EU AI Act와 NIST AI RMF의
Rightness–Justice–Fairness 운영화
EU AI Act와 NIST AI RMF의 Rightness–Justice–Fairness 운영화
“원칙→의무→평가” 통합 모델과 교육·공공부문 적용
초록
본 논문은 EU AI Act(규정 (EU) 2024/1689)와 NIST AI RMF 1.0을 Rightness–Justice–Fairness(RJF) 삼분법으로 연결하는 실천적 통합 모델을 제안한다. Rightness(공의)는 금지선과 목적의 명료화, Justice(공정)는 절차적 정의와 제도적 책무, Fairness(공평)는 분배·절차적 형평의 가시적 증거로 정의한다. 이를 바탕으로 원칙→의무→평가 흐름을 구성하고, EU AI Act의 금지조항(제5조)·고위험 분야(부속서 III, 교육 포함)·배치자 기본권영향평가(FRIA, 제27조)와 NIST AI RMF의 Govern–Map–Measure–Manage를 교차 매핑한다. 교육(입학·배치, 평가/감 proctoring)과 공공부문(복지자격, 공공채용) 적용 사례에서 KPI·감사 서류·분쟁구제 설계를 제시하며, RJF 스코어카드와 혼합방법 평가설계를 제공한다. 이로써 법적 의무 준수와 신뢰성 제고를 동시에 달성하는 실행 로드맵을 제시한다. EUR-Lex Artificial Intelligence Act+2 Artificial Intelligence Act+2 NIST 출판물 NIST AI Resource Center
1. 서론
EU는 위험기반 규제(법적 의무), 미국 NIST는 위험관리 프레임워크(자율 지침)로 수렴한다. 현장의 필요는 “원칙을 의무와 평가로 번역하는 운영 도구”이다. 본 연구의 RJF는 다음을 의미한다:
Rightness: 넘지 말아야 할 선(조작·착취적 AI 금지 등).
Justice: 위험관리·데이터 거버넌스·문서화·인간 감독·신고 체계 등 제도적 의무.
Fairness: 측정 가능한 형평·투명성·구제 가능성의 증거.
우리는 이를 원칙→의무→평가로 체계화하고, 교육·공공부문 사례에 적용한다. EUR-Lex Artificial Intelligence Act
2. 규제·프레임워크 개요(사실 요약)
EU AI Act: 최종본은 2024년 7월 12일 관보 게재(규정 번호 2024/1689). 2025년 2월 2일 일부 금지·AI 리터러시 발효, 2026년 8월 2일 다수 의무 적용, 2027년 8월 2일 분류 규칙(제6조 1항) 적용. 부속서 III에 교육 분야(입학·배치, 시험 부정행위 탐지 등) 포함, 제5조에 금지 관행, 제27조에 FRIA 의무. EUR-Lex Artificial Intelligence Act+3 Artificial Intelligence Act+3 Artificial Intelligence Act+3
NIST AI RMF 1.0: Govern–Map–Measure–Manage 4 기능과 Playbook의 실행 목록, 최근 생성형 AI 프로필 논의. NIST 출판물 NIST AI Resource Center Regulations.gov
3. RJF의 개념 정합
Rightness(공의): 금지선·존엄성·목적 정당성.
Justice(공정): 절차와 제도—위험관리, 데이터 품질·거버넌스, 인간 감독, 문서화·로그, 등록·신고.
Fairness(공평): 측정과 구제—편향·오류·비용의 불균형을 수치로 확인, 이해관계자 참여, 이의제기·시정.
4. “원칙→의무→평가” 통합
4.1 원칙(RJF)
R: 금지 행위·맥락 한계와 목적·효용의 명료화.
J: 권리 보장을 위한 조직 의무.
F: 형평·투명·구제에 대한 증거 약속.
4.2 의무(EU×NIST 교차표)
R:제5조 금지, 제6조/부속서 III 분류·범위 → Govern의 정책·책임.
J:제9~15조(위험관리, 데이터·문서·기록, 인간 감독, 정확성·강건성·보안), 제26조(배치자 의무), 등록 → Map/Manage.
F:제27조 FRIA, 투명성 의무, 교육 분야 특례 → Measure(편향/불확실성 측정·평가). Artificial Intelligence Act+1
4.3 평가(RJF 스코어카드)
R-Gate: 금지·목적·정당성 확인(Go/No-Go).
J-Gate: 제9~15조 증빙, 역할·훈련·HITL, 문서·로그·등록.
F-Gate: 사전 편향/정확도 임계치, 오류비용 비대칭, 이의제기·구제, 모니터링 계획.
평가기준: 항목별 0~5점, 최소 기준 미달 시 보완 후 재심.
5. 교육 분야 적용
A) 입학·배치(고위험)
R: 조작적 개인화 금지, 민감 특성의 부적절한 대리변수 배제(편향 수정 목적의 최소·안전 사용만 허용).
J: 전 생애주기 위험관리, 데이터 거버넌스, 인간 감독과 설명·통지, 기술문서·로그, 필요한 경우 등록.
F: 집단별 오류·수용률 격차, 모델카드 공개, FRIA 실시, 이의제기·사람 검토 보장. Artificial Intelligence Act
B) 평가/AI-Proctoring
R: 교육·직장 감정추론·생체범주화 금지, 과도한 상시감시는 배제.
J: 시험보안 목적의 비례성 설계, 인간 개입·우회, 로그·사후 분석, DPIA/FRIA.
F: 노탐 격차, 장애·접근성 반영, 민원 처리성과, 사후 모니터링. Artificial Intelligence Act
6. 공공부문 적용
C) 복지자격·사회서비스
R: 소셜 스코어링 금지, 취약성 착취 금지, 민감 생체범주화 금지.
J: 위험관리·문서화·인간 검토·등록, 정보공개·발견 가능성 확보.
F: 오부지급·오거부 격차, 구제의 실효성, 지역사회 자문단·레드팀. Reuters
D) 공공채용·스크리닝
R: 조작·감정추론 배제.
J: 직무 관련성·투명성·사고관리·정기감사.
F: 선발률·오류비용 형평, 감사요약 공개, 이해하기 쉬운 이의제기.
7. 실행 로드맵(12주→12개월)
1–4주: R 금지선 선언, 책임자 지정, 부속서 III 매핑, 제9~15조·NIST Govern/Map 갭 분석.
5–8주: 위험관리·데이터 거버넌스·HITL·문서·로그, FRIA 서식, 등록 대비.
9–12주: F 지표·임계치, 사용자 통지·이의제기, 인시던트·사후모니터링.
분기별: 스코어카드 리뷰, 외부감사, 투명성 업데이트, 샌드박스·AI 리터러시. NIST AI Resource Center Artificial Intelligence Act
8. 평가설계
설계: 단계적 도입(stepped-wedge).
지표: 1차—오류·이의제기; 2차—집단별 형평, 신뢰, 시정 속도.
방법: 사전등록 임계치, 드리프트 알람, 레드팀, 사용자 패널의 정성 증거. NIST 출판물
9. 한계와 위험
형평 지표의 과신, 중소기관의 문서화 부담, 데이터 계보·규범 변화의 잔여위험—정기 FRIA 갱신, 표준 서식, 커뮤니티 참여로 보완.
10. 결론
RJF는 “규범”을 “운영 게이트”로 전환한다. EU AI Act × NIST AI RMF의 결을 따르는 원칙→의무→평가 모델은 교육·공공부문 기관이 법적 확실성과 사회적 신뢰를 함께 달성하도록 돕는다.
참고문헌(핵심)
EU AI Act: 규정 (EU) 2024/1689, 관보 게재·시행일정. EUR-Lex Artificial Intelligence Act
금지·교육 고위험: 제5조·부속서 III. Artificial Intelligence Act+1
FRIA: 제27조. Artificial Intelligence Act
NIST AI RMF 1.0 & Playbook. NIST 출판물 NIST AI Resource Center
부록: 현장용 RJF-12 체크리스트 (요약)
금지행위 제로선 확인(R) · 2) 목적·효용·대안 기술(R) · 3) 이해충돌/착취 가능성 검토(R) · 4) 위험관리계획(J) · 5) 데이터 품질·편향 통제(J) · 6) 인간감독·중단권(J) · 7) 기술문서·로그(J) · 8) 등록/공시(J) · 9) 사전 편향·정확도 임계치(F) · 10) 집단별 격차·오류비용 분석(F) · 11) 이의제기·구제 경로(F) · 12) 사후 모니터링·사고보고(F).
