์ธํฐ๋ทฐ
์ ๋ด๋ ํค์ด์ค, ํธ๋ฌ์คํฐ๋ธ์ CEO ๋ฐ ๊ณต๋ ์ฐฝ๋ฆฝ์ – ์ธํฐ๋ทฐ ์๋ฆฌ์ฆ
제럴드 키어스, 트러스티블의 CEO 및 공동 창립자는 책임 있는 AI를 운영하는 데 중점을 둔 기술 및 정책 리더입니다. 그는 트러스티블의 미션을 통해 조직이 신뢰를 구축하고 위험을 관리하며 새로운 AI 규제를 준수하도록 도와줍니다. 이전에는 그는 FiscalNote의 AI 솔루션 부사장 및 총괄 매니저로서 기업용 AI 제품을 담당했으며, 기업 개발, 제품, 고객 성공, 및 집행 운영 분야에서 선임 역할을 수행했습니다. 그의 경력은 일관되게 기술, 규제, 및 확장 가능한 기업 실행의 교차점에 위치했습니다.
트러스티블은 조직이 AI 시스템을 인벤토리화하고 위험을 평가 및 완화하며 구조화된 워크플로우와 문서를 통해 규제를 준수하도록 도와주는 AI 거버넌스 플랫폼을 제공합니다. 법률, 규제, 및 AI 팀을 위해 설계된 이 플랫폼은 거버넌스 활동을 중앙화하고 AI 사용 사례를 규제 프레임워크와 일치시키며, 기업 전체에서 책임 있는 AI를 더 빠르고 투명하게 배포할 수 있도록 합니다.
제가 제품 마케팅과 수석 직원으로서의 역할에서 피스컬노트의 AI 솔루션을 이끄는 역할로 이동하기 전에, AI 거버넌스에 전용 플랫폼이 필요한 이유와 트러스티블을 출시했을 때 해결하려고 했던 첫 번째 문제는 무엇입니까?
나는 피스컬노트에서 8년 이상의 기간 동안 많은 역할을 수행했으며, 초기 시드/시리즈 A 직원으로 시작하여 IPO 이후 선임 임원으로 떠났습니다.
제품 마케팅, 수석 직원, 및 피스컬노트의 AI 솔루션을 이끄는 역할을 통해, 나는 항상 같은 문제를 다른 각도에서 보았습니다. AI 거버넌스는 본질적으로 사회 기술적인 문제이지만, 대부분의 조직은 단편적인 방식으로 접근했습니다. 팀은 AI 성능, 보안, 개인 정보, 윤리, 및 법적 검토를 별개의 트랙으로 취급했으며, 종종 다른 함수에 의해 소유되며, 함께 작동하는 공통의 운영 스파인이 거의 없었습니다. 이러한 다섯 차원은 절대적으로 중요하며, 협력적으로 해결되어야 합니다. 그러나 조직이 어려움을 겪는 곳은 그 사회 기술적인 의도를 실제 의사 결정에 적용하는 것입니다.
동시에 AI를 둘러싼 규제 환경은 분명히 변화하고 있었습니다. EU AI 법과 관련 표준은 실험 기술이 아닌 규제 인프라로서 AI를 관리하는 방향으로의 전환을 나타냈습니다. 무엇이 명백해졌는지는 많은 회사들이 규제 및 정책 기대치를 AI 시스템에 매핑하는 대신, 규제 의도를 연속적으로 구현할 수 있는 거버넌스를 설계하는 것이었습니다.
피스컬노트에서의 경험은 중요했습니다. 우리는 법률, 정책, 및 규제 환경 자체에 AI를 적용했습니다. 우리는 조직이 법률이 어떻게 발전하는지, 요구 사항이 어떻게 해석되는지, 및 규제 기대가 어떻게 운영적 의무로 번역되는지 이해하도록 도왔습니다. 이 경험은 효과적인 AI 거버넌스가 동일한 규율이 필요하다는 것을 보여주었습니다. 즉, 정책 및 규제적인 사고를 직접 AI 시스템이 구축, 배포, 모니터링, 및 적응되는 방식에 적용해야 합니다.
고객은 일관되게 동일한 고통을 호소했습니다. 그들은 자신이 어떤 AI 시스템이 생산 중인지, 어떤 시스템이 새로운 규제 하에서 고위험인지,誰가 시스템이 기능적 경계를 넘을 때 책임이 있는지, 또는 모델, 데이터, 벤더, 및 규제가 동시에 진화함에 따라 지속적인 준수를 어떻게 입증할 수 있는지 확신할 수 없었습니다.
우리가 트러스티블을 출시했을 때, 우리가 해결하려고 했던 첫 번째 문제는 사회 기술적인 거버넌스를 이론에서 실제로 구현하는 것이었습니다. 우리는 기술적인 행동, 사용 사례 위험.context, 소유권, 및 규제 기대를 하나의 시스템에 연결하는 것을 중점으로 했습니다. 트러스티블은 조직이 AI에 대한 생명 시스템을 기록할 수 있도록 설계되었습니다. 이는 거버넌스가 기술적인 변화와 규제의 진화에 따라 뒤처지지 않도록 지속적인 가시성과 책임성을 제공합니다.
전선에서, AI가 실제 의사 결정, 워크플로우, 및 고객 맞춤형 경험으로 이동할 때 거버넌스 프로그램이 중단되는 이유는 무엇입니까?
AI가 실험에서 실제 워크플로우로 이동할 때, 거버넌스는 실제적인 이유로 중단됩니다. 대부분의 조직은 AI 위험을 평가하는 방법을 모릅니다. 그들은 모델을 추상적으로 평가할 수 있지만, 실제 사용 사례 수준에서 위험을 평가하는 데 어려움을 겪습니다. 이는 기술적인 지표만으로는 충분하지 않습니다.
이 문제는 생성형 AI에서 더 심해집니다. 단일 기초 모델은 고객 지원, 내부 연구, 의사 결정 지원, 또는 콘텐츠 생성을 위해 사용될 수 있으며, 각기 다른 위험 프로파일을 가집니다. 이러한 사용 사례를 평가 및 비교하는 구조화된 방법이 없으면, 팀은過度한 주의나 무시로 이동할 수 있습니다.
제3자 AI는 상황을 더 복잡하게 만듭니다. 조직은 벤더와 내장된 AI 기능에 크게 의존하지만, 일관된 방법으로 이러한 시스템을 평가하거나 업스트림 컨트롤을 이해하거나 벤더 위험을 자신의 규제 및 운영 노출로 번역하는 방법이 없습니다. 따라서 검토는 주관적이고 느립니다.
이러한 도전은 전문가와 소유권의 격차로 인해 증폭됩니다. 거버넌스 책임은 법률, 규제, 보안, 데이터, 및 제품 팀에 걸쳐 분산되어 있으며, 공유 프레임워크나 명확한 소유자가 없습니다. 이는 스프레드시트, 문서 저장소, 또는 레거시 GRC 플랫폼과 같은 부적절한 도구와 결합되어 거버넌스 팀이 변경 사항을 추적하는 데 어려움을 겪습니다.
거버넌스가 중단되는 이유는 조직이 정적인 시스템을 위한 오래된 플레이북을 동적인 AI 시스템에 적용하고 있기 때문입니다. AI는 연속적인 위험 평가, 결과에 대한 명확한 소유권, 및 실제 운영에 반영되는 도구가 필요합니다. 거버넌스 팀은 변경 사항을 볼 수 없으며, 언제 변경되고, 왜 중요한지 알 수 없습니다.
마지막으로, 소유권은 종종 해결되지 않습니다. 많은 조직에서, 실험에서 생산으로 넘어가는 AI 시스템에 대한 명확한 책임 소유자가 없습니다. 명명된 비즈니스 소유자가 결과에 책임이 있는 경우, 거버넌스는 자문적이고 진행이 느려집니다.
공통적인 스레드는 조직이 새로운 기술에 대한 오래된 거버넌스 플레이북을 적용하고 있다는 것입니다. 이러한 플레이북은 정적인 시스템과 주기적인 검토를 위해 설계되었습니다. AI는 연속적인 위험 평가, 명확한 소유권, 및 실제 운영과 연결된 도구를 필요로 합니다.
2년차 거버넌스를 정의하고, 조직이 초기 채택에서 지속적인 모니터링, 드리프트 관리, 및 연속적인 준수로 이동할 때 변경되는 내용은 무엇입니까?
2년차 AI 거버넌스는 AI가 프로젝트의 시리즈가 아닌 의사 결정의 기초 인프라로 취급되는 순간입니다. 제가 말하는 것은, 첫 해에는 AI 거버넌스가 주로 활성화에 관한 것입니다. 팀은 사용 사례를 승인하고, 모델을 문서화하고, 책임 있는 AI를 위해 검토 프로세스를 설정하는 데 중점을 두고 있습니다.
AI 시스템이 확장되고 핵심 비즈니스 프로세스에 통합되면서, 초점이 변경됩니다. 질문은 더 이상 배포해야 하는지 여부가 아니라, 데이터, 사용자, 벤더, 및 규제가 변경됨에 따라 안전하게 및 안정적으로 운영할 수 있는지 여부입니다. AI 거버넌스는 연속적이며, 달력 기반의 검토가 아닌 실제 변경 또는 상황에 의해 트리거됩니다.
위험도 동적입니다. 모델이 변경되거나 범위가 확장되거나 새로운 이해관계자가 시스템과 상호 작용할 때 위험을 평가하는 방식이 필요합니다. 규제 준수도 동일한 방식으로 변경됩니다. 규제 요구 사항은 정책에 매핑되는 대신 라이브 컨트롤, 모니터링 신호, 및 지속적으로 캡처된 증거를 통해 시행됩니다.
또 다른 중요한 2년차 AI 거버넌스의 측면은 실제 AI 사고 관리의 도입입니다. 조직은 모니터링 중인 시스템을 알아야 하며, 내재된 위험에 따라 우선순위를 지정하고, 의미 있는 신호를 표면화하기 위해 올바른 데이터를 통합해야 하며, 명확한 경고 및 에스컬레이션 기준을 정의해야 합니다. 이를 통해 팀은 조치하기 전에 조치를 취할 수 있습니다.
조각난 시스템과 제한된 자원으로, 조직 전체에 표준화해야 하는 첫 번째 거버넌스 기능은 무엇입니까?
자원이 제한될 때, 조직은 시작할 때에서 무엇을 해야 하는지에 대해 고민해야 합니다. 초기 선택은 모든 것을 따르는 궤도에 영향을 미칩니다. 첫 번째 우선 순위는 실제로 비즈니스에서 존재하는 AI 시스템에 대한 신뢰할 수 있는 가시성을 얻는 것입니다. 많은 팀은 몇 개의 AI 시스템만 가지고 있다고 생각하지만, 실제로는 그림자 AI, 내장된 벤더 기능, 및 조용히 확장된 사용 사례가正式 검토되지 않은 것을 발견합니다. 생산 중인 시스템에 대한 생명적인 보기가 없으면, 거버넌스 토론은 이론적이고 현실과 분리됩니다.
가시성이 존재하는 경우, AI 사용 사례에 대한 책임을 부과하는 것이 중요합니다. 거버넌스는 책임이委員会 또는 함수에 걸쳐 분산될 때 빠르게崩壊합니다. 조직은 초기에 시스템을 구축하거나 검토한 사람이 아니라, AI 시스템이 의사 결정이나 영향을 미칠 때 결과에 대한 책임이 누구인지 명확하게 할당해야 합니다. 이는 특히 사건이 발생하거나 모델이 원래 범위를 벗어날 때 특히 중요합니다.
그다음, 팀은 실제로 위험에 대해 논의할 수 있는 방법을 설정해야 합니다. 이는 내부적으로 구축된 시스템, 생성형 AI 사용 사례, 및 제3자 벤더에 대해 작동하는 위험 분류에 대한 공유 접근 방식을 설정하는 것을 의미합니다. 공통의 위험 렌즈가 없으면, 조직은 낮은 영향 시스템을過度로 검토하거나 가장 중요한 시스템을 모니터링하지 않을 수 있습니다.
마지막으로, 거버넌스는 정상적인 작동의 결과로 증거를 생성해야 합니다. 우리는 “말하기, 하기, 증명하기”를 통해 신뢰를 입증하는 방법으로 이야기喜欢합니다. 시스템이 작동하는 동안 승인, 변경, 및 모니터링 신호를 캡처하면, 조직은 감사, 사건, 고객 요청, 및 규제 질문에 대한 자신감을 가지고 대응할 수 있습니다. 이러한 기초는 처음부터 완벽할 필요는 없지만, 거버넌스가 확장하기 위해서는 일관성과 반복성이 필요합니다.
왜 AI 거버넌스는 사이버 보안 또는 GRC와 같은 심각성을 가지고 다루어야 합니까? 그리고 리더들은 운영 워크로드를 어디에서 가장 과소평가합니까?
AI 거버넌스는 사이버 보안 및 GRC와 비교할 수 있는 시스템적인 위험을 가지고 있으며, 추가적인 복잡성이 있습니다. 사이버 보안 실패와 마찬가지로, AI 실패는 조직 전체에 빠르게 및 보이지 않게 전파할 수 있습니다. GRC와 마찬가지로, AI는 법률, 윤리, 및 운영적 의무와 교차합니다. 그러나 사이버 보안이나 GRC와 달리, AI 시스템은 명시적인 인간의 행동 없이 시간이 지남에 따라 행동을 변경할 수 있습니다.
리더들이 워크로드를 과소평가하는 곳은 연속적인 운영적 요구입니다. 모니터링은 주기적인 것이 아니라 연속적입니다. 조정은 제품, 데이터, IT, 법률, 규제, 및 조달 팀을 아우릅니다. 변경 관리는 모델, 벤더, 사용 사례, 및 규제가 동시에 진화하기 때문에 상수입니다.
조직이 AI 거버넌스를 일회적인 규제 준수 연습으로 취급하는 경우, 그들은 결국 어려움을 겪습니다. 그러나 AI 거버넌스를 운영 인프라로 접근하는 조직, 즉 보안 또는 신뢰성 엔지니어링과 같은 방식으로, 안전하게 및 지속적으로 AI를 확장하기 위해 더 잘 위치하고 있습니다.
미국 주들이 AI 규칙을 강화하는 반면, 연방 정책은まだ 논쟁의 여지가 있습니다. 조직은 규제 불확실성을 통해 어떻게 거버넌스를 설계해야 합니까?
AI를 둘러싼 규제 환경은 불확실하고 진화하고 있습니다. 가장 강력한 거버넌스 프로그램은 규제가 아닌 요구 사항을 중심으로 구축됩니다. 각 새로운 법률에 대한 별도의 프로세스를 반응하는 대신, 조직은 여러 관할권에서 나타나는 공통적인 기대에 중점을 두어야 합니다. 즉, 인벤토리, 투명성, 책임성, 위험 평가, 인간의 감독, 및 문서화와 같은 것들이 있습니다.
거버넌스 시스템이 모듈화되면, 새로운 규제 요구 사항을 기존의 컨트롤에 매핑할 수 있으며, 팀이 규제 환경이 변경될 때마다 접근 방식을 재창조할 필요가 없습니다. 이는 마찰을 줄이고 거버넌스가 정책 변경에 따라 발전할 수 있도록 도와줍니다.
목표는 오늘날의 규칙을 준수하도록 최적화하는 것이 아니라, 기대가 진화함에 따라 이를 적응시키는 것입니다.
2026년을 향해, 조직이 비즈니스 단위에 걸쳐 AI를 확장할 때, 어떤 AI 거버넌스 기능이 필수가 될 것으로 예상합니까?
AI가 고립된 파일럿에서 실제 의사 결정에 영향을 미치는 시스템으로 이동함에 따라, 거버넌스 기대는 빠르게 변경되고 있습니다. 2026년까지, 조직은 더 이상 2024년 및 2025년에 사용된 플레이북에 의존할 수 없습니다. 즉, AI 감독은 수동적이고, 주기적이고, 개별 검토를 중심으로 이루어졌습니다. 연속적인 모니터링은 표준이 될 것입니다. 정적인 문서화와 특정 시점의 평가로는 동적인 AI 환경에서 규제 기관, 이사회, 직원, 또는 고객을 만족시킬 수 없습니다.
AI가 더 많은 팀과 워크플로우에 통합됨에 따라, 조직은 또한 복잡한 AI 공급망에 걸쳐 일관된 거버넌스를 필요로 할 것입니다. 내부 모델, 제3자 벤더, 내장된 AI 기능, 및 자율 구성 요소는 모두 동일한 렌즈를 통해 거버넌스되어야 하며, 벤더 AI를 블라인드 스폿이나 책임이 조달에서 끝나는 것으로 취급해서는 안 됩니다.
규제 시행이 강화되고 투명성에 대한 공众의 기대가 높아짐에 따라, 감사 준비 증거는 요구에 따라 사용할 수 있어야 합니다. 즉, AI 시스템이 설계, 배포, 및 모니터링되는 동안 거버넌스 활동을 캡처하는 것을 의미합니다. 이는 결정이나 사건 이후에 재구성하는 대신에, 실제로 발생하는 것입니다.
마지막으로, 거버넌스는 전체 AI 라이프사이클에 걸쳐 내장되어야 합니다. 감독은 배포 시의 법적 검토가 아니라, SDLC, MLOps, 및 제3자에 대한 조달 워크플로우에 통합된 운영적 능력입니다. 이러한 기능을 구축하는 조직은 규제 불확실성에 대한 적응, 사건에 대한 반응, 및 AI의 확장 속도를 더 잘 다룰 수 있을 것입니다.
만약 이미 생산 중인 AI가 있지만 공식적인 거버넌스 프로그램이 없는 회사에 조언한다면, 첫 90일은 어떻게 보일까요?
첫 30일은 기본적인 가시성을 얻는 데 중점을 두어야 합니다. 즉, 생산 중인 AI 시스템을 식별하고, 실제 의사 결정에 영향을 미치는지 이해하며, 명확한 소유권을 할당하는 것입니다.
다음 단계는 기준 컨트롤을 설정하는 것입니다. 조직은 위험을 분류하는 방법을 정의하고, 더 높은 위험 시스템에 대한 승인 체크포인트를 도입하며, 가장 중요한 영역을 모니터링하기 시작해야 합니다.
마지막 단계에서는 거버넌스를 설정에서 작동으로 전환해야 합니다. 모니터링은 기존 워크플로우에 통합되어야 하며, 에스컬레이션 경로는 명확하게 정의되어야 하며, 증거는 시스템이 작동함에 따라 자연스럽게 축적되어야 합니다.
첫 90일의 목표는 완벽함이 아닙니다. 그것은 동력이입니다. 실제로 작동하는 거버넌스 프로그램은 종이上에만 존재하는 프로그램보다 훨씬 더 가치 있습니다.”
이번 인터뷰에 감사드립니다. 더 많은 것을 배우고 싶은 독자는 트러스티블을 방문하십시오.
