미국 국립표준기술연구소(NIST)의 AI 위험 관리 프레임워크를 기반으로 NIST 감사를 수행
NIST AI 리스크 관리 프레임워크 이해
NIST AI리스크 관리 프레임워크는 조직의 특정 요구 사항에 맞게 조정할 수 있는
일반적인 프레임워크입니다. 인공 지능 분야가 빠르게 변화하고 있기 때문에 프레임워크는
계속 진화하고 있습니다.
NIST AI 리스크 관리 프레임워크 기능
NIST AI 리스크 관리 프레임워크와 NIST AI RMF 플레이북은 네 가지 핵심 기능을 기반으로
합니다:
- 관리:: 거버넌스 구조와 프로세스를 수립하여 기업 전체에 AI 위험 관리 문화를
구축하세요. - 지도: 기업 내에서 AI 시스템 및 AI 사용과 관련된 사람들과 관련된 위험을 식별하고
평가합니다. - 측정: 식별된 AI 리스크의 노출을 평가, 분석 및 추적합니다.
- 관리: 식별된 리스크를 완화하기 위해 리스크 관리 제어를 구현하고 유지합니다.
NIST AI 리스크 관리 프레임워크는 기업이 AI 관련 리스크를 식별하고 평가할 수 있도록
돕는 실용적인 가이드라인을 제공합니다. 이 프레임워크는 엄격한 통제 항목을 강제하는 것이 아니라, 기업이 자신의 필요에 맞게 지침을 조정할 수 있도록 유연성을 갖춘 것이 특징입니다.
이 프레임워크의 궁극적인 목표는 NIST 규정 준수를 확보하는 것이 아니라, AI 리스크를
효과적으로 관리하고 신뢰할 수 있으며 책임감 있는 AI 시스템 개발과 사용을 촉진하는
것입니다. 이를 기반으로 구축된 AI 시스템은 점점 더 강화되는 AI 규정을 준수하면서
이해관계자의 신뢰를 얻을 수 있을 것입니다.
NIST AI 리스크 관리 프레임워크를 사용하여
감사하는 방법
NIST AI 리스크 관리 프레임워크는 FedRAMP나 StateRAMP처럼 규범적인 요구사항을
강제하지는 않지만, NIST AI RMF를 지침으로 활용하여 NIST 감사를 수행할 수 있습니다.
예를 들어, 감사 부서는 먼저 조직 내 AI 시스템의 현황을 파악하는 것부터 시작할 수
있습니다. 이후, 주요 담당자 인터뷰, 문서 검토, AI 시스템 개발 관행 관찰 등을 통해
AI 리스크 관리의 현재 상태를 평가하게 됩니다.
NIST 감사의 현장 작업에서는 AI 관련 리스크를 통제, 매핑, 관리 및 측정하는 리스크 관리
관행을 중점적으로 검토해야 합니다. 마지막으로, 현장 조사를 통해 확인된 통제 항목의
설계 및 효과성을 테스트함으로써 감사 프로세스를 마무리할 수 있습니다.
또한, NIST AI 리스크 관리 프레임워크에는 필수 문서에 대한 광범위한 참조 사항이 포함되어 있습니다. AI 개발 과정에서 명확하고 포괄적인 문서화의 필요성은 오랫동안 논쟁의 대상이 되어 왔으며, AI 알고리즘과 학습 프로그램은 문서화 부족으로 인해 ‘블랙박스’로 불리는
경우가 많습니다.
따라서 모든 AI NIST 감사는 AI의 주요 프로세스, 계산 방식, 모델 전반에 대한 철저한 문서화가 이루어지고 있는지를 평가하는 데 중점을 둬야 합니다.
지금 NIST 감사 우선 순위 지정하기
인공지능 기술이 빠르게 발전하는 지금, NIST AI 리스크 관리 프레임워크는 감사팀이
리스크 및 통제 환경을 효과적으로 이해하도록 돕는 강력한 도구가 될 수 있습니다.
아직 AI 감사를 계획에 포함하지 않았다면, 지금이 적절한 시점입니다. NIST는 조직이
AI RMF 감사를 수행하는 데 도움이 되는 다양한 리소스를 제공하며, 여기에는 AI RMF
플레이북과 AI RMF 평가 가이드 등이 포함됩니다.