지도 없는 항해를 시작해야 할 때
IT 거버넌스를 정의하고 운영했음에도 '거버넌스'를 어떻게 정의해야 하는지 오랜 시간 고민했습니다. 현장에서 IT 운영에 필요한 표준운영절차를 정의하고 통제와 감시를 위한 장치를 마련하는 일들을 하며 '이 모든 일들을 어떻게 정의하면 좋을까?' 질문했습니다.
제가 이해하는 기업의 IT 거버넌스는 "IT조직이 기업의 철학을 기반으로 IT전략을 수립하고, 그 전략을 실행할 때 누가, 어떤 기준으로, 어떻게 행동할 것인지에 대해 정의한 것"입니다. 이 정의에서 IT를 제외하면 기업의 거버넌스가 되고, IT를 'AI'로 대체하면 'AI 거버넌스'가 됩니다.
'누가, 어떤 기준으로, 어떻게'가 거버넌스의 핵심입니다. 규정보다는 방향, 통제보다는 철학 및 전략과의 정렬이며 조직 구성원 간의 약속입니다.
정보전략, 디지털전략의 시대에 IT거버넌스는 꽤 잘 정리되었습니다. 참조할 모델이 있었으니까요.
COBIT(Control Objectives for Information and Related Technologies)은 IT를 경영 목표와 연계하여 통제하는 프레임워크를 제공했고, ITIL(IT Infrastructure Library)은 IT 서비스를 안정적으로 운영하기 위한 베스트 프랙티스를 담았습니다. ISO 38500은 이사회 수준의 IT 거버넌스 원칙을 정의했습니다. PMBOK은 프로젝트 관리의 기준이 되었고요.
이 모델들은 프로세스를 표준화하고, 역할과 책임을 정의하여, 계획-실행-점검-개선의 사이클을 반복하게 했습니다. 예측 가능한 범위 안에서, 정해진 규칙대로, 통제 가능한 방식으로 운영하게 한 것이죠. 비유하자면, CIO(Chief Information Officer, 최고정보책임자)와 CDO(Chief Digital Officer, 최고디지털책임자)는 이미 잘 만들어진 지도를 가지고 항로를 설계했습니다. 어디를 향해 가는지 어느 정도 정리된 상태에서 얼마나 빠르고 안전하게 갈 것인지를 결정하고 실행했던 것이죠.
IT 거버넌스는 설계와 통제의 미학으로 완성될 수 있었습니다.
COBIT과 ITIL이 소용없습니다. 이 모델들은 '예측 가능한 시스템'을 전제로 합니다. AI는 그 전제를 뒤흔듭니다. 오늘의 전략이 내일의 기술 앞에서 무력해지는 속도전 속에서 이 모델들은 낡은 지도입니다.
더 본질적인 문제가 있습니다. IT 거버넌스의 대상은 '시스템'과 그 시스템을 운영하는 '사람'입니다. 이 '시스템'은 사람이 정의한 대로 움직입니다. 그런데, AI 거버넌스의 대상은 '판단하고 실행하는 존재'입니다. 짜여진 코드대로 움직이는 시스템이 아니라, 스스로 추론하고 생성하고 제안하며 때로는 실행까지도 하는 존재를 어떻게 통제할 것인지는 근본적으로 다른 문제입니다.
COBIT과 ITIL은 소용없으나, 이 모델들이 왜 만들어졌는지 철학적으로 접근해 보면 힌트를 얻을 수 있습니다. 과거, 복잡해지는 IT 환경 속에서 인간은 '통제 불능'에 대해 걱정하며 표준화된 질서를 만들고자 노력했습니다. 그 결과물로, COBIT과 ITIL이 등장한 것이죠. 기술이 인간의 의도를 벗어나지 않도록 정렬(Alignment)시키는 믿음의 체계, 신뢰의 구조를 만든 것입니다.
지금도 마찬가지입니다. AI 환경 속에서 인간은 '통제 불능'에 대해 걱정하며 질서를 만들고자 하는 것이죠. 다만, 과거와 같은 고정된 매뉴얼이 아니라 실시간 변화에 대응하는 '가치 체계의 동기화'관점에서 접근해야 합니다. 과거의 거버넌스가 '정해진 길'을 잘 가는지 감시하고 통제하는 것이었다면, 이제 우리가 수립해야 할 AI 거버넌스는 새로운 길을 항해하는 항해사와 배가 실시간으로 교감하는 '동적인 신뢰 관계'를 설계하는 일에 가깝습니다.
1. 학술적·구조적 정의 : 지속가능한 가치 창출의 체계
기업 AI 거버넌스란, 조직의 AI 기술이 기업의 전략과 목표를 유지하고 확장할 수 있도록 보장하는 규칙, 관행 및 프로세스의 구조이다.
- 슈나이더(Schneider et al.) : 독일 포츠담 대학교(University of Potsdam) 등 유럽 학계의 연구진으로, 기업의 IT 거버넌스 체계를 AI 시대에 맞게 확장하여 구조화한 선구적인 연구자들로 AI 거버넌스를 단순한 '윤리 준수'를 넘어 기업의 전략적 성과와 직결된 경영 체계로 정의 -
2. 도구적·실행적 정의 : 발전을 이끄는 레버(Lever)
AI 거버넌스는 AI 개발과 응용에 영향을 미치는 다양한 도구, 솔루션 및 레버(지렛대)의 집합이다.
- 부처와 베리제(Butcher & Beridze) : UN 지역 간 범죄처벌조합 연구소(UNICRI)의 AI 및 로봇 공학 센터 소속 전문가들로 국제기구의 관점에서 AI가 인류에게 미칠 위험을 관리하는 동시에, 기술의 혜택을 극대화하기 위한 실질적이고 구체적인 실행 도구로서의 거버넌스를 강조 -
3. 책임 중심의 정의 : 신뢰를 구축하는 가드레일
AI 거버넌스는 AI 시스템이 수명 주기 전체에 걸쳐 책임감 있고, 윤리적이며, 안전하게 개발·배포·운영되도록 보장하는 감독 메커니즘이다.
- 데이터브릭스(Databricks), 인포매티카(Informatica) : 전 세계 데이터와 AI 인프라 시장을 선도하는 글로벌 플랫폼 기업들로 데이터 보안, 알고리즘 편향성, 법적 규제 등의 실전 이슈를 해결해 온 경험을 바탕으로, AI가 선을 넘지 않도록 관리하는 '가드레일'로서의 거버넌스를 제시 -
누가
AI를 활용한 비즈니스 의사결정의 최종 책임자는 누구인가?
AI가 제안하고, AI가 실행하고, AI가 평가하는 루프가 닫히는 순간, 인간은 어디에 서야 하는가?
이전 글에서 언급한 '사유의 주권자'로서 인간의 역할을 거버넌스 구조 안에 자리 잡게 해야 합니다. AI는 빠르게 움직이지만, 인간이 멈추고 판단하는 지점이 어디인지를 분명히 해야 합니다.
https://brunch.co.kr/@joygarden/237
어떤 기준으로
기준은 기업의 철학적 가치와 인간의 윤리와 안전이라는 두 가지 층위로 나누어집니다. AI가 어떤 결정을 내리든, 그 결과가 기업의 존재 이유와 충돌하지 않아야 합니다. 기업의 철학적 가치와 정렬되어야 하죠. AI의 판단이 사람을 해치지 않아야 합니다. 편향을 증폭시키거나 통제 밖으로 벗어나지 않아야 합니다. 인간의 윤리와 안전을 지켜내야 합니다. COBIT이 IT를 경영 목표와 연계했다면, AI 거버넌스는 AI를 기업 철학과 연계해야 합니다.
어떻게
실행 방식이 달라져야 합니다. IT 거버넌스는 '정책 수립 → 준수 → 감사'의 선형 구조로 작동했습니다. AI 거버넌스는 살아 움직이는 유기체와 같아야 합니다. 실험하고, 실패하고, 빠르게 배우고, 다시 기준을 업데이트하는 사이클. 이전 글에서 제안한 '적응적 실행(Adaptive Execution)'이 거버넌스 운영 방식에도 그대로 적용됩니다.
https://brunch.co.kr/@joygarden/235
기업 AI 거버넌스의 표준참조모델은 존재하지 않습니다. 물론 거대한 흐름은 있습니다. ISO(국제표준화기구)/IEC 42001(AI 경영시스템)과 같은 국제 표준이 나오고 있으나 기업에 적용할 수 있는 구체적인 가이드로는 부족합니다. 세계 최초의 포괄적 AI 규제법인 'EU AI Act'나 AI 위험관리 프레임워크 'NIST(미국 국립표준기술연구소) AI RMF(Risk Management Framework)'가 그 역할을 하려 하지만, 이는 규제의 언어이지 기업 실행의 언어는 아닙니다. 국가와 기관이 법률로 따라잡으려 하는 동안, 기술은 이미 앞서 달려가고 있습니다.
그럼, 어떻게 해야 할까요?
AI와 상의하며 거버넌스를 만들어야 합니다. 기업이 기업의 철학과 기존 IT 거버넌스를 학습시킨 AI 책사와 상의하면서요. 무슨 결론이 이러냐고요? 네, 아이러니하게 들리실 수 있습니다. 제가 지난 1년간 저의 지식을 옵시디언에 정리하고 그 지식을 AI에 학습시킨 후에 AI와 의논하는 경험을 하고 내린 결론입니다.
제가 지금, 어느 기업의 CAIO라면, 기업의 sLLM을 구축하고 그 AI에 기업의 철학과 비즈니스 전략, IT전략과 IT 거버넌스, IT 아키텍처 등을 학습시킨 후에 상의하겠습니다. 기업과 기업의 AI를 디지털 트윈(Digital Twin) 수준으로 연결하되 물리적 범위를 넘어 기업 철학과 문화 등의 논리적 범위까지를 포함할 때, AI를 제대로 활용할 수 있게 될 것입니다. AI가 기업의 철학 안에서 스스로 제안하는 AI 거버넌스 초안을 인간인 CAIO가 검토·보완·승인하고 책임지는 구조. 이것이 지금 제가 생각하는 가장 현실적인 방법입니다. 지도가 없다면, 지도를 함께 만들어가면 됩니다만, 최종 판단은 반드시 인간의 몫이어야 합니다.
지도가 없다고 해서 나침반마저 없는 것은 아닙니다.
기업 AI 거버넌스를 수립할 때 필요한 세 가지를 제안합니다.
1. 기업 철학의 명문화
AI에게 판단을 맡기기 전에, 우리 기업이 무엇을 중요하게 여기는지를 언어로 정리해야 합니다. 기업의 존재 이유, 기업이 이 세계에 어떠한 영향을 끼치고 싶은지 등을 말이죠. 이 내용을 AI에 학습시켜야 합니다.
2. 인간 개입 지점의 설계
모든 것을 AI에 맡기는 것도, 모든 것을 인간이 점검하는 것도 답은 아닙니다. 어떤 결정에서 반드시 인간이 개입해야 하는지, 그 '의사결정권의 지점'을 명확히 설계해야 합니다.
3. 거버넌스 자체의 진화 주기 설계
몇 달 전의 AI 거버넌스가 지금도 유효한지를 주기적으로 점검해야 합니다. 살아있는 거버넌스 운영을 위해서 말이죠.
정보전략·디지털전략 시대에 우리는 잘 만들어진 지도 위에서 효율적으로 항해할 수 있었습니다. 그러나 AI 전략 시대, 우리는 지도를 만들면서 동시에 항해해야 합니다. 두렵습니다.
그러나 지도가 없다는 것은, 아직 아무도 가지 않은 길로 나아갈 수 있다는 뜻이기도 합니다. 그리고 그 길을 먼저 정의하는 기업이 그 길을 따를 다음을 위한 지도를 그리는 존재가 되리라 믿습니다.
대한민국의 기업이 새로운 길을 열어가기를 희망합니다. 우리는 반도체부터 마스크까지 만들 수 있는 제조강국이며 강한 실행력을 갖고 있으니까요. "전략"의 힘을 더하면 무엇이든 할 수 있고, 어디로든 뻗어나갈 수 있습니다. AI시대를 여는 측면에서는 후발주자일 수 있으나 AI를 활용해서 가치를 만들어내는 측면에서는 선발주자가 될 수도 있습니다.
이렇게 비유해 보겠습니다. 학자는 연구를 할 수 있습니다. 연구한 내용을 실행하기 위해서는 실행할 수 있는 현장이 필요합니다. 현장에는 실행할 수 있는 사람과 물리적 환경, 논리적 조건 등이 있습니다.
유사하게, AI를 창시하고 AGI시대를 주도하고 있는 사람과 기업이 현실 세계에서 그 효과를 보려면 물리적 실체가 필요합니다. 물리적 실체에 AI와 로봇을 적용해서 효과를 보게 되죠. 대한민국은 제조현장이라는 물리적 실체를 가지고 있습니다. 우리의 기업이 가진 이 현장은 전략과 AI, 로봇을 적용해서 가치를 만들 수 있는 물리적 실체입니다.
그리고 대한민국 국민이 있습니다. 노션, 옵시디언 본사에서 대한민국 사용량을 보고 놀랬다고 하죠. 새로운 기술이나 서비스가 나오면 빠르게 사용해 보고 심지어, 매뉴얼에 쓰여있지 않은 방법으로 써 보는데도 거침이 없습니다. 그래서 저는, 우리의 기업이 AI를 활용해서 가치를 만들어내는 일을 잘 해낼 수 있다고 믿습니다.
저의 사유가 우리 기업에 도움이 되기를 희망합니다.
글쓴이 정원 | 전략연구소<결> 독립연구자 | 전략 자문 | "사유와 실천의 물결"
자신의 정원을 가꾸어 가는 당신께, 이 글을 전합니다.
이 글은 전략연구소<결>의 고유한 사유의 결과가 포함되어 있습니다. 콘텐츠를 알아봐 주시고 공유해 주시는 것은 언제나 환영합니다. 다만, 인용 시에는 출처를 명확히 밝혀주시고 작성자의 철학이 왜곡되지 않도록 배려해 주시길 부탁드립니다. 영리 목적의 재가공이나 영상 제작 등은 사전 협의와 서면 동의가 필요합니다.
이 글이 도움이 되셨다면, 전략연구소<결>의 독립 연구를 응원해 주세요.
© 2026 전략연구소<결> GYEOL Strategy Institute. All rights reserved.