대출심사와 고영향 AI

1월 22일부터 시행되고 있는 우리의 AI 기본법은 제재 규정이 비록 1년 정도 연기되었지만 고영향 AI 사업자의 의무규정이나 기타 규정들은 그대로 시행되고 있기 때문에 사업자 규제를 통해 고영향 AI를 관리, 규제하고자 하는 법의 취지상 시장의 큰 관심사가 될 수밖에 없습니다. 특히 EU AI법상의 고위험 AI 대부분의 규정들이 원래 시행이 예정된 올해 8월을 넘겨서 내년 말로 시행이 늦춰질 가능성이 더욱 커짐에 따라 AI 3대 강국을 국정지표로 내세우면서 육성과 지원정책을 펼치고 있는 이재명 정부에서 AI 기본법의 집행은 더더욱 세밀한 검토가 필요한 상황이라고 할 수 있습니다.

이하에서는 우리 AI 기본법만의 특색인 ‘대출심사’라는 고영향 AI 규제영역에 대해 살펴보고자 합니다.

Ⅰ. 법 조문 해석상 쟁점

1. 현행 AI 기본법 제2조는 “사람의 생명, 신체의 안전 및 기본권에 중대한 영향을 미치거나 위험을 초래할 우려가 있는 인공지능시스템”을 고영향 AI로 정의하고, 다음 각 목의 어느 하나의 영역에서 활용되는 것을 말한다고 규정하면서 사목에서 “대출심사 등 개인의 권리, 의무관계에 중대한 영향을 미치는 판단 또는 평가”를 명시하고 있습니다.

‘대출심사’의 개념에 대해 고영향 AI 판단 가이드라인은 "금융회사가 개인의 신용이나 담보자산 등을 평가하여 재화 등을 빌려주는 신용 공여 행위에 대하여 심의 결정하는 업무"로 정의하고 ‘금융회사’는 은행법에 따른 은행은 물론, 특별법에 따른 특수은행, 저축은행, 조합, 금고, 자본시장과 금융투자업에 관한 법률에 따른 투자매매업자, 증권금융회사, 종합금융회사, 보험업법에 따른 보험회사 등을 모두 열거하고 있습니다.

물론 고영향 AI의 개념이 개인의 보호법익을 중심으로 정의하고 있기 때문에 규제의 타깃인 ‘대출심사’로부터의 보호대상 역시 개인 (금융소비자)이며, 만약 개인사업자도 자신의 주민등록번호를 사용, 사업용도로 대출심사를 받으려 하면 개인적 보호법익의 침해여부가 문제될 수 있기 때문에 고영향 AI의 규제영역으로 들어오게 됩니다.

2. EU AI법이 부록(Annex) III에서 고위험(high-risk)영역으로 '필수적 민간/공공서비스에의 접근과 이용'에 AI 시스템이 사용되어지는 경우를 적시하면서 개인의 신용도(creditworthiness)를 평가하거나 신용점수(credit score)를 정할 때, 생명과 건강보험서비스에서 개인의 보험 위험평가와 보험료율 산정에 사용되는 경우를 고위험 AI로 규정하고 있는 것에 비해 우리는 ‘대출심사’라는 독자적 용어를 써서 금융에서의 규제범위를 정하고 있습니다.

‘대출심사’의 핵심에 ‘신용평가와 심사’가 있기에 EU AI법의 고위험 규제범위와 차이는 없다고 오해할 수도 있지만 EU AI법이 ‘필수적 민간/공공서비스에의 접근과 이용’에 AI를 사용하는 것을 고위험 AI로 규정하고 구체적 예시로 ‘신용평가’ ‘신용점수’를 들고 있기 때문에 실제 조문의 적용상 자본주의 사회에서의 신용활동 전반을 규제할 수 있는 확장성이 있는데 반해, 우리는 ‘대출심사’라는 단어를 독자적으로 쓰고 있기 때문에 적용범위가 훨씬 좁아지게 됩니다.

예를 들면, 고객 자산을 관리하기 위해 금융기관이 주식매매시스템, 자산관리시스템 등에 AI를 쓰면 EU AI법은 ‘필수적 민간서비스’인 금융거래에 접근하기 위해 신용평가를 거쳐야 되기에 고위험 AI로 분류할 수 있지만 우리 법의 해석은 금융기관의 ‘대출심사’에만 적용되어지는 구조입니다.

즉 개인 맞춤형 자산관리시스템처럼 특정인의 직업, 수입, 경제상황 등의 변수를 넣어 AI가 안정적 포트폴리오를 구성하는 것이라면 EU AI법은 이를 고위험으로 쉽게 분류하겠지만 우리 AI 기본법은 개인 대출희망자가 금융기관에 대출을 신청하고 판단, 평가를 AI로 하게 되면 그때 비로소 고영향 AI 규제를 받게 되는 구조입니다.

한편, 대출심사의 형태를 띠고 있는 것이라면 약관대출형태로 보험자가 장차 지급할 보험금 내지 계약해지에 따른 환급금의 선급금 성격으로 지급하는 경우에도 (금융위원회 보도자료는 2025년 10월 기준으로 70.5조원 정도의 규모로 파악) AI 사용결과가 판단, 평가에 영향을 미치면 고영향 AI로 규제됩니다. 같은 논리로 자본시장법상 증권회사가 증권의 매수, 매도를 위해 고객에게 자금 내지 증권을 빌려주는 신용 공여를 허용하고 있기 때문에 AI를 통한 신용평가시스템으로 대출신청자에게 신용 공여 여부가 결정될 경우 (금융투자협회 자본시장통계 자료의 신용공여 잔고추이는 2026년 3월 현재 역대 최대인 약 33조원 정도 규모로 파악) 역시 고영향 AI로 규제받게 됩니다.

3. EU AI법은 규제의 틀을 처음 정할 때 모든 AI를 규제하고자 한 것이 아니라 AI의 사용맥락에 따라 기술중립적으로 발생가능한 위험(risk)을 차별적으로 규제하고자 했기 때문에 AI의 사용목적(intended purpose)이 AI 규제의 시작점이 됩니다. 똑같은 칼을 누가 어디에 사용하는가에 따라 법적 규제가 달라지는 것과 같은 이치입니다.

즉 AI의 사용정도에 따른 규제를 하는 것이 아니기 때문에 고위험 영역에 AI를 단지 '참고용, 보조용’으로 사용하고 최종 결정은 인간이 한다고 하여 자동 면책되는 구조가 아닙니다. 우리 AI 기본법의 해석도 역시 동일하게 대출심사의 판단, 평가에 AI를 사용하게 되면 일단 고영향 AI로 분류되어집니다. 비록 문언상의 해석으로는 '중대한 영향을 미치는' 대상이 개인의 권리, 의무관계인 것으로 보게 되지만 실제로는 결국 판단 또는 평가에 미치는 AI의 영향을 보지 않을 수 없습니다.

따라서 최종적으로는 고영향 AI 판단 가이드라인이 예시하고 있는 바와 같이 대출심사의 핵심인 '신용평가와 여신의 가부, 범위를 결정하는 것'에 AI가 직접적으로 관련이 되어 있는지가 중요하며, 만약 대출상담, 본인확인, 신청접수처럼 판단, 평가와 직접적 관련이 없는 절차적 작업에 불과하다면 (단순 참고용에 불과하다면) 고영향 AI로는 규제되지 않습니다.

고영향 AI판단 가이드라인은 이를 구체적으로 '정책금융인지 일반금융인지 여부, 공공영역인지 민간영역인지 여부 등 대출심사가 이루어지는 맥락적 환경을 고려하는 것이 필요하며, 특히 개인에게 유리한 요소로 적용하기 위해 활용되는 데이터의 경우에는 고영향 판단기준을 완화할 수 있다'고 정하고 있고, EU AI법도 제7조에서 AI 시스템의 ‘사용목적(intended purpose)’외에 사용정도, 인간에게 이익을 가져다주는 정도와 가능성 등 다양한 11개의 개별 요소들을 검토하여 고위험 판정 여부를 결정하게끔 규정하고 있습니다. 따라서 대출심사의 평가 또는 판단에 AI가 사용되었다면 실무적으로는 '중대한 영향'을 미친 것으로 봐서 고영향으로 일단 추정하되 개인에게 어떤 결과가 초래되었는지의 최종 검증이 필요하다고 할 수 있습니다.

또한 고영향 AI 판단 가이드라인은 점수제를 통해 A 그룹의 3개 항목을 각 2점씩, B 그룹의 3개 항목을 각 1점씩 배정, 총 4점 이상이면 고영향이라고 설명하고 있습니다.

즉 구체적으로 A 그룹은 ①기존 모델보다 파라미터 증가, 학습 데이터 양 또는 유형의 확대 등으로 복잡도가 증가한 신규 모델에 기반한 인공지능시스템 ②1만명 이상의 금융소비자를 대상으로 하는 인공지능시스템 ③자동화정도가 높고 속도가 빨라서 실질적으로 최종 의사결정에 관한 사람의 개입이 불가능한 인공지능시스템으로 되어 있습니다.

결국 정량화된 판정을 하게 되는 구조로 우리 AI기본법상 대출심사 규정을 운영하겠다고 동 가이드라인은 밝히고 있습니다.

4. 대출심사를 신청한다고 해서, 또 거절되었다고 해서 신청자 개인과 금융기관간 사적인 권리, 의무관계가 자동적으로 발생하는 것은 아닙니다. 따라서 ‘권리, 의무관계에 중대한 영향을 미쳐야’ 되는 법적 요건 때문에 고영향 AI 판단 가이드라인이 예시하는 것처럼 대출심사 개별 단계를 종합하여 최종 결정을 하는 시스템이나 대출심사에 '차별적 데이터’ 또는 '민감한 데이터’를 사용하여 권리를 침해하게 되는 것이 분명하게 되면 '중간 단계에서 어떤 데이터를 사용해서 AI를 활용하였는지'가 실무에서 중요한 체크 포인트가 됩니다. 대출승인이 된 이후의 결과물인 이자율 등과 같은 대출조건을 통해 역으로 AI 사용이 권리, 의무관계에 중대한 영향이 미쳤는지를 검증하는 것은 불가능하기 때문입니다.

대출심사 '차별적 데이터'는 평가, 판단의 공정성을 훼손시키는 원천적 위험 요소이며 헌법 제11조는 '성별, 종교 또는 사회적 신분'을, 금융소비자보호에 관한 법률 제15조는 "성별, 학력, 장애, 사회적 신분 등'을, 대부업법 제9조의8은 "성별, 학력, 장애, 사회적 신분 등', 그리고 신용정보법 제22조의4는 "성별, 출신지역, 국적 등'을 '차별적 데이터'의 예라고 할 수 있습니다. 또한 '민감한 데이터'는 개인정보보호법 제23조 제1항이 "사상, 신념, 노동조합, 정당의 가입, 탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 --대통령령으로 정하는 정보”를 규정함으로써 헌법상의 사생활의 비밀보호권을 침해할 우려가 있는 데이터를 의미합니다.

그러나 대출심사에서 신용평가를 위해 기본 설정으로 체크하게 되는 ‘신용연체정보’와 같은 것은 그 자체로서 차별적이거나 민감한 데이터라고는 할 수 없습니다.

한편, 건강 관련 개인 데이터는 성격상 ‘민감한 데이터’로서 EU AI법은 생명과 건강보험서비스에서 개인의 보험위험평가와 보험료율 산정에 사용되는 경우에 고위험 AI로 분류되는 대표적 예로 보지만 우리는 대출심사의 판단과 평가에 국한해서만 고영향 AI를 해석하게끔 되기에 건강 관련 데이터 투입에 대한 실무적 검토의 중요성은 떨어집니다.

즉 보험사는 개인의 질병 유무나 생활 습관을 분석하여 보험료를 산정하기 때문에, EU AI법은 그러한 차별적 데이터로 인한 기본권 침해 여부를 특히 고위험 여부의 판정에서 민감하게 보면서 ‘인적 개입’(human oversight)을 필수적으로 요구하지만 우리는 AI 기본법의 적용범위 자체가 해석상 보험서비스라 할지라도 개인의 대출심사에만 적용됩니다.

증권업의 경우에는 AI가 투자 권유를 하거나 직접 매매를 수행하게 되면서 AI 알고리즘이 고객의 이익보다 증권사의 이익을 우선하도록 설계되었는지가 실제로 중요한 논쟁거리가 되지만 우리의 AI 기본법상으로는 역시 대출심사에 국한해서 고영향 규제의 대상으로 보게 됩니다.


Ⅱ. 고영향 금융 AI 사업자

1. 금융기관은 현실적으로 고영향 AI ’개발사업자’(provider)라기 보다는 고영향 AI ‘이용사업자’(deployer) 내지 ‘이용자’(user)에 해당되어질 가능성이 많고 ‘이용사업자’인 경우 해당 의무의 핵심은 고영향 AI의 운영에 따른 ‘인간의 감독(human oversight)’에 있게 됩니다. 다만 구체적 관련 규제는 결국 금융관련 개별 법으로 이루어지게 되는 구조라고 할 수 있습니다.

고영향 AI 판단 가이드라인은 금융기관이 대출심사에서 신용평가 및 승인업무를 수행하면 ‘이용자’로 법적 성격을 분류하고 있습니다만 EU AI법은 발생가능한 추가적 고위험을 규제하기 위해 ‘이용사업자’라 할지라도 오히려 ‘개발사업자’로 간주되는 경우를 보다 구체적으로 규정하고 있습니다.

즉 제25조 AI ’가치사슬(value chain) 책임’에서 ①자기 이름과 상표를 내걸고 고위험 AI 제품이나 서비스를 사용하거나 ②기존의 금융분야 AI시스템을 실질적으로 변경(substantial modification)하여 고위험 용도로 사용하거나 ③범용 AI를 고위험 용도로 사용목적(intended purpose)을 변경하여 사용하게 되면 고위험 AI ‘개발사업자’로 보고 이에 상응하는 무거운 법적 의무를 부과하고 있습니다.

우리 법의 해석상으로도 만약 금융기관이 범용 AI를 자사의 대출심사 용도로 변형하여 사용하였다면 일단 고영향 AI로 추정되고 어떤 결과를 가져왔는지 등을 최종 점검할 필요가 있습니다. 또한 금융기관이 신용평가 예측 AI모델을 개발한 사업자로부터 모델을 제공받아 ‘대출심사용’으로 수정, 변경, 사용하였다면 이용목적(intended purpose)이 우리 법상 고영향 AI의 영역으로 들어온 것이고 EU AI법은 이 경우 ‘개발사업자’와 같은 무거운 의무를 부과하고 있기 때문에 특히 실무적으로 주의를 요하게 됩니다.

물론 금융분야 대출심사용으로 특화되어 이미 시판되고 있는 AI 시스템을 금융기관이 구입, 단지 자사의 데이터를 입력하여 사용하였다면 금융기관은 고영향 사업자 규제를 받지 않는 단순 ‘이용자’에 불과하게 됩니다.

2. 금융기관이 고영향 AI ’이용사업자’가 되면서 추가로 부담하게 되는 대표적 의무는 제35조의 ‘기본권영향평가’이며, 시장에 출시하기 전 AI의 최초 사용시에만 이행하도록 요구하는 것이지만 우리는 사업자가 지키도록 노력하는 정도의 주의규정으로 정하고 있습니다. 다만, 우리 AI 기본법의 해석상 대출심사에서 차별적, 민감한 데이터의 사용 여부를 체크하게 되기 때문에 제35조 자체의 실무적 중요도는 떨어지게 됩니다.

한편, 인공지능 및 데이터기반행정 활성화에 관한 법률’ (이하 ‘공공 AI법’이라 칭함)이 2026년 2월에 공포되었지만 '기본권영향평가' 규정의 시행일은 2027년 2월로 되어 있고, 공공기관의 장이 행안부 장관과 협의하여 사업자가 AI 기본법상의 기본권영향평가를 받으면 ‘공공 AI법’ 적용을 면제하도록 규정하고 있기 때문에 EU 등의 국제규범과의 정합성도 고려, AI 기본법 시행의 구체적 가이드라인을 최종 정비할 필요가 있습니다.