OECD 책임 있는 인공지능(AI) 실사 지침

이 지침에서 참조하는 OECD 기준 및 보고서에서 사용되는 용어

AI 시스템에 대한 정의는 2023년에 개정된 「OECD 인공지능에 관한 권고」(OECD Recommendation on AI)에서 제시한 정의를 따른다 (OECD, 2024[6]). 해당 권고에 따르면, AI 시스템은 기계 기반 시스템으로서, 명시적 또는 묵시적 목적을 위해 수신한 입력을 바탕으로 예측, 콘텐츠, 권고 또는 결정과 같은 산출물을 생성하는 방식을 추론하며, 그러한 산출물은 물리적 또는 가상 환경에 영향을 미칠 수 있다. AI 시스템마다 배포 이후의 자율성과 적응성 수준은 서로 다르다. 이 정의의 배경이 되는 논리는 OECD가 발간한 적요(memorandum)에서 상세히 설명되어 있다 (2024[2]).

기타 위험관리 프레임워크에서 사용되는 용어

유럽연합 인공지능법(EU AIA), 미국 국립표준기술연구소의 위험관리 프레임워크(NIST RMF), 아세안 가이드(ASEAN Guide), 유럽평의회협약(Council of Europe Convention)은 모두 「OECD 인공지능에 관한 권고」에서 사용되는 정의를 직접 채택하거나 이를 준용 및 참고, 또는 그 정의에서 경미하게만 벗어난다.

이 지침에서의 용어 및 적용상 차이

이 지침의 목적상, AI시스템은 「OECD 인공지능에 관한 권고」에서 사용된 정의에 따라 이해할 수 있다.

이 지침에서 참조하는 OECD 기준 및 보고서에서 사용되는 용어

상호운용성 프레임워크*는 이 절차 단계를, 위험을 식별하고 해당 위험이 발생할 수 있는 메커니즘을 분석하며, 위험의 발생 가능성과 심각성을 평가하는 단계로 설명한다. OECD 실사 지침도 대체로 동일한 의미로 동일한 용어를 사용하지만, 기업이 사업 관계로 인해 발생한 영향에 대해 자사가 그 영향에 어떻게 관련되어 있는지 또는 기여했는지도 평가(assess)할 것을 권고한다. 또한 이 단계에는 위험 우선순위 결정 과정이 포함되며, 기업은 심각성과 발생가능성에 근거하여 조치가 필요한 가장 중대한 위험과 영향의 우선순위를 설정한다.

기타 위험관리 프레임워크에서 사용되는 용어

NIST RMF, ISO 31000, IEEE 7000-21, ISO/IEC Guide 51 등 다른 위험관리 프레임워크는 이 절차 단계를 측정(measuring) 또는 평가(evaluating)로 지칭한다. NIST RMF하에서, 위험을 측정하는 것은 위험을 추적하기 위해 신뢰할 수 있는 특성과 사회적 영향에 관한 지표를 사용하는 것을 포함한다. UNGPs는 다국적기업 가이드라인 및 OECD 실사 지침과 부합한다(원칙 17 및 24 참조).

이 지침에서의 용어 및 적용상 차이

이들 문서는 용어를 유사한 방식으로 사용하지만, 그 적용범위는 다소 상이하다. 예컨대, 평가(assessment)는 신뢰성 목표와의 관련성, 부정적 영향에 대한 관여 정도(예: 부정적 영향 야기, 기여 및 직접 연결), 또는 기업에 대한 위험과 관련하여 수행될 수 있다. 이 지침의 목적상 ‘평가(assess)’는 이러한 측면을 모두 포괄하는 의미로 사용한다.

이 지침에서 참조하는 OECD 기준 및 보고서에서 사용되는 용어

상호운용성 프레임워크*는 AI 시스템의 범위와 맥락 및 위험 평가를 위한 기준을, 예를 들어, 거버넌스 수준, 프로세스 수준 및/또는 기술 수준에서 ‘정의’(define)할 것을 권고한다.

OECD 실사지침에서 이에 상응하는 용어는 ‘식별’(identify)이며, 이는 본질적으로 기업의 운영, 제품 및 서비스 전반은 물론 사업 관계 전반에 걸쳐 위험이 존재할 가능성이 높고 그 영향이 중대할 수 있는 모든 영역을 파악하기 위한 광범위한 범위 설정 작업이다.

기타 위험관리 프레임워크에서 사용되는 용어

NIST RMF 및 ISO 31000 등 기타 위험관리 프레임워크는 각각 이 절차를 ‘파악’(mapping)과 ‘범위 설정’(scoping)으로 지칭한다.

상호운용성 프레임워크와 유사하게, NIST RMF는 무엇을 구조적으로 파악해야 하는지에 관해 구체적인 권고를 제시한다. 예를 들어, AI 시스템의 목적과 사용, 소프트웨어 및 해당 시스템이 사용하는 데이터를 포함한 AI 시스템의 구성요소와 관련된 위험, 그리고 개인, 집단 및 사회에 미치는 영향 등을 파악 대상으로 제시한다.

UNGPs는 다국적기업 가이드라인 및 OECD 실사 지침과 부합한다(원칙 15 참조).

이 지침에서의 용어 및 적용상 차이

서로 다른 규범 문서들은 ‘정의’, ‘식별’, ‘파악’ 및 ‘범위 설정’이라는 용어를 대체로 동일한 광범위한 일련의 조치를 지칭하는데 사용한다. 이 가운데 NIST RMF의 ‘파악’ 기능이 AI 시스템에 가장 구체적이고 적용 가능성이 높은 것으로 보인다. 마찬가지로, 모든 위험관리 프레임워크는 ‘정의’ (또는 ‘식별’/‘파악’/‘범위 설정’)를 위험 및 영향을 평가하기 위한 토대로서, 필수적인 위험관리 과정에서 구별되는 별개의 단계로 설명한다. 이 지침의 목적상, ‘정의’라는 용어는 이러한 모든 측면을 포괄하는 의미로 사용한다.

이 지침에서 참조하는 OECD 기준 및 보고서에서 사용되는 용어

다국적기업 가이드라인에서 실사는 기업이 사업상 의사결정과 위험관리 체계의 필수적 구성요소로서 자사의 실제 및 잠재적인 부정적 영향을 어떻게 식별하고, 예방하며, 완화하고, 이에 어떻게 대응하는지를 설명할 수 있도록 하는 절차로 이해된다. 다국적기업 가이드라인은 실사 절차의 일부로 다음의 조치를 제시한다. 1. 기업책임경영을 기업정책 및 관리체계에 내재화, 2. 실제 및 잠재적인 부정적 영향 식별 및 평가, 3. 부정적 영향 중지, 예방 및 완화, 4. 실사 활동의 이행 및 결과 추적, 5. 부정적 영향을 해결하기 위한 조치의 소통, 6. 구제 제공 또는 구제 협의

기타 위험관리 프레임워크에서 사용되는 용어

「UN기업과 인권이행원칙」(UNGPs)은 2011년 다국적기업 가이드라인 개정과 병행하여 마련되었으며, 실사라는 용어와 관련하여 다국적기업 가이드라인과 부합한다. UNGPs는 실사를 “실제 및 잠재적 인권 영향을 평가하고, 평가 결과를 통합하고 조치를 취하며, 반응을 추적하고, 영향의 해결 방식을 전달하는 것”을 포함하는 과정으로 정의한다 (OECD, 2023[17]). 또한, UNGPs는 기업이 야기하거나 기여하거나, 또는 그들의 사업 관계를 통해 직접적으로 연결된 영향에 대해서도 실사를 수행할 것을 요구한다.

다른 위험 프레임워크들은 보통 ISO 31000의 “위험관리” 정의를 참고하거나 변용하여, 다국적기업 가이드라인의 실사 기대수준과 유사하거나 그와 관련된 과정들을 지칭한다. ISO 31000은 “위험관리는 위험과 관련하여 조직을 지휘하고 통제하기 위한 조정된 활동을 의미한다”고 규정한다.

이 지침에서의 용어 및 적용상 차이

실사와 관련된 개념은 프레임워크 전반에 걸쳐 대체로 내용상 일치한다. 용어 사용상의 핵심적인 차이는, 다국적기업 가이드라인과 UNGPs가 실사를 기업의 자체 운영, 제품 및 서비스에만 초점을 맞추기 보다는, 기업의 사업 관계와 관련된 실사까지 명시적으로 지칭한다는 데 있다. 이 지침의 목적상, 실사는 다국적기업 가이드라인, OECD 실사 지침 및 UNGPs에서 사용하는 더욱 포괄적인 용어로 이해할 수 있으며, 이는 조직의 자체 운영, 제품 및 서비스와 관련된 위험 관리뿐 아니라 조직의 사업 관계와 관련된 위험관리도 포함한다.

이 지침에서 참조하는 OECD 기준 및 보고서에서 사용되는 용어

‘모니터링 및 검토’는 위험과 그 위험을 처리하기 위해 취한 조치를 점검하는 지속적인 활동으로 이해된다. OECD 실사지침에서 모니터링 및 검토에 상응하는 용어는 ‘추적’(track)이다. 구체적으로, ‘추적’이란 사업 관계와 관련된 경우까지 포함하여, 실사 활동(즉, 영향을 식별, 예방, 완화 및 구제하기 위한 조치)의 이행, 효과성 및 그 결과를 추적하는 것을 말한다. 추적은 정기적으로 수행되며, 독립적인 제3자 감사의 형태로 이루어질 수도 있다.

기타 위험관리 프레임워크에서 사용되는 용어

다른 프레임워크들 역시 유사한 방식으로 모니터링 및 검토를 언급한다. 어떤 경우에는 모니터링과 검토가 실사 과정의 별도 단계가 되기도 하며(예: ISO 31000에서), 또 다른 경우에서는 내부 거버넌스에 초점을 맞춘, 더욱 포괄적인 단계의 일부가 되기도 한다(예: 미국 국립표준기술연구소의 위험관리 프레임워크(NIST RMF)).

UNGPs는 다국적기업 가이드라인 및 OECD 실사 지침과 내용상 부합한다(원칙 17 및 20 참조).

이 지침에서의 용어 및 적용상 차이

일반적으로, 이러한 개념들은 프레임워크 전반에 걸쳐 대체로 동등한 개념이다.

이 지침에서 참조하는 OECD 기준 및 보고서에서 사용되는 용어

OECD 기업책임경영 관련 문서들은 다국적기업 가이드라인 각 장에서 다루는 주제, 즉, 노사관계를 포함한 인권, 환경, 뇌물 및 부정부패, 정보의 공개 및 소비자 보호의 맥락에서 부정적 영향 또는 잠재적인 부정적 영향(즉, 위험)을 설명한다. 다국적기업 가이드라인은 위험을 기업이 야기하거나 기여하거나 또는 직접적으로 연결되어 있는 사람, 환경 및 사회에 대한 부정적 영향이 발생할 가능성으로 본다. 다시 말해, 이는 위험에 대한 외부 지향적 접근방식이다.

기업의 행위 또는 그 공급망이나 사업 관계와 관련된 상황이 다국적기업 가이드라인의 권고와 부합하지 않는 경우, 부정적 영향이 발생할 가능성은 증가한다. 다국적기업 가이드라인의 권고에 부합하지 않는 행위는 향후 발생할 수 있는 영향을 수반할 수 있으므로, 그러한 행위가 발생할 잠재성이 있는 경우, 부정적 영향의 위험이 존재할 수 있다.

OECD 전문가 네트워크(OECD Network of Experts)는 AI 인시던트 모니터링에 관한 별도의 그러나 관련된 워크스트림(workstream)에서 AI 인시던트 및 위해 요인의 정의를 마련하기 위한 작업을 진행하고 있으며(OECD, 2024[34]), 그 정의는 다음과 같다.

AI 인시던트란 하나 이상의 AI 시스템의 개발, 사용 또는 오작동이 직접적 또는 간접적으로 다음의 어느 하나에 해당하는 피해를 야기하는 사건, 상황, 또는 일련의 사건을 말한다. (가) 개인 또는 집단에 대한 부상 또는 건강상의 피해, (나) 중요 인프라의 관리 및 운영의 중단, (다) 인권을 존중하지 않거나 노동권 및 지적재산권 보호를 목적으로 하는 적용 법령상의 의무 위반, (라) 재산, 지역사회 또는 환경에 대한 피해.

AI 위해요인이란 하나 이상의 AI 시스템의 개발, 사용 또는 오작동이 AI 인시던트로 이어질 가능성이 있는 사건, 상황 또는 일련의 사건을 의미하는 것으로, 즉 다음 중 어느 하나의 피해를 야기하는 경우를 말한다. (가) 개인 또는 집단에 대한 부상 또는 건강상의 피해, (나) 주요 인프라의 관리 및 운영의 중단, (다) 인권을 존중하지 않거나 노동권 및 지적재산권 보호를 목적으로 하는 적용 법령상의 의무 위반, (라) 재산, 지역사회 또는 환경에 대한 피해.

기타 위험관리 프레임워크에서 사용되는 용어

유럽연합 인공지능법(EU AIA)은 위험을, 피해 발생의 확률과 그 피해의 심각성의 결합으로 본다(European Union, 2024[14]). 여기서 “피해”는 유럽연합 법에 의해 보호되는 공익 및 기본권에 대한 피해로 이해된다. 이러한 피해는 물질적 또는 비물질적일 수 있으며, 신체적, 심리적, 사회적 또는 경제적 피해를 포함할 수 있다.

미국 국립표준기술연구소(NIST RMF)는 위험을 긍정적 측면과 부정적 측면을 모두 포함하는 개념으로 이해한다는 점에서 ISO 31000과 동일한 접근방식을 채택한다 (US National Institute of Standards and Technology, 2023[35]) (ISO, 2018[36]). NIST RMF는 위험을 어떤 사건이 발생할 확률과 그에 상응하는 사건 결과의 규모 또는 정도를 종합한 측정치로 정의한다. AI 시스템의 영향 또는 결과는 긍정적일 수도 있고, 부정적일 수도 있으며, 또는 양자 모두 일 수도 있고, 기회 또는 위협으로 이어질 수 있다.

본 지침에서의 용어 및 적용상 차이

다국적기업 가이드라인에서의 위험에 대한 정의는 기업이 “야기하거나, 기여하거나, 또는 직접적으로 연결될 수 있는” 영향을 포함한다는 점에서 그 범위가 더욱 넓다. 이는 관련 위험과 영향을 자사 운영에 국한하지 않고, 가치사슬 내 사업 관계와 연관된 영향 및 위험의 영역으로까지 확장한다. 또한 구체적인 위험의 범위는 프레임워크별로 상이하다.

이 지침의 목적상, 위험은 AI 인시던트 및 위해요인을 포함하면서도 가치사슬 실사 목적에 비추어 더욱 포괄적인 다국적기업 가이드라인의 정의에 따라 이해할 수 있다. 관련성이 있고 더욱 구체적인 구분이 필요한 경우, 본 지침은 인시던트와 위해요인이라는 용어를 사용한다.

이 지침에서 참조하는 OECD 기준 및 보고서에서 사용되는 용어

「OECD 인공지능에 관한 권고」는 이해관계자를 AI 시스템에 직접 또는 간접적으로 관여하거나 그 영향을 받는 모든 조직 및 개인으로 정의한다.

다국적기업 가이드라인에서 관련 이해관계자란 개인이나 집단, 또는 그들의 정당한 대표자를 의미하며, 이들은 다국적기업 가이드라인에서 다루는 사안과 관련된 권리 또는 이익을 보유하고 있으며, 기업의 운영, 제품 또는 서비스와 관련된 부정적 영향으로 인해 그러한 권리나 이익이 영향을 받고 있거나 영향을 받을 수 있다.

기타 위험관리 프레임워크에서 사용되는 용어

다른 프레임워크에서도 일반적으로 이해관계자라는 용어를 조직 및 개인을 포괄적으로 지칭하는 용어로 사용된다. 다른 맥락에서, “관련 이해관계자”는 보통 AI 시스템의 사용자, 시민사회, 근로자 대표, 중소기업 및 다른 기업 등을 의미한다.

이 지침에서의 용어 및 적용상 차이

이 지침의 목적상, 이해관계자는 가장 넓은 의미에서 AI 시스템에 관여하거나 그 영향을 받은 개인, 집단 또는 조직, 그리고 해당 시스템의 개발 및 사용에 관여하는 기업과 관련하여 관여하거나 영향을 받은 개인, 집단 또는 조직까지 포함하는 것으로 이해되어야 한다.

이 지침에서 참조하는 OECD 기준 및 보고서에서 사용되는 용어

상호운용성 프레임워크는 ‘위험 처리’(treatment)를, 위험의 가능성과 영향에 근거하여, 위험을 예방, 완화 또는 중단하기 위한 기법을 사용하는 것으로 정의한다.

OECD 실사 권고도 위험 처리에 대해 유사한 접근방식을 취하지만, 기업이 해당 위험의 발생과 관련하여 부담하는 책임의 정도(예: 기업이 그 위험을 야기했는지, 그에 기여했는지, 또는 직접 연결되었는지)에 따라 취해야 할 조치의 유형을 더욱 구체적으로 제시한다. 기업은 식별된 위험 및 영향을 중단, 예방, 및/또는 완화할 것으로 기대된다.

기업이 사업 관계를 통해 어떤 영향에 기여하거나 그 영향과 직접적으로 연결되어 있는 경우, 기업은 가능한 범위 내에서 단독으로 또는 타인과 협력하여 자사의 영향력을 활용하여 변화를 이끌어내도록 노력해야 한다.

기업이 부정적 영향을 야기했거나 그에 기여한 경우, 기업은 구제를 제공하거나 그 구제에 협력할 것으로 기대된다(‘구제’라는 용어에 대한 추가 논의는 아래 참조).

기타 위험관리 프레임워크에서 사용되는 용어

NST RMF는 ‘관리’(Manage) 기능에서 위험 처리를 “인시턴트 또는 사건에 대응하고, 그로부터 복구하며, 이와 관련하여 소통하기 위한 계획”으로 설명한다. 용어는 다르지만, 이러한 기능에 포함되는 일련의 조치는 일반적으로 OECD 실사 권고와 대체로 부합한다. 기대되는 조치에는 위험관리의 우선순위를 설정하고 이에 필요한 자원을 배분하는 것, 영향을 받은 이해관계자를 참여시키는 것, 그리고 위험관리 노력을 지속적으로 모니터링하고 문서화하는 것이 포함된다. NIST RMF는 또한 위험 대응방안에 완화, 이전, 회피, 또는 수용이 포함될 수 있음을 언급하고 있다.

이 지침에서의 용어 및 적용상 차이

이 지침의 목적상 ‘처리’(treat)는 기업이 야기하거나 기여하거나 또는 사업 관계를 통해 직접 연결되어 있는 위험을 중단, 예방 또는 완화하는 것을 의미하는 것으로 이해할 수 있다.