AI Workforce Governance 전환 제안

0. Executive Summary

AI 활용의 병목은 보안이 과도해서가 아니라, AI를 '중앙에서 허용 여부를 심사하는 기술 리스크'로만 관리하는 운영구조와 '업무를 수행하는 디지털 노동력'이라는 AI의 실제 성격 간 미스매치에서 발생함

• AI는 이미 문서 작성, 분석, 판단 보조를 수행하는 AI Agent에서 감지·판단·제어를 수행하는 Physical AI로 확장 중이며, 조직 운영 관점에서 양자는 모두 역할을 부여받고 사람과 협업하며 감독이 필요한 디지털 노동력(AI Workforce) 으로 이해하는 것이 타당함
• 차단·허용의 이분법적 통제는 사용을 막는 것이 아니라 가시권 밖의 비공식 사용(Shadow AI)으로 밀어낼 뿐이며, 이는 보안조직이 가장 우려하는 시나리오를 오히려 키우는 역설을 초래함이 글로벌 데이터로 확인됨
• 따라서 과제는 "AI를 더 막을 것인가"가 아니라 "역할과 위험등급에 따라 어떻게 안전하게 더 빨리 배치할 것인가" 이며, 이를 위해 IT 단독 통제 모델에서 HR-IT 공동 거버넌스 모델로의 전환이 필요함
• 이 전환은 IT(DX전략실)에는 건별 심사 부담과 단독 책임 구조의 해소를, HR에는 디지털 노동력 포트폴리오 설계라는 신규 주도권을, 현업에는 활용 속도를 제공하는 3자 윈윈 구조로 설계 가능하다는 판단
• 실행은 신규 조직 신설 없이 경영층의 단순한 3건 결정(HR-IT 공동 워킹그룹 발족, HR 내 AI Workforce 설계 기능 지정, 에이전트 도입 절차의 "AI 채용 프로세스" 전환)으로 즉시 착수 가능하며, 90일 단위 Quick Win으로 성과를 증명하며 확산하는 경로를 제안함. (상세: 10장)
• 특히 POSCO는 AWS Bedrock 기반 환경과 P-GPT 등 공식 인프라를 이미 확보하고 있어, 기 승인 환경 위에서 최소 단위 부서가 현업 에이전트를 직접 만들고 부서 내로 한정 운영하는 "부서 스코프 에이전트 환경" 을 추가 투자 없이 즉시 제공 가능함. (상세: 7장)

---

1. 검토 배경: 문제의 재정의

지금 필요한 질문은 "보안을 완화할 것인가"가 아니라 "운영모델을 재설계할 것인가"임

• POSCO그룹을 포함한 대부분 기업의 AI 운영은 도구 사용 허용 여부 판단, 외부 서비스 차단, 보안 예외 승인, 제한적 파일럿 등 초기 통제 프레임에 머물러 있는 상황. 이 방식은 소수의 AI 도입을 관리할 때는 유효하나, AI가 전사적 업무 수행 수단이 된 현 시점에서는 필연적으로 승인 적체와 활용 지연을 유발함
• 이 구조에서는 누가 승인권자가 되더라도 보수적 판단이 합리적 선택이 됨. 활용 확대의 성과는 현업에 귀속되는 반면, 사고 발생 시 책임은 승인 조직에 단독 귀속되는 책임-보상의 비대칭 구조이기 때문. 즉 문제는 특정 조직의 태도가 아니라 구조 설계의 문제라는 인식이 출발점이 되어야 함 견해
• 보안과 활용은 본질적 대립 항목이 아니며, 적절한 거버넌스가 부재할 때만 대립함. 운영체계를 재설계하면 보안 수준을 유지하면서 활용 속도를 높이는 것이 가능하다는 판단

---

2. 현상 진단: 통제 집중 구조의 역설 Fact

차단 중심 통제는 AI 사용을 막지 못하고 '보이지 않는 사용'으로 전환시킬 뿐이며, 이것이 실제 보안 리스크의 최대 원천이 되고 있음

Shadow AI 확산 실태

• Microsoft·LinkedIn Work Trend Index(2024) 기준, AI 사용 직장인의 78%가 회사 승인 없이 개인 AI 도구를 업무에 활용(BYOAI: Bring Your Own AI)하는 것으로 조사됨
• IBM Cost of Data Breach Report(2025) 기준, 기업 5곳 중 1곳(약 20%)이 비승인 AI 사용에 연계된 보안 사고를 이미 경험하였고, Shadow AI 연계 유출 사고는 평균 사고 비용에 약 67만 달러를 추가시키는 것으로 분석됨
• 직원 상당수가 불이익 우려로 AI 사용 사실 자체를 숨기는 행태(약 48–57%, 복수 조사)가 확인되어, 통제 강화가 사용 중단이 아닌 사용 은폐로 귀결되고 있음이 시사됨

확산 속도 전망 (Gartner)

• 2026년 말까지 기업용 애플리케이션의 40%가 task-specific AI 에이전트를 내장할 전망(2025년 5% 미만 대비 급증)
• 2029년까지 지식근로자의 50% 이상이 AI 에이전트를 활용·감독·생성하는 역량을 요구받을 전망
• 단, 에이전틱 AI 프로젝트의 40% 이상이 2027년 말까지 중단될 것으로 예측되며 그 사유는 비용 급증, 불분명한 가치, 불충분한 리스크 통제임. 즉 거버넌스 없는 무분별한 확산 역시 실패 경로라는 점에서, 본 제안은 '규제 완화'가 아닌 '관리체계 고도화'를 지향함

진단 요약 견해

• 공식 환경이 느리고 불편할수록 비공식 사용이 늘고, 비공식 사용이 늘수록 보안조직의 통제 부담과 사고 리스크가 커지는 악순환 구조가 형성됨
• 따라서 "빠르고 안전한 공식 환경의 제공"이 곧 가장 효과적인 보안 강화 수단이라는 역발상이 필요. 이는 보안 기준의 후퇴가 아니라 통제 방식의 현대화에 해당함

---

3. 프레임 전환: AI를 '기술 자산'이 아닌 'Workforce'로

AI는 기능이 아니라 역할을 맡아 반복적으로 일하는 운영 주체이며, 관리 단위를 '시스템'에서 '인력'으로 전환할 때 HR의 역할이 필연적으로 요구됨

AI Workforce 정의

• AI Workforce란 조직 내에서 명시된 역할, 권한, 감독 체계 하에 업무를 수행하는 디지털 노동력의 총칭이며, 다음 세 유형을 포괄함

• 이 관점에서 AI 관리는 허용/차단의 문제가 아니라 어떤 역할을 맡기고, 어디까지 권한을 주며, 누가 감독하고, 어떤 기준으로 평가·재인증·퇴출할 것인가의 문제로 전환됨. 이는 전통적으로 HR이 사람에 대해 수행해 온 관리 체계와 동형의 구조임

선행 사례: Moderna의 HR-IT 통합 Fact

• Moderna는 HR과 IT 부서를 통합하여 Chief People and Digital Technology Officer(전 CHRO Tracey Franklin) 단일 리더십을 신설하였고, 사내 커스텀 GPT 약 3,000개와 임직원 약 5,800명을 하나의 워크포스 체계에서 통합 관리하는 모델을 운영 중
• Franklin은 "어떤 일을 사람이 하고 어떤 일을 기술로 자동화할지를 기준으로 전사 팀을 재설계"하고 있다고 밝힘. Deloitte Future of Work 리더는 이를 두고 "HR은 일을 알고 IT는 도구를 안다. 협업이어야만 한다"고 평가함
• 시사점: 글로벌 선도 기업은 이미 AI 도입을 IT 과제가 아닌 조직 설계(workforce design) 과제로 재정의하고 있으며, 이 흐름에서 HR이 AI 거버넌스의 공동 주체로 참여하는 것은 선택이 아닌 표준 경로가 되고 있음 견해

비유의 한계 (오독 방지를 위한 명시)

• AI Workforce 개념은 거버넌스 설계를 위한 운영 프레임이며, AI를 법적 인격이나 책임 주체로 보자는 의미가 아님. 모든 AI에는 반드시 인간 감독자와 오너 부서가 연결되어야 하며, 운영 결과에 대한 최종 책임은 사람과 조직에 귀속됨. 따라서 본 모델에서의 "책임 분산"은 책임의 실종이 아니라, 사고 시 책임 소재가 더 명확해지는 구조(AI별 감독자·오너·승인 이력이 Registry에 기록)를 의미함

---

4. 글로벌 기준: 위험등급 기반 관리가 표준 방향 Fact

'차단/허용 이분법 → 위험등급 차등 관리'는 본 보고서의 독자적 주장이 아니라 글로벌 규제·표준이 이미 수렴한 방향이며, 국내 AI기본법 대응 관점에서도 선제 구축이 필요함

• 공통 시사점: 글로벌 기준은 예외 없이 (1) 일률 통제가 아닌 위험등급별 차등 관리, (2) 사전 심사 중심이 아닌 수명주기 전체 관리, (3) 단일 조직이 아닌 거버넌스 체계에 의한 관리를 요구하고 있음. 본 제안의 운영모델은 이들 기준과 정합적으로 설계되어, 향후 인증·컴플라이언스 대응의 기반으로도 활용 가능함 견해

---

5. 목표 운영모델: HR-IT 공동 거버넌스

권한의 '이양'이 아니라 책임의 '공정한 재배분'이며, 각 조직이 더 높은 가치의 역할로 이동하는 구조임

5.1 설계 원칙 (4대 전환)

1. 허용/금지 중심 → 역할/등급 중심: 모든 AI를 동일 잣대로 심사하지 않고 위험도에 따라 관리 수준을 차등화함
2. 중앙 단독 책임 → 분산 공동 책임: 업무 적합성은 현업이, 인프라·보안은 IT가, 역할 설계는 HR이, 현장 안전은 EHS·OT·품질이 분담함
3. 사전 차단 중심 → 수명주기 관리 중심: 도입 심사뿐 아니라 배치 후 성과·리스크 모니터링과 재인증·퇴출까지 운영함
4. 보안의 veto 기능 → 설계 원칙화: 보안을 활용을 막는 거부권이 아니라, 어떤 환경에서 어느 수준까지 허용 가능한지를 정의하는 운영 기준으로 전환함

5.2 각 주체가 얻는 것 (윈윈 구조)

5.3 위험등급 기반 승인체계 (예시)

• 사전 통제의 완화분은 로그·감사·모니터링·kill switch 등 사후 운영 통제로 보완하여 전체 통제 총량은 유지하되 배치 속도를 개선하는 구조임

---

6. AI Workforce 생애주기 관리: JD 기반 운영

모든 AI는 사람의 직무기술서(JD)에 준하는 역할정의서를 갖고, 채용-수습-평가-승격-이동-퇴출의 수명주기로 관리됨. 이는 HR이 새로 배워야 할 업무가 아니라, HR이 수십 년간 사람에 대해 운영해 온 인사관리 체계를 적용 대상만 확장하는 것임

6.0 사람 인사관리와 AI Workforce 관리의 대응 구조

• 이 대응 구조가 시사하는 바: AI Workforce 관리의 운영 원리는 HR이 이미 보유한 제도적 역량과 동형이며, IT의 기술 역량과 결합될 때 완성됨. 어느 한쪽도 단독으로는 이 체계를 운영할 수 없다는 점이 HR-IT 공동 거버넌스의 근거임 견해

6.1 역할정의서(AI JD) 필수 항목

• 공통: 목적 / 업무 범위 / 권한 범위 / 금지 업무 / 입출력 / 감독자 / KPI / 위험등급
• Physical AI 추가: 작업 구역 / 설비 연동 / 비상정지 조건 / 안전 인터락 / 허용 속도·모드

6.2 수명주기 7단계 (요약)

6.3 공통 인프라: AI Workforce Registry + Governance Layer

• Registry: 전사 AI의 등록·분류·상태관리 대장 (이름, 소속, 유형, 오너, 감독자, 위험등급, 접근권한, 평가·사고 이력). POSRI에서 구축 중인 AI Mesh의 에이전트 표준·온톨로지 체계를 등록·연동 표준으로 활용 가능 견해
• Governance Layer: 정책 집행, 인증·접근통제, 감사 추적, 버전 관리, incident logging, kill switch 등 공통 통제 계층. 목적은 속도 저하가 아니라 각 부서가 안전하게 더 빨리 쓸 수 있게 하는 것임

---

7. POSCO 현황 진단과 즉시 실행 제안

POSCO는 공식 AI 인프라(AWS Bedrock 기반 환경, P-GPT, 사내 Git)를 이미 확보하고 있어 출발선이 앞서 있으며, 현재 부족한 것은 인프라가 아니라 그 위에서 "누가, 무엇을, 어느 범위까지 만들고 운영할 수 있는가"를 정하는 운영모델임

7.1 현 AI 환경 진단 사내 현황

• 진단 요약: 인프라와 보안 경계는 갖춰져 있음. 현재의 제약은 "환경이 없어서"가 아니라 "그 환경 위에서 에이전트를 만들고 운영할 권한 구조가 정의되지 않아서" 발생하는 것으로, 이는 추가 투자가 아닌 본 보고서가 제안하는 운영모델 재설계로 해소 가능한 영역임 견해

7.2 즉시 실행 제안: 부서 스코프 에이전트 빌딩 환경 견해

• 제안 내용: 최소 단위 부서가 P-GPT, Bedrock 등 기 승인된 공식 환경 위에서 자기 부서의 현업 에이전트를 직접 만들고, 그 운영 범위를 부서 내로 한정하는 "부서 스코프 에이전트 환경"을 우선 제공함

• 안전한 이유 (보안 관점의 설계 논리)

  • 기 승인 인프라 활용: 데이터가 이미 승인된 보안 경계(AWS, P-GPT) 밖으로 나가지 않음
  • 영향 범위 제한: 운영 스코프가 부서 내로 한정되어 사고 발생 시 영향 범위(blast radius)가 구조적으로 제한됨. 이는 5.3 위험등급 체계의 Low 등급 정의와 정확히 일치하며, 부서 자율 승인 + Registry 등록만으로 운영 가능
  • 확산 시 승급 심사: 타 부서 확산, 사내 데이터 연계 확대, 대외 접점 발생 시점에 Medium/High 등급 심사로 승급하는 구조. 처음부터 무겁게 심사하지 않되, 영향이 커질 때 통제가 비례하여 따라붙음

• 빠른 이유: 신규 인프라 투자 없이 권한·등급 정책의 결정만으로 시행 가능함. 특히 바이브코딩 도구 재오픈(7–8월 예정) 시점에 등급체계와 Registry 시행을 연계하면, 재오픈이 "통제 없는 확산"이 아니라 "등급체계 위의 확산" 이 되어 IT의 재검토 취지와도 정합함

• 운영 가드레일 (난립 방지)

  • 모든 부서 에이전트는 Registry 등록과 감독자(현업) 지정을 의무화하여, 담당자 이동 시 관리 주체가 없는 고아 에이전트 발생을 방지함
  • 표준 개발 템플릿과 가이드를 제공하여 품질 편차와 중복 개발을 최소화함
  • 저활용, 감독자 부재 에이전트는 6장의 수명주기에 따라 재인증 또는 종료 처리함. 자율은 방치가 아니라 등록·감독·수명주기라는 최소 규율 위의 자율임

7.3 Physical AI 확장을 전제한 설계

• POSCO그룹은 제철소·물류·설비라는 거대한 OT(Operational Technology) 환경을 보유하고 있어, AI 확장의 다음 단계는 필연적으로 비전 검사, 설비 이상 감지, AGV/AMR, 안전 감지 등 Physical AI 영역이 될 것으로 판단됨
• Physical AI는 현장 조건·설비·동선·안전 기준이 사업장마다 달라 중앙 IT 단독으로는 적합성 판단이 불가능하고, 반대로 현장 단독으로는 보안·아키텍처·변경 통제 관리가 어려움. 중앙과 현장의 공동 책임 구조가 아니면 어느 쪽도 속도와 안전을 동시에 충족할 수 없는 영역임
• 개념적으로 Physical AI는 사무직 직원보다 "자격을 보유한 현장 인력(licensed operator)" 에 가까움. 사람도 지게차 운전이나 위험 설비 조작에 면허·자격·안전교육이 요구되듯, Physical AI에도 작업 구역, 접근 가능 설비, 허용 속도·모드별 자격 등급을 부여하고, 라인 변경·설비 교체·레이아웃 변경 등 환경이 바뀌면 재인증을 거치게 하는 관리 모델이 적합함. 이 자격 개념을 적용하면 승격, 배치, 안전통제가 기존 현장 안전관리 체계와 자연스럽게 결합됨 견해
• 따라서 본 거버넌스 모델은 처음부터 EHS·OT·품질 조직의 참여 슬롯을 내장하여 설계하되, 1단계는 Knowledge AI(사무영역 에이전트)에서 운영체계를 검증·정착시키고, 이를 현장 영역으로 확장하는 경로가 리스크와 실행 가능성 측면에서 최적이라는 판단 견해
• 이 경로는 "사무영역에서 검증된 거버넌스의 현장 확장"이라는 명확한 서사를 제공하여, 생산현장 연계 AI에 대한 경영진의 안전 우려에 정면으로 답할 수 있는 구조임

---

8. 단계별 실행안

거창한 조직 신설이 아니라 '가시화 → 최소 운영체계 → 공동 거버넌스 → 확장'의 점진 경로로, 각 단계마다 주관 부서를 명확히 함

• 중앙 거버넌스 조직 명칭(안): AI Governance Office, Digital Workforce Office, Enterprise AI PMO 등. 신규 조직 신설이 부담될 경우 초기에는 HR-IT 공동 협의체 형태로 출발 가능 견해

---

9. 결론

• 현재의 AI 병목은 특정 조직의 보수성이 아니라, AI를 단일 기술통제 체계로 관리하려는 운영구조와 디지털 노동력이라는 AI의 실제 성격 간 미스매치에서 비롯됨
• Shadow AI 확산 데이터가 보여주듯, 차단 중심 통제는 보안을 강화하는 것이 아니라 리스크를 비가시 영역으로 이전시킬 뿐이며, 빠르고 안전한 공식 환경의 제공이 곧 최선의 보안 전략임
• EU AI Act, NIST AI RMF, ISO 42001, 국내 AI기본법이 공통으로 가리키는 방향은 위험등급 차등 관리와 수명주기 거버넌스이며, Moderna 사례가 보여주듯 그 운영 주체는 IT 단독이 아닌 HR-IT 공동 체제로 수렴하고 있음
• POSCO그룹의 경쟁력은 AI를 얼마나 많이 보유하느냐가 아니라 얼마나 안전하고 빠르게 배치하고 관리할 수 있느냐에서 결정될 것이며, 그 역량의 이름이 AI Workforce Governance임

---

10. 향후 과제: 공감대를 실행으로 전환하기 위한 결정 요청

본 보고서가 공감대 형성에 그치지 않으려면 경영층의 단순한 3건 결정으로 즉시 착수 가능해야 하며, 거버넌스 구축 과정 자체가 새로운 병목이 되지 않도록 "신규 절차 최소화, 기존 절차의 관점 전환"을 실행 원칙으로 함

10.1 경영층 의사결정 요청사항 (3건, 신규 조직 신설 불요)

10.2 부서별 90일 착수 과제 (Quick Win)

10.3 실행 원칙: 거버넌스가 새로운 병목이 되지 않기 위한 3가지 견해

• 결정은 심플하게: 경영층 결정은 위 3건으로 한정하고 세부 설계는 워킹그룹에 위임함. 추진 과정에서 추가 결재 사항을 양산하면 본 제안이 비판한 "승인 적체 구조"를 스스로 재생산하게 됨
• 절차 신설이 아닌 관점 전환: 새로운 심사 단계를 추가하는 것이 아니라, 기존 IT 심사 절차에서 역할·적합성 판단을 HR-현업으로 분리하는 것이므로 절차 총량은 동일하거나 오히려 감소함. "더 많은 통제"가 아니라 "더 적합한 주체에 의한 통제"가 본 제안의 본질임
• 작게 시작해 증명: 전사 일괄 적용이 아니라 인사문화실 보유 PoC 에이전트부터 적용하여 90일 내 가시적 성과를 확보한 후 확산함. 성공 사례 기반 확산이 제도 기반 강제보다 빠르고 저항이 적다는 판단

---

참고자료

1. Microsoft & LinkedIn, Work Trend Index (2024) — BYOAI 78%
2. IBM, Cost of a Data Breach Report (2025) — 비승인 AI 연계 사고 경험 기업 약 20%, Shadow AI 평균 사고 비용 +67만 달러
3. Gartner, Press Release: Task-Specific AI Agents in Enterprise Apps (2025.8) — 2026년 말 기업 앱의 40% 에이전트 내장 전망
4. Gartner, Press Release: Agentic AI Project Cancellations (2025.6) — 2027년 말까지 프로젝트 40% 이상 중단 전망
5. EU, Artificial Intelligence Act (2024) — 4단계 위험등급 체계
6. NIST, AI Risk Management Framework 1.0 (2023) — Govern·Map·Measure·Manage
7. ISO/IEC 42001:2023 — AI 경영시스템(AIMS) 국제표준
8. 대한민국, 인공지능 발전과 신뢰 기반 조성 등에 관한 기본법 (2026.1.22 시행)
9. Moderna HR-IT 통합 사례 — UNLEASH, diginomica, FlexOS 등 보도 (2025)