하나의 영수증, 아홉 명의 규제자

Source: Dev.to

Overview

AI 에이전트 Compliance Receipts에 대한 IETF 인터넷 초안이 EU AI Act 제 12조에 대한 바인딩에서 아홉 개의 규제 체계를 포괄하는 바인딩 테이블로 확대되었습니다:

• EU AI Act
• DORA
• NYDFS Part 500
• Colorado AI Act
• Texas TRAIGA
• NIST AI RMF
• CIRCIA
• HIPAA Security Rule
• SEC 17 CFR 240.17a‑4

하나의 와이어 엔벨로프만으로도 이제 모든 체계를 충족할 수 있습니다. 동일한 적합성 벡터가 준수를 증명하고, Audit Pack 내보내기에는 규제당국이 필요로 하는 체계 매핑이 포함되어 배포자가 체계별 어댑터를 작성할 필요가 없습니다.

Regulatory Coverage

• 하나의 어휘, 아홉 개의 보존 기준 – HIPAA 적용 행동에 대한 영수증은 HIPAA가 정한 최소 보존 기간을 따르고, DORA 적용 행동은 DORA 기준을 따릅니다.
• 다중 관할권 질의 – EU AI Act 제 26조 및 NYDFS Part 500에 적용되는 배포자는 “NYDFS 경계를 넘은 모든 제 26조 관련 행동을 보여줘”와 같은 단일 질의를 하나의 영수증 저장소에 대해 수행할 수 있습니다. 두 개의 저장소를 조회할 필요가 없습니다.
• 미래 호환성 – 새로운 체계를 추가할 때는 바인딩 테이블을 수정하면 되며, 엔벨로프 자체를 다시 작성할 필요가 없습니다. 와이어 포맷은 그대로 유지되고, 체계 매핑은 데이터 기반으로 관리됩니다.

Receipt Format

Compliance Receipt은 관할권에 관계없이 동일한 JSON 엔벨로프를 사용합니다. 체계 태그는 Audit Pack 메타데이터에 포함되고, 영수증 본문은 표준 형태를 유지합니다:

{
  "type": "protectmcp:decision",
  "issuer_id": "lei:529900T8BM49AURSDO55",
  "action_ref": "sha256:9f2e...",
  "previous_receipt_hash": "sha256:6c41...",
  "policy_digest": "sha256:b71a...",
  "decision": "permit",
  "risk_class": "high",
  "incident_class": "minor",
  "signed_at": "2026-05-10T09:14:22Z"
}

Reference Implementation

레퍼런스 구현은 api.asqav.com에서 실행됩니다. 적합성 하네스는 규범 조항을 실시간 클라우드와 대조하여 조항별 커버리지를 보고합니다. 영수증 검증은 인증 없이 단일 GET 요청으로 수행됩니다.

pip install asqav
asqav demo          # 실시간 클라우드에 대해 Compliance Receipt을 생성
curl https://api.asqav.com/api/v1/verify/

Further Reading

• Draft: