즉 개인 맞춤형 자산관리시스템처럼 특정인의 직업, 수입, 경제상황 등의 변수를 넣어 AI가 안정적 포트폴리오를 구성하는 것이라면 EU AI법은 이를 고위험으로 쉽게 분류하겠지만 우리 AI 기본법은 개인 대출희망자가 금융기관에 대출을 신청하고 판단, 평가를 AI로 하게 되면 그때 비로소 고영향 AI 규제를 받게 되는 구조입니다.

 한편, 대출심사의 형태를 띠고 있는 것이라면 약관대출형태로 보험자가 장차 지급할 보험금 내지 계약해지에 따른 환급금의 선급금 성격으로 지급하는 경우에도 (금융위원회 보도자료는 2025년 10월 기준으로 70.5조원 정도의 규모로 파악) AI 사용결과가 판단, 평가에 영향을 미치면 고영향 AI로 규제됩니다. 같은 논리로 자본시장법상 증권회사가 증권의 매수, 매도를 위해 고객에게 자금 내지 증권을 빌려주는 신용 공여를 허용하고 있기 때문에 AI를 통한 신용평가시스템으로 대출신청자에게 신용 공여 여부가 결정될 경우 (금융투자협회 자본시장통계 자료의 신용공여 잔고추이는 2026년 3월 현재 역대 최대인 약 33조원 정도 규모로 파악) 역시 고영향 AI로 규제받게 됩니다. 

3. EU AI법은 규제의 틀을 처음 정할 때 모든 AI를 규제하고자 한 것이 아니라 AI의 사용맥락에 따라 기술중립적으로 발생가능한 위험(risk)을 차별적으로 규제하고자 했기 때문에 AI의 사용목적(intended purpose)이 AI 규제의 시작점이 됩니다. 똑같은 칼을 누가 어디에 사용하는가에 따라 법적 규제가 달라지는 것과 같은 이치입니다.

 즉 AI의 사용정도에 따른 규제를 하는 것이 아니기 때문에 고위험 영역에 AI를 단지 '참고용, 보조용’으로 사용하고 최종 결정은 인간이 한다고 하여 자동 면책되는 구조가 아닙니다. 우리 AI 기본법의 해석도 역시 동일하게 대출심사의 판단, 평가에 AI를 사용하게 되면 일단 고영향 AI로 분류되어집니다. 비록 문언상의 해석으로는 '중대한 영향을 미치는' 대상이 개인의 권리, 의무관계인 것으로 보게 되지만 실제로는 결국 판단 또는 평가에 미치는 AI의 영향을 보지 않을 수 없습니다.

 따라서 최종적으로는 고영향 AI 판단 가이드라인이 예시하고 있는 바와 같이 대출심사의 핵심인 '신용평가와 여신의 가부, 범위를 결정하는 것'에 AI가 직접적으로 관련이 되어 있는지가 중요하며, 만약 대출상담, 본인확인, 신청접수처럼 판단, 평가와 직접적 관련이 없는 절차적 작업에 불과하다면 (단순 참고용에 불과하다면) 고영향 AI로는 규제되지 않습니다. 

 고영향 AI판단 가이드라인은 이를 구체적으로 '정책금융인지 일반금융인지 여부, 공공영역인지 민간영역인지 여부 등 대출심사가 이루어지는 맥락적 환경을 고려하는 것이 필요하며, 특히 개인에게 유리한 요소로 적용하기 위해 활용되는 데이터의 경우에는 고영향 판단기준을 완화할 수 있다'고 정하고 있고, EU AI법도 제7조에서 AI 시스템의 ‘사용목적(intended purpose)’외에 사용정도, 인간에게 이익을 가져다주는 정도와 가능성 등 다양한 11개의 개별 요소들을 검토하여 고위험 판정 여부를 결정하게끔 규정하고 있습니다. 따라서 대출심사의 평가 또는 판단에 AI가 사용되었다면 실무적으로는 '중대한 영향'을 미친 것으로 봐서 고영향으로 일단 추정하되 개인에게 어떤 결과가 초래되었는지의 최종 검증이 필요하다고 할 수 있습니다. 

 또한 고영향 AI 판단 가이드라인은 점수제를 통해 A 그룹의 3개 항목을 각 2점씩, B 그룹의 3개 항목을 각 1점씩 배정, 총 4점 이상이면 고영향이라고 설명하고 있습니다.

 즉 구체적으로 A 그룹은 ①기존 모델보다 파라미터 증가, 학습 데이터 양 또는 유형의 확대 등으로 복잡도가 증가한 신규 모델에 기반한 인공지능시스템 ②1만명 이상의 금융소비자를 대상으로 하는 인공지능시스템 ③자동화정도가 높고 속도가 빨라서 실질적으로 최종 의사결정에 관한 사람의 개입이 불가능한 인공지능시스템으로 되어 있습니다.

 결국 정량화된 판정을 하게 되는 구조로 우리 AI기본법상 대출심사 규정을 운영하겠다고 동 가이드라인은 밝히고 있습니다.

4. 대출심사를 신청한다고 해서, 또 거절되었다고 해서 신청자 개인과 금융기관간 사적인 권리, 의무관계가 자동적으로 발생하는 것은 아닙니다. 따라서 ‘권리, 의무관계에 중대한 영향을 미쳐야’ 되는 법적 요건 때문에 고영향 AI 판단 가이드라인이 예시하는 것처럼 대출심사 개별 단계를 종합하여 최종 결정을 하는 시스템이나 대출심사에 '차별적 데이터’ 또는 '민감한 데이터’를 사용하여 권리를 침해하게 되는 것이 분명하게 되면 '중간 단계에서 어떤 데이터를 사용해서 AI를 활용하였는지'가 실무에서 중요한 체크 포인트가 됩니다. 대출승인이 된 이후의 결과물인 이자율 등과 같은 대출조건을 통해 역으로 AI 사용이 권리, 의무관계에 중대한 영향이 미쳤는지를 검증하는 것은 불가능하기 때문입니다.

 대출심사 '차별적 데이터'는 평가, 판단의 공정성을 훼손시키는 원천적 위험 요소이며 헌법 제11조는 '성별, 종교 또는 사회적 신분'을, 금융소비자보호에 관한 법률 제15조는 "성별, 학력, 장애, 사회적 신분 등'을, 대부업법 제9조의8은 "성별, 학력, 장애, 사회적 신분 등', 그리고 신용정보법 제22조의4는 "성별, 출신지역, 국적 등'을 '차별적 데이터'의 예라고 할 수 있습니다. 또한 '민감한 데이터'는 개인정보보호법 제23조 제1항이 "사상, 신념, 노동조합, 정당의 가입, 탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 --대통령령으로 정하는 정보”를 규정함으로써 헌법상의 사생활의 비밀보호권을 침해할 우려가 있는 데이터를 의미합니다.

 그러나 대출심사에서 신용평가를 위해 기본 설정으로 체크하게 되는 ‘신용연체정보’와 같은 것은 그 자체로서 차별적이거나 민감한 데이터라고는 할 수 없습니다.

 한편, 건강 관련 개인 데이터는 성격상 ‘민감한 데이터’로서 EU AI법은 생명과 건강보험서비스에서 개인의 보험위험평가와 보험료율 산정에 사용되는 경우에 고위험 AI로 분류되는 대표적 예로 보지만 우리는 대출심사의 판단과 평가에 국한해서만 고영향 AI를 해석하게끔 되기에 건강 관련 데이터 투입에 대한 실무적 검토의 중요성은 떨어집니다.

 즉 보험사는 개인의 질병 유무나 생활 습관을 분석하여 보험료를 산정하기 때문에, EU AI법은 그러한 차별적 데이터로 인한 기본권 침해 여부를 특히 고위험 여부의 판정에서 민감하게 보면서 ‘인적 개입’(human oversight)을 필수적으로 요구하지만 우리는 AI 기본법의 적용범위 자체가 해석상 보험서비스라 할지라도 개인의 대출심사에만 적용됩니다.

 증권업의 경우에는 AI가 투자 권유를 하거나 직접 매매를 수행하게 되면서 AI 알고리즘이 고객의 이익보다 증권사의 이익을 우선하도록 설계되었는지가 실제로 중요한 논쟁거리가 되지만 우리의 AI 기본법상으로는 역시 대출심사에 국한해서 고영향 규제의 대상으로 보게 됩니다.

Ⅱ. 고영향 금융 AI 사업자

1. 금융기관은 현실적으로 고영향 AI ’개발사업자’(provider)라기 보다는 고영향 AI ‘이용사업자’(deployer) 내지 ‘이용자’(user)에 해당되어질 가능성이 많고 ‘이용사업자’인 경우 해당 의무의 핵심은 고영향 AI의 운영에 따른 ‘인간의 감독(human oversight)’에 있게 됩니다. 다만 구체적 관련 규제는 결국 금융관련 개별 법으로 이루어지게 되는 구조라고 할 수 있습니다.

 고영향 AI 판단 가이드라인은 금융기관이 대출심사에서 신용평가 및 승인업무를 수행하면 ‘이용자’로 법적 성격을 분류하고 있습니다만 EU AI법은 발생가능한 추가적 고위험을 규제하기 위해 ‘이용사업자’라 할지라도 오히려 ‘개발사업자’로 간주되는 경우를 보다 구체적으로 규정하고 있습니다.

 즉 제25조 AI ’가치사슬(value chain) 책임’에서 ①자기 이름과 상표를 내걸고 고위험 AI 제품이나 서비스를 사용하거나 ②기존의 금융분야 AI시스템을 실질적으로 변경(substantial modification)하여 고위험 용도로 사용하거나 ③범용 AI를 고위험 용도로 사용목적(intended purpose)을 변경하여 사용하게 되면 고위험 AI ‘개발사업자’로 보고 이에 상응하는 무거운 법적 의무를 부과하고 있습니다.

 우리 법의 해석상으로도 만약 금융기관이 범용 AI를 자사의 대출심사 용도로 변형하여 사용하였다면 일단 고영향 AI로 추정되고 어떤 결과를 가져왔는지 등을 최종 점검할 필요가 있습니다. 또한 금융기관이 신용평가 예측 AI모델을 개발한 사업자로부터 모델을 제공받아 ‘대출심사용’으로 수정, 변경, 사용하였다면 이용목적(intended purpose)이 우리 법상 고영향 AI의 영역으로 들어온 것이고 EU AI법은 이 경우 ‘개발사업자’와 같은 무거운 의무를 부과하고 있기 때문에 특히 실무적으로 주의를 요하게 됩니다.

 물론 금융분야 대출심사용으로 특화되어 이미 시판되고 있는 AI 시스템을 금융기관이 구입, 단지 자사의 데이터를 입력하여 사용하였다면 금융기관은 고영향 사업자 규제를 받지 않는 단순 ‘이용자’에 불과하게 됩니다.

2. 금융기관이 고영향 AI ’이용사업자’가 되면서 추가로 부담하게 되는 대표적 의무는 제35조의 ‘기본권영향평가’이며, 시장에 출시하기 전 AI의 최초 사용시에만 이행하도록 요구하는 것이지만 우리는 사업자가 지키도록 노력하는 정도의 주의규정으로 정하고 있습니다. 다만, 우리 AI 기본법의 해석상 대출심사에서 차별적, 민감한 데이터의 사용 여부를 체크하게 되기 때문에 제35조 자체의 실무적 중요도는 떨어지게 됩니다.

 한편, ‘인공지능 및 데이터기반행정 활성화에 관한 법률’ (이하 ‘공공 AI법’이라 칭함)이 2026년 2월에 공포되었지만 '기본권영향평가' 규정의 시행일은 2027년 2월로 되어 있고, 공공기관의 장이 행안부 장관과 협의하여 사업자가 AI 기본법상의 기본권영향평가를 받으면 ‘공공 AI법’ 적용을 면제하도록 규정하고 있기 때문에 EU 등의 국제규범과의 정합성도 고려, AI 기본법 시행의 구체적 가이드라인을 최종 정비할 필요가 있습니다.