AI 기본법 시행 임박…기업이 점검해야 할 실무 포인트는?

22일 시행되는 AI 기본법을 대비해 많은 기업이 내부 점검에 나서고 있다. 네이버는 지난해 하반기부터 블로그·카페에 ‘AI 생성 콘텐츠’ 표시 기능을 도입했고, 카카오는 올해 약관에 AI 활용 고지 조항을 신설했다. 법 시행이 코앞으로 다가오면서 기업의 관심은 “AI를 써도 되는가”가 아니라 “이미 쓰고 있는 AI를 어떻게 관리해야 하는가”로 옮겨가고 있다.

AI 기본법은 모든 AI 활용을 일괄적으로 제한하는 규제는 아니다. 다만 AI를 어떤 방식으로 운영하고, 그 결과에 대해 어느 수준까지 설명하고 책임질 수 있는지를 기업에 묻는 첫 법이라는 점에서 의미가 크다. 시행을 하루 앞둔 지금, 기업 실무에서 실제로 달라지는 것은 무엇일까?

모든 AI가 규제 대상은 아니다

먼저 짚어야 할 점은 모든 AI가 동일한 관리 대상은 아니라는 점이다. AI 기본법이 중점적으로 들여다보는 것은 AI가 실제 의사결정 과정에 관여하는지, 그 결과가 개인의 권리·안전·기회 등에 중대한 영향을 미칠 수 있는지다.

법에서 말하는 ‘고영향 AI’는 ▲보건의료(진단·처방) ▲금융(신용평가·대출) ▲고용(채용·인사) ▲교육(입학·성적) ▲치안 ▲출입국 ▲사회복지 등 사회적 영향도가 큰 11개 분야를 대상으로 한다. 같은 분야라도 단순 안내·보조 기능과 핵심 판단 기능은 위험도가 다르므로, 기업은 자사 AI가 오작동할 경우 중대한 피해로 이어질 가능성이 있는지를 기준으로 1차 판단해야 한다.

반대로 단순한 내부 참고용 분석이나 개인 생산성 도구, 기본적인 업무 자동화는 직접적인 규제 대상에서 벗어나는 경우가 많다. 다만 내부용이라고 해서 관리 책임에서 완전히 자유로운 것은 아니다. AI가 실제 판단에 영향을 미친다면, 그 활용 방식과 운영 구조는 점검 대상이 될 수 있다.

기술보다 먼저 바뀌는 것은 ‘운영 방식’

현장에서 가장 먼저 나타나는 변화는 새로운 AI 도입이 아니라 AI 운영 구조를 정리하는 작업이다. 기업들은 왜 이 AI를 사용하는지, 어떤 판단까지 AI에 맡기고 어디부터 사람이 책임지는지를 내부적으로 설명할 수 있어야 하는 상황에 놓이고 있다.

금융권에서는 대출 심사 과정에서 AI가 신용 점수를 산출하더라도 이를 그대로 적용하지 않고, 여신 담당자가 최종 승인 여부를 판단하는 구조를 명확히 구분해 문서화하는 사례가 늘고 있다. AI는 추천 역할에 머물고, 최종 책임은 사람이 진다는 점을 분명히 하기 위한 조치다.

AI 판단 과정에 대한 기록 관리의 중요성도 커지고 있다. 판단에 사용된 데이터 출처, 모델 변경 이력, 운영 과정의 로그가 남아 있지 않다면 향후 설명 요구나 분쟁 발생 시 대응이 쉽지 않다. 자동화된 시스템이라 하더라도 오류 발생 시 이를 중단하거나 수정할 수 있는 사람의 개입 지점과 책임 주체를 명확히 해두는 것이 필요하다.

생성형 AI, 콘텐츠·마케팅 조직도 영향권

생성형 AI를 활용하는 기업의 경우 콘텐츠·마케팅·외부 커뮤니케이션 영역에서도 변화가 나타나고 있다. AI를 활용해 작성한 문구나 이미지, 영상에 대해 이를 어떻게 표시할지, 활용 범위를 어디까지 허용할지에 대한 내부 기준을 마련하는 사례가 늘고 있다.

이는 당장의 규제 대응이라기보다, 향후 책임 논란을 줄이기 위한 실무적 대비에 가깝다. 기술 부서뿐 아니라 홍보·마케팅 조직까지 AI 활용 기준을 공유해야 하는 이유다.

법 시행을 하루 앞둔 시점에서 전문가들은 기술 자체보다 운영 구조를 먼저 점검해야 한다고 조언한다. 기업의 AI 활용·운영 체계 구축을 지원하고 있는 인포시즈 탁정수 대표는 “AI 기본법 이후를 대비한다는 것은 새로운 AI를 도입하는 문제가 아니라, 이미 사용 중인 AI의 판단을 왜 그렇게 했는지 설명하고 책임질 수 있는 구조를 갖추는 일에 가깝다”며 “운영 기준과 기록, 사람의 개입 지점을 정리하지 않으면 시행 이후 오히려 리스크가 커질 수 있다”고 말했다.

시행 직전, 최소한 이것만은 확인해야

시행을 하루 앞둔 지금, 기업이 당장 점검해야 할 것은 크게 네 가지다. 먼저 현재 사용 중인 AI가 무엇인지부터 목록으로 정리해야 한다. 다음으로 이 가운데 고영향 AI에 해당하는지 1차 판단이 필요하다. 생성형 AI를 활용하고 있다면 콘텐츠 표시 방안을 마련해야 하고, 마지막으로 AI 활용 사실이 약관과 개인정보 처리 방침에 제대로 반영돼 있는지도 점검해야 한다.

AI 기본법에 따르면 고영향 AI를 운영하는 기업은 위험관리 체계를 갖추고, AI 판단 과정에 대한 설명 방안을 마련해야 한다. 생성형 AI를 활용하는 때는 AI가 생성한 콘텐츠임을 표시해야 하며, 이를 이행하지 않을 경우 시정명령과 과태료 부과 대상이 될 수 있다.

정부는 시행 초기 혼란을 줄이기 위해 계도 중심의 운영 방침을 밝히고 있다. 과학기술정보통신부는 법 시행 이후 1년간 계도기간을 운영하며, 기업 지원에 중점을 둘 계획이라고 밝혔다.

‘사후 대응’보다 ‘사전 점검’의 문제

AI 기본법 시행 이후의 리스크는 과태료 부과 여부에만 그치지 않는다. AI 판단에 대한 설명 요구가 늘어날 가능성이 크고, 사고 발생 시 관리 체계 부재는 즉각적인 책임 문제로 이어질 수 있다.

시행을 하루 앞둔 지금, 모든 준비를 완료하기는 어렵다. 다만 자사 AI가 고영향에 해당하는지 판단하고, 생성형 AI 사용 시 표시 방안을 마련하는 것만으로도 시행 초기의 혼란은 상당 부분 줄일 수 있다. AI 기본법은 새로운 기술 경쟁을 촉발하는 법이라기보다, 이미 쓰고 있는 AI를 어떻게 책임 있게 운영하고 있는지를 묻는 법이다.