메인 콘텐츠로 건너뛰기
감사인의 첫 질문은 결코 “정책이 있는가?”가 아닙니다 — “조항별로, 어떤 컨트롤이 그것을 충족하는지 보여주고, 그것이 실행되었음을 증명하라”입니다. 컨트롤 매트릭스는 정확히 그것에 답합니다: 범위 내 조항당 한 행, 그것이 매핑되는 평면, 그것을 강제하는 라이브 정책 객체, 그리고 그 컨트롤이 covered인지, 여전히 observe인지, 공개된 gap인지, 또는 소유자-attested인지. OrcaRouter는 당신이 설치한 팩에서 이 매트릭스를 당신을 위해 구축합니다 — 서명된 보고서를 구동하는 동일한 매핑이므로, 준비 상태 뷰와 증거가 결코 어긋날 수 없습니다. 이 페이지는 워크스페이스를 위한 AI 컴플라이언스 컨트롤 매트릭스를 읽고 조립하는 방법을 보여주며, 하나의 구체적 조항을 처음부터 끝까지 걷습니다. 팩이 실제로 무엇을 담고 있는지는 끝의 링크를 따라가세요.

1. 여기서 AI 컴플라이언스 컨트롤 매트릭스가 무엇인가

매트릭스는 프레임워크당 두 목록의 합집합입니다:
  • 설치된 팩이 커버하는 조항 — 각각 설치가 구체화한 정확한 guardrail 또는 firewall 정책에 결합됨;
  • 게이트웨이가 결코 자동화할 수 없는 조항 — 인력 교육, Business Associate Agreement, 물리적 접근 — 정직한 으로 작성되어 매트릭스가 거짓 100%를 암시하는 대신 그것들을 공개합니다.
매트릭스는 두 번째 엔진이 아니라 입니다. 모든 covered 행은 당신이 이미 소유한 실제로 편집 가능한 guardrail 규칙 또는 firewall 정책을 가리킵니다 — 그것을 열고, 읽고, 튜닝하세요. 매트릭스는 어느 것이 어느 조항에 답하는지만 기록합니다.
각 조항은 정확히 두 평면 중 하나에 매핑됩니다:

Guardrail 평면

콘텐츠 조항 — 기밀 PII, 시크릿, 필수 공개 — 은 block, mask, 또는 flag 액션을 가진 guardrail 규칙에 매핑됩니다.

Firewall 평면

액션 조항 — 과도한 자율성, 위험한 툴 호출, egress — 은 inbound, response, mcp, 또는 egress 표면에서 allow / audit / deny 판정을 가진 firewall 규칙에 매핑됩니다.

2. 행이 담을 수 있는 준비 상태

모든 매트릭스 행은 하나의 상태를 담습니다. 이것들은 감사인이 읽는 단어이므로, 정확히 말하는 그대로를 의미합니다:
상태의미
covered팩 컨트롤이 설치되어 조항을 강제하고 있음.
observe설치됨이지만 로깅 전용 — 차단되었을 증거를 수집 중, 아직 강제하지 않음.
gap설치된 컨트롤이 조항을 커버하지 않음(또는 조직적이어서 커버할 수 없음).
attestedAdmin이 자동화하는 대신 소유자 증명한 조직적 조항.
gap은 실패가 아닙니다 — 정직함입니다. HIPAA 45 CFR §164.308(a)(5) 인력 교육 같은 조직적 조항은 프록시가 결코 강제할 수 없으므로, 매트릭스는 그것을 게이트웨이가 커버하는 척하는 대신 공개된 갭으로(또는 일단 Admin이 소유권을 증명하면 attested로) 표면화합니다.
drift 오버레이도 있습니다: 설치된 팩의 매핑이 현재 카탈로그 버전보다 뒤처지면, 그 행은 drift로 렌더링되어 증거에 의존하기 전에 재설치해야 함을 알 수 있습니다.

3. 매트릭스 읽기 (하나의 구체적 호출)

준비 상태 엔드포인트는 전체 매트릭스를 반환합니다 — 프레임워크별 커버리지 백분율, 윈도우에 대한 순위가 매겨진 상위 위험, 그리고 조항당 하나의 coverage_rows 항목. 준비 상태 탐색은 모든 워크스페이스 Member에게 열려 있고 무료이므로, 보안 및 감사 검토자가 쓰기 접근 없이 매트릭스를 지켜볼 수 있습니다. 콘솔이 당신의 세션 하에서 이 관리 라우트를 구동합니다 — 컴플라이언스 라우트에 릴레이 sk-orca-… 키를 결코 건네지 않습니다: 
GET /api/compliance/readiness?window=30d
Authorization: Bearer <your console session>
단일 covered 행은 이렇게 보입니다 — 조항, 평면, 상태, 그리고 그것이 결합되는 라이브 정책 id: 
{
  "framework": "soc2",
  "control_id": "soc2.confidentiality",
  "clause": "TSC CC6.1 Logical access controls",
  "reference": "https://www.aicpa-cima.com/resources/...",
  "plane": "guardrail",
  "state": "covered",
  "guardrail_id": 41,
  "observe_count": 0,
  "organizational": false
}
guardrail_id(또는 firewall 평면에서는 firewall_policy_id)는 하중을 지탱하는 필드입니다: 그것은 조항을 콘솔에서 열고 다른 어떤 것처럼 편집할 수 있는 객체에 곧바로 묶습니다. 그것이 감사인이 걷는 계보입니다 — 조항 → 컨트롤 id → 강제하는 정책 → 그것이 생성한 매치.
매트릭스를 읽는 것은 무료 Member 기능입니다. 그것을 구축하는 것 — 팩을 설치하여 그 컨트롤이 행을 채우게 하는 것 — 은 유료 플랜의 워크스페이스 Admin 액션이며, 서버가 둘 다 강제합니다. 뷰어나 무료 워크스페이스는 API를 직접 호출하여 커버리지를 구체화할 수 없습니다. 플랜 게이팅을 참조하세요.

4. 당신의 프레임워크를 위한 매트릭스 조립

팩을 설치하여 매트릭스를 구축합니다. 각 설치는 그 컨트롤을 팩의 출처로 태그된 하나의 guardrail과 하나의 firewall 정책으로 병합하며, 그 조항이 coverage_rows를 채우기 시작합니다:
  1. 프레임워크 선택. 설치는 콘솔의 Compliance → Catalog에서 워크스페이스 Admin으로 실행됩니다. 카탈로그는 보안 및 AI 거버넌스 체제(soc2, iso_27001, iso_42001, nist_ai_rmf, eu_ai_act, owasp_llm), 섹터 체제(hipaa, pci_dss, glba, nist_800_53), 그리고 광범위한 지역 프라이버시 법규(gdpr, uk_gdpr, ccpa 등)를 다룹니다. 라이브 세트를 프레임워크에서 탐색하세요.
  2. 먼저 관찰에서 설치. 신선한 설치는 관찰 모드로 도착합니다 — guardrail 액션이 flag로 강제되고, firewall 정책이 shadow에 있음 — 그래서 모든 새 행이 observe로 시작하고 강제하기 전에 차단되었을 증거를 생성합니다.
  3. 행이 채워지는 것을 지켜보기. 실제 윈도우에 대해 준비 상태를 다시 가져오세요. covered 행은 그 observe_count를 보여줍니다; 갭은 공개된 채로 유지됩니다; 조직적 조항은 증명을 기다립니다.
  4. 라이브 전환. 행이 깨끗하게 읽히면, 워크스페이스 Admin이 라이브로 전환하고 observe 행이 covered 강제로 뒤집힙니다.
OWASP Top 10 for LLM Applications는 owasp_llm 팩으로 카탈로그에 있습니다 — 그 조항(예: LLM05:2025 Supply Chain)은 다른 모든 프레임워크와 동일한 방식으로 매트릭스에 도착하며, 라이브 컨트롤에 매핑되거나 갭으로 공개됩니다. OWASP LLM Top 10을 참조하세요.

5. 매트릭스에서 서명된 증거로

콘솔에서 읽는 매트릭스는 보고서가 직렬화하는 동일한 커버리지 데이터입니다 — 그래서 증거를 생성하면, 감사인은 동일한 조항별 상태와 더불어 각 컨트롤이 기간 동안 생성한 강제 카운트를 봅니다. 4,000건의 요청을 차단한 조항과 매치가 0인 조항은 매우 다르게 읽히며, 보고서는 둘 다 보여줍니다. 보고서는 SHA-256 해시되고, Ed25519 서명되며, 공개적으로 검증 가능합니다.
팩이 구체화하는 정확한 guardrail 및 firewall 객체, 그리고 각 조항이 그것을 강제하는 정책에 어떻게 결합되는지 — 팩 내용을 참조하세요.
모든 행이 관찰에서 시작하는 이유, 무엇을 로깅하는지, 그리고 라이브 전환이 그것을 어떻게 뒤집는지 — 관찰 vs 강제를 참조하세요.
매트릭스가 감사인에게 어떻게 렌더링되는지, 조항별 상태와 강제 카운트와 함께 — 서명된 보고서를 참조하세요.

6. 다음으로 갈 곳

팩 설치

매트릭스를 채우는 전체 설치 흐름 — 컨트롤 선택, 관찰 모드, 라이브 전환.

모든 프레임워크

조항을 매트릭스로 구축할 수 있는 프레임워크의 라이브 카탈로그.

Guardrails vs Firewall

매트릭스 행이 매핑될 수 있는 두 평면, 그리고 리졸버가 그것들을 함께 실행하는 방법.

책임 범위

왜 일부 조항은 게이트웨이가 강제 가능하고 다른 것은 당신의 몫으로 남는지 — 모든 gap 행이 반영하는 경계.
컨트롤 매트릭스는 규제자의 체크리스트와 당신의 실행 중인 게이트웨이 사이의 다리입니다: 조항당 한 행, 그것을 강제하는 라이브 컨트롤에 결합됨, 프록시가 커버할 수 없는 것에 대해 정직함, 그리고 감사인에게 건네는 서명된 증거와 동일함.