Executive Summary

주요 수치

사건의 윤곽은 네 개의 숫자에 담깁니다. 2년 전 제정된 법이 단 하루도 발효되지 못한 채 사라졌고, 그 폐지는 원래 시행일을 불과 6주 앞두고 결정됐습니다. 대신 들어선 새 법은 반년 뒤에 발효되며, 이 모든 일은 연방 차원의 포괄 AI법이 없어 45개 주가 제각기 법을 쏟아내는 패치워크 한복판에서 벌어졌습니다.

출처: Hunton Andrews Kurth, Norton Rose Fulbright

2024년 콜로라도는 미국에서 처음으로 포괄적인 AI법을 통과시켰습니다. 정식 명칭은 SB 24-205, 흔히 콜로라도 AI법이라 부르는 법입니다. 이 법은 '고위험 AI 시스템'을 규제 대상으로 삼아, 개발자와 배포자에게 알고리즘 차별을 막을 주의 의무를 지우고 연간 영향평가와 위험관리 프로그램을 요구했습니다. EU AI법에 비견되는 미국 최초의 시도였고, 다른 주들이 본받을 모델로 주목받았습니다.

이 법의 시행 예정일이 바로 오늘, 2026년 6월 30일이었습니다. 원래는 2026년 2월 1일에 발효될 예정이었지만 한 차례 연기를 거쳐 오늘로 미뤄졌습니다. 그런데 시행을 약 6주 앞둔 5월 14일, 콜로라도 주지사 재러드 폴리스는 이 법을 폐지하고 완전히 다른 법으로 대체하는 법안에 서명했습니다. 결과적으로 미국 첫 포괄 AI법은 단 하루도 효력을 가져 보지 못한 채 사라졌습니다.

무엇이 이 급반전을 불렀을까요. 시행이 다가올수록 구 법은 정의가 모호하고 준수 부담이 크다는 비판에 시달렸습니다. 2026년 4월에는 일론 머스크의 xAI가 법적 도전에 나섰고, 주 법무장관은 집행 유예에 합의했습니다. 입법자들은 법을 손보는 대신 통째로 갈아엎는 길을 택했습니다. 폐지하고(repeal) 다시 쓰는(replace) 방식이었습니다.

새 법(SB 26-189)의 이름은 '자동화 의사결정 기술(Automated Decision-Making Technology, ADMT)'입니다. 용어가 바뀐 것은 단순한 리브랜딩이 아닙니다. 규제 대상을 다시 정의한 것입니다. 구 법이 'AI 시스템'이라는 모델의 범주를 규제했다면, 새 법은 "개인정보를 처리해 추천·순위·점수를 만들어 내는 기술"을 규제합니다. Norton Rose Fulbright의 분석은 이렇게 짚습니다. 개정된 법은 "'artificial intelligence'라는 표현을 담지 않으며, 대신 'automated decision-making technology'라는 용어를 쓴다"는 것입니다.

규제가 작동하는 방아쇠도 달라졌습니다. ADMT가 "중대한 결정에 실질적으로 영향을 줄 때(materially influence a consequential decision)"가 규제 대상입니다. 중대한 결정의 범위는 교육, 고용, 주거, 금융, 보험, 헬스케어, 정부 서비스로, 구 법과 거의 같습니다. 대상 도메인은 그대로 둔 채, 무엇을 그 안에서 규제할지의 기준만 모델에서 데이터 처리로 옮긴 셈입니다.

가장 크게 달라진 것은 의무의 내용입니다. 구 법의 핵심이던 알고리즘 차별 방지 주의 의무, 연간 영향평가, 위험관리 프로그램은 모두 사라졌습니다. 대신 새 법은 사전 고지, 불리한 결과가 나왔을 때 30일 안의 설명, 의미 있는 인간의 재검토, 부정확한 개인정보를 정정할 권리를 둡니다. 무거운 사전 심사에서 가벼운 투명성·정정 중심으로 무게가 옮겨갔습니다.

규제 대상을 부르는 용어부터 규제의 초점, 핵심 의무, 그리고 실제 시행 여부까지, 두 법은 거의 모든 축에서 갈라집니다. 무엇이 어떻게 바뀌었는지를 나란히 놓고 보면 이 교체가 표지만 갈아끼운 일이 아님이 드러납니다.

'AI'라는 단어를 지운 데는 현실적인 이유가 있습니다. 무엇을 'AI 시스템'이라 부를지부터가 합의되지 않습니다. 정의가 넓으면 계산기까지 규제망에 걸리고, 좁히면 빠져나갈 구멍이 생깁니다. 구 법은 'AI 시스템'을 "입력으로부터 추론해 출력을 생성하는(infer from inputs to generate outputs)" 무언가로 규정하려 했는데, 이는 모델의 추상적 성질에 기댄 정의라 경계가 흐렸습니다. 소송과 집행 양쪽에서 다툼의 빌미가 됐습니다.

새 법은 정의의 닻을 다른 곳에 내렸습니다. 모델이 얼마나 정교한지가 아니라, "개인정보를 처리해(processes personal data) 중대한 결정에 실질적 영향을 주는가"를 기준으로 삼았습니다. Crowell & Moring의 분석은 이 전환을 한 문장으로 요약합니다. "이 전환은 모델 중심 규제에서 운영 영향 평가로 이동한 것이다(This shift moves away from model-centric regulation toward operational impact assessment)." 같은 글은 새 법이 "알고리즘의 정교함이 아니라 실제 데이터 흐름을 중심으로 정의를 작동시킨다"고 덧붙입니다.

같은 도메인을 규제하면서도 두 법이 닻을 내린 지점은 전혀 다릅니다. 구 법은 모델이 입력에서 출력을 만들어 내는 성질 자체를 잡으려 했고, 새 법은 개인정보가 점수와 순위를 거쳐 결정에 닿는 흐름을 잡습니다. 규제의 닻이 모델에서 데이터 흐름으로 어떻게 내려왔는지를 다음 그림에 정리했습니다.

그래서 새 법에는 무엇이 ADMT가 아닌지를 또렷이 적은 제외 목록이 있습니다. 방화벽, 스팸 필터, 맞춤법 검사기, 계산기, 데이터베이스, 스프레드시트, 그리고 "사람의 검토를 위해 정보를 요약하거나 제시하기만 하는 도구"가 빠집니다. 이들이 빠지는 이유는 단순해서가 아닙니다. 개인정보를 처리해 결정에 실질적 영향을 주는 흐름이 아니어서입니다. 같은 스프레드시트라도 개인정보로 채용 점수를 산출하면 규제 안으로 들어옵니다. 선은 도구의 종류가 아니라 데이터가 어디로 흐르느냐에 그어집니다.

"AI를 규제하려면 모델을 규제하라"는 직관은 자연스럽습니다. 위험이 모델에서 나온다고 보기 때문입니다. 그런데 콜로라도의 선택은 그 직관이 입법 현실에서 작동하지 않았음을 보여 줍니다. 모델의 성질로는 규제 대상을 또렷이 그을 수 없었고, 결국 규제는 측정 가능한 자리로 내려왔습니다. 어떤 개인정보가 처리돼 어떤 결정이 되는가, 바로 데이터 레이어입니다.

새 법의 의무를 하나씩 뜯어보면 이 점이 분명해집니다. 부정확한 개인정보를 정정할 권리, 불리한 결과가 나온 뒤 30일 안의 설명, 의미 있는 인간의 재검토. 세 의무 모두 "어떤 데이터가 이 결정을 만들었는가"를 추적하고 설명하고 고칠 수 있어야 이행됩니다. 컴플라이언스의 실체는 모델 가중치가 아니라 데이터의 계보와 결정의 추적 가능성입니다. Crowell & Moring의 표현대로, 새 법에서는 "개인정보 처리 자체가 규제 대상 여부의 토대"가 됩니다.

규제의 무게중심이 데이터로 내려왔다는 신호는 콜로라도만의 것이 아닙니다. 많은 주가 새 AI 규제 기구를 따로 만들기보다, 이미 가진 프라이버시·소비자보호 틀 위에 ADMT 조항을 얹는 방식을 택하고 있습니다. 캘리포니아의 CCPA가 사실상 템플릿이 됐습니다. 입법자들이 "AI를 규제하는 가장 작동하는 방법은 개인정보 처리를 규제하는 것"이라는 결론으로 수렴하고 있는 셈입니다.

미국에는 아직 연방 차원의 포괄 AI법이 없습니다. 그 공백을 주(州)들이 제각기 메우면서, 2026년 3월까지 45개 주에서 1,561건의 AI 법안이 발의됐습니다. 그런데 그 흐름의 방향이 한 곳을 향합니다. 넓은 '고위험 AI' 틀에서 좁고 결정 중심적인 모델로 이동하는 것입니다. 콜로라도는 그 방향을 가장 극적으로 보여 준 사례일 뿐입니다.

다른 주에서도 같은 패턴이 보입니다. 텍사스의 책임 있는 AI 거버넌스법(TRAIGA)은 입법 과정에서 고위험 영향평가 조항이 최종안에서 빠졌습니다. 유타는 후속 개정으로 규제 범위를 좁혔습니다. 캘리포니아는 CCPA의 ADMT 규칙으로 "개인정보를 처리해 인간의 의사결정을 대체하거나 실질적으로 대체하는 기술"을 규제하며, 콜로라도와 텍사스가 그 구조를 빌려 씁니다. 무거운 사전 규제 대신, 데이터 처리와 투명성에 초점을 맞추는 쪽으로 수렴하고 있습니다.

2026년 6월에는 연방 차원에서 주 AI법을 선점하려는 행정명령도 나왔지만, 지금까지 실질적인 선점 효력은 없고 위헌 논란이 따라붙고 있습니다. 당분간 미국의 AI 규제는 주 단위 패치워크로 남을 가능성이 큽니다. 그 패치워크가 공통으로 가리키는 방향은 분명합니다. 규제는 모델이라는 추상이 아니라, 개인정보가 결정으로 흐르는 데이터 레이어에서 작동한다는 것입니다.

공식 문서 & 입법

• 1.Colorado General Assembly. (2026년 5월 14일). "SB26-189 Automated Decision-Making Technology."
• 2.Colorado General Assembly. (2024). "SB24-205 Consumer Protections for Artificial Intelligence (Colorado AI Act)."

로펌 분석

• 3.Norton Rose Fulbright. (2026년 5월). "Colorado enacts revised AI law."
• 4.Crowell & Moring. (2026년 5월). "Colorado Hits Reset on AI Regulation: SB 26-189 Repeals and Reenacts the Colorado AI Act."
• 5.Hunton Andrews Kurth. (2026년 5월). "Colorado AI Act Amended and Effective Date Delayed."
• 6.Troutman Pepper Locke. (2026년 5월). "Colorado Legislature Passes Bill to Repeal and Replace Colorado AI Act."
• 7.Skadden, Arps, Slate, Meagher & Flom. (2026년 6월). "Colorado Repeals and Replaces Its AI Act."
• 8.Davis Wright Tremaine. (2026년 5월). "Colorado AI Act Repealed and Replaced by Narrower Transparency Law."

동향 & 비교

• 9.Glacis. (2026). "US State AI Laws Tracker 2026."
• 10.Norton Rose Fulbright. (2026). "The Texas Responsible AI Governance Act (TRAIGA)."