SB 315가 미국 AI 규제에서 실제로 바꾸는 것들
일리노이주 상원 법안 315 — 인공지능 안전조치법(Artificial Intelligence Safety Measures Act) — 은 첨단 AI 안전 관행에 대한 연간 독립적 제3자 감사를 의무화한 미국 최초의 주법입니다. 일리노이 하원은 110 대 0으로 만장일치 통과시켰고 , 상원은 2026년 5월 20~21일 52 대 5로 가결했습니다 . J.B. 프리츠커 주지사는 빅테크에 대한 책임 확보의 필요성을 들며 서명 의사를 공개적으로 밝혔습니다 . 이 압도적인 초당파적 지지와 구체적인 감사 의무 조항이 SB 315를 기존 미국 모든 주 수준 AI 안전법과 차별화하는 핵심입니다.
핵심 요약: 일리노이 SB 315는 첨단 AI 안전 관행에 대한 연간 독립적 제3자 감사를 요구하는 미국 최초의 주법입니다. 하원 110 대 0, 상원 52 대 5로 통과됐으며, 연간 글로벌 매출 5억 달러 초과 AI 개발사에 적용되고 2028년부터 발효됩니다.
기존 주 법률 체계 — 캘리포니아의 SB 53(첨단 AI 투명성법)과 2025년 말 각각 통과된 뉴욕의 RAISE Act — 는 공개 및 사고 보고 요건을 마련했지만, 전적으로 개발사의 자체 확인에 의존했습니다 . 비평가들은 이를 기업이 스스로 자신의 과제를 채점하는 구조라고 비판했습니다. 일리노이는 개발사가 공표하는 안전 주장에 대한 외부 검증을 의무화함으로써 이 구조를 종식시킵니다. 분석가들이 SB 315를 미국에서 가장 강력한 첨단 AI 법안이라 부를 때 의미하는 것이 바로 이 단 하나의 차이입니다.
SB 315는 일리노이 의회가 같은 회기에 진행시킨 8개 AI 법안 패키지 중 하나입니다 . 나머지 7개 법안은 치료용 챗봇 제한, 디지털 복제 권리, 채용 알고리즘 공개 등 더 좁은 영역을 다루지만, SB 315는 첨단 모델 개발사를 구체적으로 겨냥한 층위입니다. 일리노이는 2025년 8월 이미 AI 치료 금지법을 제정한 바 있으나 , 모델 개발 단계 자체를 규제하는 법안은 이번이 처음입니다.
정치적 맥락도 중요합니다. 하원 110 대 0의 표결 결과는 통상 당파를 가르는 기술 입법에서 보기 드문 압도적인 결과입니다. 법안 발의자들은 이를 범용 AI 규제 프레임워크가 아닌, 최악의 AI 시나리오에 대한 사전 예방적 안전장치로 명확히 규정했습니다. 상원에서는 메리 에들리-앨런 의원(민주당, 레이크 카운티)이, 하원에서는 대니얼 디데크 의원이 법안을 대표 발의했습니다. 두 의원 모두 목표를 좁게 설정 — 첨단 시스템의 대재앙적 피해 방지 — 했으며, 이것이 기술 법안에서 통상 형성되는 당파적 반대를 무력화한 것으로 보입니다.
"책임감 있는 혁신을 위한 로드맵이자 대재앙적 위험을 막기 위한 장치입니다." — 메리 에들리-앨런 상원의원, 민주당, 레이크 카운티, SB 315 상원 대표 발의자 (source: Capitol News Illinois)
5억 달러 매출 기준선: 적용 대상과 비적용 대상
SB 315의 컴플라이언스 체계는 의도적으로 계층화되어 있습니다. 안전 프레임워크 공표, 연간 제3자 감사, 배포 전 공개, 사고 보고 등 모든 의무는 연간 매출이 5억 달러를 초과하는 첨단 AI 개발사에만 적용됩니다 . 이 기준에 미치지 못하는 기업은 감사 의무 및 대부분의 다른 조항에서 명시적으로 제외됩니다. 연간 매출이 5억 달러 미만인 AI 기업이라면, SB 315는 개발 또는 배포 프로세스에 어떠한 직접적인 컴플라이언스 요건도 부과하지 않습니다.
이 기준선은 현재 범용 첨단 모델을 배포 중인 최대 규모의 랩들을 포착하도록 설계됐습니다. OpenAI, Anthropic, Google DeepMind, Meta, xAI가 명확히 적용 범위에 포함됩니다 . 현재 이 매출 규모 근처에서 운영 중인 스타트업이나 중견 AI 기업은 법안의 현행 문구상 감사 또는 안전 프레임워크 의무를 지지 않습니다.
법무 및 컴플라이언스 팀이 주목할 세부 사항이 하나 있습니다. 매출 기준은 일리노이 내 사업 또는 일리노이에서 발생한 매출이 아닌, 개발사 법인의 글로벌 연간 매출에 연동됩니다 . 글로벌 매출이 6억 달러이지만 일리노이 사업 비중이 미미한 기업도 적용 대상입니다. 반대로, 글로벌 매출 4억 5천만 달러 중 2억 달러를 일리노이에서 올리는 기업은 여전히 적용 대상 밖입니다. 기준은 특정 관할 구역의 매출 단위가 아닌, 개발사 법인 전체에 적용됩니다.
이 구조는 명확한 이중 계층 체계를 만들지만, 동시에 하나의 비대칭을 내재합니다. 컴플라이언스 비용을 가장 잘 감당할 수 있는 기업만 그 부담을 지도록 요구받는다는 점입니다. 첨단 역량을 향해 성장하고 있지만 현재 5억 달러에 미치지 못하는 도전자들은 기준선을 넘기 전까지 아무런 의무도 없습니다. 이 기준선이 향후 개정에서 조정될지, 혹은 다른 주들이 채택할 템플릿이 될지는 아직 열린 질문입니다. 지금으로서는 기준이 명확하고, 그것이 촉발하는 컴플라이언스 부담은 상당합니다.
적용 대상 개발사가 지켜야 할 다섯 가지 의무
5억 달러 기준을 충족하는 개발사에게 SB 315는 다섯 가지 별도 의무를 부과합니다. 이 의무들을 합산하면 미국 어느 주에서도 전례 없는, 가장 포괄적인 프론티어 AI 규정 준수 체계가 됩니다. 각 의무에는 정해진 주기, 적용 범위, 그리고 집행 연결 고리가 있습니다. 실무적으로 각각이 무엇을 의미하는지 살펴봅니다.
| 의무 | 요구 사항 | 주기 | 검증 주체 |
|---|---|---|---|
| 안전 프레임워크 공개 | 대규모 재난 위험 평가, 완화 전략, 사이버보안 태세, 내부 거버넌스 구조를 포함한 계획을 수립하고 공개적으로 발표 | 연 1회 업데이트 필수 | IEMA 검토; 제3자 감사인이 공개된 주장과 대조해 검증 |
| 배포 전 공시 | 신규 또는 실질적으로 수정된 프론티어 모델 출시 전, 대규모 재난 위험 평가 요약본 공개 | 배포 이벤트별 | 대중 + IEMA |
| 연간 제3자 감사 | 독립 외부 감사인이 회사 자체 공개 안전 프레임워크 및 안전 주장에 대한 준수 여부를 검증 | 연 1회 | 외부 감사인 (빅4 회계법인 또는 전문 AI 평가 기관) |
| 중요 사고 보고 | 중대한 안전 사고 발생 시 IEMA에 즉시 통보; 내부 위험 평가 주기적 요약본 주 정부 제출 | 사건 발생 시 + 주기적 | IEMA |
| 내부고발자 보호 | 안전 우려를 제기하는 직원을 위한 공식 내부 신고 채널 마련; 일리노이주 법률로 성문화된 보복 방지 법적 보호 | 상시적 구조 요건 | 일리노이주 노동법 집행 기관 |
세 번째 의무인 연간 제3자 감사는 미국 주법에 전례가 없는 조항입니다 . 법령은 특정 감사인을 지정하거나 인증 요건을 정의하지 않습니다. 분석가들은 빅4 회계법인(딜로이트, EY, KPMG, PwC)과 전문 AI 평가 기관인 METR, Transluce, AVERI(AI 평가자 포럼 회원사)가 이 위임 업무를 두고 경쟁할 것으로 전망합니다. IEMA는 2028년 발효일 이전에 감사인 자격 요건에 관한 지침을 발표할 것으로 예상됩니다. 프론티어 AI 감사 시장은 현재 걸음마 단계이며, 향후 18개월 안에 거의 무에서 표준을 구축해야 합니다.
안전 프레임워크 요건이 실질적인 구속력을 갖는 이유는 감사와 직접 연동되기 때문입니다. 감사인은 회사가 스스로 공개한 안전 주장에 대한 준수 여부를 검증합니다 . 이로 인해 공개 주장을 포부 수준이 아닌 사실에 가깝게 작성해야 할 법적 유인이 생깁니다. 야심 찬 안전 프레임워크를 발표하고도 감사에서 이를 입증하지 못한 회사는, 소박한 주장을 내걸고 이를 충족한 회사보다 훨씬 불리한 처지에 놓입니다.
배포 전 공시 의무는 신규 프론티어 모델과 "실질적으로 수정된" 기존 모델에 적용됩니다 . "실질적 수정"의 정의는 법안 본문에 완전히 규정되어 있지 않으며, IEMA의 규칙 제정을 통해 구체화해야 합니다. 기존 모델에 지속적인 파인튜닝이나 점진적 역량 확장을 적용하는 기업에게 이 의무는 법안에서 가장 모호한 부분입니다. IEMA 규칙 제정 과정에 조기에 참여할수록 실익이 클 것입니다.
내부고발자 조항은 단순한 사내 정책을 넘어 공식 내부 신고 채널을 일리노이주 법령으로 성문화합니다. 적정 절차에 따라 안전 우려를 제기한 적용 대상 회사의 직원은 보복에 대한 법적 보호를 받습니다 . 이는 감사와 상호작용하는 구조적 거버넌스 요건입니다. 감사인은 실제 신고 사례 유무와 무관하게, 내부 신고 인프라가 존재하고 기능하는지 독립적으로 평가할 수 있습니다.
2028년 시행일: 일정이 연장된 이유
SB 315의 시행일은 2028년으로, 당초 목표였던 2027년에서 1년 연장된 것입니다. 이 연장은 적용 대상 기업들이 감사인을 선정하고, 초기 안전 프레임워크를 공개하며, 법령 요건에 부합하는 사고 보고 체계를 구축할 충분한 시간을 확보하기 위해 입법 과정에서 협의된 결과입니다 . 프리츠커 주지사가 2026년 중반에 서명한다고 가정하면, 실질적인 준수 유예 기간은 약 18~24개월입니다 .
이 기간은 들리는 것보다 훨씬 빡빡합니다. 대형 조직에서 감사 조달 절차 — 벤더 발굴, RFP 발행, 범위·수수료 협상, 계약 체결 — 는 새로운 준수 체계의 경우 통상 6~12개월이 소요됩니다. 안전 프레임워크 초안 작성은 법무, 보안, 엔지니어링, 정책 팀의 부서 간 협력이 필요하며, 내부 검토와 공개 발행 절차도 거쳐야 합니다. 2027년이 돼서야 감사인 조달을 시작하는 기업은 평가 역량이 부족한 상황에 처할 수 있습니다. 특히 복수의 적용 대상 기업들이 동일한 전문 평가자를 동시에 확보하려 경쟁할 경우 더욱 그렇습니다.
"몇 가지 가드레일을 마련하고, 최악의 재앙적 위험으로부터 보호할 안전장치를 갖추도록 해야 합니다." — SB 315 하원 발의자 다니엘 디데크(Daniel Didech) 의원 (source: NBC News)
2028년 시행일 이전에 배포된 모델에는 소급 준수 의무가 없습니다. 그러나 시행일 이후 실질적인 수정이 이루어진 프론티어 모델은 기반 모델의 최초 출시 시점과 관계없이 사전 공개 의무가 발생합니다 . 운영 중인 모델에 지속적으로 기능을 확장하는 연구소에게 이는 운영상 중요한 사안입니다. 현재 일상적인 개발처럼 느껴지는 업데이트 주기에도 2028년 이후부터는 법적 검토 단계가 추가되어야 합니다.
이 일정은 대형 기업들의 NIST AI 위험 관리 프레임워크 도입 과정에서 나타난 적용 곡선과도 유사합니다. 규제 산업에서 NIST AI RMF를 도입한 조직들은 하나같이 내부 거버넌스 정렬 — 엔지니어링, 법무, 리스크 팀이 공통 위험 정의에 합의하는 과정 — 이 예상보다 오래 걸렸다고 보고했습니다. SB 315의 준수 주기도 동일한 조직 내 마찰을 드러낼 것입니다. 이를 인프라 구축이 아닌 서류 작업으로 접근하는 적용 대상 기업들은 첫 감사 주기에서 어려움을 겪을 가능성이 높습니다.
집행 체계: IEMA, 민사 과태료, 사적 소송 불가
SB 315의 집행은 두 개의 주 기관을 통해 이루어집니다. 일리노이 비상관리청(IEMA)과 국토안보청입니다. IEMA는 주요 감독 기능을 담당합니다 — 사고 보고 접수, 이행 지침 발행, 법령이 의무화한 연간 공개 준수 보고서 발행이 그것입니다 . 위반 시 민사 과태료가 부과되며, 현재 조문에는 과태료 금액이 명시되어 있지 않아 과태료 일정은 IEMA의 규칙 제정에 맡겨져 있습니다.
연간 공개 준수 보고서는 간과되기 쉬운 집행 수단입니다. IEMA가 어느 적용 대상 기업이 감사 요건을 충족했고 충족하지 못했는지를 밝힌 보고서를 공개하면, 그 정보는 공개 시장 데이터가 됩니다. 투자자, 기업 고객, 파트너들은 주정부가 정리한 준수 이력에 접근할 수 있게 됩니다. 이 평판 측면은 공식적인 민사 과태료와 함께 작동합니다 — 첫 감사를 통과하지 못한 기업은 과태료뿐 아니라 IEMA 연간 보고서를 통한 공개 공시라는 이중 부담을 지게 됩니다.
"책임만 있고 기준은 없다." — Google, Apple, Amazon, Andreessen Horowitz 등을 회원사로 둔 Chamber of Progress가 SB 315에 공식 반대하며 (source: DNYUZ)
집행 모델에서 가장 중요한 구조적 특징은 빠진 내용에 있습니다. SB 315는 사적 소송권을 명시적으로 인정하지 않습니다 . 개인, 경쟁사, 옹호 단체 그 누구도 이 법령에 따라 적용 대상 기업을 상대로 소송을 제기할 수 없습니다. 집행은 전적으로 IEMA를 통한 주정부 주도로만 이루어집니다.
주의 개인정보 집행 환경에 이미 익숙한 일리노이 개발자와 컴플라이언스 팀에게 이는 상당한 차이입니다. 일리노이 BIPA(생체정보보호법)와 캘리포니아 CCPA는 주로 원고 소송을 통해 집행됩니다 — 집단 소송의 위협이 이 두 체계에서 컴플라이언스 투자의 핵심 동인입니다. SB 315의 주정부 단독 집행 모델은 컴플라이언스 위험 프로파일이 다름을 의미합니다. 노출 위험은 원고 측 변호사가 아닌 IEMA 판정에서 비롯됩니다. 이로 인해 SB 315가 BIPA 집행보다 약해지는지 아니면 더 예측 가능해지는지는 IEMA가 위반 사항을 얼마나 적극적으로 추적하느냐에 전적으로 달려 있으며, 이 질문은 첫 번째 준수 주기가 완료되는 2028년 또는 2029년이 되어야 답을 얻을 수 있습니다.
SB 315 vs. 캘리포니아 SB 53 vs. 뉴욕 RAISE Act
현재 미국 세 개 주의 법률이 프론티어 AI 안전을 다루고 있다 — 일리노이 SB 315, 캘리포니아 SB 53(Transparency in Frontier AI Act), 그리고 뉴욕의 RAISE Act. 이 법들은 여러 주에 걸쳐 운영하는 기업들에게 실질적으로 중요한 방식에서 서로 갈린다. 세 법 모두 어떤 형태로든 안전 공시와 인시던트 보고를 요구한다. 구조적 분기점은 검증에 있다: 일리노이는 해당 공시에 대해 독립적인 외부 감사를 의무화하는 반면, 캘리포니아와 뉴욕은 개발사의 자기 입증에 의존한다 .
| 항목 | Illinois SB 315 | California SB 53 | New York RAISE Act |
|---|---|---|---|
| 적용 범위 기준 | 개발사 전 세계 연매출 $5억 이상 | 프론티어 모델 개발사 (제정된 법문에 매출 하한선 없음) | 고영향 AI 시스템 개발사; 임계값은 모델 역량 등급으로 정의 |
| 감사 요건 | 연 1회 독립적 제3자 감사 — 의무 | 없음; 자기 입증만 | 없음; 자기 입증만 |
| 배포 전 공시 | 신규 또는 실질적으로 수정된 모델 출시 전마다 치명적 위험 평가 요약본 제출 의무 | 안전 가드레일 공시 의무 | 안전 인시던트 보고 의무 |
| 내부고발자 보호 | 있음 — 공식 내부 보고 채널과 함께 법령에 명문화 | 제한적 규정 | 제정된 법문에 명시 없음 |
| 개인 소송 권리 | 없음 | 없음 | 없음 |
| 집행 기관 | IEMA + 국토안보부 | 캘리포니아 법무장관 | 뉴욕 노동부 / 법무장관 |
| 시행일 | 2028년 | 2026년 (2025년 말 통과) | 2026년 (2025년 말 통과) |
자기 입증 공시와 감사를 거친 공시 사이의 실질적 격차는 실무에서 크게 나타난다. 캘리포니아 SB 53은 AI 개발사가 안전 프로토콜을 공개하도록 요구하지만, 해당 프로토콜이 실제로 이행되는지에 대한 외부 검증은 없다 . 뉴욕의 RAISE Act도 동일한 구조를 따른다. SB 315 적용 대상 기업들은 실질적으로 더 높은 컴플라이언스 기준에 직면한다: 기업 자신이 아닌 외부 감사인이 공개된 안전 주장이 실제 관행으로 뒷받침됨을 인증한다.
이미 캘리포니아 SB 53 적용을 받는 기업들 — 대부분의 $5억 이상 연구소들이 해당된다 — 에게 일리노이는 공시 레이어 위에 검증 레이어를 추가한다. 컴플라이언스 작업이 단순히 중복되는 것은 아니다: 캘리포니아 공시를 위해 준비된 안전 프레임워크 문서는 일리노이 감사 절차에 활용될 수 있지만, 감사 자체는 캘리포니아 절차에는 없는 추가적인 조율 — 감사인 선정, 범위 협상, 문서 제출 — 을 필요로 한다. 컴플라이언스 팀은 일리노이를 캘리포니아 컴플라이언스 산출물의 재사용이 아닌, 추가적인 업무 부하로 계획해야 한다.
다주 패치워크가 이제 분명히 형성되고 있다. 세 프레임워크는 서로 다른 집행 기관, 제재 구조, 적용 범위 정의를 사용한다. 세 관할권 모두에 적용받는 기업은 적어도 연방 프레임워크가 등장하거나 주들이 요건을 조화시키기 시작할 때까지는 각 법에 대한 별도의 컴플라이언스 트랙이 필요하다. 2028년부터 시작되는 IEMA의 연간 공개 컴플라이언스 보고서는 다른 주들과 연방 규제 기관들이 후속 프레임워크를 설계할 때 참조할 공개 접근 가능한 데이터 레이어를 추가할 것이다.
OpenAI와 Anthropic이 이 법안을 공식 지지한 이유
OpenAI와 Anthropic은 일리노이 입법 과정 전반에 걸쳐 SB 315를 공식 지지했다 — 주요 AI 개발사가 자신의 운영을 직접 규제하는 법안을 지지하는 것은 이례적인 입장이다 . 그 이유를 이해하려면 보도자료가 아닌 구조적 인센티브를 살펴봐야 한다.
전략적 논리는 간단하다: 기존 내부 안전 프로그램 — 체계적인 레드팀, 문서화된 위험 프레임워크, 실질적인 인력을 갖춘 내부 거버넌스 — 을 보유한 기업들은 이를 처음부터 구축하는 기업들보다 컴플라이언스 비용을 더 저렴하게 흡수한다. SB 315의 감사 요건이 실질적이고 균일하게 적용된다면, 컴플라이언스 비용은 진입 장벽이 된다. $5억 매출에 도달하는 소규모 경쟁사나 신규 진입자들은 기존 기업들이 이미 기존 안전 운영에 상각한 감사 인프라 비용에 직면한다. 규제는 컴플라이언스 구조 설계에 참여한 이들에게 유리하게 작용한다.
"일리노이 주 의원들이 미국 최강의 AI 안전 법안을 통과시켰다" — 입법 과정을 추적해 온 옹호 단체 Transparency Coalition AI (source: Transparency Coalition AI)
직접 짚어볼 가치 있는 관련 우려가 있다: 자격 인증을 통한 규제 포획이다. 외부 인증을 받은 '감사 통과' 레이블은 책임 메커니즘만큼이나 마케팅 신호로 기능할 수 있다. IEMA의 감사인 자격 기준이 감사 대상 기업들에 의해 주로 형성되거나, 감사 범위가 실제 실패를 드러내기에 충분하지 않을 만큼 좁다면, 감사 레이블은 실제 안전 관행을 드러내기보다 가리는 평판 자산이 될 수 있다. 이 법안의 책임성은 거의 전적으로 IEMA가 개발하는 감사 기준의 독립성과 엄격함에 달려 있다 — 아직 존재하지 않는 기준이다.
$5억 임계값은 현직 기업의 우위를 법에 구조적으로 내재화한다. OpenAI, Anthropic, Google DeepMind, Meta, xAI는 감사 비용을 예산 항목으로 흡수한다. 대부분의 도전자들 — 오픈소스 모델 개발사, 빠르게 성장하는 AI 인프라 기업, 프론티어 역량에 근접한 연구소 — 은 임계값 아래에 있으며 아무런 의무를 지지 않는다. 정책 목표가 모든 프론티어 모델 개발사에 걸친 균일한 안전 기준이라면, 임계값은 구조적 공백을 만든다. 목표가 첫해에 이를 유지할 능력이 가장 뛰어난 조직들로 컴플라이언스 체계를 검증하는 것이라면, 임계값은 방어 가능한 출발점이다.
공식 반대는 구글, 애플, 아마존, 앤드리슨 호로비츠를 대표하는 Chamber of Progress에서 나왔으며, 이 법안을 "기준은 없고 책임만 있다"고 표현했다 . American Innovators Network, TechNet, NetChoice도 감사 명확성과 비용 부담에 대한 우려를 제기했다 . 이러한 반대는 110대 0의 하원 표결을 움직이지 못했다. 그러나 이들은 IEMA의 규칙 제정 과정에서의 로비 활동을 형성할 것이다 — 이 법에 실질적 효력이 있는지를 결정하는 운영 세부사항이 실제로 결정되는 곳이다.
다음 단계: 연방 선점 리스크와 나머지 7개 법안
SB 315는 일리노이 주의회가 동시에 추진한 AI 관련 8개 법안 패키지 중 가장 주목받는 법안입니다 . 나머지 7개 법안은 더 좁은 영역을 다룹니다. AI 치료 챗봇 규제, 디지털 복제물 권리 집행, 채용 알고리즘 공시 요건, 관련 소비자 보호 조항 등이 포함됩니다. 이 법안들을 종합하면 일리노이는, 연방 차원의 조치가 여전히 제한적인 상황에서도, 미국에서 AI 규제가 가장 활발한 주 가운데 하나로 자리잡게 됩니다.
연방 선점 문제는 SB 315의 장기적 영향력을 좌우하는 가장 큰 변수입니다. 2026년 5월 현재 동등한 감사 요건을 갖춘 연방 AI 안전법은 존재하지 않습니다 . 의회가 2028년 이전에 연방 AI 프레임워크를 통과시킨다면, SB 315를 완전히 대체하거나 주법이 충족해야 할 최저 기준을 설정하는 방식으로 주법을 선점할 수 있습니다. 현재 연방 AI 입법이 진행되는 속도를 감안하면 단기적으로는 주(州) 프레임워크가 주요 컴플라이언스 환경으로 기능할 가능성이 높습니다. 이는 SB 315의 감사 모델이 사실상의 전국 표준으로 작동할 수 있음을 의미합니다.
일리노이는 미국에서 세 번째로 큰 주(州) 경제권이며, 대형 AI 기업들은 그곳에서 상당한 사업을 영위하고 있습니다 . 2028년부터 요구되는 IEMA의 연간 공개 컴플라이언스 보고서는 다른 주와 연방 규제 기관이 후속 프레임워크를 설계할 때 참조할 공개 데이터를 생산합니다. 이는 일리노이 BIPA가 대부분의 주가 자체 법률을 제정하기 전에 사실상의 전국 생체 데이터 표준이 된 방식과 맥락이 같습니다. 기업용·규제 시장을 대상으로 개발하는 개발자라면 연방 통합이 이루어지기 전에 다른 주들이 감사 의무 모델을 추가로 채택하는지 주시해야 합니다.
SB 315가 요구하는 감사 인프라는 현재 규모 있게 존재하지 않습니다. 향후 18개월 안에 등장할 기업, 표준, 인증 절차가 첫 번째 주기의 컴플라이언스가 실제로 어떤 모습일지를 결정합니다. 최종 규칙이 확정되기를 기다리는 것보다, IEMA의 규칙 제정 과정 및 감사 수임을 두고 경쟁할 전문 평가사들과 미리 협력하는 쪽이 훨씬 높은 레버리지를 발휘합니다.
자주 묻는 질문
일리노이 SB 315가 우리 AI 스타트업에도 적용되나요?
거의 그렇지 않습니다. SB 315의 컴플라이언스 의무—안전 프레임워크 공개, 연간 제3자 감사, 배포 전 공시, 중대 사고 보고—는 연간 매출이 5억 달러를 초과하는 프론티어 AI 개발사에만 적용됩니다 . 해당 기준 미만의 스타트업과 중견 AI 기업은 감사 의무 및 대부분의 다른 조항에서 명시적으로 제외됩니다. 5억 달러 기준은 일리노이 내 영업에 한정되지 않고 개발사 전체의 전 세계 연간 매출을 기준으로 합니다. 귀사가 해당 매출 기준에 미달한다면, 현행 법안 문구상 SB 315는 AI 개발 또는 배포 과정에 어떠한 직접적인 컴플라이언스 요건도 부과하지 않습니다.
SB 315에서 '재앙적 리스크'란 무엇을 의미하나요?
이 법안은 피규제 기업이 공개 안전 프레임워크에서 재앙적 리스크를 정의하고 평가하도록 요구할 뿐, 법령상 망라적 정의를 제시하지 않습니다. 법안의 입법 기록과 프론티어 AI 리스크 문헌에 비추어 볼 때, 예상되는 범위는 대규모 피해를 야기할 수 있는 사이버 공격, 인간의 감독과 통제를 벗어나는 자율적 AI 역량, 프론티어 모델로 가능해지는 대규모 오용 시나리오 등을 포함합니다. 구조적으로 핵심은, 기업이 리스크 범위를 스스로 정의하고 감사인이 그 평가의 신뢰성 및 명시된 완화 조치의 실제 이행 여부를 검증한다는 점입니다. 이는 정확한 리스크 특성화에 대한 인센티브를 만들어냅니다. 공개 안전 프레임워크에서 과도한 약속을 하면 감사 시 문제가 될 수 있기 때문입니다.
SB 315는 언제 발효되며, 컴플라이언스 시계는 무엇이 작동시키나요?
발효일은 2028년으로, 입법 협상 과정에서 당초 2027년 목표에서 연장되었습니다 . 프리츠커 주지사가 공개적으로 2026년 서명을 약속함으로써 실질적인 컴플라이언스 시계가 시작됩니다. 적용 대상 기업은 서명 시점으로부터 약 18~24개월 내에 감사인을 선정하고, 초기 안전 프레임워크를 공개하며, 사고 보고 인프라를 구축해야 합니다. 대형 조직에서는 감사인 조달만으로도 통상 6~12개월이 소요된다는 점을 감안하면, 적용 대상 기업은 일정 압박을 피하기 위해 2026년에 해당 절차를 시작해야 합니다. 2028년 이전에 이미 배포된 모델에 대한 소급 컴플라이언스는 요구되지 않습니다. 다만, 2028년 이후 실질적으로 수정된 모델은 기반 모델의 최초 출시 시점과 무관하게 배포 전 공시 요건을 충족해야 합니다.
개인 또는 다른 기업이 SB 315를 근거로 소송을 제기할 수 있나요?
아닙니다. SB 315는 개인 소송권을 명시적으로 부여하지 않습니다 . 개인, 경쟁 기업, 또는 옹호 단체 모두 이 법에 근거하여 피규제 기업을 상대로 소송을 제기할 수 없습니다. 집행은 전적으로 IEMA와 국토안보국(Office of Homeland Security)을 통한 주(州) 주도로 이루어지며, 위반에 대해 민사 벌금이 부과됩니다. 이는 개인 소송—집단소송 포함—이 주요 컴플라이언스 동인인 일리노이 BIPA나 캘리포니아 CCPA와 구조적으로 중요한 차이입니다. SB 315의 집행 모델에서 컴플라이언스 리스크는 원고 소송이 아니라 IEMA 조사 결과 및 연간 공개 보고서에서 비롯됩니다. 이러한 방식이 BIPA보다 집행력이 약한지 예측 가능성이 높은지는 첫 번째 감사 주기에서 IEMA가 어떤 태도를 취하느냐에 달려 있습니다.
필수 감사를 수행할 기업은 어디로 예상되나요?
법령은 특정 감사인을 지정하거나 공식 인증 요건을 정의하지 않습니다. IEMA는 2028년 발효일 이전에 감사인 자격 지침을 발표할 것으로 예상됩니다. 분석가들은 두 부류의 기업이 이 수임을 두고 경쟁할 것으로 봅니다. 하나는 기성 컴플라이언스 감사 인프라를 갖춘 Big 4 회계 법인(딜로이트, EY, KPMG, PwC)이고, 다른 하나는 프론티어 모델 평가에 도메인 특화 기술력을 보유한 전문 AI 평가사—METR, Transluce, AVERI(AI Evaluator Forum 회원)—입니다 . 프론티어 AI 감사 시장은 현재 초기 단계입니다. 표준, 범위 정의, 감사인 자격은 IEMA의 규칙 제정과 초기 감사 주기를 거치며 구체화될 것입니다. 잠재적 감사인과 일찍 협력하는 적용 대상 기업은 실무에서 감사 범위가 어떻게 정의되는지에 더 큰 영향력을 행사할 수 있습니다.
SB 315가 프론티어 스택 위에서 개발하는 개발자들에게 의미하는 것
일리노이 SB 315는 광범위한 AI 규제가 아닙니다 — 범용 프론티어 모델을 배포하는 대형 조직 5~6곳을 겨냥한 핀셋형 컴플라이언스 프레임워크입니다. 모델을 직접 개발하는 것이 아니라 그 위에서 서비스를 만드는 개발자라면, 현행 법안 기준으로 직접적인 컴플라이언스 부담은 없습니다. 그러나 생태계 전반에 걸쳐 간접 영향은 피할 수 없습니다 — 감사를 거친 안전 프레임워크가 API 노출 범위를 어떻게 제한하는지, 사고 보고 의무가 모델 업데이트 주기와 어떻게 맞물리는지, 연간 감사 사이클이 주요 랩의 모델 출시 일정에 어떤 영향을 미치는지 등이 그 예입니다.
이 법의 실질적인 파급력은 지금부터 2028년까지 이어지는 규칙 제정 단계에서 IEMA가 무엇을 결정하느냐에 거의 전적으로 달려 있습니다. 감사 기준, 감사인 자격 요건, 그리고 "실질적 변경"의 정의가 이 과정에서 어떻게 확정되느냐에 따라 SB 315가 실질적인 책임 체계를 만들어내는지, 아니면 형식적 컴플라이언스를 위한 감사 산업만 키우는지가 결정됩니다. 그 규칙 제정 과정에 적극 참여하는 당사자들 — 적용 대상 랩, 전문 평가 기관, 감사된 AI 시스템에 의존하는 기업 고객 — 이 법안 문구 자체보다 더 큰 영향력을 갖게 될 것입니다.
컴플라이언스 계획을 염두에 두고 AI 규제를 추적하는 분이라면, 2028년부터 공개되는 일리노이 IEMA 연간 공개 보고서가 핵심 데이터 소스입니다. 이 보고서들은 미국 역사상 최초로 주정부가 생산하고 감사로 검증된 프론티어 AI 안전 컴플라이언스 기록이 됩니다. 다른 주, 연방 규제 기관, 그리고 국제 기구들이 이를 인용할 것입니다. 이를 기반으로 형성되는 감사 생태계, 거기서 발전하는 기준, 그리고 도출되는 결과물이 규제 대상 기업 시장에서 "책임 있는 AI 배포"의 실질적 의미를 정의하게 될 것입니다 — 어떤 랩의 마케팅 자료가 안전에 대해 무슨 말을 하든 무관하게.
최종 업데이트: 2026-05-28. 이 글은 2026년 5월 27~28일 일리노이 주의회의 법안 통과를 반영합니다. 프리츠커 주지사의 서명은 공개적으로 약속되었으나, 게재 시점 기준으로 공식 기록은 아직 완료되지 않은 상태입니다. IEMA 시행 규칙, 감사인 자격 지침, 과태료 체계는 아직 발표되지 않았습니다.
