인공지능기본법 하위법령(안)의 금융분야 시사점과 개선방향(25-11-7)/백연주.KIF

<요 약>

 

▶ 인공지능기본법 시행(2026.1월)을 앞두고 시행령 · 고시 · 가이드라인 등 관련 하위법령(안)이 공 개(2025.9월)됨에 따라 인공지능 안전성 확보 절차, 고영향 인공지능의 해당 여부, 사업자 책무 등 여러 내용이 구체화 됨.

▶ 인공지능기본법은 권리 · 의무 관계에 영향을 미칠 수 있는 고위험사례를 ‘고영향 인공지능’으로 분류하여 다양한 의무를 부과하는데, 금융분야에서는 대출심사가 이에 해당됨.

▶ 그러나 발표된 대출심사 고영향 판단기준 가이드라인에 대해 ① 기준의 모호성 및 규제범위 확정 의 어려움 ② 과기부의 재량적 판단 여지가 크다는 점 ③ 전문위원회 구성 한계로 인한 금융당국 과의 조율 부재 가능성 ④ 절차 복잡성 등의 우려가 제기되고 있음.

▶ 한편, 인공지능 사업자를 개발사업자와 이용사업자로 구분하고 개발사업자가 책무를 모두 또는 일부 이행하면 이용사업자의 부담은 경감하되 고영향 기능 수행 등 ‘중대한 기능 변경’ 시 인공지 능 이용사업자를 개발사업자로 봄.

▶ 하지만 인공지능 모형을 미세조정하거나 검색증강생성(RAG) 등 추가 기능 적용 시 판단의 어려 움, 책임분담구조의 불명확성 등이 여전히 존재하고 있음.

▶ 현행 인공지능기본법의 회색지대로 인해 금융회사의 인공지능기술 도입이 어려워질 수 있는 만 큼 금융회사는 잠재적 규제위험을 최소화하기 위해 내부 거버넌스와 위험관리체계의 강화, 고영 향 AI로 분류될 가능성이 있는 사례를 사전 파악할 필요가 있음.

 

<내  용>

 

2024년 12월 국회 본회의를 통과한 「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」(이하 “인공 지능기본법”)은 유럽의 AI Act 이후 세계에서 두 번째로 제정된 AI 일반법으로서 2026년 1월부터 시 행될 예정이다.

동 법은 권리 · 의무 관계에 영향을 미칠 수 있는 고위험 사례를 ‘고영향 인공지능’으로 분류하고, 해당 사업자에게 영향평가 등 다양한 의무를 부여하고 있는데 2025년 9월에는 이를 구체적 으로 반영한 시행령과 고시, 가이드라인 등 하위법령(안)이 발표되었다.

인공지능기본법의 고영향 인공지능 규제는 특히 금융회사가 주의를 기울여야 할 핵심 사안이다. 금 융회사는 정형화된 수치 중심 데이터를 대량 보유하고 있어, 과거부터 통계모형 및 머신러닝을 포함한 인공지능 모형을 적극 활용해 왔다.

특히 최근에는 GPT 등 생성형 AI 기술의 발달로 업무 자동화 영역 에 인공지능이 도입되고 있으며, AI 에이전트(Agentic AI)로의 패러다임 전환에 따라 금융산업에도 이 러한 기술이 접목될 것으로 예상된다.

인공지능기본법에서 이미 대출심사 등에 활용되는 인공지능을 고영향 인공지능으로 명시하고 있는 만큼, 하위법령(안)의 구체적 내용과 현행 금융법규와의 중첩 여 부를 면밀히 검토할 필요가 있다.

이에 본 고에서는 인공지능기본법 하위법령(안)의 주요 내용을 분석하고, 금융회사가 유의해야 할 시사점 및 향후 추가 검토가 필요한 사안들을 살펴보고자 한다

 

1.인공지능기본법과 하위법령(안)의 주요 내용

 

인공지능기본법 중 금융회사에 영향을 줄 수 있는 주요 내용은 인공지능 투명성 ∙ 안전성 확보 의무 와 고영향 인공지능 관련 사항들이다. 관련한 하위법령(안)의 주요 내용을 살펴보면 다음과 같다.

   첫째, 투명성 확보 의무는 고영향 또는 생성형 인공지능을 활용한 제품 ∙ 서비스 제공 시 이용자에게 AI 사용 사실을 고지해야 한다는 것이다.

가이드라인(안)은 이용약관, 계약서 등을 통한 사전고지나 생 성형 AI 결과물에 사람 ∙ 기계가 판독 가능한 형식으로 표시하도록 하는 등 보다 구체적인 규제 방안을 제시하고 있다.

   둘째, 안전성 확보 의무는

     ① 누적 연산량이 일정 기준(부동소수점 연산 1026 이상)을 초과하고

     ② 최 첨단 인공지능기술을 적용하며

     ③ 인공지능시스템의 위험도가 생명 ∙ 신체안전 및 기본권에 광범위하 고 중대한 영향을 미칠 우려가 있는 경우 위험의 식별 ∙ 평가 ∙ 관리체계 구축 등의 의무를 준수해야 한다 다는 것이다.

이와 관련하여 고시(안) 및 가이드라인(안)에서는 적용대상과 안전성 확보 조치를 구체화 하고 있다.

   셋째, 고영향 인공지능을 개발하거나 이용한 서비스를 제공하는 인공지능사업자에 대한 사업자 책 무 및 고영향 인공지능 판단기준에 관한 사항이다.

특히 금융 분야에서는 대출심사 활용 시 고영향에 해당될 수 있으며, 가이드라인(안)을 통해 그 판단기준을 보다 세부적으로 제시하였다.

고영향 인공지 능을 개발 ∙ 이용하는 사업자는 위험관리방안을 수립 ∙ 운영하고, 인공지능 시스템의 결과 도출 기준과 데이터에 대한 설명방안을 작성해야 한다.

설명방안의 주요 내용과 절차, 이용자 보호 방안, 사람의 관 리 ∙ 감독, 문서 작성 ∙ 보관 절차 등은 고시(안)와 가이드라인(안)에서 구체적으로 제시하고 있다.

이상의 규제는 금융회사의 인공지능 활용 시 모두 적용 가능하나, 금융분야에서 보다 쟁점이 되는 영역은

  ① 고영향 판단기준의 모호성 및 광범위한 적용 범위

  ② 개발사업자와 이용사업자 간 구분 및 책무 분담 구조로 예상되며 이하에서는 이에 대해 논의하고자 한다.

 

2.금융분야에서의 고영향 판단기준 이슈

 

고영향 AI 판단 관련 가이드라인(안)은 대출심사 영역에서의 고영향 판단 기준을 보다 자세히 서술 하고 있다.

그러나 기준의 모호성과 과도하게 넓은 적용 범위, 그리고 과기부에 고영향 해당 여부 확인 을 요청할 수 있다는 점 등이 이슈가 될 수 있다.1)

 

    1) 본 법과 가이드라인에 따르면 과기부 장관은 필요 시 전문위원회 50인 전문가 풀 중 전문위원 5명의 회의를 통해 자문을 받을 수 있다.

 

가이드라인(안)에서는 대출심사를 금융회사가 개인의 신용이나 담보자산 등을 평가하여 신용공여 를 심의 ∙ 결정하는 업무로 정의하고 있다.

대출심사 과정에서 인공지능 시스템이 최종결정에 ‘상당한 영향’을 미치거나 최종결정을 하는 경우 고영향에 자동 해당된다.

그러나 ‘상당한 영향’의 정의가 모호 하다.

예를 들어, 인공지능 시스템을 활용한 프로파일링 결과를 은행원이 단순 참고만 하더라도 의사 결정에 간접적으로 영향을 미칠 수 있어 이를 상당한 영향으로 볼 여지가 있다.

또한 신용공여의 범위 가 광범위하여 신용대출, 담보대출, 카드론 등 직접 대출뿐만 아니라 지급보증, 신용보증, BNPL(후불 결제), 자동차 할부금융 등 리스 ∙ 할부 ∙ 연체결제 구조까지 모두 포함된다는 점도 문제이다.

아울러 담 보대출과 무담보대출의 경우 인공지능 시스템의 재량 범위가 크게 다를 수 있는데, 이를 일률적으로 적용하는 것이 적절한지도 의문이다.

더욱이 대출심사 과정에는 대출상담, 본인확인, 신용평가, 담보물 감정, 여신 적격 심의 등 다양한 업 무가 포함되어 있어, 모든 프로세스에서 인공지능 시스템을 사용할 경우 가이드라인(안)에 따라 검토 해야 하는 부담이 크다.

담보물 감정과 같은 업무는 일반적인 신용평가에 비해 인공지능의 재량 범위 가 제한적이지만, 금융거래계약의 체결 ∙ 유지 등에 직접적 차별을 발생시킬 수 있어 고영향에 해당될 가능성이 있다.

고영향 해당 여부를 과기부에 요청할 수 있도록 규정한 점도 검토될 필요가 있다.

과기부장관은 필 요시 50인 이상의 전문위원회 풀에서 5인으로 구성된 회의를 열어 자문을 받을 수 있다.

그러나 금융 규제당국의 인공지능 관련 공무원이 포함되지 않을 수 있고, 금융당국의 신용평가 관련 업무 방향과 고영향 판단이 상충될 가능성이 있다.

또한 부처 간 협조가 전제되지 않으면 절차의 복잡성과 소요 시 간이 과다해질 우려가 있다.

또한, 과기부장관의 재량적 고영향 판단으로 인해, 대출 외 보험 가입심사, 보험료 산정, 사기탐지시 스템(FDS) 등 다른 활용 사례에 대한 규제 적용 여부가 불확실한 것도 이슈가 될 수 있다.

금융회사는 이미 소비자의 금융거래에 영향을 미칠 수 있는 다양한 회색지대에서 인공지능을 적극 활용하고 있으 며, 대출심사의 고영향 판단 논리를 확장하면 이러한 영역도 고영향 규제 대상이 될 수 있다.

법 제2조 제4호 카목은 “그 밖에 사람의 생명 ∙ 신체의 안전 및 기본권 보호에 중대한 영향을 미치는 영역”으로 대통령령을 통해 범위를 확대할 수 있도록 규정하고 있어, 다양한 활용 사례가 고영향 규제에서 배제 되는지 불명확하다.

 

3.금융분야에서의 사업자 책무 이슈

 

시행령(안)에서는 중복 규제 방지를 위해 개발사업자가 의무2) 를 모두 또는 일부 이행 할 경우 이용 사업자의 의무는 이행한 것으로 간주하고3) 타법상 동일 ∙ 유사 조치 이행 시 인공지능기본법상 일부 의 무는 이행한 것으로 간주하고 있다.4)

 

     2) 위험관리방안의 수립 ∙ 운영, 기술적으로 가능한 범위에서의 인공지능이 도출한 최종결과, 인공지능의 최종결과 도출에 활용된 주요 기준, 인 공지능의 개발 ∙ 활용에 사용된 학습용데이터의 개요 등에 대한 설명 방안의 수립 ∙ 시행, 이용자 보호 방안의 수립 ∙ 운영

     3) 시행령 제26조 제2항

     4) 시행령 제26조 제5항 

         

그러나 개발사업자와 이용사업자 간 구분 기준의 모호성, 그리고 고영향 인공지능 제공 시 개발사업자와 이용사업자 간 사업자 책무의 분담 구조의 불명확성 등은 여전 히 검토가 필요하다.

우선 인공지능을 개발 ∙ 제공하는 개발사업자와 제공받은 인공지능을 이용하여 제품 ∙ 서비스를 제공 하는 이용사업자 간 구분이 문제되는 이유는, 많은 인공지능시스템이 이미 배포된 인공지능 모형을 미 세조정(fine-tuning)하거나 검색증강생성(RAG)를 장착하여 개선된 형태로 제공되기 때문이다.

시행령 (안)은 이용사업자가 제공받은 인공지능의 ‘중대한 기능의 변경5) 을 초래하는 수정 ∙ 변경 ∙ 개량’을 하는 경우 개별적으로 판단하여 개발사업자로 간주한다.

가이드라인(안)에 따르면 중대한 기능 변경인지를 판단할 때 안전성(위험성), 용도(목적), 이용분야와 맥락, 신뢰성 등을 종합 고려하도록 되어 있어, 판단 기준의 재량범위가 지나치게 크고 모호하다.

미세조정이나 검색증강생성기능을 장착하는 대부분의 경 우는 모델을 개량 하지만 중대한 기능의 변경으로 보기에는 애매하고, 다만 유럽연합 AI Act6) 와 유사 하게 인공지능기본법에서도 고영향에 해당되는 기능 수행 시 이를 중대한 기능의 변경으로 보아 개발 사업자 책무를 부여한다.

 

    5) 시행령 제26조 제2항

    6) EU AI Act. Article 25. 1(c)  

 

이와 같이 ‘중대한 기능의 변경’을 판단하는데 재량적 요소가 많아 이용사업 자의 적극적인 인공지능기술 활용이 제약될 가능성이 크다.

더불어 개발사업자와 이용사업자 간 책무 분담도 문제가 될 수 있다.

예를 들어, 비정형 자료 분석을 포함한 신용평가 AI 모델을 개발한 기업(A)에게 모델을 받아 대출심사 자동화 시스템을 만들어 금융회 사에 납품하는 사업자(B)가 있다고 가정해보자.

시스템에 편향이 있어 이를 이용하는 금융회사의 대출 심사과정에서 문제가 발생했을 때, AI 모델을 개발한 개발사업자, 이용사업자 각각의 위험 관리 정책이 모든 위험을 커버하지 못할 가능성도 있다.

대출 심사 결과의 편향성은 모델 자체의 결함일 수도 있지 만, 금융기관 내 데이터 관리 및 시스템 구축 상의 문제일 수도 있고, 다양한 요인의 복합적 결과일 수 있기 때문이다.

현행법상 책무가 분담될 수 있는 구조로 되어 있어 개발사업자가 위험관리방안의 수 립, 최종결과 도출 기준 및 학습 데이터 설명, 이용자 보호 방안 등을 일부라도 수행하면 이용사업자는 해당 책무를 추가로 이행하지 않을 가능성이 있다.

 

4. 금융회사 인공지능 기반 혁신에의 시사점과 개선방향

 

AI Act를 최초로 제정한 유럽연합에서도 고위험 지정이 산업 혁신을 저해할 가능성과 기준의 모호 성에 대한 비판이 제기된 바 있다. 유럽연합 AI Act 체계는 각국이 시장 감독 기관 및 신고기관(notifying authority) 역할을 하는 국가별 관할기관(National Competent Authorities)을 지정하여 규제하도 록 거버넌스 체계를 구축하고 있다.

반면 금융 분야의 인공지능사업자들은 내부 거버넌스 및 감독 등 이미 유럽연합 내 구축된 기존 금융 규제체계를 따라야 하고, 기존의 금융 감독틀을 통해 AI 적용을 감 독받을 수 있다.7)

이런 점에서 금융회사의 AI 활용 사례에 대한 감독은 기존의 금융감독 방향과 크게 다르지 않을 것으로 예상된다.

우리나라 인공지능기본법의 경우 고영향 지정 및 사업자 책무가 과기부의 감독을 받는 형태로 되어 있다.

또한 타법상 의무 이행 시 고영향 사업자 책무를 이행한 것으로 간주하는 시행령 조항에는 관련 법률들이 열거식으로 나열되어 있어8) 신용정보법(신용평가) 및 자본시장법 및 시행령(전자적 투자조 언장치)등 지정되지 않은 금융규제는 포함되지 않는다.

 

    7) EU AI Act Article 17.4, Article 18.3, Article 19.2

    8) 신용정보의 이용 및 보호에 관한 법률 제35조의 2, 제36조의 2, 금융소비자보호법 제10조, 자본시장과 금융투자업에 관한 법률 지행령 제2조 제 6호, 지능정보화기본법 제60조 제1항 등

 

이로 인해 회색지대가 넓고, 금융회사의 인공 지능 기반 혁신이 저해될 가능성이 크다.

이러한 점을 종합적으로 고려할 때, 현행 인공지능기본법의 기본 구조와 하위법령(안)은 향후 구체 화 작업이 더 필요할 것으로 예상된다.

거시적으로는 금융과 같은 세부 분야의 AI 활용 감독을 기존 규 제체계와 어떻게 조화시키며 절차적 효율성을 달성할 것인지 고려해야 한다.

미시적으로는 이용사업 자와 개발사업자 간 구분 및 고영향 판단에 대한 보다 세부적인 기준 검토가 필요하다.

이러한 세부 요 소가 금융회사의 인공지능 기술 도입에 장애가 될 수 있는 만큼, 하위 법령 확정 이전에 적극적인 의견 개진이 필요하다.

실무적으로는 현재 발표된 인공지능기본법 하위 법령(안)에 재량 여지가 많고 판단 기준이 모호하 여, 잠재적 규제 위험을 줄이기 위해 회사 내 거버넌스 체계를 점검해야 한다.

고영향으로 지정될 수 있 는 인공지능 활용 사례를 식별 ∙ 관리하고, 향후 부과될 수 있는 사업자 책무를 효과적으로 이행할 수 있 도록 회사 내부 위험관리체계 및 모니터링 체계를 재점검할 필요가 있다. 

 

 

금융브리프34-21 논단

01-34-21-n1-6.pdf

0.19MB