Wiz
모든 기사

The EU AI Act

위즈 전문가 팀
7 분 읽기
AI Security 샘플 평가Wiz AI-SPM 체험하기

EU 인공 지능(AI) 법은 책임감 있고 인간 중심적인 AI를 촉진하기 위해 유럽 연합 내에서 AI 시스템의 개발, 마케팅 및 사용에 대한 규칙을 수립합니다. 이는 세계 최초의 규정으로, AI 거버넌스에 대한 글로벌 표준을 만드는 데 있어 EU의 선구적인 역할을 보장합니다. AI가 사회와 개인의 권리에 미치는 광범위한 영향에 초점을 맞춥니다.

이 게시물에서는 EU가 이 법을 제정한 이유, 이 법의 내용, 규정 준수를 간소화하기 위한 모범 사례를 포함하여 AI 개발자 또는 공급업체로서 알아야 할 사항에 대해 자세히 설명합니다. 우리는 또한 AI 규제의 미래에 대해 다룰 것이며, 스포일러 주의, 곧 많은 유사한 법률이 있을 수 있습니다. 

EU가 AI법을 도입한 이유는 무엇입니까?

통제 불능 기술에 관한 공상 과학 영화를 본 적이 있을 것입니다. 이 기술은 장악하고 미쳐 날뛰며 모든 종류의 파괴를 일으킵니다.

AI는 적어도 아직까지는 그렇게 할 수 없습니다. 하지만 그것 않습니다 이미 많은 해를 끼칠 가능성이 있습니다. 

AI가 제대로 작동하려면 두 가지 중요한 요소가 필요합니다. 모델 달성하고자 하는 결과를 제공하기 위해 개발자가 구축했습니다. 그런 다음 개발자는 다음을 사용하여 모델을 훈련시킵니다. 데이터 이는 모델이 실제 세계에서 사용할 데이터에 최대한 가깝습니다. 

그러나 모델이나 데이터를 신뢰할 수 없거나 누군가 조작하면 AI가 제대로 작동하지 않습니다. CIA의 세 가지 요소(기밀성, 가용성, 무결성)를 충족하지 않는 데이터 및 모델은 현실 세계에 치명적인 결과를 초래할 수 있습니다.

  • 불충분하거나 편향된 데이터로 훈련된 AI 모델로 구동되는 자율 주행 자동차를 상상해 보십시오. 자동차가 교통 상황을 잘못 해석하여 부상이나 사망을 초래하는 심각한 사고로 이어질 수 있습니다.

  • 어쩌면 AI 시스템이 의료 영상을 기반으로 질병을 진단할 수도 있습니다. 이 모델이 편향되거나 불완전한 데이터에 대해 훈련되거나 누군가 모델을 조작하는 경우 오진, 치료 지연 또는 사망으로 이어질 수 있습니다.

물론 덜 재앙적인 시나리오가 더 가능성이 높습니다. 영업 챗봇이 사이트 방문자에게 거짓말을 하기 시작한다고 상상해 보십시오. 이는 판매, 운영 또는 평판에 해를 끼칠 수 있습니다. (마치 경쟁사의 제품을 추천하기 시작하는 것처럼!)

AI 리스크 또한 AI의 ROI에 심각한 영향을 미쳐 비용을 높이고 수익을 감소시킵니다.

AI에 대한 안전 표준이 필요하다는 것은 오래 전부터 인정되어 왔습니다. 이제 EU는 행동에 나서기로 결정했습니다.

GenAI Security Best Practices [Cheat Sheet]

Discover the 7 essential strategies for securing your generative AI applications with our comprehensive GenAI Security Best Practices Cheat Sheet.

Download Cheat Sheet

EU AI 법의 배경은 무엇이었습니까?

EU AI 법은 AI 애플리케이션을 만드는 사람들이 기술을 윤리적으로 사용할 수 있도록 돕는 것을 목표로 합니다. 무단 데이터 수집, 감시 및 조작으로부터 사람과 기업을 안전하게 보호하여 차별을 방지하고 AI가 투명하게 사용되도록 합니다. 또한 AI 모델에 문제가 발생할 경우 사회에 광범위하고 심각한 영향을 미칠 수 있는 가능성을 의미하는 "시스템 위험"을 최소화하는 것을 목표로 합니다. 좀 더 친절하게, 이러한 조치는 AI에 대한 신뢰도 높일 것입니다이는 개발자와 AI 제공업체에게 매우 좋은 일이 될 수 있습니다.

이 법은 딥페이크(deepfake) 및 기타 AI가 생성한 잘못된 정보와 같은 악의적인 목적으로 AI를 사용하는 것을 방지합니다. AI 소스의 공개를 의무화함으로써 이를 수행합니다. 사용자에게 알리지 않으면 벌금이 부과되거나 다른 부정적인 결과를 겪을 수 있습니다. 또한 각 회원국은 EU AI 법의 현지 시행을 감독할 국가 관할 기관을 설립해야 합니다.

가장 중요한 것은 EU AI 법이 AI 사용을 4가지 위험 수준으로 분류하고(이에 대해서는 나중에 논의 예정) "용납할 수 없는 위험"이 있는 모든 사용을 금지한다는 것입니다. 

EU AI법의 배경은 무엇이었나요?

다음 다이어그램은 EU AI Act가 채택되기까지의 타임라인을 보여줍니다. 보시다시피, 이 법은 상당히 짧은 기간에 발효되었습니다. 

Figure 1: Legislative timeline of the EU AI Act, from proposal to final law

구현 타임라인

EU AI 법 중 이미 발효되었습니다.기업은 2024년 8월부터 3년의 유예 기간을 두고 완전한 규정 준수를 강화할 수 있습니다.

예상되는 일정은 다음과 같습니다.

이것이 의미하는 바는 실제로 매우 간단합니다. EU AI Act가 귀하에게 적용되지 않는다고 생각하더라도 다음을 확인해야 합니다.… 그리고 시간이 얼마 남지 않았습니다.

Figure 2: Phased implementation stages of the EU AI Act

이것이 의미하는 바는 실제로 매우 간단합니다. EU AI Act가 귀하에게 적용되지 않는다고 생각하더라도 다음을 확인해야 합니다.… 그리고 시간이 얼마 남지 않았습니다.

EU AI 법에는 어떤 내용이 포함되나요?

EU AI Act에 대해 알아야 할 첫 번째이자 가장 중요한 것은 이 법이 치외법권까지 미친다는 것입니다. 

즉, EU 내에서 사용되거나 소비자나 기업에 영향을 미칠 AI 시스템을 제공하는 모든 사람은 이를 준수해야 할 것입니다.

EU AI 법은 다음과 같은 다양한 유형의 AI 시스템을 정의합니다.

  • 범용 AI 모델(GPAI): 대규모 언어 모델과 이미지 및 비디오 생성기

  • 특정 목적의 AI 모델: 의료 진단, 자율 주행 차량 또는 금융 위험 평가와 같은 특정 작업을 위해 설계된 AI

  • 임베디드 AI 시스템: 스마트 가전 제품 또는 산업용 로봇과 같은 AI 기반 장치

AI에 대한 EU AI 법의 4가지 위험 수준

EU AI 법은 AI의 "용납할 수 없는 위험" 적용을 규제하지 않으며, 이는 현재 유럽에서 금지되어 있기 때문입니다. 여기에는 공공 장소에서의 실시간 안면 인식 또는 불평등한 대우를 위해 개인 또는 그룹을 분류하는 것과 관련된 "소셜 스코어링", 법 집행 목적의 실시간 생체 인식(예측 치안이라고도 함)이 포함됩니다.

  • 허용할 수 없는 위험: 너무 큰 위협이 되어 완전히 금지되는 행위

  • 고위험: 안전 또는 기본권에 부정적인 영향을 미칠 우려가 있는 행위

  • 위험 제한: 과도하게 위험하지는 않지만 여전히 투명성 요구 사항이 있는 활동(사용자에게 AI와 상호 작용하고 있음을 알려야 함을 의미)

  • 위험 최소화: 일반적으로 규제할 필요가 없는 무해한 활동

EU AI 법은 AI의 "용납할 수 없는 위험" 적용을 규제하지 않으며, 이는 현재 유럽에서 금지되어 있기 때문입니다. 여기에는 공공 장소에서의 실시간 안면 인식 또는 불평등한 대우를 위해 개인 또는 그룹을 분류하는 것과 관련된 "소셜 스코어링", 법 집행 목적의 실시간 생체 인식(예측 치안이라고도 함)이 포함됩니다. 

또한 스팸 필터나 AI 지원 비디오 게임과 같은 "최소 위험" 활동을 규제하지 않습니다. 현재 여기에는 현재 EU 시장에서 사용할 수 있는 대부분의 AI 애플리케이션이 포함됩니다. 

EU AI 법의 일부 조항은 "제한된 위험" 시스템을 다룹니다. 이러한 유형의 시스템의 개발자와 배포자는 투명성 의무를 충족해야 합니다. 이는 일반적으로 최종 사용자에게 AI(예: 챗봇 및 딥페이크)와 상호 작용하고 있음을 알리는 것을 의미합니다.

EU AI 법의 압도적 다수는 "고위험" AI 시스템과 이를 제공하는 조직 및 개인을 다룹니다. 고위험 응용 프로그램에는 다음이 포함됩니다.…

  • 크레딧 자격 평가

  • 건강 보험, 생명 보험 또는 공공 혜택에 대한 신청서 평가

  • 입사 지원서(ATS) 분석 또는 후보자 평가

고위험 AI 시스템의 또 다른 주요 범주는 "제품 안전 구성 요소"입니다. 이는 제품에 내장된 AI 시스템을 의미하며 해당 제품의 안전에 매우 중요합니다. 예를 들어, 자율 주행 차량이나 산업 또는 의료 기기에 내장된 AI 시스템이 있습니다.

State of AI in the Cloud 2024

Did you know that over 70% of organizations are using managed AI services in their cloud environments? See what else our research team uncovered about AI in their analysis of 150,000 cloud accounts.

Get PDF

EU AI 법의 8가지 필수 규칙

AI 애플리케이션의 개발자와 공급업체는 EU AI 법에 따라 "공급자"로 알려져 있습니다. AI를 전문적으로 사용하는 모든 법인 또는 자연인은 "사용자" 또는 "배포자"로 간주됩니다.

EU AI 법의 개요 고위험 시스템에 대한 8가지 핵심 요구 사항:

  • 리스크 관리 고위험 AI 시스템의 수명 주기 전반에 걸쳐

  • 데이터 거버넌스 모든 학습, 검증 및 테스트 데이터 세트를 확인하려면

  • 기술 문서 규정 준수를 입증하고 평가하기 위해

  • 기록 보관 위험을 결정하고 수명 주기 전반에 걸쳐 위험 수준을 업데이트합니다.

  • 사용 방법 따라서 다운스트림 배포자는 공급망 전반에 걸쳐 완전한 규정 준수를 보장할 수 있습니다.

  • AI 시스템은 다음을 허용해야 합니다. 인간의 감독 사용자별(배포자)

  • AI 시스템은 다음을 달성하도록 설계되어야 합니다. 정확성, 견고성 및 사이버 보안 

  • 품질경영 규정 준수를 보장하고 보고하기 위해

이러한 요구 사항을 충족하지 못하면 유럽 시장에서 차단되고 막대한 벌금이 부과될 수 있습니다. 벌금은 회사 규모에 따라 750만 유로(연간 매출액의 1.5%)에서 3,500만 유로(연간 매출액의 7%)까지 다양할 수 있습니다.

EU AI 법으로 인해 추가적인 작업이 발생하지만 이점도 있습니다. 예를 들어, 규제 샌드박스 생성을 제공합니다.이를 통해 규정 프레임워크 외부에서 응용 프로그램을 테스트할 수 있습니다. 

첫 번째 원칙으로 돌아가서, EU AI 법안은 AI의 취약성을 줄여 비즈니스, 고객 및 대중을 보호하는 것을 목표로 합니다. 보안을 의무화하여 이를 수행합니다. AI 개발 사례, 정기적인 보안 평가, AI 시스템의 투명성 및 책임성. 그러나 오늘날의 멀티 클라우드 환경의 복잡성으로 인해 말처럼 쉽지는 않습니다.

EU AI 법을 준수하기 위한 모범 사례에는 어떤 것이 있나요?

EU AI 법의 요구 사항을 준수하기 위해 수행해야 하는 작업은 다음과 같습니다.

  • 섀도우 데이터에 플래그를 지정하기 위해 전체 환경을 매핑하는 등 철저한 위험 평가를 수행합니다. 특히 그림자 AI.

  • 견고한 데이터 보호 조치를 취하십시오. DSPM(Data Security Posture Management) 솔루션과 같은 AI가 사용하는 모든 데이터를 보호합니다.

  • 투명성과 설명 가능성을 검증한다는 것은 AI 시스템의 결과를 해석하고 이해할 수 있어야 함을 의미합니다.

  • 투명성에 대한 약속의 일환으로 기술 문서를 업데이트하고 유지 관리합니다.

  • 잠재적인 문제를 신속하게 표시하는 자동화된 규정 준수 검사기를 포함하여 효과적인 관리 및 감독을 수립합니다.

KPMG 보고서에 따르면, 테스트 및 문서화와 관련된 작업을 대폭 줄이는 가장 좋은 방법 중 하나는 "자동화된 위협 탐지, 분석 및 인텔리전스 솔루션을 활용하는 것"입니다. 그들은 "규정 준수 매핑, 의무 추적 및 워크플로 관리"를 처리하기 위해 자동화된 솔루션을 권장합니다.

이러한 종류의 도구 등은 다음의 일부로 찾을 수 있습니다. 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP). 따라서 조직에 적합한 CNAPP를 찾는 것은 EU AI 규정 준수를 간소화하는 데 있어 할 수 있는 최선의 결정 중 하나입니다.

AI 규제의 미래

EU 이외의 다른 관할권에서도 유사한 법률을 도입할 가능성이 높습니다. 예를 들어, 미국에서는 주 정부와 연방 기관이 특히 자율 주행 차량과 의료 서비스와 관련된 AI 규제를 모색하고 있습니다. 중국, 캐나다, 일본, 영국 등도 규제 조치를 검토하고 있습니다. 그러나 좋은 소식은 EU AI 법을 준수하면 다른 표준을 충족하기가 더 쉬워질 수 있다는 것입니다.

이미 AI 솔루션을 사용하고 있거나 그 방향으로 나아가고 있다면, 윤리적이고 책임감 있는 AI 사용에 대한 책임은 여러분의 어깨에 있습니다. 최종 사용자, 조직 및 제3자에 대한 잠재적인 피해를 완화해야 합니다. 

대부분의 도구가 AI의 최첨단을 따라잡기 위해 고군분투하고 있는 지금, 이미 여러분의 뒤를 든든히 받쳐주는 플랫폼이 하나 있습니다. Wiz 플랫폼은 다음을 제공합니다. AI-SPM 솔루션 이는 관리하기 쉬운 단일 우산 아래에서 AI 보안 위험 및 규정 준수에 대한 통합된 접근 방식을 제공합니다. 

Wiz는 Amazon SageMaker, OpenAI, TensorFlow Hub 등과 같은 모든 AI 서비스 및 기술에서 보안 및 규정 준수를 빠르게 찾고 모니터링합니다.

  • AI 파이프라인에 대한 풀 스택 가시성

  • AI 구성 오류의 빠른 감지

  • 민감한 AI 교육 데이터 보호

EU AI 법안은 공상 과학 영화에서처럼 기술이 미쳐 돌아가는 악몽 같은 시나리오가 결코 실현되지 않도록 하는 것을 목표로 합니다. 또한 Wiz는 단일 창 뒤에서 포괄적인 가시성, 위험 평가 및 보안 조치를 모두 통해 오늘날의 가장 큰 위험으로부터 비즈니스를 보호합니다.

Figure 3: The Wiz AI Security Dashboard prioritizes risks so you can focus on the most critical ones

Wiz는 규정 준수에 그치지 않습니다. 다양한 보안 도구의 심층적인 컨텍스트를 통해 취약성, ID, 네트워크 노출, 멀웨어, 데이터 및 노출된 비밀에 대한 완전한 통찰력과 자동화를 통해 보안 사고가 문제가 발생하기 전에 완화를 시작할 수 있습니다.

Figure 4: Wiz helps you proactively remove AI attack paths before they become threats

EU AI 법안은 공상 과학 영화에서처럼 기술이 미쳐 돌아가는 악몽 같은 시나리오가 결코 실현되지 않도록 하는 것을 목표로 합니다. 또한 Wiz는 단일 창 뒤에서 포괄적인 가시성, 위험 평가 및 보안 조치를 모두 통해 오늘날의 가장 큰 위험으로부터 비즈니스를 보호합니다.

위험이나 규제로 인해 AI가 비즈니스에 제공하는 모든 이점을 달성하는 데 방해가 되지 않도록 하십시오. Wiz 데모 받기 이를 통해 전체 SDLC에서 AI를 보호하는 것이 얼마나 쉬운지 확인할 수 있습니다.

Accelerate AI Innovation, Securely

Learn why CISOs at the fastest growing companies choose Wiz to secure their organization's AI infrastructure.

데모 신청하기