AI 기본법 시행 이후, 왜 B2B 기업은 ‘신원확인’을 다시 보게 될까?

AI 기본법을 둘러싼 논의가 본격화되면서 많은 기업들이 비슷한 질문을 던지고 있습니다.
“AI 기본법에 신원확인을 하라는 조항이 직접 있나요?”
“본인인증을 꼭 도입해야 한다고 법에 쓰여 있나요?”

결론부터 말하면 그렇지 않습니다. AI 기본법에는 ‘신원확인을 도입해야 한다’거나 ‘본인인증 솔루션을 사용해야 한다’와 같은 기술 명시 조항은 존재하지 않습니다. 이는 GDPR이나 전자금융거래법과 유사하게, 특정 기술을 강제하기보다 결과와 책임을 기준으로 의무를 설계하는 법의 구조 때문입니다. 법은 “무엇을 써라”라고 말하지 않고, “어떤 책임을 져야 하는가”를 묻고 있습니다.

그럼에도 불구하고 AI 기본법 논의에서 신원확인이 자주 언급되는 이유는 분명합니다. AI 기본법은 투명성 확보 의무와 고영향 AI의 위험 관리 의무를 중심으로, AI로 인해 발생할 수 있는 오작동·기만·부정행위에 대한 관리 책임을 사업자에게 명확히 귀속시키고 있기 때문입니다. 다시 말해, AI로 인해 사람이 속거나 잘못된 판단이 발생할 수 있는 구조를 인지하고도 적절한 조치를 하지 않았다면, 그 책임은 AI를 운영하는 기업이 지게 됩니다.

이러한 책임 구조를 바탕으로 보면, AI 기본법은 단순한 규제 법안이 아니라 기업의 운영 방식과 리스크 관리 수준을 점검하는 기준에 가깝습니다.

AI 기본법이 요구하는 것은 ‘기술’이 아니라 ‘책임 구조’

AI 기본법은 제22조를 통해 ‘투명성 확보 의무’를 통해 ‘고영향 인공지능의 위험 관리 의무’를 규정합니다. 이 두 조항의 공통점은, AI가 만들어내는 결과가 사회적으로 어떤 영향을 미칠 수 있는지 사업자가 사전에 인식하고 이를 관리해야 한다는 점입니다.

이 구조에서는 “AI가 만들었다고 표시했다”는 사실만으로 책임이 면제되지 않습니다. 만약 AI 생성물이 실제 사람의 행위나 존재처럼 오인되어 타인에게 피해를 주는 구조라면, 그 구조 자체를 방치한 책임이 문제 될 수 있습니다. 이 지점에서 신원확인은 ‘기술 옵션’이 아니라 리스크를 통제하기 위한 수단으로 다시 검토되기 시작합니다.

딥페이크 확산과 투명성 확보 의무의 관계?

AI 기본법 제22조가 규정하는 투명성 확보 의무는, 생성형 AI 환경에서 특히 중요한 의미를 가집니다. 이는 단순히 “AI가 만들었다”고 표시하는 수준을 넘어, 실제 사람이 존재하는 것처럼 가장해 이득을 취하는 구조를 방치해서는 안 된다는 취지로 해석될 수 있기 때문입니다.

C2C·중고거래 플랫폼에서는 딥페이크로 생성된 물건 이미지나 조작된 본인 확인 영상으로 구매자를 기망하는 사례가 더 이상 개인 간 분쟁에 그치지 않습니다. SNS나 데이팅 앱에서도 타인의 얼굴을 도용한 딥페이크 프로필을 활용한 로맨스 스캠이 반복될 경우, 플랫폼의 관리 책임이 함께 논의될 수 있습니다. 콘텐츠 플랫폼 역시 AI 생성물을 업로드할 때 워터마크를 적용하는 것에서 나아가, 이용자가 “이 영상은 실제 나다”라고 주장할 경우 이를 검증할 수 있는 수단을 요구받게 될 가능성이 높아지고 있습니다.

이러한 환경에서 핵심은 단순한 사진 비교가 아닙니다. 실제 사람이 카메라 앞에 실시간으로 존재하는지를 확인할 수 있는 Liveness 기반 검증 여부가 중요한 판단 기준으로 떠오르고 있습니다. 이를 적절히 통제하지 못할 경우, AI 생성물 표시 의무 위반으로 최대 3,000만 원의 과태료가 부과될 수 있으며, AI 모델을 실제 사람처럼 활용한 광고가 적발될 경우 표시·광고법에 따른 과징금이나 징벌적 손해배상으로까지 이어질 수 있습니다.

고영향 AI 사업자에게 요구되는 ‘위험 관리’의 수준은 어느 정도일까?

AI 기본법은 사람의 생명, 안전, 기본권에 영향을 미칠 수 있는 AI를 ‘고영향 AI’로 분류하고, 해당 AI를 운영하는 사업자에게 보다 높은 수준의 관리 책임을 요구합니다. 이 범주에는 에듀테크 기업이나 시험 주관사가 운영하는 온라인 시험, HR 테크 기업의 AI 면접·채용 평가, 금융권의 AI 신용평가·비대면 대출 심사 등이 포함될 가능성이 큽니다.

이러한 서비스에서 AI가 합격과 불합격, 승인과 거절 같은 중대한 결정을 내린다면, 그 판단의 전제는 평가 대상자가 서류상 인물과 실제 동일인인지 여부입니다. 만약 AI 면접 과정에서 대리 응시자가 정교한 딥페이크 가면을 쓰고 시험을 치르는데도 이를 걸러내지 못했다면, 이는 단순한 부정행위를 넘어 AI 시스템의 신뢰성과 관리 체계가 미흡하다고 평가될 수 있습니다. 

이 경우 사업자는 시정 명령과 함께 최대 3,000만 원 이하의 과태료를 부과받을 수 있으며, 채용 비리나 부정 대출 이슈로 확산될 경우 AI 서비스 운영 자체가 중단되는 강력한 행정 처분으로 이어질 가능성도 배제하기 어렵습니다.

AI 기본법이 바꾼 책임 구조, 어떤 산업에서 신원확인이 중요할 수 있을까?

이러한 책임 구조를 종합해보면, AI 기본법 시행 이후 신원확인 수요가 가장 먼저 나타날 가능성이 높은 산업군도 비교적 분명해집니다. 딥페이크로 인한 기망 위험이 직접적인 플랫폼 산업(C2C·중고거래, SNS, 데이팅, 콘텐츠 플랫폼), AI가 합격·승인·평가를 대신하는 고영향 AI 기반 산업(에듀테크, HR 테크, 금융·핀테크), 그리고 한국 이용자를 상대하면서 역외 적용 리스크를 안고 있는 글로벌 서비스 기업(해외 게임, 디자인 툴, 구독형 SaaS, 매칭 서비스) 역시 해당 될 수 있습니다.  이들 산업은 모두 “실제 사람인지 여부”가 서비스 신뢰와 법적 책임의 출발점이 되는 구조를 가지고 있어, AI 기본법 시행 이후 정확한 신원확인 체계를 사전적으로 검토해야 할 필요성이 가장 높은 영역으로 볼 수 있습니다.

특히 고영향 AI를 도입했거나 도입을 검토 중인 기업의 법무·컴플라이언스 팀, 인사·금융·리스크 관리 조직은 이제 AI를 기능이 아닌 책임의 관점에서 다시 바라볼 필요가 있습니다.

오늘은 AI 기본법이 바꾼 책임 구조를 중심으로, 왜 특정 산업에서 신원확인이 중요한 이슈로 떠오르고 있는지 살펴보았습니다. AI 기본법은 특정 기술을 도입하라고 요구하지는 않지만, AI로 인해 발생할 수 있는 위험을 어떻게 관리하고 책임질 것인지를 기업에게 묻고 있습니다. 이러한 흐름 속에서 신원확인은 단순한 인증 절차를 넘어, 서비스 신뢰와 법적 리스크를 함께 관리하기 위한 하나의 기준으로 다시 주목받고 있습니다. AI를 활용하는 B2B 기업이라면 이번 기회를 통해 우리 서비스가 어떤 책임 구조 위에 놓여 있는지 점검해보고, 향후 규제 환경 변화에 대비한 준비 방향을 고민해보는 계기가 되기를 바랍니다.