OECD의 책임 있는 AI를 위한 실사 지침
ESG
OECD 『Due Diligence Guidance for Responsible AI』(© OECD 2026)
책임 있는 AI(Responsible AI)를 위해 기업이 수행해야 할 RBC(Responsible Business Conduct) 실사(due diligence)
OECD Due Diligence Guidance for Responsible AI
OECD의 책임 있는 AI를 위한 실사 지침
1. 문서의 목적과 성격(왜 이 가이드가 필요한가)
이 가이드는 기업이 OECD 다국적기업 가이드라인(MNE Guidelines)과 OECD AI 원칙(AI Principles)을 실제 경영·개발·운영에 적용할 수 있도록 돕는 실무형 실사 지침입니다.
특히 AI 가치사슬(데이터/모델/배포/운영/사용) 전반에서 기업이 (1) 직접 초래(cause), (2) 기여(contribute), (3) 거래·관계로 인해 직접 연결(directly linked) 될 수 있는 부정적 영향(adverse impacts, 즉 “리스크”)을 사전에 식별하고, 예방·완화하며, 필요 시 구제(remedy)까지 이어지도록 구체적 실행 예시를 제공합니다. 
또한 이 가이드는 이미 존재하는 각국·국제기구·산업 주도의 AI 거버넌스/리스크 관리 프레임워크가 많아진 상황에서, 기업이 여러 프레임워크를 ‘서로 모순 없이’ 운영하도록 상호운용성(interoperability)·정책 일관성을 높이는 “공통 참조점” 역할을 지향합니다.  
참고로, 이 가이드는 법령 준수(컴플라이언스)만을 위한 “체크리스트”가 아니라, 법을 넘어서는 자발적 표준(Voluntary standards)로서의 성격도 명확히 하고 있습니다. 
⸻
2. 대상(누가 무엇을 해야 하나): 3개 그룹
문서는 AI 가치사슬에서 기업을 크게 3그룹으로 보고, 각 그룹이 수행해야 할 실사의 깊이와 방식이 달라질 수 있음을 전제로 합니다.
• 그룹 2(핵심): AI 시스템의 설계·개발·배포·운영에 적극 관여하는 기업
기획/설계, 모델 구축·개조, TEVV(시험·평가·검증·검정), 배포(오픈소스 포함), 운영 및 모니터링까지 포함됩니다. 
• 그룹 3: AI 시스템 “사용자” 기업(다운스트림)
자사 운영·제품·서비스에서 AI를 사용하는 기업(금융기관 포함)으로, AI 리스크를 자사 전체 RBC 실사 중 다른 리스크들과 함께 ‘우선순위화’하여 다룹니다. 
• (문서상 그룹 1도 존재하나, 핵심 실행 파트(2장)는 가치사슬 전반(그룹 1~3)에 공통 적용되는 실무 예시를 함께 제시합니다. 
SMEs(중소기업) 특별 고려
SME도 실사 의무가 있으나, 대기업 대비 역량이 제한될 수 있으므로 협업(산업 이니셔티브 등)으로 비용을 줄이고 정보 접근을 개선하라고 권고합니다. 또한 실사의 범위·수준은 기업 규모, 영향과의 관련성, 영향의 심각성에 비례해야 함을 강조합니다.  
⸻
3. RBC 실사 프레임워크 개요: “동시에, 반복적으로” 돌아가는 6단계
OECD RBC 실사 프레임워크는 아래 6단계이며, 문서는 이 단계들이 순차적 체크리스트가 아니라 동시적·반복적(ongoing, proactive & reactive) 프로세스임을 분명히 합니다. 
1. 정책·관리시스템에 RBC 내재화
2. 실제/잠재 부정적 영향 식별·평가
3. 중단·예방·완화(cease/prevent/mitigate)
4. 이행 및 결과 추적(track)
5. 조치 및 성과 소통(communicate)
6. 적절 시 구제 제공 또는 협력(remediation)
⸻
4. 핵심 개념 3가지: “관여도(involvement)”, “우선순위(prioritisation)”, “레버리지(leverage)”
4.1 관여도(involvement): cause / contribute / directly linked
모든 기업이 실사를 해야 하지만, 부정적 영향과의 관계가 무엇인지에 따라 기대수준이 달라집니다.
• 초래(cause): 영향을 끝내거나 예방해야 하며, 실제 피해에는 구제(remedy)까지 책임이 큽니다. 
• 기여(contribute): 기여분을 중단·예방하고, 피해에 대한 기여분 구제 및 추가 리스크 방지를 위해 거래관계에 대한 레버리지 강화가 요구됩니다(기여는 “상당해야” 하며 사소한 기여는 제외). 
• 직접 연결(directly linked): 거래관계(비즈니스 관계)를 통해 연결된 경우로, 기업은 레버리지를 활용·강화해 상대방이 예방·완화하도록 촉구해야 합니다. 
또한 AI가 배포/재판매된 이후에는 설계상 미완화 리스크 또는 고위험 최종사용자(high-risk end users)와 결부되어 “기여/직접연결”이 발생할 수 있음을 지적합니다. 
4.2 우선순위화(prioritisation): 심각성과 가능성 기반
모든 리스크를 즉시 해결하기 어려울 때, 가장 중대한(salient) 리스크부터 조치해야 하며, 그 근거가 “신뢰가능”해야 한다고 봅니다. 
문서는 우선순위 판단 요소로 다음 4가지를 제시합니다.
• 규모(Scale): 영향의 중대성/중력
• 범위(Scope): 영향이 미치는 대상·확산 범위
• 회복불가능성(Irremediability/Irreversibility): 원상회복의 한계
• 발생가능성(Likelihood/Probability/Foreseeability): 개연성/예견가능성 
AI 맥락의 예시로, 형사사건 형량 결정, 딥페이크 기반 협박/성적괴롭힘, 특정 집단 감시 등 심각한 스케일 사례와, 데이터센터 물 사용으로 지역 물 부족을 악화시키는 스코프 사례, 챗봇이 자해를 권고하는 회복불가능 사례 등을 제시합니다. 
4.3 레버리지(leverage)와 ‘컨트롤 포인트(control points)’
기업이 거래관계에 대해 충분한 레버리지가 없으면, 경영진 차원의 관여, 지원·인센티브, 다른 기업·이해관계자와의 협력(경쟁법 준수 전제) 등을 통해 레버리지를 키우라고 권고합니다. 
또한 가치사슬에서 소수 기업이 다수와 연결되며 규제·감사 대상이 되기 쉬운 지점을 ‘컨트롤 포인트’로 보고, 그 지점에 실사를 집중하면 전체 실사 효율을 높이고 중복을 줄일 수 있다고 설명합니다(예: 반도체, 파운데이션 모델, 초대형 플랫폼 등). 
⸻
5. 6단계 실사 프레임워크 상세 정리(실무 포인트 포함)
Step 1. 정책과 관리시스템에 RBC 내재화(Embed RBC)
목표: AI 관련 RBC 이슈와 신뢰가능 AI 요구사항을 정책, 거버넌스, 조직·프로세스, 기록시스템, 교육에 상시 내장하는 것입니다. 예를 들어,
• AI 실사 책임을 시니어 경영진 및 이사회 수준에 배치하고, 부서별 책임과 커뮤니케이션 라인을 문서화합니다. 
• AI 시스템 인벤토리, 리스크 문서화, 내부·외부 피드백을 설계·운영에 반영하는 기록·관리 시스템을 마련합니다. 
• 교육·훈련을 통해 직원이 자신의 의무와 조직의 리스크 관리 관행을 이해하도록 합니다. 
⸻
Step 2. 실제/잠재 부정적 영향 식별·평가(Identify & assess)
목표: AI 시스템과 거래관계 전반에서 발생 가능한 부정적 영향을 발견분석평가하고, 관여도(cause/contribute/linked)를 판단한 뒤, 우선순위를 정하는 것입니다.
특히 “리스크 기반 접근(risk-based approach)”을 강조하며, 일반목적 AI처럼 거래관계가 수천 개로 늘어날 수 있는 맥락에서 가장 위험이 큰 영역부터 심층 평가하도록 설명합니다. 
• (2.3) 관여도 평가: 초래/기여/직접연결을 분류하고, 이 관계는 상황 변화에 따라 달라질 수 있음을 전제합니다. 
• (2.4) 우선순위화: 심각성과 가능성에 기반해 가장 중대한 리스크부터 대응합니다. 
⸻
Step 3. 중단·예방·완화(Cease, prevent, mitigate)
목표: 우선순위화된 리스크에 대해 “실제로 멈추게 하고(cease), 발생을 막고(prevent), 피해를 줄이는(mitigate)” 조치를 설계·이행하는 단계입니다.
실무적으로 문서는 다음과 같은 강한 조치 옵션을 다룹니다.
1. AI 시스템 기능의 일시/영구 중단(서스펜션)
• 재배포 승인 절차, 대체 복구 계획, 광범위한 테스트/검증(가능하면 외부 이해관계자 참여)을 포함해야 하며, 부정적 영향을 명백히 낳는 모델은 재배포 기준이 매우 높아야 한다고 설명합니다. 수정이 불가능하거나 충분히 견고하지 않다면 폐기(디커미셔닝) 등 대안을 고려합니다. 
2. 배포 전 대응계획(Incident/Response Plan)
• 어떤 리스크 시나리오에서 배포 교정이 필요한지, 대응팀 구성(IT/보안/개발/법무/커뮤니케이션/사업부/외부 전문가 등), 역할과 책임, 자동화 vs 인간 판단 범위 등을 사전에 명확히 하도록 제시합니다. 
3. 거래관계(비즈니스 관계)로 인해 직접 연결된 리스크 대응(Step 3.2)
• 관계를 유지하며 개선을 추진할지, 일시 중단할지, 개선 실패 또는 영향의 심각성이 큰 경우 관계 종료(disengagement)까지 고려합니다. 이때 종료 계획은 사회·환경·경제적 2차 영향을 고려하고 이해관계자 참여를 포함해야 한다고 명시합니다. 
4. 레버리지 강화 및 계약·가이드 반영
• 레버리지가 부족하면 추가 레버리지를 구축(경영진 관여, 지원·인센티브 등)하고, 가능하면 이해관계자·다른 기업과 협력하여 레버리지를 공동으로 행사할 수 있습니다. 
• 신규·기존 계약에 정책/행동규범/가이드(Responsible Use Guide, Acceptable Use Policy 등) 형태로 예방·완화 기대사항을 내장하라고 권고합니다.  
5. 투명성·추적가능성 및 콘텐츠 진위·출처(provenance)
• 디지털 콘텐츠의 출처·변조 여부는 대규모 환경에서 매우 어렵기 때문에, 투명성(기능/한계/리스크), 라벨/워터마크 같은 공개, 탐지기술 R&D 등 3요소 접근을 예시로 제시합니다(C2PA, Partnership on AI 등 다자 노력도 언급). 
⸻
Step 4. 이행 및 결과 추적(Track implementation and results)
목표: “우리가 조치를 했는가?”가 아니라, 그 조치가 실제로 효과가 있었는지를 추적·평가하는 단계입니다.
문서는 과거 실사에서 놓친 리스크를 미래 프로세스에 반영하고, 이해관계자 참여의 효과성도 점검하며, 교훈을 다시 실사에 환류하라고 제시합니다. 
또한 배포 환경과 유사한 조건에서 성능·보증 기준을 정성/정량으로 모니터링하고, 예시로 TEVV(Test and Evaluation, Verification and Validation)에서 사용한 테스트셋·지표·도구를 문서화하는 등 구체 항목을 언급합니다. 
⸻
Step 5. 조치 및 성과 소통(Communicate actions)
목표: 실사 정책·프로세스·활동·결과를 이해관계자에게 적절한 방식으로 외부 공개하는 단계입니다(연차/지속가능성 보고서, 협의, 법·자율 공시 등). 
문서가 제시하는 “공개해야 할 정보”의 예시는 매우 실무적입니다. 예를 들면,
• RBC 정책(자율 이니셔티브 참여 포함) 
• 중대한 사고·오류 추적 및 대응·복구 프로세스 
• 식별·우선순위화·평가된 주요 부정적 영향/리스크, 그리고 인권 영향 등 중요한 사안은 영향받는 이해관계자에게 시의적절·문화적으로 적절·접근가능한 방식으로 소통 
• 리스크 우선순위 기준, 예방·완화 조치의 일정/개선 벤치마크 및 결과(레드팀 등 평가 포함), 추적 지표, 구제 제공 여부, 시스템의 적절/부적절 사용 범위 등 
⸻
Step 6. 적절 시 구제 제공 또는 협력(Remediation)
목표: 기업이 부정적 영향을 초래 또는 기여했다면, 가능한 한 피해자를 원래 상태에 가깝게 회복시키는 방향으로 비례적 구제를 제공하거나 협력해야 합니다. 
실무 예시:
• 기업이 초래/기여한 경우, 이해관계자가 불만 제기·해결을 요구할 수 있는 정당한 구제 메커니즘에 협력하거나 제공해야 합니다. 
• 거래관계로 직접 연결된 영향이라면, 경쟁법을 준수하는 범위에서 거래상대방에 레버리지를 행사해 구제 메커니즘에 협력하도록 촉구해야 합니다. 
문서는 구제 옵션을 다음처럼 정리합니다: 원상회복(restitution), 금전배상(compensation), 재활(rehabilitation), 만족(satisfaction: 사실 인정·사과·제재 등), 재발방지 보장(guarantees of non-repetition) 등이며, 기업 직접조치, 독립 패널의 알고리즘 감사, 사법/비사법(국가·비국가) 메커니즘 등 구현 경로도 제시합니다. 
⸻
6. 용어(Glossary)에서 꼭 잡아야 할 정의 2가지
(1) AI 시스템(AI system) 정의(OECD 권고 기반)
OECD는 AI 시스템을 “명시적/암묵적 목표를 위해 입력으로부터 추론하여 예측·콘텐츠·추천·결정 등의 출력을 생성하고 물리/가상 환경에 영향을 줄 수 있는 기계 기반 시스템”으로 정의하며, 시스템마다 배포 후 자율성과 적응성이 다를 수 있다고 설명합니다. 
(2) ‘Assess/Measure/Evaluate’의 의미(리스크 평가 단계의 확장)
문서의 용어정리는 ‘ASSESS’를 단순 측정이 아니라 리스크를 발견·메커니즘 분석·발생가능성과 심각성 평가, 그리고 거래관계에 의한 연결/기여까지 평가하는 폭넓은 단계로 해석합니다.  
⸻
7. (실무 적용) 이 문서를 조직에 적용할 때의 “최소 산출물” 체크리스트
문서의 실행 예시들을 묶어, 기업 내부에서 최소한 다음 산출물을 갖추는 방식으로 시작하실 수 있습니다.
• 정책/거버넌스: 이사회/경영진 책임 정의, 부서별 역할·보고라인 문서화 
• 리스크 인벤토리: AI 시스템 목록 + 리스크 문서(설계/데이터/배포/운영/사용) 
• 우선순위 기준표: scale/scope/회복불가/가능성 기반의 리스크 매트릭스 
• 배포 대응계획: 시나리오·트리거·대응팀·권한·자동화 범위 
• 중단/폐기 프로토콜: 재배포 기준, 테스트/검증, 디커미셔닝 기준 
• 모니터링/TEVV 기록: 테스트셋·지표·도구·감사/리뷰 결과 기록 
• 대외 커뮤니케이션 패키지: 공개 범위(기밀/보안 고려) + 핵심 항목(정책~구제)  
• 구제 메커니즘: 불만 접수·처리, 원상회복/배상/재발방지 등 옵션 체계 
Source :
• OECD. OECD Due Diligence Guidance for Responsible AI. © OECD 2026. (OECD_Due_Diligence_Guidance_for_Responsible_AI_1771939729.pdf
#jcncchatesgx
#지속가능성보고연구소
#공공기관esg경영
#esg창업
#기술창업
#제이씨앤컴퍼니
#ESG보고서