'자발적'이라 쓰고 '준강제'라 읽는다

규제 철폐론자가 거버넌스를 설계할 때

트럼프 행정부의 AI 정책은 한 문장으로 요약돼 왔다. "바이든이 만든 족쇄를 부순다." 그런데 6월 2일 서명된 행정명령은 그 서사와 어긋난다. 백악관이 공개한 Promoting Advanced AI Innovation and Security 행정명령은 프론티어 AI 모델 출시 전 최대 30일간 정부와의 '자발적' 사전 공유를 요청하고, 60일 안에 NSA·CISA가 AI의 사이버 공격 능력을 평가하는 비밀분류 벤치마킹 체계를 구축하도록 명령한다.

규제를 없애겠다던 행정부가 정작 가장 민감한 영역인 모델 출시 단계에 손을 댔다. Scientific American이 "행정부의 입장을 극적으로 전환시킨다"고 평가한 이유다.

'자발적'이라는 단어의 무게

핵심은 단어 하나다. 자발적(voluntary). 표면적으로 기업은 모델을 공유하지 않아도 된다. 그러나 요청의 명분이 '국가안보'라면 이야기가 달라진다.

공유를 거부한 기업은 향후 사이버 사고가 터졌을 때 "정부 검토를 회피한 회사"라는 정치적 부담을 진다. 게다가 행정명령은 '신뢰할 수 있는 파트너'에게 핵심 인프라 사이버보안 정보의 조기 접근 권한을 준다. 협조하는 기업과 거리를 두는 기업 사이에 차등 대우가 생기는 것이다.

자발이 거부 가능한 선택지가 아니라 거부하면 불이익이 따르는 구조로 설계되면, 그것은 사실상 준강제다. 미국식 규제는 종종 이런 '연성 압력'으로 작동해왔다. 명시적 의무 대신 인센티브와 평판 비용을 지렛대로 쓴다.

진짜 변수는 '벤치마킹'에 있다

가장 눈여겨볼 대목은 30일 공유가 아니라 NSA·CISA가 만들 비밀분류 벤치마크다. 무엇이 '위험한 사이버 능력'인지를 정부가 정의하는 순간, 그 기준은 사실상 모델 개발의 가이드라인이 된다.

기준이 공개되지 않는 비밀분류라는 점도 중요하다. 기업은 자신이 평가받는 잣대를 모른 채 평가받는다. 투명성 측면에서 양날의 검이다. 악의적 행위자에게 회피 경로를 알려주지 않는 장점이 있는 반면, 기업은 무엇을 기준으로 통과하고 탈락하는지 따질 수 없게 된다.

무엇이 바뀌는가

OpenAI·Anthropic·Google 같은 프론티어 기업은 출시 일정에 정부 검토라는 변수를 더하게 된다. 30일은 빠른 출시 경쟁에서 무시할 수 없는 시간이다. 국가안보 기관 쪽을 보면 AI 거버넌스의 주도권을 상무부가 아닌 안보 라인이 쥔다. 규제의 무게중심이 '혁신 진흥'에서 '안보 통제'로 옮겨간다. EU와 각국 규제당국은 또 다른 입장이다. 미국이 '자발적' 모델로 길을 트면, 강제 규제를 추진하던 진영의 명분이 흔들린다.

이 행정명령의 실효성은 단 하나에 달렸다. 기업들이 실제로 얼마나 공유하느냐다. 모두가 형식적으로만 따른다면 상징에 그치고, 핵심 기업들이 진지하게 협조한다면 미국 AI 규제의 사실상 표준이 된다. '자발적'이라는 단어가 앞으로 1년간 미국 AI 거버넌스의 수위를 가늠하는 리트머스다.