AI기본법, 왜 지금 알아야 하는가
2026년 1월 22일, 「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」(이하 AI기본법)이 시행되었습니다. EU AI Act에 이어 AI에 관한 포괄적 법률을 국가 단위로 전면 시행한 초기 사례로, 대한민국에서 AI를 활용하는 모든 조직에 새로운 법적 의무가 생겼습니다.
이 법이 중요한 이유는 단순합니다. AI를 활용하는 모든 조직에 투명성과 안전성에 대한 법적 의무가 생겼기 때문입니다. 특히 복지, 보건의료, 교육, 고용, 금융 분야는 법에서 명시한 '고영향 AI' 분류에 해당할 가능성이 높아, 더 엄격한 기준이 적용됩니다.
현재 과태료 계도기간(최소 1년)이 운영 중이지만, 이 기간은 "벌금을 안 내도 된다"는 뜻이 아니라 "지금 준비하라"는 뜻입니다. 계도기간이 끝나는 시점에 체계가 잡혀 있지 않으면, 감사 지적과 과태료(제43조, 3천만 원 이하)가 동시에 발생할 수 있습니다.
이 법이 요구하는 핵심은 결국 하나입니다. "AI가 한 일을 설명하고 증명할 수 있는 체계를 갖춰라." 이 글에서는 AI기본법의 핵심 내용을 실무 관점에서 정리하고, 조직이 지금 무엇을 준비해야 하는지 구체적으로 안내합니다. 공공·복지 분야를 중심으로 설명하지만, AI 실행 증빙의 문제는 AI를 활용하는 모든 조직에 공통됩니다.
AI기본법 핵심 구조: 5분 만에 이해하기
AI기본법은 크게 AI 산업 촉진과 신뢰 기반 조성을 동시에 다룹니다. 산업 위축을 최소화하면서 안전장치를 마련하는 것이 기본 방향입니다.
법의 핵심 축
| 축 | 내용 | 관련 조항 |
|---|---|---|
| 투명성 | AI 기반 서비스임을 이용자에게 사전 고지 | 제31조 |
| 안전성 | 고성능 AI 시스템의 전 생애주기 위험 관리 | 제32조 |
| 고영향 AI 관리 | 기본권에 중대한 영향을 미치는 AI에 대한 특별 의무 | 제33조, 제34조 |
| 영향평가 | AI가 기본권에 미치는 영향을 사전 평가 | 제35조 |
| 생성형 AI 표시 | AI 생성 콘텐츠에 대한 명시적 표시 의무 | 제31조제2항 |
사업자 유형별 의무 수준
모든 AI 사업자에게 동일한 의무가 적용되는 것은 아닙니다. AI의 영향 범위와 위험도에 따라 의무 수준이 달라집니다.
| 사업자 유형 | 투명성 고지 | 영향평가 | 위험관리 방안 공개 | 안전성 조치 |
|---|---|---|---|---|
| 일반 AI 사업자 | ○ | 권장 | - | - |
| 고영향 AI 사업자 | ◎ | 노력 의무 | ◎ | ○ |
| 고성능 AI 사업자 (10²⁶ FLOP 이상) | ◎ | ◎ | ◎ | ◎ |
◎ = 필수, ○ = 해당 시 적용
고영향 AI: 복지·공공 분야가 특히 주목해야 하는 이유
AI기본법에서 가장 주의 깊게 봐야 할 개념은 고영향 AI입니다. 고영향 AI란 "사람의 생명, 신체의 안전 및 기본권에 중대한 영향을 미치거나 위험을 초래할 우려가 있는 인공지능시스템"을 말합니다(제2조제4호).
법이 지정한 주요 고영향 분야
| 분야 | 복지·공공 기관 해당 여부 |
|---|---|
| 에너지·식수 공급 | - |
| 보건의료 | ◎ |
| 원자력 안전 | - |
| 교통(철도·도로·항공·해운) | - |
| 금융(신용평가, 대출) | △ |
| 교육(입학·채용) | ○ |
| 고용 심사 | ○ |
| 공공안전 | ◎ |
| 출입국 | - |
| 사회보험·복지 | ◎ |
복지시설, 재활센터, 공공기관에서 AI를 활용한다면 보건의료, 사회보험·복지, 공공안전 분야에 직접 해당할 가능성이 높습니다. 민간 기업이라도 고용 심사, 금융 판단 등에 AI를 사용한다면 마찬가지입니다.
중요한 판단 기준: 분야만으로 결정되지 않는다
고영향 AI 여부는 해당 분야에 속한다는 것만으로 자동 결정되지 않습니다. 사용 영역과 기본권에 대한 위험의 영향·중대성·빈도를 종합적으로 평가합니다. 예를 들어 복지센터에서 AI로 단순 일정 알림을 보내는 것과, AI로 바우처 자격을 심사하는 것은 위험 수준이 다릅니다.
고영향 AI 해당 여부가 불확실한 경우, 과학기술정보통신부에 확인을 요청할 수 있으며, 30일 이내(1회 연장 가능)에 회신을 받을 수 있습니다.
실무 권장사항: 복지·공공 분야에서 AI를 활용하고 있다면, 일단 고영향 AI에 해당한다는 전제 하에 준비하는 것이 안전합니다. 나중에 비해당 판정을 받으면 의무가 줄어드는 것이지, 반대 상황은 소급 대응이 필요해 부담이 큽니다.
지금 준비해야 할 3가지
AI기본법의 조항을 하나하나 읽는 것보다 중요한 것은, 실무에서 무엇을 바꿔야 하는지를 아는 것입니다. 지금 당장 시작해야 할 핵심 준비 사항 3가지를 정리합니다.
준비 1: AI 활용 현황 파악 및 고영향 분류
가장 먼저 해야 할 일은 "우리 조직에서 AI가 어디에 쓰이고 있는가"를 파악하는 것입니다. 많은 조직에서 AI를 사용하고 있으면서도 그것을 AI로 인식하지 못하는 경우가 있습니다.
점검 대상 업무 예시:
| 업무 | AI 활용 여부 | 고영향 가능성 |
|---|---|---|
| 바우처 자격 자동 심사 | ○ | 높음 |
| 치료 기록 자동 요약 | ○ | 높음 |
| 복지 급여 부정수급 탐지 | ○ | 높음 |
| 이용자 일정 자동 배치 | ○ | 중간 |
| 정산서·보고서 자동 생성 | ○ | 중간 |
| 민원 자동 분류 및 라우팅 | ○ | 중간 |
| 홈페이지 챗봇 상담 | ○ | 낮음 |
| 시설 안내 문자 발송 | △ | 낮음 |
조직에서 사용하는 모든 소프트웨어와 자동화 도구를 나열하고, 각각에 AI가 포함되어 있는지, 포함되어 있다면 어떤 판단을 내리는지를 기록하시기 바랍니다. 이것이 AI기본법 대응의 출발점입니다.
준비 2: 투명성 체계 구축
AI기본법 제31조에 따라, 고영향 AI 또는 생성형 AI를 이용한 서비스를 제공하는 경우 "이 서비스가 AI에 기반하여 운용된다는 사실"을 이용자에게 사전에 고지해야 합니다.
이것은 단순히 "AI를 쓰고 있습니다"라고 말하는 것이 아닙니다. 실무에서 구축해야 하는 투명성 체계는 다음을 포함합니다.
고지 방법 (시행령 기준):
- 계약서 또는 이용약관에 AI 활용 사실 명시
- 서비스 화면에 AI 기반 운영 사실 표시
- 제품·서비스에 직접 기재
실무 적용 예시:
- 바우처 심사 결과 통보 시: "본 심사 결과는 AI 분석을 참고하여 담당자가 최종 판단하였습니다"
- 치료 기록 작성 시: "본 기록은 AI가 음성을 텍스트로 변환한 후 치료사가 검토·확정한 내용입니다"
- 자동 생성 보고서: "본 보고서는 AI가 초안을 생성하고 담당자가 검토·승인한 문서입니다"
- 이용자 동의서에 추가: 개인정보 수집 동의와 별도로, AI 활용에 대한 고지 항목 추가
AI 사용이 명백한 경우(예: 서비스명에 'AI'가 포함된 경우)는 별도 고지가 면제될 수 있지만, 복지·공공 분야에서는 이용자가 취약계층인 경우가 많으므로 명시적이고 이해하기 쉬운 방식으로 고지하는 것을 권합니다. 개인정보 관리 체계와의 연계가 필요한 경우, 개인정보보호법 준수 데이터 관리 가이드도 함께 참고하시기 바랍니다.
준비 3: AI 판단의 실행 증빙 체계 확보
AI기본법이 요구하는 가장 본질적인 것은 **"AI가 무엇을 했는지 설명하고 증명할 수 있는 체계"**입니다. 투명성 고지가 "알리는 것"이라면, 실행 증빙은 "증명하는 것"입니다.
고영향 AI 사업자는 다음을 수립·공개해야 합니다(제34조).
- 위험관리 방안: AI 시스템의 위험을 식별·평가·완화하는 정책과 조직 체계
- 이용자 보호 방안: AI 판단에 대한 설명 가능성 확보
- 공개 의무: 위 내용을 홈페이지 등에 공개
그리고 영향평가(제35조)에서는 다음 항목을 포함할 것을 요구합니다.
| 영향평가 항목 | 실무에서 의미하는 것 |
|---|---|
| 영향받을 대상 식별 | 바우처 수급자, 치료 이용자 등 구체적 대상 명시 |
| 기본권 유형 식별 | 평등권, 프라이버시권 등 AI 판단이 영향 미치는 권리 |
| 사회적·경제적 영향 범위 | AI 자동 거절 시 수급 중단의 경제적 영향 등 |
| 위험 예방 및 손실 복구 | AI 오판 시 이의신청 절차, 복구 방안 |
| 평가 결과 및 개선 계획 | 정기적 평가와 개선 사이클 |
이 모든 것의 기반이 되는 것이 AI 실행 증빙입니다. AI가 어떤 데이터를 입력받아, 어떤 정책 아래에서, 어떤 판단을 내렸는지가 기록되어 있지 않으면, 투명성도 영향평가도 위험관리도 공허한 문서에 그칩니다.
현실 점검: 대부분의 조직이 갖추지 못한 4가지
솔직하게 말하면, 현재 대부분의 조직은 AI기본법이 요구하는 수준의 체계를 갖추고 있지 않습니다. 이는 의지의 문제가 아니라 구조의 문제입니다. 현재의 구조적 공백과 갖춰야 할 체계를 함께 정리합니다.
공백 1: AI 판단 근거가 기록되지 않는다
대부분의 시스템은 AI의 최종 결과만 저장합니다. "승인" 또는 "거절"이라는 결과는 남지만, 그 판단에 어떤 데이터가 입력되었고, 어떤 기준이 적용되었는지는 기록되지 않습니다. 감사관이 "왜 이 신청을 거절했는가?"라고 물었을 때 답할 수 없습니다.
필요한 체계: AI가 판단을 내리는 바로 그 순간, 입력 데이터·적용 정책·판단 결과가 하나의 단위로 기록되어야 합니다. 사후에 로그를 조합하는 것이 아니라, 판단과 증빙이 동시에 생성되는 구조가 필요합니다.
공백 2: 정책 변경 이력이 추적되지 않는다
복지 정책은 자주 변경됩니다. 소득 기준선, 자격 요건, 지원 범위가 해마다 바뀝니다. 그런데 6개월 전 AI가 판단할 때 적용된 정책이 현재 정책과 다르다면, "당시 기준으로는 적법했다"를 증명할 방법이 있어야 합니다. 대부분의 시스템은 현재 정책만 보유하고 있어 과거 기준의 재현이 불가능합니다.
필요한 체계: AI 판단에 적용된 정책의 버전이 판단 기록에 함께 봉인되어야 합니다. 정책이 변경되더라도 "당시 이 기준이 적용되었다"를 증명할 수 있어야 합니다.
공백 3: 인간과 AI의 역할이 구분되지 않는다
AI기본법이 강조하는 것 중 하나는 AI의 판단과 인간의 판단을 구분할 수 있어야 한다는 것입니다. 하지만 현재 많은 시스템에서는 AI가 초안을 작성하고 담당자가 "확인" 버튼을 누르면, 최종 기록에는 담당자의 이름만 남습니다. AI가 어디까지 관여했고, 인간이 어디서부터 판단했는지 구분할 수 없습니다.
필요한 체계: AI가 추천했는지, 보조했는지, 자율 판단했는지가 기록되고, 인간의 검토·승인 여부와 그 시점이 함께 남아야 합니다.
공백 4: 기록의 무결성이 보장되지 않는다
문제가 발생한 후 로그를 뒤져서 사후적으로 보고서를 만드는 방식은 AI기본법의 취지에 부합하지 않습니다. 또한 기록이 사후에 수정되거나 삭제될 수 있다면, 그 기록은 감사 증빙으로서의 가치가 없습니다.
필요한 체계: 기록의 무결성을 기술적으로 보장하는 구조가 필요합니다. 투명성은 사후가 아니라 사전에, 그리고 판단이 이루어지는 그 시점에 확보되어야 합니다.
AI기본법 대응 실무 체크리스트
지금 바로 시작할 수 있는 점검 항목을 정리합니다.
1단계: 현황 파악 (1~2주)
- 조직에서 사용 중인 모든 AI 도구·시스템 목록 작성
- 각 AI 시스템이 내리는 판단의 유형과 영향 범위 기록
- 고영향 AI 해당 가능성 분류 (높음/중간/낮음)
- 현재 AI 판단 기록이 어디에, 어떤 형태로 저장되는지 확인
2단계: 투명성 체계 정비 (2~4주)
- 이용자 대상 AI 활용 고지 문구 작성
- 이용약관 또는 동의서에 AI 활용 고지 항목 추가
- 서비스 화면에 AI 기반 운영 표시 추가
- AI 생성 문서에 "AI 초안 + 담당자 검토" 표시 체계 마련
3단계: 실행 증빙 체계 구축 (4~8주)
- AI 판단 시 입력 데이터의 스냅샷 저장 방안 마련
- 정책 버전 관리 체계 도입 (판단 시점의 정책 기록)
- AI-인간 역할 분리 기록 체계 구축
- 감사 시 판단 근거를 즉시 제출할 수 있는 리포트 체계 마련
- 기록의 위변조 방지 방안 검토
4단계: 영향평가 준비 (지속)
- AI 판단이 영향을 미치는 대상 집단 식별
- 영향받는 기본권 유형 분석 (평등권, 프라이버시권 등)
- AI 오판 시 이의신청 및 복구 절차 수립
- 정기적 평가·개선 사이클 수립
AI기본법은 위기가 아니라 기회다
AI기본법을 "규제 부담"으로만 보면 본질을 놓칩니다. 이 법이 실질적으로 만드는 변화는 다음과 같습니다.
영향평가를 완료한 AI 제품은 국가기관 구매 시 우선 고려됩니다. 공공조달에서 "AI기본법 준수"는 선택이 아니라 경쟁력이 됩니다.
투명한 AI 체계를 갖춘 조직은 감사에서 유리합니다. 감사가 "조사"에서 "조회"로 바뀝니다. AI 판단의 근거를 즉시 제출할 수 있는 조직과, 수 주간 로그를 뒤져야 하는 조직 사이의 차이는 명확합니다.
이용자 신뢰가 높아집니다. 복지 서비스 이용자에게 "AI가 판단에 관여했으며, 그 근거는 이것입니다"라고 설명할 수 있는 조직은 서비스 만족도와 민원 감소 모두에서 효과를 볼 수 있습니다.
경영진에게 규제 대응 역량의 근거가 됩니다. AI 기반 서비스를 제공하면서 법적 체계를 갖추고 있다는 것은 조직의 리스크 관리 수준을 보여주는 지표입니다.
크로노젠의 AI 실행 증빙 체계
위에서 정리한 4가지 구조적 공백은 정확히 크로노젠이 설계된 목적과 일치합니다. 크로노젠은 AI기본법이 제정되기 전부터 **"AI 실행 증빙"**을 핵심 아키텍처로 설계해 왔습니다.
크로노젠의 Proof Layer는 모든 AI 판단이 생성되는 순간, 그 증빙을 함께 만드는 구조입니다. DPU(Decision Proof Unit)라는 단위로 입력 데이터·적용 정책·판단 결과·인간 검토 이력을 하나의 봉인된 기록으로 남기며, SHA-256 해시 체인으로 위변조를 방지합니다.
| AI기본법 요구사항 | 크로노젠 대응 |
|---|---|
| 투명성 고지 (제31조) | DPU에 AI Mode(RECOMMENDATION/ASSIST/AUTONOMOUS) 자동 기록 |
| 위험관리 방안 (제34조) | 5 Governance Guards가 위험 수준별로 AI 자율 모드 차단·인간 검토 강제 |
| 설명 가능성 (제34조) | 6W 구조(Who·What·When·Where·Why·How) + Policy Snapshot |
| 영향평가 (제35조) | Responsibility Graph로 행위자별 역할·책임 추적 |
| 기록 무결성 | SHA-256 Hash Chain으로 위변조 즉시 탐지 |
AI 판단 감사 추적이 실무에서 어떻게 작동하는지에 대한 구체적인 시나리오는 DPU 기반 감사 추적 체계 구축 시나리오에서 확인하실 수 있습니다.
다음 단계
AI기본법 대응은 한 번의 프로젝트가 아니라 지속적인 체계입니다. 법의 세부 시행령이 계속 구체화되고 있으며, 과태료 계도기간이 종료되기 전에 체계를 갖추는 것이 중요합니다.
- 크로노젠 도입 가이드 에서 Proof Layer 기반 증빙 구조를 확인하세요
- 공공기관 AI 도입 체크리스트 에서 AI 도입 전체 로드맵을 살펴보세요
- 도입 상담 신청 에서 조직의 AI기본법 대응 현황에 맞춘 진단을 받아보세요
AI기본법이 요구하는 것은 "AI를 쓰지 마라"가 아닙니다. "AI가 한 일을 증명하라"입니다. 크로노젠은 그 증명을 설계에 내재시킵니다.