“금융사, AI 가이드라인 지켜야 임직원 책임 참작 가능”

“인공지능(AI) 활용도 당장 바쁜데 법적 구속력이 없는 가이드라인까지 꼭 준수해야 하느냐는 질문을 많이 받습니다. 회사와 임직원들을 보호하기 위해서 준수해야 합니다. 금융사고가 발생했을 때 가이드라인이 회사와 임직원이 지는 책임에 주요 참작 요소가 될 것입니다.”

강현정 김앤장 변호사는 23일 서울 여의도 국회에서 열린 ‘AI 시대, 금융 시스템을 다시 설계하다’ 포럼에서 이같이 말했다. 이번 행사는 박상혁·이강일 더불어민주당 국회의원이 주최하고 한국핀테크산업협회, 핀테크AI협의회, 마이데이터 AI 포럼에서 공동 주관했다.

강 변호사는 2024년부터 AI 거버넌스 자문 업무를 맡아 왔다. 그는 현재 활용되고 있는 ‘금융 AI 가이드라인’ 준수의 중요성과 실무 환경 적용의 한계를 설명했다. 먼저 금융 AI 가이드라인은 AI 기본법과 달리 법적 구속력이 없다는 점을 짚었다. 올해 초 발표된 가이드라인 초안은 AI 활용과 관련된 내부통제 및 위험관리 방향과 원칙에 대한 규범적인 내용을 권고하는 행정지도에 불과하다는 것이다.

그럼에도 강 변호사는 AI 가이드라인 준수를 권장한다. 그는 “가이드라인은 법령이 아니기에 위반했을 때 직접적인 제재 근거는 없지만 향후 금융감독원 검사나 감독에 기준이 될 가능성이 높다”며 “가이드라인에 따라 내부통제나 위험관리 체계를 갖추지 않은 상태에서 AI를 활용하는 경우에 내부통제가 부실하거나 위험관리를 소홀했다는 지적을 받을 수 있다”고 말했다.

다만 금융 AI 가이드라인이 제시하는 7대 원칙은 실제 실무 현장과 괴리가 있다고 지적했다. AI 가이드라인 7대 원칙으로는 ▲거버넌스 원칙 ▲합법성 원칙 ▲보조수단성 원칙 ▲신뢰성 원칙 ▲금융안정성 원칙 ▲신의성실 원칙 ▲보안성 원칙이 있다.

강 변호사는 특히 거버넌스 원칙 준수가 어렵다고 밝혔다. 거버넌스 원칙은 기획·개발 조직과 AI 관련 위험관리 전반을 총괄하고 법령상 의무 준수 여부를 점검하는 위험관리 전담 조직을 분리해 운영하라는 권고를 담고 있다.

실제 현장에서는 AI 기획·개발을 전담하는 부서가 관련 실무 전문성이 가장 뛰어나기에 부서가 분리될 경우에 이해상충 이슈가 제기될 가능성이 있다. 또한 기존 위험관리 부서가 AI 가이드라인 준수를 맡게 될 경우에는 전문성 부족 문제가 발생할 수 있다.

이에 따라 금융당국은 지난주 공개된 가이드라인에서 위험관리 전담 조직을 개발 조직과 분리는 하되 AI주관본부 소속으로는 둘 수 있다는 내용을 추가했다. 기존 금융사의 내부통제와 위험관리 거버넌스 안에서 AI를 관리하라는 취지로 풀이된다.

강 변호사는 “금융사들은 AI 전문 인력 채용이 쉽지 않아 위험관리 조직을 위해 전담 인원을 따로 구하기에 어려움을 겪는 경우가 많다”며 “특히 인적·물적 자원이 부족한 중소 규모의 금융회사에는 거버넌스 원칙을 준수하라는 가이드라인이 굉장히 높은 장벽”이라고 말했다.

거버넌스 원칙 중 위험평가체계 구축 지침도 현장에서 실행하기 어려운 것으로 나타났다. 위험평가체계는 원칙 위반 가능성을 점수 방식(스코어링)으로 환산하는 방식이다. 금융사들이 주요 원칙을 중요도 순으로 차등 점수를 배정해 자율 감독을 하도록 하려는 의도로 풀이된다.

강 변호사는 “실무진이 각 원칙별로 평가 항목을 만들고 점수를 매기는 일이 아직 쉽지 않다”며 “초기에는 스코어링 방식을 적용하기 힘들기에 위험평가 경험이 쌓이기 전까지 체크리스트를 통해 위험평가를 할 수 있도록 자문을 제공하고 있다”고 밝혔다.

글. 바이라인네트워크
<오민선 기자>omsoms94@byline.network