Skip content

쿼리파이, AI 경영시스템 국제 표준 ISO/IEC 42001 인증 획득

AI 소프트웨어 기업에게 기술력만큼 중요한 것은, AI를 신뢰할 수 있는 방식으로 개발하고 운영하는 체계입니다. 쿼리파이는 통합 보안 및 거버넌스 플랫폼을 기반으로 기업의 접근제어, 감사, 데이터 보호를 지원해 온 보안 전문 기업으로, 최근에는 AI Agent와 기업 내 SaaS, 데이터, 내부 시스템을 연결해 실제 업무 자동화와 AX 전환을 지원하는 AI 플랫폼 영역으로 사업을 확장하고 있습니다.

지난 6월 26일, QueryPie R&D 센터에서 ISO/IEC 42001 인증수여식이 진행되었습니다. 이번 인증은 QueryPie가 AI를 책임 있게 개발하고 운영하기 위한 관리 체계를 국제 표준에 기반해 구축하고 있음을 확인한 의미 있는 성과입니다.

 

[사진: 황인서 QueryPie CEO와 이일형 LRQA Korea 대표이사가 기념 촬영을 하고 있다.]

LRQA는 이번 인증수여식을 통해 QueryPie의 ISO/IEC 42001 인증 획득을 축하하고, 인터뷰를 통해 쿼리파이의 ISO/IEC 42001 인증 준비 과정과 AI 거버넌스 구축 경험, 그리고 향후 책임 있는 AI 운영 방향에 대해 들어보았습니다. 

  1. 쿼리파이에 대한 간략한 소개와 주요 솔루션에 대해 말씀 부탁드립니다.

​​쿼리파이는 2016년 실리콘밸리에서 설립된 엔터프라이즈 보안 전문 기업으로, 클라우드 인프라, SaaS, 온프레미스 환경 전반의 보안과 거버넌스를 지원하는 통합 보안 및 거버넌스 플랫폼으로 발전해 왔습니다. 

​ ​2020년 카카오와 네이버 출신의 엔지니어들과 각 분야 전문가들이 협력해 공식 런칭한 Access Control Platform은 데이터, 인프라, 업무 시스템 전반의 접근제어와 감사 영역에서 성장해왔으며, 최근에는 보안 기반 위에 AI 기능을 더해 기업이 AI 도구와 AI Agent를 활용하면서도 권한, 승인, 감사, 민감정보 보호를 일관되게 유지할 수 있도록 지원하고 있습니다. 

​또한 AI Platform을 출시하여 기업이 사용하는 모든 SaaS, 데이터, 내부 시스템을 AI Agent와 연결하고 실제 업무 자동화와 기업의 AX 전환까지 가능하게 하는 AI Platform 영역으로 사업을 확장하고 있습니다.  AI Platform에는 실시간 통역 서비스인 Lingo, 사내 데이터를 원하는 자료로 쉽게 생성하는 NotePie 등 QueryPie가 직접 서비스하여 제공하는 App들을 사용할 수 있습니다. 

2. AI 소프트웨어 기업으로서 ISO/IEC 42001 인증을 검토하게 된 가장 큰 계기는 무엇이었나요? 고객 요구, 시장 신뢰, 내부 관리 체계 등 여러 측면에서 어떤 필요성을 느끼셨는지 궁금합니다. 

​​ISO/IEC 42001 인증을 검토하게 된 가장 큰 계기는, AI 시장이 빠르게 성장하는 만큼 'AI를 잘 만드는 역량'만으로는 충분하지 않고 'AI를 신뢰할 수 있는 방식으로 제공하는 역량'을 객관적으로 증명해야 한다고 판단했기 때문입니다. 최근 기업 고객의 도입 검토와 보안성 평가 과정에서, AI가 어떤 데이터를 처리하는지, 어떤 모델과 서비스를 사용하는지, 내부 정보와 개인정보가 안전하게 보호되는지, 결과를 얼마나 신뢰할 수 있는지, 그리고 문제가 발생했을 때 책임과 통제가 가능한지에 대한 질문이 빠르게 늘고 있습니다. 따라서 AI 서비스를 제공하는 기업의 역할도 단지 기술을 제공하는 데 그치지 않고, 신뢰와 안전까지 책임지는 영역으로 확대되었습니다. 

​쿼리파이에게 ISO/IEC 42001은 이러한 시장과 고객의 요구에 답하는 가장 명확한 방법이었습니다. 이미 보안 기업으로서 접근 통제, 감사, 모니터링, 리스크 관리 영역에서 신뢰를 쌓아 온 만큼, 그 위에 'AI를 책임 있게 관리·운영하는 체계'를 국제 표준으로 증명함으로써 고객이 안심하고 AI를 도입할 수 있는 근거를 제공할 수 있다고 보았습니다. 결국 이번 인증은 기능 경쟁을 넘어 신뢰를 제도화하기 위한 선택이었습니다.

3. 인증을 준비하기 전, 쿼리파이 내부에서 가장 먼저 점검해야 한다고 판단한 부분은 무엇이었나요? 

​​인증을 준비하기 전 가장 먼저 한 일은, 쿼리파이의 AI 활용 현황과 관리 대상을 ISO/IEC 42001의 관점에서 '식별'하는 작업이었습니다. 우리가 사용하거나 제공하는 AI 모델·서비스·시스템의 범위, 관련 업무 프로세스, 이해관계자와 책임 주체, 그리고 각 사용 사례의 리스크와 영향 요소를 한 번에 다시 정리했습니다.  ​쿼리파이는 이미 제품 개발·보안 운영·고객 서비스 등 여러 영역에서 AI를 활용하고 있었지만, 그동안은 부서나 개인 단위의 자율적 활용에 가까웠기 때문에 이를 조직 차원의 관리 대상으로 가시화하는 것이 출발점이라고 보았습니다.

​또 하나 중요하게 판단한 점은, ISO/IEC 42001을 별도의 인증 체계로 떼어내 준비하지 않는다는 방향이었습니다. 쿼리파이는 ISO/IEC 27001·27701·27017·27018, SOC 2, ISMS-P, CSA STAR 등 이미 성숙한 관리체계를 운영하고 있어, 새로운 표준을 기존 체계와 분리하기보다 하나의 Integrated Compliance Management Cycle 안에 연결·확장하는 것이 더 효과적이라고 판단했습니다. 그래서 'AI 인벤토리 식별'과 '기존 체계와의 연결 지점 확인'을 가장 먼저 점검했습니다.​ 

4. ISO/IEC 42001을 준비하면서 예상보다 더 중요하다고 느낀 부분이나실제로 준비 과정에서 가장 고민이 되었던 부분은 무엇이었나요? 

​​ISO/IEC 42001을 준비하면서 예상보다 더 중요하다고 느낀 부분은 AI 기술 자체의 활용 수준보다, AI를 조직의 공식적인 관리체계 안에서 어떻게 설명하고 통제할 수 있는가였습니다.  ​앞서 말씀드린 바와 같이 쿼리파이는 이미 제품 개발, 보안 운영, 고객 서비스 등 여러 영역에서 AI를 적극적으로 활용하고 있었기 때문에 처음에는 AI 활용 역량 자체도 중요한 준비 요소라고 생각했습니다. 하지만 실제 준비 과정에서 더 중요했던 것은 “AI를 얼마나 잘 활용하고 있는가”가 아니라, “AI가 어떤 목적과 범위에서 사용되고 있으며, 그 과정에서 발생할 수 있는 리스크와 영향을 조직이 어떻게 식별하고 관리하고 있는가”를 체계적으로 설명하는 일이었습니다. 

​그 과정에서 가장 고민이 되었던 부분은 Clause 9.1의 Monitoring, measurement, analysis and evaluation 체계를 어떻게 ​수립하고 운영할 것인가였습니다. AI 경영시스템이 문서상으로만 존재하는 것이 아니라 실제 운영 과정에서 작동하고 있음을 보여주기 위해서는, 무엇을 모니터링하고 어떤 지표로 측정·분석·평가할 것인지가 중요했습니다. ​예를 들어 기존 정보보호나 개인정보보호 관리체계에서는 취약점 조치율, 접근권한 점검 결과, 보안 이벤트 대응 현황, 교육 이수율 등 비교적 익숙한 지표들이 있습니다. 반면 AI 경영시스템에서는 단순한 AI 사용량이나 모델 목록만으로는 AI 시스템의 리스크와 영향을 충분히 설명하기 어렵다고 판단했습니다. 

​그래서 기존에 운영해 오던 보안·컴플라이언스 지표를 기반으로 하되, AI 경영시스템 고유의 관리 지표를 함께 설계하는데 중점을 두었습니다. 예를 들어 AI 시스템 및 서비스 식별 현황, AI 리스크 평가와 영향도 분석 수행 여부, 고위험 사용 사례 검토 결과, 모델 및 서비스 변경 검토 현황, AI 관련 정책 준수 여부, AI 사용 과정에서 발생한 이슈와 개선 조치 현황, 임직원 AI 교육 및 인식 제고 활동 등을 모니터링 대상으로 검토했습니다. 

​결국 Clause 9.1을 준비하면서 가장 중요했던 것은 기존 보안 관리 활동을 AI 경영시스템과 연결하면서도, AI 모델 선정, 변경 관리, 리스크와 영향 관리, 책임성, 지속적 개선을 보여줄 수 있는 지표 체계를 만드는 것이었습니다. 이를 통해 ISO/IEC 42001을 단순한 문서 체계가 아니라 실제 운영 과정에서 측정되고 개선되는 PDCA 관리체계로 안착시키는 데 중점을 두었습니다. 

5. AI 소프트웨어를 제공하는 기업 입장에서, AI 경영시스템 안에서 특히 중요하게 관리해야 한다고 느낀 영역은 무엇이었나요? (예를 들어 책임과 역할, 리스크 관리, 데이터 관리, 보안, 모니터링 등에서 실제로 중요했던 부분을 소개 부탁드립니다.) 

​​AI 경영시스템 안에서 가장 중요하게 관리해야 한다고 느낀 영역은 AI 시스템의 '전 생애주기에 걸친 통제'였습니다. 질문 주신 책임·역할, 리스크 관리, 데이터 관리, 보안, 모니터링은 분리된 항목이 아니라 하나의 흐름으로 연결되어야 한다고 보았고, 준비 과정에서 다음 네 가지를 특히 구체화했습니다. 

​첫째, 책임과 역할입니다. AI 시스템의 기획·개발·검토·배포·운영·변경 각 단계에 책임 주체를 명확히 지정하고, 신규 AI 기능이나 고위험 사용 사례는 배포 전 별도 검토를 거치도록 했습니다.  

​둘째, 데이터와 보안입니다. AI 시스템이 어떤 데이터와 연결되는지, 민감정보나 개인정보가 포함될 가능성은 없는지를 먼저 확인하고, 접근 권한·로그·API 연동·취약점 관리 등 기존 보안 통제를 AI 시스템의 특성에 맞게 확장했습니다. 쿼리파이가 ACP(PAM) 제품으로 DB·서버·쿠버네티스 접근을 통제해 온 경험이 이 영역에서 그대로 활용되었습니다.  

​셋째, 리스크와 영향 평가입니다. AI 사용 사례별로 리스크 평가와 영향도 분석을 수행하고, 고위험으로 분류된 사례는 통제 수준을 별도로 설계했습니다. 넷째, 모니터링입니다. AI 시스템·서비스 식별 현황, 모델·서비스 변경 검토 현황, 고위험 사용 사례 검토 결과, AI 관련 정책 준수 여부 등을 지속적으로 측정·점검할 수 있는 지표로 운영했습니다. 

​결국 AI 소프트웨어 제공 기업에게 중요한 것은 기능의 성능만이 아니라, 그 기능을 신뢰할 수 있는 방식으로 제공하는 통제 역량이라고 생각합니다. 쿼리파이는 기존 보안·컴플라이언스 체계와 ISO/IEC 42001 기반 AI 경영시스템을 결합해, 보안과 AI 거버넌스가 하나의 흐름으로 작동하도록 설계했습니다.​ 

6. ISO/IEC 42001 인증을 검토 중인 기업이나 조직이 있다면, 준비 초기 단계에서 가장 먼저 확인해야 할 사항은 무엇이라고 생각하시나요?

ISO/IEC 42001을 검토 중인 조직이라면, 초기 단계에서 다음 세 가지를 먼저 확인하시길 권합니다. 

​첫째, 표준의 '관점'을 이해하는 것입니다. ISO/IEC 42001은 AI 기술의 성능이나 보안 기능을 평가하는 인증이 아니라, 조직이 AI를 어떤 목적과 범위에서 사용하고 그 리스크와 영향을 어떻게 식별·관리·개선하는지를 보는 경영시스템 표준입니다. 따라서 특정 문서나 통제부터 만들기보다 이 표준이 요구하는 경영시스템의 구조를 먼저 이해하는 것이 중요합니다.  

​둘째, 적용 범위를 명확히 설정하는 것입니다. 조직 전체의 AI 활용을 대상으로 할지, 특정 AI 서비스·제품을 대상으로 할지, 내부 업무 활용까지 포함할지에 따라 준비 내용이 크게 달라집니다. 범위가 모호하면 AI 시스템 식별, 리스크 평가, 책임 정의, 모니터링 설계가 모두 흔들립니다.  

​셋째, 이해관계자를 식별하는 것입니다. AI 시스템은 개발 조직만의 문제가 아니라 제품·보안·개인정보보호·법무·컴플라이언스· 운영·영업, 그리고 고객과 사용자에게까지 영향을 미칩니다. 이들이 어떤 요구사항과 기대, 우려를 갖는지 초기에 파악해야 이후 통제 설계가 일관됩니다. 

​실무적으로는 문서 작성보다 'AI 인벤토리', 즉 우리가 사용하고 제공하는 AI 시스템과 서비스의 목록을 정리하는 일부터 시작하시길 권합니다. 이 목록이 있어야 범위·리스크·책임·모니터링이 비로소 구체화되기 때문입니다.​ 

7. 인증기관을 선택하는 과정에서LRQA를 선택하신 이유가 있다면 말씀 부탁드립니다.  ​​

쿼리파이가 LRQA를 선택한 가장 큰 이유는, 단일 인증만이 아니라 여러 보안·개인정보·클라우드 컴플라이언스 체계를 통합적으로 이해하고 심사할 수 있는 전문성을 갖춘 기관이라고 판단했기 때문입니다.  

​쿼리파이는 다양한 보안·개인정보·클라우드 컴플라이언스 체계를 운영하고 있습니다. 따라서 인증기관을 선택할 때 단순히 ISO/IEC 42001 하나만 심사할 수 있는지가 아니라, 기존 인증들과 AI 경영시스템이 어떻게 연결되는지 이해할 수 있는지가 중요했습니다.  

​LRQA는 품질, 정보보호, 클라우드 보안, 지속가능성, 공급망, 사이버보안 등 다양한 영역에서 인증, 검증, 심사, 교육 서비스를 제공하는 글로벌 assurance provider입니다. 특히 ISO/IEC 27001과 CSA STAR 등 정보보호 및 클라우드 보안 영역에서도 경험을 보유하고 있어, 쿼리파이가 지향하는 통합 컴플라이언스 관리체계와 잘 맞는 기관이라고 판단했습니다. 따라서 ISO/IEC 42001 인증 과정에서도 기존 보안·개인정보·클라우드 관리체계와 AI 경영시스템의 연결성을 함께 볼 수 있는 기관이라고 생각했습니다.  

​그리고 실제 심사 과정에서도 LRQA 심사원분들의 전문성과 태도가 인상적이었습니다. 단순히 체크리스트 기반으로 요구사항 충족 여부만 확인하는 것이 아니라, 심사원들의 전문성을 바탕으로 쿼리파이가 운영해 온 기존 관리체계와 ISO/IEC 42001 기반의 AI 경영시스템이 어떻게 연결되고 작동하는지를 함께 살펴봐 주셨습니다. ​조직과 시스템을 이해하려는 태도, 균형 있는 커뮤니케이션도 LRQA를 선택한 중요한 이유 중 하나였습니다.​ ​​

​ 8. 마지막으로 이번 인증 이후, 쿼리파이가 AI 거버넌스와 책임 있는 AI 운영 체계를 어떻게 발전시켜 나갈 계획인지 말씀 부탁드립니다. 

​​이번 ISO/IEC 42001 인증은 쿼리파이에게 도착점이 아니라 출발점입니다. 인증 획득은 쿼리파이의 프로세스 안에 AI 경영시스템을 하나의 체계로 자리잡게 한 것이지만, 책임 있는 AI 운영은 AI 기술과 활용 방식이 끊임없이 변하는 만큼 멈추지 않고 발전시켜야 하는 과제라고 보고 있습니다. 따라서 앞으로는 AI 관리체계를 실제 운영 과정에서 측정하고 개선하는 PDCA 사이클 위에서 꾸준히 운영하고 발전시키는 데 집중하려 합니다. 

​가장 먼저 힘쓸 부분은 관리 범위를 함께 키워 나가는 일입니다. 쿼리파이의 AI 활용은 제품과 업무 전반에서 빠르게 확대되고 있고, 새로운 AI 기능과 AI Application이 계속 릴리즈되고 있습니다. 새로운 AI 시스템과 사용 사례가 등장할 때마다 이를 식별하고 평가해 AI 경영시스템의 관리 대상으로 자연스럽게 편입시키는 절차를 더 단단히 다져 나가겠습니다. 

​또한 모니터링과 책임성의 수준을 꾸준히 끌어올릴 계획입니다. 현재 운영 중인 AI 리스크 평가, 고위험 사용 사례 검토, 모델·서비스 변경 관리와 같은 활동을 더 정교한 지표로 발전시켜, AI 시스템의 리스크와 영향을 더 빠르고 객관적으로 설명하고 대응할 수 있도록 하려는 것입니다. 동시에 국내외에서 빠르게 형성되고 있는 AI 관련 규제와 표준의 변화를 지속적으로 살피며 관리체계에 반영하고, 임직원의 AI 리터러시와 책임 있는 활용 문화도 함께 내재화해 나가고자 합니다. 

​궁극적으로 쿼리파이가 만들고자 하는 것은, 고객이 쿼리파이와 함께라면 AI를 더 안전하고 신뢰할 수 있는 방식으로 도입하고 운영할 수 있다는 확신입니다. 이번 인증을 발판 삼아, 책임 있는 AI 운영 체계를 한 단계씩 성숙시켜 나가겠습니다.​ 

 

ISO/IEC 42001 인증 더 알아보기

 

최신 뉴스, 인사이트 및 이벤트