미국은 AI 규제를 뺐고, 한국은 넣었다 — SR 26-2 × AI 기본법
무슨 일이 일어났나
2026년 4월 17일, 미국 연준(Fed)·통화감독청(OCC)·연방예금보험공사(FDIC) 3개 기관이 공동으로 SR 26-2를 발행했다. 2011년 이후 15년 만에 처음 개정된 은행 모델리스크 관리 지침이다.
핵심은 이것이다 — 에이전틱 AI와 생성형 AI를 "범위 밖"으로 명시적 제외했다. "빠르게 진화하는 신기술이라 이 지침의 적용 대상이 아니다"라는 논리다.
"생성형 AI와 에이전틱 AI 모델은 새롭고 빠르게 진화하고 있으며, 이 지침의 범위에 포함되지 않는다." — Fed · OCC · FDIC, SR 26-2 (2026.04.17)
같은 시기, 한국은 정반대로 움직이고 있다. 2026년 1월 22일 시행된 AI 기본법은 대출심사·신용평가·보험심사 등 금융 AI를 고영향 AI로 분류하고, 투명성·공정성·설명가능성 의무를 부과한다.
SR 11-7이 왜 한계에 도달했나
SR 11-7은 2011년 발행 당시 은행이 사용하는 '모델'을 폭넓게 정의했다. 문제는 이 정의가 엑셀 스프레드시트부터 단순 규칙 엔진까지 모두 포함했다는 점이다. 당시에는 합리적이었지만, AI 시대에는 과도한 관리 부담을 만들었다.
- 일률적 연간 재검증 — 모든 모델에 동일한 검증 주기를 적용해 리소스 낭비 발생
- 구조적 독립성 요구 — 모델 개발팀과 검증팀의 물리적 분리를 강제, 소규모 은행에 부담
- AI/ML 미반영 — 2019년부터 신용평가·FDS에 머신러닝이 확산됐지만 지침은 그대로
- 에이전틱 AI 부재 — 2026년 은행들이 AI 에이전트를 프로덕션에 투입하기 시작했으나, 이에 대한 규정이 전무
SR 26-2 — 무엇이 바뀌었나
SR 26-2의 핵심 철학은 "규범에서 판단으로"의 전환이다. 일률적 체크리스트 대신, 각 모델의 중요도에 따라 관리 수준을 달리하는 원칙주의 접근법을 채택했다.
| 항목 | SR 11-7 (기존) | SR 26-2 (신규) |
|---|---|---|
| 발행 기관 | Fed·OCC (2기관) | Fed·OCC·FDIC (3기관) |
| 모델 범위 | 엑셀·규칙엔진 포함 | 단순 계산·규칙 제외 |
| 재검증 주기 | 연 1회 일률 적용 | 중요도 기반 유연 적용 |
| 검증팀 구조 | 개발-검증 물리 분리 | 리뷰 품질이 핵심 (구조 유연) |
| 에이전틱 AI | 개념 부재 | 명시적 범위 제외 |
| 적용 대상 | 전 은행 | 자산 $300억+ 중심 |
한국은 정반대로 간다
한국은 2026년 1월 22일 AI 기본법을 시행했다. EU에 이어 세계 두 번째로 포괄적인 AI 규제 체계를 갖춘 것이다.
금융분야에서 '고영향 AI'란?
- 대출 심사 AI — 개인의 신용을 평가하고 대출 승인/거절을 결정
- 신용평가 AI — 신용점수를 산출하여 금리·한도에 영향
- 보험 언더라이팅 AI — 보험 가입 심사와 보험료 산정
이런 AI는 개인의 권리·의무에 중대한 영향을 미치기 때문에, 사전 영향평가·투명성 보고·설명가능성 확보가 의무다.
금융위원회는 여기에 더해 금융분야 AI 가이드라인을 2026년 1분기에 확정했다. 7대 원칙(거버넌스·합법성·보조수단성·신뢰성·금융안정성·신의성실·보안성)을 기반으로, 금융기관이 AI를 도입할 때 따라야 할 구체적 기준을 제시한다.
계도기간에 속지 말 것
AI 기본법 과태료는 1년 이상 계도기간이 있지만, 이 기간 안에 AI 영향평가·투명성 보고 체계를 구축하지 않으면 시행 후 즉시 제재 대상이 된다.
"빼기" vs "넣기" — 어느 쪽이 맞는가
미국의 논리: AI는 너무 빠르게 진화한다. 지금 규제를 만들면 곧 구식이 되고, 혁신을 막는 족쇄가 된다. 먼저 RFI로 현황을 파악하고, 실질적인 지침을 만들겠다.
한국의 논리: 대출심사·신용평가처럼 국민 생활에 직접 영향을 주는 AI는 기본적인 안전장치부터 확보해야 한다. 완벽한 규제가 아니더라도, 프레임워크를 먼저 세우고 함께 발전시키자.
미국은 혁신 속도를, 한국은 소비자 보호를 택했다.
양쪽 논리를 모두 이해하는 것이 핵심이다.
5월 1일, Bowman 연준 부의장은 FSOC AI 라운드테이블에서 Anthropic의 Mythos를 직접 언급하며 "AI 기술의 역동적 본질을 보여주는 사례"라고 평가했다. 동시에 FSB(금융안정위원회)가 Q3에 AI 건전성 보고서 초안을 공개할 것이라고 예고했다.
이 FSB 보고서가 글로벌 기준점이 될 가능성이 높다. 한미 양쪽의 규제 접근이 여기서 수렴할 수 있다.
한국 금융 AI 거버넌스 현황
한국은 이미 금감원 AI 위험관리 프레임워크(AI RMF)를 운영 중이다(EP03에서 다룬 바 있다). 거버넌스·위험평가·위험통제 3축 구조로, 현재 653개 AI 서비스가 관리 대상이다.
- 금융위 AI 가이드라인 — 7대 원칙, 2026 Q1 확정 → Q4 상시 모니터링 체계 구축
- 금감원 AI RMF — 초고위험 AI 별도 심의, 윤리위원회 운영
- 금감원 AI 레드티밍 — 금융 AI 보안성 불시 점검, 블라인드 모의해킹 연 2회 확대(EP43)
미국의 SR 26-2가 "에이전틱 AI를 어떻게 다룰지 아직 모르겠다"고 고백하는 동안, 한국은 프레임워크를 이미 가동하고 있다는 점이 차별점이다.
커리어 인사이트
AI 규제가 강화되면서 AI 거버넌스·컴플라이언스 직무가 급부상하고 있다.
- AI 거버넌스 매니저 — AI 기본법 고영향 AI 영향평가 설계·운영, 모델 인벤토리 관리
- 모델리스크 검증관 — SR 26-2 중요도 기반 검증 체계 수립, AI 모델 독립 리뷰
- AI 컴플라이언스 엔지니어 — XAI 설명보고서 자동화, 편향성 테스트 파이프라인 구축
참고자료
'금융 IT' 카테고리의 다른 글
| $114조의 심장이 블록체인으로 뛴다 (0) | 2026.05.08 |
|---|---|
| 가입은 3초, 해지는 10단계? (0) | 2026.05.06 |
| AI가 20시간짜리 해킹을 혼자 해냈다 (0) | 2026.05.03 |
| 금감원이 금융 AI를 직접 해킹한다 (0) | 2026.05.03 |
| 월스트리트 데이터가 MCP로 연결된다 (0) | 2026.04.29 |