← 느린 정의, 빠른 질서 Vol. 4 10 / 12 English
Vol. 4 — 느린 정의, 빠른 질서

10장 — 적응형 규제와 RegTech

시드니, 2012년 어느 밤.

커먼웰스 은행(Commonwealth Bank of Australia, CBA) 지점에 설치된 현금입금기(Intelligent Deposit Machine, IDM)에 누군가가 현금 다발을 밀어 넣고 있었다. 자정이 넘은 시각이었다. 카메라가 돌아가고 있었지만 아무도 보고 있지 않았다. 기계는 현금을 받아들이고, 계좌에 입금하고, 영수증을 출력했다. 질문은 없었다.

같은 일이 다음 날에도, 그 다음 날에도. 3년 동안, 수천 번. CBA의 IDM은 호주 전역에 설치된 편의형 현금 입금 장치였다. 언제든, 누구든, 얼마든 현금을 넣을 수 있었다. 범죄 신디케이트에게도 편리했다. 마약 거래 수익금, 밀수 자금, 추적을 피해야 하는 돈이 밤마다 IDM으로 흘러들어갔다.

2012년 말, 관련 없는 소프트웨어 업데이트 하나가 자동 임계거래보고(Threshold Transaction Report, TTR) 기능을 멈추게 했다. 1만 호주 달러 이상의 현금 거래를 자동으로 보고해야 하는 시스템이 조용히 작동을 멈춘 것이다. 2015년까지 미보고된 거래 건수는 53,506건 — 해당 기간 TTR의 약 95%가 누락되었다. 세탁된 것으로 추정되는 자금은 6억 2,470만 호주 달러에 달했다. 호주 금융정보기관 AUSTRAC은 기소장에서 적었다. "CBA는 IDM이 배치되기 전에 자금세탁 및 테러 자금 조달 위험을 평가하지 않았다." 3년간 적색 경보가 한 번도 울리지 않았다. 범죄 신디케이트는 구조화 거래, 급속 현금 순환, 계좌 파밍 등의 수법으로 IDM을 체계적으로 악용하고 있었다. CBA가 코딩 오류를 발견한 뒤 완전히 수정하기까지 추가로 2년이 걸렸다.

CEO 이언 나레브(Ian Narev)는 53,506건의 법 위반과 6억 달러 이상의 범죄 자금 세탁을 "소프트웨어 코딩 오류 하나"로 축소했다. 벌금은 7억 호주 달러. AUSTRAC의 소송 비용 250만 호주 달러를 별도 포함. 호주 기업 역사상 최대 민사 벌금이었다[주1].

CBA는 RegTech의 실패 사례인 동시에, RegTech의 필요성을 가장 강력하게 증명하는 사례다. 자금세탁 탐지 시스템이 제대로 작동했더라면 53,506건의 위반은 발생하지 않았을 것이다. 기술이 문제를 만든 것이 아니다. 기술에 대한 감독의 부재가 문제를 만들었다. 누군가가 코드를 점검했어야 했다. 누군가가 경보가 울리지 않는 이유를 물었어야 했다. 3년 동안 아무도 묻지 않았다.

이 이야기는 두 가지를 동시에 말한다. 첫째, 기술은 규제의 도구가 될 수 있다. 둘째, 그 도구가 실패할 때, 실패는 인간의 실수보다 훨씬 큰 규모로 증폭된다. 코딩 오류 하나가 수만 건의 범죄를 가능하게 했다. 2장에서 호너가 발견한 "감독의 부재"가 디지털로 번역된 순간이다. 1834년 랭커셔에서는 4명의 감독관이 수천 개의 공장을 감시하지 못했다. 2012년 시드니에서는 하나의 소프트웨어 업데이트가 수만 건의 감시를 무력화했다. 규모만 달라졌을 뿐, 구조는 같다. 자동화는 효율성을 규모화한다. 동시에 오류도 규모화한다.

Part 3에서 우리는 보이지 않는 재판관들을 보았다 — 3초 만에 대출을 거절하는 알고리즘, 인종에 따라 위험도를 다르게 매기는 시스템, 안전망 없이 해고되는 노동자들. 9장의 끝에서 우리는 물었다 — 안전망이 없다면, 누가 그물을 짤 것인가. 이 장에서 우리는 기술로 기술을 규제하려는 시도를 본다. 그리고 그 시도가 해답이 되기 위해 무엇이 필요한지를 묻는다.

1. 모래밭의 발명 — 규제 샌드박스

2014년, 런던. 금융행위감독청(FCA)은 카나리 워프 본사 한쪽에 조용히 새로운 사무소를 열었다. 이노베이션 허브(Innovation Hub). 직원 수는 초기 5명이었다.

FCA가 직면한 문제는 단순했다. 핀테크 스타트업이 혁신적 금융 서비스를 시작하려면 먼저 완전한 인가를 받아야 한다. 인가는 복잡하고, 비용이 들고, 오래 걸린다. 스타트업이 인가를 받는 과정에서 자금이 바닥난다. 또는 인가 요건을 충족하기 위해 핵심 혁신 요소를 포기한다. 반대로, 인가 없이 시장에 뛰어들면 불법이다. 혁신과 보호 사이에서 양쪽 모두 막혀 있었다.

당시 FCA CEO 마틴 위틀리(Martin Wheatley)는 선언했다. "규제 기관이 진보의 올바른 편에 서는 것은 의무입니다. 가장 뛰어나고 혁신적인 기업이 금융 시장에 들어올 수 있는 공간을 만들고 싶습니다." 이노베이션 허브 출범 첫 해에 700건 이상의 문의가 들어왔다. FCA는 이 숫자에서 시장의 에너지를 읽었다.

FCA의 해법은 모래밭이었다. 아이가 모래밭(sandbox)에서 노는 것처럼 — 실제 세계와 격리된 공간에서 새로운 것을 시도하고, 실패하고, 배우는 구조. 전략경쟁국장 크리스토퍼 울러드(Christopher Woolard)는 이 제도를 이렇게 정의했다. "기업들이 통상적인 규제의 모든 결과를 감수하지 않고도 새로운 아이디어를 시험할 수 있는 안전한 공간." 그리고 솔직하게 인정했다. "이것은 기업에게 실험인 만큼 우리에게도 실험입니다." 규제 기관이 스스로를 실험 대상이라고 공언하는 순간이었다.

2016년, 세계 최초의 규제 샌드박스 첫 번째 코호트가 발표되었다. 69개 기업이 신청했고, 31개가 승인되었으며, 24개가 실제 테스트에 들어갔다. 기업이 제한된 기간(6~12개월) 동안, 제한된 소비자를 대상으로 실제 금융 서비스를 테스트한다. FCA는 실시간으로 모니터링한다. 핵심은 양방향 학습이었다. 기업은 규제 환경에서 제품을 테스트하고, FCA는 새로운 기술이 실제로 어떻게 작동하는지 학습한다. 코호트 1에 참여한 핀테크 스타트업 버드(Bud)의 창업자 에드 마슬라베카스(Ed Maslaveckas)는 이 구조의 본질을 한 문장으로 요약했다. "혁신가들에게 자신의 혁신이 규제의 정신에 부합한다는 것을 보여줄 기회를 주고, 규제 기관에게는 규정이 만들어질 때 상상하지 못했던 사용 사례를 볼 기회를 줍니다 — 협력적 환경을 만드는 것이죠."

사전 규제(EU 방식)도, 사후 규제(미국 방식)도 아닌 제3의 길이었다. 사전 규제는 모든 것을 미리 금지하거나 허용하여 혁신을 억제한다. 사후 규제는 문제가 터진 뒤에야 대응하여 소비자가 먼저 피해를 입는다. 샌드박스는 제한된 환경에서 먼저 해보고, 배운 것으로 규제를 설계한다. 2017년 10월, FCA는 코호트 1과 2의 경험을 담은 "교훈 보고서"를 발표했다. 규제 기관이 자신의 실험에서 배운 것을 공개적으로 보고한 드문 사례였다. 울러드는 결과를 발표하며 말했다. "시장을 혁신에 개방하지 않는 위험이, 그 도약을 감행하는 위험보다 크다는 것을 발견했습니다. 1차 코호트 참여 기업의 90%가 시장에 진출했습니다."

숫자가 말해준다. 2025년까지 FCA 샌드박스는 630건 이상의 신청을 처리했다. 참여 기업에 대한 투자는 동급 기업 대비 6.6배 많았고, 생존율은 25% 높았다. 이 모델을 벤치마킹한 규제 기관은 전 세계 95개국 이상에 달한다. 2019년, FCA는 50개국 이상의 규제 기관이 참여하는 글로벌 금융혁신 네트워크(GFIN)를 출범시켰다. 기업이 여러 국가에서 동시에 테스트하는 "글로벌 샌드박스"의 시작이었다. 한 나라의 실험이 다른 나라의 규제를 바꾸는 피드백 루프 — 규제 기관끼리의 학습 네트워크가 형성된 것이다[주2].

그러나 FCA 교훈 보고서는 성공만을 기록하지 않았다. 실패 패턴도 명확했다.

1차 코호트 참여 기업 중 일부는 샌드박스 기간 동안 규제 요건을 충족했지만, 본격 출시 후 소비자 민원이 급증했다. "테스트 환경의 소비자"와 "실제 시장의 소비자"는 달랐다. 제한된 수의 얼리어답터들이 선택한 서비스와, 디지털 리터러시가 낮은 일반 소비자를 대상으로 하는 서비스의 위험 프로파일이 달랐다. FCA는 이를 "샌드박스의 내적 타당성 한계"라 명명하고, 2차 코호트부터 소비자 보호 계획서를 강화했다.

또 하나의 패턴: 스타트업들이 샌드박스에 진입할 때는 혁신적 아이디어로 승인받지만, 12개월 후 졸업할 때는 투자자 유치와 스케일업 압박으로 처음의 소비자 보호 원칙을 타협하는 경우가 있었다. FCA는 이 간극을 메우기 위해 졸업 후 12개월 간의 사후 모니터링 의무를 도입했다. 실험은 허용했지만, 실험의 후유증도 추적하기 시작한 것이다.

그러나 감독자도 AI를 쓰기 시작했다. SupTech(Supervisory Technology) — 규제 기관이 감독 업무에 활용하는 기술이다. 2025년 기준 197개 금융당국(140개국)이 최소 하나 이상의 SupTech 솔루션을 배포했다. 2022년 54개 기관에서 3년 만에 3.6배로 급증한 수치다. RegTech 시장 전체는 2025년 190억 달러에서 2034년 770억 달러로 성장이 예상된다[주3]. 레너드 호너가 1834년 랭커셔 면직물 공장을 4명의 감독관으로 감시했듯이, 오늘날의 금융감독원은 수백 개의 AI 시스템이 동시에 내리는 수천만 건의 결정을 인력으로 감독하는 것이 구조적으로 불가능하다. AI가 만든 속도 간극을 AI로 메우려는 시도. 그 안에 역설이 숨어 있다.

2. 최 대표의 모래밭

최 대표가 규제 샌드박스를 처음 알게 된 것은 2024년이었다. 서울 성수동에서 AI 의료영상 스타트업을 운영하는 32세 공동창업자. 시드 투자 5억 원을 유치했지만, 자신의 AI 진단 소프트웨어가 "의료기기"인지 "소프트웨어"인지에 대한 법적 해석이 법무법인마다 달랐다. 세 곳에 의견서를 의뢰했고, 세 가지 다른 답을 받았다. 비용은 1,200만 원 — 시드 투자금의 2.4%, 개발자 5명의 한 달 인건비와 같았다.

최 대표의 책상에는 두꺼운 바인더 한 권이 있었다. AI 기본법이 통과되기 전, 국회에 병존하던 19개의 AI 관련 법안을 출력한 것이었다. 금융 분야에서만 AI 관련 가이드라인이 40개에 달했다. 어떤 법안은 서로 모순되었고, 어떤 가이드라인은 같은 기술을 다른 이름으로 불렀다. 법이 없는 것이 자유가 아니라 무법이었다. 투자자 미팅에서 반복적으로 같은 질문을 받았다. "법적 리스크는요?" 법 자체가 불분명했으니 대답할 수가 없었다.

한국도 2019년 금융혁신지원 특별법으로 규제 샌드박스를 도입했다. FCA 모델을 벤치마킹한 결과였다. 2024년 12월 기준 누적 지정 건수 500건, 같은 해에만 역대 최고 436건의 신규 신청이 들어왔다. 이 숫자 자체가 규제 불확실성의 규모를 반영한다 — 샌드박스란 "기존 규제로는 합법성이 불분명한 서비스를 한시적으로 허용하는 제도"이기 때문이다.

최 대표는 샌드박스에 신청했다. 자사 AI 영상 진단 소프트웨어는 폐결절 탐지에서 영상의학과 전문의 대비 12% 높은 민감도를 보였다. 기술은 됐다. 문제는 기술 바깥에 있었다. 신청서 작성에만 두 달이 걸렸다. 기술 설명서, 소비자 보호 계획, 위험 평가 보고서, 출구 전략. 변호사 비용이 또 들었다.

샌드박스 안에서 12개월을 보냈다. 기술은 작동했다. 환자 3,000명의 영상 데이터로 검증을 마쳤다. 그러나 졸업 후 정식 인가를 신청하자, 요구되는 서류 목록이 샌드박스 진입 때보다 세 배 많았다. 마치 졸업 시험을 통과한 뒤 입학 시험을 다시 보는 것 같았다. "샌드박스 졸업 후의 벽"이라 불리는 현상이었다. 실험은 허용하되, 실험 이후의 길은 닦아놓지 않은 구조. 한국의 샌드박스 지정 최대 기간은 4년으로 영국의 6~12개월에 비해 길었지만, 그만큼 본 규제 법령 개정이 느려 졸업 후의 벽이 더 높았다. 대기업들도 샌드박스를 활용하기 시작하면서, 스타트업을 위한 제도가 대형 기관의 선행 선점 수단이 되는 비판도 제기되었다.

투자자들의 전화가 줄기 시작했다. 시드 투자금 5억 원의 절반이 이미 소진된 상태였다. 개발자 인건비, 서버 비용, 법률 자문료. 남은 자금으로 8개월. 시리즈 A를 유치하려면 정식 인가가 필요했고, 정식 인가를 받으려면 시행령이 나와야 했고, 시행령은 아직 입법예고 중이었다. "우리 기술이 사람을 살릴 수 있다는 걸 증명했는데, 그걸 쓸 수 있는지 없는지를 아무도 말해주지 않는다."

2025년 12월, AI 기본법 시행령 제정안이 입법예고됐다. 최 대표는 공고문을 열어 읽었다. 의료 AI는 여전히 "고위험 AI"로 분류됐다. 고위험 AI 사업자는 신뢰성 확보 조치를 해야 했다.

그러나 "신뢰성 확보 조치"의 구체적 기준은 "과학기술정보통신부령으로 정한다"고 위임되어 있었다. 시행령이 나왔지만, 시행령이 다시 부령으로 위임한 것이었다. 부령은 아직 없었다.

2026년 1월 22일, AI 기본법이 시행됐다. 최 대표 회사에 적용되는 구체적 의무가 무엇인지는 여전히 미정이었다. 그는 스프레드시트를 열어 런웨이를 다시 계산했다. 6개월. 부령이 나오기 전에 자금이 먼저 떨어질 것 같았다.

그럼에도 최 대표가 포기하지 않은 이유는 단순했다. 병원에서 테스트하는 동안 영상의학과 전문의가 말했다. "이 소프트웨어가 있었으면 놓쳤을 결절을 잡았을 겁니다." 기술이 사람의 생명에 닿는 순간을 본 사람은 쉽게 돌아서지 못한다.

3. 녹색 불빛의 이면 — 컴플라이언스 시어터

런던 금융가의 한 중견 은행. 컴플라이언스 담당자가 RegTech 대시보드를 확인한다. 모든 지표가 녹색이다. 보고서는 자동 생성되어 감독기관에 제출된다. 녹색 불빛은 안심이다. 규정을 준수하고 있다는 신호다.

그러나 유럽은행감독청(EBA)의 감사관이 도착하면, 녹색 불빛 뒤에 무엇이 있는지 아무도 설명할 수 없다. 알고리즘이 규정을 "올바르게" 구현하는지 검증한 사람이 없기 때문이다. EBA는 이 현상을 공식 문서로 기록했다. 통제가 "테스트되지 않고, 매핑되지 않고, 이해되지 않은 채" 방치되어 있었다. RegTech가 기존 컴플라이언스 사일로 위에 통합 없이 적층되면서 — 견고해 보이지만 정밀 검토 시 붕괴하는 프로그램을 생산하고 있었다.

EBA가 명명한 이름: 컴플라이언스 시어터(Compliance Theater). 무대 위에서는 완벽한 공연이 진행된다. 관객(감독 기관)은 박수를 친다. 무대 뒤에서는 아무것도 작동하지 않는다.

녹색 불빛은 어떻게 생산되는가. 메커니즘은 단순하다. RegTech 시스템은 특정 규정의 특정 조항을 특정 방식으로 구현한다. 구현이 완료되면 체크박스가 채워지고, 체크박스가 모두 채워지면 대시보드가 녹색이 된다.

문제는 규정이 의도한 것과 시스템이 구현한 것 사이의 간극이다. 규정은 "의심스러운 거래를 보고하라"고 쓴다. 시스템은 "1만 달러 이상의 현금 거래를 보고하라"고 번역한다. 1만 달러 미만의 거래를 반복하는 구조화 거래(structuring)는 시스템의 레이더 밖이다. 체크박스는 녹색이다. 규정은 위반되고 있다.

CBA의 경우 구조화 거래 탐지가 바로 이 간극에서 실패했다. 알고리즘이 규정의 문자(letter)를 충족했지만, 규정의 정신(spirit)을 놓쳤다. 그리고 아무도 물어보지 않았다 — 우리 시스템이 탐지하지 못하는 것은 무엇인가.

한국에서도 이 위험은 현실이다. 금융 분야에서만 AI 관련 가이드라인이 40개에 달한다. 전자신문은 이를 "은행권 규제 대응력 시험대"라고 불렀다. 규제를 준수하는 것이 아니라, 규제를 준수하는 것처럼 보이는 것이 목표가 되는 순간, RegTech는 방패가 아니라 가면이 된다.

CBA의 교훈이 여기서 다시 울린다. 그리고 CBA는 시작에 불과했다. 영국의 디지털 챌린저 뱅크 스탈링 은행(Starling Bank)은 자동화된 제재 심사 시스템이 영국 재무부의 제재 목록 전체가 아니라 일부만을 검사하고 있었다 — 7년 동안. 고객 수는 43,000명에서 360만 명으로 폭증했지만, 금융범죄 통제 체계는 성장 속도를 따라가지 못했다. FCA 집행국장 테레즈 챔버스(Therese Chambers)는 이렇게 말했다. "스탈링의 금융 제재 심사 통제는 충격적으로 허술했습니다. 금융 시스템을 범죄자들에게 활짝 열어놓은 것입니다." 벌금은 2,896만 파운드[주4].

핀테크 레볼루트(Revolut)는 더 극적인 선택을 했다. 2018년, 자동화된 자금세탁방지 모니터링 시스템이 너무 많은 오탐(false positive)을 만들어내자 — 시스템을 꺼버렸다. 감시견이 너무 많이 짖는다고 입마개를 씌운 것이다. 7월부터 9월까지 모니터링이 중단된 기간 동안, 불법 거래가 탐지되지 않은 채 통과했을 가능성이 있다. 레볼루트는 이 사실을 FCA에 알리지 않았다. 리투아니아 중앙은행은 2025년 350만 유로의 벌금을 부과했다.

패턴이 보인다. 코딩 오류 하나가 53,506건의 자동화된 결정에 걸쳐 오류를 규모화했다(CBA). 불완전한 목록을 성실하게 검사하는 시스템이 7년간 통과 신호를 보냈다(스탈링). 오탐이 많다는 이유로 감시 자체를 중단했다(레볼루트). 개별 인간의 실수는 한 건의 판단에 영향을 미친다. 잘못 설계된 RegTech는 수천 건, 수만 건의 자동화 결정에 걸쳐 같은 오류를 반복한다. 오류의 민주화다. 그리고 그 오류가 발견될 때까지 — CBA의 경우 3년, 스탈링의 경우 7년이 걸렸다 — 아무도 모른다. 녹색 불빛이 켜져 있으니까.

하버드 법학교수 로렌스 레시그(Lawrence Lessig)는 1999년에 "코드가 법이다[주5]"라고 썼다. 소프트웨어 설계 자체가 무엇이 가능하고 불가능한지를 결정한다는 통찰이었다. AI 시대에 이 논리는 더 날카롭게 적용된다. AI로 AI를 감시한다면, 감시하는 AI는 누가 감시하는가? UC 버클리의 스튜어트 러셀(Stuart Russell)은 이 한계를 정면으로 지적했다. "심층 신경망은 규칙을 코드에 직접 심을 수 없다. 모델은 규정을 준수한다는 것을 증명하도록 설계될 수 없다[주5]." 코드로 코드를 규제하는 것의 근본적 한계가 여기에 있다. 레시그의 "코드가 법"이라는 프레임이 AI 앞에서 부서지는 순간이다.

RegTech가 정교해질수록 "시스템이 돌아가고 있으니 괜찮다"는 자동화 편향(automation bias)이 강화된다. 인간 운영자가 알고리즘 산출물이 틀렸을 때에도 맹목적으로 따르는 현상 — 이것은 기술의 실패가 아니라 기술에 대한 과신의 실패다. CBA의 IDM에 자금세탁 탐지 시스템이 내장되어 있었다는 사실이 "기술이 알아서 한다"는 신뢰를 낳았고, 그 신뢰가 3년간 아무도 묻지 않는 문화를 만들었다.

더 깊은 문제는 불투명성이다. RegTech 벤더들은 지적재산 보호를 이유로 컴플라이언스 알고리즘의 내부를 공개하지 않는다. 규제기관은 알고리즘이 규정을 올바르게 구현하는지 검증할 수 없다. 오류가 발생하면 책임의 사슬이 단절된다. 8장에서 보았던 COMPAS 알고리즘의 "영업 비밀" 방어와 구조적으로 동일한 문제가 규제 도구 안에서 재생산되고 있는 것이다.

여기서 이 책의 핵심 패턴 중 하나가 다시 드러난다. 기득권 포획이다. 대형 금융기관은 RegTech 비용을 흡수할 수 있지만, 소규모 기업에게 컴플라이언스 인프라는 존재론적 위협이다. EU에서 고위험 AI의 연간 컴플라이언스 비용은 유닛당 29,277유로, 인증 비용은 별도로 16,800~23,000유로다[주6]. 대기업에게는 운영 비용이지만, 최 대표 같은 스타트업 창업자에게는 시드 투자금의 상당 부분이다. RegTech가 컴플라이언스를 민주화하는 것이 아니라, 대규모 기관에 컴플라이언스 역량을 집중시킨다. 규제가 방지하려 했던 바로 그 권력 비대칭을 규제 도구 자체가 재생산한다. 원로원 의원들이 농지법의 집행 권한을 독점했듯이, 기술 기업들이 RegTech를 자기 방어의 수단으로 전환한다. 싱가포르가 AI Verify를 오픈소스로 공개한 것은 이 문제에 대한 하나의 답이지만, 도구의 무료 제공이 전문 인력과 인프라의 격차까지 해소하지는 못한다. EU AI Act가 "고위험 AI 시스템"에 대한 제3자 적합성 평가를 요구하는 것은 또 다른 답이다.

RegTech는 해답이 아니다. 필요하지만 불충분한 조건이다.

4. 두 개의 길 — 그리고 한국의 중간 지대

같은 시기, 지구 반대편에서 전혀 다른 실험이 진행되고 있었다.

싱가포르. 인구 590만 명의 도시국가. EU처럼 5억 명의 소비자를 내세워 규제를 강요할 수 없고, 중국처럼 당의 명령으로 일사불란하게 집행할 수도 없다. 이 작은 나라가 선택한 전략은 법률 대신 프레임워크, 처벌 대신 테스트 도구, 규제 대신 파트너십이었다.

2022년 세계 최초의 AI 거버넌스 테스트 프레임워크 AI Verify를 출범시켰다. 기업들이 자신의 AI 시스템이 11개 국제 AI 윤리 원칙을 준수하는지 스스로 검증하는 도구다. 인증서가 아닌 "테스트 보고서"를 발급하여, 기업이 투명하게 자신의 AI를 평가했다는 증거를 제공한다. 도구 자체가 오픈소스이므로 비용은 제로에 가깝다. 투명성의 강제가 아닌 투명성의 인센티브. 구글, 마이크로소프트, 아마존이 파일럿 파트너로 참여했다 — 글로벌 빅테크가 590만 인구의 도시국가의 AI 거버넌스 도구를 먼저 채택한 역설적 장면이었다.

디지털개발정보부 장관 조세핀 테오(Josephine Teo)는 싱가포르의 철학을 이렇게 밝혔다. "우리의 관심은 규제(regulation)가 아니라 거버넌스(governance)입니다." 그리고 더 직접적으로 말했다. "달성하고자 하는 결과가 무엇인지 매우 명확해지기 전에는, 규제를 도입하는 것이 오히려 역효과를 낼 수 있습니다." 구체적인 예를 들었다. "용도에 따라 다릅니다. 선거에 사용한다면, 그래, 우리에게 규칙이 있을 겁니다. 하지만 선거에 사용하지 않는다면, 사실 싱가포르에서는 오늘 당장 그냥 하세요(go ahead)." EU AI Act의 포괄적 위험 분류와 극명하게 대비되는 용도 중심 접근이었다.

법률 제정 없이 18개월 만에 두 세대의 AI 기술에 대응하는 거버넌스를 업데이트했다 — 2024년 생성형 AI 거버넌스 프레임워크에서 2026년 1월 세계 최초의 에이전틱 AI 거버넌스 프레임워크까지. 같은 기간 EU는 AI Act 시행의 첫 단추를 채우는 중이었고, 최 대표는 시행령이 나오기를 기다리고 있었다. 2025년 2월, 파리에서 열린 글로벌 AI 행동 정상회의에서 이 대비가 극적으로 드러났다. EU 대표단이 AI Act의 집행 체계를 설명하는 동안, 싱가포르 대표단은 일본 AI Safety Institute와 공동으로 10개 언어로 LLM의 안전 가드레일을 검증하는 프로젝트를 발표했다. EU가 법률로, 중국이 부처 규정으로 세계 무대에 등장할 때, 싱가포르는 "테스트 인프라"로 존재감을 드러냈다.

싱가포르의 접근법은 속도를 얻는 대신 깊이를 희생했다는 비판도 존재한다. 프레임워크는 구체적인 기술 요건을 명시하지 않으며, 테스트 결과에 대한 독립적 검증 메커니즘이 없다. 기업이 "스스로 테스트하고 스스로 보고하는" 구조에서, 불리한 결과를 공개하지 않을 유인이 상존한다.

반대편에는 EU가 있었다. 2025년 8월 2일, EU AI Office가 본격 운영을 시작했다. 3년의 입법 과정을 거친 EU AI Act의 집행 기구다. 금지 AI 관행 위반 시 최대 3,500만 유로 또는 글로벌 매출의 7%에 달하는 벌금. 27개국의 합의를 거친 민주적 정당성. 그러나 2026년 3월 현재, 공개 집행 사례는 없다. 법은 만들어졌지만, 법을 집행할 기관은 아직 준비 중이다[주7].

소프트로(soft law)와 하드로(hard law). 어느 쪽이 옳은가? 답은 단순하지 않다. 규모, 속도, 문화적 맥락에 따라 최적 규제 모델이 다르다. 싱가포르의 민첩성은 590만 인구의 도시국가이기에 가능한 것이다. EU의 포괄적 입법은 27개국의 민주적 합의를 거쳤기에 정당성을 갖는다. 각 모델에는 대가가 있다. 싱가포르의 대가는 법적 강제력의 부재다 — 기업의 "선의"에 의존하는 구조에서, 이익이 상충할 때 프레임워크가 지켜질 보장이 없다. 자율 규제가 실제 AI 피해를 막았다는 증거도 아직 부족하다. EU의 대가는 속도다 — AI Act 3년의 입법 기간 동안 기술은 이미 다음 세대로 넘어갔다.

한국은 이 두 모델 사이 어딘가에 서 있다. AI 기본법이 2024년 12월 26일 국회를 재석 264명 중 찬성 260, 반대 0, 기권 4로 통과했다. 사실상 만장일치라는 수치 뒤에 시민사회의 비판이 있었다. "여야 모두 AI 기술 기업의 이익을 대변하는 방향으로 의견을 모았으며, 시민의 안전과 인권을 AI 위험으로부터 보호하기 위해 싸운 국회의원은 없었다." 이념적 장벽이 여기서도 작동했다. 1장에서 본 로마의 mos maiorum(조상의 관습)과 같은 기능이었다 — 규제의 내용이 아니라 규제의 시도 자체가 "혁신 방해"로 공격받는다. 행정 과태료는 1년 유예되어 2027년 1월부터 적용된다. 시행령 제정안은 2025년 12월에야 입법예고되었다. 법은 통과되었지만, 법이 실제로 작동하기까지 또 다른 시간이 필요하다[주8].

6장에서 EU AI Act의 "브뤼셀 효과"를 보며 해외 진출의 기회를 감지했던 최 대표는, 이제 자국의 규제 미로 앞에 서 있었다. 40개 가이드라인. 어떤 것은 "AI 시스템"이라 부르고, 어떤 것은 "지능정보기술"이라 부르고, 어떤 것은 "자동화된 의사결정 시스템"이라 불렀다 — 같은 기술을 세 가지 이름으로. 싱가포르의 도구는 하나, 길은 명확했다. 한국의 가이드라인은 40개, 길은 불분명했다.

싱가포르 IMDA(정보통신미디어개발청)의 담당자에게 질문을 보낸 한국 스타트업 창업자의 이야기가 업계에서 회자됐다. "우리 AI 의료 진단 소프트웨어를 싱가포르 병원에 납품하고 싶다. 무엇을 해야 하는가." 답장이 사흘 만에 왔다. "AI Verify 프레임워크를 사용해 자사 시스템을 점검하고, 테스트 보고서를 제출하면 된다. 도구는 무료다." 같은 질문을 한국 식품의약품안전처에 보내면 — 답변 기한이 법정으로 정해져 있지 않았다. 어떤 창업자는 두 달을 기다렸고, 어떤 창업자는 결국 법무법인을 통해 공문으로 질의했다. 규제의 내용이 아니라 규제에 접근하는 방식 자체가 장벽이었다.

최 대표는 새벽 두 시에 모니터를 끄지 못했다. 공동창업자에게 보낼 메시지를 쓰다 지웠다. "우리가 뭘 잘못한 건지 모르겠어." 잘못한 것은 없었다. 길이 없는 것이 문제였다. 그는 창업 당시 인턴으로 일했던 병원 영상의학과 전문의에게 연락했다. "우리 소프트웨어, 쓰고 싶으면 어떻게 하면 돼?" 의사가 답했다. "나도 모르겠어. IRB(임상시험심사위원회)에 물어봐야 할 것 같은데, IRB는 AI 소프트웨어를 어떻게 분류해야 하는지 지침이 없다고 했어." 기술도 됐고, 임상 효과도 증명됐고, 쓰고 싶은 사람도 있었다. 그런데 쓸 수 없었다. 길이 없어서가 아니라, 길이 너무 많아서였다.

5. 속도 간극, 그리고 선택

이 책의 처음부터 우리가 추적해온 패턴이 여기서 다시 드러난다 — 기술 변화와 제도 대응 사이의 시간 간극. 블랙-숄즈 파생상품에서 도드-프랭크법까지 37년. 비트코인에서 각국 규제까지 18년 이상. 생성형 AI에서 EU AI Act까지 2년.

37년에서 18년으로, 18년에서 2년으로. 패턴만 보면 인류가 배우고 있는 것 같다. 3장에서 본 브룩슬리 본이 파생상품 규제를 시도하고 좌절한 것이 1998년이었다. 그로부터 10년 후 세계 금융 시스템이 무너졌고, 그제야 도드-프랭크법이 통과되었다. 위기가 규제를 앞당기는 것일 뿐, 인류가 학습한 것인지는 불분명하다.

그러나 AI의 진화 속도도 빨라지고 있다. GPT-4에서 o3로, 변화의 주기는 수개월이다. 규제가 빨라지는 속도보다 기술이 빨라지는 속도가 더 빠르다면, 간극은 줄어들지 않는다. 1장에서 로마의 라티푼디움이 130년 동안 확산하는 동안 원로원이 침묵했듯이, AI가 수개월마다 세대를 교체하는 동안 의회가 수년을 토론한다.

적응형 규제가 제안하는 사이클은 이렇다. 실시간 모니터링 → 자동 경고 → 조건부 조정 → 사후 검증 → 학습. 피드백 주기가 수년에서 수일로 줄어든다. 사후 대응에서 사전 감지로. 위반이 발생한 후 처벌하는 것이 아니라, 위반 가능성을 실시간으로 감지하고 경고하는 구조다. CBA에 이 시스템이 있었다면 어땠을까. TTR 보고가 멈춘 첫 주에 자동 경고가 발생하고, AUSTRAC이 즉시 조건부 시정 명령을 내리고, 3년이 아니라 3주 만에 문제가 해결되었을 것이다. 53,506건이 아니라 수백 건에서 멈췄을 것이다.

그러나 이 구조가 현실에서 작동하려면, 기술의 선택이 아니라 거버넌스의 선택이 필요하다. 같은 AI 기술 앞에서 기업들은 정반대의 길을 걷고 있다. 월마트는 210만 명의 고용을 유지하면서 약 10억 달러를 업스킬링에 투자하고 있다[주9]. 클라르나는 40%를 감원한 뒤 서비스 질이 하락하는 결과를 맞았다. 9장에서 본 패턴이다 — 같은 기술이 노동자를 대체할 수도, 보완할 수도 있다. 기술은 동일하다. 거버넌스가 다를 뿐이다. 누가 결정하는가. 누구의 이익이 반영되는가. 누가 대가를 치르는가.

6. 거울 — 기술은 도구다

CBA의 현금입금기는 기술이었다. 코딩 오류 하나가 도구를 범죄의 경로로 뒤집었다. FCA의 규제 샌드박스도 기술이었다. 그러나 샌드박스의 상징적 "졸업생"으로 꼽히는 몬조(Monzo)는 2025년 7월 FCA로부터 2,109만 파운드의 자금세탁방지 벌금을 냈다. 자동화된 온보딩 시스템은 영국 우편번호 형식만 검사했을 뿐 실제 주소를 검증하지 않았다 — 고객들이 "버킹엄 궁전"과 "다우닝 가 10번지"를 주소로 등록해도 시스템은 통과시켰다. 혁신 친화적 환경에서 성장한 기업이 기본적 규제 준수에서 실패할 수 있다는 사실은, 샌드박스가 만능이 아님을 증명했다. 실험은 학습의 기회를 주지만, 학습이 체화되지 않으면 실험은 면허가 아니라 착각이 된다[주10].

기술 자체에는 선악이 없다. 누가, 어떤 거버넌스 안에서 사용하는가가 결정한다.

이 장에서 드러난 두 가지 교차 패턴이 이를 확인해준다. 기득권 포획 — 대형 기관이 RegTech를 자기 방어 수단으로 전환하고, 컴플라이언스 비용이 소규모 기업의 진입 장벽으로 작동하는 구조. 이념적 장벽 — "기술이 문제를 해결할 것이다"라는 기술 만능주의가 제도적 개입의 정당성을 차단하는 구조. CBA의 IDM이 자금세탁 탐지 시스템을 내장하고 있었다는 사실이 "시스템이 알아서 할 것"이라는 믿음을 낳았고, 그 믿음이 3년간의 방치를 가능하게 했다. 앨런 그린스펀이 "이기심이 곧 안전장치"라고 믿었던 것과 같은 논리의 기술 버전이다. 3장에서 보았듯이 그는 결국 "나는 결함을 발견했다"고 고백해야 했다.

RegTech가 작동하기 위한 전제조건은 기술 바깥에 있다. 인간의 거버넌스 감독, 투명한 알고리즘 감사, 정기적 스트레스 테스트, 그리고 녹색 불빛 뒤에 무엇이 있는지 물을 수 있는 문화. FCA가 "교훈 보고서"를 공개한 것은 이 문화의 한 사례다 — 실패를 숨기지 않고 공유하는 제도적 용기. 이 모든 것은 기술이 아니라 제도이고, 제도는 합의에서 나온다. CBA의 코딩 오류를 발견하는 데 필요했던 것은 더 나은 AI가 아니라, "왜 경보가 울리지 않는가"라고 묻는 사람이었다. EBA가 컴플라이언스 시어터를 폭로한 것은 더 정교한 알고리즘이 아니라, 녹색 불빛 뒤를 들여다본 감사관이었다.

8장에서 AI에 대출을 거절당한 박 사장은 끝내 그 이유를 알지 못했다. AI 기본법은 AI 개발사에 설명 의무를 부과하지만, AI를 활용하는 은행에는 설명 의무가 없다. 박 사장의 대출 거절을 AI가 감시한다면 — 그 감시 알고리즘의 설계에 박 사장 같은 사람이 참여할 수 있는 구조가 있는가? 최 대표의 스타트업은 샌드박스에서 기술을 증명했지만 정식 인가의 벽 앞에 서 있다. FCA의 샌드박스도, 싱가포르의 AI Verify도, 한국의 혁신금융서비스도 — 모두 하향식 선별 구조다. 누가 실험에 참여할 수 있는지를 규제 기관이 결정한다. "밀린 자"의 목소리는 여전히 제도에 닿지 못하고 있다.

결국 문제는 기술이 아니다. 합의다. FCA 샌드박스는 규제 기관과 기업의 합의였다. 싱가포르의 AI Verify는 정부와 산업의 합의였다. EU AI Act는 27개국 의회의 합의였다. 그러나 이 모든 합의에서 빠진 목소리가 있다 — CBA에서 자금이 세탁된 피해자, 스탈링의 결함 있는 제재 심사를 통과한 불법 자금의 수혜자가 아닌 피해자, 최 대표처럼 규제의 미로에서 길을 잃은 창업자. 합의의 테이블에 앉지 못한 사람들. 그 합의를 어떻게 만들 것인가.

다음 장에서 우리는 대만의 오드리 탕이 발견한 답을 본다. 답글 버튼을 제거하자 트롤이 사라지고, 시민들이 합의하기 시작했다는 이야기. 서울에서 신고리 원전 공론화에 참여한 농민이 밤늦게까지 100페이지 자료집을 읽었다는 이야기. 기술이 도구라면, 합의도 설계할 수 있지 않을까.

이 챕터의 인용 출처와 참고 문헌은 Vol. 4 참고 문헌에서 확인할 수 있습니다.