인공지능기본법 가이드라인 5종 — 뭐가 나왔고 뭘 봐야 하나
인공지능기본법 가이드라인 5종 — 뭐가 나왔고 뭘 봐야 하나
2026년 1월 인공지능기본법이 시행되면서, 과기정통부와 KOSA가 운영하는 '인공지능기본법 지원데스크'에서 가이드라인 5종을 공개했다. ISMS-P 컨설팅을 하다 보면 요즘 AI 관련 질문이 부쩍 느는데, 이 가이드라인이 나와서 한번 정리해둬야겠다 싶었다.
공개된 가이드라인은 이렇다.
- 투명성 확보 가이드라인 (2026.01.26)
- 인공지능 안전성 확보 가이드라인 (2026.01.22)
- 고영향 인공지능 판단 가이드라인 (2026.01.29)
- 고영향 인공지능 사업자 책무 가이드라인 (2026.01.22)
- 인공지능 영향평가 가이드라인 (2026.01.22)
각 가이드라인 요약
5종 전부를 깊게 다루기엔 양이 많으니, 핵심만 짚는다. 솔직히 이 중에서 실무에 당장 영향을 줄 건 투명성, 고영향 AI 판단, 영향평가 이 세 개라고 본다.
투명성 확보 가이드라인은 "이건 AI가 만든 겁니다"를 이용자에게 알려야 한다는 내용이다. AI 생성 콘텐츠 표시, 의사결정 과정 설명 같은 것들이 포함돼 있는데, 개인정보 처리방침과 비슷한 맥락이라 개인정보 실무자 입장에서는 익숙한 구조다.
안전성 확보 가이드라인은 AI 시스템 개발·운영 전 과정의 기술적·관리적 조치를 다룬다. 오작동 방지, 보안 취약점 관리, 사후 모니터링 등. 내용 자체는 기존 보안 관리체계와 크게 다르지 않다.
고영향 AI 판단 가이드라인이 현장에서 제일 많이 물어볼 것 같다. "우리 서비스가 고영향 AI인가요?"라는 질문에 답을 줘야 하니까. 생명·신체, 기본권, 안전에 중대한 영향을 미칠 수 있는 AI가 대상이고, 판단 절차와 고려 요소가 구체화돼 있다.
고영향 AI 사업자 책무 가이드라인은 고영향 AI로 판단된 서비스를 운영하는 사업자의 의무사항이다. 위험 관리 체계, 인적 감독, 기록 보존 등.
영향평가 가이드라인은 AI 도입 전에 사회적 영향을 사전 평가하는 절차와 방법론을 제시하는데, 개인정보 영향평가(PIA)를 해본 사람이면 구조가 꽤 익숙할 거다. 공공기관뿐 아니라 민간도 참고할 수 있는 프레임워크다.
개인정보보호 실무와의 접점
개인정보보호 실무와 겹치는 부분이 생각보다 많다.
개인정보를 대량으로 처리하거나 프로파일링에 활용하는 AI라면 고영향 AI에 해당할 가능성이 높고, 그러면 사업자 책무 가이드라인까지 따라온다. AI 기능을 쓰는 서비스가 갈수록 늘어나고 있으니, "우리는 AI 사업자가 아닌데요"라고 넘기기 어려운 기업이 점점 많아질 거다.
ISMS-P 인증 심사에서도 AI 관련 질문이 슬슬 나오기 시작했다. 아직 공식적으로 인증기준에 반영된 건 아니지만, 심사원들이 AI 활용 현황을 물어보기 시작했다는 얘기를 여러 루트에서 듣고 있다. 가이드라인 5종이 나온 이상, 이 흐름은 빨라질 것 같다.
출처: 인공지능기본법 지원데스크