AI 영향평가, 선택이 아닌 생존 전략 [지평 테크레이더]

신용우 법무법인 지평 변호사

AI 영향평가, 왜 지금 필요한가

인공지능(AI) 발전과 함께 인공지능 사용에 따른 윤리·사회적 위험이 부각되면서, 「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」(인공지능기본법)이 2026년 1월 22일 시행되었습니다. 이 법 제35조는 고영향 AI를 이용한 제품·서비스를 제공하는 사업자에게 사전에 사람의 기본권에 미치는 영향을 평가하기 위하여 노력할 것을 권고합니다. 단순히 기술 수준을 평가하는 것이 아니라, AI가 실제 사람의 삶과 권리에 미치는 영향까지 사전에 점검하도록 유도함으로써, 안전하고 신뢰할 수 있는 AI 활용 기반을 마련하려는 취지입니다.

영향평가의 대상은 고영향 AI 제품 또는 서비스를 제공하는 인공지능사업자입니다. 고영향 AI란, 의료, 교육, 교통, 채용·대출 심사, 에너지 공급, 공공서비스 의사결정 등 법이 정한 10개 영역에서 활용되며 사람의 생명·신체의 안전 및 기본권에 중대한 영향을 미치거나 위험을 초래할 우려가 있는 AI 시스템을 의미합니다. 사업자는 자신의 AI가 고영향에 해당하는지 사전에 검토해야 하며, 판단이 어려운 경우 과학기술정보통신부장관에게 해당 여부의 확인을 요청할 수 있습니다(법 제33조).

‘노력 의무’라는 표현만 보면 권고 수준으로 느껴질 수 있지만, 실제 효과는 그보다 큽니다. 법 제35조 제2항에 따라 국가기관 등은 고영향 AI 도입 시 영향평가를 실시한 제품·서비스를 우선 검토해야 합니다. 영향평가 수행 여부가 공공 조달 시장에서 경쟁력을 좌우하는 구조인 셈입니다. 나아가 영향평가를 자율적으로 수행하면 AI 제품·서비스의 신뢰성을 대외적으로 입증하고 브랜드 가치를 높이는 효과도 기대할 수 있습니다. EU AI Act 등 해외 규제에 대한 상호운용성을 확보하여 글로벌 시장에서도 진출 장벽을 낮추는 수단이 됩니다.

한편, 공공 분야에서는 영향평가가 ‘의무’로 격상되었습니다. 2026년 1월 국회를 통과한 「인공지능 및 데이터 기반 행정 활성화에 관한 법률」(공공 AI법)은 공공기관이 새로운 AI 시스템을 도입하기 전에 국민의 기본권에 미칠 영향을 분석·평가하고 결과를 공표하도록 의무화하였습니다. 공공기관에 AI 제품·서비스를 납품하려는 기업이라면, 영향평가 준비는 이제 선택이 아닌 필수입니다.

영향평가의 수행은 기업이 직접할 수도 있고 전문가에게 맡길 수도 있습니다. 인공지능기본법 시행령 제28조 제2항은 “인공지능사업자는 직접 또는 제3자에 의뢰하여 영향평가를 실시할 수 있다”고 규정하고 있습니다. 내부 역량이 충분한 기업은 자체적으로 수행할 수 있고, 법률·기술적 전문성이 필요한 경우 외부 전문기관이나 컨설팅사에 의뢰할 수도 있습니다.

영향평가, 무엇을 어떻게 평가하나

시행령 제28조는 영향평가에 포함해야 할 사항을 7가지로 열거합니다. 영향을 받을 수 있는 개인·집단의 식별(예: 학생, 환자, 구직자 등), 영향 기본권 유형의 식별(생명권, 건강권, 평등권 등), 영향의 내용·범위, AI의 사용 행태, 평가지표·결과산출 방식, 위험예방·손실복구 방안, 그리고 개선사항 이행계획입니다.

[제미나이]

실무상 출발점은 ‘피영향자 식별’입니다. 과학기술정보통신부와 정보통신정책연구원이 내놓은 ‘인공지능 영향평가 가이드라인’은 피영향자를 세 범주로 나누어 분석할 것을 권고합니다. 첫째, AI에 의해 직접적으로 기본권에 중대한 영향을 받는 ‘직접 피영향자’입니다. AI 채용 시스템의 채용 후보자, AI 의료 진단 시스템의 환자가 대표적입니다. 둘째, 직접 피영향자와의 관계나 환경 변화로 간접적 영향을 받는 ‘간접 피영향자’입니다. 의료 AI의 경우 보호자, AI 기반 신용평가 시스템으로 인해 대출이 거절된 사람의 가족을 들 수 있습니다. 셋째, 가능성이 낮더라도 극단적 상황에서 영향을 받을 수 있는 ‘의도치 않은/예상치 못한 피영향자’입니다. 기후·환경, 지역사회 신뢰도 등이 포함될 수 있습니다.

피영향자를 식별한 뒤에는 구체적인 위험 시나리오를 작성합니다. 예를 들어, AI 기반 채용 시스템이라면 “학습 데이터의 편향으로 특정 집단에 불리한 결과가 발생”하거나, “비공개 SNS 정보까지 수집·분석하여 사생활의 자유가 침해”되는 시나리오를 구체적으로 상정하는 것입니다. 가이드라인은 AI 제품의 기술·운영상 작동원리에 기반해 시나리오를 도출하고, 각 시나리오마다 어떤 기본권이 어떻게 침해될 수 있는지 현실성 관점에서 평가해야 한다고 강조합니다. 예를 들어 의료 AI라면 “패턴 인식 오류 → 환자 진단 지연”이라는 시나리오, 채용 AI라면 “데이터 편향 → 특정 계층 차별”과 같은 리스크를 구체화하는 식입니다.

이렇게 만들어진 시나리오를 기반으로 관련 기본권을 식별하고 영향을 판단합니다. 가이드라인은 기본권을 두 차원으로 나누어 식별할 것을 권고합니다. ‘인공지능기술 일반 차원’에서는 AI를 사용하는 이상 반드시 검토해야 하는 기본권이 있습니다. 대표적으로 개인정보자기결정권(개인적 대화 내용이 다른 사용자에 대한 답변에 노출되는 경우), 사생활의 비밀(음성 AI 비서의 사적 대화 무단 수집 등), 평등권(편향 데이터로 인한 차별적 분류), 재산권(창작물 무단 학습 등)이 이에 해당합니다. ‘제품·서비스 차원’에서는 활용 맥락에 따라 사생활의 자유(스마트홈의 생활 개입), 생명권(의료 AI 오진), 건강권(잘못된 운동량 권고), 직업의 자유(편향된 채용 차단), 표현의 자유(콘텐츠 필터링의 과잉 차단), 알권리(검색 결과 편향) 등이 유연하게 고려됩니다. 기본권 영향 판단 단계에서는 위험 시나리오를 바탕으로, 각 시나리오가 실제 기본권의 보호 영역을 제약하는지, 영향의 규모·기간·발생 가능성은 어떠한지를 체계적으로 평가합니다.

기업은 무엇을 준비해야 하나

먼저, 자사 AI에 대한 면밀한 분석과 위험 도출이 선행되어야 합니다. 우선 기업의 AI가 고영향에 해당하는지를 검토하고, AI 제품·서비스의 기술·운영상 작동원리를 데이터 수집–분석·판단–결정–피드백 단계별로 상세히 조사·기록해야 합니다. 위험 시나리오 작성 시에는 동일한 기술이라도 활용 분야(의료, 금융, 채용 등)에 따라 전혀 다른 위험이 발생할 수 있으므로, 자사 제품·서비스가 목표로 하는 분야와 상황을 기준으로 구체적인 시나리오를 도출해야 합니다. 이는 기본권 영향 식별 및 분석의 토대가 됩니다.

또한, 실효성 있는 대응 방안을 마련해야 합니다. AI 제품이나 서비스의 개발부터 배포, 운영, 폐기에 이르는 전 과정에서 투명성, 공정성, 안전성 등을 검증하는 시나리오 기반의 위협 분석 절차를 내부 프로세스에 통합해야 합니다. AI 윤리원칙 수립, 운영 내규 정비, 위험관리·운영관리·변화관리 체계 구축, 전담 조직 구성 등을 포괄하는 ‘AI 거버넌스 프레임워크’를 갖추는 것이 바람직합니다.

예방적 과정으로서의 AI 영향평가

AI 영향평가의 본질은 기술 개발 초기부터 윤리적·사회적 리스크를 선제적으로 식별하고 조치하는 예방적 과정에 있습니다. 법 시행 초기의 유예 기간이 남아 있는 지금이 체계적인 대비를 갖출 적기라고 보입니다. 영향평가를 통해 불필요한 법적 리스크를 사전에 줄이고, 시장과 소비자로부터 신뢰를 쌓아 가는 것, AI 시대에 지속 가능한 경쟁력을 확보하기 위한 전략적 선택일 것입니다.

매일경제 로펌 리포트 [지평 테크레이더]에서는 ­AI, 데이터, 디지털 기술 발전에 따라 급변하는 법·제도 환경을 기업ㆍ기관 실무자가 이해하기 쉬운 형태로 전달하고자 합니다. 신용우 변호사는 행정부ㆍ입법부를 두루 거치고 정보통신 및 지식재산권 분야에서 경력을 쌓아온 전문변호사입니다.