|------|:---:|:---:| +| 고영향/생성형 AI 기반 사실 사전고지 미이행 | 제31조제1항 | **직접 과태료** | +| AI 생성물 표시 미이행 | 제31조제2항 | 시정명령 → 불이행 시 과태료 | +| 실제와 구분 어려운 결과물의 고지/표시 미이행 | 제31조제3항 | 시정명령 → 불이행 시 과태료 | + +#### 과태료 기준 (사전고지 미이행 시) + +| 1차 위반 | 2차 위반 | 3차 이상 | +|:---:|:---:|:---:| +| 1,000만원 | 1,500만원 | 2,000만원 | + +> **실무 TIP** +> 제31조제1항의 "사전고지" 미이행은 직접 과태료 대상입니다. 반면, 제31조제2항/제3항의 표시 의무 위반은 사실조사 후 시정명령 경로를 거칩니다. 가장 기본적인 의무인 "AI 기반 사실 고지"를 누락하지 않도록 주의하여야 합니다. + +> **사례** +> Q: 생성형 AI 챗봇을 운영하면서 "이 서비스는 AI 기반입니다"라는 사전고지를 누락한 경우? +> A: 법 제31조제1항 위반으로 직접 과태료(1차 1,000만원) 부과 대상입니다. 유예기간 중이라면 즉시 시정하여 유예기간 종료 전에 고지 체계를 완비하여야 합니다. + +--- + +### 9-2-2. 안전성 위반 (제32조) + +#### 위반 유형 + +| 위반 행위 | 근거 조항 | 제재 경로 | +|------|:---:|:---:| +| 위험 식별/평가/완화 미이행 | 제32조제1항제1호 | 시정명령 → 불이행 시 과태료 | +| 위험관리체계 미구축 | 제32조제1항제2호 | 시정명령 → 불이행 시 과태료 | +| 이행 결과 미제출 | 제32조제2항 | 시정명령 → 불이행 시 과태료 | + +#### 제재 흐름 + +``` +안전성 의무 위반 발견/신고 + │ + ▼ + 사실조사 (제40조) + │ + ▼ + 위반 사실 확인 + │ + ▼ + 시정명령 (제40조제3항) + "위험관리체계를 구축하시오" + │ + ├── 이행 → 종결 + │ + └── 불이행 → 과태료 (1차 1,000만원 ~ 3차 3,000만원) +``` + +> **실무 TIP** +> 안전성 확보 의무는 학습에 사용된 누적 연산량이 대통령령 기준 이상인 시스템에 적용됩니다(4장 참조). 이 기준에 해당하는 사업자는 위험관리체계를 먼저 구축하고, 이행 결과를 과기정통부에 제출하여야 합니다. + +--- + +### 9-2-3. 고영향 확인 위반 (제33조) + +#### 위반 유형 + +| 위반 행위 | 근거 조항 | 제재 경로 | +|------|:---:|:---:| +| 고영향 AI 해당 여부 사전검토 미이행 | 제33조제1항 | 시정명령 → 불이행 시 과태료 | + +> **주의** +> 제33조는 사업자에게 고영향 AI 해당 여부를 "사전에 검토"할 의무를 부과합니다. 합리적 근거 없이 고영향 AI 해당 여부를 부실하게 판단하면 향후 제재 리스크가 발생할 수 있습니다. 가이드라인에 따른 검토 과정을 **문서화**해 두는 것이 권장됩니다(5장 참조). + +--- + +### 9-2-4. 사업자 책무 위반 (제34조) + +#### 위반 유형 + +고영향 인공지능 관련 사업자 책무 6가지 중 하나라도 미이행하면 위반에 해당합니다. + +| 순번 | 사업자 책무 | 근거 | +|:---:|------|:---:| +| 1 | 위험관리방안 수립/운영 | 제34조제1항제1호 | +| 2 | 설명가능성(Explainability) 수립/시행 | 제34조제1항제2호 | +| 3 | 이용자 보호 방안 수립/운영 | 제34조제1항제3호 | +| 4 | 사람의 관리/감독 | 제34조제1항제4호 | +| 5 | 안전신뢰문서 작성/보관 | 제34조제1항제5호 | +| 6 | 위원회 심의/의결 사항 이행 | 제34조제1항제6호 | + +#### 제재 경로 + +모두 **시정명령 → 불이행 시 과태료** 경로를 거칩니다. + +> **실무 TIP** +> 사업자 책무 중 특히 **안전신뢰문서 작성/보관**(제5호)은 다른 책무의 이행을 증명하는 근거가 됩니다. 문서가 없으면 다른 책무의 이행도 입증하기 어렵습니다. 문서 관리 체계를 우선적으로 구축하여야 합니다(6장 참조). + +--- + +### 9-2-5. 국내대리인 미지정 (제36조) + +국내대리인 미지정에 관한 제재 내용은 8-5절에서 상세히 다루었습니다. 핵심 사항을 요약합니다. + +| 항목 | 내용 | +|:---:|------| +| 제재 경로 | **직접 과태료** (시정명령 없이 즉시) | +| 과태료 | 1~3차 모두 **2,000만원** | +| 특징 | 위반 횟수와 관계없이 동일 금액 적용 | + +> 상세 내용은 **8-5절**을 참조하십시오. + +--- + +### 9-2-6. 최대 제재 + +「인공지능기본법」상 최대 제재 수준을 정리합니다. + +| 제재 유형 | 최대 수준 | 대상 | +|:---:|:---:|------| +| 벌칙 | 3년 이하 징역 / 3,000만원 이하 벌금 | 직무상 비밀 누설 (제42조) | +| 과태료 | **3,000만원** (법정 상한) | 시정명령 불이행 3차 이상 (제43조) | +| 시정명령 | 위반행위 중지 + 시정 조치 | 사실조사 결과 위반 확인 시 (제40조) | + +#### 조항별 위반/제재/대응 종합 매트릭스 + +[표 9-3: 조항별 위반/제재/대응 매트릭스] + +| 의무 조항 | 위반 행위 | 제재 경로 | 과태료 범위 | 대응 우선순위 | +|:---:|------|:---:|:---:|:---:| +| 제31조 (투명성) | 사전고지 미이행 | 직접 과태료 | 1,000~2,000만원 | **최우선** | +| 제32조 (안전성) | 이행 결과 미제출 | 시정명령→과태료 | 1,000~3,000만원 | 높음 | +| 제33조 (고영향 확인) | 사전검토 미이행 | 시정명령→과태료 | 1,000~3,000만원 | 높음 | +| 제34조 (사업자 책무) | 6대 조치 미이행 | 시정명령→과태료 | 1,000~3,000만원 | 높음 | +| 제36조 (국내대리인) | 미지정 | 직접 과태료 | 2,000만원 고정 | **최우선** | +| 제40조 (시정명령) | 시정명령 불이행 | 직접 과태료 | 1,000~3,000만원 | **긴급** | + +> **주의** +> "직접 과태료" 대상인 **투명성 사전고지 미이행**과 **국내대리인 미지정**은 시정 기회 없이 바로 과태료가 부과되므로 **최우선 대응** 항목입니다. 유예기간 중에 반드시 이행을 완료하여야 합니다. + +--- + +### 핵심 요약 + +> **핵심 요약** +> - 투명성 사전고지 미이행(제31조)과 국내대리인 미지정(제36조)은 **시정명령 없이 직접 과태료**가 부과됩니다. +> - 안전성, 고영향 확인, 사업자 책무 위반은 **시정명령 → 불이행 시 과태료** 순서입니다. +> - 시정명령 불이행의 과태료는 3차 이상 **3,000만원(법정 상한)**까지 올라갑니다. +> - **투명성 고지**와 **국내대리인 지정**을 최우선으로 점검하고, 안전신뢰문서 작성을 통해 다른 의무 이행을 체계적으로 증명하여야 합니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/46_9-3_\354\230\210\353\260\251\354\240\201_\354\273\264\355\224\214\353\235\274\354\235\264\354\226\270\354\212\244.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/46_9-3_\354\230\210\353\260\251\354\240\201_\354\273\264\355\224\214\353\235\274\354\235\264\354\226\270\354\212\244.md" new file mode 100644 index 0000000..334df2c --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/46_9-3_\354\230\210\353\260\251\354\240\201_\354\273\264\355\224\214\353\235\274\354\235\264\354\226\270\354\212\244.md" @@ -0,0 +1,139 @@ +## 9-3. 예방적 컴플라이언스 체계 구축 + +제재를 받은 후에 대응하는 것보다, 사전에 **예방적 컴플라이언스(Preventive Compliance)** 체계를 구축하는 것이 비용과 리스크 면에서 훨씬 효율적입니다. 이 절에서는 인공지능사업자가 구축할 수 있는 예방 체계를 네 가지 영역으로 정리합니다. + +--- + +### 9-3-1. 내부 AI 거버넌스(Governance) 조직 구성 + +AI 관련 법적 의무 이행을 총괄하는 내부 조직을 구성합니다. + +#### 권장 조직 구조 + +``` +┌──────────────────────────────────────────────────────┐ +│ AI 거버넌스 조직 구조 (예시) │ +├──────────────────────────────────────────────────────┤ +│ │ +│ ┌───────────────────┐ │ +│ │ 경영진/이사회 │ │ +│ │ (최종 책임) │ │ +│ └────────┬──────────┘ │ +│ │ │ +│ ┌────────▼──────────┐ │ +│ │ AI 거버넌스 위원회│ │ +│ │ (의사결정) │ │ +│ └────────┬──────────┘ │ +│ │ │ +│ ┌─────────────┼─────────────┐ │ +│ ▼ ▼ ▼ │ +│ ┌─────────┐ ┌─────────┐ ┌─────────┐ │ +│ │ 법무/ │ │ 기술/ │ │ 사업/ │ │ +│ │ 컴플라 │ │ 개발 │ │ 서비스 │ │ +│ │ 이언스 │ │ 부서 │ │ 부서 │ │ +│ └─────────┘ └─────────┘ └─────────┘ │ +│ │ +│ 역할: │ +│ ■ 법무: 규제 모니터링, 의무 해석, 과기정통부 대응 │ +│ ■ 기술: 안전성 확보 조치, 위험관리체계 운영 │ +│ ■ 사업: 투명성 고지 이행, 이용자 보호 방안 운영 │ +│ │ +└──────────────────────────────────────────────────────┘ +``` + +> **실무 TIP** +> 중소기업의 경우 별도 위원회를 두기 어려울 수 있습니다. 이 경우 **AI 컴플라이언스 담당자**를 1인 이상 지정하고, 정기적으로 외부 전문가 자문을 받는 방식으로 운영할 수 있습니다. + +--- + +### 9-3-2. 정기 자가점검 체계 운영 + +정기적으로 법적 의무 이행 상태를 자체 점검합니다. + +#### 자가점검 주기 및 항목 + +| 점검 주기 | 점검 항목 | +|:---:|------| +| **월간** | 투명성 고지/표시 이행 현황, AI 생성물 표시 누락 여부 | +| **분기** | 안전성 확보 조치 이행 현황, 위험관리체계 운영 상태 | +| **반기** | 고영향 AI 해당 여부 재검토, 사업자 책무 이행 점검 | +| **연간** | 전체 의무 이행 종합 점검, 내부 규정 개정 필요 여부, 교육 실적 | + +#### 자가점검 프로세스 + +``` +┌──────────────────────────────────────────────────────┐ +│ 정기 자가점검 프로세스 │ +├──────────────────────────────────────────────────────┤ +│ │ +│ 1단계: 점검 계획 수립 │ +│ (점검 범위, 일정, 담당자 지정) │ +│ │ │ +│ ▼ │ +│ 2단계: 체크리스트 기반 점검 실행 │ +│ (각 의무 조항별 이행 현황 확인) │ +│ │ │ +│ ▼ │ +│ 3단계: 미비 사항 식별 및 보고 │ +│ (위반 가능 항목 목록화) │ +│ │ │ +│ ▼ │ +│ 4단계: 시정 조치 이행 │ +│ (기한 설정, 담당자 배정) │ +│ │ │ +│ ▼ │ +│ 5단계: 결과 기록 및 경영진 보고 │ +│ (점검 보고서 작성/보관) │ +│ │ +└──────────────────────────────────────────────────────┘ +``` + +> **실무 TIP** +> 자가점검 결과를 문서화하여 보관하면, 과태료 감경 사유인 "법 위반 상태를 시정/해소하기 위하여 노력한 것이 인정되는 경우"에 해당하는 증거가 될 수 있습니다. 점검 기록은 최소 3년 이상 보관하는 것을 권장합니다. + +--- + +### 9-3-3. 임직원 교육 및 인식 제고 + +AI 관련 의무는 법무팀만의 업무가 아닙니다. AI를 개발하고 서비스에 활용하는 모든 임직원이 기본적인 법적 의무를 이해하여야 합니다. + +#### 교육 체계 + +| 대상 | 교육 내용 | 주기 | +|:---:|------|:---:| +| 경영진 | AI 규제 동향, 제재 리스크, 거버넌스 책임 | 반기 | +| AI 개발자 | 안전성 확보 의무, 위험관리체계, 문서 작성 | 분기 | +| 서비스 기획자 | 투명성 고지/표시 의무, 고영향 AI 판단 | 분기 | +| 법무/컴플라이언스 | 법령 개정 사항, 과태료 기준, 행정처분 대응 | 월간 | +| 전 임직원 | 인공지능기본법 개요, AI 윤리원칙 | 연간 | + +> **실무 TIP** +> 「인공지능기본법」 제28조는 민간자율인공지능윤리위원회 설치를 허용하고 있으며, 동 위원회의 업무에 "종사자에 대한 윤리원칙 교육"이 포함됩니다. 자체 교육 체계가 어려운 경우, 인공지능기본법 지원데스크나 AI 관련 협회의 교육 프로그램을 활용할 수 있습니다. + +--- + +### 9-3-4. 외부 전문가 활용 방안 + +내부 역량만으로 모든 의무를 이행하기 어려운 경우, 외부 전문가를 적극 활용합니다. + +| 활용 영역 | 외부 전문가 유형 | 활용 방법 | +|:---:|------|------| +| 법률 자문 | 법무법인 (AI/IT 전문) | 규제 해석, 이의신청, 행정소송 대리 | +| 기술 자문 | AI 안전성 컨설팅 기관 | 위험관리체계 설계, 안전성 검/인증 | +| 고영향 판단 | 인공지능기본법 지원데스크 | 고영향 AI 해당 여부 상담 (무료) | +| 교육 | AI 관련 협회, 교육기관 | 임직원 교육 프로그램 위탁 | +| 검/인증 | 민간 검/인증 기관 | 자율 검/��증 취득 (법 제30조) | + +> **실무 TIP** +> 과학기술정보통신부는 「인공지능기본법 지원데스크」를 운영하고 있습니다. 법 시행 이후 2개월간 513건의 문의가 접수되었으며(2026.3.21. 기준), 의무 적용 여부, 이행 방법 등에 대한 무료 상담을 받을 수 있습니다. 자사 서비스의 의무 해당 여부가 불분명한 경우 적극 활용하는 것을 권장합니다. + +--- + +### 핵심 요약 + +> **핵심 요약** +> - 사후 대응보다 **사전 예방**이 비용과 리스크 면에서 효율적입니다. +> - **AI 거버넌스 조직**을 구성하여 법무, 기술, 사업 부서의 역할을 명확히 하여야 합니다. +> - **정기 자가점검**(월간/분기/반기/연간)을 체계적으로 운영하고, 결과를 문서화하여야 합니다. +> - **임직원 교육**은 대상별로 차별화하여 실시하고, 전 임직원에게 최소 연 1회 기본 교육을 실시합니다. +> - 내부 역량 부족 시 **외부 전문가**와 인공지능기본법 지원데스크를 적극 활용합니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/47_9-4_\354\234\204\353\260\230\354\213\234_\353\214\200\354\235\221_\355\224\204\353\241\234\354\204\270\354\212\244.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/47_9-4_\354\234\204\353\260\230\354\213\234_\353\214\200\354\235\221_\355\224\204\353\241\234\354\204\270\354\212\244.md" new file mode 100644 index 0000000..f2a9b8f --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/47_9-4_\354\234\204\353\260\230\354\213\234_\353\214\200\354\235\221_\355\224\204\353\241\234\354\204\270\354\212\244.md" @@ -0,0 +1,175 @@ +## 9-4. 위반 발견 시 대응 프로세스 + +예방 체계를 갖추더라도 위반이 발생할 수 있습니다. 이 절에서는 위반을 발견한 후의 대응 절차를 **자진 시정**, **행정처분 대응**, **이의신청/행정소송**의 세 단계로 정리합니다. + +--- + +### 9-4-1. 자진 시정 절차 + +자체 점검이나 외부 지적을 통해 위반 사실을 발견한 경우, 규제기관의 조사가 시작되기 전에 자진 시정하는 것이 가장 유리한 대응입니다. + +``` +┌──────────────────────────────────────────────────────┐ +│ 자진 시정 프로세스 │ +├──────────────────────────────────────────────────────┤ +│ │ +│ 1단계: 위반 사실 확인 │ +│ (내부 점검, 외부 지적 등으로 인지) │ +│ │ │ +│ ▼ │ +│ 2단계: 위반 범위 및 영향 평가 │ +│ (어떤 조항, 어떤 서비스, 영향 범위) │ +│ │ │ +│ ▼ │ +│ 3단계: 즉시 시정 조치 이행 │ +│ ■ 투명성: 고지/표시 즉시 적용 │ +│ ■ 안전성: 위험관리체계 보완 │ +│ ■ 문서: 안전신뢰문서 작성/갱신 │ +│ ■ 국내대리인: 즉시 지정/신고 │ +│ │ │ +│ ▼ │ +│ 4단계: 시정 결과 문서화 │ +│ (시정 일시, 조치 내용, 담당자 기록) │ +│ │ │ +│ ▼ │ +│ 5단계: 재발 방지 대책 수립 │ +│ (프로세스 개선, 교육 강화 등) │ +│ │ +└──────────────────────────────────────────────────────┘ +``` + +> **실무 TIP** +> 자진 시정 노력이 문서화되어 있으면 과태료 감경 사유("위반행위자가 법 위반 상태를 시정하거나 해소하기 위하여 노력한 것이 인정되는 경우")에 해당할 수 있습니다. 시정 조치의 일시, 내용, 담당자를 반드시 기록하여야 합니다. + +--- + +### 9-4-2. 행정처분 대응 방법 + +과학기술정보통신부장관으로부터 사실조사 통보나 시정명령을 받은 경우의 대응 절차를 정리합니다. + +#### (1) 사실조사 단계 (제40조제1항/제2항) + +| 절차 | 대응 방법 | +|:---:|------| +| 자료 제출 요구 | 요구된 자료를 기한 내에 성실히 제출. 제출 범위가 불명확한 경우 규제기관에 확인 요청 | +| 사업장 출입 조사 | 「행정조사기본법」 절차에 따라 진행. 조사 일시/범위 사전 통보 확인 | +| 의견 진술 기회 | 사업자의 입장과 소명 자료를 적극 제출 | + +> **주의** +> 사실조사에 대한 협조 거부나 자료 미제출은 추가적인 불이익을 초래할 수 있습니다. 성실한 협조가 원칙이며, 자료 제출 범위에 대한 이견이 있는 경우 법적 자문을 받은 후 대응하는 것이 바람직합니다. + +#### (2) 시정명령 수령 시 (제40조제3항) + +시정명령을 받으면 명��� 내용을 정확히 파악하고, 이행 기한 내에 조치를 완료하여야 합니다. + +| 단계 | 대응 내용 | +|:---:|------| +| 명령 내용 분석 | 시정 대상 위반 사항, 시정 방법, 이행 기한 확인 | +| 시정 계획 수립 | 구체적 시정 조치와 일정 마련, 필요시 전문가 자문 | +| 시정 조치 이행 | 기한 내 시정 완료, 이행 결과 문서화 | +| 이행 결과 보고 | 규제기관에 시정 이행 결과 보고 | + +> **주의** +> 시정명령을 이행하지 않으면 **제43조제1항제3호**에 따라 과태료가 부과됩니다(1차 1,000만원, 2차 2,000만원, 3차 이상 3,000만원). 이행 기한 연장이 필요한 경우 사전에 규제기관과 협의하는 것이 중요합니다. + +#### (3) 과태료 부과 통지 수령 시 + +| 단계 | 대응 내용 | +|:---:|------| +| 부과 내용 확인 | 위반 사항, 적용 조항, 과태료 금액, 납부 기한 확인 | +| 감경 사유 검토 | 중소기업 해당 여부, 시정 노력 증빙 자료 확보 | +| 의견 제출 | 「질서위반행위규제법」에 따른 의견 제출 기한(통지 후 16일) 내 의견 제출 | +| 이의 여부 결정 | 과태료 부과에 이의가 있는 경우 이의제기 절차 검토 | + +--- + +### 9-4-3. 이의신청 및 행정소송 + +과태료 부과처분에 불복하는 경우의 법적 구제 절차를 정리합니다. + +#### 이의제기 절차 (「질서위반행위규제법」 준용) + +``` +┌──────────────────────────────────────────────────────┐ +│ 과태료 불복 절차 │ +├──────────────────────────────────────────────────────┤ +│ │ +│ 과태료 부과 통지 수령 │ +│ │ │ +│ ▼ │ +│ 의견 제출 (통지 후 16일 이내) │ +│ │ │ +│ ▼ │ +│ 과태료 부과 확정 │ +│ │ │ +│ ├── 수용 → 납부 (기한 내) │ +│ │ │ +│ └── 불복 → 이의제기 (60일 이내) │ +│ │ │ +│ ▼ │ +│ 법원 재판 (비송사건) │ +│ │ │ +│ ├── 과태료 인용 → 납부 │ +│ │ │ +│ └── 과태료 취소/감경 │ +│ │ +└──────────────────────────────────────────────────────┘ +``` + +| 절차 | 기한 | 내용 | +|:---:|:---:|------| +| 사전 의견 제출 | 통지 후 16일 | 부과 전 의견 진술 기회 | +| 이의제기 | 부과 후 60일 | 관할 법원에 이의제기, 비송사건으로 재판 | +| 즉시항고 | 재판 후 7일 | 법원 결정에 불복 시 | + +#### 시정명령에 대한 행정소송 + +시정명령 자체에 불복하는 경우에는 **행정소송법**에 따라 대응합니다. + +| 절차 | 기한 | 내용 | +|:---:|:---:|------| +| 행정심판 | 처분 안 날부터 90일, 처분이 있은 날부터 180일 | 행정심판위원회에 심판 청구 (임의적 전치) | +| 행정소송 | 처분 안 날부터 90일, 처분이 있은 날부터 1년 | 행정법원에 취소소송 제기 | + +> **실무 TIP** +> 행정처분에 대한 불복은 시간과 비용이 소요됩니다. 가능하다면 **시정명령 단계에서 성실히 이행**하여 과태료 부과를 방지하는 것이 가장 효율적입니다. 불복이 불가피한 경우에는 AI/IT 규제 전문 법무법인의 자문을 받아 대응하는 것을 권장합니다. + +--- + +### 핵심 요약 + +> **핵심 요약** +> - 위반 발견 즉시 **자진 시정**하고 문서화하면 과태료 감경 사유가 될 수 있습니다. +> - 사실조사에는 **성실 협조**가 원칙이며, 시정명령은 기한 내에 이행하여야 합니다. +> - 과태료에 불복할 경우 의견 제출(16일) → 이의제기(60일) → 법원 재판 순서로 진행합니다. +> - 시정명령에 불복할 경우 행정심판(90일) 또는 행정소송(90일)을 제기할 수 있습니다. +> - **사전 예방 → 자진 시정 → 성실 이행**의 순서가 비용 대비 가장 효과적인 전략입니다. + +--- + +## 9장 체크리스트: 위반 제재 대응 + +### 예방 체계 구축 + +- [ ] AI 거버넌스 조직(또는 담당자) 지정 완료 +- [ ] 정기 자가점검 체계(월간/분기/반기/연간) 수립 +- [ ] 임직원 AI 규제 교육 계획 수립 및 실행 +- [ ] 외부 전문가(법무, 기술) 자문 체계 마련 +- [ ] 인공지능기본법 지원데스크 연락처 확보 + +### 의무 이행 현황 점검 + +- [ ] 투명성 확보: 사전고지 + AI 생성물 표시 이행 완료 +- [ ] 안전성 확보: 위험관리체계 구축 + 이행 결과 제출 완료 (해당 시) +- [ ] 고영향 AI 확인: 사전검토 실시 + 검토 과정 문서화 +- [ ] 사업자 책무: 6대 조치사항 이행 + 안전신뢰문서 작성/보관 (해당 시) +- [ ] 국내대리인: 지정 + 신고 + 인터넷 공개 완료 (해외사업자 해당 시) + +### 위반 발견 시 대응 + +- [ ] 위반 범위 및 영향 즉시 평가 +- [ ] 자진 시정 조치 이행 + 시정 결과 문서화 +- [ ] 재발 방지 대책 수립 및 이행 +- [ ] 시정명령 수령 시 이행 기한 내 조치 완료 +- [ ] 과태료 부과 시 감경 사유 증빙 자료 확보 +- [ ] 불복 시 의견 제출 기한(16일) 및 이의제기 기한(60일) 관리 diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/48_10-1_\353\260\224\354\235\264\353\270\214\354\275\224\353\215\224_\352\260\234\353\260\234\354\236\220_\354\262\264\355\201\254\353\246\254\354\212\244\355\212\270.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/48_10-1_\353\260\224\354\235\264\353\270\214\354\275\224\353\215\224_\352\260\234\353\260\234\354\236\220_\354\262\264\355\201\254\353\246\254\354\212\244\355\212\270.md" new file mode 100644 index 0000000..8032113 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/48_10-1_\353\260\224\354\235\264\353\270\214\354\275\224\353\215\224_\352\260\234\353\260\234\354\236\220_\354\262\264\355\201\254\353\246\254\354\212\244\355\212\270.md" @@ -0,0 +1,84 @@ +# 10장. 독자별 실무 체크리스트 + +## 10-1. 바이브코더·개발자를 위한 체크리스트 + +바이브코더(Vibe Coder)와 개발자는 AI 도구를 활용하여 코드를 작성하거나, AI 기능이 포함된 서비스를 직접 구축합니다. 이 절에서는 개발 단계별로 확인해야 할 인공지능기본법 준수 사항을 체크리스트로 정리합니다. + +--- + +### 10-1-1. AI 도구 활용 시 확인할 투명성 사항 + +AI 도구(코드 생성, 이미지 생성, 텍스트 생성 등)를 활용하여 결과물을 제작하는 단계에서 확인할 항목입니다. + +**나의 위치 확인: 이용자인가, 사업자인가?** + +- [ ] AI 도구(ChatGPT, Copilot, Gemini 등)를 사용하여 코드·콘텐츠를 **직접 만드는 것**인가? → 이용자에 해당하며, 「인공지능기본법」 제31조 투명성 의무 대상이 아닙니다 (사례 1, 사례 4 참조) +- [ ] 만든 결과물을 내 서비스에 **단순 게시**하는 것인가, 아니면 이용자가 AI와 **직접 상호작용**하는 기능을 제공하는 것인가? +- [ ] AI 생성물을 게시만 하는 경우 → 이용자 (의무 없음) +- [ ] 이용자가 프롬프트(Prompt) 입력 후 AI 응답을 받는 기능 제공 → 인공지능이용사업자 (의무 발생) +- [ ] 수익 발생 여부와 무관하게, AI 제품·서비스 자체를 제공하는지 여부로 사업자 지위를 판단했는가? (사례 4 참조) + +> **실무 TIP** +> 바이브코더가 AI 도구로 코드를 생성하고 앱을 만들어 배포하는 것은 '이용자' 영역입니다. 그러나 해당 앱 안에 AI 챗봇·AI 생성 기능을 탑재하여 최종 이용자에게 제공하면, 그 기능 범위에서 인공지능이용사업자가 됩니다. + +--- + +### 10-1-2. AI 서비스 출시 시 안전성 확인 항목 + +AI 기능이 포함된 서비스를 출시할 때 확인해야 할 사항입니다. + +**사전고지 의무 (「인공지능기본법」 제31조제1항)** + +- [ ] 고영향 인공지능(High-impact AI) 또는 생성형 인공지능(Generative AI)을 이용한 서비스인가? +- [ ] 이용자가 서비스를 사용하기 **전에** AI 기반 운용 사실을 인지할 수 있는 구조인가? +- [ ] 사전고지 방법(이용약관, 첫 화면 안내, 앱 설치 시 안내 등)을 1가지 이상 적용했는가? +- [ ] 서비스명에 AI가 포함되어 있더라도, 별도의 사전고지 설계를 검토했는가? (서비스명만으로는 명백성 요건 충족이 어렵습니다 — 사례 7 참조) + +**표시 의무 (「인공지능기본법」 제31조제2항)** + +- [ ] 생성형 AI 결과물에 '인공지능 생성물'임을 이용자가 인지할 수 있도록 표시했는가? +- [ ] 서비스 UI 안에서만 보여주는 경우: 화면 내 로고·문구 등으로 표시 (개별 결과물마다 반복 불필요) +- [ ] 다운로드·공유(외부 반출) 기능 제공 시: 파일 자체에 메타데이터 삽입·디지털 워터마크(Watermark) 등 포함 +- [ ] 비가시적 표시만 사용하는 경우, 이용자에게 최소 1회 이상 안내 문구·음성을 별도 제공하는가? + +**고영향 인공지능 사전 검토 (「인공지능기본법」 제33조)** + +- [ ] 서비스 활용 영역이 법 제2조제4호의 11개 법정 영역(채용, 대출심사, 보건의료, 교육평가, 에너지 등)에 해당하는지 확인했는가? +- [ ] 해당하는 경우, 인공지능이 최종 의사결정에 실질적으로 관여하는지 또는 보조 도구에 그치는지 판단했는가? +- [ ] 판단 과정을 문서화하여 보관하고 있는가? + +> **실무 TIP** +> 1인 개발자·프리랜서도 AI 서비스를 대외적으로 제공하면 인공지능사업자에 해당합니다. 영리 여부와 무관합니다 (사례 4 참조). 오픈소스(Open Source) 모델을 수정하여 서비스로 제공하는 경우, 중대한 변경 여부에 따라 인공지능개발사업자로 분류될 수 있습니다 (사례 3 참조). + +--- + +### 10-1-3. 코드 레벨에서의 투명성 구현 포인트 + +개발자가 코드 수준에서 투명성 의무를 구현할 때 참고할 항목입니다. + +**API 응답 단계** + +- [ ] AI 생성 응답에 메타데이터(metadata) 필드를 포함하여 'AI 생성물' 여부를 기록하는 구조인가? +- [ ] 생성물의 다운로드·공유 시, 파일 메타데이터에 AI 생성 사실을 자동 삽입하는 로직이 구현되어 있는가? + +**UI/UX 단계** + +- [ ] 서비스 첫 화면 또는 이용 시작 시점에 AI 운용 사실 고지 문구가 노출되는가? +- [ ] AI 생성 콘텐츠 영역에 식별 가능한 표시(라벨, 아이콘, 문구 등)가 배치되어 있는가? +- [ ] 멀티 LLM(Large Language Model) 환경인 경우, '인공지능 생성물' 등 포괄적 표현으로 표시하고 있는가? (모델명 명시는 법적 의무가 아닙니다 — 사례 10 참조) + +**로그·기록 단계** + +- [ ] AI 판단의 입력·출력·근거를 타임스탬프(Timestamp)와 함께 로그(Log)로 저장하는가? +- [ ] 로그 변경 이력이 별도로 관리되어 사후 무결성을 입증할 수 있는가? (사례 19 참조) +- [ ] 고영향 인공지능 해당 시, 이용자에게 설명 가능한 체계(설명 방안)가 마련되어 있는가? + +> **실무 TIP** +> 법정 표준 서식이나 API 규격은 없습니다. 어떤 방법이든 이용자가 '이것이 AI 생성물이다'를 합리적으로 인지할 수 있으면 의무를 충족합니다. 다만 향후 표준화 동향을 주시하면서, C2PA(Coalition for Content Provenance and Authenticity) 등 메타데이터 표준의 적용을 검토하는 것도 좋습니다. + +--- + +> **핵심 요약** +> - **AI 도구로 코드·콘텐츠를 만드는 것**은 이용자 활동이며, 인공지능기본법상 의무가 없습니다. +> - **AI 기능을 탑재한 서비스를 이용자에게 제공**하면 인공지능사업자에 해당하여 사전고지·표시 의무가 발생합니다. +> - 코드 레벨에서 메타데이터 삽입, 로그 기록, UI 표시를 설계 단계부터 반영하면 컴플라이언스(Compliance) 부담을 줄일 수 있습니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/49_10-2_AI_\354\212\244\355\203\200\355\212\270\354\227\205_\354\202\254\354\227\205\354\236\220_\354\262\264\355\201\254\353\246\254\354\212\244\355\212\270.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/49_10-2_AI_\354\212\244\355\203\200\355\212\270\354\227\205_\354\202\254\354\227\205\354\236\220_\354\262\264\355\201\254\353\246\254\354\212\244\355\212\270.md" new file mode 100644 index 0000000..8872d6a --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/49_10-2_AI_\354\212\244\355\203\200\355\212\270\354\227\205_\354\202\254\354\227\205\354\236\220_\354\262\264\355\201\254\353\246\254\354\212\244\355\212\270.md" @@ -0,0 +1,110 @@ +## 10-2. AI 스타트업·사업자를 위한 체크리스트 + +AI 스타트업과 사업자는 사업 기획부터 운영까지 전 단계에서 인공지능기본법을 준수해야 합니다. 이 절에서는 사업 수명주기(Lifecycle) 4단계별 체크리스트를 제공합니다. + +--- + +### 10-2-1. 사업 기획 단계 + +서비스 콘셉트를 확정하기 전에 확인할 사항입니다. + +**사업자 유형 판단** + +- [ ] 우리 회사는 AI를 직접 개발하여 제공하는 **인공지능개발사업자**인가, 타사 AI를 활용하여 서비스를 제공하는 **인공지능이용사업자**인가? (2장 참조) +- [ ] 서비스 단위로 사업자 지위를 판단했는가? (같은 기업이라도 서비스별로 사업자 유형이 다를 수 있습니다) +- [ ] 외주 개발 납품 구조인 경우, 구조 설계 관여·실질 통제·중대한 변경 여부를 기준으로 유형을 구분했는가? (사례 3 참조) + +**고영향 인공지능 해당 여부 사전 검토** + +- [ ] 서비스 활용 영역이 법 제2조제4호의 11개 법정 영역에 해당하는지 확인했는가? +- [ ] 해당하는 경우, 「고영향 인공지능 판단 가이드라인」의 체크리스트를 적용하여 사전 검토를 실시했는가? +- [ ] 고영향 인공지능으로 판단되면 「인공지능기본법」 제34조의 5대 책무(위험관리, 설명 방안, 이용자 보호, 사람의 관리·감독, 문서 작성·보관)가 부과됨을 인지하고 있는가? +- [ ] 판단 과정과 근거를 문서화하여 보관하고 있는가? + +> **실무 TIP** +> 고영향 인공지능 확인 결과를 당국에 신고할 법적 의무는 현행법상 없습니다. 다만 합리적 근거 없이 부실하게 판단하면 향후 제재 리스크가 발생할 수 있으므로, 판단 과정을 문서화하는 것이 중요합니다 (5장 참조). + +--- + +### 10-2-2. 개발 단계 + +서비스를 설계·구현하는 단계에서 확인할 사항입니다. + +**투명성 설계 (「인공지능기본법」 제31조)** + +- [ ] 서비스 UI에 사전고지 문구를 배치하는 방안을 설계했는가? (이용약관, 첫 화면, 앱 설치 안내 등) +- [ ] 생성형 AI 결과물에 AI 생성 사실을 표시하는 구조를 설계했는가? +- [ ] 외부 반출(다운로드·공유) 기능이 있다면, 파일 자체에 메타데이터를 삽입하는 로직을 포함했는가? +- [ ] 비가시적 표시만 사용할 경우, 최소 1회 이상 별도 안내를 제공하는 UX를 설계했는가? + +**안전성 확보 (「인공지능기본법」 제32조)** + +- [ ] 학습에 사용된 누적 연산량이 시행령 제24조 기준(10^26 부동소수점연산 이상)에 해당하는가? +- [ ] 해당하는 경우, 수명주기 전반에 걸친 위험 식별·평가·완화 체계를 구축했는가? +- [ ] 안전사고 모니터링 및 대응 위험관리체계를 설계했는가? + +**고영향 인공지능 책무 이행 (「인공지능기본법」 제34조 — 해당 시)** + +- [ ] 위험관리방안을 수립하고 운영 체계를 갖추었는가? +- [ ] AI가 도출한 최종 결과, 주요 판단 기준, 학습용 데이터 개요 등에 대한 설명 방안을 마련했는가? +- [ ] 이용자 보호 방안(피해 보상 체계 등)을 수립했는가? +- [ ] 사람의 관리·감독 체계(비상 시 즉각 통제·개입 기준)를 확립했는가? + +--- + +### 10-2-3. 출시 단계 + +서비스를 공개·배포하는 시점에서 확인할 사항입니다. + +**투명성 의무 최종 점검** + +- [ ] 사전고지가 이용자의 서비스 이용 **전** 시점에 노출되는지 최종 확인했는가? +- [ ] 표시 방법(워터마크, 자막, 메타데이터, 화면 문구 등)이 이용자가 합리적으로 인지 가능한 수준인지 QA(Quality Assurance)를 완료했는가? +- [ ] 딥페이크(Deepfake) 수준의 결과물을 생성하는 경우, 이용자가 **명확하게** 인식할 수 있는 가시·가청적 표시를 적용했는가? + +**문서화 완료** + +- [ ] 고영향 인공지능 판단 결과와 근거를 문서로 보관하고 있는가? +- [ ] 안전성·신뢰성 확보 조치 내용을 확인할 수 있는 '안전신뢰문서'를 작성했는가? (해당 시) +- [ ] 개발사업자와 이용사업자 간 책무 이행 주체를 계약(SLA 등)으로 명확히 구분했는가? (사례 19 참조) + +**국내대리인 확인 (해외 사업자인 경우)** + +- [ ] 국내에 주소·영업소가 없는 해외 사업자인가? +- [ ] 시행령 제29조 기준(매출 1조원 이상, AI 서비스 매출 100억원 이상, 일일 평균 이용자 100만명 이상 중 해당)에 해당하는가? +- [ ] 해당하는 경우, 국내대리인을 지정하고 과학기술정보통신부에 신고했는가? (8장 참조) + +--- + +### 10-2-4. 운영 단계 + +서비스를 지속적으로 운영·유지하는 단계에서 확인할 사항입니다. + +**지속적 모니터링** + +- [ ] AI 시스템의 성능 변화·오류를 정기적으로 점검하는 체계를 운영하고 있는가? +- [ ] AI 판단 기록(입력·출력·근거)을 타임스탬프와 함께 로그로 저장하고, 변경 이력을 관리하고 있는가? +- [ ] 이상 징후 발생 시 대응 프로세스가 마련되어 있는가? + +**이용자 보호** + +- [ ] 이용자 불만·피해 접수 채널을 운영하고 있는가? +- [ ] 고영향 인공지능인 경우, 개별 결정 단위로 이용자에게 설명할 수 있는 체계를 유지하고 있는가? +- [ ] 사람의 관리·감독을 위한 정기 점검 및 교육·훈련을 실시하고 있는가? + +**법규 변경 대응** + +- [ ] 현재 사실조사 및 과태료 부과 유예기간이 운영 중임을 인지하고, 단계적 이행 계획을 수립했는가? (사례 20 참조) +- [ ] 유예기간 종료에 대비하여 준비 과정을 문서화하고 있는가? +- [ ] 가이드라인 업데이트 및 제도 변경 사항을 주기적으로 확인하고 있는가? + +> **실무 TIP** +> 유예기간 중에도 법적 의무 자체가 사라지는 것은 아닙니다. 인명사고나 심각한 인권 침해 등 중대한 문제를 야기하는 경우에는 예외적으로 사실조사가 이루어질 수 있습니다. 지금부터 단계적 이행 계획을 세우고 준비 과정을 기록해 두는 것이 바람직합니다. + +--- + +> **핵심 요약** +> - 사업 기획 단계에서 **사업자 유형 판단**과 **고영향 인공지능 사전 검토**를 먼저 실시합니다. +> - 개발 단계에서 투명성(사전고지·표시)과 안전성(위험관리·모니터링)을 설계에 반영합니다. +> - 출시 전 문서화를 완료하고, 운영 단계에서 지속적 모니터링과 이용자 보호 체계를 유지합니다. +> - 유예기간 중에도 의무 자체는 존재하므로, **단계적 이행 계획 수립과 문서화**가 핵심입니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/50_10-3_\353\263\264\354\225\210_\353\262\225\353\254\264_\353\213\264\353\213\271\354\236\220_\354\262\264\355\201\254\353\246\254\354\212\244\355\212\270.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/50_10-3_\353\263\264\354\225\210_\353\262\225\353\254\264_\353\213\264\353\213\271\354\236\220_\354\262\264\355\201\254\353\246\254\354\212\244\355\212\270.md" new file mode 100644 index 0000000..d5272b1 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/50_10-3_\353\263\264\354\225\210_\353\262\225\353\254\264_\353\213\264\353\213\271\354\236\220_\354\262\264\355\201\254\353\246\254\354\212\244\355\212\270.md" @@ -0,0 +1,118 @@ +## 10-3. 보안·법무 담당자를 위한 체크리스트 + +보안·법무 담당자는 조직 전체의 AI 거버넌스(Governance) 정책을 수립하고, 사업자 유형별 의무를 매핑하며, 컴플��이언스(Compliance) 증빙을 관리합니다. 이 절에서는 4가지 핵심 업무 영역별 체크리스트를 제공합니다. + +--- + +### 10-3-1. AI 거버넌스 정책 수립 + +조직 차원에서 AI 관련 정책과 체계를 마련하는 단계입니다. + +**조직 체계** + +- [ ] AI 관련 법규 준수를 총괄하는 책임자(AI 책임관)를 지정했는가? +- [ ] AI 시스템 도입·변경 시 법무·보안·개발 부서가 협의하는 프로세스를 마련했는가? +- [ ] 고영향 인공지능 판단, 투명성 의무 이행, 안전성 확보를 위한 내부 가이드라인을 제정했는가? + +**정책 문서 정비** + +- [ ] AI 윤리 원칙 또는 AI 활용 지침을 수립하여 임직원에게 공유했는가? +- [ ] 이용약관·개인정보처리방침에 AI 기반 서비스 운용 사실을 반영했는가? +- [ ] AI 시스템의 위험 수준별 관리 기준(고영향/일반)을 문서화했는가? + +**교육·훈련** + +- [ ] AI 시스템 운영 담당자에게 인공지능기본법 의무 사항에 대한 교육을 실시했는가? +- [ ] 고영향 인공지능 시스템의 관리·감독 인력에 대한 정기 교육·훈련 계획을 수립했는가? + +> **실무 TIP** +> 「인공지능기본법」 제34조제1항제4호는 고영향 인공지능에 대한 '사람의 관리·감독'을 의무로 규정합니다. 비상 상황 시 사람이 즉각적으로 통제·개입할 수 있는 기준과 방법을 확립하고, 정기적 점검 및 교육·훈련 체계를 갖추어야 합니다. + +--- + +### 10-3-2. 사업자 유형별 의무 매핑 + +우리 조직의 각 서비스가 어떤 유형에 해당하고, 어떤 의무를 부담하는지 정리합니다. + +**서비스별 사업자 유형 분류** + +- [ ] 조직 내 모든 AI 서비스·제품을 목록화했는가? +- [ ] 각 서비스별로 인공지능개발사업자 / 인공지능이용사업자 / 이용자 중 어디에 해당하는지 분류했는가? +- [ ] 외주 개발 납품 구조가 있는 경우, 구조 설계 관여·실질 통제·중대한 변경 여부를 기준으로 유형을 확인했는가? (사례 3 참조) + +**의무 매핑표 작성** + +| 의무 조항 | 인공지능개발사업자 | 인공지능이용사업자 | 이용자 | +|:---:|:---:|:---:|:---:| +| 제31조 투명성 확보 | O | O | X | +| 제32조 안전성 확보 | O (기준 해당 시) | O (기준 해당 시) | X | +| 제33조 고영향 AI 확인 | O | O | X | +| 제34조 사업자 책무 | O (고영향 시) | O (고영향 시) | X | +| 제36조 국내대리인 | O (해외 기준 해당 시) | O (해외 기준 해당 시) | X | + +- [ ] 위 표를 기준으로 각 서비스에 해당하는 의무를 매핑했는가? +- [ ] 개발사업자가 이행한 책무를 이용사업자가 중복 이행할 필요가 없는 범위를 계약(SLA)으로 명확히 정리했는가? +- [ ] 내부 업무 전용 AI의 경우, 투명성 의무 예외 적용 ���부를 확인했는가? (시행령 제23조제4항제2호, 사례 5 참조) + +--- + +### 10-3-3. 컴플라이언스 증빙 관리 + +법 준수를 입증할 수 있는 증빙 자료를 체계적으로 관리합니다. + +**투명성 관련 증빙** + +- [ ] 사전고지 방법(이용약관, 화면 문구, 음성 안내 등)의 적용 현황을 캡처·기록하여 보관하고 있는가? +- [ ] AI 생성물 표시 방법(워터마크, 메타데이터, 라벨 등)의 구현 내역을 문서화했는가? +- [ ] 표시 방법 변경 이력을 관리하고 있는가? + +**고영향 인공지능 관련 증빙** + +- [ ] 고영향 인공지능 판단 과정(체크리스트 적용, 판단 근거)을 문서화하여 보관하고 있는가? +- [ ] 안전신뢰문서(안전성·신뢰성 확보 조치 내용)를 작성하고 최신 상태로 유지하고 있는가? +- [ ] 위험관리방안·설명 방안·이용자 보호 방안의 수립·운영 기록을 보관하고 있는가? + +**로그 무결성 확보** + +- [ ] AI 판단 기록(입력·출력·근거)을 타임스탬프와 함께 로그로 저장하는 시스템을 운영하고 있는가? +- [ ] 로그 변경 이력이 별도로 관리되어 사후 수정 여부를 입증할 수 있는가? (사례 19 참조) +- [ ] 로그 보관 기간 정책을 수립하고 준수하고 있는가? + +> **실무 TIP** +> 법령에 별도의 법정 양식은 없습니다. 그러나 「고영향 인공지능 사업자 책무 가이드라인」에서 제공하는 자가점검표와 작성 예시를 활용하면 증빙 관리를 체계적으로 할 수 있습니다 (6장 참조). + +--- + +### 10-3-4. 사고 대응 계획 + +AI 관련 사고 또는 위반 사항 발생 시의 대응 절차를 수립합니다. + +**사고 대응 프로세스** + +- [ ] AI 시스템 오류·성능 저하·안전사고 발생 시 대응 절차를 수립했는가? +- [ ] 사고 발생 시 사람이 즉각적으로 통제·개입할 수 있는 권한 체계가 마련되어 있는가? +- [ ] 사고 내용과 조치 결과를 기록·보관하는 체계를 운영하고 있는가? + +**위반 시 프로세스 이해** + +- [ ] 「인공지능기본법」 위반 시 프로세스(위반 인지 → 사실조사 → 시정명령 → 과태료)를 이해하고 있는가? (9장 참조) +- [ ] 사전고지 미이행, 국내대리인 미지정은 곧바로 과태료 부과 대상임을 인지하고 있는가? +- [ ] 시정명령 불이행 시 3천만원 이하 과태료가 부과될 수 있음을 인지하고 있는가? + +**유예기간 대응** + +- [ ] 현재 사실조사·과태료 부과 유예기간이 운영 중임을 인지하고 있는가? +- [ ] 유예기간 중에도 인명사고·심각한 인권 침해 등 중대한 문제 시 예외적 사실조사가 가능함을 인지하고 있는가? +- [ ] 유예기간 종료에 대비하여 단계적 이행 계획을 수립하고, 준비 과정을 문서화하고 있는가? +- [ ] 유예기간 연장 여부 등 제도 변경 사항을 주기적으로 모니터링하고 있는가? + +> **주의** +> 유예기간 중이라도 법적 의무 자체가 사라지는 것은 아닙니다. 유예기간 종료 후 즉시 준수 상태를 입증할 수 있도록 지금부터 체계적으로 준비하는 것이 필요합니다. + +--- + +> **핵심 요약** +> - **AI 거버넌스 정책**: 조직 내 AI 책임자 지정, 내부 가이드라인 제정, 임직원 교육을 우선 추진합니다. +> - **의무 매핑**: 서비스 단위로 사업자 유형을 분류하고, 조항별 의무를 매핑합니다. +> - **증빙 관리**: 투명성 이행 현황, 고영향 판단 근거, 로그 무결성 확보 자료를 체계적으로 보관합니다. +> - **사고 대응**: 위반 시 프로세스를 이해하고, 유예기간 종료에 대비하여 단계적 이행 계획을 수립합니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/51_10-4_\352\263\265\352\263\265\352\270\260\352\264\200_\353\213\264\353\213\271\354\236\220_\354\262\264\355\201\254\353\246\254\354\212\244\355\212\270.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/51_10-4_\352\263\265\352\263\265\352\270\260\352\264\200_\353\213\264\353\213\271\354\236\220_\354\262\264\355\201\254\353\246\254\354\212\244\355\212\270.md" new file mode 100644 index 0000000..21627c2 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/51_10-4_\352\263\265\352\263\265\352\270\260\352\264\200_\353\213\264\353\213\271\354\236\220_\354\262\264\355\201\254\353\246\254\354\212\244\355\212\270.md" @@ -0,0 +1,86 @@ +## 10-4. 공공기관 담당자를 위한 체크리스트 + +공공기관은 민간과 동일한 인공지능기본법 기준이 적용됩니다. 다만 「인공지능기본법」 제35조의 영향평가 우선 고려, 조달 요건, 공공서비스 AI의 고영향 판단 등 공공기관 특수 사항이 있습니다. 이 절에서는 공공기관 담당자가 확인해야 할 항목을 정리합니다. + +--- + +### 10-4-1. 공공기관 특수 의무 --- 영향평가 우선 고려 + +**기관의 사업자 유형 판단** + +- [ ] 우리 기관은 AI를 도구로 활용하여 산출물을 제작하는 **이용자**인가, AI 서비스 자체를 대외적으로 제공하는 **인공지능사업자**인가? (사례 2 참조) +- [ ] 외부 사업자로부터 AI 서비스를 도입하여 내부 업무에만 사용하는 경우 → 이용자에 해당합니다 +- [ ] 시민이 기관 시스템에서 AI에 직접 입력하고 응답을 받는 구조인 경우 → 인공지능이용사업자에 해당할 가능성이 높습니다 +- [ ] 기관이 AI를 직접 개발하여 시민에게 서비스로 제공하는 경우 → 인공지능개발사업자에 해당할 가능성이 높습니다 + +**영향평가 (「인공지능기본법」 제35조)** + +- [ ] 고영향 인공지능을 제공하는 경우, 영향평가를 실시할 의무가 있음을 인지하고 있는가? +- [ ] 국가기관등이 AI 제품·서비스를 도입하는 경우, 영향평가를 실시한 제품·서비스를 **우선적으로 고려**하도록 권고됨을 인지하고 있는가? (법 제35조제2항) +- [ ] 영향평가 시 포함해야 할 사항(사전 준비 → 본 평가 → 사후 조치)을 「인공지능 영향평가 가이드라인」을 통해 확인했는가? (7장 참조) + +> **실무 TIP** +> 공공기관이 '이용자'에 해당하더라도, AI 서비스를 조달할 때 영향평가를 실시한 사업자의 제품·서비스를 우선 고려하는 것이 법의 취지에 부합합니다. 이는 법적 의무는 아니지만 권고 사항입니다. + +--- + +### 10-4-2. AI 도입 시 조달 요건 + +공공기관이 외부 AI 서비스를 도입(조달)할 때 확인할 사항입니다. + +**사업자 선정 시 확인 사항** + +- [ ] 납품 사업자가 「인공지능기본법」 제31조 투명성 확보 의무를 이행하고 있는지 확인했는가? +- [ ] 납품 사업자가 고영향 인공지능 해당 여부를 사전 검토하고 결과를 문서화하고 있는지 확인했는가? +- [ ] 안전성 확보 의무(법 제32조) 해당 시, 사업자가 위험관리체계를 구축하고 이행 결과를 제출하고 있는지 확인했는가? + +**계약 시 반영 사항** + +- [ ] 계약서(SLA)에 개발사업자와 이용사업자 간 책무 이행 주체를 명확히 구분하여 반영했는가? +- [ ] AI 시스템의 입력·출력·판단 근거 로그 제공 의무를 계약에 포함했는가? +- [ ] 고영향 인공지능 해당 시, 위험관리방안·설명 방안·이용자 보호 방안의 이행 주체와 범위를 계약에 명시했는가? +- [ ] AI 시스템에 중대한 기능 변경이 발생하면 통보·협의하는 조항을 포함했는가? + +**내부 업무 전용 AI 도입** + +- [ ] 내부 업무에만 사용하는 AI인 경우, 시행령 제23조제4항제2호에 따라 투명성 확보 의무 예외가 적용됨을 확인했는가? (사례 5 참조) +- [ ] 다만, 내부 업무 전용이라도 고영향 인공지능 해당 여부는 별도로 판단해야 함을 인지하고 있는가? +- [ ] 제3자에게 제공되는 범위가 생기지 않도록 관리 체계를 수립했는가? + +--- + +### 10-4-3. 공공서비스 AI의 고영향 판단 + +공공서비스에서 AI를 활용하는 경우, 고영향 인공지능 해당 여부를 특히 주의해야 합니다. + +**법정 영역 해당 여부 확인** + +- [ ] 공공서비스 AI가 법 제2조제4호 자목("국민에게 영향을 미치는 국가기관등의 의사결정")에 해당하는지 확인했는가? +- [ ] 구체적으로 다음 중 해당하는 항목이 있는가? + - [ ] 공공서비스 제공에 필요한 자격 확인 및 결정 + - [ ] 비용 징수 등 국민에게 영향을 미치는 국가기관등의 의사결정 + - [ ] 채용·인사 관련 판단 (법 제2조제4호 사목) + - [ ] 에너지·수도 등 공급 관련 의사결정 (법 제2조제4호 가·나목) + +**고영향 판단 시 핵심 기준** + +- [ ] AI 시스템이 최종 의사결정에 실질적으로 관여하는가, 보조 도구에 그치는가? +- [ ] 사람이 AI 판단을 배제·수정·거부할 수 있는 권한을 적극적으로 행사할 수 있는 구조인가? +- [ ] 형식적 확인에 그치지 않고, 실질적으로 개입·통제할 수 있는 체계인가? + +**공공안전 분야 AI (사례 18 참조)** + +- [ ] 홍수예보·재난 대응 AI는 현행 법령상 고영향 인공지능 법정 영역(에너지·먹는 물 생산 등)에 포함되지 않음을 확인했는가? +- [ ] 지능형 CCTV가 단순 모니터링 지원인지, 범죄수사·체포 목적의 생체인식 기능을 수행하는지에 따라 고영향 판단이 달라짐을 인지하고 있는가? +- [ ] 법정 영역에 해당하지 않더라도, 기관 자체적으로 위험관리 체계를 운영하는 것이 권장됨을 인지하고 있는가? + +> **실무 TIP** +> 공공기관의 민원 상담 AI 챗봇은 시민이 AI와 직접 상호작용하는 전형적인 인공지능서비스입니다. 이 경우 기관은 인공지능이용사업자로서 최초 접속 화면 또는 대화 시작 시점에서 AI 운용 사실을 사전고지해야 합니다 (사례 2 참조). + +--- + +> **핵심 요약** +> - 공공기관도 민간과 **동일한 기준**이 적용됩니다. 핵심은 '이용자'인지 '사업자'인지의 구분입니다. +> - 고영향 인공지능 도입 시 **영향평가 우선 고려**가 권고됩니다 (법 제35조). +> - 조달 시 납품 사업자의 **법 준수 여부 확인**과 **계약서(SLA)에 책무 이행 주체 명시**가 중요합니다. +> - 공공서비스 AI의 고영향 판단은 **법정 영역 해당 여부**와 **사람의 실질적 개입·통제 여부**를 기준으로 합니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/52_11-1_\354\235\230\353\254\264_\354\243\274\354\262\264_\354\240\201\354\232\251\353\214\200\354\203\201_\354\202\254\353\241\2001to5.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/52_11-1_\354\235\230\353\254\264_\354\243\274\354\262\264_\354\240\201\354\232\251\353\214\200\354\203\201_\354\202\254\353\241\2001to5.md" new file mode 100644 index 0000000..9f458c2 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/52_11-1_\354\235\230\353\254\264_\354\243\274\354\262\264_\354\240\201\354\232\251\353\214\200\354\203\201_\354\202\254\353\241\2001to5.md" @@ -0,0 +1,76 @@ +# 11장. FAQ 사례 20선 + +## 11-1. 유형1: 의무 주체 및 적용 대상 (사례 1~5) + +「인공지능기본법」의 의무는 인공지능사업자(인공지능개발사업자 + 인공지능이용사업자)에게 부과됩니다. 이 유형에서는 '누가 사업자이고, 누가 이용자인가'라는 실무 현장의 첫 번째 질문을 다룹니다. + +--- + +> **사례 1** 타사의 인공지능으로 제작한 콘텐츠를 사용하면 인공지능이용사업자에 해당하는가? +> +> **Q:** 온라인 백과사전 서비스를 운영하며, 타사 AI 서비스(ChatGPT, Gemini 등)로 텍스트·이미지·영상을 제작하고 검수한 후 사이트에 게시합니다. 이 경우 인공지능이용사업자에 해당하여 「인공지능기본법」 제31조 투명성 확보 의무를 부담합니까? +> +> **A:** 타사 AI 서비스를 도구로 사용하여 생성물을 제작·게시하는 행위는 AI 제품·서비스를 이용자에게 직접 제공하는 것이 아닙니다. 따라서 **이용자**에 해당하며, 제31조 투명성 확보 의무 대상이 아닙니다. ��만, 향후 이용자가 AI와 직접 상호작용하는 기능(예: AI 챗봇)을 제공하면, 해당 기능 범위에서 인공지능이용사업자로 볼 수 있습니다. +> +> **판단 기준:** 'AI 서비스를 이용하여 생성물을 만드는 것'(이용자)과 'AI 서비스 자체를 제공하는 것'(인공지능이용사업자)의 구분이 핵심입니다. +> +> | 관련 조항 | 「인공지능기본법」 제2조·제4조·제5조 | + +--- + +> **사례 2** 생성형 인공지능�� 도입하는 공공기관도 투명성 확보 의무 대상인가? +> +> **Q:** 공공기관이 외부 사업자의 생성형 AI 서비스를 도입하여 내부 업무에 사용하고 있습니다. 공공기관도 제31조 투명성 확보 의무(사전고지, 표시)를 이행해야 합니까? +> +> **A:** 공공기관도 민간과 동일한 기준이 적용됩니다. 판단 기준은 공공기관 여부가 아니라 **'누가 AI 제품·서비스를 개발 또는 제공하는가'**입니다. AI 서비스를 외부에서 도입하여 내부 업무에만 사용한다면 이용자에 해당하므로 투명성 확보 의무 대상이 아닙니다. 반면, AI 서비스를 직접 개발하여 시민에게 제공하거나, 시민이 AI와 직접 상호작용하는 서비스를 운영하면 인공지능사업자에 해당하여 의무가 발생합니다. +> +> **판단 기준:** 공공기관도 예외가 아닙니다. 'AI를 도구로 사용하는 주체'(이용자)와 'AI 서비스를 대외적으로 제공하는 주체'(사업자)를 구분합니다. +> +> | 관련 조항 | 「인공지능기본법」 제31조, 제2조 | + +--- + +> **사례 3** 납품받은 AI 서비스 제공 시 사업자 유형 판단 +> +> **Q:** 타사에 AI 개발을 위탁하고, 납품받은 AI 서비스�� 고객에게 제공하고 있습니다. 우리 회사는 인공지능개발사업자입니까, 인공지능이용사업자입니까, 이용자입니까? +> +> **A:** AI 서비스를 납품받아 제3자에게 제공하면 원칙적으로 **인공지능이용사업자**에 해당합니다. 다만, 발주사가 구조 설계에 관여하거나 실질적으로 통제했거나, 납품 후 기능·용도·성능이 현저히 달라질 정도로 중대한 변경을 가했다면 **인공지능개발사업자**에 해당할 수 있습니다. +> +> **판단 기준:** +> - 구조 설계 관여 및 실질 통제 여부 +> - 납품 후 중대한 변경(기능·용도·성능의 현저한 변화) 여부 +> - RAG(Retrieval-Augmented Generation) 연계나 사내 용어집 추가 정도는 '중대한 기능 변경'으로 보기 어렵습니다 +> +> | 관련 조항 | 「인공지능기본법」 제2조·제4조·제5조, 제34조 | + +--- + +> **사례 4** 개인 창작자의 표시 의무 +> +> **Q:** 개인 창작자(유튜버, 인스타그래머 등)가 생성형 AI로 만든 표지·삽화·홍보 이미지를 플랫폼에 게시하면, 인공지능기본법상 표시 의무의 직접 대상이 됩니까? 플랫폼 수익 정산을 받으면 인공지능사업자로 봅니까? +> +> **A:** 생성형 AI를 활용하여 콘텐츠를 제작·게시하는 개인 창작자는 **이용자**에 해당하며, 투명성 확보 의무 대상이 아닙니다. 수익 여부는 판단 기준이 아닙니다. 핵심은 이용자에게 AI 제��·서비스 자체를 직접 제공하는가입니다. 광고·후원 등으로 수익을 얻더라도 사업자가 되지 않습니다. 또한 AI 생성물(콘텐츠)은 인공지능제품으로 보지 않습니다. +> +> **판단 기준:** 법적 의무는 없지만, 자발적으로 'AI 생성물'임을 표시하는 것은 창작자의 신뢰도를 높이고 건강한 콘텐츠 문화 형성에 기여할 수 있습니다. +> +> | 관련 조항 | 「인공지능기본법」 제31조 | + +--- + +> **사례 5** 내부 업무용 자체 개발 AI의 투명성 의무 +> +> **Q:** 외부에 제품·서비스를 제공하지 않고, 내부 직원 업무용으로만 AI 서비스를 개발·이용하는 경우에도 제31조 의무가 적용됩니까? +> +> **A:** 시행령 제23조제4항제2호에 따라, 인공지능사업자의 내부 업무 용도로만 사용하는 경우 투명성 확보 의무(사전고지·표시) **예외가 적용**됩니다. 다만 해당 AI가 제3자에게 제공되면(무상·유상 무관) 투명성 확보 의무가 적용될 수 있으므로 제공 범위를 관리해야 합니다. 또한 내부 전용이라도 고영향 인공지능 해당 여부는 별도로 판단해야 하며, 해당 시 「인공지능기본법」 제34조 사업자 책무가 적용됩니다. +> +> **판단 기준:** 내부 전용 AI는 투명성에서는 예외이지만, 채용·인사 결정·대출심사 등 법정 영역에서 활용되면 고영향 인공지능 검토가 필요합니다. '내부용 = 모든 의무 면제'가 아닙니다. +> +> | 관련 조항 | 「인공지능기본법」 제31조, 시행령 제23조제4항제2호, 제34조 | + +--- + +> **핵심 요약** +> - **사업자 vs 이용자 구분 기준**: AI 서비스 자체를 이용자에게 제공하는가(사업자), AI를 도구로 사용하는가(이용자) +> - **공공기관·개인·비영리**: 민간·영리 여부 무관하게 동일 기준 적용 +> - **외주 납품 구조**: 원칙적으로 인공지능이용사업자이나, 실질적 설계 통제·중대한 변경 시 개발사업자 +> - **내부 전용 AI**: 투명성 예외이나, 고영향 인공지능 해��� 여부는 별도 판단 필요 diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/53_11-2_\355\210\254\353\252\205\354\204\261_\354\235\230\353\254\264\354\235\264\355\226\211_\354\202\254\353\241\2006to13.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/53_11-2_\355\210\254\353\252\205\354\204\261_\354\235\230\353\254\264\354\235\264\355\226\211_\354\202\254\353\241\2006to13.md" new file mode 100644 index 0000000..a776745 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/53_11-2_\355\210\254\353\252\205\354\204\261_\354\235\230\353\254\264\354\235\264\355\226\211_\354\202\254\353\241\2006to13.md" @@ -0,0 +1,110 @@ +## 11-2. 유형2: 투명성 확보 의무 이행 (사례 6~13) + +전체 문의의 52%를 차지한 가장 핵심적인 주제입니다. 표시 방법·위치·수준 등 실무적 질문에 대한 답을 정리합니다. 사전고지와 표시는 별개 의무입니다. + +--- + +> **사례 6** 이미지 생성 시 가시적 워터마크와 비가시적 메타데이터를 모두 적용해야 하는가? +> +> **Q:** 생성형 AI로 만든 이미지에 가시적 워터마크(Watermark)와 비가시적 메타데이터(Metadata)를 반드시 동시에 적용해야 합니까? 서비스 내에서만 보여주는 경우와 다운로드·공유하는 경우 표시 방식이 다릅니까? +> +> **A:** 표시 방법은 AI 생성물의 제공 형태에 따라 달라집니다. +> - **서비스 UI 안에서만 제공**: 화면 내 로고·문구 표시 등으로 충분합니다. 개별 이미지마다 워터마크를 반복 삽입할 필요는 없습니다. +> - **다운로드·공유(외부 반출) 시**: 파일 자체에 AI 생성 사실을 확인할 수 있는 표시(메타데이터 삽입, 디지털 워터마크 등)를 포함해야 합니다. +> - **비가시적 방법만 사용 시**: 이용자에게 최소 1회 이상 안내 문구·음성을 별도 제공해야 합니다. +> +> 가시적·비가시적 방법 중 **선택 또는 병용 모두 허용**되며, 법정 표준 서식은 없습니다. +> +> | 관련 조항 | 「인공지능기본법」 제31조제2항·제3항, 시행령 제23조제2항 | + +--- + +> **사례 7** 인공지능 챗봇·보이스봇 서비스에서 사전고지와 표시 의무를 어떻게 이행하는가? +> +> **Q:** 챗봇·보이스봇(Voice Bot) 서비스에서 사전고지는 어떤 방식으로, 표시는 어디까지 해야 합니까? 서비스명에 'AI'가 포함되어 있으면 별도 고지가 불필요합니까? +> +> **A:** +> - **사전고지**: 챗봇은 첫 대화 화면 문구로, 보이스봇은 연결 초기 음성 안내로 이행합니다. 이용자가 서비스 이용 전에 AI 기반임을 인지할 수 있는 구조라면, 매번 반복 고지는 불필요합니다. +> - **표시**: 서비스 UI 안에서만 응답이 제공되면 화면 내 로고·문구로 처리합니다. 대화 내용·음성 파일을 다운로드·공유하는 기능이 있으면 파일 자체에 표시를 포함해야 합니다. +> - **서비스명만으로는** 명백성 요건을 충족한다고 보기 어렵습니다. 설계 단계에서 충분히 검토하는 것이 안전합니다. +> +> | 관련 조항 | 「인공지능기본법」 제31조, 시행령 제23조제4항제1호 | + +--- + +> **사례 8** 온라인 커머스 상세페이지에 AI 생성 이미지·텍스트를 게시할 때 표시 방법은? +> +> **Q:** 상품 상세페이지 이미지 제작 과정에서 AI로 배경을 합성·생성·보정한 경우, '인공지능 사용' 표기를 해야 합니까? +> +> **A:** 제3자가 제공하는 AI 서비스를 활용하여 생성물을 만드는 경우는 **이용자**에 해당하므로 표시 의무의 대상이 아닙니다. 워터마크의 위치·크기에 관해 법령이 정한 규격도 없습니다. +> +> **판단 기준:** 온라인 커머스가 소비자에게 AI 서비스 자체를 제공하면(예: 소비자가 프롬프트로 이미지 생성) 인공지능이용사업자에 해당할 수 있으나, '마케팅 제작 과정에서 AI 활용'은 이용자 영역입니다. +> +> | 관련 조항 | 「인공지능기본법」 제31조 | + +--- + +> **사례 9** 인공지능이 만들고 사람이 수정한 콘텐츠도 표시 의무가 있는가? +> +> **Q:** 생성형 AI로 만든 생성물을 사람이 일부 수정하면 투명성 표시 의무가 달라집니까? +> +> **A:** 타사 AI 서비스로 이미지를 만들고 이를 단순히 삽입하는 행위(다른 AI 서비스 제공 없음)라면 **이용자**에 해당하여 표시 의무가 없습니다. 이용자가 생성물을 수정하는 경우에도 표시 의무 부과 대상이 아닙니다. 그러나 생성형 AI 서비스 내 기능의 일부로 리터칭(Retouching)·추가 편집 기능을 제공하고 최종 생성물을 출력하는 구조라면, 해당 서비스를 제공하는 인공지능사업자에게 표시 의무가 적용됩니다. +> +> **판단 기준:** AI 생성물을 사람이 단순 수정(색보정 등)하는 것은 이용자 활동입니다. 이 기능을 자동화하여 타인에게 제공하면 사업자에 해당할 수 있습니다. +> +> | 관련 조항 | 「인공지능기본법」 제31조 | + +--- + +> **사례 10** 멀티 LLM 환경에서 구체적인 모델명까지 표시해야 하는가? +> +> **Q:** 이용자가 GPT, Gemini 등 여러 LLM(Large Language Model) 중 하나를 선택해 생성물을 만드는 서비스에서, 구체적 모델명까지 표시해야 합니까? +> +> **A:** 현행 법령은 구체적 모델명(예: GPT-4o)까지 기재하도록 명시적으로 요구하지 않습니다. **'인공지능 생성물'** 등 포괄적 표현으로 표시 의무를 이행할 수 있습니다. 다만 이용자 신뢰와 투명성을 높이는 차원에서 모델명 또는 사용 엔진 정보를 자율적으로 제공하는 것을 검토할 수 있습니다. +> +> **판단 기준:** 법상 의무사항은 'AI 생성물임을 인지할 수 있는 표시'입니다. 모델명 명시는 자율 사항입니다. +> +> | 관련 조항 | 「인공지능기본법」 제31조제2항, 시행령 제23조제2항 | + +--- + +> **사례 11** 광고영상·SNS 콘텐츠·인쇄물에서의 AI 생성물 표시 방법은? +> +> **Q:** 광고영상·SNS 콘텐츠·인쇄물 제작을 위해 AI 생성물을 만들어 사용하면 표시 의무가 있습니까? 모든 장면·이미지마다 표시해야 합니까? +> +> **A:** 생성형 AI로 광고용 이미지·영상을 만들어 게시하는 것은 **이용자** 행위이므로 표시 의무 대상이 아닙니다. 반면, 이용자에게 AI 서비스를 제공하는 인공지능사업자라면 표시 의무가 발생합니다. 표시 방식은 콘텐츠 특성에 따라 설계할 수 있으며, 엔딩크레딧·자막·서비스 화면 로고·문구 등도 허용됩니다. 워터마크의 위치·크기 등 정형 규격은 없고, **이용자가 합리적으로 인지할 수 있는 수준**이면 됩니다. +> +> | 관련 조항 | 「인공지능기본법」 제31조 | + +--- + +> **사례 12** 예술적·창의적 표현물에서 감상을 방해하지 않는 표시 방법은? +> +> **Q:** 전시·감상 목적의 예술적·창의적 AI 생성물에서 워터마크가 감상을 해칠 수 있습니다. 비가시적 방법만으로 의무 이행이 가능합니까? +> +> **A:** 「인공지능기본법」은 예술적·창의적 표현물의 경우 **전시·향유를 저해하지 않는 방식**으로 표시 의무를 이행할 수 있도록 허용합니다. 구체적으로 허용되는 방법은 다음과 같습니다. +> 1. 생성물의 주요 콘텐츠와 겹치지 않는 **별도 영역에 표시** (엔딩크레딧, 자막 등) +> 2. 기계가 판독할 수 있는 **비가시적 표시** (메타데이터 삽입 등) +> +> 비가시적 방법만 단독 사용하는 경우, 이용자에게 최소 1회 이상 별도 안내 문구·음성을 제공해야 합니다. +> +> | 관련 조항 | 「인공지능기본법」 제31조제3항 | + +--- + +> **사례 13** 법 시행 전 제작·게시한 AI 생성물에도 표시 의무가 소급 적용되는가? +> +> **Q:** 인공지능기본법 시행(2026.1.22.) 이전에 AI로 생성하여 SNS·유튜브 등에 게시한 생성물에도 소급하여 워터마크를 삽입해야 합니까? 삭제·재업로드가 필요합니까? +> +> **A:** **소급 적용 없음이 원칙**입니다. 법 시행 이전에 이미 생성하여 게시된 AI 생성물에는 표시 의무가 소급 적용되지 않으므로, 기존 게시물에 워터마크를 삽입하거나 삭제·재업로드할 필요가 없습니다. 법 시행 이후 새롭게 생성하는 AI 생성물부터 인공지능사업자에게 의무가 적용됩니다. +> +> | 관련 조항 | 「인공지능기본법」 부칙(적용 시기) | + +--- + +> **핵심 요약** +> - **표시 방법에 법정 서식 없음**: 워터마크·자막·메타데이터·화면 문구 등 다양한 방법이 인정됩니다 +> - **서비스 내 vs 외부 반출**: 서비스 UI 안에서만 제공 시 화면 표시로 충분하나, 다운로드·공유 시 파일 자체에 표시 필요 +> - **비가시적 표시 단독 사용 시**: 최소 1회 이상 별도 안내 필수 +> - **이용자에게는 의무 없음**: AI 도구를 활용한 콘텐츠 제작·게시는 이용자 활동 +> - **소급 적용 없음**: 법 시행(2026.1.22.) 이전 생성물에는 표시 의무가 적용되지 않습니다 diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/54_11-3_\352\263\240\354\230\201\355\226\245AI_\355\214\220\353\213\250_\354\202\254\353\241\20014to18.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/54_11-3_\352\263\240\354\230\201\355\226\245AI_\355\214\220\353\213\250_\354\202\254\353\241\20014to18.md" new file mode 100644 index 0000000..1cb6483 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/54_11-3_\352\263\240\354\230\201\355\226\245AI_\355\214\220\353\213\250_\354\202\254\353\241\20014to18.md" @@ -0,0 +1,92 @@ +## 11-3. 유형3: 고영향 AI 판단 (사례 14~18) + +고영향 인공지능(High-impact AI)으로 분류되면 「인공지능기본법」 제34조의 사업자 책무가 부과됩니다. 이 유형에서는 업종별로 고영향 인공지능 해당 여부를 판단하는 기준을 다룹니다. 핵심은 **2단계 판단**: ①법정 영역 해당 여부 + ②사람의 생명·신체·기본권에 중대한 영향을 미칠 우려입니다. + +--- + +> **사례 14** 채용 서류전형에서 인공지능을 보조도구로 활용하면 고영향 인공지능인가? +> +> **Q:** 채용 서류전형에서 AI를 요약·추출·유사도 검사 등 보조 도구로만 활용하고, 평가·선별은 사람이 수행하면 고영향 인공지능에 해당합니까? +> +> **A:** 채용 분야는 법 제2조제4호 사목("채용, 대출 심사 등 개인의 권리·의무 관계에 중대한 영향을 미치는 판단 또는 평가")에 해당하는 **법정 영역**입니다. 다만 고영향 여부는 AI가 채용에 미치는 영향과 사람의 실질적 개입 여부를 종합 판단합니다. +> +> - AI가 합격·탈락을 **직접 결정**하는 구조 → 고영향 인공지능 가능성 높음 +> - AI가 서류 검토·추출·요약·분류에만 활용되고, **최종 선별과 평가는 사람이 수행** → 고영향 인공지능에 해당하지 않을 수 있음 +> +> 또한 타사 AI 서비스를 도입하여 자사 채용 업무에만 사용하고 외부에 제공하지 않으면, 인공지능사업자가 아닌 **이용자**에 해당합니다. +> +> **판단 기준:** ①AI 활용 영역(법정 영역인지) + ②중대한 위험 초래 우려(사람의 실질적·적극적 개입과 통제가 보장되는지)를 종합적으로 검토합니다. +> +> | 관련 조항 | 「인공지능기본법」 제33조, 제2조제4호 사목 | + +--- + +> **사례 15** 대출·신용 심사에 활용하는 인공지능은 고영향 인공지능에 해당하는가? +> +> **Q:** 대출 승인 여부와 대출 조건 판단에 AI를 활용하는 경우, 어떤 때 고영향 인공지능으로 봐야 합니까? +> +> **A:** 대출 심사는 법정 고영향 영역에 해당합니다. 그러나 단일 요건 충족만으로 일률 확정하는 것이 아니라, 위험 가능성을 구조적으로 점검합니다. +> +> - AI가 승인/거절/조건을 **사실상 결정**하는 구조 → 고영향 가능성 높음 +> - AI 결과값을 **단순 참고**로만 활용하고, 최종 결정(승인 여부·대출 조건)을 담당자가 **검토·조정·승인**하는 구조 → 고영향에 해당하지 않을 수 있음 +> +> **판단 기준:** AI가 승인·조건을 사실상 결정하는지, 사람이 실질적으로 통제하는지가 핵심입니다. 금융 분야는 금융위원회·금융감독원 기준을 병행하여 검토해야 합니다. +> +> | 관련 조항 | 「인공지능기본법」 제33조, 제2조제4호 사목 | + +--- + +> **사례 16** 의료기기에 탑재된 인공지능 진단 기능은 고영향 인공지능인가? +> +> **Q:** 진단용 초음파 의료기기에 탑재되어 병변을 탐지하고 의사에게 결과를 제공하는 AI가 고영향 인공지능에 해당합니까? 의사의 독립적 판단이 실질적으로 이루어지는 구조(참고 보조)에서도 동일합니까? +> +> **A:** 보건의료 분야는 법정 고영향 영역입니다. 그러나 해당 AI가 스스로 질병을 진단하거나 영상을 판독하는 것이 아니라, 검사 편의성을 높이고 예측값을 제공하여 의료진의 판단을 **보조**하는 역할에 그친다면 고영향에 해당하지 않습니다. +> +> - 예측값이 참고 자료에 불과하고 **최종 판단은 의료진이 수행** +> - 오류 시 의료진이 **직접 개입**할 수 있는 구조 +> +> → 의료진의 진단을 대체하거나 자동화된 결정을 내리는 기능으로 보기 어려워 **고영향 인공지능에 해당하지 않습니다.** +> +> **판단 기준:** '자동 진단·결정'인지 '편의성·보조'인지가 핵심입니다. 의료 분야는 보건복지부·식품의약품안전처 기준을 병행 검토해야 합니다. +> +> | 관련 조항 | 「인공지능기본법」 제33조, 제2조제4호 다·라목 | + +--- + +> **사례 17** 교육 인공지능서비스는 고영향 인공지능에 해당하는가? +> +> **Q:** 중·고등 특수교육 대상 학생에게 학습 콘텐츠 초안 생성·활동 기록 분석·리포트를 제공하는 AI 서비스가 고영향 인공지능에 해당합니까? +> +> **A:** 교육 분야 고영향 인공지능은 법 제2조제4호 차목에 따라 **유아교육·초등교육 및 중등교육에서의 '평가' 영역**에서 활용되는 경우에만 해당합니다. +> +> - **고영향 해당**: 학생 성취도 평가, 합격·불합격 결정 등 평가 목적 AI +> - **고영향 비해당**: 학습 보조, 콘텐츠 생성, 학습 활동 정리, 교사·보호자 참고용 리포트, 학원 교육 등 +> +> 문의 서비스는 교육자료 생성과 교육과정 진행·정리를 목적으로 사용되므로, 평가 분야 프로그램으로 보기 어렵습니다. +> +> **판단 기준:** '평가' 목적인지 '학습 보조·콘텐츠 생성' 목적인지로 좁게 해석합니다. +> +> | 관련 조항 | 「인공지능기본법」 제33조, 제2조제4호 차목 | + +--- + +> **사례 18** 공공안전 분야 인공지능(홍수예보·지능형 CCTV 등)은 고영향 인공지능인가? +> +> **Q:** ①AI가 10분마다 하천 수위를 예측하고 위험 알람을 생성하는 홍수예보 시스템이 고영향에 해당합니까? ②지능형 CCTV가 단순 모니터링인지, 생체인식 기능인지에 따라 달라집니까? +> +> **A:** +> - **홍수예보 AI**: 현행 법령상 고영향 인공지능 법정 영역(에너지·먹는 물 생산 등)에 **포함되지 않습니다.** 단순 홍수예보 체계에서만 활용된다면 고영향에 해당하지 않을 가능성이 높습니다. +> - **지능형 CCTV**: 단순 모니터링 지원인지, 범죄수사·체포 목적의 **생체인식 기능**을 수행하는지에 따라 달라집니다. 법 제2조제4호 바목("범죄 수사나 체포 업무를 위한 생체인식정보의 분석·활용")에 해당하면 고영향 가능성이 있습니다. +> +> **판단 기준:** 고영향 인공지능은 '영역 요건'과 '중대 영향·위험' 요건을 함께 보는 2단계 판단 대상입니다. 법정 영역에 해당하지 않으면 고영향 판단 대상이 아닙니다. +> +> | 관련 조항 | 「인공지능기본법」 제33조, 제2조제4호 각 목 | + +--- + +> **핵심 요약** +> - **2단계 판단**: ①법 제2조제4호 법정 영역 해당 여부 → ②중대한 위험 초래 우려 (사람의 실질적 개입·통제 여부) +> - **사람의 개입이 핵심**: 보조 도구로만 활용되고 사람이 최종 결정하면 고영향 제외 가능 +> - **법정 영역 비해당 시**: 고영향 판단 대상 자체가 아님 (홍수예보, 학습 보조 등) +> - **복수 영역 해당 시**: 각 영역별 가이드라인 체크리스트를 모두 검토해야 합니다 +> - **분야별 소관 기관**: 의료는 보건복지부·식약처, 금융은 금융위·금감원 기준 병행 검토 필요 diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/55_11-4_\354\232\264\354\230\201\354\235\230\353\254\264_\354\247\221\355\226\211_\354\202\254\353\241\20019to20.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/55_11-4_\354\232\264\354\230\201\354\235\230\353\254\264_\354\247\221\355\226\211_\354\202\254\353\241\20019to20.md" new file mode 100644 index 0000000..a1ea76f --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/55_11-4_\354\232\264\354\230\201\354\235\230\353\254\264_\354\247\221\355\226\211_\354\202\254\353\241\20019to20.md" @@ -0,0 +1,80 @@ +## 11-4. 유형4: 운영 의무 및 집행 (사례 19~20) + +소급 적용 여부, 유예기간 운영, 기록·사후검증 체계 구축 등 제도 집행 과정에서 발생하는 주요 실무 질의 사항을 정리합니다. + +--- + +> **사례 19** 고영향 인공지능 사업자의 기록·사후 검증 관리체계 의무는 구체적으로 무엇인가? +> +> **Q:** 고영향 인공지능 사업자로서 기록 보관, 설명 가능성 확보, 사후 검증 관리체계를 어떻게 구현해야 합니까? 인공지능 판단 기록이 사후에 수정되지 않았음을 어떻게 담보합니까? +> +> **A:** 「인공지능기본법」 제34조에 따른 고영향 인공지능 사업자 책무는 다음과 같이 이행합니다. +> +> | 책무 항��� | 이행 내용 | +> |:---:|---------| +> | **기록 보관** | AI 판단 시점의 입력·출력·근거를 로그(Log)로 저장하고 변경 이력을 관리하는 시스템 구축 | +> | **설명 가능성** | 개별 결정 단위로 이용자에게 설명할 수 있는 체계 마련 (영향이 적은 경우 시스템 수준 설명으로 갈음 가능) | +> | **사후 검증** | 정기적 성능 점검, 오류 모니터링 체계 운영 | +> | **로그 무결성** | 타임스���프(Timestamp)와 함께 저장하고, 변경 이력이 별도 관리되는 시스템을 구축하여 무결성 입증 | +> +> 인공지능개발사업자와 인공지능이용사업자의 이행 주체는 「고영향 인공지능 사업자 책무 가이드라인」의 '개발·이용 태그'로 구분합니다. 인공지능개발사업자가 이행한 책무는 중대한 기능 변경이 없는 한, 인공지능이용사업자가 중복 이행하지 않아도 됩니다. 단, 계약(SLA)을 통해 이행 주체를 명확히 구분해야 합니다. +> +> **홈페이지 공시**: 법령에 별도 규정은 없으나, 이용자가 쉽게 접근할 수 있는 위치에 마련하는 것이 바람직합니다. 가급적 개별 AI 시스템 단위로 구분하여 작성할 것을 권장합니다. +> +> | 관련 조항 | 「인공지능기본법」 제34조 | + +--- + +> **사례 20** 법 시행 이전부터 제공하던 인공지능서비스에도 법이 소급 적용되는가? 유예기간은? +> +> **Q:** 법 시행 이전부터 제공하던 AI 서비스에도 시행 후 의무가 적용됩니까? 법 시행 전 생성·게시된 AI 생성물에도 표시 의무가 소급 적용됩니까? 위반 시 제재와 유예기간은 어떻게 됩니까? +> +> **A:** +> +> | 항목 | 결론 | +> |:---:|------| +> | **서비스 의무 적용** | 법 시행 전부터 서비스를 제공하던 사업자도 **시행 이후부터 의무 대상** | +> | **기존 생성물 소급** | 법 시행 전 생성·게시된 AI 생성물에 대해서는 **소급 적용 없음** | +> | **유예기간** | 정부는 최소 1년 이상 사실조사·과태료 부과를 유예하겠다는 방침 | +> | **유예 대상** | 투명성 관련 사전고지 미이행, 국내대리인 미지정, 시정명령 미이행에 대한 사실조사 유예 | +> | **유예 중 예외** | 인명사고·심각한 인권 침해 등 중대한 문제 시 예외적 사실조사 가능 | +> +> **판단 기준:** 유예기간 중에도 법적 의무 자체가 사라지는 것은 아닙니다. 지금부터 단계적 이행 계획을 세우고 준비 과정을 문서화해 두는 것이 바람직합니다. 유예기간 연장 여부는 기술발전 속도, 글로�� 규제 추세 등을 고려하여 검토될 예정입니다. +> +> | 관련 조항 | 「인공지능기본법」 부칙, 제40조, 제43조 | + +--- + +## 사례 색인표 + +| 번��� | 질문 요지 | 관련 조항 | 유형 | +|:---:|---------|:---:|:---:| +| 사례 1 | 타사 AI로 제작한 콘텐츠 사용 시 이용사업자 해당 여부 | 제2·4·5조 | 유형1 | +| 사례 2 | 생성형 AI 도입 공공기관의 투명성 의무 | 제31조 | 유형1 | +| 사례 3 | ��품받은 AI 서비스 제공 시 사업자 유형 판단 | 제2·4·5조 | 유형1 | +| 사례 4 | 개인 창작자의 표시 의무 | 제31조 | 유형1 | +| 사례 5 | 내부 업무용 자체 개발 AI의 투명성 의무 | 제31조 | 유형1 | +| 사례 6 | 가시적 워터마크와 비���시적 메타데이터 동시 적용 여부 | 제31조 | 유형2 | +| 사례 7 | ��봇·보이스봇 사전고지 및 표시 이행 방법 | 제31조 | 유형2 | +| 사례 8 | 온라인 커머스 상세페이지 AI 생성물 표시 방법 | 제31조 | 유형2 | +| 사례 9 | AI가 만들고 사람이 수정한 콘텐츠의 표시 의무 | 제31조 | 유형2 | +| 사례 10 | 멀티 LLM 환경 모델명 표시 여부 | 제31조 | 유형2 | +| 사례 11 | 광고영상·SNS·인쇄물 AI 생성물 표시 방법 | 제31조 | 유형2 | +| 사례 12 | 예술적·창의적 표현물의 표시 방법 | 제31조 | 유형2 | +| 사례 13 | 법 시행 전 AI 생성물 ��급 적용 여부 | 부칙 | 유형2 | +| 사례 14 | 채용 서류전형 보조도구 고영향 판단 | 제33조 | 유형3 | +| 사례 15 | 대출·신용 심사 AI 고영향 판단 | 제33조 | 유형3 | +| 사례 16 | 의료기기 AI 진단 기능 고영향 판단 | 제33조 | 유형3 | +| 사례 17 | 교육 AI 서비스 고영향 판단 | 제33조 | 유형3 | +| 사례 18 | 홍수예보·지능형 CCTV 고영향 판단 | 제33조 | 유형3 | +| 사례 19 | 고영향 AI 사업자 기록·사후검증 관리체계 | 제34조 | 유형4 | +| 사례 20 | 소급 적용 여부 및 유예기간 | 부칙 | 유형4 | + +--- + +> **핵심 요약** +> - **기록 보관·설명 가능성·사후 검증**은 고영향 인공지능 사업자의 핵심 책무입니다 +> - 개발사업자와 이용사업자 간 **책무 이행 주체를 계약으로 명확히 구분**해야 합니다 +> - 법 시행 전 생성물에는 **소급 적용 없음**, 시행 후 서비스부터 의무 적용 +> - **유예기간 중에도 법적 의무는 존재**하며, 단계적 이행 계획 수립과 문서화가 중요합니다 +> - 인명사고·심각한 인권 침해 등 **중대 사안은 유예기간 중에도 사실조사 가능** diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/56_\353\266\200\353\241\235A_\354\241\260\353\254\270_\354\203\211\354\235\270.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/56_\353\266\200\353\241\235A_\354\241\260\353\254\270_\354\203\211\354\235\270.md" new file mode 100644 index 0000000..ea14fa7 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/56_\353\266\200\353\241\235A_\354\241\260\353\254\270_\354\203\211\354\235\270.md" @@ -0,0 +1,93 @@ +# 부록 A. 인공지능기본법 조문 색인 + +> 「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」 (법률 제21311호, 시행 2026. 1. 22.) + +--- + +## 제1장 총칙 + +| 조문 | 조문명 | 핵심 내용 | 본문 참�� | +|:----:|--------|-----------|----------| +| 제1조 | 목적 | 인공지능의 건전한 발전과 신뢰 기반 조성, 국민 권익·존엄성 보호 | 1-1절 | +| 제2조 | 정의 | AI, AI시스템, AI기술, 고영향AI, 생성형AI, AI산업, AI사업자(개발·이용), 이용자, 영향받는 자, AI사회, AI윤리, 학습용데이터 등 12개 용어 정의 | 1-3절 | +| 제3조 | 기본원칙 및 국가 등의 책무 | 안전성·신뢰성 제고 방향, 설명 제공 원칙, 취약계층 참여 보장 | 1-2절 | +| 제4조 | 적용범위 | 국외 행위의 국내 적용, 국방·국가안보 목적 AI 적용 제외 | 1-4절 | +| 제5조 | 다른 법률과의 관계 | 특별법 우선 원칙, 다른 법률 제·개정 시 본 법 목적 부합 | 1-4절 | + +## 제2장 인공지능의 건전한 발전과 신뢰 기반 조성을 위한 추진체계 + +| 조문 | 조문명 | 핵심 내용 | 본문 참조 | +|:----:|--------|-----------|----------| +| 제6조 | 인공지능 기본계획의 수립 | 3년마다 기본계획 수립, 8개 포함 사항 규정 | 1-2절 | +| 제7조 | 국가인공지능전략위원회 | 대통령 소속 60명 이내 위원회, 5년간 존속 | 1-2절 | +| 제8조 | 위원회의 기능 | 기본계획·고영향AI 규율 등 13개 심의·의결 사항 | 1-2절 | +| 제9조 | 위원의 제척·기피 및 회피 | 이해관계 시 심의 제척, 기피 신청·회피 의무 | - | +| 제10조 | 분과위원회 등 | 분과위원회·특별위원회·자문단·AI책임관협의회 설치 | - | +| 제11조 | 인공지능정책센터 | 정책 개발·국제규범 업무 수행 기관 지정 | - | +| 제12조 | 인공지능안전연구소 | AI 안전 확보를 위한 전문 연구소 운영 | - | + +## 제3장 인공지능기술 개발 및 산업 육성 + +### 제1절 인공지능산업 기반 조성 + +| 조문 | 조문명 | 핵심 내용 | 본문 참조 | +|:----:|--------|-----------|----------| +| 제13조 | 인공지능기술 개발 및 안전한 이용 지원 | AI 기술 개발·안전 이용 지원 사업 추진 | - | +| 제14조 | 인공지능기술의 표준화 | AI 기술 표준 제정·보급, 국제표준 협력 | - | +| 제15조 | 인공지능 학습용데이터 관련 시책 수립 등 | 학습용데이터 생산·유통 촉진, 통합제공시스템 구축 | - | + +### 제2절 인공지능기술 개발 및 인공지능산업 활성화 + +| 조문 | 조문명 | 핵심 내용 | 본문 참조 | +|:----:|--------|-----------|----------| +| 제16조 | 인공지능기술 도입·활용 시책 등 | 기업·공공기관 AI 도입 촉진, AI 제품 우선 고려 의무 | - | +| 제17조 | 중소기업등을 위한 특별지원 | 중소기업 우선 고려, 사업자 책무·영향평가 이행 지원 | - | +| 제17조의2 | AI 제품·서비스 이용비용 지원 | 경제적 취약계층 AI 이용비��� 지원 (시행 2026.7.21.) | - | +| 제18조 | 창업의 활성화 등 | AI 산업 분야 창업 지원, 벤처투자모태조합 활용 | - | +| 제19조 | 인공지능 융합의 촉진 | 타 산업과의 융합 촉진, 임시허가·규제특례 지원 | - | +| 제20조 | 제도개선 등 | AI 산업 발전을 위한 법령 정비·제도 개선 | - | +| 제21조 | 전문인력의 확보 | 전문인력 양성·해외인력 유치 시책 추진 | - | +| 제22조 | 국제협력 및 해외시장 ��출 지원 | AI 산업 국제협력·해외시장 진출 지원 | - | +| 제22조의2 | 인공지능연구소 설립·지원 등 | 대학·기업 등의 AI 연구소 설립 허가·지원 | - | +| 제22조의3 | AI기술 확보를 위한 연구기관 설립·운영 | 혁신적 AI 기술 확보용 연구기관 설립 (시행 2026.7.21.) | - | +| 제23조 | 인공지능집적단지 지정 등 | AI 연구·개발 기업 집적화 추진, 집적단지 지정 | - | +| 제24조 | 인공지능 실증기반 조성 등 | 실증시험 시설·장비 구축·운영 지원 | - | +| 제25조 | AI 데이터센터 관련 시책 추진 등 | AI 데이터센터 구축·운영 활성화, 지역 균형 발전 | - | +| 제26조 | 한국인공지능진흥협회 설립 | AI 진흥 협회 설립·인가, 법인 지위 부여 | - | + +## 제4장 인공지능윤리 및 신뢰성 확보 + +| 조문 | 조문명 | 핵심 내용 | 본문 참조 | +|:----:|--------|-----------|----------| +| 제27조 | 인공지능 윤리원칙 등 | 윤리원칙 제정·공표, 실천방안 수립 | - | +| 제28조 | 민간자율인공지능윤리위원회 설치 등 | 교육·연구기관, AI사업자의 자율 윤리위원회 설치 | - | +| 제29조 | AI 신뢰 기반 조성을 위한 시책 마련 | 안전한 AI 이용환경 조성, 자율 규약 지원 등 7개 시책 | - | +| 제30조 | AI 안전성·신뢰성 검·인증등 지원 | 자율적 검증·인증 활동 지원, 고영향AI 사전 검·인증 노력 의무 | - | +| **제31���** | **인공지능 투명성 확보 의무** | **제1항: 사전고지(고영향+생성형), 제2항: 생성물 표시, 제3항: 딥페이크 표시** | **3장** | +| **제32조** | **인공지능 안전성 확보 의무** | **누적 연산량 기준 이상 AI의 수명주기 위험관리·사고 모니터링 체계 구축** | **4장** | +| **제33조** | **고영향 인공지능의 확인** | **사업자의 고영향 여부 사전 검토, 과기정통부 확인 요청 가능** | **5장** | +| **제34조** | **고영향 AI 사업자의 책무** | **5대 조치: 위험관리방안, 설명방안, 이용자보호, 관��감독, 안전신뢰문서** | **6장** | +| **제35조** | **고��향 AI 영향평가** | **기본권 영향 사전 평가 노력 의무, 공공기관 우선 고려** | **7장** | +| **제36조** | **국내대리인 지정** | **해외사업자 국내대리인 지정·신고 의무(매출·이용자 기준)** | **8장** | + +## 제5장 보칙 + +| 조문 | 조문명 | 핵심 내용 | 본문 참조 | +|:----:|--------|-----------|----------| +| 제37조 | AI 산업 진흥을 위한 재원 확충 등 | 안정적 재원 확충 방안 마련, 민간 투자 촉진 | - | +| 제38조 | 실태조사, 통계 및 지표 작성 | AI 관련 실태조사·통계 작성·공표 | - | +| 제39조 | 권한의 위임 및 업무의 위탁 | 장관 권한 위임, 관련 기관·단체에 업무 위탁 | - | +| 제40조 | 사실조사 등 | 위반 혐의 시 자료 제출·현장 조사, 시정명령 | 9장 | +| 제41조 | 벌칙 적용에서 공무원 의제 | 위원회 비공무원 위원·위탁 업무 종사자 공무원 의제 | - | + +## 제6장 벌칙 + +| 조문 | 조문명 | 핵심 내용 | 본문 참조 | +|:----:|--------|-----------|----------| +| **제42조** | **벌칙** | **위원회 비밀 누설·목적 외 사용 시 3년 이하 징역 또는 3천만원 이하 벌금** | **9장** | +| **제43조** | **과태료** | **제31조제1항 위반(고지 미이행), 제36조제1항 위반(국내대리인 미지정), 시정명령 미이행 시 3천만원 이하 과태료** | **9장** | + +--- + +> **참고**: 굵은 글씨 조문은 본 가이드의 핵심 해설 대상입니다. +> 부칙에 따라 제3조제5항, 제6조제2항제7·8호, 제16조제3~5항, 제17조의2, 제18조, 제22조의3, 제35조제1항 후단은 2026. 7. 21.부터 시행됩니다. diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/57_\353\266\200\353\241\235B_\354\232\251\354\226\264\354\247\221.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/57_\353\266\200\353\241\235B_\354\232\251\354\226\264\354\247\221.md" new file mode 100644 index 0000000..fdeb30e --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/57_\353\266\200\353\241\235B_\354\232\251\354\226\264\354\247\221.md" @@ -0,0 +1,80 @@ +# 부록 B. 용어집 + +> 본 용어집은 「인공지능기본법」 및 관련 가이드라인에서 사용되는 핵심 용어를 정리한 것입니다. +> 용어의 첫 등장 시에만 영문을 병기합니다. + +--- + +## 1. 법률 정의 용어 (제2조 기반) + +| 번호 | 용어 | 영문 | 정의 | 근거 | +|:----:|------|------|------|------| +| 1 | 인공지�� | Artificial Intelligence, AI | 학습·추론·지각·판단·언어이해 등 인간의 지적 능력을 전자적 방법으로 구현한 것 | 법 제2조제1호 | +| 2 | 인공지능시스템 | AI System | 다양한 수준의 자율성·적응성을 가지고 예측·추천·결정 등의 결과물을 추론하는 AI 기반 시스템 | 법 제2조제2호 | +| 3 | 인공지능기술 | AI Technology | AI 구현에 필요한 하드웨어·소프트웨어 기술 또는 활용 기술 | 법 제2조제3호 | +| 4 | 고영향 인공지능 | High-impact AI | 생명·신체 안전·기본권에 중대한 영향을 미치는 AI 시스템으로, 법정 11개 영역에서 활용되는 것 | 법 제2조제4호 | +| 5 | 생성형 인공지능 | Generative AI | 입력 데이터의 구조·특성을 모방하여 글·소리·그림·영상 등을 생성하는 AI 시스템 | 법 제2조제5호 | +| 6 | 인공지능산업 | AI Industry | AI 제품 개발·제조·유통 또는 AI 서비스를 제공하는 산업 | 법 제2조제6호 | +| 7 | 인공지능사업자 | AI Business Operator | AI 산업 관련 사업을 하는 법인·단체·개인 및 국가기관등 | 법 제2조제7호 | +| 7가 | 인공지능개발사업자 | AI Developer | AI를 개발하여 제공하는 사업자 | 법 제2조제7호가 | +| 7나 | 인공지능이용사업자 | AI Deployer | 개발사업자가 제공한 AI를 활용하여 제품·서비스�� 제공하는 사업자 | 법 제2조제7호나 | +| 8 | 이용자 | User | AI 제품 또는 AI 서비스를 제공받는 자 | 법 제2조제8호 | +| 9 | 영향받는 자 | Affected Person | AI 제품·서비스에 의하여 생명·신체 안전·기본권에 중대한 영향을 받는 자 | 법 제2조제9호 | +| 10 | 인공지능사회 | AI Society | AI를 통하여 산업·경제·사회·문화·행정 등 전 분야에서 가치를 창출하고 발전을 이끌어가는 사회 | 법 제2조제10호 | +| 11 | 인공지능윤리 | AI Ethics | 안전하고 신뢰할 수 있는 AI 사회 구현을 위해 AI의 개발·제공·이용 등 모든 영역에서 지켜야 할 윤리적 기준 | 법 제2조제11호 | +| 12 | 학습용데이터 | Training Data | AI의 개발·활용 등에 사용되는 데이터 | 법 제2조제12호 | + +--- + +## 2. 가이드라인 핵심 용어 + +| 용어 | 영문 | 설명 | 관련 조항 | +|------|------|------|----------| +| 투명성 확보 | Transparency | AI 생성물 표시, 사전 고지 등 이용자에게 AI 활용 사실을 알리는 의무 | 법 제31조 | +| 사전 고지 | Prior Notice | 고영향AI·생성형AI 기반 제품·서비스의 AI 운용 사실을 이용자에게 미리 알리는 것 | 법 제31조제1항 | +| AI 생성물 표시 | AI-generated Content Labeling | 생성형AI가 생성한 콘텐츠임을 표시하는 것 (워터마크, 메타데이터 등) | 법 제31조제2항 | +| 안전성 확보 | Safety Assurance | 누적 연산량 기준 이상 AI 시스템의 위험 식별·평가·완화·모니터링 체계 운영 | 법 제32조 | +| 위험관리방�� | Risk Management Plan | 고영향AI 사업자가 수립·운영하는 위험의 식별·평가·완화·모��터링 계획 | 법 제34조제1항제1호 | +| 설명가능성 | Explainability | AI의 최종결과, 도출에 활용된 주요 기준, 학습용데이터 개요 등을 이해 가능한 형태로 기록·제공하는 것 | 법 제34조제1항제2호 | +| 이용자 보호 | User Protection | 이용자의 권리 보장, 이의제기·피해구제 절차 등을 포함하는 보호 방안 | 법 제34조제1항제3호 | +| 사람의 관리·감독 | Human Oversight | 고영향AI에 대한 사람의 개입·점검·통제 체계 | 법 제34조제1항제4호 | +| 안전·신뢰 문서 | Safety & Trust Document | 사업자 책무 이행 사항을 기록·보관하는 문서 (5년 보관) | 법 제34조제1항제5호 | +| 고영향 확인 | High-impact Assessment | 자사 AI가 고영향에 해당하는지 사전 검토하는 절차 | 법 제33조 | +| 영향평가 | Impact Assessment | 고영향AI의 기본권·이익 영향을 사전에 평가하는 절차 | 법 제35조 | +| 국내대리인 | Domestic Representative | 해외 AI 사업자가 국내에 지정하는 법적 대리인 | 법 제36조 | +| 검·인증등 | Verification & Certification | 단체등이 AI 안전성·신뢰성을 위해 자율적으로 추진하는 검증·인증 활동 | 법 제30조 | +| 인공지능안전 | AI Safety | AI로 인한 위험으로부터 생명·신체·재산을 보호하고 신뢰 기반을 유지하기 위한 상태 | 법 제12조 | +| 인공지능취약계층 | AI Vulnerable Groups | AI 제품·서비스 이용에 어려움을 겪는 장애인·고령자 등 대통령령으로 정하는 계층 | 법 제3조제5항 | + +--- + +## 3. 제재 관련 용어 + +| 용어 | 영문 | 설명 | 관련 조항 | +|------|------|------|----------| +| 과태료 | Administrative Fine | 의무 위반 시 부과되는 행정 제재금 (최대 3천만원) | 법 제43조 | +| 시정명령 | Corrective Order | 법 위반 사항에 대한 중지 또는 시정 조치 명령 | 법 제40조제3항 | +| 사실조사 | Fact-finding Investigation | 위반 혐의 시 자료 제출 요구 및 현장 조사 | 법 제40조 | +| 벌칙 | Criminal Penalty | 위원회 비밀 누설 시 3년 이하 징역 또는 3천만원 이하 벌금 | 법 제42조 | + +--- + +## 4. 고영향AI 법정 11개 영역 (제2조제4호) + +| 기호 | 영역 | 관련 법률 | +|:----:|------|----------| +| 가 | 에너지 공급 | 「에너지법」 제2조제1호 | +| 나 | 먹는물 생산 공정 | 「먹는물관리법」 제3조제1호 | +| 다 | 보건의료 제공·이용체계 구축·운영 | 「보건의료기본법」 제3조제1호 | +| 라 | 의료기기·디지털의료기기 개발·이용 | 「의료기기법�� 제2조, 「디지털의료제품법」 제2조 | +| 마 | 핵물질·원자력시설 안전 관리·운영 | 「원자력시설등의방호및방사능방재대책법」 제2조 | +| 바 | 범죄 수사·체포를 위한 생체인식정보 분석·활용 | - | +| 사 | 채용·대출 심사 등 권리·의무 관계에 중대한 영향을 미치는 판단·평가 | - | +| 아 | 교통수단·시설·체계의 주요 작동·운영 | 「교통안전법」 제2조 | +| 자 | 공공서비스 의사결정 (자격확인·비용징수 등) | 「공공기관의운영에관한법률」 제4조 | +| 차 | 유아·초등·중등교육에서의 학생 평가 | 「교육기본법」 제9조제1항 | +| 카 | 대통령령으로 정하는 영역 | 시행령 별도 규정 | + +--- + +*본 용어집은 집필 과정에서 지속적으로 업데이트됩니다.* diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/58_\353\266\200\353\241\235C_\354\260\270\354\241\260\353\254\270\355\227\214.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/58_\353\266\200\353\241\235C_\354\260\270\354\241\260\353\254\270\355\227\214.md" new file mode 100644 index 0000000..99372a4 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/58_\353\266\200\353\241\235C_\354\260\270\354\241\260\353\254\270\355\227\214.md" @@ -0,0 +1,56 @@ +# 부록 C. 참조문헌 목록 + +> 본 가이드에서 참조한 법률·시행령·가이드라인 등의 정식명칭, 발행 정보, 근거 조항을 정리합니다. + +--- + +## 1차 자료 (법률·시행령) + +| REF | 정식명칭 | 발행일 | 발행기관 | 근거 조항 | +|:---:|---------|:------:|---------|----------| +| 01 | 인공지능 발전과 신뢰 기반 조성 등에 관한 기본법 (약칭: 인공지능기본법) — 법률 제21311호 | 2026.1.22. 시행 | 과학기술정보통신부 인공지능안전신뢰정책과 | - | +| 02 | 인공지능 발전과 신뢰 기반 조성 등에 관한 기본법 시행령 — 대통령령 제36053호 | 2026.1.22. 시행 | 과학기술정보통신부 | - | + +--- + +## 2차 자료 (가이드라인 5종) + +| REF | 정식명칭 | 발행일 | 발행기관 | 근거 조항 | +|:---:|---------|:------:|---------|----------| +| 03 | 인공지능 투명성 확보 가이드라인 (수정본) | 2026.1.26. | 과학기술정보통신부 | 법 제31조 | +| 04 | 인공지능 안전성 확보 가이드라인 | 2026.1.22. | 과학기술정보통신부 | 법 제32조 | +| 05 | 최첨단 인공지능 안전성 확보 가이드라인 | 2026.1.22. | 과학기술정보통신부 | 법 제32조 | +| 06 | 고영향 인공지능 판단 가이드라인 (v.4) | 2026.2.13. | 과학기술정보통신부 | 법 제33조제3항 | +| 07 | 고영향 인공지능 사업자 책무 가이드라인 | 2026.1.22. | 과학기술정보통신부 | 법 제34조 | +| 08 | 인공지능 영향평가 가이드라인 | 2026.1.22. | 과학기술정보통신부 | 법 제35조 | + +--- + +## 3차 자료 (절차 안내·사례집) + +| REF | 정식명칭 | 발행일 | 발행기관 | 근거 조항 | +|:---:|---------|:------:|---------|----------| +| 09 | AI기본법상 국내대리인 지정 절차 안내 | 2026.1.22. | 과학기술정보통신부 | 법 제36조 | +| 10 | 인공지능기본법 지원데스크 사례집 — 20선의 질답 사례로 배우는 기업 실무 가이드 | 2026 | 인공지능기본법 지원데스크 | 전체 | + +--- + +## 참고 사항 + +- **REF-05**: REF-04(안전성 확보 가이드라인)와 내용이 99.8% 동일합니다. 누적 연산량 기준 고성능 AI 시스템에 적용되며, 본 가이드에서는 REF-04에 통합하여 취급합니다. +- **REF-10**: 법 시행 후 2개월간 접수된 513건 문의를 기반으��� 정리된 20개 Q&A 사례를 포함합니다. +- **소관부처 연락처**: 과학기술정보통신부 인공지능안전신뢰정책과 (044-202-6293) + +--- + +## 인용 형식 + +본 가이드에서 참조문헌을 인용할 때는 아래 형식을 사용합니다. + +| 유형 | 인용 형식 | 예시 | +|------|----------|------| +| 법률 | 「인공지능기본법」 제N조제N항 | 「인공지능기본법」 제31조제1항 | +| 시행령 | 「인공지능기본법 시행령」 제N조제N항 | 「인공지능기본법 시행령」 제25조제1항 | +| 가이드라인 | 「가이드라인명」 N-M절 | 「투명성 확보 가이드라인」 2-1절 | +| 사례집 | 「지원데스크 사례집」 사례 N | 「지원데스크 사례집」 사례 14 | +| 각주 | [REF-번호] 약칭, p.N | [REF-07] 사업자책무 가이드라인, p.45 | diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/59_\353\266\200\353\241\235D_\354\204\234\354\213\235_\353\252\250\354\235\214.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/59_\353\266\200\353\241\235D_\354\204\234\354\213\235_\353\252\250\354\235\214.md" new file mode 100644 index 0000000..376e6d3 --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/59_\353\266\200\353\241\235D_\354\204\234\354\213\235_\353\252\250\354\235\214.md" @@ -0,0 +1,205 @@ +# 부록 D. 서식 모음 + +> 본 부록은 「인공지능기본법」 및 관련 가이드라인에서 제공하는 주요 서식을 정리한 것입니다. +> 원본 서식은 각 레퍼��스의 부록을 참조하시기 바랍니다. + +--- + +## D-1. 고영향 인공지능 확인(재확인) 요청서 + +> 근거: 「인공지능기본법」 제33조제1항, 같은 법 시행령 제25조제1항·제4항 +> 출처: [REF-02] 시행령 별지 서식 + +### 서식 개요 + +사업자가 자사 AI의 고영향 해당 여부를 과학기술정보통신부장관에게 확인 또는 재확인 요청할 때 사용하는 서식입니다. 처리기간은 30일입니다. + +### 서식 항목 + +| 구분 | 기재 항목 | 설명 | +|------|----------|------| +| **요청인** | 상호(사업자명) | 법인명 또는 개인 사업자명 | +| | 법인등록번호 또는 사업자등록번호 | - | +| | 대표자 성명 | - | +| | 주소 | - | +| **업무담당자** | 성명 | 국내대리인인 경우 대리인 정보 기재 | +| | 연락처 (전화번호 및 전자우편주소) | - | +| **요청구분** | 인공지능개발사업자 / 인공지능이용사업자 | 체크 방식 | +| **요청 인공지능** | 인공지능 명칭 | - | +| | 기본모델 (명칭, 개발사업자/개발국가) | - | +| | 파생모델 (명칭, 개발사업자/개발국가) | - | +| | 용도 | - | +| **인공지능 적용영역** | 11개 영역 체크 | 에너지 / 먹는물 / 보건의료 / 의료기기 / 원자력 / 범죄 수사·체포 / 채용·대출 심사 / 교통 / 공공서비스 / 교육 / 기타 | +| **기타** | 재확인 시 취지와 이유 | 별도 용지 첨부 가능 | +| **사전 검토결과** | 검토결과 | 고영향 해당 / 미해당 / 판단불가 체크 | +| | 검토근거 | 구체적 사유 기재 | + +### 제출 서류 + +**확인 요청 시 (시행령 제25조제1항)** + +| 번호 | 서류명 | +|:----:|--------| +| 가 | 해당 AI 제품 또는 AI 서비스의 개요서 | +| 나 | 해당 AI 시스템의 개발 및 학습에 사용된 학습용데이터의 개요 | +| 다 | 해당 AI 시스템을 활용하는 과정 및 결과를 확인할 수 있는 자료 | +| 라 | 그 밖에 고영향AI 해당 여부 확인에 참고가 될 수 있는 서류 | + +**재확인 요청 시 (시행령 제25조제4항)** + +| 번호 | 서류명 | +|:----:|--------| +| 1 | 기존 확인 요청에 따라 과학기술정보통신부장관이 회신한 결과 | +| 2 | 그 밖에 고영향AI 재확인에 참고가 될 수 있는 서류 | + +--- + +## D-2. 안전·신뢰 문서 양식 + +> 근거: 「인공지능기본법」 제34조제1항제5호 +> 출처: [REF-07] 고영향AI 사업자책무 가이드라인 부록 1 + +### 서식 개요 + +고영향AI 사업자가 5대 책무 이행 사항을 통합 기록·보관하기 위한 표준 양식입니다. 법 제34조제1항의 모든 조치사항을 포괄적으로 통합하여 하나의 체계적인 문서로 작성합니다. 5년간 보관 의무가 있습니다. + +### 문서 구성 + +| 장 | 항목 | 세부 내용 | +|:--:|------|----------| +| 표지 | 문서 ID, 프로젝트명 | 작성자·검토자·승인자 서명란 | +| 이력 | 변경 이력 | 버전, 작성자(팀), 날짜, 변경 내용 | +| 1. | 문서 소개 | 1.1. 용어 정의 / 1.2. 적용 문서 / 1.3. 참조 문서 | +| 2. | 인공지능 위험관리 | 2.1. 인공지능 개요 (제품·서비스명, 제공사, 요약, 조직도) | +| | | 2.2. 위험관리 관련 조직 및 역할 | +| | | 2.3. 위험관리 활동 (주요 위험원, 위험도 정의, 처리 방안) | +| 3. | 인공지능 설명방안 | 3.1. 투명성 및 설명가능성 확보 노력 | +| | | 3.2. 학습용데이터 개요 | +| | | 3.3. 설명방안의 수립 및 시행 | +| 4. | 이용자 보호 | 4.1. 데이터 수집 및 관리 활�� | +| | | 4.2. 인공지능의 안전성 및 견고성 확보 활동 | +| | | 4.3. 시험 및 평가 활동 | +| | | 4.4. 모니터링 및 대응 활동 | +| | | 4.5. 피드백 수렴 및 적용 활동 | +| | | 4.6. 이용자 권리 보장 활동 | +| 5. | 사람의 관리·감독 | 5.1. 사람의 개입 기준 및 방법 | +| | | 5.2. 정기적 점검 | +| | | 5.3. 교육 및 훈련 | + +### 작성 유의사항 + +- 본 양식은 법적 의무 이행을 위한 최소한의 틀이며, 양식 작성 자체가 법적 강제사항은 아닙니다. +- 동등성 진술(Equivalence Statement)이 허용됩니다. 이미 준비된 문서가 있는 경우 해당 증거 자료를 참조하는 것으로 갈음할 수 있습니다. +- 최신의 기술 및 관리 방법이 적용될 수 있도록 주기적으로 점검하고 갱신하여야 합니다. + +--- + +## D-3. 자가점검 항목표 + +> 근거: 「인공지능기본법」 제34조 +> 출처: [REF-07] 고영향AI 사업자책무 가이드라인 부록 2 + +### 서식 개요 + +고영향AI 사업자가 5대 책무의 이행 현황을 자체적으로 점검하기 위한 항목표입니다. 개발사업자(개발)와 이용사업자(이용)의 구분이 표시되어 있습니다. + +### 자가점검 항목 구조 (발췌) + +| 책무 | 주제 | 소주제 | 점검 항목 (예시) | 사업자 구분 | 점검결과 | +|:----:|------|--------|-----------------|:-----------:|:--------:| +| 1-1 | 위험관리방안 | 위험관리 계획 | 조직은 AI 위험관리 계획을 수립하고 책임을 명시하고 있는가? | 개발·이용 | Yes/No/N/A | +| 1-1 | | | 수립된 위험관리 계획이 위험 식별, 분석·평가, 처리 절차를 포함하는가? | 개발·이용 | Yes/No/N/A | +| 1-1 | | | 위험관리 시 영향평가 절차를 고려하고 있는가? | 개발·이용 | Yes/No/N/A | +| 1-1 | | 위험 식별 | AI 개발 과정에서 발생 가능한 위험을 식별하고 있는가? | 개발 | Yes/No/N/A | +| 1-1 | | | AI 운영 과정에서 발생 가능한 위험을 식별하고 갱신하고 있는가? | 이용 | Yes/No/N/A | +| 1-1 | | 위험 분석·평가 | 식별된 위험의 심각도와 발생 빈도를 분석·평가하고 있는가? | 개발·이용 | Yes/No/N/A | +| 1-1 | | | AI 특성 위험(환각, 설명 미제공, 데이터 중독 등)을 분석하고 있는가? | 개발 | Yes/No/N/A | +| 1-1 | | 위험 처리 | 위험별로 제거·완화·모니터링·수용 등 처리 방안을 수립·실행하고 있는가? | 개발·이용 | Yes/No/N/A | +| 1-1 | | 모니터링 | 위험 처리 방안 적용 후 파급효과를 재평가하고 있는가? | 개발·이용 | Yes/No/N/A | + +> **참고**: 전체 자가점검 항목은 [REF-07] 부록 2 원본을 참조하시기 바랍니다. 「신뢰할 수 있는 인공지능 개발안내서」(과학기술정보통신부·한국정보통신기술협회)의 검증항목과 대응 관계가 함께 표시되어 있습니다. + +--- + +## D-4. 인공지능 영향평가서 양식 + +> 근거: 「인공지능기본법」 제35조 +> 출처: [REF-08] 인공지능 영향평가 가이드라인 부록 1 + +### 서식 개요 + +고영향AI를 이용한 제품·서비스 제공 시 사전에 기본권 영향을 평가하기 위한 양식입니다. 위험 시나리오별로 하나의 양식을 각각 작성합니다. + +### 영향평가서 항목 + +| 번호 | 항목 | 기재 내용 | +|:----:|------|----------| +| 1 | 제품·서비스 개요 | 주요 기능과 특징 간략 설명 | +| 2 | 목적 및 필요성 | 핵심 가치, 해결하고자 하는 문제 구체 기재 | +| 3 | 적용 분야 | 제공·운영될 산업 또는 분야 | +| 4 | 사용 절차 | 이용자의 이용 절차, AI 작동 시점과 역할 | +| 5 | 운영기간 및 빈도 | 운영 기간, 평균 사용 빈도 | +| 6 | 이용자·영향받는 자의 범주·특성 | 직접 이용자, 간접 영향자의 연령대·숙련도·취약성 등 | +| 7 | 이용자 선택권 | 이용자의 선택권·통제권 범위 (AI 미사용 선택/결과 거부/이의제기/철회 등) | +| 8 | 위험 시나리오 | 아래 세부 항목 참조 (복수 작성 가능) | + +### 위험 시나리오 세부 항목 (제8항) + +| 항목 | 세부 내용 | +|------|----------| +| 피영향자 | 직접 피영향자(영향받는 자) + 이유 | +| | 간접 피영향자 + 이유 | +| | 의도치 않은/예상치 못한 피영향자 + 이유 | +| 관련 기본권 | 침해 가능한 기본권 명시 | +| 영향 내용 | 구체적 영향 내용 기술 | +| 영향수준 | 영향 규모: 보통/경미 / 중간 / 높음 / 매우 높음 | +| | 영향 기간: 단기 / 중기 / 장기 / 세대 간 | +| | 발생 가능성: 낮음 / 중간 / 높음 / 매우 높음 | +| 이행 중인 관리방안 | 현재 적용 중인 위험관리 조치 기술 | + +--- + +## D-5. 국내대리인 지정 신고서 + +> 근거: 「인공지능기본법」 제36조, 같은 법 시행령 +> 출처: [REF-09] AI기본법상 국내대리인 지정 절차 안내 + +### 서식 개요 + +해외 AI 사업자가 국내대리인을 지정하고 과학기술정보통신부장관에게 신고할 때 사용하는 서식입니다. 별도의 법정 규정 서식은 없으나, 아래 정보를 반드시 명시하여 공문으로 신고하여야 합니다. + +### 신고서 기재 항목 + +| 구분 | 기재 항목 | 설명 | +|------|----------|------| +| **대상자 (해외사업자)** | 법인명 | - | +| | 대표자명 | - | +| | 주소 (본점 소재지) | - | +| | 전화번호 | - | +| | 사업자등록번호 또는 고유번호 | - | +| | 담당자 전자우편 | - | +| **국내대리인** | 법인명 | - | +| | 대리인명 (법인의 경우 대표자명) | - | +| | 주소 | 국내 주소 또는 영업소 소재지 | +| | 전화번호 | 국내 전화번호 (업무 처리 가능한 연락처) | +| | 사업자등록번호 또는 고유번호 | - | +| | 담당자 전자우편 | - | +| **제출서류** | 국내대리인 지정 여부를 확인할 수 있는 자료 | 지정서면 사본 등 | + +### 지정 의무 대상 기준 + +아래 기준 중 하나 이상에 해당하는 해외 AI 사업자는 국내대리인을 지정하여야 합니다. + +| 기준 | 내용 | +|------|------| +| 기준 1 | 전년도 매출액 1조원 이상 | +| 기준 2 | AI 서비스 매출액 10억원 이상 | +| 기준 3 | 국내 이용자 일평균 100만명 이상 | +| 기준 4 | 과태료 부과 이력이 있는 사업자 | + +### 유의사항 + +- 복수의 국내대리인을 지정한 경우, 모든 대리인 정보를 동일하게 서면에 명시하여야 합니다. +- 국내대리인이 변경된 경우 지체 없이 수정하여 신고하여야 합니다. +- 국내대리인의 국적이 반드시 한국인일 필요는 없으나, 한국어로 원활히 의사소통이 가능하여야 합니다. +- 국내대리인이 법 위반 시 지정 해외사업자에게 그 책임이 귀속됩니다 (법 제36조제3항). diff --git "a/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/60_\353\266\200\353\241\235E_\355\221\234\352\267\270\353\246\274_\353\252\251\353\241\235.md" "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/60_\353\266\200\353\241\235E_\355\221\234\352\267\270\353\246\274_\353\252\251\353\241\235.md" new file mode 100644 index 0000000..e1dbbcf --- /dev/null +++ "b/\353\254\270\354\204\234/AI_\352\270\260\353\263\270\353\262\225_\352\265\220\354\225\210/60_\353\266\200\353\241\235E_\355\221\234\352\267\270\353\246\274_\353\252\251\353\241\235.md" @@ -0,0 +1,37 @@ +# 부록 E. 주요 표·그림 목록 + +> 본 가이드 본문에 등장하는 표와 그림의 번호, 제목, 위치를 색인합니다. + +--- + +## 그림 목록 + +| 번호 | 제목 | 위치 (장-절) | +|:----:|------|:----------:| +| ��림 1-1 | 인공지능기본법 5장 체계도 | 1-2절 | +| 그림 1-2 | 핵심 용어 간 관계도 | 1-3절 | +| 그림 1-3 | 독자 유형별 추천 학습 경로 | 1-5절 | +| 그림 2-1 | AI 사업자 유형 판단 플로우차트 | 2-1절 | +| 그림 4-1 | 위험관리 4단계 사이클 (식별 → 평가 → 완화 → 모니터링) | 4-3절 | +| 그림 5-1 | 고영향AI 2단계 판단 절차 (영역 판단 → 위험 판단) | 5-2절 | +| 그림 5-2 | 고영향AI 판단 플로우차트 | 5-5절 | +| 그림 6-1 | 고영향AI 사업자 5대 조치사항 총정리 | 6-1절 | +| 그림 7-1 | 영향평가 3단계 수행 절차 (사전 준비 → 본 평가 → 사후) | 7-2절 | +| 그림 9-1 | 의무 위반 시 주요 프로세스 (사실조사 → 시정명령 → 과태료) | 9-1절 | + +--- + +## 표 목록 + +| 번호 | 제목 | 위치 (장-절) | +|:----:|------|:----------:| +| 표 2-1 | AI 사업자 유형별 의무 범위 총정리 | 2-1절 | +| 표 5-1 | 고영향AI 법정 11개 영역 총정리 | 5-2절 | +| 표 5-2 | 고영향AI 위험 판단 매트릭스 | 5-3절 | +| 표 6-1 | 법 조항·시행령·가이드라인 대응 관계 | 6-1절 | +| 표 9-1 | 과태료·과징금·시정명령 구분 | 9-1절 | +| 표 9-2 | 조항별 위반·제재·대응 매트릭스 | 9-2절 | + +--- + +> **참고**: 본 목록은 structure.md 기준 초안이며, 본문 집필 과정에서 표·그림이 추가되거나 변경될 경우 지속적으로 업데이트됩니다.