Executive Summary

2021년, 콜로라도는 미국 50개 주 중 처음으로 포괄적 AI 규제법(SB 21-169)을 통과시킨 주가 됐다. 5년이 지난 2026년 5월 14일, 같은 주의 의회는 그 법을 거의 처음부터 다시 썼다. SB 26-189는 단순 개정이 아니라 "축소 후 재설계"였다. 원안의 광범위한 영향 평가(Impact Assessment) 의무와 일률적 리스크 관리 프로그램은 사실상 제거됐고, 그 자리에 두 가지가 들어섰다. ADMT(Automated Decision-Making Technology, 자동화된 의사결정 기술)이라는 더 좁고 명확한 정의, 그리고 개발자(developer)와 배포자(deployer)의 책임을 분리한 이중 의무 구조다. 미국 최초의 포괄적 주 단위 AI법은 이제 "EU AI Act의 미국화·경량화 버전"으로 재포지셔닝됐다.

SB 26-189의 핵심 골격은 세 가지로 압축된다. 첫째, ADMT를 "consequential decision"(개인의 교육·채용·주거·금융·보험·의료·핵심 정부 서비스 등 중대한 결과를 좌우하는 결정)에 사용되는 시스템으로 좁혀 적용 범위의 모호성을 줄였다. 둘째, EU AI Act의 6개 주체(operators) 분리 구조를 차용해 개발자에게는 문서화·위험 평가·배포자 고지 의무를, 배포자에게는 영향 평가·정책 수립·소비자 고지 의무를 각각 부과한다. 셋째, 소비자에게 설명 요구권·정정권·인간 재심사권의 세 가지 권리를 부여한다. 그러나 학계는 이 구조의 실제 작동을 의심한다. NYC Local Law 144의 1.5년 시행 데이터를 분석한 Galdon Clavell 외(2025)는 ADMT 규제가 빠지는 네 가지 함정(데이터 요구 모호성, demographic representation 기준 부재, impact measurement 방법론 부재, 데이터 품질 보증 부족)을 진단했고, Sele & Chugunova(2024)의 292명 실험은 "인간 재심사"가 채택률은 7%p 올리지만 가장 부정확한 추천에 대한 개입을 오히려 줄여 정확도를 떨어뜨린다는 사실을 보였다.

2027년 1월 1일 발효까지 남은 시간은 약 7개월이다. 그동안 콜로라도 법무부는 시행 규칙(rulemaking)을 완성해야 하고, 이 주에서 영업하는 약 6,960개 테크 기업과 채용·금융·의료·보험 분야의 ADMT 도입 기업 수천 곳은 컴플라이언스 체계를 구축해야 한다. 미국 기업의 AI 편향 감사 비용은 한 회당 $5,000~$50,000, EU에서 단일 고위험 AI 시스템의 연간 준수 비용은 €52,000에 이른다. 글로벌 AI 거버넌스 지출은 2026년 $492M에서 2030년 $1B을 돌파할 전망이다(Gartner 2026). 그러나 가장 큰 진입 장벽은 비용이 아니라 데이터다. Longpre 외(2023)가 1,800개 텍스트 데이터셋을 감사한 결과 70%가 라이선스 누락, 50%가 attribution 오류를 보였다. ADMT가 학습 데이터의 출처(provenance)를 요구하는 순간, 현재 산업 표준 데이터셋의 대부분은 컴플라이언스 불능 상태가 된다.

편집자의 노트. SB 26-189는 "리뷰 가능한 의사결정 인프라(reviewable decision infrastructure)"를 학습 데이터의 출처성 감사로부터 구축해 올리는 시장이 미국 영토에서 처음 열리는 신호다. 페블러스가 이 보고서를 작성한 이유는, 그 신호의 한가운데 데이터 품질이라는 변수가 놓여 있기 때문이다. 7개월 안에 적용되는 규제 앞에서 모델은 어디까지 갈 수 있고, 데이터는 어디서 막히는가. 이 글은 그 경계를 더듬는 시도다.

주요 수치

출처: Colorado General Assembly, Gartner 공식 보도자료 2026-02-17, Longpre et al. 2023 (Nature Machine Intelligence), Stanford 채용 편향 연구(2026).

2027-01-01

SB 26-189 발효

준비 기간 약 7개월

7개 영역

ADMT 적용 도메인

교육·채용·주거·금융·보험·의료·정부

70% / 50%

데이터셋 라이선스 누락/오류

Longpre 외 (2023)

$492M → $1B

AI 거버넌스 시장 (2026→2030)

Gartner 2026

1

SB 21-169 → SB 24-205 → SB 26-189: 3단계 진화

한 주의 의회가 자기 법을 5년 만에 다시 쓴다는 것은 흔치 않은 일이다. 콜로라도가 그 흔치 않은 일을 했다. 2021년 SB 21-169로 미국 최초의 포괄적 AI 규제법을 만들었던 같은 입법부가, 2024년 SB 24-205에서 그 법을 EU AI Act 수준으로 강화하려 했고, 2026년 SB 26-189에서 다시 정밀화해 가벼운 형태로 바꿨다. 이 세 단계는 미국이 AI 규제에 대해 무엇을 배웠는지를 압축한 임상 기록처럼 읽힌다.

콜로라도 주 의사당, 덴버 — SB 26-189를 포함한 주요 AI 법률이 통과된 곳
콜로라도 주 의사당, 덴버. SB 21-169(2021), SB 24-205(2024), SB 26-189(2026) 세 단계의 AI 입법이 이 건물에서 이루어졌다. 출처: Ken Lund, CC BY-SA 2.0

1.12021년 출발점 — SB 21-169

2021년 콜로라도는 SB 21-169 "보험에서의 차별적 관행 보호법(Protecting Consumers from Unfair Discrimination in Insurance Practices)"을 통과시켰다. 보험 분야에 한정되어 있었지만, 알고리즘과 예측 모델이 소비자에게 불공정한 차별을 가할 수 있다는 인식을 법령에 명시한 최초의 주(州) 단위 시도였다. 이 법은 보험사가 외부 소비자 데이터·정보 출처(ECDIS)와 알고리즘·예측 모델을 사용할 때 보호 계층에 대한 불합리한 차별을 만들지 않음을 입증할 책임을 부과했다. 적용 범위는 좁았지만 핵심 원칙은 명확했다. "알고리즘이 내린 결정도 책임에서 면제되지 않는다."

1.22024년 확장 — SB 24-205의 야망과 좌초

2024년 SB 24-205 "콜로라도 AI 소비자 보호법(Colorado AI Act)"은 적용 범위를 보험에서 7개 핵심 영역(교육·채용·주거·금융·보험·의료·정부 서비스)으로 대폭 확장했다. EU AI Act가 2024년 8월 1일 발효된 시점에 맞춰, 콜로라도는 "고위험 AI 시스템"에 대한 영향 평가, 위험 관리 프로그램, NIST AI RMF 정렬, 외부 감사를 요구하는 사전 규제 체계를 도입하려 했다. 그러나 통과 직후부터 업계 반발이 거셌다. Common Sense Institute의 경제 영향 분석은 SB 24-205 원안이 시행될 경우 콜로라도에서 최대 30,359개의 일자리가 손실되고 $5.5B의 GDP가 포기될 수 있다고 추정했다. (이 수치는 원안 기준이며, 이후 SB 26-189에서는 요건이 대폭 완화됐다.) 결국 거버너 Jared Polis는 시행을 한 차례 연기했고, 의회는 처음부터 다시 쓰기로 결정했다.

1.32026년 재설계 — SB 26-189

2026년 5월 14일 거버너 Polis가 서명한 SB 26-189는 "축소 후 재설계"의 산물이었다. SB 24-205의 핵심 골격이었던 사전 영향 평가, 위험 관리 프로그램, NIST RMF 정렬, 외부 감사 의무는 사실상 모두 제거됐다. 대신 두 가지가 들어섰다. 하나는 ADMT라는 더 좁고 명확한 적용 범위 정의였고, 다른 하나는 사후 투명성 중심의 가벼운 의무 구조였다. 콜로라도 법무부의 재정 영향 평가는 SB 26-189 시행에 필요한 정부 예산을 FY 2026-27 기준 $56,000으로만 추정했다. 수십억 달러 규모의 경제 부담이 점쳐졌던 원안과 비교하면, 부담은 사실상 다른 차원으로 옮겨 갔다.

이 변화를 "후퇴"로 해석할 수도 있다. 그러나 학술적 시각에서는 다르게 읽힌다. Galdon Clavell & González-Sendino(2025)는 NYC Local Law 144의 1.5년 시행 데이터를 분석하면서, 광범위하게 정의된 ADMT 규제가 빠지는 함정들을 진단했다. 콜로라도는 이를 학습한 것으로 보인다. 적용 범위를 "consequential decision"으로 좁힌 것은 보호 약화가 아니라 정밀화에 가깝다. 모든 자동화를 규제하려다 아무것도 규제하지 못하는 모호함을 피하고, 실제로 개인의 삶에 중대한 영향을 미치는 결정에 집중하는 전략이다.

1.4타임라인: 2021 → 2027 (그리고 그 너머)

세 단계의 진화를 한눈에 보면 미국 AI 입법이 통과한 학습 곡선이 드러난다.

시점 법령 핵심 변화
2021 SB 21-169 보험 한정 알고리즘 차별 금지. "알고리즘 결정도 책임 대상" 원칙 명시.
2024 SB 24-205 7개 도메인으로 확장. EU AI Act 수준 사전 규제(영향 평가, RMF 정렬, 외부 감사) 도입 시도. 업계 반발로 시행 연기.
2026-05-14 SB 26-189 서명 사전 규제 골격 제거. ADMT 정의 정밀화 + 개발자·배포자 분리 + 소비자 3대 권리. 사후 투명성 중심.
2026-08-12 법안 기술적 발효 법령 자체는 효력 발생, 단 실질적 준수 의무는 2027-01-01부터.
2027-01-01 실질적 준수 의무 개발자·배포자 의무, 소비자 권리, 법무장관 집행권 본격 가동.
2030-01-01 치유 기간 종료 60일 위반 치유 기간(cure period) 만료. 이후 즉시 과태료 부과 가능.

주목할 부분은 SB 26-189가 콜로라도 단독의 이야기가 아니라는 점이다. 2025년 한 해 동안만 미국 38개 주가 AI 관련 법안을 채택했고, 2026년 3월 기준 누적 1,561건의 AI 입법안이 미국 주 단위에서 발의됐다. 미국 AI 챗봇 관련 주 법령만 분류한 별도 자료는 우리 블로그의 "미국 주별 AI 챗봇 규제 현황"에서 다뤘다. 콜로라도의 SB 26-189는 이 다층적 입법 풍경에서 가장 포괄적인 사례이며, 다른 주들이 자기 법을 만들 때 참조하는 기준점이 될 가능성이 높다.

SB 26-189가 던지는 메시지는 단순하다. AI 규제는 "광범위하지만 모호한 것"보다 "좁지만 작동하는 것"이 낫다. NYC LL144의 시행 실패 사례에서 콜로라도가 가져온 가장 큰 교훈은 이 한 줄로 요약된다.

2

ADMT란 무엇인가 — 정의와 적용 범위

SB 26-189의 가장 중요한 단어는 ADMT다. Automated Decision-Making Technology의 약자로, 한국어로는 "자동화된 의사결정 기술"로 옮길 수 있다. 그러나 단어보다 중요한 것은 정의의 경계선이다. NYC LL144가 "AEDT(Automated Employment Decision Tool)"의 모호한 정의로 1.5년간 표류했던 경험을 콜로라도는 의식적으로 피했다. ADMT의 정의가 무엇을 포함하고 무엇을 제외하는지를 정확히 이해하는 것이 컴플라이언스의 출발점이다.

머신러닝 워크플로우 — 데이터 수집에서 모델 평가까지 ADMT 기술의 핵심 단계
머신러닝 워크플로우: 데이터 임포트 → 처리 → 시각화 → 모델링 → 평가. ADMT는 이 파이프라인의 출력이 "consequential decision"에 실질적으로 연결될 때 규제 대상이 된다. 출처: Brylie Christopher Oxley, CC0

2.1ADMT의 다섯 가지 구성 요소

법령상 ADMT는 다섯 가지 요소를 모두 만족하는 기술이다. 첫째, 개인 데이터를 처리한다. 둘째, 그 처리 결과로 예측·추천·분류·순위·점수 등 결정을 위한 출력을 생성한다. 셋째, 그 출력이 개인에 대한 결정에 실질적으로 영향을 미친다. 넷째, 그 결정이 "consequential decision"에 해당한다. 다섯째, 단순 자동화(스팸 필터, 방화벽, 계산기, 일반 검색)는 제외된다. 이 다섯 가지 중 하나라도 빠지면 ADMT가 아니다.

2.2"Consequential Decision" — 7개 적용 도메인

SB 26-189가 정의하는 "중대한 결정(consequential decision)"은 다음 7개 영역에서 내려지는, 개인에게 법적 또는 유사한 중대한 영향을 미치는 결정이다.

도메인 대표 결정 사례 현재 AI 도입률
교육 입학, 장학금, 학습 트랙 배정 고등교육 채택률 점진적 확대
고용·채용 이력서 스크리닝, 면접 평가, 승진 Fortune 500의 99% (Novoresume 2026), 전체 67% (DemandSage 2026)
금융·대출 신용 평가, 대출 승인, 이자율 책정 신용평가 시장 $10.29B(2025)→$46.22B(2034)
정부 서비스 공공 혜택 수급, 사회 서비스 배정 주별 편차 큼, 자동 거부 사례 다수 보고
의료 진단 보조, 환자 분류, 치료 추천 병원 80% (Docus.ai 2025), AI 툴 사용 의사 66%
주거 임대 심사, 매매 승인, 임대료 책정 임대 스크리닝 도구 확대
보험 언더라이팅, 보험료 산정, 청구 심사 SB 21-169 기존 규제 대상

2.3적용 제외 — 단순 자동화와 면제 조항

ADMT 정의에서 의도적으로 제외된 기술 범주가 있다. 스팸 필터, 방화벽, 일반 검색·자동완성, 단순 데이터베이스 조회, 계산기 같은 도구는 ADMT가 아니다. 이들의 공통점은 "개인에 관한 결정에 실질적 영향을 미치지 않는다"는 점이다. 또한 FDA 규제 의료기기, HIPAA 적용 기관의 비고용 용도, FCRA·ECOA를 준수한 신용 결정 등은 "간주-컴플라이언스(deemed-compliance)"로 SB 26-189 의무가 면제된다. 다만 고용 결정에 사용된 AI는 이 면제에서 제외된다.

직원 규모 면제도 있다. 일반적으로 직원 40인 이하의 deployer는 적용 제외 대상이다. 이는 EU AI Act가 SME에 비례 적용을 두는 것과 유사한 미국식 실용주의로 읽힌다. 콜로라도에는 직원 10인 이상 테크 기업이 약 2,960개, 500인 이상이 66개 있는 것으로 추정되며, 7개 도메인의 ADMT 도입 기업까지 합하면 직접 영향권에 들어가는 사업체 수는 수천 곳에 달한다.

2.4"우리 회사가 ADMT deployer인가" — 30초 체크리스트

다음 다섯 가지가 모두 참이면 귀사는 SB 26-189의 ADMT deployer다.

  • 1. 콜로라도 소비자(주민)를 대상으로 사업을 한다.
  • 2. 직원 40인을 초과한다(또는 일부 예외 적용).
  • 3. 교육·채용·주거·금융·보험·의료·정부 서비스 중 한 영역에서 의사결정을 내린다.
  • 4. 그 결정에 알고리즘·AI·예측 모델의 출력을 실질적으로 사용한다.
  • 5. 그 결정이 개인에게 법적·중대한 영향을 미친다(consequential decision).

학술 비판도 있다. Probabilistic Risk Assessment for AI(arXiv 2504.18536)는 "고위험 시스템"의 이분법적 정의는 한계가 있으며 capability threshold가 아닌 실제 harm 추정으로 전환해야 한다고 주장한다. SB 26-189의 ADMT 정의 역시 "이것은 ADMT인가 아닌가"의 이분법에 머물러 있다. 같은 시스템이 어떤 맥락에서는 중대한 영향을, 다른 맥락에서는 미미한 영향을 미친다면, 일률적 분류는 결국 회피 전략을 낳을 수 있다. 콜로라도 법무부가 시행 규칙에서 이 회색지대를 어떻게 다룰지가 첫 번째 워치리스트다.

3

개발자 vs. 배포자 — 책임의 이중 체계

SB 26-189의 두 번째 핵심 골격은 책임 주체의 분리다. EU AI Act가 provider·deployer·importer·distributor 등 6개 주체(operators)를 구분하는 것에 비하면 단순한 형태지만, 미국 주 단위 AI 법령에서 이 정도 수준의 역할 분리는 처음이다. 개발자(developer)와 배포자(deployer) 각자에게 다른 의무가 부과된다. 어느 쪽에 속하는지에 따라 컴플라이언스 비용과 위험 노출이 완전히 달라진다.

3.1의무 비교 — Developer vs. Deployer

두 주체의 의무를 직접 비교하면 책임 분배의 구조가 드러난다.

의무 항목 Developer (개발자) Deployer (배포자)
기술 문서화 훈련 데이터 범주, 알려진 한계·위험, 사용 지침 작성 시스템 사용 정책, 적용 사례 문서화
위험 평가 시스템 자체의 잠재 위험·완화 조치 평가 자사 사용 맥락의 영향 평가
고지 의무 중요 업데이트 시 배포자에게 통지 소비자에게 ADMT 사용 사전 고지
불리한 결과 공개 (직접 의무 없음) 30일 내 상세 공개
소비자 권리 응답 (배포자 요청 시 협조) 설명·정정·인간재심 요청 처리
계약상 책임 이전 일부 의무 명시적 이전 가능 소비자 고지·재심 의무는 이전 불가

3.2"당신은 어느 쪽인가" — 시나리오 가이드

실무에서 이 구분은 단순하지 않다. SaaS 제공자는 일반적으로 developer다. 채용 기업이 그 SaaS를 자사 채용에 쓴다면 deployer다. 그러나 SaaS의 기본 모델을 자사 데이터로 fine-tuning 한다면? EU AI Act는 "substantial modification" 시 deployer가 자동으로 provider(개발자) 의무로 격상되도록 규정한다. SB 26-189에서 같은 룰이 적용될지는 시행 규칙에서 확정될 예정이며, 이는 미국 SaaS 시장에 큰 영향을 미치는 핵심 쟁점이다.

3.3학술 시각 — Reviewable ADM 프레임워크

Cobbe 외(2021)는 자동화된 의사결정을 "사회기술적 프로세스(socio-technical process)"로 정의한다. 단일 모델의 책임이 아니라 시스템 전체의 record-keeping이 핵심이라는 주장이다. Developer-Deployer Split이 실질적 의미를 가지려면, 의사결정 시점의 데이터·모델 버전·점수 분해가 어딘가에 보존돼야 한다. 30일 내에 "이 결정에 어떤 데이터가 사용됐는가"를 답하려면 그 시점의 스냅샷이 있어야 하는데, 현재 대부분의 AI 시스템은 그런 인프라를 갖추고 있지 않다.

Lam 외(2024)는 한 발 더 나아간다. 이들은 금융 감사 모델을 차용해 "감사 회사–피감사 기관–표준 기관–인증 기관"이 네트워크를 이루는 criterion audit 프레임워크를 제안한다. Developer와 Deployer 양측 모두에 외부 감사가 필요하다는 함의가 자연스럽게 따라온다. SB 26-189는 현재 사후 투명성 중심의 가벼운 구조지만, EU AI Act의 €52,000/년 단일 시스템 준수 비용과 같은 외부 감사 부담이 미국에 진입할 가능성은 여전히 남아 있다.

EU AI Act 분석(arXiv 2510.13591)이 보여주듯, Developer-Deployer 분리는 "static role"이 아니라 "dynamic transformation"이다. 자사 데이터로 모델을 fine-tuning하거나 시스템을 substantial하게 modify하는 순간 deployer는 developer 의무로 격상될 수 있다. 콜로라도 시행 규칙에서 "substantial modification"이 어떻게 정의되는지가 이 섹션의 가장 중요한 워치리스트다.

4

소비자가 갖는 세 가지 권리

SB 26-189가 사전 규제를 대폭 덜어내고 그 자리에 채워 넣은 것은 소비자의 사후 권리다. 불리한 결정을 받은 개인에게 세 가지 권리가 부여된다. 설명 요구권, 정정권, 그리고 인간 재심사권. 이 세 권리는 GDPR Article 22에서 차용한 모델이지만, 미국 주 단위에서 ADMT에 대해 명문화된 것은 처음이다. 그러나 학계는 이 권리들이 실제로 작동할 수 있는지에 대해 회의적인 신호를 보낸다.

GDPR — SB 26-189 소비자 권리 조항의 철학적 근거가 된 EU 개인정보보호 규정
EU의 일반개인정보보호규정(GDPR). SB 26-189의 설명 요구권·정정권·인간 재심사권은 GDPR Article 22(자동화된 개인 의사결정)의 틀을 미국 주 단위에서 최초로 입법화한 것이다. 출처: TheDigitalArtist, CC0

4.1설명 요구권 (Right to Explanation)

불리한 결정을 받은 소비자는 ADMT가 그 결정에서 어떤 역할을 했는지, 어떤 데이터·요인이 사용됐는지를 의미 있는 설명으로 요구할 수 있다. 단순히 "AI 시스템이 결정했습니다"라는 답변은 충족하지 못한다.

문제는 "의미 있는 설명"이 무엇인지가 도메인마다 다르다는 점이다. Fresz 외(2024)는 GDPR, AI Act, 제품 안전법, 신탁 의무가 각각 다른 XAI(설명 가능 AI) 속성을 요구한다는 사실을 보였다. 채용에서 요구되는 설명은 후보자가 자기 이력의 어떤 부분이 부정적으로 작용했는지를 알 수 있어야 하고, 금융 여신에서는 어떤 신용 요인이 결정을 좌우했는지를 명시해야 하며, 의료에서는 진단 추론의 의학적 근거가 제공돼야 한다. 단일 SHAP 또는 LIME 출력만으로는 이 도메인별 요구를 충족할 수 없다. ADMT deployer는 자사 도메인에 맞는 설명 인프라를 별도로 구축해야 한다.

4.2정정권 (Right to Correction)

부정확한 개인 데이터가 결정에 사용됐다면, 소비자는 그 데이터를 수정해 줄 것을 요청할 수 있다. GDPR Article 16의 모델과 유사하지만, ADMT 맥락에서 정정권은 데이터 출처 추적 능력을 전제로 한다. "이 결정에 어떤 데이터가 사용됐는가"를 답할 수 없으면 "어떤 데이터를 정정해 달라"는 요청에 응할 방법이 없다.

실무적으로 정정권은 데이터 lineage(혈통, 출처 추적) 인프라를 요구한다. 어떤 학습 데이터 배치가 모델의 어느 가중치에 기여했는지를 단위 수준에서 추적하는 것은 현재의 산업 표준으로는 불가능에 가깝다. 그러나 deployer 수준에서 "이 결정 시점에 어떤 입력 데이터가 시스템에 들어갔는가"는 적절한 로깅으로 답할 수 있다. 시행 규칙은 이 두 층위의 정정권을 어떻게 구분할지 명확히 할 필요가 있다.

4.3인간 재심사권 (Right to Human Review)

가장 핵심적이면서 동시에 가장 논란이 많은 권리다. 소비자는 자동 결정을 수정·번복할 권한이 있는 사람이 그 결정을 검토하도록 요청할 수 있다. "단순 검토"가 아니라 "meaningful human review"여야 한다는 조건이 명시돼 있다.

그러나 학술 실증은 이 권리의 작동 방식이 직관과 다를 수 있음을 보여준다. Sele & Chugunova(2024)는 292명을 대상으로 한 실험에서, 인간이 자동 추천을 검토할 수 있게 했을 때 결과를 측정했다. 결론은 두 가지다. 첫째, 시스템 채택률(uptake)은 +7%p 상승했다. 사람들은 "사람이 검토한다"는 사실에 더 큰 신뢰를 느꼈다. 둘째, 그러나 결정의 정확도(accuracy)는 오히려 하락했다. 검토자들이 가장 부정확한 추천에 대한 개입을 회피했기 때문이다. 자동화 편향(automation bias)이 인간의 비판적 검토를 마비시킨 것이다.

이는 SB 26-189의 인간 재심사권이 형식주의로 빠질 가능성을 경고한다. 검토자에게 충분한 컨텍스트(결정 시점의 데이터·모델 버전·점수 분해), 충분한 시간, 그리고 검토 결과에 대한 인센티브가 제공되지 않으면, 인간 재심사는 단순 승인 클릭으로 전락할 수 있다. Cobbe 외(2021)의 reviewability 프레임워크가 강조하는 부분이 정확히 이 점이다.

4.4왜 이 권리들이 중요한가 — 편향의 데이터

세 권리의 사회적 정당성은 추상적 원칙이 아니라 실측 편향 데이터에서 나온다. 2026년 5월 발표된 Stanford 연구는 AI 채용 알고리즘이 흑인 지원자에게 25% 이상의 불이익을 부과하고 있음을 보였다(Fortune 2026-05-26 보도). University of Washington의 2025년 연구는 AI 채용 툴이 백인 이름 이력서를 85%, 흑인 이름 이력서를 9%만 선호하는 극단적 편향을 발견했다. 신용 점수에서는 여성이 남성 대비 평균 6~8점 낮게 산정되는 패턴이 보고됐다(MDPI 2025). Nature의 2024년 LLM 분석은 검토된 6개 모델 모두에서 성별 편향이 노출됐다는 것을 확인했다.

그리고 또 하나의 데이터. Gallup 2024 조사에 따르면 자기 고용주가 AI를 사용한다는 사실을 알고 있는 직원은 약 33%에 불과하다. 자기에 관한 결정에 AI가 관여하는지조차 모르는 상황에서 설명·정정·재심사 권리를 행사할 수 없다. SB 26-189의 사전 고지 의무가 의미를 갖는 이유다.

세 권리는 명문화 자체가 끝이 아니라 시작이다. Buijsman & Veluwenkamp(2025)는 영향 평가 보고서가 "어떤 공정성 개념(Rawlsian/연대주의/인과적)을 채택했는지"를 명시하지 않으면 의미를 상실한다고 지적한다. 콜로라도 시행 규칙이 "meaningful human review"의 최소 기준, "의미 있는 설명"의 도메인별 표준, 정정권의 실행 가능성 범위를 어떻게 구체화하는지가 워치리스트 두 번째다.

5

컴플라이언스 비용과 로드맵

2027년 1월 1일 발효까지 약 7개월. 그 시간 안에 ADMT deployer가 갖춰야 할 것은 단순한 정책 문서가 아니다. 영향 평가 체계, 30일 내 불리한 결과 공개 워크플로우, 소비자 권리 대응 인프라, 그리고 무엇보다 데이터 출처를 답할 수 있는 기록 체계다. 비용과 일정을 동시에 계산해야 한다.

5.1위반 시 과태료와 집행 구조

콜로라도 스프링스 시법원 — SB 26-189 집행을 담당하는 콜로라도 주 사법 체계의 일부
콜로라도 스프링스 시법원. SB 26-189의 집행 주체는 콜로라도 법무장관(Attorney General)이며, 개인 소송권(private right of action)은 없다. 출처: David Shankbone, CC BY-SA 3.0

SB 26-189 위반은 위반 1건당 최대 $20,000의 과태료에 처해진다. 피해자가 고령자인 경우 최대 $50,000까지 부과될 수 있다. 집행 주체는 콜로라도 법무장관(Attorney General)이며, 개인 소송권(private right of action)은 없다. 즉, 소비자는 직접 deployer를 고소할 수 없고 법무장관에게 신고하는 경로만 갖는다. 또한 2030년 1월 1일까지는 위반 통지 후 60일의 치유 기간(cure period)이 제공되어, 그 기간 안에 시정 조치를 완료하면 과태료를 면할 수 있다.

EU AI Act의 €35M 또는 글로벌 매출 7%라는 벌금 상한과 비교하면 콜로라도의 제재는 가볍다. 그러나 미국식 class action 회피를 위해 개인 소송권을 막은 대신 법무장관 집행권을 강화한 구조는, 결국 법무장관 사무실의 의지와 자원에 따라 실제 집행 강도가 결정될 것이다.

5.2컴플라이언스 비용 — 시장 데이터

실제 컴플라이언스 비용을 산정하기 위한 참조 데이터들이 있다.

비용 항목 금액 범위 출처
AI 편향 감사 (1회) $5,000 ~ $50,000 미국 시장 평균
AI 컴플라이언스 교육 (직원당/년) $2,000 ~ $5,000 미국 시장 평균
EU 단일 고위험 시스템 (연간) €52,000 (~$57,000) EU AI Act 시행 데이터
QMS 신규 구축 (초기) €193,000 ~ €330,000 EU 기업 평균
대기업 초기 투자 ($1B+ 매출) $8M ~ $15M 미국 대기업 평균
컴플라이언스 실패 손실 (2025 미국) $4.4B 미국 시장 합산

Gartner는 글로벌 AI 거버넌스 시장이 2026년 $492M에서 2030년 $1B을 돌파할 것으로 전망한다. 글로벌 RegTech 시장은 2025년 $24.34B에서 2033년 $112.10B(CAGR 21.1%)로 확대 중이며, AI in RegTech는 2025년 $2.57B에서 2026년 $3.51B(CAGR 36.7%)로 급성장하고 있다. 이 세 시장을 합산하면 2025년 약 $35B, 2033년 $140B+ 규모의 컴플라이언스 인프라 시장이 형성된다.

5.37개월 로드맵

실무적으로 ADMT deployer가 2027년 1월까지 갖춰야 할 작업을 단계별로 정리하면 다음과 같다.

단계 기한 핵심 작업
1. 인벤토리 T-7개월 (지금) 자사 시스템 중 ADMT 해당 여부 식별. 7개 도메인 매핑.
2. 개발자·배포자 분류 T-6개월 자사·외주·SaaS 각각의 역할 명확화. 계약 검토.
3. 데이터 출처 감사 T-5개월 학습·운영 데이터 lineage 문서화. 라이선스·attribution 점검.
4. 영향 평가 보고서 T-4개월 각 ADMT의 위험·완화 조치·영향 평가 보고서 작성.
5. 워크플로우 구축 T-3개월 사전 고지·30일 공개·소비자 권리 응답 프로세스 설계.
6. 인간 검토 인프라 T-2개월 재심사 담당자 지정·교육, 결정 시점 스냅샷 보존 체계.
7. 모의 시행 T-1개월 소비자 권리 요청 시뮬레이션, 응답 시한 측정.
8. 발효 T-0 (2027-01-01) 실질적 준수 의무 시작.

5.4NYC LL144의 사전 실패 — 콜로라도가 피해야 할 함정

Galdon Clavell & González-Sendino(2025)는 NYC Local Law 144(AI 고용 결정 도구 감사 의무화)의 1.5년 시행 데이터를 분석했다. 컴플라이언스 자동화 도구 ITACA_144를 직접 개발한 경험에서 도출한 네 가지 실무 격차가 있다.

  • 1. 데이터 요구사항의 모호성. 어떤 데이터를 어떤 형식으로 보유해야 하는지 명확하지 않아 deployer마다 다른 해석을 했다.
  • 2. demographic representation 기준 부재. 어떤 인구 통계 집단을 어떤 비율로 표본에 포함해야 하는지 표준이 없어 감사 결과 비교가 불가능했다.
  • 3. impact measurement 방법론 부재. 편향의 정량 측정 방식이 표준화되지 않아 같은 시스템도 감사마다 다른 결과를 냈다.
  • 4. 데이터 품질 보증 부족. 감사 대상 데이터 자체의 품질이 검증되지 않아 결과의 신뢰성이 흔들렸다.

Groves 외(2024) Ada Lovelace Institute 보고서는 같은 NYC LL144의 "효과적인 감사 체제 수립 실패"의 네 가지 원인을 정리했다. 콜로라도 법무부의 시행 규칙이 이 네 가지 함정을 어떻게 회피하는지가 SB 26-189의 실제 작동 가능성을 결정할 것이다.

"비용은 컴플라이언스에 들이는 돈이 아니라 실패에 들이는 돈이다." 2025년 미국에서 컴플라이언스 실패로 인한 손실은 $4.4B에 달했다. SB 26-189의 위반 1건당 $20,000은 가볍게 들릴 수 있지만, 30일 공개 의무를 누락한 사건이 누적되면 그 합산은 클래스 액션 없이도 상당한 규모에 이른다. 그리고 시장에서 "ADMT 컴플라이언스 미달 기업"이라는 평판 손실은 과태료와 별개의 비용이다.

6

세 가지 AI 규제의 교차점 — 콜로라도 vs. EU vs. 한국

SB 26-189를 단독으로 읽으면 미국 주(州) 단위 사례로 보이지만, 글로벌 AI 거버넌스 지형에서 위치를 잡으면 전혀 다른 그림이 나온다. EU AI Act가 2024년 8월 발효되어 2026년 8월 고위험 시스템 전면 시행을 앞두고 있고, 한국은 AI 기본법을 2026년 1월 통과시킨 상태다. 세 법령의 철학적 차이를 비교해 보는 것은, 한국 기업이 콜로라도에서 ADMT를 운영하는 시나리오나 미국 기업이 한국에 진출하는 경우 모두에 실용적인 의미를 갖는다.

6.13각 비교 — 8가지 차원

차원 콜로라도 SB 26-189 EU AI Act 한국 AI 기본법
시행일 2027-01-01 2026-08-02 (고위험) 2026-01-22, 1년 유예
입법 단위 주(州) 단위 27개국 통합 국가 단위
규제 철학 위해 기반 (consequential decision) 위험 4단계 분류 고영향 AI + 생성형 AI
주체 구조 Developer + Deployer 6개 주체 (provider 외) 사업자 단일 의무
영향 평가 배포자 영향 평가 + 정책 기본권 영향 평가 (FRIA, Art 27) 위험관리방안 수립
소비자 권리 설명·정정·재심사 3대 권리 설명 요구권 + 권리 구제 사전 고지 + AI 생성 표시
위반 제재 최대 $20,000/건 ($50,000 고령자) €35M 또는 매출 7% 과태료 + 계도기간
적용 제외 40인 이하 deployer + 일부 도메인 SME 비례 적용 기준 마련 중

6.2철학적 차이 — risk vs. harm vs. hybrid

세 법령의 가장 큰 차이는 "무엇을 규제 대상으로 보는가"에 있다. EU AI Act는 risk-based 접근이다. AI 시스템 자체의 잠재 위험을 4단계로 분류하고, 고위험에 해당하면 시스템의 모든 라이프사이클(개발·배치·운영)에 의무를 부과한다. 콜로라도 SB 26-189는 harm-based 접근에 가깝다. AI 시스템 자체보다 그 시스템이 내리는 결정의 "consequential" 성격에 초점을 둔다. 한국 AI 기본법은 hybrid 모델이다. "고영향 AI"와 "생성형 AI" 두 범주를 별도로 다루며, 사후 표시 의무와 사전 위험 관리를 결합한다.

실무적 의미는 분명하다. EU에서는 "시스템 자체가 고위험으로 분류되면" 의무가 발생하고, 콜로라도에서는 "결정이 consequential한 7개 도메인에서 사용되면" 의무가 발생한다. 한국에서는 "고영향 AI거나 생성형 AI라면" 의무가 발생한다. 같은 시스템이 세 법령 아래에서 다른 의무를 진다.

6.3한국 기업의 트리플 컴플라이언스 시나리오

한국에 본사를 둔 기업이 콜로라도에서 ADMT 서비스를 제공하고 EU에서도 영업한다면, 세 법령을 동시에 준수해야 한다. 한국 AI 기본법의 고영향 AI 사전 고지·생성 표시, 콜로라도 SB 26-189의 설명·정정·재심사 3대 권리, EU AI Act의 기본권 영향 평가(FRIA)와 €52,000/년 단일 시스템 준수 비용. 이 세 의무가 동시에 작동하는 구조다.

Gartner는 2030년까지 파편화된 AI 규제가 4배 증가하여 글로벌 경제의 75%까지 확대될 것으로 예측한다. 단일 국가의 단일 법령만 보고 컴플라이언스를 설계하면 다국적 운영에서 갭이 생긴다. 콜로라도 SB 26-189는 이 글로벌 거버넌스 지형의 한 조각이며, 미국 내 다른 주들이 자기 법을 만들 때 참조하는 기준점이기도 하다.

"콜로라도가 EU를 따라했다"는 단순화는 정확하지 않다. EU의 6개 주체 구조에서 핵심 2개(developer, deployer)를 추출하고, EU의 risk-based 분류 대신 harm-based 정의를 채택하며, EU의 €35M 벌금 대신 $20,000 과태료를 둔 것은 의식적인 미국화·경량화의 결과다. 콜로라도 모델이 다른 미국 주로 확산될 가능성이 높은 이유이기도 하다.

7

페블러스가 이 주제에 주목하는 이유 — 데이터 출처성이 증거 레이어가 된다

SB 26-189는 모델에 대한 법이 아니라 데이터에 대한 법으로 읽어야 한다. 소비자 설명 요구권이 작동하려면 "이 결정에 어떤 데이터가 사용됐는가"를 답할 수 있어야 한다. 정정권이 의미를 가지려면 어떤 입력 데이터를 수정해야 하는지 지목할 수 있어야 한다. 인간 재심사권이 형식주의로 빠지지 않으려면 검토자에게 결정 시점의 데이터·모델 버전·점수 분해가 제공돼야 한다. 세 권리 모두 데이터 출처성(provenance) 인프라 위에 서 있다.

7.1현행 데이터셋의 컴플라이언스 불능 상태

Longpre 외(2023)는 1,800개 텍스트 데이터셋을 감사하여 충격적인 결과를 발표했다. 라이선스 누락 70% 이상, attribution 오류 50% 이상. 산업 표준으로 사용되는 데이터셋의 상당수가 "이 데이터가 어디서 왔는가"에 답할 수 없는 상태다. Longpre 외(2024)의 후속 연구는 4,000개 데이터셋·608개 언어·798개 소스·659개 조직·67개국을 분석하여, 2019년 이후 멀티모달 학습이 웹 크롤·합성·YouTube 데이터에 의존하면서 출처 추적이 사실상 붕괴됐다는 사실을 보였다.

이것이 의미하는 바는 분명하다. ADMT가 학습 데이터의 출처를 요구하는 순간, 현재 산업 표준 데이터셋의 대부분은 컴플라이언스 불능 상태다. SB 26-189의 영향 평가 보고서가 데이터 lineage를 묻고, 30일 공개 의무가 "어떤 데이터가 결정에 영향을 미쳤는가"를 묻는다면, 이 70%의 라이선스 누락은 즉시 컴플라이언스 리스크로 전환된다.

7.2DataClinic이 영향 평가 보고서에 기여하는 다섯 가지

페블러스의 DataClinic은 ADMT의 입력 데이터를 자동 진단하는 도구로, SB 26-189 영향 평가 보고서가 요구하는 핵심 항목들과 직접 매핑된다.

  • 1. 데이터 lineage 맵. 학습·운영 데이터의 출처·수집 시점·이동 경로를 추적 가능한 형태로 문서화. Longpre 외가 지적한 70% 라이선스 누락 문제에 대한 직접적 대응.
  • 2. 편향 진단. 인종·성별·연령 등 보호 계층에 대한 데이터 편향 자동 측정. Stanford의 흑인 25%+ 채용 불이익 같은 패턴을 사전에 발견.
  • 3. 라이선스·attribution 검증. 학습 데이터의 라이선스 호환성·재배포 가능성·credit 추적. 컴플라이언스 감사에서 즉시 답변 가능한 형태로 정리.
  • 4. 결측·이상치 분석. 어떤 데이터 패턴이 누락됐는지, 어떤 이상치가 모델 결정에 영향을 미쳤는지를 정량화. 소비자 정정권 요청에 대한 응답 자료로 활용.
  • 5. 표본 대표성 검증. Galdon Clavell이 지적한 demographic representation 기준 부재 문제에 대한 응답. NYC LL144가 실패한 영역이다.

7.3AI-Ready Data와 ADMT 컴플라이언스의 동형성

페블러스가 정의하는 AI-Ready Data의 다섯 가지 차원(정확성·완전성·일관성·출처성·편향성)은 SB 26-189 영향 평가 보고서가 요구하는 입력값과 거의 일대일로 대응한다. 정확성과 완전성은 결정의 사실 기반을 보장하고, 일관성은 시계열에 따른 결정 추적 가능성을 만들며, 출처성은 설명 요구권과 정정권의 인프라이고, 편향성은 차별 금지 의무의 직접 평가 대상이다.

Cobbe 외(2021)의 reviewability 프레임워크가 강조하듯, ADM은 사회기술적 프로세스다. 단일 모델의 책임이 아니라 시스템 전체의 record-keeping이 핵심이다. 이 record-keeping의 가장 어려운 부분이 데이터의 lineage를 보존하는 일이다. DataClinic이 만드는 진단 리포트는 영향 평가 보고서의 첫 번째 챕터로 들어갈 수 있는 형식을 갖추고 있다.

7.4앞으로 탐구할 질문

이 보고서가 던지는 핵심 질문은 단순하지 않다. NYC LL144의 1.5년 시행 실패가 보여준 네 가지 함정(데이터 모호성·표본 기준 부재·측정 방법론 부재·품질 보증 부족)을 콜로라도 시행 규칙이 어떻게 회피할 것인가? Buijsman & Veluwenkamp가 지적한 "어떤 공정성 개념을 채택했는가"의 명시 요구를 영향 평가 보고서에 어떻게 통합할 것인가? Sele & Chugunova가 실증한 자동화 편향을 인간 재심사 워크플로우에서 어떻게 차단할 것인가? 이 질문들은 SB 26-189가 실제로 작동하는지를 결정하는 변수이며, 데이터 품질 인프라가 답해야 할 영역이다.

"콜로라도 ADMT 컴플라이언스의 1차 관문은 모델이 아니라 데이터다." 이 한 문장이 이 보고서의 결론이다. 모델의 해석 가능성은 두 번째 문제이고, 그 모델이 학습한 데이터의 출처·라이선스·편향이 첫 번째 문제다. 7개월 안에 미국 기업이 갖춰야 할 인프라의 핵심도, 한국 기업이 글로벌 시장에서 경쟁력을 가지려면 갖춰야 할 인프라의 핵심도 같은 자리에 있다.

자주 묻는 질문 (FAQ)

독자들이 이 주제를 두고 자주 던지는 질문 열 개를 모았다. 발효 시점, ADMT의 정확한 정의, 적용 도메인, 개발자·배포자 의무 차이, 소비자 권리의 실행 가능성, 위반 시 과태료, SB 24-205와의 차이, 데이터 품질의 역할, 면제 조항, 한국 기업이 받는 영향까지. 컴플라이언스 설계는 결국 "무엇이, 누구에게, 언제부터" 적용되는지를 한 번 더 확인하는 일에서 출발한다.

R

참고문헌

학술 논문

  • 1.Cobbe, J., Lee, M. S. A., & Singh, J. (2021). "Reviewable Automated Decision-Making: A Framework for Accountable Algorithmic Systems." FAccT '21. arxiv.org/abs/2102.04201
  • 2.(2025). "Subject Roles in the EU AI Act: Mapping and Regulatory Implications." arXiv preprint. arxiv.org/abs/2510.13591
  • 3.Buijsman, S., & Veluwenkamp, H. (2025). "Measuring the right thing: justifying metrics in AI impact assessments." arXiv preprint. arxiv.org/abs/2504.05007
  • 4.Longpre, S., Mahari, R., Chen, A., & Hooker, S. (2024). "The Data Provenance Initiative: A Large Scale Audit of Dataset Licensing & Attribution in AI." Nature Machine Intelligence. arxiv.org/abs/2310.16787
  • 5.Longpre, S. (2024). "Bridging the Data Provenance Gap Across Text, Speech, and Video." arXiv preprint. arxiv.org/abs/2412.17847
  • 6.Galdon Clavell, G., & González-Sendino, R. (2025). "What we learned while automating bias detection in AI hiring systems for compliance with NYC Local Law 144." arXiv preprint. arxiv.org/abs/2501.10371
  • 7.Groves, L., Metcalf, J., Kennedy, A., Vecchione, B., & Strait, A. (2024). "Auditing Work: Exploring the New York City algorithmic bias audit regime." FAccT '24. arxiv.org/abs/2402.08101
  • 8.Lam, K., Lange, B., Blili-Hamelin, B., Davidovic, J., Brown, S., & Hasan, A. (2024). "A Framework for Assurance Audits of Algorithmic Systems." FAccT '24. arxiv.org/abs/2401.14908
  • 9.Fresz, B., Dubovitskaya, E., Brajovic, D., Huber, M., & Horz, C. (2024). "How Should AI Decisions Be Explained? Requirements for Explanations from the Perspective of European Law." arXiv preprint. arxiv.org/abs/2404.12762
  • 10.Sele, D., & Chugunova, M. (2024). "Putting a human in the loop: Increasing uptake, but decreasing accuracy of automated decision-making." PLOS ONE. DOI: 10.1371/journal.pone.0298037

법령 및 정책 문서

업계 보고서 및 시장 데이터