EU AI 법 12조: 로깅 및 감사 추적 요구 사항
EU AI 법의 12조는 고위험 AI 시스템이 시스템 수명 동안 이벤트를 자동으로 기록하도록 요구합니다. 이 페이지에서는 감사 추적에 반드시 포함해야 하는 내용, 보관 규칙 및 11조와 부록 IV의 기술 문서가 어떻게 상호 작용하는지 자세히 설명합니다.
최종 업데이트: July 4, 2026
12조에서 요구하는 사항
고위험 AI 시스템은 시스템 수명 동안 이벤트('로그')를 자동으로 기록할 수 있도록 설계되어야 합니다. 로그는 시장 출시 후 모니터링, 규제 검사 및 14조에 따른 인간 감독을 위한 충분한 추적성을 제공해야 합니다.
12조는 프로세스 문서만 요구하는 것이 아니라 기술적 기능을 요구하는 EU AI 법의 몇 안 되는 의무 사항 중 하나입니다. AI 시스템은 실제로 작동하는 동안 이러한 기록을 생성해야 합니다.
감사 추적에 반드시 포함해야 하는 사항
12조 로그에는 의사 결정이 어떻게 이루어졌는지, 그리고 그 이유는 무엇인지 재구성할 수 있을 만큼 충분한 세부 정보가 포함되어야 합니다.
- 신뢰할 수 있는 타임스탬프가 있는 이벤트 수준 로깅
- AI 시스템에 의해 수신된 입력 및 생성된 출력
- 내부 프로세스 단계(토론, 중간 결정, 정책 평가)
- 인간의 개입 작업: 승인, 재정의, 에스컬레이션
- 의사 결정 컨텍스트를 재현하기에 충분한 시스템 상태 데이터
- 이상 이벤트 및 해당 처리
기술적 요구 사항
규정은 로깅 인프라가 충족해야 하는 여러 기술적 속성을 명시합니다.
- 자동 로깅 - 수동 로그 항목은 12조를 충족하지 않습니다.
- 신뢰할 수 있고 완전한 이벤트 기록
- 변조 방지, 안전한 저장
- 의도된 목적 및 위험 프로필에 비례하는 보관 기간
- 규제 검토에 적합한 형식으로 내보낼 수 있음
일반적인 규정 준수 미흡 사항
기업 AI 팀과의 협업을 바탕으로, 가장 흔한 12조 규정 준수 미흡 사항은 다음과 같습니다.
- 출력만 로깅하고, 해당 출력을 생성한 추론 과정은 로깅하지 않음
- 누락되거나 불완전한 인간 재정의 기록
- 변조 방지 요구 사항을 충족하지 않는 변경 가능한 로그 저장소
- 규제 검사에 필요한 기간보다 짧은 보관 기간
- 구조화된 내보내기 기능이 없어 임시 데이터베이스 쿼리만 수행
11조 + 부록 IV 기술 문서
11조는 12조 로그와 함께 규정 준수를 입증하는 기술 문서를 요구합니다.
부록 IV는 시스템 설명, 의도된 목적, 설계 선택, 교육 및 테스트 데이터, 검증 절차, 모니터링 및 로그 자체를 포함하는 구조를 명시합니다. 이 두 가지를 하나의 작업 흐름으로 취급하십시오.
AIAgentree가 12조를 어떻게 구현하는가
AIAgentree는 처음부터 12조 규정 준수를 위해 구축되었습니다.
- 의사 결정 추적 기록 - 모든 입력, 중간 단계, 출력이 기록됨
- 출력과 함께 추론 단계가 보존됨
- 누구/언제/왜 메타데이터가 포함된 인간 재정의 추적
- 변조 방지를 위한 암호화 해시 체인 무결성
- 규제 검토를 위해 설계된 형식(PDF, JSON, CSV)으로 원클릭 내보내기
자주 묻는 질문
12조 로그는 얼마나 오래 보관해야 합니까?
EU AI 법은 고정된 기간을 명시하지 않습니다. 로그는 AI 시스템의 의도된 목적 및 위험 프로필에 비례하는 기간 동안 보관해야 합니다. 대부분의 제공업체는 특정 산업의 보관 규칙(금융 서비스, 의료)을 따르고 가장 긴 적용 가능한 기간을 최소 기준으로 삼습니다.
모든 모델 추론을 로깅해야 합니까?
12조는 의사 결정의 추적성을 가능하게 하는 이벤트를 로깅하도록 요구합니다. 사람의 권리 또는 안전에 영향을 미치는 중요한 결정의 경우, 이는 사실상 모든 추론을 의미합니다. 순전히 내부적인 지원 작업의 경우, 경량화된 집계 로깅으로도 충분할 수 있습니다. 어떤 방법을 사용하든 그 이유를 문서화하십시오.
로그 자체가 GDPR에 따른 개인 데이터입니까?
특히 식별 가능한 개인과 관련된 입력 데이터가 포함된 경우, 종종 그렇습니다. 12조 로그 보관 및 접근 제어를 EU AI 법 / GDPR 32조의 결합된 문제로 취급하십시오.
참고 자료
- Regulation (EU) 2024/1689, Article 12 — artificialintelligenceact.eu/article/12
- Article 11 + Annex IV — artificialintelligenceact.eu/article/11
Continue exploring the EU AI Act guide
EU AI Act Compliance Guide
The complete guide to EU AI Act compliance for AI agents — start here.
Article 14 — Human Oversight
Designing effective human-in-the-loop controls for AI decisions.
Annex III — High-Risk AI Systems
Which AI use cases the Act classifies as high-risk.
EU AI Act Compliance Checklist
A step-by-step checklist to reach and document compliance.
Compliance Cost Calculator
Estimate your EU AI Act compliance effort and cost.
Deadlines & Timeline
Key enforcement dates, including the August 2, 2026 deadline.
Fines & Penalties
Penalty tiers up to €35M or 7% of global annual turnover.
Transparency Obligations (Art. 13 & 50)
Disclosure duties for AI systems and their outputs.
Risk Management & Conformity Assessment
Build a risk management system and assess conformity.
GPAI Obligations
Rules for providers of general-purpose AI models.
EU AI Act for US Companies
Extraterritorial scope and what US providers must do.
Omnibus Update
The latest changes to the EU AI Act timeline and rules.
Penalty Calculator
Estimate your maximum fine under the Article 99 tiers.
Article 11 + Annex IV
What technical documentation the EU AI Act requires.
Article 26: Deployer Obligations
What deployers of high-risk AI must do, including log retention.
Article 17: Quality Management
The QMS providers of high-risk AI must document.
Article 10: Data Governance
Data quality, bias mitigation, and governance duties.
Article 4: AI Literacy
The staff AI-literacy duty in force since February 2025.
Deployer vs Provider
Who bears which obligation — and when a deployer becomes a provider.
FRIA (Article 27)
Who must run a Fundamental Rights Impact Assessment, and how.
Who Does It Apply To?
Scope, operators, and the extraterritorial reach of the EU AI Act.
Post-Market Monitoring
Articles 72–73: ongoing monitoring and incident reporting.
ISO 42001 vs EU AI Act
How the voluntary standard and the binding law fit together.
NIST AI RMF vs EU AI Act
A practical crosswalk between the framework and the law.
EU AI Act for Healthcare
High-risk medical AI, MDR/IVDR interplay, and clinician oversight.
EU AI Act for Financial Services
Credit scoring, insurance pricing, and existing financial regulation.
EU AI Act for HR & Employment
Hiring AI as high-risk, plus NYC LL144 and EEOC overlap.