Executive Summary
2026년 6월 4일, 미 하원의 공화·민주 양당 의원들이 269페이지짜리 AI 법안 초안을 공개했다. 이름은 Great American Artificial Intelligence Act of 2026(GAAIA). 아직 정식 발의가 아니라 의견 수렴용 초안이지만, 눈여겨볼 대목은 조항 하나하나가 아니라 목차 자체다. 이 법안은 AI를 별도의 '기술 규제'로 다루지 않는다. 노동법과 사이버보안법 위에 얹어서 규율한다.
프런티어 거버넌스·노동·사이버보안·연구개발이라는 네 개의 타이틀이 나란히 놓인 순간, AI는 전력이나 통신처럼 사회가 의존하는 인프라의 자리로 옮겨 앉는다. 실무적으로 이 전환은 규제의 문법을 바꾼다. "무엇을 공개하라"가 아니라 "감사에 답할 수 있느냐"를 묻기 시작한다. 6개월마다 돌아오는 독립 감사는 회사의 기록과 시스템에 전면 접근하고, 해고 공시는 "어떤 AI 시스템을 썼는지" 명시를 요구한다.
이 글은 GAAIA의 네 타이틀 구조를 데이터·AI 팀의 실무로 번역한다. 공개 의무가 새로 생기지 않아도, 추적 가능한 데이터·모델 계보를 갖춘 조직만이 감사·공시·사고 보고에 답할 수 있다는 것이 핵심이다.
초안이 담은 숫자 몇 개가 이 전환의 무게를 압축한다. 규제 대상을 가르는 문턱, 감사가 돌아오는 주기, 사고를 보고해야 하는 시한, 위반에 매겨지는 벌금 — 네 지표 모두 AI를 '기술 제품'이 아니라 감독받는 인프라로 다룬다는 신호다.
$500M · 10²⁶
규제 대상 문턱
연매출·학습 컴퓨트를 둘 다 넘는 소수 개발사만 프런티어 대상
6개월
독립 감사 주기
인증받은 IVO가 회사 기록·인력·시스템에 전면 접근
15일 · 24h
사고 보고 시한
중대 사고 15일, 임박 위험 24시간 내 CAISI 보고
일 100만$
위반 벌금 상한
위반당 하루 최대 100만 달러 민사 제재
AI 규제가 옮겨 앉은 자리
Jay Obernolte(공화, 캘리포니아)와 Lori Trahan(민주, 매사추세츠) 의원이 공동으로 낸 이 초안은 TechPolicy.Press의 해설에서 잘 정리돼 있다. 초당적이라는 점, 그리고 미국인 65%가 "정부의 AI 규제가 부족하다"고 답한 여론(민주 77%·공화 53%)을 배경에 깔고 있다는 점이 자주 인용된다. 하지만 데이터·AI 실무자에게 더 중요한 신호는 법안이 무엇을 다루느냐가 아니라, 어떤 법들과 나란히 서 있느냐다.
GAAIA는 네 개의 타이틀로 구성된다.
- • Frontier AI Governance — 대형 프런티어 모델 개발사에 대한 안전·감사 의무
- • Workforce — AI의 노동시장 영향과 대량해고 공시 (노동법 개정)
- • Cybersecurity — 모델 개발 계층의 사이버·바이오 보안 (안보법 연장)
- • Research, Development, and International Cooperation — 연구·개발·국제협력
AI가 '기술 정책'이라는 한 칸에 머물지 않고, 노동과 안보라는 사회 인프라의 축에 편입됐다. 전력망이나 통신망을 규율할 때 우리가 쓰는 언어 — 신뢰성, 사고 보고, 독립 감사, 국가 안보 — 가 그대로 AI에 적용되기 시작한 것이다. 규제를 '혁신을 막는 장벽'으로만 읽던 프레임에서 보면 이 변화는 낯설다. 그러나 인프라의 언어로 읽으면 자연스럽다. 사회가 의존하는 시스템은 원래 그렇게 감독받는다.
참고로 이 법안에서 가장 논쟁적인 조항은 주(州) AI법을 3년간 선점(preemption)하는 부분이지만, 그 쟁점은 이미 앞선 글에서 학습데이터 가시성의 관점으로 다뤘다. 이 글은 선점 논쟁 대신, 법안이 AI를 무엇으로 취급하기 시작했는지에 집중한다.
노동 타이틀: 해고 공시가 소환하는 것
Trahan 의원이 강조하는 노동 타이틀은 두 갈래다. 하나는 노동부(DOL) 안에 90일 내로 'AI Workforce Research Hub'를 세워 AI가 노동시장에 미치는 영향을 평가하고 시나리오를 짜게 하는 것. 다른 하나가 실무적으로 더 날카롭다. WARN Act(대량해고 사전통보법) 개정이다.
개정안의 요지는 이렇다. 고용주가 대량해고를 할 때 AI가 그 결정의 "중대 요인(substantial factor)"이었다면, 그 사실을 공개해야 하고, 나아가 어떤 AI 시스템을 사용했는지 명시해야 한다. 문장 하나지만 데이터 팀에게는 소급 추적의 문이 열리는 조항이다.
"어떤 AI 시스템을 썼는가"라는 질문에 답하려면, 그 시스템이 어떤 모델이고 어떤 데이터로 학습됐으며 어떤 버전이 그 결정에 관여했는지를 기록으로 남겨 둬야 한다. 인사·자동화 결정이 특정 모델과 데이터셋으로 되짚어질 수 있게 되는 순간, 계보(provenance)는 규정 준수의 부산물이 아니라 답변의 재료가 된다.
법안은 여기에 15개 'AI 민감 직군'의 일자리 흐름 추적, 자동화 잠재력을 측정하는 벤치마크 상금 대회, 무역조정지원(TAA)을 본뜬 'rapid AI adjustment assistance' 연구를 더한다. 방향은 하나로 모인다. AI가 사람의 일자리에 영향을 줄 때, 그 영향을 측정하고 설명할 수 있어야 한다는 것이다.
사이버보안 타이틀: 모델을 만드는 계층이 안보가 된다
사이버보안 타이틀은 2015년 제정된 Cybersecurity Information Sharing Act를 FY2035까지 연장한다. 기업이 반독점 책임을 지지 않고 사이버 위협 정보를 공유할 수 있게 해 온 법이다. 여기에 GAAIA가 얹는 것은, 모델을 개발하는 계층 자체를 안보 대상으로 명명하는 시각이다. 초안은 이 계층을 "catastrophic risk가 발원하는 곳"으로 부른다.
catastrophic risk는 느슨한 수사가 아니라 정의된 용어다. 예견 가능한 위험으로 50명을 초과하는 사망·중상, 또는 10억 달러를 초과하는 재산 피해를 일으키는 경우를 가리킨다. 모델이 대량살상무기 개발을 조력하거나, 사이버 공격을 수행하거나, "의미 있는 인간 감독 없이" 유해한 자율 행동을 하는 시나리오가 여기 포함된다.
모델이 이렇게 위험 자산으로 분류되면, 그 모델을 이루는 재료인 학습 데이터, 가중치, 아키텍처의 출처와 무결성도 안보의 문제가 된다. 위험을 관리하려면 위험이 어디서 왔는지를 알아야 하기 때문이다. 사이버보안의 언어로 말하면, 공급망(supply chain)의 무결성이다. 모델의 공급망은 결국 데이터의 계보다.
감사 가능성이라는 새 언어
프런티어 거버넌스 타이틀은 이 모든 것을 실행 가능한 절차로 묶는다. 규제 대상은 연매출 5억 달러를 넘으면서 학습 컴퓨트 10²⁶ 연산 이상의 프런티어 모델을 훈련하는 개발사로 좁혀진다. 현실적으로 소수의 대형 개발사만 해당된다. 이들에게 부과되는 의무의 핵심은 독립 검증 기관(IVO, Independent Verification Organization)의 감사다.
CAISI(Center for AI Standards and Innovation, 옛 AI Safety Institute)가 인증한 IVO가 6개월마다 컴플라이언스를 감사한다. 감사인은 회사의 기록·인력·시스템에 전면 접근한다. 여기에 사고 보고 시한이 붙는다. 중대 안전 사고는 15일 내, 임박한 위험은 24시간 내에 CAISI로 보고해야 한다. 위반하면 하루 최대 100만 달러의 민사 제재가 따른다.
이 감사 체계를 뒷받침하려고 법안은 감사의 축인 CAISI를 법정 기구로 격상하고, 예산을 기존 연 1,500만 달러 수준에서 2027~2029 회계연도 연 1억 달러로 대폭 늘린다. 규제 문구만 새로 쓰는 것이 아니라, AI를 상시 감독할 기관과 재원을 국가가 갖추기 시작했다는 뜻이다. 전력·통신을 감독하는 상설 규제기관이 있는 것처럼 말이다.
여기서 규제 언어의 무게중심이 이동한다. GAAIA는 새로운 학습데이터 공개 의무를 만들지 않는다. 오히려 앞서 언급한 주법 선점으로 캘리포니아 AB 2013 같은 공개법을 3년간 동결한다. 그런데도 조직이 준비해야 할 것은 오히려 늘어난다. 6개월마다 기록을 열어 보이고, 사고를 시한 내에 설명하고, 해고에 쓴 시스템을 명시하려면, 공개가 아니라 감사에 답할 수 있는 상태를 상시 유지해야 하기 때문이다.
공개(disclosure)는 정해진 항목을 한 번 게시하면 끝난다. 감사 가능성(auditability)은 다르다. 언제 누가 물어도 데이터·모델·결정의 연결을 되짚어 보일 수 있는 상태를 뜻한다. 공개 의무가 없어도, 추적 가능한 계보를 갖춘 조직만이 이 질문들에 답할 수 있다. 계보는 이제 규제 대응의 부록이 아니라 전제 조건이다.
통과되든 아니든, 지금 갖춰 둘 것
솔직하게 짚자면, GAAIA는 아직 discussion draft다. 통과를 장담하기 어렵다. 119대 의회의 남은 회기는 짧고, 상원에는 대응 법안이 없으며, AFL-CIO와 하원 AI 위원회 공동의장을 포함한 목소리들이 초안에 반대한다. 지지 진영(BSA·ITI)과 반대 진영(Public Citizen·Public Knowledge)의 온도차도 크다. 여기에 6월 2일 백악관 행정명령이 자발적·light-touch 협력 프레임을 제시하면서, 입법(의무)과 행정(자발) 사이의 노선 대비까지 겹친다.
그럼에도 방향은 흔들리지 않는다. AI를 인프라로 보는 시각, 그리고 그 인프라를 감사로 관리하려는 문법은 이 초안이 통과되든 아니든 남는다. 데이터·AI 팀이 초안 단계에서 미리 갖춰 둘 것은 규제 조항의 정확한 번호가 아니라, 어떤 규제가 오든 답의 재료가 되는 기록이다.
- • 학습 데이터의 출처·라이선스·개인정보 포함 여부·합성데이터 사용 여부를 데이터셋 단위로 기록
- • 모델의 버전·학습 데이터·평가 결과를 연결하는 모델 카드/문서 체계
- • "어떤 모델이 이 결정을 내렸는가"에 답할 수 있도록 결정↔모델↔데이터의 계보 링크 확보
- • 사고·이상 징후를 시한 내에 설명할 수 있는 로그·모니터링 흔적
규제가 공개를 요구하든 감사를 요구하든, 해고 공시를 묻든 사고 보고를 묻든, 답의 재료는 하나로 수렴한다. 추적 가능한 데이터·모델의 계보다. GAAIA가 알려 주는 것은 새 규칙의 세부라기보다, 그 재료를 지금부터 갖춰 둔 조직과 그렇지 않은 조직 사이의 거리가 벌어지기 시작했다는 사실이다.
참고문헌
1차 소스
- 1.Tech Policy Press. (2026, June). "Unpacking the Great American Artificial Intelligence Act of 2026." Tech Policy Press.
- 2.Annenberg Foundation. (2026). American Public Opinion on AI Regulation — 미국인 65% "정부 규제 부족"(민주 77%, 공화 53%). Annenberg Survey.
법률·컴플라이언스 분석
- 3.DLA Piper. (2026). Unpacking the Great American AI Act. DLA Piper Client Alert.
- 4.Fisher Phillips. (2026). What Employers Need to Know About the Great American AI Act. Fisher Phillips Employment Law Alert — WARN Act 및 고용주 컴플라이언스.
관련 법령·행정명령
- 5.White House. (2026, June 2). Promoting Advanced AI Innovation and Security. Executive Order.
- 6.California State Legislature. (2025). AB 2013 — Generative Artificial Intelligence: Training Data Transparency. California Legislative Information.