귀하의 컴플라이언스 팀이 8월 2일 이전에 AI 에이전트 감사 로그를 요구할 것입니다. 대부분의 팀이 아직 구축하지 않은 부분입니다.
Source: Dev.to
마감일, 명확히 말하면
2026년 8 월 2 일 — 지금 글을 쓰는 시점에서 두 달 남은 시점 — EU AI 법안의 Annex III에 따른 고위험 의무가 전면 시행됩니다. 귀 조직이 고위험 범주(고용, 대출, 의료, 필수 서비스, 법 집행, 핵심 인프라)에서 의사결정에 영향을 미치는 AI 에이전트를 배포한다면, 일련의 구체적인 기술 요구사항이 법적 구속력을 갖게 됩니다.
이 글은 Article 12에 초점을 맞춥니다: 고위험 AI 시스템은 시스템 수명 전체에 걸쳐 자동 이벤트(로그) 기록을 기술적으로 허용해야 하며, 최소 6개월간 보관해야 합니다. Article 99는 가장 심각한 위반에 대해 €35 million 또는 **전 세계 매출의 7 %**까지 벌금을 부과할 수 있음을 명시합니다.
정확성 주의 1
이러한 마감일을 2027년 12 월까지 연장하는 제안이 EU Digital Omnibus를 통해 2026년 4 월 현재 협상 중이었습니다. 현재까지 법률로 제정되지 않았습니다. 존재하지 않는 연장에 맞춰 엔지니어링 작업을 계획할 수 없습니다. 8 월 2 일을 기준으로 구축하십시오.
정확성 주의 2
특정 AI 코딩 에이전트가 고위험 의무에 해당하는지는 그 에이전트가 수행하도록 배치된 작업에 달려 있으며, AI 에이전트라는 사실만으로는 판단되지 않습니다. 내부 도구용 CRUD 앱을 작성하는 에이전트는 규제된 의사결정 영역에서 운영되거나 시스템을 구축하는 에이전트와는 다른 위치에 있습니다.
그럼에도 불구하고 감사 추적 기능은 구축할 가치가 있습니다. 기업 구매 및 SOC 2 인증이 EU AI 법안 적용 범위 밖에서도 동일한 기록을 점점 더 요구하고 있으며, 필요해진 뒤에 구축하는 것은 비용이 많이 드는 방법이기 때문입니다.
“keep logs”가 실제 의미하는 바
“Keep logs”(로그 유지)는 요구 사항이 아닙니다. 모든 사람이 로그를 유지합니다. 2026년 컴플라이언스 가이드라인이 일관되게 제시하는 요구 사항은 **추적 가능성(traceability)**이며, 이는 에이전트가 특정 행동을 취한 이유, 사용한 데이터, 그리고 실행 시점에 적용된 거버넌스 정책을 증명할 수 있어야 함을 의미합니다.
대부분의 팀은 프롬프트와 완성을 로그에 남깁니다. 이는 의도와 응답을 기록하지만 거버넌스 기록은 아닙니다.
에이전트가 제안한 툴 호출을 정책에 따라 검사하는 중간 레이어가 있다면(예: “지원 에이전트가 매니저 서명 없이 $50 이상을 환불하지 못하도록 함”), 그 검사가 감사 추적에서 가장 중요한 부분입니다.
2026년 환경에서는 정책을 시행(enforcing)하는 행위와 이를 감사(auditing)하는 행위를 분리할 수 없습니다. 거버넌스 레이어가 사후에 로그를 검토하는 별도의 “관찰자(observer)”라면 고위험 시스템에 대해 이미 컴플라이언스를 위반한 것입니다. Runtime Governance가 필요합니다.
Source: …
런타임 거버넌스와 “ThumbGate”
에이전트가 행동을 제안할 때마다 다음을 수행하는 게이트를 통과해야 합니다:
- 결정적인 규칙에 따라 행동을 허용하거나 거부합니다.
- 해당 특정 결정에 대한 변조 방지 기록을 작성합니다.
이를 구현하는 한 가지 방법이 우리가 **“ThumbGate”**라고 부르는 것입니다. 이는 모든 AI‑to‑API 호출을 가로채는 특수 미들웨어입니다.
Note: 거버넌스 게이트를 추가하면 지연 시간이 발생합니다. 2024년 “구시대”에는 TTFT (Time to First Token)의 밀리초 단위까지도 신경을 썼지만, 2026년 컴플라이언스‑우선 시대에서는 시스템을 운영할 법적 권리를 얻기 위해 약 50 ms의 지연을 감수합니다.
감사 로그는 에이전트의 부수 효과가 아니라 거버넌스 레이어의 주요 출력이 되어야 합니다.
구현 고려사항
- 변조 방지 저장소: 기록을 변경할 경우 감지할 수 있도록 추가 전용 로그, 암호 해시, 또는 블록체인 스타일 머클 트리를 사용합니다.
- 보존 정책: 필수 6개월 기간이 지난 후 자동으로 삭제하거나 보관하면서 필요한 감사에 대비해 무결성을 유지합니다.
- 성능 모니터링: 추가 지연 시간을 측정하고 거버넌스 게이트를 고려한 서비스 수준 목표(SLO)를 설정합니다.
- 정책 관리: 결정론적 규칙을 버전 관리 저장소에 보관하고 각 규칙 버전을 해당 로그 항목과 연결합니다.
- 감사 도구: 규제 기관 및 내부 컴플라이언스 팀을 위한 검색 가능한 대시보드와 내보내기 기능을 제공합니다.
이 문서는 2026년 6월 기준 기술 및 규제 정확성을 보장하기 위해 AI 지원으로 작성되었습니다.