The EU AI Act is an infrastructure problem, not a legal one

Context

EU AI Act의 고위험 AI 시스템 규제는 2026년 8월 2일 마감이지만, 대부분의 조직은 SharePoint의 슬라이드 덱으로 리스크 관리를 수행 중이다. Article 9~15는 기술 문서, 데이터 거버넌스, 정확도 검증 등에 대한 기계 판독 가능한 증거를 요구하는데, 현재는 이를 생성할 인프라가 부족하다. 이는 법률 문제가 아닌 인프라 문제로, 규제 요건을 코드로 구현하고 자동 검증할 체계가 필요하다.

Technical Solution

• OSCAL(NIST 표준 컴플라이언스-as-코드) 정책 파일로 Article 10(데이터 거버넌스), Article 15(정확도·견고성) 요구사항을 YAML로 정의: class_imbalance >= 20%, disparate_impact > 0.8, accuracy_score >= 70% 등의 임계값을 메트릭으로 표현
• vl.enforce() 엔진으로 학습 전 데이터 감사 수행: 104개 등록 메트릭(공정성, 개인정보보호, 데이터 품질)을 평가하고 집단별 상세 분석 제공 (예: 여성 승인률 35.16% vs 남성 27.68%)
• 모델 학습 후 정책 기반 포스트 트레이닝 감사: 예측값과 실제값을 정책의 메트릭과 매칭하여 준수 여부 판정
• 버전 제어 가능한 정책 파일: git diff로 임계값 변경(0.10→0.05) 추적 가능, PR 리뷰 대상
• MLflow/WandB 자동 연동: MLFLOW_TRACKING_URI 환경변수 설정만으로 규제 메트릭이 모델 레지스트리에 자동 로깅

Key Takeaway

EU AI Act 규제 준수를 위해서는 사후 감사가 아닌 ML 개발 파이프라인 내 설계 단계부터 증거 생성을 자동화해야 하며, OSCAL 같은 산업 표준을 채택하면 벤더 종속성을 피하면서 상호운용성을 확보할 수 있다.