엔터프라이즈 · 규정 준수 및 증거

규정 준수 작업은,
기계화됩니다.

프레임워크는 질문을 던지고; 에이전트가 무엇을 볼지 결정하는 레이어는 강제된 통제 및 검증 가능한 증거로 답해야 합니다. LeanCTX는 EU AI Act, ISO/IEC 42001 및 SOC 2를 실제로 강제하는 메커니즘에 매핑하고 — 할 수 없는 모든 것에 대해 명시합니다.

정직함이 우선입니다: LeanCTX는 규정 준수 작업을 위한 도구 지원이며 법률 자문이 아닙니다. "정렬됨(Aligned)"은 인증이 아닌 강제 가능한 통제에 대한 기술적 진술입니다. 모든 매핑에는 이 면책 조항이 포함되며, 발견되지 않은 의무는 문서화된 격차입니다.

매핑

세 가지 프레임워크를, 각기 정직한 행렬로.

반기별 검토 주기를 가진 정확한 프레임워크 버전에 고정된 기계 판독 가능 매핑 행렬입니다. 각 항목은 강제 가능한 슬라이스를 구현하는 프레임워크 정책 팩을 제공합니다 — 이를 상속하거나, 확장하거나, 또는 자체 팩을 테스트할 수 있습니다.

Regulation (EU) 2024/1689

EU AI Act

14개 중 11개 통제가 기술적으로 강제됨

컨텍스트 흐름에 대한 배포자 관점: Art. 12 로깅(변조 방지, 항상 활성화), Art. 26(6) 6개월 로그 보존, Art. 10(5) 규제 식별자 마스킹, Art. 14(4) 하드 예산 상한을 통한 감독 및 개입, Art. 15(5) 접근 제어. 학습 데이터 거버넌스 및 조직적 의무는 숨겨진 것이 아니라 문서화된 격차입니다.

pack: eu-ai-act-deployer

ISO/IEC 42001:2023, Annex A

ISO/IEC 42001

강제 가능한 Annex A 슬라이스, 격차 문서화됨

A.6.2.6 운영 로깅, A.9.2 책임 사용 프로세스 — 정책 팩은 기계가 강제하는 프로세스 정의입니다 — 기록된 위반을 포함한 A.9.4 의도된 사용 강제, 사용 전 데이터 제어 A.7.4. AIMS 자체는 정의상 조직적이며; 매핑이 그렇게 말합니다.

pack: iso42001-aligned

AICPA TSC 2017 (2022 points of focus)

SOC 2

TSC의 Context-pipeline 슬라이스, 증거 포함

CC6.1 논리적 접근(기본 거부 기능 게이트), CC6.6 경계 보호(egress denial + path jail), CC7.2 이상 감지 모니터링(타입별 보안 이벤트), C1.1 기밀성(자격 증명 + 식별자 마스킹). 엔티티 수준의 기준은 귀하의 조직에 남아 있습니다 — 매핑이 경계를 그립니다.

pack: soc2-context

진실의 원천: 리포지토리 내 매핑 행렬 — TOML 형식이며, 검토 및 차이점 비교가 가능합니다. 모든 전체 커버리지 주장은 강제를 증명하는 CI 테스트를 명시하며; 주장과 테스트가 다르면 드리프트 테스트가 빌드를 실패시킵니다.

커버리지 보고서

명령어로서의 감사 대화, 요구됩니다.

하나의 명령으로 평가자가 실제로 보고 싶어 하는 것을 렌더링합니다: 브로셔가 아닌 실제 해결된 정책 패키지에 대한 제어별 판정입니다.

$ lean-ctx policy coverage --framework eu-ai-act

AIA-12.1      Art. 12(1)    ENGINE        hash-chained audit trail, always-on
AIA-26.6      Art. 26(6)    ENFORCED      audit_retention_days = 365 (≥ 180 d)
AIA-10.5      Art. 10(5)    ENFORCED      4/4 regulated-identifier classes redacted
AIA-14.4e     Art. 14(4)(e) ENFORCED      max_context_tokens = 12000 bounds every assembly
AIA-10.2      Art. 10(2)    GAP           training-data governance is outside the pipeline

11 of 14 controls technically enforced (5 pack-verified, 6 engine guarantees) · 3 documented gaps

ENFORCED는 해결된 패키지에서 실시간으로 검증됩니다 — 약한 패키지는 종료 코드 1과 함께 NOT-ENFORCED로 다운그레이드되어 보고서가 CI 게이팅 가능합니다. ENGINE은 이를 증명하는 테스트를 보장합니다. GAP 행은 조직의 의무로 남아 있는 것을 명시합니다. GRC 도구링을 위한 --json입니다.

서명된 CISO 보고서

하나의 서명된 보고서, 전 기간에 걸쳐.

날짜 범위를 하나의 경영진 아티팩트로 통합합니다: OWASP-Top-10-for-Agents 정렬, 프레임워크 커버리지, 실제로 차단 및 수정된 내용, 그리고 보존 자세 — Ed25519 서명 및 오프라인 검증 가능.

$ lean-ctx compliance report --from 2026-05-01 --to 2026-06-01 --framework eu-ai-act --format pdf

period         2026-05-01 → 2026-06-01   ·   audit chain: VALID
owasp-agents   9 / 10 aligned · 1 documented gap
eu-ai-act      11 / 14 controls enforced · 3 documented gaps
enforcement    142 tool calls blocked (ToolDenied) · 87 secrets redacted
retention      audit_retention_days = 365

Signed compliance report written to ~/.local/share/lean-ctx/compliance/report-v1_2026-06.json
Verify offline (no LeanCTX needed):  lean-ctx compliance verify report-v1_2026-06.json

구조적으로 정직합니다: 조용한 기간은 0개의 차단을 보고하고 연결이 끊어진 경우를 보고하며, 절대 숨기지 않습니다. 서명된 JSON은 항상 작성되며; --format pdf는 이사회용 종속성 없는 PDF 1.7을 추가합니다. 누구나 lean-ctx compliance verify <report.json>로 재확인할 수 있습니다 — 감사 추적, LeanCTX 설치 필요 없음.

증거 번들

감사관이 검증합니다 — 우리를 신뢰하지 않고도.

lean-ctx는 결정론적이고 Ed25519 서명된 ZIP을 내보냅니다: 해당 기간의 위변조 방지 감사 세그먼트, 적용 중인 해결된 정책 패키지, 그리고 커버리지 보고서입니다. 동일한 입력으로 바이트 단위로 동일한 번들을 재생성하고 비교하세요.

상대편인 leanctx-verify는 엔진 코드와 네 가지 의존성이 없는 독립형 도구이며, 개방형 evidence-bundle-v1 계약의 독립적인 두 번째 구현입니다. 이는 오프라인으로, 감사관의 장치에서 1분도 채 걸리지 않아 실행됩니다:

1

아카이브 + 매니페스트

잘 구성되고 버전이 지원되는 번들

2

파일 인벤토리

모든 파일이 SHA-256과 일치하며, 추가되거나 제거된 것이 없음

3

체인 재생

감사 해시 체인이 앵커에서 헤드로 재계산됩니다

4

매니페스트 서명

Ed25519 유효 — 사용 가능한 경우 아웃-오브-밴드 키에 대해

5

엔트리 서명

각 로그 라인이 개별적으로 서명 및 검증됨

변이 테스트: 바이트 하나 변경, 라인 하나 누락, 키 하나 오류 — INVALID. 감사관 가이드에는 증거가 무엇을 입증하는지, 그리고 무엇을 할 수 없는지 평이한 언어로 설명되어 있습니다 (이벤트는 기록되는 순간부터 보호됩니다. 그 이전은 아닙니다; 정직한 위협 모델은 형식의 일부입니다). 검증자 소스: packages/leanctx-verify.

FAQ

컴플라이언스 팀이 묻는 질문들.

LeanCTX를 사용하면 EU AI Act / ISO 42001 / SOC 2 규정을 준수할 수 있나요?

어떤 도구도 그렇게 주장할 수 없으며, 저희도 그렇지 않습니다. LeanCTX는 컨텍스트 파이프라인에 존재하는 제어를 기술적으로 강제하고 — CI 테스트 및 런타임 증거로 그 강제를 입증합니다. 매핑 행렬에는 각 제어에 대해 커버리지가 완전한지(강제됨 + 테스트됨), 부분적인지(잔여 격차 설명), 또는 없는지(조직적 의무)를 명시합니다. 컴플라이언스는 사람이 평가하는 것이며, LeanCTX는 그들에게 강제 가능한 제어와 검증 가능한 증거를 제공합니다.

매핑 행렬에는 정확히 무엇이 들어 있나요?

프레임워크별로 하나씩 존재하는 기계가 읽을 수 있는 TOML 파일이며, 반기별 검토 주기에 따라 특정 프레임워크 버전에 고정됩니다. 각 제어는 조항, 한 문장의 요구 사항, LeanCTX 메커니즘(패키지 규칙, 감사 이벤트, 증거 내보내기), 평가자가 받는 증거, 커버리지 주장 — 그리고 모든 완전한 주장에는 강제를 입증하는 CI 테스트의 이름이 포함됩니다. 드리프트 테스트는 주장이 존재하지 않는 테스트를 가리킬 경우 빌드를 실패시킵니다.

우리 자체 설정을 프레임워크와 비교하려면 어떻게 해야 하나요?

lean-ctx policy coverage --framework eu-ai-act (또는 iso42001, soc2)를 실행하면 감사 대화 아티팩트가 생성됩니다: 모든 제어는 ENFORCED(해결된 정책 패키지에 대해 실시간으로 검증됨), ENGINE(CI로 증명된 엔진 보장), NOT-ENFORCED(귀하의 패키지가 규칙을 포함하지 않음 — 종료 코드 1, CI 게이팅 가능) 또는 GAP(문서화된 조직적 의무) 중 하나입니다. 기계용으로는 --json을 추가하세요.

증거 번들(evidence bundle)이란 무엇인가요?

lean-ctx 감사 증거가 생성하는 결정론적, Ed25519 서명 ZIP 파일입니다: 특정 기간에 대한 위변조 방지 감사 체인 세그먼트, 유효했던 해결된 정책 패키지, 그리고 CGB + 프레임워크 커버리지 보고서. 동일한 입력은 바이트 단위로 동일한 번들을 생성하므로 두 당사자가 재생하고 비교할 수 있습니다. 형식은 공개 계약(evidence-bundle-v1)입니다.

감사관이 저희를 신뢰하지 않고도 번들을 검증하는 방법은요?

leanctx-verify를 사용합니다 — 엔진과 코드를 공유하지 않으며 게시된 계약을 독립적으로 구현하는 독립 실행형 도구입니다. 이 도구는 해시 체인을 재생하고 모든 서명을 오프라인에서 5단계의 PASS/FAIL로 확인하며, 1분도 채 걸리지 않습니다. 변이 테스트는 바이트 하나 변경, 로그 라인 누락 또는 잘못된 키가 판결을 INVALID로 바꾸는 것을 증명합니다. 평이한 언어의 감사관 가이드에는 증거가 무엇을 입증하는지 — 그리고 똑같이 명확하게, 무엇을 입증할 수 없는지가 설명되어 있습니다.

다음 감사 대화에 증거를 가져오세요.

오늘 로컬에서 무료로 자체 패키지에 대한 커버리지 보고서를 실행해 보세요. 또는 컴플라이언스 팀과 함께 파일럿을 진행하는 것에 대해 상담하세요.