미국 AI 안전 3법 동시 분석 — 뉴욕 RAISE Act·일리노이 SB 315 제3자 감사 의무·워싱턴 SB 5886 디지털 초상권 D-9

워싱턴 SB 5886 — D-9 발효, 디지털 초상권의 새 기준

워싱턴주는 1998년부터 개인의 이름·음성·서명·사진·초상에 대한 '퍼스낼리티 권리법(Personality Rights Act)'을 시행해 왔습니다. SB 5886은 이 법을 AI 시대에 맞게 갱신한 것으로, 기존 보호 목록에 '위조 디지털 초상(forged digital likeness)'을 추가했습니다. 법이 정의하는 위조 디지털 초상이란 '실존하며 특정 가능한 개인의 시각적 표현 또는 음성 녹음으로서, ① 디지털로 생성·변환·편집·수정되어 진짜와 구별 불가능하고, ② 개인의 외모·발언·행동을 오표현하며, ③ 합리적 사람이 진짜로 믿을 가능성이 있는 것'입니다. 이 정의의 핵심은 '합리적 사람 기준(reasonable person standard)'으로, 기술적으로 완벽하지 않더라도 일반인이 진짜로 인식할 가능성이 있다면 규제 범위에 포함됩니다.

제재 측면에서 SB 5886은 기존 퍼스낼리티 권리법의 민사 벌금을 1,500달러에서 3,000달러로 두 배 인상했습니다. 더 중요한 것은 딥페이크 특유 침해에 대해 '정신적·신체적 고통 또는 명예훼손·굴욕에 따른 비경제적 손해' 청구를 명시적으로 허용했다는 점입니다. 법원은 금지 명령, 침해물 파기 명령, 귀속 이익 환수, 합리적 변호사 비용 지급도 명할 수 있습니다. 생존 인물뿐 아니라 일부 고인에게도 보호가 확대됩니다. 기업 입장에서는 AI 콘텐츠 생성 워크플로 전반을 재점검하고 동의 계약·탤런트 계약을 업데이트해야 하며, 소셜미디어 관련 계약과 UGC(사용자 생성 콘텐츠) 정책 역시 점검 대상입니다. 워싱턴주 법무장관은 위반 사실이 인지된 후 합리적 기간 내에 경고·치유 통지를 보낼 수 있으며, 이를 무시하는 반복 위반자에 대해서는 더 강력한 집행이 예상됩니다.

뉴욕 RAISE Act — 72시간 보고와 최전선 모델 책임의 새 기준

뉴욕 RAISE Act는 미국 AI 안전 입법에서 전례 없는 몇 가지 특징을 담고 있습니다. 가장 두드러진 것은 '최전선 개발사(large frontier developer)'에 대한 72시간 긴급 보고 의무입니다. 캘리포니아의 유사 규정이 15일의 보고 기간을 두고 있는 것과 달리, 뉴욕은 '중대 안전 사고(critical safety incident)'—무단 모델 가중치 유출, 재난적 위험의 실체화, 모델 통제 상실로 인한 피해, 또는 사기적 모델 행동 등—발생 후 72시간 이내에 뉴욕주 금융서비스부(DFS)에 보고하도록 요구합니다. 사망·부상의 임박한 위험이 있다면 24시간 이내 법 집행 기관 통보도 의무화됩니다. 또한 최전선 개발사는 분기별로 재난적 위험 평가를 DFS에 제출해야 합니다.

RAISE Act의 적용 범위는 연산 규모 10²⁶회를 초과하는 최전선 모델을 훈련하거나 뉴욕에서 운용하는 개발사입니다. 연간 매출 5억 달러 이상의 '대형 최전선 개발사'에게는 추가 의무가 부과됩니다. ▲위험 임계치·완화 전략·사이버보안 관행·거버넌스 구조·사고 대응 프로토콜을 서술한 '최전선 AI 프레임워크' 연간 게재 ▲배포 전 투명성 보고서(개발사 정보, 출시일, 지원 언어, 의도 용도, 제한 사항, 재난 위험 평가 포함) 공개 ▲2년마다 DFS에 소유권·소재지 공개 신고가 이에 해당합니다. 법무장관은 위반 기업에 1차 100만 달러, 반복 위반 시 300만 달러의 민사 제재를 부과할 수 있으며, DFS는 공개 의무 미이행에 대해 일일 1,000달러의 과태료를 부과합니다. 법은 2027년 1월 1일부터 시행됩니다.

일리노이 SB 315 — 미국 최초 제3자 안전 감사 의무의 의미

일리노이 SB 315는 '인공지능 안전 조치법(Artificial Intelligence Safety Measures Act)'으로도 불리며, 하원 110 대 0이라는 이례적인 만장일치에 가까운 표결로 통과됐습니다. 이 법의 가장 획기적인 조항은 최전선 AI 기업에 대한 '연간 독립 제3자 안전 감사' 의무입니다. 캘리포니아 TFAIA나 뉴욕 RAISE Act가 기업 스스로 안전 계획을 작성·공개하도록 요구하는 데 그치는 반면, 일리노이는 그 이행을 외부 감사인이 독립적으로 검증하도록 한 발 더 나아갑니다. 이는 금융 감사나 회계 감사처럼 AI 안전 분야에서도 외부 검증 생태계를 형성하겠다는 뜻입니다. 법은 또한 최전선 AI 기업에 ▲재난적·심각한 위험에 대응하는 계획의 연간 수립·공표·갱신 ▲임직원을 위한 내부고발자 보호 장치 마련 ▲내부고발 보고 프로세스 구축을 의무화합니다.

SB 315의 제3자 감사 의무가 특히 주목받는 이유는 AI 산업 자체의 신뢰성 문제와 직결되기 때문입니다. AI 기업들이 자체 안전 팀을 운영하고 '레드 팀(red team)' 평가를 수행한다고 공언해 왔지만, 이 절차가 독립적이고 표준화된 방식으로 검증된 적은 거의 없었습니다. 일리노이는 이 공백을 입법으로 채운 첫 번째 주가 됩니다. 다만 법의 실효성은 '독립 감사인'의 자격 기준과 감사 표준이 어떻게 정해지느냐에 달려 있습니다. 법에 구체적인 감사 기준이 명시돼 있지 않아, 주 정부가 이를 규칙 제정을 통해 어떻게 채울지가 관건입니다. 프리츠커 주지사 서명 후 법은 2027년 1월 1일 발효될 예정이며, 적용 대상 기업들은 내년 초까지 첫 번째 제3자 감사 체계를 마련해야 합니다.

3법 비교 — 적용 범위·집행 구조·발효 시기

세 법은 서로 다른 층위를 규율합니다. 워싱턴 SB 5886은 AI 생성 콘텐츠 피해자(개인)를 보호하는 민사 구제법입니다. 뉴욕 RAISE Act와 일리노이 SB 315는 AI 시스템 자체의 안전성을 개발사 차원에서 규율하는 안전법입니다. 집행 주체 측면에서 워싱턴은 법원과 법무장관, 뉴욕은 DFS와 법무장관, 일리노이는 법무장관이 각각 주도합니다. 사소권(private right of action)은 워싱턴에는 있지만, 뉴욕 RAISE Act와 일리노이 SB 315에는 없습니다. 발효 시기는 워싱턴 2026년 6월 11일, 뉴욕·일리노이 모두 2027년 1월 1일입니다. 적용 기업 기준도 다릅니다. 워싱턴은 규모 제한 없이 누구든 위조 디지털 초상을 사용하면 적용되는 반면, 뉴욕·일리노이는 대형 최전선 모델 개발사(연간 매출 5억 달러 이상 또는 그에 준하는 연산 규모)에 집중합니다.

세 법이 동시에 완성되는 것은 AI 규제 전략의 다층화를 의미합니다. 딥페이크 피해자 보호(워싱턴), 시스템 투명성과 사고 보고(뉴욕), 독립 외부 감사(일리노이)를 모두 갖춘 규제 생태계가 미국 내에서 주 차원에서 형성되고 있는 것입니다. 연방 AI 규제가 불확실한 상황에서 각 주가 서로 다른 레이어를 채워나가고 있습니다. 또한 세 법은 모두 딥페이크·합성 미디어 문제와 직간접으로 연결됩니다. 워싱턴은 명시적으로, 뉴욕과 일리노이는 최전선 모델의 안전 책임을 강화함으로써 간접적으로 딥페이크 생성 AI 모델의 책임 체계를 구축하는 데 기여합니다.

한국 AI 기본법 시행(8월) 전 체크리스트 — 세 법이 주는 교훈

한국은 2026년 8월 AI 기본법 시행을 앞두고 있습니다. 워싱턴·뉴욕·일리노이 3법의 경험은 여러 중요한 시사점을 제공합니다.

• 디지털 초상권 명문화: 워싱턴 SB 5886은 퍼스낼리티 권리법을 AI 시대에 맞게 갱신했습니다. 한국도 성폭력처벌법·정보통신망법 외에 민사 차원의 디지털 초상권을 명시적으로 규정하는 입법이 필요합니다. 피해자가 비경제적 손해(명예훼손·정신적 고통)를 청구할 명확한 근거를 마련해야 합니다.
• 사고 보고 타임라인 단축: 뉴욕 RAISE Act의 72시간 보고 기준은 세계 최엄격 수준입니다. 한국 AI 기본법 하위 법령에서 고위험 AI 시스템 사고 보고 의무를 명시할 때, 캘리포니아 15일이 아닌 뉴욕 72시간을 준거로 삼는 것을 적극 검토해야 합니다. 딥페이크 관련 사고는 피해 확산 속도가 빠르므로 짧은 보고 주기가 필수적입니다.
• 제3자 감사 생태계 선제 구축: 일리노이 SB 315의 가장 큰 가르침은 기업 자체 신고만으로는 AI 안전을 담보할 수 없다는 것입니다. 한국 AI 기본법도 고위험 AI 시스템에 대한 영향 평가를 규정하고 있으나, 이 평가가 독립적인 제3자에 의해 이루어지는지는 불분명합니다. AI 안전 독립 감사인 자격 기준과 감사 표준을 선제적으로 마련하는 것이 중요합니다.

결론 — 3법이 그리는 포스트-연방 AI 규제 지형

트럼프 행정부의 '주 AI 규제 연방 선점' 행정명령이 여전히 불확실성을 드리우고 있는 상황에서도, 미국 주 의회들은 멈추지 않고 있습니다. 워싱턴 SB 5886은 9일 후 발효되고, 일리노이 SB 315는 110 대 0의 압도적 지지를 받으며 주지사 서명을 기다리고 있으며, 뉴욕 RAISE Act는 이미 법으로 확정됐습니다. 세 법이 공통으로 전달하는 메시지는 명확합니다: AI 시스템을 만드는 기업은 그 안전에 책임을 져야 하고, AI로 피해를 입은 개인은 구체적이고 실행 가능한 법적 수단을 가져야 한다는 것입니다. 딥페이크로 피해를 받거나 AI 자동화 시스템으로 불이익한 결정을 경험하셨다면, 법률 전문가의 도움을 받으시길 권합니다. 미국의 AI 안전 입법 지형은 하루가 다르게 바뀌고 있으며, 한국 역시 이 흐름을 면밀히 주시해야 합니다.