EU - (2024.04.17) - v1.1

EU 인공지능법 시행에 따른 기업의 대응
위험기반 접근(Risk-based approach) 및 AI 공급망의 이해

INEEJI EMPOWERING EXPERTISE
장윤석 사업총괄이사, CBO(Chief Business Officer) / Ph.D.
0
ü 유럽연합 AI법 (2024.3.13 가결)
• EU의 AI법은 인공지능에 관한 최초의 법률
• AI 시스템이 안전한지 확인하고 법률과 EU의 기본 권리
및 가치를 존중하는 것을 목표로 하는 규제 프레임워크
1
자료참조: European Parliament, https://cms.law/
ü 인공지능이란 ?
• 인공 지능(AI)은 디지털 기술을 사용하여 일반적으로 인간 지능이 필요하다고 생각되는 작업을 수행할
수 있는 시스템을 만드는 것
• AI는 새로운 기술이 아니며, 일부 AI 기술은 수십 년 동안 존재해 왔지만 컴퓨터 성능의 발전, 대량의
데이터 및 새로운 소프트웨어의 가용성으로 인해 짧은 시간 내에 큰 혁신이 이루어졌음
Ø everyday-life applications
automated
virtual assistance medical diagnoses
translations
•가상 지원 •의료 진단
•자동 번역
quality control in prediction of natural

navigation tools
manufacturing disasters
•탐색 도구
•제조 품질 관리 • 자연재해 예측
2
자료참조: https://www.consilium.europa.eu
ü 인공지능이란 ?
• 인공 지능(AI)은 디지털 기술을 사용하여 일반적으로 인간 지능이 필요하다고 생각되는 작업을 수행할
수 있는 시스템을 만드는 것
• AI는 새로운 기술이 아니며, 일부 AI 기술은 수십 년 동안 존재해 왔지만 컴퓨터 성능의 발전, 대량의
데이터 및 새로운 소프트웨어의 가용성으로 인해 짧은 시간 내에 큰 혁신이 이루어졌음
Ø AI는,
(1) 혁신적이고 효율적이며 지속 가능하고 경쟁력 있는 경제에
기여하고,
(2) 동시에 시민을 위한 안전, 교육 및 의료를 개선할 수 있으며,
(3) 또한 기후 변화에 맞서 싸우는 것을 지지함
Ø EU는,
(1) AI 기술 개발을 지원하는 동시에 잠재적인 위험을 인식하고,
(2) 기술에 대한 윤리적이고 인간 중심적인 접근 방식을 장려
3
ü The EU's AI act 지향점
• EU는 인공지능에 관한 법률 제정을 시도한 세계 최초의 입법자
• 이러한 종류의 최초의 입법 제안으로서, 이는 GDPR(일반 데이터 보호 규정)이 데이터 프라이버시에
대해 했던 것처럼 다른 관할권의 AI 규제에 대한 글로벌 표준을 설정하여 세계 무대에서 기술 규제에
대한 유럽의 접근 방식을 촉진
* GDPR (General Data Protection Regulation) ETHICAL
(윤리적)
TRUSTWORTH SAFE
(신뢰할 수 있는) (안전한)
EU의 인공 지능에 대한 글로벌 접근 방식

4
ü The EU's AI act 규제 접근법
지속적인 적응과
복잡성
예측 불가능성
불투명성
(특정 AI 시스템이 어떻게 작동하는지 이해하는 인간 정신의 제한된 능력)
데이터 및 데이터 품질에 대한

자율적 행동
기능적 의존성
5
ü The higher the risk, the stricter the rules (위험이 높을수록 규칙은 더욱 엄격해짐)
• AI의 특정 사용과 관련된 위험을 다루고 이를 4가지 위험 수준으로 분류
비디오 게임, 스팸 필터
챗봇
시험 채점, 채용, 대출 승인에 사용
소셜 채점, 얼굴 인식
6
1) 비디오 게임, 스팸 필터
- 위험 수준: 최소
- 위험이 최소화된 솔루션(대다수의 AI 시스템)은 규제되지 않으며 이전과 같이 사용할 수 있음
Ø AI 공급사의 의무 설정, EU 시장에서 AI 시스템의 승인을 규제

비디오 게임, 스팸 필터
Ø 위험이 최소화되거나 없음
• 대다수의 AI 시스템은 위험을 초래하지 않으므로 계속 사용할 수
있으며 EU의 AI 법에 의해 규제되거나 영향을 받지 않음
7
2) 챗봇
- 위험 수준: 제한적
- 위험이 제한된 시스템은 허용되지만 특정 투명성 의무를 이행해야 하므로,
사용자는 AI와 상호 작용한다는 사실을 알고 있어야 함

챗봇
Ø 제한된 위험
• 제한된 위험만 제시하는 AI 시스템에는 해당 콘텐츠가 AI에서
생성되었다는 공개와 같은 매우 가벼운 투명성 의무가 적용

• 사용자는 추가 사용에 관해 정보에 입각한 결정을 내릴 수 있음
8
3) 시험 채점, 채용, 대출 승인, 인사이동 등에 사용
- 위험 수준: 높음
- 고위험 시스템은 EU 시장에 출시되기 전에 엄격한 기준을 충족해야 함

시험 채점, 채용, 대출 승인에 사용
Ø 높은 위험
• EU 시장에 접근하기 위한 일련의 요구 사항과 의무가
적용되지만 광범위한 고위험 AI 시스템이 승인됨
9
4) 소셜 채점, 얼굴 인식
- 위험 수준: 허용 불가
- 국민의 안전, 생계, 개인의 권리에 위협이 되는 것으로 간주되는 시스템은 금지

소셜 채점, 얼굴 인식
Ø 허용할 수 없는 위험
• 일부 인공 지능 사용의 경우 위험이 허용되지 않는 것으로
간주되므로 이러한 시스템은 EU에서 사용 금지

• 인지 행동 조작, 예측적 치안 유지, 직장 및 교육 기관에서의
감정 인식, 사회적 점수 매기기 등이 포함
• 일부 제한적인 예외(테러 예방, 법 집행 등) 제외하고 얼굴
인식과 같은 원격 생체 인식 시스템도 금지
10
ü Support to AI innovation (AI 혁신 지원)
AI법의 목적 AI 혁신을 지원
• 기본권과 안전에 관한 기존 법률의 거버넌 • AI법에는 EU의 AI 혁신을 지원하기 위한 추

스를 강화 및. 효과적 집행 가 조항이 포함
• EU 내에서 AI에 대한 투자와 혁신을 촉진 • 유럽의 AI에 대한 투자를 가속화하는 것이
• AI 애플리케이션을 위한 단일 시장 개발을 목표
촉진 • EU의 인공 지능에 대한 조정 계획을 포함

한 다른 이니셔티브와 밀접한 관련
11
CHAPTER CHAPTER title Section Article
ü EU 인공지능법 구조 1 GENERAL PROVISIONS 5
• 459 Pages 2 PROHIBITED ARTIFICIAL INTELLIGENCE PRACTICES 1
• 13 Chapters 3 HIGH-RISK AI SYSTEMS 5 49

TRANSPARENCY OBLIGATIONS FOR PROVIDERS AND
• 133 Articles 4
DEPLOYERS OF CERTAIN AI SYSTEMS
1
5 GENERAL-PURPOSE AI MODELS 3 6
ü Keywords 6 MEASURES IN SUPPORT OF INNOVATION 7
7 GOVERNANCE 2 7
GPAI
High-Risk AI system 8 EU DATABASE FOR HIGH-RISK AI SYSTEMS 1
(General-Purpose AI)
POST-MARKET MONITORING, INFORMATION
9 5 23
SHARING, MARKET SURVEILLANCE
10 CODES OF CONDUCT AND GUIDELINES 2

DELEGATION OF POWER AND COMMITTEE
Sandbox Market Surveillance 11 2
PROCEDURE
12 PENALTIES 3
13 FINAL PROVISIONS 12
12 ANNEX 13
ü General Provisions (Chapter 1)
• Definitions 파트에 68개의 용어 정의
Subject matter Scope

(article 1) (article 2)
Definitions AI literacy
(article 3) (article 4)
13
ü Prohibited AI Practices (Chapter 2)
1. 테러
2. 인신매매
3. 아동 성 착취 및 아동 포르노
4. 마약 또는 향정신성 물질의 불법 거래
5. 무기, 탄약 또는 폭발물의 불법 밀매
6. 살인, 심각한 신체 상해,
7. 인체 장기 또는 조직의 불법 거래
8. 핵 또는 방사성 물질의 불법 거래
9. 납치, 불법 감금 또는 인질극
10. 국제형사재판소(International Criminal Court) 관할권 내의 범죄
11. 항공기 또는 선박의 불법 억류

12. 강간
13. 환경 범죄
14. 조직적 또는 무장 강도
15. 태업
16. 위에 나열된 범죄 중 하나 이상에 연루된 범죄 조직에 참여.
14
ü High-Risk AI System (Chapter 3)
1. Classification of AI systems as high-risk (section 1)

AI 시스템을 고위험으로 분류 (article 6~7)
2. Requirements for high-risk AI systems (section 2)

고위험 AI 시스템에 대한 요구 사항 (article 8~15)
3. Obligations of providers and deployers of high-risk AI systems and other parties (section 3)
고위험 AI 시스템의 제공자 및 배포자 및 기타 당사자의 의무 (article 16~27)
4. Notifying authorities and notified bodies (section 4)

당국 및 인증 기관에 통보 (article 28~39)
5. Standards, conformity assessment, certificates, registration (section 5)

표준, 적합성 평가, 인증서, 등록 (article 40~49)
15
16
자료참조: EPRS_BRI(2021)698792_EN
ü Transparency obligations for providers and deployers of certain ai systems (Chapter 4)
1. AI 시스템이 해당 자연인에게 AI 시스템과 상호 작용하고 있음을 알리는 방식으로

설계 및 개발
2. AI 시스템의 출력물이 기계가 읽을 수 있는 형식으로 표시되고 인위적으로

생성되거나 조작된 것으로 감지
3. 감정 인식 시스템 또는 생체 인식 분류 시스템의 배포자는 이에 노출된 자연인에게

시스템 작동
4. 딥페이크에 해당하는 이미지, 오디오 또는 비디오 콘텐츠를 생성하거나 조작하는

AI 시스템의 배포자는 해당 콘텐츠가 인위적으로 생성 또는 조작되었음을 공개
5. 최초 상호작용 또는 노출 시점에 명확하고 구별 가능한 방식으로 관련인에게 제공
17
ü General-purpose ai models (Chapter 5)
시스템적 위험이 있는 범용
분류 규칙 범용 AI모델 제공자의 의무
AI 모델 제공업체의 의무
(section1) (section 2)
(section 3)
• 범용 AI 모델을 시스템 • 범용 AI 모델 제공자의 • 시스템적 위험이 있는

리스크가 있는 범용 AI 의무 (article 53) 범용 AI 모델 제공업체의
모델로 분류 (article 51) • 범용 AI 모델 제공업체의 의무 (article 55)

• 절차 (article 52) 공인 대리인 (article 54) • 실천강령 (article 56)
18
ü Measures in support of innovation (Chapter 6)
AI 규제 샌드박스 (article57)
AI 규제 샌드박스의 세부 구성 및 기능 (article58)
AI 규제 샌드박스에서 공익을 위해 특정 AI 시스템을 개발하기 위한 개인 데이터의 추가 처리 (article59)
AI 규제 샌드박스 외부의 실제 조건에서 고위험 AI 시스템 테스트 (article60)
AI 규제 샌드박스 외부의 실제 조건에서 테스트에 참여하기 위한 사전 동의 (article61)

공급자 및 배포자, 특히 스타트업을 포함한 중소기업을 위한 조치 (article62)
특정 운영자에 대한 훼손 (article63)
19
ü Governance (Chapter 7)
연합 차원의 거버넌스 국가 관할 당국
(section1) (section 2)
• AI 오피스 (article 64) • 국가 관할 당국 지정 및 단일 연락 창구

• 유럽인공지능위원회의 설립과 구조 (article 70)
(article 65)
• 이사회의 임무 (article 66)
• 자문 포럼 (article 67)
• 독립적인 전문가로 구성된 과학 패널

(article 68)
• 회원국의 전문가 풀에 대한 접근 (article 69)
20
ü EU Database for high-risk ai systems (Chapter 8)
• 부록 III에 나열된 고위험 AI 시스템에 대한 EU 데이터베이스 (article 71)
1. 관련 연합 또는 국내법에 따라 사용이 허용되는 경우 생체 인식
2. 중요 인프라
• 중요한 디지털 인프라, 도로 교통의 관리 및 운영 또는 물, 가스, 난방 또는 전기 공급에서 안전 구성

요소로 사용되는 AI 시스템
3. 교육 및 직업 훈련
4. 고용, 근로자 관리 및 자영업 접근

5. 필수 민간 서비스와 필수 공공 서비스 및 혜택에 대한 접근과 향유
6. 법 집행 기관, 관련 연합 또는 국내법에 따라 사용이 허용
7. 이주, 망명 및 국경 통제 관리, 관련 연합 또는 국내법에 따라 사용이 허용되는 경우

21
ü Post-market monitoring, information sharing, market surveillance (Chapter 9)
1. Post-market monitoring (section 1)

시판 후 모니터링 (article 72)
2. Sharing of information on serious incidents (section 2)

중대한 사건에 대한 정보 공유 (article 73)
3. Enforcement (section 3)
집행 (article 74~84)
4. Remedies (section 4)
구제책 (article 85~87)
5. Supervision, investigation, enforcement and monitoring in respect of providers of general-purpose AI models (section 5)
범용 AI 모델 제공업체에 대한 감독, 조사, 시행 및 모니터링 (article 88~94)
22
ü Chapter 10~13
행동 강령 및 지침 권한 위임 및 위원회 절차 페널티 최종 규정
(Chapter 10) (Chapter 11) (Chapter 12) (Chapter 13)
• 특정 요구사항의 자발적 • 대표단의 행사 • 처벌 (article 99) • 기존 지침 개정

적용을 위한 행동강령 (article 97) • 연합 기관, 기관, 사무실 (article 102~110)
(article 95) • 위원회 절차 (article 98) 및 기관에 대한 행정 • 이미 시장에 출시
• 본 규정 시행에 관한 벌금 (article 100) 되었거나 서비스 중인 AI
위원회의 지침 (article • 범용 AI 모델 제공업체에 시스템 (article 111)
96)
대한 벌금 (article 101) • 평가 및 검토 (article 112)

• 발효 및 적용 (article 113)
23
1. 연합 조화 법안 목록
ü ANNEX (부록) 2. 제5(1)조 (e)(iii)항에 언급된 범죄 목록
3. 제6(2)조에 언급된 고위험 AI 시스템
4. 제11(1)조에 언급된 기술 문서
5. EU 적합성 선언
6. 내부 통제에 따른 적합성 평가 절차
7. 품질 관리 시스템 평가 및 기술 문서 평가를 기반으로 한 적합성
8. 제49조에 따른 고위험 AI시스템 등록 시 제출정보
9. 제60조에 따라 실제 조건에서의 테스트와 관련하여 부록 III에 나열된 고위험 AI 시스템 등록 시 제출할 정보

10. 자유, 보안, 정의 분야의 대규모 IT 시스템에 대한 연합 입법 법안
11. 제53(1)조, (a)항에 언급된 기술 문서 - 범용 AI 모델 제공자를 위한 기술 문서

- 모든 범용 AI 모델 제공업체가 제공하는 정보 / 시스템적 위험이 있는 범용 AI 모델 제공업체가 제공할 추가 정보
12. "제53(1)조, (b)항에 언급된 투명성 정보
- 범용 AI 모델 제공업체와 해당 모델을 AI 시스템에 통합하는 다운스트림 제공업체를 위한 기술 문서"
13. 제51조에 따른 시스템적 위험이 있는 범용 AI 모델의 지정 기준

24
ü Definition (용어 정의) – 1/5
authorised representative
• '권한을 위임 받은 대리인'은 AI 시스템 또는 범용 AI 모델 제공자로부터 본 규정에서

정한 의무 및 절차를 각각 수행하고 수행하기 위해 서면 위임장을 받고 수락 한 연방에
소재하거나 설립된 자연인 또는 법인을 의미합니다.
importer
• '수입업자' 는 제3국에 설립된 자연인 또는 법인의 이름 또는 상표를 가진 AI 시스템을

시장에 출시하는 유럽연합에 위치하거나 설립된 자연인 또는 법인을 의미합니다.
distributor
• '유통업체'는 공급자 또는 수입업자를 제외한 공급망의 자연인 또는 법인을 의미하며,

AI 시스템을 연합 시장에서 사용할 수 있도록 합니다.
operator
• '운영자'는 공급자, 제품 제조업체, 배포자, 공인 대리인, 수입자 또는 유통업체를 의미합

니다.
25
placing on the market
• '시장에 내놓는다'는 것은 AI 시스템 또는 범용 AI 모델을 유니온 시장에 최초로 출시하

는 것을 의미합니다.
making available on the market
• '시장에서 사용할 수 있게 하는 것' 은 상업 활동 과정에서 연합 시장에서 유통 또는 사

용하기 위해 AI 시스템 또는 범용 AI 모델을 지불 또는 무료로 공급하는 것을 의미합니
다.
putting into service

• '서비스 투입'은 제공자가 배포자에게 직접 최초 사용 또는 의도된 목적을 위해 연방

에서 직접 사용하기 위해 AI 시스템을 공급하는 것을 의미합니다.
notifying authority
• '통보기관'이라 함은 적합성평가기관의 평가, 지정 및 통지 및 모니터링에 필요한 절차

를 수립하고 수행할 책임이 있는 국가기관을 의미한다
26
conformity assessment
• '적합성 평가'는 고위험 AI 시스템과 관련하여 제2장 제2절에 명시된 요구 사항이 충족

되었는지 여부를 입증하는 프로세스를 의미합니다.
conformity assessment body
• '적합성평가기관'은 시험, 인증 및 검사를 포함한 제3자 적합성평가 활동을 수행하는 기

관을 의미한다.
notified body
• '인증기관' 은 이 규정 및 부속서 I의 섹션 B에 나열된 기타 관련 연합 조화 법률에 따

라 통지된 적합성 평가 기관을 의미합니다.
CE marking
• 'CE 마크'는 제공자가 AI 시스템이 제2장, 섹션 2 및 부속서 I에 나열된 기타 적용 가능

한 연합 조화 법률에 명시된 요구 사항을 준수함을 나타내는 마크를 의미합니다.
27
post-market monitoring system
• '시판 후 모니터링 시스템'은 AI 시스템 제공자가 필요한 시정 또는 예방 조치를 즉시 적용해야

할 필요성을 식별하기 위해 시장에 출시하거나 서비스에 투입한 AI 시스템을 사용하여 얻은 경
험을 수집 및 검토하기 위해 수행하는 모든 활동을 의미합니다.
market surveillance authority
• '시장 감시 기관'은 규정(EU) 2019/1020에 따라 활동을 수행하고 조치를 취하는 국가 기관을

의미합니다.
sandbox plan
• '샌드박스 계획'은 샌드박스 내에서 수행되는 활동에 대한 목표, 조건, 기간, 방법론 및 요구 사
항을 설명하는 참여 제공자와 관할 당국 간에 합의된 문서를 의미합니다.
AI regulatory sandbox
• 'AI 규제 샌드박스'는 규제 감독 하에 제한된 기간 동안 샌드박스 계획에 따라 AI 시스템 제공

자 또는 잠재적 제공자에게 실제 조건에서 적절한 경우 혁신적인 AI 시스템을 개발, 훈련, 검증
및 테스트할 수 있는 가능성을 제공하는 관할 당국이 설정한 통제된 프레임워크를 의미합니다.
28
testing in real-world conditions
•'실제 조건에서의 테스트'는 신뢰할 수 있고 강력한 데이터를 수집하고 AI 시스템이 이 규정의 요구 사항을
준수하는지 평가 및 검증하기 위해 실험실 또는 기타 시뮬레이션 환경 외부의 실제 조건에서 의도된 목적을
위해 AI 시스템을 일시적으로 테스트하는 것을 의미하며, AI 시스템을 시장에 출시하거나 다음 의미 내에서
서비스에 투입하는 것으로 간주되지 않습니다. 이 규정은 제57조 또는 제60조에 규정된 모든 조건이 충족되
는 경우에 한한다.
general-purpose AI model
•'범용 AI 모델'은 이러한 AI 모델이 대규모로 자기 감독을 사용하여 대량의 데이터로 훈련되는 경우를 포함하
며, 상당한 일반성을 나타내고 모델이 시장에 출시되는 방식에 관계없이 광범위한 개별 작업을 유능하게 수
행할 수 있고 다양한 다운스트림 시스템 또는 애플리케이션에 통합될 수 있는 AI 모델을 의미합니다. 시장에
출시되기 전에 연구, 개발 또는 프로토타이핑 활동에 사용되는 AI 모델은 제외됩니다.
general-purpose AI system
•'범용 AI 시스템'은 범용 AI 모델을 기반으로 하는 AI 시스템을 의미하며, 직접 사용하거나 다른 AI 시스템과

의 통합을 위해 다양한 목적을 수행할 수 있습니다.
downstream provider
•'다운스트림 제공자'라 함은 범용 AI 시스템을 포함한 AI 시스템의 제공자를 의미하며, AI 모델이 자체적으로

제공되고 수직적으로 통합되거나 계약관계에 따라 다른 주체가 제공하는지 여부와 관계없이 AI 모델을 통합
합니다.
29
ü LCA(Life Cycle Assessment) – CO2, 탄소중립
• 제품 또는 서비스의 전 생애주기(Life Cycle) 동안 발생하는 모든 환경적 영향을 평가하는 과정
- 산업 생산의 모든 단계(원자재 생산, 제조, 운송, 사용, 폐기 등)에서 발생하는 환경적 영향 평가
- 제품 또는 서비스의 종합적인 환경적 영향을 이해하고, 환경 친화적 제품 및 서비스 개발에 활용
Cradle-to-Grave(원료 채취부터 제품 사용 및 패기까지)

Scope 1: 기업에서 직접적으로 발생하는 온실 가스(GHG) 배출량

Scope 2: 구매한 전기/에너지 생산과정 등 기업에서 간접적으로 발생하는 배출량
Cradle-to-Gate(원료 채취부터 제품 출하까지) Scope 3: 전/후방 가치사슬의 모든 면에서의 배출량에 대한 간접적 책임
공급자의 물품 구매부터 소비자의 최종 제품 사용까지 전체 사이클
30
자료참조: LG화학 지속가능경영보고서
LCA(Life
ü Upstream Cycle
Category Assessment) – CO2, 탄소중립
(8개 항목)
Downstream Category (7개 항목)
01. 구매한 제품 및 서비스 (Purchased goods and services)
• 02.제품
자본재 또는 (Capital서비스의
goods) 전 생애주기(Life Cycle) 동안 발생하는 모든 환경적
09. 다운스트림 운송 및 물류 영향을 평가하는 과정
(Downstream transportation and distribution)
03. Scope 1, 2에 포함되지 않는 연료 및 에너지관련 활동
-(Fuel-
산업 and생산의 모든activities
energy-related 단계(원자재 not included생산,
in Scope제조,
1 or 2) 운송, 사용, 폐기 등)에서 발생하는 환경적 영향 평가
10. 판매된 제품의 가공 (Porcessing of sold products)
11. 판매된 제품의 사용 (Use of sold products)
04. 업스트림 운송 및 물류 (Upstream transportation and distribution)
- 제품 또는 서비스의 종합적인 환경적 영향을 이해하고,
05. 운영과정에서 발생한 폐기물 (Waste generated in operations)
환경 제품의
12. 판매된 친화적 폐기제품 및 서비스
(End-of-life 개발에
treatment of 활용
sold products)
13. 다운스트림 임대자산 (Downstream leased assets)
06. 출장 (Business travel)
14. 프랜차이즈 (Franchises)
Cradle-to-Grave(원료 채취부터 제품 사용 및 패기까지)
07. 임직원 통근 (Employee commuting)
15. 투자 (Investments)
08. 업스트림 임차자산 (Upstream leased assets)
Scope 1: 기업에서 직접적으로 발생하는 온실 가스(GHG) 배출량

Scope 2: 구매한 전기/에너지 생산과정 등 기업에서 간접적으로 발생하는 배출량
Cradle-to-Gate(원료 채취부터 제품 출하까지) Scope 3: 전/후방 가치사슬의 모든 면에서의 배출량에 대한 간접적 책임
공급자의 물품 구매부터 소비자의 최종 제품 사용까지 전체 사이클
31
자료참조: LG화학 지속가능경영보고서
ü AI 기술의 공급망
• AI 공급망에서 베이스 모델과 데이터 세트는 ”Upstream" AI를 구성
• 특정 애플리케이션에 Upstream AI 활용 à AI 공급망의 ”Midstream" or ”Downstream" 계층 구성
• Midstream 및 Downstream AI 제품 급증 à 강력한 범용 기본 모델과 데이터 세트의 기능을 활용
AI supply chains may include upstream, midstream, and downstream products or models
32
자료참조: https://aipolicy.substack.com
ü AI 기술의 공급망
AI Upstream
• AI 공급망의 모든 구성 요소는 상품과 서비스를 제공

• 공급망에서 더 상위 또는 더 높은 Upstream에 있는 일부 구성 요소 존재
- OpenAI의 GPT-4, Anthropic의 Claude, Google의 PaLM 2와 같은 베이스 모델과
기본 모델이 훈련되는 대규모 데이터세트가 포함
• 일반적으로 Upstream 구성 요소는 다양한 방법으로 용도를 변경할 수 있다는 주요 특성
을 가지고 있습니다.
AI Downstream
• AI 공급망 아래에는 Downstream AI라고 하는 구성 요소 존재

• AI 기반 채용 도구나 쇼핑 앱과 같이 사용자와 직접 인터페이스하는 제품
AI Midstream
• 예를 들어 채용 도구는 이력서를 요약하는 Midstream AI 모델을 기반으로 구축될 수 있음

• 쇼핑 앱이 AI 생성 의상의 Midstream 데이터세트에 대한 고객의 의견을 구할 수도 있음
33
ü AI 공급망
• AI 공급망이 Midstream 및 Downstream 계층에서 성장할 것으로 예상
• Upstream 레이어에는 경쟁 또는 집중 이라는 두 가지 가능성 à AI 공급망은 "의존성"을 생성
Upstream 공급자 선택
• Upstream 계층의 건전한 경쟁 하에서 Midstream 및 Downstream 개발자는 선택에 있어 더 많은 유연성 가능

• 어떤 이유로든 하나의 Upstream 구성 요소가 요구 사항에 맞지 않으면 다른 구성 요소로 전환할 수 있음
건전한 Downstream 경쟁
• Upstream 경쟁은 더 나은 Downstream 경쟁을 촉진하는 데 도움

• Upstream에 더 많은 대안이 있으면 Downstream에도 더 많은 대안이 생길 수 있음

• 모든 Downstream 회사가 동일한 소스(Upstream)에서 모델과 데이터를 얻는다면 Downstream 회사의 차별성 부족 발생
최종 사용자 경험
• Upstream 경쟁은 사용자에게도 유리

• 전반적인 경쟁이 혁신, 더 높은 품질의 제품, 더 낮은 가격을 촉진
34
ü AI 공급망
• AI 모델은 다른 모델 위에 구축되어 복잡하고 다층적인 공급망을 형성
• 베이스 모델은 일반적으로 공급망(Upstream)의 최상위 à 공급망 후반부(Downstream)에는
다른(Upstream) AI 시스템을 사용하여 구축된 AI 제품 존재
AI 공급망 예시
35
ü AI 공급망 관리의 중요성
• 복잡한 공급망은 경제의 기본 구조 à AI 공급망도 복잡성에 대한 관리 필요
AI 공급망은 AI의 기존 알려진 문제를 증폭 시킬 수 있음
• 이미 (일부) AI 시스템이 편향되고 이해하기 어렵다는 우려 존재

• 지금까지 우리는 이러한 문제를 단일 AI 시스템 의 맥락에서만 고려
• 나쁜 소식은 여러 AI 구성 요소가 결합되면 이러한 문제가 악화되는 경우 증가 à 즉, 단일 AI 시스
템 내에 존재하는 문제가 전파될 뿐만 아니라 AI 공급망에서 증폭되는 경우에 대응/준비 필요
AI 공급망이 AI를 규제하려는 노력(EU AI act)을 약화시킬 가능성이 높음

• AI 공급망이 있으면 AI로 인한 피해에 대한 책임이 누구에게 있는지 결정하는 것이 더욱 어려워질

수 있음
• 다른 산업의 공급망을 규제하는 방식이 AI에 적용 가능한지 아직 확인 되지 않았음
• AI 공급망의 의미를 정리/해결 하지 못하면 빠르게 다가오는 미래 상황에 대응이 어려울 수 있음
36
ü AI 공급망과 제조 공급망은 속성과 관리 특성에 차이가 있음 à AI 배포의 위험성 증가
• 1. Poor specification (사양이 좋지 않음)
기존 공급망
• 대부분의 공급망이 관리 가능한 이유 중 하나는 개별 구성 요소가 잘 지정 되어 있기 때문

• 일반적으로 공급망의 각 구성요소가 어떤 목적을 수행하는지, 그것이 어떻게 수행될 것으로
예상되는지(자체적으로 그리고 다른 구성요소와 결합할 때 모두) 알고 있음
AI 공급망
• 대조적으로, AI 시스템은 현재 공식적인 사양을 제공하지 않거나 의미 있고 표준화된 성능

보장을 제공하지 않음
• AI 시스템을 지정하거나 감사하는 방법에 대한 업계 전반의 표준(또는 현재 이러한 표준을
마련할 수 있는 실행 가능한 방법)은 없음
37
• 2. Non-modularity (비모듈성)
기존 공급망
• 자동차 제조 공급망 사례와 마찬가지로 소프트웨어 공급망 성공의 핵심은 구성 요소가 연결

되어 있지만 명확하게 분리될 수 있다는 점에서 모듈 성격을 가짐
• 구성 요소가 모듈식인 경우 구성 요소를 연결하거나 분리해도 개별 속성이 변경되지 않음
(레고 블록을 연결해도 모양이나 색상이 변하지 않는 것과 같음)
AI 공급망
• 대조적으로, AI 시스템은 현재 공식적인 사양을 제공하지 않거나 의미 있고 표준화된 성능

보장을 제공하지 않음
• Downstream 개발자가 AI 도구를 사용할 때 갖는 기대와 배포를 통해 실제로 관찰되는 것
사이에는 큰 격차 존재
38
• 3. Hidden data interactions (숨겨진 데이터 상호 작용)
기존 공급망
• 제품은 고유의 기능에 맞게 설계되어 개별로 테스트 가능

• 제품의 조립 및 구성시 상호 작용에 대해 상당 부분 예측 가능
AI 공급망
• AI 모델은 데이터에서 패턴을 학습 à 어떤 면에서는 데이터가 핵심

• 훌륭하고 정확한 정보가 없으면 모델은 필연적으로 실수 할 수 있음
• 문제는 각 데이터가 그 자체로 "좋다"는 것만이 아니며, 추가로 활용하는 다른 데이터와 잘 작동해야만 함
• 여러 데이터 세트가 결합되면 데이터 간의 상호 작용이 더욱 복잡 해짐
• 예를 들어, 두 개의 데이터 세트는 그 자체로는 "양호"하고 "균형"이 있지만 결합하면 오해의 소지가 있을
수 있음
39
데이터 거버넌스란?
• 데이터 거버넌스에는 일반적으로
① 이해할 수 있고
② 정확하고
③ 완전하고
④ 신뢰할 수 있고
⑤ 안전하고
⑥ 검색 가능한
• 기업 데이터를 보장하기 위해 회사의 데이터

자산을 관리하고 보호하는 데 필요한 사람,
프로세스 및 기술이 포함됩니다.
DAMA-DMBOK2 가이드 지식 영역 휠
40
자료참조: https://www.dama.org/sites/default/files/download/DAMA-DMBOK2-Framework-V2-20140317-FINAL.pdf
기업 데이터의 표준화, 통합, 보호 및 저장을 위한 명확한
책임과 프로세스를 갖춘 조직과 방법을 수립하는 것
• 위험 최소화
• 데이터 사용에 대한 내부 규칙 설정
• 규정 준수 요구 사항 구현
• 내부 및 외부 커뮤니케이션 개선
• 데이터의 가치 증대
• 위의 관리를 용이하게 함
• 비용 절감
• 위험 관리 및 최적화를 통해 회사의 지속적인 존재를
보장하는 데 도움
데이터 거버넌스 수준
41
자료참조: https://bi-survey.com/data-governance#def
ü BIA(Business Impact Analysis)
• 사고 또는 긴급 상황으로 인해 중요한 비즈니스 운영이 중단될 때 발생할 수 있는 잠재적 영향을
확인하고 평가하는 체계적인 프로세스
• 예시)
- 규제 기관의 페널티에 따른 사업의 잠정/영구 중단, 벌금
- 소비자에 피해에 대한 보상/배상 금액
ü RA(Risk Assessment)
• 비즈니스에 영향을 줄 수 있는 위험 요소 평가
• 예시)
- Upstream 데이터에 식별 되지 않은 민감/개인 정보 포함
- 알고리듬의 정확도(or 충분한 이해 부족)으로 인한 오작동
국제 표준 기반 대응 필요 (ISO 22301, ISO 27001, etc)

42
자료참조: https://zecuboy.wordpress.com
Further Study
AI 데이터와 알고리듬
AI 공급망 관리
AI 인증 (CE mark)
References
1. https://www.consilium.europa.eu/en/policies/artificial-intelligence/
2. https://cms.law/en/svk/publication/comprehensive-guidance-for-ai-businesses/where-are-we-now-how-much-time-for-compliance-readiness-do-
we-have
3. https://www.consilium.europa.eu/en/policies/artificial-intelligence/#AI%20act
4. https://aipolicy.substack.com/p/supply-chains-4
5. https://zecuboy.wordpress.com/2013/06/20/risk-assessment-versus-business-impact-analysis/

EU - (2024.04.17) - v1.1

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

EU - (2024.04.17) - v1.1

Uploaded by

Copyright:

Available Formats

EU 인공지능법 시행에 따른 기업의 대응

위험기반 접근(Risk-based approach) 및 AI 공급망의 이해

장윤석 사업총괄이사, CBO(Chief Business Officer) / Ph.D.

quality control in prediction of natural

(3) 또한 기후 변화에 맞서 싸우는 것을 지지함

EU의 인공 지능에 대한 글로벌 접근 방식

데이터 및 데이터 품질에 대한

시험 채점, 채용, 대출 승인에 사용

Ø AI 공급사의 의무 설정, EU 시장에서 AI 시스템의 승인을 규제

있으며 EU의 AI 법에 의해 규제되거나 영향을 받지 않음

Ø AI 공급사의 의무 설정, EU 시장에서 AI 시스템의 승인을 규제

생성되었다는 공개와 같은 매우 가벼운 투명성 의무가 적용

Ø AI 공급사의 의무 설정, EU 시장에서 AI 시스템의 승인을 규제

적용되지만 광범위한 고위험 AI 시스템이 승인됨

Ø AI 공급사의 의무 설정, EU 시장에서 AI 시스템의 승인을 규제

간주되므로 이러한 시스템은 EU에서 사용 금지

• 기본권과 안전에 관한 기존 법률의 거버넌 • AI법에는 EU의 AI 혁신을 지원하기 위한 추

촉진 • EU의 인공 지능에 대한 조정 계획을 포함

• 459 Pages 2 PROHIBITED ARTIFICIAL INTELLIGENCE PRACTICES 1

• 13 Chapters 3 HIGH-RISK AI SYSTEMS 5 49

ü Keywords 6 MEASURES IN SUPPORT OF INNOVATION 7

10 CODES OF CONDUCT AND GUIDELINES 2

Subject matter Scope

11. 항공기 또는 선박의 불법 억류

1. Classification of AI systems as high-risk (section 1)

2. Requirements for high-risk AI systems (section 2)

4. Notifying authorities and notified bodies (section 4)

5. Standards, conformity assessment, certificates, registration (section 5)

1. AI 시스템이 해당 자연인에게 AI 시스템과 상호 작용하고 있음을 알리는 방식으로

2. AI 시스템의 출력물이 기계가 읽을 수 있는 형식으로 표시되고 인위적으로

3. 감정 인식 시스템 또는 생체 인식 분류 시스템의 배포자는 이에 노출된 자연인에게

4. 딥페이크에 해당하는 이미지, 오디오 또는 비디오 콘텐츠를 생성하거나 조작하는

5. 최초 상호작용 또는 노출 시점에 명확하고 구별 가능한 방식으로 관련인에게 제공

• 범용 AI 모델을 시스템 • 범용 AI 모델 제공자의 • 시스템적 위험이 있는

모델로 분류 (article 51) • 범용 AI 모델 제공업체의 의무 (article 55)

AI 규제 샌드박스에서 공익을 위해 특정 AI 시스템을 개발하기 위한 개인 데이터의 추가 처리 (article59)

AI 규제 샌드박스 외부의 실제 조건에서 고위험 AI 시스템 테스트 (article60)

AI 규제 샌드박스 외부의 실제 조건에서 테스트에 참여하기 위한 사전 동의 (article61)

공급자 및 배포자, 특히 스타트업을 포함한 중소기업을 위한 조치 (article62)

• AI 오피스 (article 64) • 국가 관할 당국 지정 및 단일 연락 창구

• 독립적인 전문가로 구성된 과학 패널

1. 관련 연합 또는 국내법에 따라 사용이 허용되는 경우 생체 인식

• 중요한 디지털 인프라, 도로 교통의 관리 및 운영 또는 물, 가스, 난방 또는 전기 공급에서 안전 구성

4. 고용, 근로자 관리 및 자영업 접근

5. 필수 민간 서비스와 필수 공공 서비스 및 혜택에 대한 접근과 향유

6. 법 집행 기관, 관련 연합 또는 국내법에 따라 사용이 허용

7. 이주, 망명 및 국경 통제 관리, 관련 연합 또는 국내법에 따라 사용이 허용되는 경우

1. Post-market monitoring (section 1)

2. Sharing of information on serious incidents (section 2)

• 특정 요구사항의 자발적 • 대표단의 행사 • 처벌 (article 99) • 기존 지침 개정

대한 벌금 (article 101) • 평가 및 검토 (article 112)

ü ANNEX (부록) 2. 제5(1)조 (e)(iii)항에 언급된 범죄 목록

3. 제6(2)조에 언급된 고위험 AI 시스템

7. 품질 관리 시스템 평가 및 기술 문서 평가를 기반으로 한 적합성

8. 제49조에 따른 고위험 AI시스템 등록 시 제출정보

9. 제60조에 따라 실제 조건에서의 테스트와 관련하여 부록 III에 나열된 고위험 AI 시스템 등록 시 제출할 정보

10. 자유, 보안, 정의 분야의 대규모 IT 시스템에 대한 연합 입법 법안

11. 제53(1)조, (a)항에 언급된 기술 문서 - 범용 AI 모델 제공자를 위한 기술 문서

13. 제51조에 따른 시스템적 위험이 있는 범용 AI 모델의 지정 기준

• '권한을 위임 받은 대리인'은 AI 시스템 또는 범용 AI 모델 제공자로부터 본 규정에서

• '수입업자' 는 제3국에 설립된 자연인 또는 법인의 이름 또는 상표를 가진 AI 시스템을

• '유통업체'는 공급자 또는 수입업자를 제외한 공급망의 자연인 또는 법인을 의미하며,

• '운영자'는 공급자, 제품 제조업체, 배포자, 공인 대리인, 수입자 또는 유통업체를 의미합