EU AI Act 컴플라이언스 실패를 방지하려면 AI 시스템 인벤토리 구축이 선행되어야 한다

Context

AI가 더 이상 조직이 직접 구축하는 것이 아니라 SaaS 도구에 내장되어 있다. CRM의 리드 스코어링, 고객 지원 챗봇, HR 이력서 스크리닝, Copilot 활용, 마케팅 콘텐츠 생성, 재무 예측 등이 모두 EU AI Act 의무 대상이다. 그러나 대부분의 조직은 자사가 보유한 AI 시스템 목록조차 완전하게 작성하지 못하고 있다.

Technical Solution

• [인벤토리 구축 대상] 내부 개발 AI, 벤더 제품 내 AI 기능, 디시저닝 및 스코어링 시스템, AI 에이전트 워크플로우를 4가지 카테고리로 분류
• [인벤토리 필수 필드] 시스템 식별자(시스템명, 내부 ID, 벤더, 버전, 배포일), 소유권(업무 소유자, 기술 소유자, 컴플라이언스 담당자), 역할 분류(provider, deployer, importer, distributor), 사용 목적, 리스크 분류, 데이터 처리 정보, 모니터링 담당자를 포함
• [5개월 실행 계획] 1개월차 인벤토리 구축, 2개월차 시스템 분류 및 고위험 식별, 3개월차 고위험 시스템 기술 문서화, 4개월차 모니터링 및 정책 enforcement 구현, 5개월차 내부 감사 리허설

Impact

2026년 8월 2일 고위험 AI 시스템 완전 컴플라이언스 마감일 까지 5개월 남았으며, 인벤토리부터 시작한 조직이 준비 완료될 것으로 예상됨

Key Takeaway

인벤토리는 리스크 분류와 역할 할당을 가능하게 하는 기반이며, spreadsheet로 인벤토리를 작성하고 runtime operations와 연결하지 않으면 감사 시 증거 확보에 어려움을 겪는다