컴플라이언스(Compliance) — SOC 2, HIPAA, GDPR, PCI-DSS, EU AI Act, ISO 42001
2026년 엔터프라이즈 거래(enterprise deal)에서 다중 프레임워크 대응(multi-framework coverage)은 더 이상 차별화 요소가 아니라 기본 진입 요건(table stakes)입니다. EU AI Act: 2024년 8월 1일부터 발효(in force) 중이며, 대부분의 고위험(high-risk) 요건은 2026년 8월 2일부터 시행됩니다. 고위험 시스템 의무(high-risk-system obligation) 위반에는 최대 €15M 또는 전 세계 연 매출(global annual turnover)의 3%(Art. 99(4))까지, 금지된 AI 관행(prohibited AI practices)에는 최대 €35M 또는 7%(Art. 99(3))까지 과징금(fine)이 부과될 수 있습니다. EU 사용자에게 서비스를 제공한다면 전 세계 어디에 위치하든 적용됩니다. Colorado AI Act: 2026년 6월 30일 발효(effective)됩니다(SB25B-004 개정으로 2026년 2월에서 연기). 고위험 시스템에 대한 영향 평가(impact assessment)와 AI 결정에 대한 이의 제기 권리(right to appeal)를 요구합니다. Virginia 주 역시 신용·고용·주거·교육 분야에서 유사한 규제를 둡니다. SOC 2 Type II: 사실상의 B2B AI 진입 요건이며, 핀테크(fintech) 분야는 Type I이 아니라 Type II가 기준입니다. GDPR: 문서로 확인된 가장 큰 AI 관련 과징금은 네덜란드 데이터 보호 당국(Dutch DPA)이 2024년 9월 Clearview AI에 부과한 €30.5M입니다. 이탈리아 개인정보 보호청(Italy's Garante)은 2024년 12월 OpenAI에 €15M 과징금을 부과했으나 2026년 3월 항소(appeal)에서 뒤집혔습니다(overturned). 추론 시점(inference)의 실시간 PII 비식별화(real-time PII redaction)가 방어 가능한(defensible) 표준이며, 사후 정리(post-processing cleanup)는 충분하지 않습니다. HIPAA: 의료(healthcare) 분야에 적용되며, 사업 제휴 계약(Business Associate Agreement; BAA) 없이는 보호 대상 건강 정보(Protected Health Information; PHI)를 외부 AI 서비스로 보낼 수 없습니다. PCI-DSS: AI 상호작용 계층(AI-interaction-layer)에 대한 적용은 자동이 아니라 설정(configuration)과 계약(contractual agreement) 양쪽이 모두 필요합니다. ISO 42001: 떠오르는 AI 거버넌스(AI governance) 표준이며, ISO 27001과 함께 조달(procurement) 요건으로 빠르게 자리 잡고 있습니다. 참조 프로필(reference profile): OpenAI는 SOC 2 Type 2, ISO/IEC 27001:2022, ISO/IEC 27701:2019, GDPR/CCPA/HIPAA(BAA)/FERPA, ChatGPT 결제 구성요소(payment component)에 대한 PCI-DSS를 유지합니다. 교차 프레임워크 매핑(cross-framework mapping)은 감사 피로(audit fatigue)를 줄입니다. 예를 들어 접근 통제(access control)는 ISO 27001 A.5.15-5.18, GDPR Art. 32, HIPAA §164.312(a)에 함께 매핑됩니다.
유형: Learn
언어: (Python은 선택 — 컴플라이언스는 코드가 아니라 정책(policy)과 절차(process)의 영역입니다)
선수 지식: Phase 17 · 25 (보안), Phase 17 · 13 (관찰가능성)
예상 시간: 약 60분
학습 목표
- LLM 제품과 관련된 2026년 프레임워크(framework) 일곱 가지를 열거하고, 각각을 고객 세그먼트(customer segment)에 짝지을 수 있다.
- EU AI Act의 시행 일정(2024년 8월 발효, 2026년 8월 고위험 시행)과 두 단계 과징금 상한(고위험 의무는 €15M / 3%, 금지된 관행은 €35M / 7%)을 인용할 수 있다.
- 사후 처리 방식 PII 정리가 GDPR에 충분하지 않은 이유를 설명하고, 추론 계층(inference-layer)의 실시간 비식별화가 방어 가능한 표준임을 말할 수 있다.
- 교차 프레임워크 통제 매핑(cross-framework control mapping)을 설명할 수 있다. 예: 접근 통제는 ISO 27001 A.5.15-5.18 + GDPR Art. 32 + HIPAA §164.312(a)에 매핑된다.
문제
엔터프라이즈 고객의 조달(procurement) 담당자가 SOC 2 Type II, GDPR, HIPAA BAA, ISO 27001, 그리고 "EU AI Act 컴플라이언스 진술서(compliance statement)"를 요구합니다. 팀이 가진 것은 SOC 2 Type I뿐입니다. Type II까지는 6개월이 남았고, GDPR 제30조(Article 30) 기록은 아직 시작도 하지 못했습니다.
다중 프레임워크 대응은 사실 LLM 고유 문제가 아니라 엔터프라이즈 SaaS(enterprise-SaaS) 공통 문제이며, 여기에 LLM 특유의 추가 요구사항(overlay)이 얹히는 구조입니다. 2026년의 조달 팀은 PDF 한 장이 아니라, 프레임워크별 행과 통제(control)별 열로 구성된 매트릭스(matrix)를 원합니다.
개념
일곱 가지 프레임워크
| 프레임워크(Framework) | 적용 범위(Scope) | LLM 특유 요구사항 |
|---|
| SOC 2 Type II | B2B SaaS 기본 진입 요건 | 6-12개월 동안 운영된 절차 통제(process control)에 대한 감사 |
| HIPAA | 미국 의료 | BAA 필수. PHI는 서명된 계약 없이 인프라(infrastructure)를 떠날 수 없음 |
| GDPR | EU 사용자 | 실시간 PII 비식별화, 정보 주체 권리(data subject rights), 제30조 기록 |
| PCI-DSS | 결제 데이터 | 결제(payment)에 접근하는 AI에 대해 설정 + 계약 모두 필요 |
| EU AI Act | EU 사용자 대상 서비스 | 위험 등급(risk tier) 분류. 고위험 시스템은 적합성 평가(conformity assessment), 문서화, 로깅 필요 |
| Colorado AI Act | 콜로라도 거주자 대상 서비스 | 영향 평가, 이의 제기 권리 |
| ISO 42001 | AI 거버넌스 | 신생 표준. ISO 27001과 짝을 이룸 |
EU AI Act 시행 일정
- 2024년 8월 1일: 발효.
- 2025년 2월 2일: 금지된 AI 관행(prohibited-AI practices) 시행.
- 2026년 8월 2일: 고위험 시스템 시행(적합성 평가, 문서화, 로깅).
- 2027년 8월: 조화 법령(harmonized legislation) 적용 제품에 포함된 고위험 시스템.
위험 등급은 수용 불가(Unacceptable; 금지), 고위험(High-risk; 적합성 평가 + 로깅), 제한 위험(Limited-risk; 투명성 의무), 최소 위험(Minimal-risk; 별도 제약 없음)으로 나뉩니다. 대부분의 B2B LLM SaaS는 제한 위험에 해당하며, 고용, 신용, 교육, 법 집행, 이주, 필수 서비스 영역에서는 고위험으로 분류됩니다.
과징금(제99조): 고위험 시스템 의무 위반은 최대 €15M 또는 전 세계 연 매출의 3%(Art. 99(4)), 금지된 AI 관행은 최대 €35M 또는 7%(Art. 99(3))까지 부과되며, 둘 중 더 큰 금액이 적용됩니다.
GDPR — 실시간 비식별화가 표준입니다
LLM이 데이터를 본 뒤에 PII를 지우는 사후 처리(post-processing cleanup) 방식은 방어 가능한 자세(defensible posture)가 될 수 없습니다. 모델은 이미 데이터를 본 상태이기 때문입니다. 2026년의 표준은 추론 계층의 실시간 비식별화입니다.
- LLM 호출 전에 개체명 인식(entity recognition).
- 일관된 토큰화(consistent tokenization; Mesh 접근 방식)로 의미(semantics) 보존.
- 비식별화된 프롬프트만 저장하고, 원본(raw)은 명시적으로 동의(consented opt-in)한 경우에만 저장.
최근 집행 사례: Clearview AI에 부과된 €30.5M(네덜란드 DPA, 2024년 9월)은 현재까지 문서로 확인된 가장 큰 AI 특화 GDPR 과징금입니다. OpenAI에 부과된 €15M(이탈리아 Garante, 2024년 12월)은 LLM 특화 과징금 중 가장 큰 사례이지만, 2026년 3월 항소에서 뒤집혔고 판결은 추가 재검토(further review) 중입니다. 사후 처리만으로 충분하다는 주장은 감사 단계에서 실패해 왔습니다.
HIPAA — BAA는 선택이 아닙니다
서명된 사업 제휴 계약(BAA) 없이 외부 AI 서비스로 PHI를 전송할 수 없습니다. 세 개의 하이퍼스케일러(hyperscaler) LLM 플랫폼인 Bedrock, Azure OpenAI, Vertex 모두 BAA를 제공합니다. OpenAI 직접 API도 BAA를 제공하고, Anthropic 직접 API도 BAA를 제공합니다. PHI를 보내기 전에 반드시 확인해야 합니다.
SOC 2 Type II
Type I: 통제가 설계되고 문서화된 상태.
Type II: 통제가 6-12개월 동안 효과적으로 운영된 상태.
2026년 B2B 조달은 기본적으로 Type II를 요구합니다. Type I은 출발점일 뿐이며, 진입 게이트는 Type II입니다.
흔한 감사 항목: 접근 로그(access logs; 누가 무엇을 보았는가), 변경 관리(change management; 어떻게 배포되었는가), 위험 평가(risk assessments; 분기별), 인시던트 대응(incident response; 실제로 훈련해 보았는가). Phase 17 · 25에서 만든 감사 로그(audit log)를 그대로 재사용할 수 있습니다.
교차 프레임워크 매핑
하나의 접근 통제 정책이 여러 프레임워크 통제를 동시에 만족시킬 수 있습니다.
| 통제(Control) | 매핑되는 프레임워크 |
|---|
| 접근 로깅(Access logging) | ISO 27001 A.5.15-5.18, GDPR Art. 32, HIPAA §164.312(a) |
| 변경 관리(Change management) | ISO 27001 A.8.32, PCI DSS Req. 6, HIPAA breach-notification scope |
| 전송 중 암호화(Encryption in transit) | ISO 27001 A.8.24, GDPR Art. 32, HIPAA §164.312(e) |
| 비밀 관리(Secrets management) | ISO 27001 A.8.19, PCI DSS Req. 8, SOC 2 CC6.1 |
컴플라이언스 도구(Drata, Vanta, Secureframe)는 이러한 매핑을 자동화합니다. 규모가 커지면 비용을 들일 만한 가치가 있습니다.
ISO 42001 — 신생 표준
2023년 말에 발행되었습니다. ISO 27001과 함께 조달 요건으로 자리 잡아가는 중이며, 위험 관리, 데이터 품질, 투명성, 사람에 의한 감독(human oversight)을 포함하는 AI 거버넌스 프레임워크입니다.
OpenAI의 참조 프로필
OpenAI는 SOC 2 Type 2, ISO/IEC 27001:2022, ISO/IEC 27701:2019, GDPR/CCPA/HIPAA(BAA)/FERPA, 그리고 ChatGPT 결제 구성요소에 대한 PCI-DSS를 유지합니다. 이는 2026년 엔터프라이즈에서 요구되는 기본 진입 요건에 가깝습니다.
기억해 두어야 할 숫자
- EU AI Act 과징금: 고위험 의무(Art. 99(4))는 최대 €15M / 3%, 금지된 관행(Art. 99(3))은 최대 €35M / 7%.
- EU AI Act 고위험 시행: 2026년 8월 2일.
- 문서로 확인된 가장 큰 AI 특화 GDPR 과징금: €30.5M, Clearview AI(네덜란드 DPA, 2024년 9월).
- 가장 큰 LLM 특화 GDPR 과징금: €15M, OpenAI(이탈리아 Garante, 2024년 12월; 2026년 3월 항소에서 뒤집힘).
- SOC 2 Type II 기간: 6-12개월 동안 운영된 통제.
- Colorado AI Act 발효일: 2026년 6월 30일(SB25B-004로 2026년 2월에서 연기됨).
사용해보기
code/main.py는 표준 라이브러리만 사용한 컴플라이언스 매핑 스프레드시트입니다. 통제 항목을 입력으로 받으면 그 통제가 만족시키는 프레임워크 목록을 출력합니다.
산출물 만들기
이 강의는 outputs/skill-compliance-matrix.md를 만듭니다. 고객 세그먼트와 지역이 주어지면, 필요한 프레임워크와 통제를 지정해 주는 스킬입니다.
연습문제
- 쉬움: 첫 엔터프라이즈 고객이 SOC 2 Type II, HIPAA BAA, EU AI Act 진술서를 요구합니다. 이 거래를 따내기 위한 최소한의 실행 가능한 컴플라이언스 자세(minimum viable compliance posture)는 무엇입니까?
- 중간: 가상의 LLM 제품 세 가지를 EU AI Act 위험 등급에 따라 분류합니다. 고위험으로 분류되면 무엇이 달라집니까?
- 중간: BAA 없이 제공업체에 PHI를 보내 버린 상황을 가정하고, 인시던트 대응 절차를 단계별로 설명합니다.
- 어려움: 중견(mid-market) AI 공급업체에게 ISO 42001이 "2026년에 필수인지" 논의합니다.
- 어려움: 본인의 LLM 감사 로그 필드(Phase 17 · 25)를 최소 세 개의 프레임워크 통제에 매핑합니다.
핵심 용어
| 용어 | 흔한 설명 | 실제 의미 |
|---|
| SOC 2 Type II | "감사된 통제" | 6-12개월에 걸쳐 운영된 통제에 대한 독립적인 증명(independent attestation) |
| HIPAA BAA | "헬스케어 계약" | PHI 처리에 필수인 사업 제휴 계약(Business Associate Agreement) |
| GDPR | "EU 개인정보 보호법" | 실시간 PII 비식별화가 2026년의 방어 가능한 표준 |
| EU AI Act | "EU AI 규제" | 고위험 시행 2026년 8월. €15M / 3%(고위험 의무) — €35M / 7%(금지된 관행) |
| Colorado AI Act | "미국의 주(state) AI 법" | 2026년 6월 30일 발효(SB25B-004로 연기). 영향 평가 요구 |
| ISO 42001 | "AI 거버넌스" | AI 위험 및 투명성을 위한 신생 프레임워크 |
| ISO 27001 | "보안 ISMS" | 정보 보안 관리 체계(Information Security Management System; ISMS) 기본 표준 |
| 적합성 평가(Conformity assessment) | "EU AI 문서 패키지" | 고위험 요구사항: 문서, 시험, 로깅 |
| 교차 프레임워크 매핑(Cross-framework mapping) | "하나의 통제, 여러 프레임워크" | 하나의 정책이 여러 프레임워크 통제를 동시에 만족시키는 구조 |
더 읽을거리