Executive Summary

지난 6월 4일 미 하원의 공화·민주 양당 의원들이 함께 공개한 Great American AI Act(GAAIA) 초안은 한 가지 질문에 정면으로 답한다. "이 AI는 안전하게 만들어졌다"는 회사의 말을 누가 보증하느냐는 질문이다. 초안의 답은 회사의 자기 선언이 아니라, 정부가 면허를 발급한 외부 검증기관이다.

연매출 5억 달러를 넘는 대형 프런티어 개발사는 이 면허 검증기관(IVO)의 정기 감사를 6개월마다 받아야 한다. 회계법인이 상장사의 재무제표를 감사하듯, 독립 기관이 AI 개발사의 위험 관리 체계를 들여다보고 보고서를 제출하는 구조다. 데이터·모델 품질을 다루는 회사에게 이 전환은 단순한 규제 뉴스가 아니라 시장의 정의가 바뀌는 사건이다.

아직 정식 발의 전인 토론용 초안이라 통과 가능성은 높지 않다. 그러나 방향은 분명하다. AI 감사가 회계감사처럼 면허 직업으로 굳어진다면, "검증 가능한 데이터·모델 근거"를 만드는 일이 규제 인프라가 된다.

주요 수치

네 숫자만 봐도 초안의 골격이 드러난다. 감사 대상을 가르는 매출 기준, 정기 감사가 돌아오는 주기, 의무를 어겼을 때 치르는 대가, 그리고 이 제도를 집행할 기관의 몸집이다. 회사의 선언을 외부 검증으로 바꾸는 데 얼마나 구체적인 장치가 동원되는지를 한눈에 보여준다.

출처: DLA Piper, "Unpacking the Great American AI Act"

$500M

IVO 감사 의무 기준

연매출 5억 달러 이상 대형 개발사

6개월

정기 감사 주기

시행 1년 후부터 반기마다

$1M/일

위반 시 최대 처벌

감사 거부·허위 진술 1일당

$15M→$100M

CAISI 예산 확대

면허 발급·감독 기관

1

"AI를 안전하게 만들었다"는 말, 누가 보증하나

지금까지 AI 안전성은 대부분 개발사의 자기 선언에 의존해 왔다. 프런티어 모델을 만드는 회사가 "우리는 위험을 평가했고, 충분히 완화했다"고 발표하면 그것이 사실상의 보증이었다. 외부에서 그 평가가 제대로 됐는지 독립적으로 확인할 장치는 거의 없었다.

6월 4일 공개된 Great American AI Act 초안은 이 구조를 바꾸려 한다. 공화당 제이 오버놀트(Jay Obernolte), 민주당 로리 트레이핸(Lori Trahan) 의원이 공동으로 내놓은 269페이지짜리 초당파 초안이다. 핵심은 안전성 주장을 회사 바깥에서 검증하게 만드는 것이다. 회사가 안전하다고 말하면, 정부가 면허를 준 제3의 기관이 그 말이 맞는지 들여다본다.

바뀌는 것은 한 단어다. "우리가 안전하게 만들었다"에서 "독립 기관이 안전하다고 확인했다"로. 금융에서 상장사의 재무제표를 회사가 아니라 외부 감사인이 보증하는 것과 같은 원리다.

미 하원 의사당 서쪽 전면 — Great American AI Act 초안이 공개된 장소
▲ 미 하원 의사당 서쪽 전면. 2026년 6월 4일 이곳에서 GAAIA 초안이 공개됐다. | Source: Wikimedia Commons (PD)
2

GAAIA가 만들려는 건 면허받은 AI 감사인이다

초안의 중심에는 독립 검증기관(Independent Verification Organization, IVO)이 있다. IVO는 프런티어 AI 개발사를 감사하는 외부 전문 기관인데, 아무나 될 수 없다. NIST 산하의 CAISI(Center for AI Standards and Innovation) 디렉터가 면허를 발급하고 감독한다. 면허가 없으면 감사를 수행할 자격이 없다는 뜻이다.

CAISI (NIST 산하 — 면허 발급·감독) 면허 발급 IVO (독립 검증기관 — 면허 취득 후 감사 수행) 정기 감사 정기 감사 대형 프런티어 개발사 연매출 $500M 초과 — IVO 감사 의무 일반 프런티어 개발사 연매출 $50M+ — 투명성 보고만
▲ GAAIA의 AI 감사 체계 — 페블러스 원본 도식. CAISI가 IVO에 면허를 발급하고, IVO가 대형 개발사를 정기 감사한다.

2.1누가 감사를 받는가

초안은 규제 대상을 두 계층으로 나눈다. 연매출 5천만 달러 이상이면서 프런티어 모델을 개발하는 일반 프런티어 개발사는 투명성 보고서 공개와 중대 안전 사고 보고 의무를 진다. 여기에 연매출 5억 달러를 넘는 대형 프런티어 개발사는 IVO 감사 의무가 추가된다. OpenAI, Anthropic, Google DeepMind, Meta AI 수준의 회사들이다. 작은 스타트업은 대상에서 명시적으로 빠진다.

프런티어 모델의 정의도 분명하다. 광범위한 데이터셋으로 훈련되고, 범용 출력을 위해 설계되었으며, 10²⁶ 연산 이상의 컴퓨팅을 사용한 모델이다. 사실상 오늘날 최전선의 대형 모델을 겨냥한 기준이다.

2.2감사는 어떻게 작동하나

감사는 법 시행 1년 후 시작해 그 뒤로 6개월마다 정기적으로 이뤄진다. 중대 사고가 났거나 모델을 크게 수정한 경우, CAISI 디렉터가 임시 감사를 요청할 수도 있다. 감사를 받는 개발사는 IVO에게 미편집 자료, 기록, 인력, 시스템 등 합리적으로 필요한 모든 정보에 접근하도록 허용해야 한다.

IVO가 확인하는 것은 개발사의 프런티어 AI 프레임워크와 거버넌스 정책, 위험 모니터링과 완화 전략이 파국적 위험을 허용 수준 안에서 관리하고 있는가다. 감사가 끝나면 IVO는 CAISI 디렉터에게 보고서를 낸다. 위반을 발견하면 법무장관과 주 법무장관에게 의무적으로 통보하고, 임박한 파국적 위험은 즉시 통보한다. 감사를 거부하거나 중대한 허위 진술을 하면 위반 1일당 최대 100만 달러의 처벌이 따른다.

이 모든 것을 운영할 CAISI의 권한도 함께 커진다. 현재 1,500만 달러 수준인 예산이 연 1억 달러로 확대되고(FY2027~2029 총 3억 달러 승인), 정부 급여 상한을 넘는 기술 전문가를 채용할 특별 권한도 부여된다. 트레이핸 의원의 말대로 "CAISI가 프런티어 랩들의 신뢰할 수 있는 연방 카운터파트"가 되도록 하려는 설계다.

3

이 구조가 회계감사와 닮은 이유

IVO 구조를 처음 보면 낯설지만, 금융을 떠올리면 익숙해진다. 상장사는 자기 재무제표를 자기가 보증하지 않는다. 국가가 인정한 공인회계사가 독립적으로 감사하고, 그 감사인들은 다시 상위 기구의 등록과 감독을 받는다. GAAIA는 이 익숙한 모델을 거의 그대로 AI에 옮겨 놓았다.

3.1금융감사 구조와의 대응

각 역할을 나란히 놓으면 대응 관계가 또렷하다.

금융감사 GAAIA의 AI 감사 역할
PCAOB CAISI 감사인 면허 발급·감독
공인회계사·감사법인 IVO 면허 취득 후 정기 감사 수행
재무제표 프런티어 AI 프레임워크 감사 대상 문서
SEC 강제 공시 투명성 보고서 외부에 공개되는 검증 결과

핵심은 독립성이다. 회계감사가 신뢰받는 이유는 감사인이 회사에 고용된 직원이 아니라 외부의 면허 전문가이기 때문이다. GAAIA가 노리는 것도 같다. 자기 선언의 시대를 끝내고, 안전성에 외부 서명을 받게 만드는 것이다.

4

무엇을 감사하는가 — 데이터와 모델이 증거가 된다

여기서 데이터·모델 품질을 다루는 회사가 주목할 지점이 나온다. IVO가 "이 개발사가 위험을 충분히 완화했는가"를 검증하려면, 말이 아니라 증거를 봐야 한다. 그 증거가 곧 데이터와 모델의 기록이다.

초안에 따르면 IVO는 개발사의 위험 완화 프레임워크, 거버넌스 정책, 위험 모니터링 체계를 검증해야 한다. 이를 실제로 확인하려면 다음을 들여다볼 수밖에 없다.

  • 모델 훈련에 쓰인 데이터의 출처와 품질 문서화 — 데이터 계보(lineage), 편향 테스트 기록
  • 모델 평가 기록 — 벤치마크 결과, 레드팀 보고서
  • 배포 전 위험 평가 문서 — 어떤 위험을 어떻게 측정하고 줄였는지의 이력
훈련 데이터 출처·품질 문서화 모델 훈련 평가·레드팀 기록 위험 평가 완화 이력 문서 IVO 감사 "근거가 있는가?" 추적 불가 → 감사 불성립 추적 가능한 기록 → 검증 가능한 기록 → 감사 가능한 증거 →
▲ 데이터·모델이 감사 증거로 전환되는 흐름 — 페블러스 원본 도식. 추적 불가능한 기록은 IVO 감사 자체를 불성립시킨다.

다시 말해, "감사 가능한 데이터·모델 근거"를 만드는 능력이 규제 준수의 핵심 인프라가 된다. 데이터가 어디서 왔고 어떻게 검증됐는지, 모델이 어떤 위험을 통과했는지를 추적 가능한 형태로 남겨 두지 않으면, 감사 자체가 성립하지 않는다.

지금 IVO 역할을 수행할 수 있는 조직은 사실상 비어 있다. AI 모델의 기술적 특성을 이해하면서 독립적으로 검증할 전문 기관이 필요한데, 이런 역량은 데이터 감사, 모델 평가, 표준 기반 문서화(ISO 42001, NIST AI RMF)를 다루는 회사가 쌓아 온 것과 정확히 겹친다. EU AI Act의 적합성 평가기관(conformity assessment body)이 그랬듯, 이 자리는 법으로 열리는 새 시장이다.

5

법안의 현실 — 아직 갈 길이 멀다

냉정하게 보면 GAAIA는 아직 토론용 초안(Discussion Draft)이다. 정식 발의조차 되지 않았다. 반대 진영도 만만치 않다. Americans for Responsible Innovation, Alliance for Secure AI 같은 단체는 주법을 3년간 선점하는 조항에 반대하는 광고 캠페인을 벌이고 있다. 중간선거를 앞둔 하원 민주당은 공화당에 성과를 안기지 않으려 강하게 반대할 가능성이 크고, 공화당 지도부도 회의적이다.

선점 조항을 둘러싼 논란도 진행 중이다. 초안은 프런티어 모델의 개발 단계를 특별히 규제하는 주법을 3년간(대략 2029년 말까지) 선점한다. 다만 배포 후 단계 규제, 소비자 보호, 개인정보보호, 반차별법 같은 일반법은 그대로 보존된다. 캘리포니아 SB 53, 뉴욕 RAISE Act, 일리노이 SB 315 같은 주법과의 관계가 부분적으로 충돌하면서, 이 법안의 정치적 운명을 더 복잡하게 만든다.

그럼에도 방향은 한곳으로 모인다. EU AI Act는 이미 훈련 데이터 거버넌스를 요구하고, NIST AI RMF는 미국 연방 조달 기준으로 자리 잡았으며, ISO 42001은 기업 조달의 검증 기준으로 떠오르고 있다. 여기에 GAAIA가 연방 차원의 면허 감사를 얹으려 한다. 이번 초안이 그대로 법이 되지 않더라도, AI 감사를 면허 직업으로 만드는 흐름은 이미 시작됐다.

면허받은 AI 감사 검증 가능한 데이터·모델 근거 EU AI Act 훈련 데이터 거버넌스 NIST AI RMF 연방 조달 기준 ISO 42001 기업 조달 검증 기준 GAAIA (초안) 연방 면허 감사 (IVO)
▲ AI 감사를 향해 수렴하는 4개 규제 프레임워크 — 페블러스 원본 도식. 각 프레임워크가 서로 다른 방향에서 같은 결론을 향해 모인다.

법안 하나의 통과 여부보다 중요한 것은 질문이 바뀌었다는 사실이다. 이제 물음은 "AI가 안전한가"가 아니라 "누가, 무슨 증거로, 어떤 표준에 따라 그것을 확인하는가"다. 그 증거를 만들고 검증하는 일이 규제 인프라가 되는 순간, 데이터·모델 품질은 더 이상 개발의 부산물이 아니라 규제의 언어가 된다.

R

참고문헌

공식 문서

법률·정책 해설

업계·보도