오늘은 <기업 준비 체크리스트: AI기본법 시행 전 ‘이것만은’ 해두기>를 주제로, 회사가 AI를 쓰는 현실에서 “당장 무엇부터 점검해야 안전한지”를 아주 쉬운 말로 정리해볼게요. AI기본법(정식 명칭: 「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」)은 2026년 1월 22일 시행으로 공표돼 있고, 핵심은 “AI는 키우되, 위험은 줄이자”입니다.
특히 법과 하위안(시행령·가이드라인) 흐름에서 기업이 자주 마주치는 포인트는 투명성(고지), 안전·위험관리, 그리고 고영향 AI 영향평가 같은 책임이에요.
그러니 준비의 목표는 단순합니다. “규정을 외우기”가 아니라, 사고가 날 만한 지점을 미리 잠그는 운영 방식을 만드는 거예요.
1) 먼저 “우리 회사가 AI를 어디에 쓰는지”부터 지도 그리기
체크리스트의 첫 단계는 늘 같습니다. 현황을 모르면 관리가 안 됩니다. 이 단계는 법무·보안·개발이 아니어도 할 수 있어요.
(1) AI 사용 인벤토리(목록) 만들기: 1시간 버전
아래 항목만 표로 만들어도 시작이 됩니다.
- AI를 쓰는 부서/팀 이름
- 어떤 AI인지(내부 개발 / 외부 서비스 / 오픈소스)
- 무엇을 하는 AI인지(예: 고객상담 답변, 마케팅 문구 생성, 채용 서류 분류, 위험 탐지 등)
- 입력되는 데이터 종류(일반 정보 / 개인정보 / 민감정보 가능성)
- 결과가 영향을 미치는 대상(고객, 직원, 지원자, 제휴사 등)
- 결과가 “결정”에 쓰이는지(자동으로 결정? 참고만?)
이 표 한 장이 있어야, 다음 단계인 “고영향 가능성”을 판단할 수 있어요. 고영향 AI는 사람의 안전이나 기본권에 큰 영향을 줄 우려가 있는 경우를 중심으로 잡히는 구조라서, 어디에 쓰는지가 핵심입니다.
(2) “고영향 가능 영역”에 별표 치기
아직 법 해석을 완벽히 할 필요는 없어요. 우선 다음 유형에 해당하면 별표를 쳐두세요.
- 사람을 뽑거나 평가하는 일(채용, 승진, 성과 평가)
- 사람에게 불이익을 줄 수 있는 분류/판단(이상거래 차단, 계정 정지, 대출·보험 유사 판단 등)
- 안전과 직접 연결되는 영역(의료, 안전, 재난, 교통 등)
- 취약계층이나 아동 등 보호가 필요한 대상과 연결되는 서비스
이런 곳은 “혹시라도 고영향으로 분류될 수 있나?”를 먼저 보는 게 좋습니다. 실제로 하위 가이드라인 논의도 기업이 이 부분을 가장 궁금해한다는 흐름이 있어요.
(3) 외부 AI를 쓰는 팀부터 우선 점검하기
사내 모델이든 외부 모델이든 위험은 생길 수 있지만, 외부 서비스를 쓰는 경우는 특히 아래가 흔합니다.
- “우리 데이터가 학습에 쓰이냐”가 불명확
- 로그가 어디에 저장되는지 모름
- 담당자 연락창구가 없음
- 계약서에 책임/보안이 약함
그래서 외부 AI부터 “계약·보안·권한” 체크를 먼저 하는 편이 실전에서 효율적입니다.
2) 법 시행 전에 꼭 묶어야 할 3대 장치: 고지, 위험관리, 영향평가
AI기본법과 시행령/가이드라인 흐름을 보면 기업에 요구되는 방향이 “한 가지”가 아니에요. 대신 크게 3개로 묶어 생각하면 쉽습니다.
(1) 고지(투명성): “AI 썼다”를 이용자가 알 수 있게
생성형 AI나 고영향 AI에 대해 “사용 사실을 알리라”는 방향이 정책 설명에서 반복됩니다. ()
기업이 할 일은 복잡하지 않아요. “문구”를 예쁘게 쓰는 게 아니라, 노출 위치와 타이밍을 정하는 겁니다.
- 고객 화면 어디에 표시할지(상단, 답변 아래, 최초 진입 팝업 등)
- 어떤 상황에서 표시할지(항상 / 특정 기능 사용 시 / 결정에 영향을 주는 결과일 때)
- 고객센터/약관/개인정보처리방침과 문구를 맞출지
- 내부 직원용 도구도 고지할지(내부 공지, 툴 안내 문서)
추천 문장 예시(짧게):
- “이 답변은 AI를 활용해 생성될 수 있습니다.”
- “중요한 결정 전에는 담당자 확인이 필요합니다.”
여기서 포인트는 “고지 = 면책”이 아니라는 겁니다. 고지는 시작이고, 다음 장치가 같이 있어야 안전해져요.
(2) 위험관리: “문제 생기기 전”에 막는 규칙 만들기
시행령 입법예고 설명에서도 위험관리 체계와 모니터링이 중요한 축으로 언급됩니다.
회사에서 바로 적용 가능한 위험관리 장치는 아래처럼 만들 수 있어요.
- 승인지점(멈춤 버튼): 결제/제출/삭제/대외 발송 전에는 사람 확인
- 금지 규칙: 개인정보 입력 금지, 인증번호/비밀번호 처리 금지, 임의 다운로드 금지
- 사전 필터: 욕설·차별·불법 안내 등 위험한 출력 차단
- 사후 모니터링: 이상 출력 신고 버튼, 고객 불만 키워드 감지
- 사고 대응 루틴: 접수→중단→원인 분석→재발 방지(기록 포함)
이걸 “문서 한 장”으로 만들어 두면, 팀이 바뀌어도 같은 규칙으로 움직입니다.
(3) 영향평가: “고영향 가능”이면 더 꼼꼼히 점검
정부 자료에서도 인공지능 영향평가에 포함해야 할 사항을 구체화한다는 흐름이 나옵니다.
어렵게 느껴질 수 있지만, 회사 입장에선 이렇게 번역하면 됩니다.
- 누구에게 어떤 불이익이 생길 수 있나?
- 잘못된 판단이 나왔을 때 피해는 얼마나 커지나?
- 사람 검토(휴먼 체크)를 어디에 둘 건가?
- 오류가 났을 때 되돌리는 방법이 있나?
- 설명이 가능한가(왜 이런 결과가 나왔는지)?
영향평가는 “보고서 쓰기”가 목적이 아니라, 위험이 큰 곳에 안전띠를 더 두르는 작업이에요.
3) 기업용 ‘이것만은’ 체크리스트 15개: 한 장으로 끝내기
아래 15개는 “큰 회사만 하는 것”이 아니라, 팀 규모가 작아도 적용할 수 있게 만든 항목이에요. 체크 표시만 해도 준비 수준이 확 올라갑니다.
A. 현황·분류(1~5)
- AI 사용 목록(인벤토리) 표가 있다
- 외부 AI/내부 AI를 구분했다
- 개인정보/민감정보가 들어가는 지점에 표시했다
- 결과가 “결정”에 쓰이는 기능을 표시했다
- 고영향 가능 영역(채용/평가/불이익 판단 등)에 별표를 쳤다
B. 고지·문서(6~9)
6. 고객용 “AI 사용 고지” 문구가 정해져 있다
7. 고지 문구의 노출 위치/타이밍이 정해져 있다
8. 내부 직원용 도구에도 사용 안내가 있다(교육자료/FAQ)
9. “AI 결과는 최종 판단이 아니다” 같은 내부 기준이 문서화돼 있다
C. 통제·안전(10~15)
10. 결제/제출/삭제/대외 발송에는 승인지점이 있다
11. 비밀번호·인증번호·주민번호 등 민감 입력은 금지 규칙이 있다
12. 위험 출력(차별/불법/허위 등) 대응 루틴이 있다
13. 사고가 나면 중단할 수 있는 스위치가 있다(기능 off, 모델 교체 등)
14. 로그/기록이 남는다(무엇을 입력했고 무엇이 출력됐는지)
15. 외부 AI 계약/정책에서 데이터 사용, 보관, 책임 경계를 확인했다
이 체크리스트는 “완벽”을 요구하지 않아요. 대신 흔한 사고를 줄이는 최소 장치를 만드는 게 목표입니다. 시행령·가이드라인도 투명성, 안전성, 고영향 판단·책무를 구체화하는 방향으로 설명되고 있어, 기업은 결국 운영 체계를 갖추는 쪽으로 준비가 모이게 됩니다.
AI기본법 시대에 기업이 해야 할 일은 “AI를 덜 쓰는 것”이 아니라, AI를 안전하게 쓰는 습관을 회사 시스템으로 만드는 것입니다. 첫째는 AI 사용 지도를 그리고, 둘째는 고지·위험관리·영향평가 축을 세우고, 셋째는 체크리스트로 운영을 고정하는 거예요.
이렇게만 해도 “누군가의 감각”이 아니라 “회사 규칙”으로 AI를 다루게 됩니다. 그리고 그 순간부터 AI는 불안한 실험이 아니라, 팀이 믿고 쓰는 도구가 됩니다.