영향평가는 ‘노력 의무’지만 현실에선 공공 조달·B2B 거래의 기본 요건으로 작동해
핵심은 보고서가 아니라 질문, 피영향자·기본권·통제장치를 설계하지 않으면 의미 없어
글로벌 시장에서 영향평가는 EU식 기본권 영향평가(FRIA)와 맞닿는 신뢰 증빙 문서로 인식
편집자 주
AI 기본법 시행과 함께 공개된 5종 가이드라인(투명성·안전성·고영향 판단·고영향 사업자 책무·영향평가)은 기업의 AI 운영을 ‘기술’이 아니라 ‘책임’의 문제로 바꾸고 있다. 테크42는 이번 시리즈를 통해 각 가이드라인이 요구하는 핵심 원칙과 실무 포인트를 짚고, 서비스 설계·운영·거버넌스 관점에서 무엇이 달라지는지 정리한다. 특히 ‘고지·표시’부터 위험관리와 문서화, 그리고 기본권 영향평가까지 이어지는 연결고리를 따라가며 현장에서 바로 부딪히는 쟁점을 짚어본다.
 |
ⓒTech42 |
영향평가는 처벌을 위한 절차가 아니다. 고영향 AI가 사회에 미칠 수 있는 영향을 사전에 발견하고 고치는 메커니즘에 가깝다. AI 기본법 체계에서 영향평가가 갖는 위치도 비슷하다. 법 조문은 사업자에게 이를 ’의무’로 못박기보다 사전에 평가하기 위해 노력하도록 설계했다. 대신 국가기관 등이 고영향 AI 제품·서비스를 이용하려는 경우 영향평가를 실시한 제품·서비스를 우선 고려하도록 해 시장에 자발적인 참여를 유도하고 있다.
다시 말해 공공 조달과 대기업 B2B 거래에서 현 시점의 영향평가는 곧바로 도입 조건(체크리스트)이 될 수 있다. 이에 업계에서는 ‘규제 대응’이 아니라 ‘영업 대응’의 문제로 영향평가를 인식하기 시작했다. ‘영향평가를 했는가’가 한 줄 질문으로 들어오는 순간, 기업은 우선 평가 자체보다 문서화된 평가 결과와 운영 정책을 제시하는 것이 중요하다. 핵심은 이러한 대비가 다시 해외 규제·해외 고객과 맞닿아 있다는 점이다.
공공 우선 고려가 만든 실전 체크리스트
 |
ⓒTech42 |
AI 기본법 중 영향평가와 관련해 과학기술정보통신부(이하 과기정통부)가 강조하는 지점은 영향평가가 ‘처벌’보다 ‘선제 점검’에 가깝다는 점이다. 특히 공공 부문이 고영향 AI를 도입할 때 영향평가 실시 제품·서비스를 우선 고려하도록 한 구조는, 시장에서 영향평가가 ‘기본 요건’처럼 작동할 여지를 만든다.
여기에 정책 메시지가 한 겹 더 얹힌다. 과기정통부의 산업 지원 파트에는 중소기업 지원 항목으로 AI 영향평가 등 지원이 포함돼 있다. 영향평가가 단순 규제가 아니라 ‘지원+도입’ 구조의 일부로 묶여 있다는 뜻이다. 업계에서는 이 대목이 중요하다고 본다. 영향평가는 결국 인력·시간·문서화가 필요한 작업인데, 이를 ‘기업 부담’으로만 남겨두지 않고 제도적으로 완충하겠다는 취지로 읽히기 때문이다.
다만 현장에서는 다른 걱정도 나온다. 지원이 있더라도 조달·거래 문턱에서 요구되는 문서 수준이 높아지면, 영향평가는 ‘한 번 작성’이 아니라 제품 변경 주기마다 업데이트해야 하는 산출물이 된다. AI 서비스는 모델·데이터·정책이 빠르게 바뀌는 특성이 있어, 영향평가가 개발 프로세스에 녹지 않으면 곧바로 ‘따로 하는 일’로 남아 운영 비용이 커질 수 있다는 지적이다.
글로벌 상호운용성은 ‘명분’이 아니라 계약서 언어가 된다
 |
ⓒTech42 |
AI 기본법 가이드라인에서 흥미로운 대목은 목적을 ‘기본권 보호’만으로 제한하지 않는다는 점이다. 잠재 영향을 사전에 식별·분석해 개선방안을 마련·이행하도록 유도하는 동시에, 글로벌 상호운용성을 강조한다. 즉 영향평가를 ‘국내 준수용 보고서’뿐 아니라, 해외 규제·해외 고객과 맞닿는 신뢰 증빙 문서로 바라보라는 얘기다.
실제로 글로벌 규제 환경은 영향평가의 가치를 밀어 올리는 방향으로 움직이고 있다. EU는 ‘고위험 AI’에 대해 공공 분야나 금융 평가 등 특정 유형의 배포자를 대상으로 기본권 영향평가(FRIA)라는 프레임을 전면에 세웠고, 미국에서도 주(州) 단위로 AI 투명성·안전 요구가 확산되는 흐름이 이어지고 있다.
이와 관련 업계에서는 “해외 고객이 묻는 질문이 점점 한국식 ‘영향평가’ 질문과 닮아간다”는 말이 나온다. ‘누가 영향을 받는지, 어떤 권리가 걸리는지, 오판 시 피해를 어떻게 줄일지, 책임 라인은 어디인지’ 같은 질문이다. 결국 영향평가는 국내 규제 대응을 넘어 해외 계약·조달 문서에 대응하는 언어가 될 수 있다.
서류가 아니라 질문이다… ‘피영향자–기본권–통제장치’로 내려와야 한다
 |
ⓒTech42 |
영향평가를 실무 언어로 바꾸면 ‘무엇을 적느냐’가 아니라 ‘무엇을 먼저 묻느냐’로 시작한다. 가이드라인이 제시하는 흐름(사전 준비→본 평가→사후 단계)을 제품 언어로 옮기면 세 가지 질문으로 압축된다.
첫째, ‘피영향자는 누구인가’다. 직접 이용자뿐 아니라 결과 때문에 간접적으로 불이익을 받는 사람, 예상치 못한 방식으로 영향을 받을 수 있는 사람까지 포함해 범위를 넓게 잡아야 한다. 업계에서는 이 작업이 부담스럽다고 말하면서도, 실제 사고의 상당수가 ‘우리가 생각하지 못한 사람’에서 시작된다는 점에서 의미가 있다고 본다.
둘째는 ‘어떤 기본권이 걸리는가’다. 중요한 건 ‘그럴듯한 권리 이름’을 나열하는 게 아니다. 서비스 맥락에서 어떤 권리가 어떤 방식으로 침해될 수 있는지까지 내려와야 한다. 예컨대 채용·대출·교육·공공서비스처럼 자동화된 판단이 개인의 기회를 바꿀 수 있는 영역에서는, “잘못된 판단이 누구에게 어떤 불이익을 주는가”가 핵심 질문이 된다. 업계에서는 이 과정이 제대로 되면 영향평가가 단순 보고서가 아니라 리스크 설계 문서가 될 것이라고 보고 있다.
셋째는 ‘통제장치는 무엇인가’다. 영향평가가 ‘평가’에서 끝나지 않으려면 이용자 선택권과 운영 정책으로 연결돼야 한다. ‘결과를 거부하거나 재생성을 요청할 수 있는지, 설명 요청·이의제기 채널이 있는지, 결과를 철회하거나 삭제할 수 있는지’ 같은 장치가 실제로 동작해야 한다. 업계에서는 이 지점에서 영향평가가 투명성(고지·표시), 사업자 책무(설명·이의제기·문서화), 안전성(위험관리)까지 하나의 체계로 이어진다고 본다. 즉 영향평가는 그 체계를 ‘앞단에서 설계하는 문서’라는 의미다.
팩트 박스 | 영향평가를 ‘현장 문서’로 만드는 질문
>이 기능이 영향을 미치는 직접/간접/예상치 못한 피영향자는 누구인가?
>자동화된 결과가 권리·기회에 어떤 방식으로 개입하는가?
>오판·오남용 시 피해 범위는 어디까지 퍼질 수 있는가(개인→집단→사회)?
>이용자는 결과에 대해 설명 요청·이의제기·수정·철회를 할 수 있는가(채널·기한·담당 포함)?
>이 평가 결과를 공공·대기업·해외 고객에게 신뢰 증빙 문서로 제시할 수 있는가?
황정호 기자
저작권자 © Tech42 - Tech Journalism by AI 테크42 무단전재 및 재배포 금지
