분류체계
AIMO 분류체계는 AI 시스템, 그 사용 및 관련 거버넌스 요구사항을 분류하기 위한 구조화된 분류 시스템을 제공합니다. 조직 전반에 걸쳐 일관된 분류 및 증거 관리를 가능하게 하는 8개 차원과 91개 코드로 구성됩니다.
목적
분류체계는 감사 관점에서 세 가지 주요 목적을 수행합니다:
-
설명 가능성: 조직 전반에 걸쳐 AI 사용 사례를 설명하기 위한 공통 어휘를 제공하여 감사자 및 이해관계자와의 명확한 커뮤니케이션을 지원합니다.
-
증거 준비: 표준화된 분류를 사용하여 AI 시스템을 체계적으로 문서화할 수 있게 하여 증거 수집 및 검토를 더 효율적으로 만듭니다.
-
비교 가능성: 조직이 일관된 용어를 사용하여 다양한 맥락에서 AI 사용 사례를 비교할 수 있게 합니다.
이것이 아닌 것 (과대 주장 금지)
!!! warning "중요" AIMO 표준은 설명 가능성 및 증거 준비를 지원합니다. 법률 자문을 제공하거나, 컴플라이언스를 보장하거나, 어떤 규정 또는 프레임워크에 대한 적합성을 인증하지 않습니다. 자세한 내용은 책임 경계를 참조하세요.
분류체계는 분류 시스템일 뿐입니다. 다음은 수행하지 않습니다:
- 법률 또는 규정 준수 보장
- 전문적인 법률, 보안 또는 컴플라이언스 자문 대체
- 외부 프레임워크(ISO, NIST, EU AI Act 등)에 대한 적합성 인증
- 리스크 평가 또는 통제 권고 제공
AI/에이전틱 특정 리스크 예시 (AI 특정 표준이 필요한 이유)
전통적인 보안 통제(예: ISMS)만으로는 LLM/에이전트 특정 실패 모드와 자율 에이전트 편차(예: 의도치 않은 도구 실행, 재귀 루프)를 감사 설명 가능한 방식으로 캡처하지 못하는 경우가 많습니다. AIMO 분류체계는 이러한 AI 특정 리스크를 분류하고 증거 요구사항 및 해결 워크플로우에 연결하는 공유 언어를 제공합니다.
(차별화를 위한 참조 예시. 아래 코드는 설명 목적의 플레이스홀더입니다; 공식 코드 시스템은 표준 정의를 따릅니다.) - AG-01 폭주 루프 / 재귀 - AG-02 무단 도구 사용 (혼란된 대리인 스타일 오용) - AG-03 권한 경계 드리프트
차원 개요
AIMO는 AI 사용 사례를 분류하기 위해 8개 차원을 사용합니다. 각 차원에는 고유한 2자리 접두사가 있습니다.
| ID | 이름 | 코드 수 | 설명 |
|---|---|---|---|
| FS | 기능 범위 | 6 | 어떤 비즈니스 기능이 지원되는지 |
| UC | 사용 사례 분류 | 30 | 어떤 유형의 작업이 수행되는지 |
| DT | 데이터 유형 | 10 | 어떤 데이터 분류가 관련되는지 |
| CH | 채널 | 8 | 사용자가 AI에 접근하는 방법 |
| IM | 통합 모드 | 7 | AI가 기업 시스템에 연결되는 방법 |
| RS | 리스크 표면 | 8 | 관련된 리스크 |
| OB | 결과 / 혜택 | 7 | 기대되는 혜택 |
| EV | 증거 유형 | 15 | 필요한 증거 |
총계: 8개 차원에 걸쳐 91개 코드
사용 규칙
| 차원 | 선택 | 감사 영향 |
|---|---|---|
| FS, IM | 정확히 1개 | 책임 할당을 위한 기본 분류 |
| UC, DT, CH, RS, EV | 1개 이상 | 리스크 범위를 위한 완전한 열거 필요 |
| OB | 0개 이상 | 선택적; 기대되는 비즈니스 가치 문서화 |
차원 정의
FS: 기능 범위
AI 사용을 지원하는 비즈니스 기능별로 분류합니다. 정확히 하나를 선택합니다.
| 코드 | 레이블 | 정의 |
|---|---|---|
| FS-001 | 최종 사용자 생산성 | 내부 최종 사용자의 생산성 향상에 사용되는 AI (작성, 검색, 요약, 회의 메모). |
| FS-002 | 고객 대면 기능 | 고객에게 제공되는 제품/서비스 기능에 내장된 AI. |
| FS-003 | 개발자 도구 | 소프트웨어 개발 및 엔지니어링 작업을 지원하는 데 사용되는 AI. |
| FS-004 | IT 운영 | IT 운영 및 시스템 관리에 사용되는 AI (모니터링, 인시던트 처리). |
| FS-005 | 보안 운영 | 보안 모니터링/대응에 사용되는 AI (SOC, 탐지, 분류). |
| FS-006 | 거버넌스 및 컴플라이언스 | 거버넌스/컴플라이언스 활동을 지원하는 데 사용되는 AI (정책, 감사 증거). |
UC: 사용 사례 분류
작업 또는 상호 작용 유형별로 AI 사용을 분류합니다. 하나 이상을 선택합니다. 전체 목록에는 30개 코드가 포함되며; 아래는 대표적인 예시입니다.
| 코드 | 레이블 | 정의 |
|---|---|---|
| UC-001 | 일반 Q&A | 일반 질문 응답 및 대화형 사용. |
| UC-002 | 요약 | 문서, 회의 또는 메시지 요약. |
| UC-003 | 번역 | 언어 간 번역. |
| UC-004 | 콘텐츠 작성 | 이메일, 문서 또는 보고서 초안 생성. |
| UC-005 | 코드 생성 | 코드 또는 스크립트 생성. |
| UC-006 | 코드 리뷰 | 문제 및 개선 사항에 대한 코드 검토. |
| UC-009 | 검색/RAG | RAG 기반 검색 및 질문 응답. |
| UC-010 | 에이전틱 자동화 | 작업을 실행하는 자율 또는 반자율 에이전트. |
30개 UC 코드의 전체 목록은 딕셔너리를 참조하세요.
DT: 데이터 유형
관련된 데이터의 민감도 및 분류를 분류합니다. 하나 이상을 선택합니다.
| 코드 | 레이블 | 정의 |
|---|---|---|
| DT-001 | 공개 | 공개적으로 이용 가능하고 공개를 위한 데이터. |
| DT-002 | 내부 | 비공개 내부 비즈니스 데이터. |
| DT-003 | 기밀 | 제한된 접근이 필요한 매우 민감한 내부 데이터. |
| DT-004 | 개인 데이터 | 해당 개인정보 보호법에 정의된 개인 데이터. |
| DT-005 | 민감한 개인 데이터 | 특수 범주/민감한 개인 데이터. |
| DT-006 | 자격 증명 | 인증 비밀 및 자격 증명. |
| DT-007 | 소스 코드 | 소스 코드 및 관련 산출물. |
| DT-008 | 고객 데이터 | 고객이 제공하거나 고객과 관련된 데이터. |
| DT-009 | 운영 로그 | 모니터링 및 문제 해결에 사용되는 운영 또는 시스템 로그. |
| DT-010 | 보안 텔레메트리 | 경고 및 탐지와 같은 보안 텔레메트리. |
CH: 채널
사용자가 AI에 접근하거나 상호 작용하는 방법을 분류합니다. 하나 이상을 선택합니다.
| 코드 | 레이블 | 정의 |
|---|---|---|
| CH-001 | 웹 UI | 웹 사용자 인터페이스를 통한 사용. |
| CH-002 | API | 프로그래밍 방식 API 통합을 통한 사용. |
| CH-003 | IDE 플러그인 | IDE/편집기 플러그인을 통한 사용. |
| CH-004 | ChatOps | 채팅 플랫폼(Slack/Teams) 통합을 통한 사용. |
| CH-005 | 데스크톱 앱 | 네이티브 데스크톱 애플리케이션을 통한 사용. |
| CH-006 | 모바일 앱 | 네이티브 모바일 애플리케이션을 통한 사용. |
| CH-007 | 이메일 | 이메일 인터페이스 또는 이메일 기반 자동화를 통한 사용. |
| CH-008 | 명령줄 | 명령줄 인터페이스를 통한 사용. |
IM: 통합 모드
AI가 기업 시스템에 통합되는 방법을 분류합니다. 정확히 하나를 선택합니다.
| 코드 | 레이블 | 정의 |
|---|---|---|
| IM-001 | 독립형 | 기업 시스템에 통합 없이 독립적으로 사용. |
| IM-002 | SaaS 통합 | SaaS 애플리케이션이 AI 기능을 통합. |
| IM-003 | 기업 앱 내장 | 내부 기업 애플리케이션에 내장된 AI. |
| IM-004 | RPA/워크플로우 | 워크플로우 자동화 또는 RPA 내에서 호출되는 AI. |
| IM-005 | 온프레미스 / 프라이빗 | 프라이빗/온프레미스 환경에서 호스팅되는 AI. |
| IM-006 | 관리형 서비스 | 기업 통제가 있는 관리형 서비스를 통한 사용. |
| IM-007 | Shadow / 미관리 | 승인된 거버넌스 통제 외부에서의 사용. |
RS: 리스크 표면
AI 사용과 관련된 리스크 유형을 분류합니다. 하나 이상을 선택합니다.
| 코드 | 레이블 | 정의 |
|---|---|---|
| RS-001 | 데이터 유출 | 의도치 않은 데이터 공개 리스크. |
| RS-002 | 보안 남용 | 시스템이 악의적 목적으로 남용되는 리스크. |
| RS-003 | 컴플라이언스 위반 | 법률/규정/정책 위반 리스크. |
| RS-004 | IP 침해 | 저작권/특허/영업 비밀 침해 리스크. |
| RS-005 | 모델 오용 | 부적절한 모델 사용 또는 과의존으로 인한 리스크. |
| RS-006 | 편향/공정성 | 불공정하거나 편향된 결과의 리스크. |
| RS-007 | 안전 | 유해한 콘텐츠 또는 안전하지 않은 권장의 리스크. |
| RS-008 | 제3자 리스크 | 벤더, 하위 처리자 및 모델 제공자 리스크. |
OB: 결과 / 혜택
AI 사용에서 기대되는 결과 또는 혜택을 분류합니다. 선택적; 0개 이상을 선택합니다.
| 코드 | 레이블 | 정의 |
|---|---|---|
| OB-001 | 효율성 | 시간/비용 효율성 향상. |
| OB-002 | 품질 | 출력의 품질/정확성 향상. |
| OB-003 | 수익 | 수익 성장에 기여. |
| OB-004 | 리스크 감소 | 운영/보안/컴플라이언스 리스크 감소. |
| OB-005 | 혁신 | 새로운 기능 또는 혁신 가능. |
| OB-006 | 고객 만족 | 고객 만족도 향상. |
| OB-007 | 직원 경험 | 직원 경험 향상. |
EV: 증거 유형
필요하거나 수집된 증거 유형을 분류합니다. 하나 이상을 선택합니다.
| 코드 | 레이블 | 정의 |
|---|---|---|
| EV-001 | 요청 레코드 | AI 사용/서비스가 요청되고 설명되었다는 증거. |
| EV-002 | 검토/승인 레코드 | 검토/승인이 수행되었다는 증거. |
| EV-003 | 예외 레코드 | 예외가 부여되고 추적되었다는 증거. |
| EV-004 | 갱신/재평가 레코드 | 갱신 또는 재평가가 발생했다는 증거. |
| EV-005 | 변경 로그 항목 | 변경 및 그 승인에 대한 증거. |
| EV-006 | 무결성 증명 | 무결성에 대한 증거 (해시, 서명, WORM). |
| EV-007 | 접근 로그 | 접근 통제 및 접근 이력에 대한 증거. |
| EV-008 | 모델/서비스 인벤토리 | 사용된 모델/서비스의 인벤토리 레코드. |
| EV-009 | 리스크 평가 | 사용/서비스에 대한 문서화된 리스크 평가. |
| EV-010 | 통제 매핑 | 외부 프레임워크에 대한 통제 매핑 증거. |
| EV-011 | 교육/지침 | 사용자에게 제공된 교육 또는 지침에 대한 증거. |
| EV-012 | 모니터링 증거 | 모니터링 및 지속적인 감독에 대한 증거. |
| EV-013 | 인시던트 레코드 | AI 사용과 관련된 인시던트 처리에 대한 증거. |
| EV-014 | 제3자 평가 | 벤더 또는 제3자 평가에 대한 증거. |
| EV-015 | 증명/승인 | 공식 증명 또는 승인 레코드. |
사용 방법
증거와의 관계
각 증거(EV) 문서는 문서화되는 AI 시스템 또는 사용 사례를 분류하기 위해 여러 차원의 코드를 참조합니다. 8차원 분류는 다음을 가능하게 합니다:
- 조직 전반에 걸친 일관된 분류
- 차원 값에 의한 리스크 기반 필터링
- 커버리지 맵을 통한 프레임워크 매핑
딕셔너리 참조
범위 노트 및 예시를 포함한 완전한 코드 정의는 딕셔너리를 참조하세요.
분류 예시
FS: FS-001 (최종 사용자 생산성)
UC: UC-001 (일반 Q&A), UC-002 (요약)
DT: DT-002 (내부), DT-004 (개인 데이터)
CH: CH-001 (웹 UI)
IM: IM-002 (SaaS 통합)
RS: RS-001 (데이터 유출), RS-003 (컴플라이언스 위반)
OB: OB-001 (효율성)
EV: EV-001 (요청 레코드), EV-002 (검토/승인 레코드)
SSOT 참조
!!! info "진실 공급원"
권위 있는 정의는 source_pack/03_taxonomy/taxonomy_dictionary_v0.1.csv입니다. 이 페이지는 설명 목적입니다. 업데이트 워크플로우는 현지화 가이드를 참조하세요.