협력사 AI 사고도 원청 책임 …공급망 AI 관리, 법무·감사 영역으로 확대 [카테고리 설정이 아직되어 있지 않습니다.] 협력사와 외부 AI 도구 사용이 늘어나면서 공급망 관리 범위도 데이터 통제와 AI 감사 영역까지 확대되고 있다. / 출처 = Unsplash
협력사 인공지능(AI)의 오작동이나 잘못된 응답이 원청 기업의 법적 책임으로 이어질 가능성이 커지고 있다.
지속가능성 전문 매체 ESG투데이는 7일(현지시각) 기업들이 협력사 AI 사용을 계약·감사 체계 안으로 편입하기 시작했다고 보도했다. 공급망 관리 범위가 탄소배출과 인권 실사를 넘어 협력사 AI 통제 영역까지 확대되고 있다는 분석이다.
EU, 원청에 협력사 AI 통제 책임 묻는다
EU 인공지능법(AI Act)은 공급망을 통한 AI 책임을 원청 기업에 직접 묻는다. AI Act 제25조는 협력사 AI를 자사 브랜드로 출시하거나 고위험 용도로 전환할 경우 원청 기업도 제공자(provider) 로 간주해 위험 관리 시스템 구축, 인간 감독 체계 마련, 중대 사고 보고 의무를 직접 부과한다. 이를 어길 경우 최대 1500만유로(약 258억원) 벌금이 부과될 수 있다.
당초 올해 8월 시행 예정이던 고위험 AI 규제는 7일(현지시각) EU 의회·이사회의 디지털 옴니버스(Digital Omnibus) 잠정 합의로 2027년 12월로 연기됐지만, 규제 틀 자체는 그대로 유지된다.
런던 국제 로펌 스티븐슨 하우드는 제공자·배포자 지위는 계약서가 아니라 실제 행위를 기준으로 판단된다”며 계약으로 책임을 넘기더라도 규제 책임까지 사라지는 것은 아니라고 분석했다.
계약 관행도 바뀌고 있다. EU 집행위원회는 지난 3월 공공기관의 AI 구매 계약에 활용할 표준 계약 조항 을 공개하고 데이터 관리, 로그 기록, 인간 감독 체계 등을 계약상 요구사항으로 제시했다. 국제개인정보보호전문가협회(IAPP)는 해당 조항이 민간 기업 AI 조달 계약에도 영향을 미칠 것으로 평가했다.
조사 기업 5곳 중 1곳 이미 당했다 …협력사 AI, 공급망 새 사각지대
공급망을 통한 AI 리스크는 이미 현실화되고 있다. IBM(NYSE: IBM)이 지난해 7월 발표한 ‘2025 데이터 침해 비용 보고서’에 따르면 조사 기업 5곳 중 1곳은 승인받지 않은 이른바 ‘섀도 AI(shadow AI)’ 사용과 연관된 침해를 경험했다.
섀도 AI는 직원이나 협력업체가 회사 승인 없이 외부 생성형 AI 서비스를 업무에 사용하는 경우를 뜻한다. 해당 유형 침해는 일반 침해보다 평균 67만달러(약 10억원) 높은 비용을 유발한 것으로 나타났다.
AI 보안 사고 원인 가운데 공급망 침해 비중이 가장 높게 나타났다. IBM은 외부 앱·API·플러그인 연결 구조가 새로운 공격 경로가 되고 있다고 분석했다. / 출처 = IBM ‘2025 데이터 침해 비용 보고서’
특히 협력사 직원이 원청 기업 데이터를 외부 AI 서비스에 입력하는 경우 공급망 전체가 새로운 리스크에 노출될 수 있다. 계약서 검토, 소스코드 작성, 고객 응대 과정에서 생성형 AI가 사용되면 고객 정보, 개발 코드, 내부 문건 등이 외부 플랫폼으로 유출될 가능성이 생긴다. AI가 잘못된 답변을 고객에게 제공할 경우 법적 책임 문제로 번질 가능성도 있다.
실제 판례도 나오고 있다. 브리티시 컬럼비아(BC)주의 소액 민사 분쟁 중재 기구인 민사중재원은 2024년 2월 에어캐나다(Air Canada) AI 챗봇이 장례 할인 운임의 사후 환급이 가능하다고 잘못 안내한 사건에서 항공사가 챗봇 안내에 책임을 져야 한다고 결정했다.
AI 거버넌스, 내부감사·법무·리스크 조직으로 본격 확대
이처럼 협력사 AI 사용에 따른 데이터 유출, 규제 위반, 법적 책임 리스크가 가시화되면서 AI 거버넌스는 계약·감사·준법 체계 전반으로 관리 범위가 확대되는 추세다.
선도 기업들은 이미 계약서를 바꾸기 시작했다. 스위스 기반 글로벌 제약사 노바티스(NYSE: NVS)는 제3자 행동 규범에 AI 거버넌스 조항을 별도로 신설하고 협력사뿐 아니라 하위 공급업체와 하도급업체까지 동일 원칙을 적용하도록 의무화했다. 사전 통지 후 언제든 감사를 실시할 수 있는 권한과 데이터 침해 통지 의무도 규범에 명시했다.
계약 현실과 규제 요구 사이 간극은 여전히 크다. 스탠퍼드대 법·기술 연구센터 코드엑스(CodeX)가 계약 분석 플랫폼 텀스카우트(TermScout) 데이터를 분석한 결과 AI 벤더 계약의 92%는 서비스 제공 범위를 넘어서는 광범위한 데이터 사용권을 포함하고 있었다. 관련 법규 준수를 명시적으로 약속한 계약은 17%에 그쳤다.
국제 감사·리스크관리 업계도 공급망 AI 통제를 핵심 과제로 보기 시작했다. 딜로이트는 2025년 발표한 ‘제3자 리스크 관리(TPRM) 보고서’에서 기업들이 협력사 AI 사용으로 발생하는 데이터 유출, 사이버 공격, 규제 위반 가능성을 주요 리스크로 인식하고 있다고 분석했다.
보고서는 협력사 리스크 관리가 연례 점검 중심에서 공급망 상시 감시 체계로 이동하고 있다고 진단했다.
Top
