12강 · 거버넌스

오늘 끝나면

거버넌스

✓거버넌스의 핵심 문제를 한 문장으로 설명한다
✓오른쪽 실습에서 거버넌스이 어떻게 움직이는지 관찰한다
✓다음 강의와 이어지는 한계를 말할 수 있다

실습 미션

정책·승인·감사 — 누가 무엇을 쓰나 이 문장이 실제로 무슨 뜻인지 실습에서 한 번 손으로 확인한다.

성공 조건

□실습의 기본값을 먼저 관찰
□입력값이나 모드를 한 번 이상 바꿔 결과 비교
□왜 결과가 바뀌었는지 한 문장으로 설명

Enterprise LLM · 12

거버넌스
누가·무엇·책임

거버넌스는 누가 · 무엇을 · 어떻게 쓰는지의 규칙임.
허용 용도 · 금지 사항 · 모델 승인 · 사용 로그 · 책임 소재를 정함.
도구를 막는 게 아니라, 쓸 수 있게 길을 깔아주는 일임.

P.01Enterprise LLM · 12

거버넌스가 답하는 네 질문

모델을 깔고 RAG를 붙이고 보안을 잠가도, 매일 누가 무엇에 쓸지는 아직 안 정해진 상태임.

거버넌스는 그 빈칸을 채우는 규칙임. 네 가지만 답하면 됨.
누가 쓰나 · 무엇에 쓰나 ·어떻게 쓰나 · 문제 나면 누가 책임지나.

보안(11강)이 “데이터가 새지 않게”라면, 거버넌스는 “쓰긴 쓰되 규칙 안에서”임.
기술 통제가 아니라 사람과 용도에 대한 정책임. 그래서 IT만의 일이 아니라 법무·보안·현업이 같이 만듦.

누가 · 무엇을 · 어떻게 · 누가 책임

거버넌스 = 이 네 칸 채우기

누가

쓰는 사람·팀

역할별 권한

무엇을

허용 용도

금지 사항의 반대편

어떻게

승인 모델·절차

조건부 단서 포함

누가 책임

사용 로그·소유자

추적 가능해야

성능·비용이 아니라 사람·용도·책임의 문제

P.02Enterprise LLM · 12

정책과 승인 — 허용·금지·모델 목록

정책은 세 가지를 적어둔 문서임. 허용 용도 · 금지 사항 · 쓸 수 있는 모델 목록.

허용 용도는 “공개 자료 초안 · 사내 문서 요약”처럼 OK인 일임.
금지 사항은 “고객 개인정보·미공개 실적을 외부 모델에 입력”처럼 막는 일임.

모델 승인은 검토를 통과한 모델만 사내에서 쓰게 하는 목록임.
데이터 처리 약관·리전·보안 검토를 통과한 모델만 올라감. 목록 밖 모델은 그 자체로 거부 사유임.

민감 데이터는 보통 “무조건 금지”가 아니라 “조건부 허용”임.
마스킹 후 · 승인자 결재 후처럼 단서를 달아 길을 열어둠 — 그래야 현업이 우회로로 도망치지 않음.

허용 용도 · 금지 사항 · 승인 모델

정책 문서 — 무엇이 적혀 있나

허용 용도

공개 자료 초안사내 문서 요약코드 리뷰 보조

금지 사항

고객 개인정보 입력미공개 실적 외부 모델미승인 모델 사용

조건부 — 민감

마스킹 후 허용승인자 결재 후

승인 모델 목록은 검토 통과한 모델만 — 밖이면 거부

P.03Enterprise LLM · 12

거버넌스 흐름 직접 돌려보기

오른쪽에서 사용 요청을 하나 골라 정책을 통과시켜 보셈.
요청 → 검토 → 판정 → 로그가 그대로 한 줄씩 흐름.

검토는 세 칸을 봄. 누가 요청했나 · 어떤 모델을 쓰나 · 어떤 데이터를 다루나.
미승인 모델이면 바로 거부, 민감 데이터면 조건부, 그 외엔 승인이 뜸.

기록을 누르면 결과가 감사 로그에 쌓임.
판정 자체보다 “모든 요청이 로그로 남는다”가 핵심임 — 나중에 누가 무엇을 어떻게 썼는지 되짚을 수 있어야 함.

요청 → 검토 → 승인·거부 → 로그

거버넌스 흐름 · 직접 돌려보기

1 · 사용 요청 — 골라 보셈

2 · 정책 검토 — 무엇을 보나

누가

마케팅

모델

승인됨

데이터

공개

3 · 판정

결과승인

공개 데이터 + 승인 모델 — 허용 용도

4 · 감사 로그 — 누가·무엇·결과

아직 비어 있음. 위에서 요청을 기록하면 한 줄씩 쌓임.

로그가 곧 책임 추적 — 누가 무엇을 어떻게 썼나

P.04Enterprise LLM · 12

감사·로그 — 책임을 추적 가능하게

로그가 없으면 거버넌스는 종이 위 약속임. 지켜졌는지 확인할 길이 없음.

그래서 사용 로그를 남김. 한 줄에 누가 · 언제 · 어떤 모델로 · 무엇을 입력해 · 어떤 답을 받았는지 기록함.
이게 있어야 사고가 나도 “3월 2일 14시, 영업팀 김OO가 이 프롬프트를 넣었다”까지 짚어짐.

로그는 세 가지 일을 함.
책임 추적 — 누가 했는지 / 사고 대응 — 무엇이 샜는지 /개선 — 어디서 오·남용이 도는지.

단, 로그 자체가 프롬프트·답변을 담아 또 다른 민감 저장소가 됨.
그래서 로그도 접근 통제·보존 기간·마스킹을 같이 정해야 함 — 감사하려고 만든 게 새 구멍이 되면 안 됨.

입력·모델·사용자·결과를 한 줄씩

사용 로그 — 한 줄이 한 책임

시각	사용자	모델	용도	결과
03-02 14:02	영업·김	사내	제안서 요약	승인
03-02 14:09	인사·박	외부	평가서 분석	거부
03-02 15:31	재무·이	사내	실적 초안	조건부

추적 · 사고 대응 · 개선 — 단, 로그도 마스킹·보존기간 필요

P.05Enterprise LLM · 12

규제 대응 — 정책을 법에 묶기

거버넌스를 굳이 문서로 박는 진짜 이유 중 하나는 규제임.

개인정보보호법은 개인정보를 외부 모델에 넘길 때 근거·동의·처리 기록을 요구함.
EU AI Act는 고위험 용도(채용·평가 등)에 사람의 검토와 기록 의무를 둠.
금융·의료는 데이터 리전·보존 기간까지 따로 규정이 있음.

이 요구들은 사실 앞서 만든 거버넌스 항목과 그대로 맞물림.
승인 모델 목록 = 검증된 처리자 / 사용 로그 = 처리 기록 / 조건부 승인 = 사람의 검토.
거버넌스를 제대로 세워두면 규제 대응은 “이미 하는 걸 증빙하는 일”이 됨.

Q. 거버넌스가 답하는 핵심 질문은? (모델 정확도 · 누가·무엇·어떻게·책임 · GPU 비용 · 응답 속도)

정답은 누가·무엇을·어떻게 쓰고 누가 책임지나임.
거버넌스는 성능·비용·속도를 다루는 게 아니라, 사람과 용도와 책임을 정하는 규칙임.
허용 용도·금지 사항·모델 승인은 “무엇을·어떻게”를, 사용 로그는 “누가·책임”을 받쳐줌.
정확도·비용·속도는 다른 강(평가·비용)의 일임.

규제 요구 → 거버넌스 항목 대응

규제 요구 → 거버넌스 항목

규제가 요구	이미 있는 항목
개인정보보호법처리 근거·동의·기록	사용 로그
EU AI Act고위험 용도 사람 검토	조건부 승인
금융·의료 규정데이터 리전·보존기간	승인 모델 목록
내부 감사누가 무엇을 했나	감사 로그

잘 세운 거버넌스 = 규제는 증빙만 하면 됨