Approval Policy Design은 AI 에이전트의 승인 기준을 코드와 정책으로 분리해 관리하는 일입니다. 규칙이 문서에만 있으면 운영이 흔들리고, 화면에만 있으면 예외 처리와 감사가 어렵습니다. 정책은 재사용 가능해야 하고, 변경 이력도 남아야 합니다.
이 글은 Agent Approval Flow, Risk-Based Automation, Enterprise AI Governance, AI Access Control와 함께 보면 좋습니다.
개요 #
승인 정책은 누가 언제 무엇을 승인하는지 정의하는 규칙입니다. 좋은 정책은 작업의 위험도, 데이터 민감도, 사용자 역할, 실행 채널을 동시에 고려합니다.
왜 중요한가 #
- 정책이 없으면 승인 기준이 사람마다 달라집니다.
- 정책이 너무 느슨하면 자동화 리스크가 커집니다.
- 정책이 너무 엄격하면 승인 피로가 생깁니다.
- 정책 변경 이력이 없으면 감사가 어렵습니다.
승인 UX/정책 설계 #
정책 설계는 다음 4가지를 분리해서 생각하면 좋습니다.
- 작업 분류: 읽기, 쓰기, 삭제, 외부 전송으로 나눕니다.
- 위험도 산정: 낮음, 중간, 높음으로 구분합니다.
- 승인 주체: 자동, 사용자, 관리자, 보안 검토로 구분합니다.
- 예외 처리: 임시 허용, 만료 승인, 재승인 조건을 둡니다.
정책은 사람에게 보여주는 문구와 시스템이 실행하는 규칙이 일치해야 합니다.
아키텍처 도식 #
에이전트는 정책 엔진에 질의하고, 정책 엔진은 규칙과 컨텍스트를 비교한 뒤 승인 경로를 반환합니다. UI는 이 결과를 사용자에게 설명하고, 감사 로그는 전체 판정을 남깁니다.
체크리스트 #
- 작업 유형별 승인 규칙이 분리되어 있는가
- 역할과 권한이 정책에 반영되는가
- 예외 승인에 만료 시간이 있는가
- 승인 정책 변경 이력이 남는가
- 사용자 화면과 시스템 판정이 일치하는가
결론 #
Approval Policy Design은 승인 경험을 안정적으로 유지하게 하는 운영의 핵심입니다. UI와 정책을 분리하고, 위험도 기반 규칙을 명시적으로 관리해야 합니다.