Journal of Korea Society of Digital Industry and Information Management (디지털산업정보학회논문지)

Korea Society of Digital Industry and Information Management (디지털산업정보학회)
권호 표지
DOI QR코드

DOI QR Code

Analysis of the Structural Framework and Key Requirements of the ISO/IEC 42001:2023 Artificial Intelligence Management System Standard

ISO/IEC 42001:2023 인공지능 경영시스템 표준의 구조적 체계와 핵심 요구사항에 대한 분석

  • Received : 2025.08.15
  • Accepted : 2025.09.11
  • Published : 2025.09.30
Download PDF
⟨ Previous Next ⟩

Abstract

Artificial Intelligence (AI) is fundamentally transforming organizational operations, data management, and service delivery across industries. This study examines ISO/IEC 42001:2023, the first international standard for AI Management Systems (AIMS), focusing on its role in establishing responsible and transparent AI governance frameworks. The research explores key elements such as AI lifecycle management, risk-based control mechanisms, ethical accountability, and integration with existing management systems. Through comparative analysis with traditional standards like ISO/IEC 27001 and ISO 9001, this study highlights how ISO/IEC 42001 addresses AI's inherent characteristics-autonomy, non-determinism, and opacity-that conventional frameworks fail to fully encompass. The findings indicate that ISO/IEC 42001 provides a comprehensive, proactive governance model that enhances AI reliability, transparency, and societal acceptance. This standard enables organizations to embed AI governance within enterprise-wide management structures, ensuring ethical AI deployment and reinforcing stakeholder trust.

Keywords

Ⅰ. 서론

인공지능(Artificial Intelligence, AI)은 조직의 운영 구조, 데이터 처리 체계, 서비스 제공 방식에 근본적인 변화를 유도하고 있다. AI 기술은 인간의 판단과 예측을 모방하거나 대체할 수 있는 수준으로 고도화 되어왔으며, 이러한 기술은 금융, 의료, 제조, 운송 등 핵심 산업분야에서 시스템의 자율성과 결정 능력을 강화시키는 주요 수단으로 채택되고 있다[1]. 주요 기업들은 AI 기반 의사결정 자동화와 맞춤형 서비스 제공을 통해 운영 효율성과 고객 경험을 동시에 향상시키고 있으며, 특히 자연어 처리(NLP), 추천 알고리즘, 고객 행동 예측 기술이 마케팅, 금융, 미디어등 다양한 산업에서 핵심적인 수단으로 자리 잡고 있다[2].

AI 기술의 발전 속도에 비해 조직 내 통제 체계, 윤리적 기준, 법적 대응력은 상대적으로 부족한 상태이다. 알고리즘 편향, 설명 불가능성, 학습된 모델의 예측 불확실성, 자동화된 판단 결과에 대한 책임 소재의 모호함 등은 조직 신뢰성에 심각한 위협이 될 수 있는 구조적 리스크로 대두되고 있다. 특히 인공지능이 생성한 결과물의 윤리적 정당성과 법적 책임에 대한 불확실성은 사회적 수용성 확보를 위한 주요 장애 요인이다[3].

기존 정보보호 및 품질경영 국제표준은 이러한 기술적 복잡성과 사회적 영향력을 포괄하기 어려운 구조로 구성되어 있다. 예를 들어, ISO/IEC 27001은 자산 중심의 보안 위협 대응 체계에 중점을 두며, ISO/IEC 27701은 개인정보 흐름의 선형성과 일관성을 전제로 설계되어 있다. 그러나 AI 시스템은 반복 학습과 예측 알고리즘을 통해 자율적으로 결정을 내리며, 생성된 결과물이 새로운 의미를 가지는 비선형적 구조를 가진다. 이는 기존의 고정형 통제 프레임워크로 대응하기에 본질적 한계를 가진다[4].

이러한 구조적 한계를 극복하고 AI 활용의 책임성과 투명성을 확보하기 위한 국제표준이 바로 ISO/IEC 42001:2023이다. 본 표준은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 공동으로 제정한 인공지능 경영시스템(AI Management System, AIMS)에 관한 국제표준으로, 조직이 AI 시스템의 설계, 개발, 운용, 유지보수 및 종료에 이르는 전 생애주기에 걸쳐 위험 기반 접근(Risk-based Approach)을 체계적으로 적용할 수 있도록 구성되어 있다[5].

ISO/IEC 42001은 ISO 9001, ISO/IEC 27001, ISO14001 등과 동일한 고수준 구조(High-Level Structure, HLS)를 채택하고 있어 통합적 운영이 가능하며, 핵심요구사항인 Clause 4~10의 모듈 구성은 상황 인식, 리더십, 계획, 운영, 성과 평가 및 개선의 일관된 PDCA 사이클 기반으로 설계되어 있다. 특히 Annex B에서는 AI 고유 리스크에 대응하기 위한 영향 평가, 리스크 기준, 커뮤니케이션 전략, 책임 추적성 확보 등을 실무적으로 제시함으로써 표준의 실행력을 강화하고 있다[5].

DGTSA8_2025_v21n3_53_2_f0001.png 이미지

<그림 1> 인공지능 경영시스템 (AIMS) PDCA 사이클

AI 기술의 책임성과 설명 가능성을 확보하는 것은 단지 법적 정합성의 차원을 넘어, 조직의 장기적 지속 가능성과 이해관계자 신뢰 확보에 있어 필수적인 조건으로 간주된다. NIST(미국 국립표준기술연구소: National Institute of Standards and Technology)는 설명 가능성, 책임성, 투명성, 공정성 등 다양한 특성을 종합적으로 고려한 신뢰 가능한 AI의 구성 요소를 정의하고 있으며, 이러한 특성 간의 균형은 AI 시스템의 사회적 수용성과 리스크 최소화를 위한 핵심 기준으로 제시된다[6].

본 논문은 ISO/IEC 42001의 구조와 조항별 요구사항을 체계적으로 분석하고, AI 시스템을 도입하는 조직이 이를 효과적으로 운영하기 위한 전략적 고려사항과 실무 적용 방안을 제시함으로써, 향후 국내외 기업과 공공조직의 AIMS (ISO/IEC 42001:2023-Artificial Intelligence Management Systems) 내재화를 위한 실천적 통찰을 제공하고자 한다.

Ⅱ. 이론적 배경

2.1 인공지능 기술의 진화와 경영시스템 적용 필요성

인공지능(Artificial Intelligence, AI)은 조직의 정보 처리 체계 및 전략적 의사결정 구조를 근본적으로 변화시키는 기술로 자리매김하였다. 이는 단순 반복 작업의 자동화를 넘어서, 인간의 인지 기능을 모방하거나 대체하는 기술적 진화를 통해 전통적 산업 생태계의 구조를 재편하고 있다. 특히 AI는 데이터 기반 학습, 규칙 없는 추론, 그리고 강화학습 기반의 행동 최적화 메커니즘을 통해 기존의 정보시스템과는 본질적으로 다른 자율성과 비결정성을 내포하고 있으며, 이러한 특성은 기업의 경영관리 체계와 의사결정 구조에 단순한 기능적 보완을 넘어서는 전면적인 재설계와 운영 원칙의 전환을 요구한다[7]. AI 시스템이 지닌 자율성(autonomy), 비결정성(non-determinism), 비가시성(non-transparency)과 같은 고유한 속성은 기존의 규칙 기반, 자산 중심, 선형 통제 위주의 관리 시스템과는 근본적으로 양립하기 어렵기 때문이다. 이에 따라 조직은 통제(control)의 개념을 기술 중심에서 정책·윤리·사회적 수용성까지 확장된 형태로 재정의하고, 이러한 위험 특성에 대응할 수 있는 전사적 거버넌스 체계, 설명 가능성과 책임성 중심의 의사 결정 구조, 데이터와 알고리즘에 대한 정량적/정성적 통합 평가 체계를 포함한 새로운 운영 프레임워크를 수립해야 한다. 이는 곧 ISO/IEC 42001이 제시하는 AI 경영 시스템의 통합적 접근성과도 직결되는 문제이며, 조직은 단일 기술 규범에 그치지 않고, 윤리적 판단, 법적 정합성, 전략적 대응력을 포함하는 종합적 경영 시스템을 구축해 나가야 한다. 이들 속성은 기존의 정보보호 및 품질 경영 시스템에서 전제해온 ‘예측 가능성 기반 통제 모델’ 과 근본적으로 충돌한다. 특히 딥러닝 기반 AI는 내부의 의사결정 경로가 복잡한 가중치와 계층적 연산에 의해 구성되어 있어 설명가능성 부족은 규제 대응력, 사회적 신뢰, 책임소재 불명확성을 초래한다.

AI 기술의 적용은 금융·의료·제조·공공 서비스 등 전산업영역에서 빠르게 확산되고 있으며, 사용자 맞춤형 서비스 제공, 공급망 최적화, 예측 분석 기반 의사결정 지원 등 다양한 조직 내 기능에서 효율성과 민첩성을 강화하는 수단으로 활용되고 있다. 그러나 이와 동시에 기술의 불투명성(opacity), 예측 불가능성(unpredictability), 그리고 알고리즘 편향(bias) 등 새로운 형태의 위험이 조직 내부의 기존 통제 시스템으로는 포섭되기 어렵다는 점에서, 독립된 거버넌스 체계가 요구된다[8, 9].

AI의 학습 과정은 입력 데이터를 기반으로 스스로 판단 기준을 생성하며, 사전에 정의된 의도나 규칙 없이도 새로운 결과를 도출한다. 이로 인해 동일한 입력에 대해서도 다른 상이한 결과가 도출될 수 있으며, 결과에 대한 근거 제시가 어려운 경우 책임의 소재가 불명확해지는 문제가 발생한다. 결과적으로, AI의 결과물은 기술적 성능 그 자체보다도 사회적 신뢰(trustworthiness), 윤리적 정당성, 법적 정합성을 동시에 만족시킬 수 있어야 조직 차원의 수용이 가능하다[10].

AI 시스템이 유발하는 위험은 특정 기술의 단일 요소에서 비롯되지 않는다. 학습데이터의 불균형, 알고리즘 설계상의 논리적 한계, 인프라 내 보안 취약점, 사용자의 윤리적 판단 결여 등 다양한 요인이 서로 얽히고 누적되면서 조직 전반의 리스크로 확산된다. 이러한 다원적·다층적 위험은 단일 보안 장치나 품질 인증 제도로는 효과적인 제어가 어렵기 때문에, 기술적·관리적·윤리적 요소를 아우르는 종합적 경영 시스템 설계가 요구된다[11].

이와 같은 요구에 대응하기 위한 글로벌 차원의 정책적 시도도 확대되고 있다. 미국 국립표준기술연구소(NIST)는 『AI Risk Management Framework 1.0』을 통해 GOVERN–MAP–MEASURE–MANAGE의 네 단계 기능으로 구성된 프레임워크를 제안하였으며, 이는 기술 중심 통제를 넘어 사회적 수용 가능성 확보를 위한 윤리 기반 위험 관리체계를 포함하고 있다[12]. OECD 역시 AI 기술의 활용이 인간의 권리, 안전, 민주주의에 영향을 미칠 수 있다는 점에서, 투명성, 공정성, 설명가능성, 인간 중심성을 포함한 AI 원칙(AI Principles)을 공식화하고 국제 공통의 규범 체계를 구축해왔다[13].

ISO/IEC 42001:2023은 이러한 기술적·사회적 이슈를 포괄적으로 수용하고자 제정된 최초의 AI 경영시스템 국제표준으로, AI 기술의 설계, 개발, 운용, 폐기에 이르는 전체 생애주기(life-cycle)를 포괄하여 조직의 책임성(accountability)과 투명성(transparency)을 확보할 수 있도록 설계되었다. 본 표준은 ISO가 채택한 고수준 구조(High-Level Structure, HLS)를 기반으로 ISO 9001, ISO/IEC 27001 등 기존 경영시스템 표준과의 통합 운영을 가능하게 하며, 조직이 AI 기반 기술을 법적, 윤리적, 사회적 기준에 정합되도록 운용할 수 있는 관리 시스템 기반을 제공한다[14]. 주목할 만한 사항으로 산업 적용 연구에서는 ISO 기반 경영시스템의 도입이 운영 효율성과 사회적 정당성 제고라는 두 가지 효과를 동시에 달성할 수 있음을 보여주었으며, 이는 ISO/IEC 42001의 도입 의의와도 긴밀히 연결된다.

2.2 AI 시스템의 설명 가능성과 투명성 확보의 관리 시스템적 접근

AI 시스템은 본질적으로 자율성과 복잡성을 기반으로 작동하기 때문에, 그 판단 과정에 대한 외부적 설명을 제공하는 데 구조적 한계를 지닌다. 특히 비지도 학습이나 생성형 모델과 같은 최신 접근법은 입력과 출력 간의 관계가 선형적이지 않으며, 의사결정 기준 역시 학습 데이터에 의해 비결정적으로 형성된다. 이러한 속성은 AI의 신뢰성(reliability)과 사회적 수용성(acceptability)을 확보하는 데 중대한 장애 요인으로 작용한다. 이 때문에 설명 가능성(Explainability)과 투명성(Transparency)은 단순한 기술적 성능의 지표를 넘어, 조직이 책임성과 법적·윤리적 정합성을 보장하기 위한 핵심 관리 요건으로 인식되고 있다[15].

ISO/IEC 42001:2023은 설명 가능성과 투명성을 인공지능 경영시스템(AIMS)의 핵심 통제 항목으로 포함시키고 있으며, Annex C.2.11에서는 이를 “AI 결과에 영향을 미치는 주요 요인들을 인간이 이해할 수 있는 방식으로 이해관계자에게 제공하는 것”으로 정의한다. 이는 단순히 기술 문서 차원의 기록을 의미하는 것이 아니라, 이해관계자가 의사결정 결과의 합리적 근거를 인식할 수 있도록 정보 전달 체계, 로그 관리, 문서화 절차를 포함하는 포괄적 메커니즘을 요구한다는 점에서 의의가 크다[15].

DGTSA8_2025_v21n3_53_4_f0001.png 이미지

<그림 2> ISO/IEC 42001 핵심 요소[16]

<표 1> AI 고유 특성의 유형 설명

DGTSA8_2025_v21n3_53_5_t0001.png 이미지

Annex C.3.2에서는 설명 가능성과 투명성의 부재가 신뢰도 저하, 책임성 상실, 법적 분쟁 등 다층적 위험을 유발할 수 있음을 경고한다. 이를 방지하기 위해 조직은 내부 감사 절차, 설명 기록 로그, 외부 검증 메커니즘을 제도적으로 내재화해야 하며, 이는 기술적 대응을 넘어 선 거버넌스 차원의 문제임을 분명히 하고 있다[17].

설명 가능성과 투명성을 확보하기 위한 접근은 단일한 기술 구현만으로 달성되지 않는다. 모델 해석 도구(XAI), 사용자 맞춤형 인터페이스 설계, 정책·절차의 체계적 문서화, 의사결정 과정의 추적·기록 관리가 유기적으로 결합되어야 한다. 이러한 관점에서 설명 가능성과 투명성은 조직의 설계-운영-검증 구조 전반에 통합적으로 내재화되어야 하며, 이는 곧 경영시스템적 접근을 통해서만 실질적으로 구현될 수 있다.

이러한 설명 가능성과 투명성의 확보는 NIST AI RMF 1.0에서도 강조되고 있으며, 해당 프레임워크는 투명성과 문서화(Transparency and Documentation)를 조직 전반의 리스크 식별 및 책임성 확보를 위한 필수 요건으로 정의하고 있다[18]. 기존 윤리 거버넌스 연구 역시 설명가능성과 책임성을 AI 신뢰성 확보의 핵심 조건으로 규정하며, ISO/IEC 42001의 위험 관리 체계와 상호 보완적 역할을 수행할 수 있음을 강조한다. 이러한 논의는 곧 설명 가능성과 투명성이 단순한 기술적 구현을 넘어 조직 전략과 운영 전반에 내재화되어야 하는 핵심 경영 요소임을 보여주며, 국제표준 역시 이를 명확히 제시하고 있다.

OECD는 AI 시스템의 운영에서 투명성을 확보하기 위해 구조, 데이터 흐름, 판단 근거를 일반 사용자에게 명확히 설명할 수 있어야 한다는 점을 강조한다. 특히 “Humans should be able to understand and challenge outcomes.”라는 원칙을 통해, 설명 가능성을 단순한 기술적 특성이 아니라 사회적 정당성과 민주적 책임성을 보장하는 규범적 기준으로 제시하고 있다[19].

이러한 국제적 논의는 공통적으로, 설명 가능성과 투명성이 기술 구현 수준을 넘어 조직의 경영 시스템 전반에 내재화되어야 하는 핵심 관리 요소임을 시사한다. 결국 이는 ISO/IEC 42001이 지향하는 인공지능 경영시스템(AIMS)의 통합적 접근과 긴밀하게 맞물리며, AI의 신뢰성과 책임성을 제도적으로 보장할 수 있는 전략적 통제 체계의 필요성을 뒷받침한다.

ISO/IEC 42001:2023은 이러한 요구를 제도적으로 구현할 수 있는 통합 프레임워크를 제시한다. <그림 3>에서 확인할 수 있듯, AIMS는 위험 평가, 영향 평가, 데이터 보호, 보안, 통제 목표 등 다양한 통제 영역이 상호 연계된 구조를 통해 운영된다. 이는 AI 시스템의 전체 생애주기에서 설명 가능성과 투명성이 실질적으로 작동할 수 있는 토대를 마련하며, 결과적으로 ISO/IEC 42001이 기술적 관리 표준을 넘어 전략적 경영 시스템으로 확장되는 전환점임을 시각적으로 입증한다.

DGTSA8_2025_v21n3_53_6_f0001.png 이미지

<그림 3> ISO/IEC 42001(인공지능경영시스템) 구조[20]

Ⅲ. ISO/IEC 42001의 구조 및 요구사항 분석

ISO/IEC 42001:2023은 인공지능(Artificial Intelligence, AI) 기술의 발전과 활용에 따라 증가하는 위험성과 사회적 책임 요구에 대응하기 위해 제정된 최초의 국제 표준으로, 조직의 AI 관리 시스템(Artificial Intelligence Management System, AIMS)에 관한 체계적인 요구사항을 명시하고 있다[21]. 이 표준은 조직이 AI 시스템의 전체 생애주기, 즉 기획·설계·개발·검증·운영·폐기 단계에 걸쳐 윤리적 책임과 기술적 신뢰성을 확보할 수 있도록 경영시스템적 접근을 요구한다. 특히, AI 시스템은 기존 IT 시스템과 달리 예측 불가능성, 자율성, 비가시성 등 고유한 속성을 지니고 있으며, ISO/IEC 42001은 조직이 이러한 특성을 반영하여 제도적 통제 체계를 수립할 수 있도록 Clause 4.1 및 Annex C.3에서 구조화된 지침을 제공하고 있다[22].

ISO/IEC 42001은 ISO 경영시스템 표준군의 통합을 가능하게 하는 고수준 구조(High-Level Structure, HLS)를 기반으로 구성되어 있으며, 품질경영시스템(ISO 9001), 정보보호경영시스템(ISO/IEC 27001) 등과의 구조적 정합성을 유지한다[2]. 이를 통해 조직은 기존 경영시스템 위에 AI 시스템 특유의 리스크 및 요구 사항을 계층적으로 통합할 수 있으며, 부서 간 단절 없이 전체 조직 차원에서 일관된 거버넌스 체계를 구축할 수 있다. Clause 4부터 Clause 10까지의 주요 조항은 조직의 상황 이해, 리더십, 기획, 지원, 운영, 성과 평가 및 개선의 경영 프로세스를 일관되게 반영하고 있다. 각 조항은 상호 연결된 흐름 속에서 AI 시스템의 운영 위험성과 외부 요구사항에 대응할 수 있도록 유기적으로 설계되어 있다.

ISO/IEC 42001의 실질적인 도입을 위해서는 조직이 각 조항의 적용 대상과 요구 목적을 명확히 이해하고, 자사 AI 시스템의 기술적 특성, 서비스 환경, 이해관계자 요건 등을 반영한 경영시스템을 수립하는 것이 필수적이다. 특히, 고위험 AI 시스템 또는 사회적 영향력이 큰 AI 서비스의 경우, ISO/IEC 42001은 단순한 기술 준수를 넘어 윤리적·법적 책임을 수반하는 통합 관리 체계로 기능하게 된다. 조직은 이를 통해 국제적으로 신뢰 가능한 AI 운영 체계를 마련하고, 지속가능한 AI 활용 기반을 확보할 수 있다.

3.1 표준의 구조 요약 (Clause 4–10)

인공지능 경영시스템의 표준은 조직이 AI를 책임 있게 관리하기 위한 ‘상황 이해–리더십–계획–운영–평가–개선’의 경영시스템 구조를 바탕으로, AI 특유의 자율성· 불확정성·비가시성 등의 특성을 제도적으로 수용할 수 있도록 구성되어 있다.

Clause 4. 조직의 상황은 경영시스템의 적용 범위를 결정하는 데 있어 조직의 목적, 전략, 기술 성숙도뿐만 아니라 사회문화적 환경과 법제도적 맥락까지 고려하도록 요구한다. 조직은 자사의 AI 시스템이 어떤 외부 영향을 받을 수 있는지를 식별하고, 내부 이해관계자(개발자, 감사자 등) 및 외부 이해관계자(사용자, 규제기관 등)의 기대를 통합하여 문서화해야 한다[23].

Clause 5. 리더십은 최고경영자가 단순한 후원자가 아니라 명시적 책무를 지닌 실행 책임자임을 전제로 한다. 조직은 AI 윤리 원칙을 공식 정책화하고, 고위험 시스템에 대해서는 전사적 수준에서 의사결정 책임을 정의해야 한다. 책임 추적성과 내부 보고체계, 의사결정 로직의 해석 가능성 확보가 핵심이다[24].

Clause 6. 계획은 AI 시스템 도입 전 단계에서 위험과 기회를 체계적으로 식별하고, 이를 정책적 목표로 전환시키는 과정을 요구한다. 예컨대, 개인정보 유출 가능성이나 알고리즘 편향 가능성이 식별될 경우, 이에 대한 대응 전략과 수용 가능한 리스크 한계선을 사전에 정의해야 한다. Annex B는 AI 시스템의 리스크 평가 및 대응을 위한 통제 항목 구현 예시를 제공하며, 조직이 자율적으로 영향 평가 기준 및 위험 허용 기준을 설정할 수 있도록 지원하는 참고 가이드라인으로 활용된다[25].

Clause 7. 지원은 문서화된 정보관리체계를 기반으로 자원의 배분, 구성원 역량관리, 내부 커뮤니케이션 체계가 상호 연결되도록 요구한다. Annex B에서는 AI 윤리원칙, 데이터 품질 관리, 오류 대응 역량 등을 포함한 실무적 역량 관리와 교육훈련 체계 설계를 위한 구현 가이드를 제공하고 있다[26].

Clause 8. 운영은 AI 시스템의 구현 및 적용 과정에서 투명성과 일관성을 확보하는 데 중점을 둔다. 조직은 AI 모델 개발 이력, 학습 데이터의 출처 및 품질, 공급자의 윤리 준수 여부를 주기적으로 검토해야 하며, 고위험 AI 시스템의 경우 외부 독립 검증이 권고된다[27].

DGTSA8_2025_v21n3_53_7_f0001.png 이미지

<그림 4> ISO/IEC 42001 (인공지능 경영시스템) 목차[20]

Clause 9와 10. 성과 평가와 개선은 경영시스템의 효과성을 평가하고, 지속적 개선의 근거 자료를 확보하는데 목적이 있다. 조직은 예측 실패율, 사용자 민원 빈도, 편향성 지표 등을 포함한 KPI를 설정하여 운영성과를 분석하고, 반복되는 문제에 대해 구조적 개선계획을 수립해야 한다. Annex B는 모니터링 지표 설계, 시정조치 체계 문서화 등을 위한 표준 항목을 제시하고 있다[28].

<표 2> ISO/IEC 42001 핵심 요구 사항

DGTSA8_2025_v21n3_53_8_t0001.png 이미지

Ⅳ. ISO/IEC 42001과 기존 경영시스템 표준의 비교 분석

4.1 구조적 공통 기반과 확장성

ISO/IEC 42001:2023은 인공지능(AI) 관리 시스템을 위한 최초의 국제 표준으로서, 기존의 정보보호(ISO/IEC 27001), 개인정보관리(ISO/IEC 27701), 품질경영(ISO 9001) 등과 구조적으로 유사한 고수준 구조(High-Level Structure, HLS)를 채택하고 있다. 이는 조직이 다수의 관리 시스템을 통합하여 운영할 수 있도록 설계된 공통된 체계이다[29]. 이러한 구조적 통일성은 관리 효율성을 제고할 뿐 아니라, 신규로 도입되는 AI 관련 규범이 조직 내에서 저항 없이 흡수될 수 있도록 기반을 제공한다.

ISO/IEC 42001은 단순히 기존 프레임워크의 확장판이 아니다. AI의 자율성, 비결정성, 사회적 민감성 등 기존 시스템과는 구별되는 속성을 고려하여 특별한 요구사항과 통제를 제시하고 있다. ISO/IEC 27001은 고정된 자산 중심의 위험 식별을 기반으로 하지만, ISO/IEC 42001은 AI 모델의 행동 예측 불가능성과 관련된 동적 위험 요소까지 포함하여 다룬다. NIST는 이러한 위험을 관리하기 위해 AI 시스템 전주기적 접근, 문화적 편향 인식, 사용자 맥락 기반 설명 가능성 확보 등의 대응을 강조하고 있다[30].

ISO/IEC 27701은 개인정보 보호 강화를 위한 확장형 표준이지만, AI 시스템이 다루는 데이터의 대규모 성과 알고리즘적 활용 맥락까지 고려하지는 못한다. OECD는 AI 시스템이 인간의 권리와 사회적 맥락에 미치는 영향을 평가할 필요성을 강조하며, 단순 기술적 설명을 넘어 ‘목적 지향 최적화 투명성(optimization transparency)’ 등 결과 기반의 거버넌스 패러다임을 제시한다[31].

ISO/IEC 42001은 Annex B에서 실무적인 적용 예시를 상세히 제공함으로써, 조직이 추상적 요구사항을 실질적인 절차와 문서화로 전환할 수 있도록 지원한다. Clause 6~7의 계획 및 지원 섹션에서는 AI 리스크 및 기회 식별, 리스크 허용 기준 설정, 구성원 역량관리 방안 등의 이행 체계를 요구하며, Annex B를 통해 이에 대한 실무적 가이드를 제공하여 조직의 이행 부담을 완화한다[32].

<표 3>은 ISO/IEC 42001과 기존 주요 경영 시스템 간의 구조적 구성 및 주요 비교 항목을 통합 정리한 것이다.

<표 3> ISO/IEC 42001, 27001, 27701 비교 분석

DGTSA8_2025_v21n3_53_9_t0001.png 이미지

4.2 AI 고유 리스크에 대한 차별적 대응

AI 시스템은 기존 정보 시스템과 비교하여 자율성, 비결정성, 비가시성이라는 고유한 특성을 내포하고 있으며, 이러한 특성으로 인해 전통적인 정보보호 및 품질관리 체계만으로는 포괄할 수 없는 새로운 유형의 리스크를 발생시킨다[33]. ISO/IEC 42001은 이러한 AI 특유의 리스크를 체계적으로 식별하고, 이를 관리하기 위한 차별화된 경영 통제 구조(AI Management System, AIMS)의 수립을 요구한다.

AI 시스템은 학습 데이터의 편향성(bias)과 알고리즘 설계상의 오류에 따라 예측 결과의 공정성(fairness)과 설명 가능성(explainability)이 심각하게 저해될 수 있다. 특히, 생성형 AI와 같은 비지도 학습 기반 시스템은 사전에 정의된 판단 기준 없이 동작하며, 사용자 개입 없이 새로운 정보를 생성하는 특성으로 인해 설명 책임(accountability)의 공백이 발생할 가능성이 높다.

이와 관련하여 NIST는 다층적 설명 전략(multi-level explanation strategy)과 설명성 지표(explainability metrics)를 도입하고, 이해관계자별로 맞춤화된 정보 제공 체계를 수립하는 것이 설명 가능성과 책임성 확보를 위한 핵심 대응 전략임을 강조하고 있다[34].

ISO/IEC 42001은 Clause 6.1.2–6.1.4에서 AI 시스템 영향평가(AIA)를 수행할 것을 규정하며, 단순한 기술적 위험 평가를 넘어서 인간의 권리, 사회적 영향, 법적 정합성까지 포함하는 다층적 접근을 요구한다[35]. 또한 Annex C에서는 리스크의 원천(risk sources)을 기술 성숙도, 사회적 민감도, 자동화 수준, 데이터 품질 등으로 분류하여, 조직이 자사 AI 시스템의 성격에 맞게 선제적으로 분석할 수 있도록 지원한다.

이와 같은 차별화된 리스크 프레임워크는 조직이 AI 시스템 도입에 앞서 설계 단계에서부터 리스크 완화를 위한 기술적·제도적 수단을 반영하도록 유도하며, 결과적으로 AI 시스템의 사회적 수용성과 윤리적 책임성을 제고하는 데 기여한다.

<표 4> AI 시스템 리스크 유형과 ISO/IEC 42001 대응 항목

DGTSA8_2025_v21n3_53_10_t0001.png 이미지

4.3 Annex 구조의 실무적 차별성과 적용 지침의 심화

ISO/IEC 42001은 Annex A와 Annex B를 통해 경영 시스템 통제수단(Control Objectives and Controls)을 구체적으로 명시하고 있으며, 이 중 Annex B는 각 통제 항목별 적용 방식과 해석 기준을 실무적으로 안내하는 도구로 활용된다. Annex B는 문서화된 정책, 리스크 평가, 공급자 관리, 영향평가 등 통제 항목에 대한 실천 방안을 제공하며, 조직이 자율적 상황에 맞는 대응 전략을 수립할 수 있도록 지원한다[36]. 예를 들어, Annex B.5는 AI 시스템 영향평가 수행 시 정량적 지표뿐 아니라 인권 침해 가능성, 법적 지위 변화, 사회적 불균형 심화 등 정성적 평가를 병행할 것을 권장하고 있으며, Annex B.6에서는 지속적인 성능 모니터링과 운영 변경 관리(Change Management) 체계를 통해 개념 드리프트(Concept Drift)와 데이터 드리프트(Data Drift)를 조기에 감지할 수 있는 점검 체계의 운영을 요구한다[37]. 이러한 Annex 구조는 기존 ISO/IEC 27001 및 27701에서 제공되지 않던 AI 특유의 관리 포인트를 체계화한 것으로, 조직은 이를 통해 AI 시스템의 신뢰성과 투명성을 동시에 확보할 수 있는 내재적 제도를 구축할 수 있다.

V. 조직 적용 관점에서의 운영 방안

ISO/IEC 42001:2023은 인공지능(AI) 시스템의 설계, 개발, 운영, 종료 전 과정에서 조직이 책임성과 투명성을 확보할 수 있도록 구성된 국제 표준이다. 해당 표준은 단순한 기술 지침이 아니라 조직 운영 전반에 영향을 미치는 포괄적 거버넌스 체계를 제시한다. 조직이 ISO/IEC 42001:2023 기반의 인공지능 경영시스템(AIMS)을 도입할 때는 AI 시스템이 기존 정보보호 및 품질경영 체계와는 본질적으로 상이한 관리 속성을 요구한다는 점을 충분히 고려해야 한다. AIMS는 단순한 규정 준수를 넘어, 조직 전반의 전략 수립, 위험 통제, 윤리 기준 확립, 인력 역량 강화, 공급자 관리 등 복합적 요소가 연계된 운영 구조로 확장되어야 한다. 특히, AI 모델의 설명가능성 확보, 사회적 수용성 제고, 리스크 감수 기준의 정량화, 그리고 지속적 성능 검증을 위한 피드백 루프 설계 등은 AIMS를 설계하고 실행하는 조직이 반드시 고도화해야 할 요소로 평가된다.

조직은 경영시스템의 적용 범위를 정의할 때 단순히 기술적인 경계를 설정하는 것을 넘어, AI 기술이 도입· 활용되는 모든 프로세스를 전사적 차원에서 식별하고 관리해야 한다. Clause 4.3에서는 이러한 범위를 규정할 것을 요구하며, 조직은 AI의 역할이 반영된 서비스 구조, 제품 개발 흐름, 의사결정 과정 전반을 재설계하여 관리 시스템과 연계해야 한다[38].

최고경영자의 리더십은 AI 관리 시스템의 실질적 운영과 정합성을 보장하는 핵심 요소이다. Clause 5.3은 최고경영자가 역할과 책임의 분장을 명확히 지정하고 내부 전파하도록 요구하며, 이는 단순한 승인 행위를 넘어 고위험 AI 시스템에 대한 윤리성과 투명성 보증을 실현하는 지배 구조로 연결된다. 특히 각 부서장과 기술책임자에게 실질적 자율성과 책임을 위임하는 구조가 요구된다[39].

Clause 6.1.4에서는 AI 시스템에 대한 영향평가(AIA)를 수행할 것을 명시하고 있다. 이때 단일화된 평가 항목이 아니라 사회적 수용성, 법적 정합성, 윤리적 책임 등 다양한 측면을 통합한 다층적 분석 체계를 운영해야 하며, AIA 수행은 내부 기술검증팀과 외부 전문가, 법무 부서가 협력하는 다학제적 검증위원회 방식이 효과적이다. 또한 Annex B의 세부 가이드는 정량·정성 평가 항목의 체계화와 위험 허용 기준의 설정 방식을 함께 제시하고 있다[40].

AI 시스템의 실행 이후 단계에서는 Clause 9~10에 따라 성능 분석, 모니터링, 내부감사, 시정조치 체계를 통해 지속적 개선이 이뤄져야 한다. 운영 중 발생하는 편향, 기능저하, 설명불가능한 판단 등은 데이터 기반 분석 체계를 통해 사전 감지되어야 하며, 이를 위한 KPI 및 모니터링 구조는 Annex B.6을 통해 정형화되어 있다. 이러한 순환형 검토 체계는 조직 내 AI의 거버넌스를 강화하고 신뢰성을 유지하는 데 핵심적인 역할을 수행한다[41].

조직은 AI 시스템이 기존의 정보보호, 품질경영 시스템과는 다른 형태의 통제를 요구한다는 점을 인식해야 하며, ISO/IEC 42001을 기반으로 하는 AIMS(AI Management System)는 개별 시스템 단위에서의 통제뿐 아니라, 전사적 전략 및 윤리적 통제 수준까지 포괄하는 구조로 설계되어야 한다. 이는 과거의 '객체 중심' 보안통제에서 '책임 기반' 관리 모델로의 전환을 의미하며, AI 기술 특유의 자율성과 비결정성을 통합적으로 수용할 수 있는 유일한 프레임워크로 기능한다.

ISO/IEC 42001은 제정 직후부터 국제적으로 빠르게 주목받으며, 실제 제도적 맥락 속에서 도입 논의가 활발히 전개되고 있다. 유럽연합은 2024년 유럽연합 인공지능 규제법(EU AI Act)를 통해 고위험 AI 시스템에 대해 투명성·설명 가능성 확보를 법적 의무로 규정하였고, ISO/IEC 42001은 이러한 규제 준수를 위한 실질적 이행 프레임워크로 활용될 수 있다는 점에서 의미가 크다. 미국 역시 NIST의 AI Risk Management Framework 1.0을 통해 ISO/IEC 42001과 상호 보완적인 위험 관리 접근을 제시하고 있으며, 연방정부 조달 사업에서 AI 거버넌스 요건을 반영하는 사례가 점차 확대되고 있다.

국내에서도 국가기술표준원을 중심으로 ISO/IEC 42001의 KS 표준 채택이 논의되고 있으며, 금융·의료· 방위산업 등 규제 민감 산업을 대상으로 한 도입 타당성 검토 보고서가 발간되었다. 이는 개인정보보호법, 정보통신망법 등 기존 법제와의 정합성을 검토하는 동시에, ISO/IEC 42001이 기업의 컴플라이언스 준수와 위험 관리 체계 강화를 동시에 달성할 수 있는 관리 시스템으로 활용될 수 있음을 시사한다.

VI. 결론 및 시사점

ISO/IEC 42001:2023은 인공지능(AI) 기술의 급속한 확산과 함께 제기된 기술적 불확실성, 윤리적 책임, 사회적 수용성 문제에 대응하기 위해 국제표준화기구(ISO)와 국제전기표준회의(IEC)가 공동으로 제정한 최초의 인공지능 관리시스템(AI Management System, AIMS) 표준이다. 이 표준은 기존의 정보보호, 개인정보보호, 품질경영 시스템과 호환되는 고수준 구조(High-Level Structure, HLS)를 유지하면서도, AI 기술의 자율성, 불확정성, 설명불가능성이라는 고유 특성을 경영시스템 차원에서 제도화하고 통제하는 데 중점을 둔다.

ISO/IEC 42001이 제시하는 핵심적 시사점은 AI를 단순한 기술 자산이 아닌 조직의 전략적 위험 요인 및 경쟁 우위의 원천으로 간주하는 새로운 경영 패러다임의 전환이다. AI 시스템이 자율적으로 데이터를 수집·분석·결정하는 현시점에서 조직은 시스템 설계 초기단계에서 부터 사회적 책임성과 법적 정합성, 윤리적 판단기준을 내재화할 수 있는 운영 프레임워크를 갖추어야 한다. 특히 Clause 6.1.4에서 강조되는 AI 영향평가(AIA)는 단순한 기술 리스크 대응을 넘어서, AI가 초래할 수 있는 사회적 차별, 개인정보 침해, 신뢰 손실 등 비정량적 리스크를 평가하고 이를 정량화할 수 있는 다학제적 분석 체계 수립을 요구한다[42].

또한, 조직은 ISO/IEC 42001을 통해 기존 관리시스템들과의 통합을 추구할 수 있으며, Clause 4부터 10까지의 모듈형 구성은 품질경영(ISO 9001), 정보보호(ISO/IEC 27001), 개인정보관리(ISO/IEC 27701) 등과 연계 가능한 구조를 제공한다. 이러한 구조적 통합성은 인증 부담을 최소화함과 동시에, 조직 전반의 문서관리, 감사체계, 시정조치 프로세스 등을 일원화할 수 있는 기반을 마련한다[43].

이 표준의 도입은 특히 AI의 사회적 수용성과 규제 적합성을 고려할 때 전략적으로 중요한 의의를 가진다. OECD는 2024년 개정된 AI 시스템 정의에서 'AI가 수행하는 결정이 인간의 삶, 권리, 안전에 중대한 영향을 미치는 경우'를 고위험 시스템으로 명확히 규정하고 있으며, 이에 따라 AI의 투명성과 설명가능성, 편향 제어, 외부 독립 검증의 필요성이 강조되고 있다[44]. ISO/IEC 42001은 Annex B를 통해 이러한 국제적 동향을 반영하며, AI 시스템 설계·개발·운용 전 과정에서 책임 추적성과 법적 정합성을 유지할 수 있는 실행 가이드를 제공한다[45].

AI 시스템이 점차 생성형 모델로 진화하고, 그로 인해 예상치 못한 판단 결과와 사회적 논란이 발생하는 사례가 증가하는 현실 속에서, 조직은 기술 혁신의 속도에 대응하면서도 책임 기반 거버넌스를 동시에 수립해야 한다. ISO/IEC 42001은 그 기준점이자 프레임워크로 기능하며, 단순한 인증을 넘어서 조직 내 AI 위험의 조기 탐지, 사전 예방, 사후 분석을 가능하게 하는 순환형 통제 체계를 제공한다. 특히 Clause 9와 10에서 강조되는 성능 평가 및 지속적 개선 메커니즘은 AI 시스템의 라이프 사이클 전반에 걸쳐 동적이고 반복 가능한 통제 구조를 설계할 수 있는 방법론을 내포하고 있다.

결론적으로, ISO/IEC 42001은 인공지능의 윤리적 사용, 기술적 안정성 확보, 사회적 수용성 제고라는 세 가지 축을 통합하여 AI 시대에 요구되는 책임 있는 경영체계를 수립할 수 있는 기반을 제공한다. 조직은 이를 단순한 인증 프레임워크가 아니라 전략적 경영 인프라로 인식하고, 최고경영진에서 실무자에 이르기까지 AI 윤리, 법적 기준, 데이터 거버넌스에 대한 이해와 실행 역량을 강화해야 한다. 이러한 맥락에서 ISO/IEC 42001은 기술적 신뢰성(trustworthiness)과 사회적 정당성(legitimacy)을 균형 있게 확보하는, 지속가능한 AI 활용 체계의 국제 표준으로 자리매김할 것이다.

ISO/IEC 42001은 단순한 규범 해석을 넘어 실제 제도적 환경 속에서 도입이 구체화되고 있다는 점에서 학문적·실무적 함의가 크다. EU와 미국을 비롯한 주요국의 규제·정책과의 연계 사례, 그리고 국내 법제와의 정합성 검토는 이 표준이 향후 글로벌 거버넌스와 기업 운영을 위한 실질적 지침으로 기능할 수 있음을 보여준다.

이러한 제도적 논의와 더불어, 경영학적 관점에서 축적된 지속가능경영(Sustainability Management) 연구는 기업이 경제적 성과를 넘어 환경적·사회적 책임을 적극적으로 수용할 때 장기적 성장 가능성이 제고된다는 점을 일관되게 강조한다. 특히 윤리경영과 사회공헌 활동은 회계투명성, 이해관계자 신뢰, 조직의 사회적 정당성 확보와 직결되는 핵심 요인으로 제시되어 왔다[46].

이는 곧 ISO/IEC 42001이 지향하는 사회적 수용성과 책임성 강화의 목표가 단순한 기술적 관리 요구를 넘어, 기업의 지속가능성과 글로벌 규범 정합성을 동시에 달성하기 위한 전략적 경영 인프라로 이해될 수 있음을 시사한다.

따라서 향후 연구에서는 해외 적용 사례의 축적과 국내 제도적 도입 과정을 종합적으로 분석함으로써 ISO/IEC 42001의 실효성과 확장 가능성을 보다 정밀하게 검증할 필요가 있다. 이와 동시에, 최근 ISO와 SDGs(지속가능발전목표) 간 네트워크 분석 연구는 ISO 표준이 글로벌 규제·정책을 넘어 ESG 경영을 촉진하는 실질적 도구로 기능할 수 있음을 보여주었으며, 이는 ISO/IEC 42001 연구가 지속가능성과 책임 있는 혁신 논의와 긴밀히 연계될 수 있음을 시사한다[47].

References

  1. OECD, Artificial Intelligence in Society, OECD Publishing, 2019, p.44.
  2. OECD, Artificial Intelligence in Society, OECD Publishing, 2019, p.87.
  3. NIST, Artificial Intelligence Risk Management Framework (AI RMF 1.0), National Institute of Standards and Technology, 2023, p.12.
  4. KISA, 인공지능(AI) 안전 및 보안 규범 분석 및 시사점, 한국인터넷진흥원, 2023, p.5.
  5. ISO/IEC, ISO/IEC 42001:2023 — Information Technology — Artificial Intelligence Management System, International Organization for Standardization, 2023, pp.7–8.
  6. NIST, Artificial Intelligence Risk Management Framework (AI RMF 1.0), National Institute of Standards and Technology, 2023, p.11.
  7. OECD, Artificial Intelligence in Society, OECD Publishing, 2019, p.3.
  8. OECD, Artificial Intelligence in Society, OECD Publishing, 2019, p.14.
  9. NIST, Artificial Intelligence Risk Management Framework (AI RMF 1.0), National Institute of Standards and Technology, 2023, p.16.
  10. NIST, Artificial Intelligence Risk Management Framework (AI RMF 1.0), National Institute of Standards and Technology, 2023, p.9.
  11. ISO/IEC, Information Security Management Systems — Requirements, ISO/IEC 27001:2022, 2022, p.5.
  12. NIST, Artificial Intelligence Risk Management Framework (AI RMF 1.0), National Institute of Standards and Technology, 2023, p.21.
  13. OECD, Artificial Intelligence in Society, OECD Publishing, 2019, p.42.
  14. ISO/IEC, ISO/IEC 42001:2023 — Information Technology — Artificial Intelligence Management System, International Organization for Standardization, 2023, p.6.
  15. ISO/IEC, ISO/IEC 42001:2023 — Information Technology — Artificial Intelligence Management System, International Organization for Standardization, 2023, p.46.
  16. KPMG, "ISO/IEC 42001 Certification: The Global Standard for AI Management Systems (AIMS)," https://assets.kpmg.com/content/dam/kpmgsites/ch/pdf/ISOIEC-42001-certification.pdf, 2023.05.
  17. ISO/IEC, ISO/IEC 42001:2023(E), Information Technology – Artificial Intelligence – Management System, ISO, 2023, p.47.
  18. NIST, Artificial Intelligence Risk Management Framework (AI RMF 1.0), National Institute of Standards and Technology, 2023, p.25.
  19. OECD, OECD Principles on Artificial Intelli gence, OECD Publishing, 2019, p.42.
  20. 국가기술표준원, "인공지능(AI) 경영시스템 국가 표준(KS) 제정 예고- 글로벌 AI 표준 요구사항 기 반으로 '25년 상반기 KS 완료," https://www.kats.go.kr/mobile/content.do?cmsid=482&skin=/mobile/&mode=view&page=&cid=24824, 2024.11.28.
  21. ISO/IEC, ISO/IEC 42001:2023 — Information Technology — Artificial Intelligence Management System, International Organization for Stand ardization, 2023, p.6.
  22. ISO/IEC, ISO/IEC 42001:2023(E), Information Technology – Artificial Intelligence – Management System, ISO, 2023, p.5, 41.
  23. ISO/IEC, ISO/IEC 42001:2023 — Information Technology — Artificial Intelligence Management System, International Organization for Standard ization, 2023, p.5.
  24. ISO/IEC, ISO/IEC 42001:2023 — Information Technology — Artificial Intelligence Management System, International Organization for Standard ization, 2023, p.7.
  25. ISO/IEC, ISO/IEC 42001:2023 — Information Technology — Artificial Intelligence Management System, International Organization for Standard ization, 2023, p.8.
  26. ISO/IEC, ISO/IEC 42001:2023 — Information Technology — Artificial Intelligence Management System, International Organization for Standard ization, 2023, p.11.
  27. ISO/IEC, ISO/IEC 42001:2023 — Information Technology — Artificial Intelligence Management System, International Organization for Standard ization, 2023, p.13.
  28. ISO/IEC, ISO/IEC 42001:2023 — Information Technology — Artificial Intelligence Management System, International Organization for Standard ization, 2023, pp.14-15.
  29. ISO/IEC, ISO/IEC 42001:2023 — Information Technology — Artificial Intelligence Management System, International Organization for Standard ization, 2023, p.6.
  30. NIST, Artificial Intelligence Risk Management Framework (AI RMF 1.0), National Institute of Standards and Technology, 2023, pp.15–18.
  31. OECD, Artificial Intelligence in Society, OECD Publishing, 2019, p.95.
  32. ISO/IEC, ISO/IEC 42001:2023 — Information Technology — Artificial Intelligence Management System, International Organization for Standard ization, Annex B, 2023, p.17.
  33. 국가기술표준원, KS X ISO/IEC TR 24028:2020, 정보 기술 — 인공지능 — 인공지능의 신뢰성 개요, 2023, pp. 3, 16-20.
  34. NIST, Artificial Intelligence Risk Management Framework (AI RMF 1.0), National Institute of Standards and Technology, 2023, pp.15–16.
  35. ISO/IEC, ISO/IEC 42001:2023 — Information Technology — Artificial Intelligence Management System, International Organization for Standard ization, Clause 6.1.2~6.1.4, 2023, pp.9-10.
  36. ISO/IEC, ISO/IEC 42001:2023 — Information Technology — Artificial Intelligence Management System, International Organization for Standard ization, Annex B.1, 2023, p.21.
  37. ISO/IEC, ISO/IEC 42001:2023 — Information Technology — Artificial Intelligence Management System, International Organization for Standard ization, Annex B.1~B6, 2023, pp.26-36.
  38. ISO/IEC, ISO/IEC 42001:2023 — Information Technology — Artificial Intelligence Management System, International Organization for Standard ization, Clause 4.3, 2023, p.6.
  39. ISO/IEC, ISO/IEC 42001:2023 — Information Technology — Artificial Intelligence Management System, International Organization for Standard ization, Clause 4.3, 2023, p.8.
  40. ISO/IEC, ISO/IEC 42001:2023 — Information Technology — Artificial Intelligence Management System, International Organization for Standard ization, Clause 6.1.4, 2023, p.10.
  41. ISO/IEC, ISO/IEC 42001:2023 — Information Technology — Artificial Intelligence Management System, International Organization for Standard ization, Clause 9~10, 2023, pp.14-16.
  42. ISO/IEC, ISO/IEC 42001:2023 — Information Technology — Artificial Intelligence Management System, International Organization for Standard ization, Clause 6.1.4, 2023, p.10.
  43. ISO/IEC, ISO/IEC 42001:2023 — Information Technology — Artificial Intelligence Management System, International Organization for Standardization, Introduction, 2023, pp.6-7.
  44. OECD, "AI, Data Governance and Privacy," OECD Publishing, 2024. https://www.oecd.org/content/dam/oecd/en/publications/reports/2024/06/ai-data-governance-and-privacy_2ac13a42/2476b1a4-en.pdf, 2024.06.
  45. ISO/IEC, ISO/IEC 42001:2023 — Information Technology — Artificial Intelligence Management System, International Organization for Standard ization, Annex B.1~B6, 2023, pp.26-36.
  46. 이주용, "디지털 전환시대에 중소제조기업의 품질 경영시스템이 경영성과에 미치는 영향: 리더십 매개효과를 중심으로," (사)디지털산업정보학회 논문지, 제18권, 제1호, 2022, pp.163-177.
  47. 윤재석・김진민・구상회, "ISO 국제표준과 지속가능발전목표의 연관성에 대한 텍스트 마이닝 기반 분석," (사)디지털산업정보학회 논문지, 제21권, 제2호, 2025, pp.85-96.