법무법인(유한) 태평양의 『미국 규제 따라잡기』는 우리 기업에 가장 큰 영향을 미치는 미국 법령, 정책 및 집행 등 규제 동향을 모니터링하여 이에 관한 최신 정보를 정부, 기업, 관계기관에 제공합니다.
미국 법무부(DOJ)는 2024년 9월 기업 컴플라이언스 프로그램 평가 지침(Evaluation of Corporate Compliance Programs, 이하 “ECCP”)을 개정하여 사내 컴플라이언스 프로그램의 설계 및 운영에 있어 AI와 같은 신기술에 대한 위험 관리 및 데이터 활용을 강조했습니다. 이번 지침 변경은 (1) AI 등과 관련된 위험 평가와 관리, (2) 내부고발제도, (3) 인수 후 통합 절차, (4) 컴플라이언스 목적의 데이터 사용에 중점을 두고 있습니다. ECCP에 따라 미국 정부가 데이터 기반 준법 관리에 대한 기대를 높이고, 기업들이 AI 등 신기술 신뢰성, 데이터 접근성 및 분석 도구 등을 적극적으로 검토하고 관리할 것을 요구하고 있다는 점을 알 수 있습니다.
I. 주요 변경 사항
ECCP 개정에 따른 주요 변경사항은 다음과 같습니다.
1. AI 등 신기술 위험 관리
미 법무부는 기업의 컴플라이언스 프로그램을 평가함에 있어, 기업들이 AI 및 기타 신기술 사용에 대한 위험 평가를 철저히 진행하였는지 및 이에 대한 적절한 통제를 마련하였는지를 고려할 예정입니다. 또한 AI가 기업의 컴플라이언스 역량에 미치는 영향을 평가하고, 적절한 통제조치와 직원 교육을 강화해야 한다는 지침을 제시했습니다.
이에 관한 보다 자세한 사항은 II항에서 살펴보겠습니다.
2. 내부고발제도
미 법무부는 기업 내부고발제도 강화를 위하여 기업이 직원들의 내부고발제도 활용을 독려하고 유인하였는지, 내부고발을 억제하지는 않았는지, 내부고발자 보호를 위한 명확한 정책을 수립했는지, 내부고발제도와 내부고발자 보호, 외부신고제도 등에 대한 교육을 제공하였는지 등을 중점적으로 평가할 계획입니다.
3. 인수 후 통합절차
미 법무부는 종래 기업 인수 후 대상기업에 대한 컴플라이언스 시스템 정비와 인수 후 감사(audit)를 진행할 것을 요구하면서 6개월간 유예기간을 두어 자진신고를 유도하였습니다. 이번 개정을 통해 미 법무부는 컴플라이언스 팀에게 인수 후 통합절차에서 대상기업에 대한 컴플라이언스 기능을 감독하고 인수기업의 위험평가절차에 통합하는 절차와 계획에 있어서의 역할을 요구하게 되었습니다.
4. 데이터 기반 준법 관리
미 법무부는 기업의 컴플라이언스가 데이터 기반으로 강화되어야 한다고 강조했습니다. 기업은 데이터 분석 도구를 활용해 컴플라이언스 프로그램의 효율성을 높이고, 이를 위하여 데이터의 품질과 신뢰성을 보장해야 합니다. 즉, 미 법무부는 기업들이 준법 감시 자체에 데이터를 활용함과 동시에 준법 감시에 필요한 데이터를 어떻게 관리하고 사용하는지에 대해서도 평가를 진행하겠다는 취지입니다.
II. AI 위험 관리를 위한 핵심 포인트
본 개정은 AI 규제에 대해서 본격적으로 미 법무부에서 관심을 표출한다는 점에서 의미가있습니다. 이에 따라 AI를 사용하고 있는 기업은 AI 사용 사례와 위험 평가, 그리고 해당 위험을 완화하기 위한 조치를 적절하게 이행했는지 증명해야 할 것입니다.
본 개정에 따라 기업들은 다음 사항을 설명하고 증명할 수 있어야 합니다:
1. AI를 어디에 사용하고 있는지,
2. 고위험 AI 사용 사례가 있는지,
3. 해당 위험을 어떻게 관리하고 있는지,
4. AI 사용이 적절하게 모니터링되고 있는지,
5. 이 모든 과정이 문서화되었는지.
구체적으로 ECCP는 다음과 같은 가이드라인을 제공합니다:
1. AI 사용과 관련된 위험 관리는 더 넓은 기업 위험 관리(Enterprise RM) 전략에 통합되어 있는가?
2. 회사는 상업적 비즈니스와 컴플라이언스 프로그램에서 AI 사용으로 인해 발생할 수 있는 잠재적 부정적 또는 의도하지 않은 결과를 어떻게 방지하고 있는가?
3. 회사는 내부 직원에 의한 의도적 또는 부주의한 AI 남용 가능성을 어떻게 완화하고 있는가?
4. 회사가 AI를 비즈니스나 컴플라이언스 프로그램의 일환으로 사용할 때, 그 신뢰성, 신뢰할 수 있는 사용, 관련 법률 및 내규 준수를 모니터링하고 보장하기 위한 통제가 마련되어 있는가?
5. 기술이 의도된 목적으로만 사용되도록 보장하는 통제가 존재하는가?
6. AI 평가를 위한 인간 의사 결정의 기준선은 무엇인가?
7. AI 사용에 대한 책임 소재는 어떻게 모니터링되고 집행되는가?
8. 회사는 AI 사용에 대해 직원들을 어떻게 교육하고 있는가?
본 개정에 따라 사내 컴플라이언스 팀들은 다음과 같은 업무를 할 수 있는 역량을 구축해야 합니다:
1. 데이터 분석을 활용하여 컴플라이언스 운영을 더욱 효율적으로 만들고, 컴플라이언스 기능의 전반적인 성과를 평가
2. 데이터와 정보를 신속하게 액세스하여, 가능한 한 빨리 잠재적인 비위 행위나 컴플라이언스 프로그램의 결함을 식별
3. 분석에 사용되는 데이터가 정확하며 분석 모델이 올바르게 작동하도록 보장하기 위한 조치 실행.
ECCP는 AI 리스크 평가 시 2023년 1월 National Institute of Standards and Technology(국립 표준 기술원)에서 발부한 AI Risk Management Framework을 참고할 것을 언급하고 있습니다.
III. 시사점
이미 많은 국내 기업들이 미 법무부의 ECCP를 참고하여 사내 컴플라이언스 프로그램을 구축하고 업그레이드하고 있습니다. 이번 개정은 AI에 대한 위험평가를 요구하였다는 점에서 큰 특징이 있고, 특히 AI 위험 관리를 컴플라이언스 프로그램 전체의 관점에서 고려하고 있으므로, 예컨대 AI 관련 문제가 발생했을 때, 미 법무부는 전체적인 컴플라이언스 프로그램이 적절하지 않다고 판단할 수 있습니다. 따라서 우리 기업들, 특히 미국과 사업관계가 있는 기업들은 자사의 컴플라이언스 프로그램이 강화되는 미국규제에 부합하는지 확인할 필요가 있을 것입니다.
본 법무법인은 AI 컴플라이언스를 비롯한 데이터 기반 컴플라이언스에 대한 폭넓은 업무경험을 보유하고 다양한 자문과 컨설팅을 제공하고 있습니다.