지난 18개월 동안 위험 관리 정책, 연간 영향 평가, 알고리즘 차별에 대한 주의 의무를 중심으로 콜로라도 AI 법 준수 프로그램을 구축해 온 기업이라면, 이제 규칙이 바뀌었습니다. 2026년 5월 14일, 제러드 폴리스(Jared Polis) 콜로라도 주지사는 핵심 의무가 발효되기도 전에 기존 콜로라도 AI 법을 폐지하고 대체하는 상원 법안 SB 26-189에 서명했습니다. 새로운 프레임워크는 주의 의무(duty-of-care) 표준, 공식적인 위험 관리 프로그램 요구 사항 및 연간 영향 평가 의무를 폐지했습니다. 그 자리에는 사용 전 통지, 부정적 결과 사후 공개, 그리고 "대상 자동화 의사결정 기술(covered automated decision-making technology)"과 연계된 소수의 소비자 권리를 중심으로 한 더 좁은 범위의 투명성 제도가 도입되었습니다.
기존 SB 24-205 프레임워크에 컨설팅 비용을 쏟아부어 온 창업자, 인사 담당자, 대출 기관, 보험사, 의료 행정가, 임대인 및 SaaS 운영자들에게는 안도감이 느껴지는 소식일 것입니다. 하지만 그 안도감은 신중해야 합니다. 새로운 법은 여전히 거의 모든 규모의 기업에 실질적인 의무를 부과하며, 콜로라도 법무장관의 집행 위험을 생성하고, 운영 중 중대한 결정에 자동화된 의사결정 기술이 관여하는 지점을 파악하도록 요구합니다. 규정 준수 부담은 가벼워졌지만 결코 제로(0)는 아니며, 예산 주기와 벤더 재협상을 고려하면 2027년 1월 1일 발효일은 대부분의 팀이 예상하는 것보다 더 빨리 다가올 것입니다.
이 가이드는 무엇이 바뀌고 무엇이 유지되었는지, 규제 대상은 누구인지, 2027년 1월 1일 이전에 구체적으로 무엇을 해야 하는지, 그리고 여러 관할권에서 운영되는 기업들에 적용되는 다른 주 및 연방 AI 규칙들과 콜로라도의 의무 사항을 어떻게 조정해야 하는지를 설명합니다.
기존 콜로라도 AI 법에 일어난 변화
SB 24-205로 법제화되었던 기존 콜로라도 AI 법은 2024년 5월에 서명되어 2026년 2월 1일 발효 예정이었습니다. 이는 미국 최초의 포괄적인 주 AI 법이었으며, 유럽 연합(EU) AI 법의 위험 계층 접근 방식을 느슨하게 모델링했습니다. 기존 프레임워크는 주 내 혁신을 저해하고, 실제 알고리즘 차별 위험에 비해 과도한 비용을 부과하며, 소규모 기업들이 규제 대상 금융 기관에 준하는 거버넌스 프로그램을 구축하도록 강제한다는 기술 기업, 비즈니스 그룹 및 양당 의원들의 지속적인 비판을 받았습니다.
2025년 입법 세션 동안 주의회는 법안을 수정할 시간을 갖기 위해 발효일을 2026년 2월 1일에서 2026년 6월 30일로 연장했습니다. 2026년 5월, SB 26-189가 통과 및 서명되어 기존 법안을 폐지하고 2027년 1월 1일에 발효되는 실질적으로 더 좁은 범위의 프레임워크로 대체되었습니다. 콜로라도 법무장관은 같은 날짜까지 시행 규칙 제정을 완료해야 하며, 법무장관실은 규칙 제정이 완료되고 기업들이 적응할 합리적인 기회를 가질 때까지 집행을 시작하지 않겠다는 의사를 밝혔습니다.
규정 준수 팀을 위한 실질적인 결론은 다음과 같습니다. SB 24-205 프레임워크에 따라 구축한 문서, 벤더 실사 패키지 또는 영향 평가 템플릿은 여전히 기초 자료로서 가치가 있지만, 원래의 주의 의무 표준이 아닌 SB 26-189의 의무 사항에 맞춰 재조정해야 합니다.
폐지된 것과 유지된 것
컨설턴트와 벤더들이 여전히 SB 24-205 프레임워크를 판매하고 있기 때문에 구법과 신법의 차이를 이해하는 것이 중요합니다. 다음은 사라진 것, 새로운 것, 그리고 유지된 것들입니다.
기존 법에서 삭제된 사항:
- 알고리즘 차별로부터 소비자를 보호해야 하는 합리적 주의 의무
- 공식적인 위험 관리 정책 및 프로그램 요구 사항
- 목적, 데이터 입력, 완화, 모니터링 및 차별 위험을 포괄하는 연간 영향 평가 의무
- 발견된 알고리즘 차별과 연계된 90일 이내의 발견 및 공개 의무
- 4단계 테스트를 포함한 소규모 배포자 면제 프레임워크 (이 부분은 그대로 유지되지 않고 재구성됨)
SB 26-189에 따른 새로운 사항:
- "고위험 인공지능 시스템" 대신 "대상 자동화 의사결정 기술(ADMT)"을 중심으로 한 좁은 범위
- 2단계 통지 체계: 중대한 결정에 배포하기 전의 '사용 전 통지'와 30일 이내의 '부정적 결과 사후 공개'
- 대상 ADMT가 사용하는 개인 데이터에 대한 소비자의 접근 및 정정 권리
- 기술적으로 가능한 경우, 중대한 결정에 대한 유의미한 인간의 검토(human review)를 요청할 권리
- 모든 통지가 장애인 및 영어 숙련도가 낮은 소비자에게 전달되어야 한다는 접근성 요구 사항
- 소비자 상호작용 지점 근처에 눈에 띄게 공지함으로써 사용 전 통지 의무를 충족할 수 있도록 하는 세이프 하버(safe harbor) 조항
실질적으로 유지된 사항:
- 중대한 결정 범주 목록: 교육, 고용, 금융 또는 대출 서비스, 필수 정부 서비스, 의료 서비스, 주거, 보험 및 법률 서비스
- 콜로라도 법무장관의 독점적 집행권 (사적 소권 없음)
- 위반 사항을 콜로라도 소비자 보호법에 따른 기만적 거래 행위로 간주
- 개발자(ADMT를 구축하거나 실질적으로 수정하는 자)와 배포자(콜로라도 소비자에 대한 중대한 결정을 내리기 위해 ADMT를 사용하는 자) 간의 일반적인 구분
적용 대상 범위
이 신규 법률은 콜로라도 소비자에게 중대한 결정을 내리거나 이에 실질적인 영향을 미치는 대상 자동 의사결정 기술(ADMT)의 모든 개발자 또는 배포자에게 적용됩니다. 지리적 적용 범위는 사업장 위치가 아닌 소비자의 거주지에 따라 결정됩니다. 따라서 오스틴에 본사를 둔 원격 우선 SaaS 기업이나 콜로라도 고용주에게 후보자를 배치하는 뉴욕의 채용 대행사도 범위 내에 명확히 포함됩니다.
SB 26-189에 따른 중대한 결정이란 교육 등록 또는 기회, 고용 또는 고용 기회, 금융 또는 대출 서비스, 필수 정부 서비스, 의료 서비스, 주택, 보험 또는 법률 서비스 등 8가지 범주의 서비스 제공, 거부, 비용 또는 조건에 실질적인 법적 영향 또는 유사하게 중요한 영향을 미치는 모든 결정을 의미합니다. 이 목록에는 중소기업이 매일 사람들에 대해 내리는 대부분의 중요한 결정이 포함됩니다.
실제 적용 사례로는 구직자의 점수를 매기는 이력서 심사 도구, 대출 승인 또는 거부를 결정하는 신용 인수 모델, 보험료를 설정하는 보험 가격 산정 엔진, 임대 신청자를 필터링하는 세입자 심사 도구, 환자의 예약이나 진료 의뢰에 영향을 미치는 임상 의사결정 지원 시스템, 온라인 교육 제공업체가 사용하는 AI 튜터 또는 입학 도구, 법률 구조 클리닉이나 로펌 웹사이트의 접수 또는 분류 도구 등이 있습니다. 고객 서비스 챗봇, 마케팅 개인화, 내부 생산성 도구 및 콘텐츠 초안 작성에 사용되는 생성형 AI는 나열된 중대한 결정 중 하나에 실질적인 영향을 미치지 않는 한 일반적으로 범위에서 제외됩니다.
사전 고지 의무
배포자가 중대한 결정에 실질적인 영향을 미치기 위해 대상 ADMT를 사용하기 전에, 배포자는 소비자에게 ADMT가 사용되고 있거나 사용될 것임을 명확하고 눈에 띄게 고지해야 합니다. 고지 사항에는 시스템의 목적, 시스템이 고려하는 중대한 결정의 유형, 소비자가 법령에 명시된 권리를 행사할 수 있는 방법이 평이한 언어로 설명되어야 합니다.
여기서 세이프 하버(Safe Harbor, 면책 조항)가 중요합니다. 이 법은 매 상호작용 시점마다 개별적인 고지를 제공하는 대신, 소비자 상호작용 지점에서 합리적으로 접근 가능한 눈에 띄는 공개 게시물을 통해 이 의무를 충족할 수 있도록 허용합니다. 실제로 이는 애플리케이션 포털, 대출 접수 절차, 세입자 심사 랜딩 페이지 또는 환자 등록 포털에 명확하게 연결된 AI 공개 페이지가 있고, 해당 링크가 관련 거래와 시각적으로 가깝고 공개 내용이 일반 독자를 위해 작성된 경우 일반적으로 충분함을 의미합니다.
피해야 할 세 가지 작성상의 함정이 있습니다. 첫째, 공개 내용을 일반적인 개인정보 처리방침 속에 숨기지 마십시오. 법령은 관련 거래와 합리적으로 가까운 위치에 공개할 것을 요구합니다. 둘째, "자동 의사결정 기술" 또는 "ADMT"와 같은 업계 전문 용어를 설명 없이 그대로 사용하지 마십시오. 접근성 요구 사항에는 스크린 리더 호환성뿐만 아니라 인지 및 언어적 접근성도 포함됩니다. 셋째, 결정 과정에서 AI의 역할을 은폐하는 고지문을 작성하지 마십시오. "당사는 도움을 받기 위해 기술을 사용할 수 있습니다"와 같은 모호한 언어는 법무장관의 엄격한 조사를 견뎌낼 수 있는 '평이한 언어' 기준을 충족하지 못합니다.
30일 이내 불리한 결과 공개
대상 ADMT가 중대한 결정에 실질적인 영향을 미쳐 소비자에게 불리한 결과가 발생한 경우, 배포자는 결정 후 30일 이내에 ADMT의 역할에 대한 평이한 언어 설명을 제공해야 합니다. 불리한 결과에는 신청 거부, 기존 서비스 종료, 실질적으로 불리한 가격 책정 또는 소비자가 받을 수 있었던 혜택을 줄이는 모든 결정이 포함됩니다.
이 공개는 영업 비밀, 모델 가중치 또는 독점 알고리즘의 공개를 요구하지 않습니다. 대신 일반 소비자가 이해할 수 있는 수준에서 시스템이 무엇을 고려했는지, 결정에서 어떤 역할을 했는지, 어떤 범주의 개인 데이터를 처리했는지, 소비자가 액세스, 정정 및 인간에 의한 검토 권리를 어떻게 행사할 수 있는지에 대한 설명을 요구합니다. 산업별 콘텐츠 변형이 허용되므로, 대출 기관의 불리한 조치 고지는 기존 평등 신용 기회법(ECOA) 규정 B 고지 형식을 활용할 수 있고, 의료 배포자의 고지는 기존 환자 소통 관례를 바탕으로 작성할 수 있습니다.
이를 별도의 절차로 취급하기보다 인접한 연방 공개 의무와 통합하십시오. 이미 공정 신용 보고법(FCRA)에 따른 불리한 조치 고지, 평등 신용 기회법에 따른 조치 통지 또는 HIPAA 준수 통신을 보내고 있다면, 중복되는 콜로라도 전용 서신을 만드는 대신 기존 고지 내용을 확장하십시오. SB 26-189에 따른 30일 기한은 예외가 존재하므로 사례별로 마감일을 확인해야 하지만, 일반적으로 이러한 연방 고지 시기와 호환됩니다.
소비자의 액세스, 정정 및 인간에 의한 검토 권리
새로운 프레임워크 하에는 세 가지 소비자 권리가 존재합니다. 소비자는 대상 ADMT가 자신에 대해 처리한 개인 데이터에 대한 액세스를 요청할 수 있습니다. 소비자는 부정확한 개인 데이터의 정정을 요청할 수 있습니다. 또한 소비자는 기술적으로 가능한 경우 중대한 결정에 대한 의미 있는 인간에 의한 검토를 요청할 수 있습니다.
액세스 및 정정 권리는 일반적으로 콜로라도 개인정보 보호법(CPA)에 따라 이미 존재하는 권리와 상당 부분 겹칩니다. 운영상 가장 깔끔한 접근 방식은 별도의 접수 채널을 구축하는 대신 기존 CPA 데이터 주체 요청 워크플로를 확장하여 ADMT 관련 요청을 처리하는 것입니다. ADMT에 사용되는 개인 데이터의 범주가 포함된 시스템을 파악하고, 개인정보 보호 또는 HR 접수 팀에 새로운 범주를 교육하며, 응답 일정을 문서화하십시오.
인간에 의한 검토 권리는 더 흥미로운 준수 과제입니다. 법령은 기술적으로 가능한 경우 '의미 있는' 인간에 의한 검토를 요구하는데, 이는 알고리즘 출력에 대한 인간의 형식적인 승인(Rubber-stamp)과는 다릅니다. 의미 있는 검토는 일반적으로 결정을 번복할 권한이 있는 사람이 실제로 소비자의 상황을 조사하고, 알고리즘 점수 이외의 정보를 고려하며, 다른 결론에 도달할 수 있는 실질적인 능력을 갖출 것을 요구합니다. '기술적으로 가능한'이라는 수식어는 기본 결정을 인간이 전혀 의미 있게 검토할 수 없는 경우를 예외로 인정하지만, 단순히 불편함이나 비용이 발생한다는 이유로 면제되지는 않습니다.
개발자 의무
대상 ADMT(자동화된 의사결정 기술) 개발자는 하류(downstream) 단계의 배포자가 규정을 준수하는 데 필요한 사항을 제공해야 할 병행 의무가 있습니다. 기존의 SB 24-205 프레임워크는 개발자에게 훈련 데이터 소스, 성능 지표, 의도된 사용 사례 및 알고리즘 차별의 알려진 위험에 대한 광범위한 문서를 유지하도록 요구했습니다. SB 26-189에 따라 이러한 의무는 축소되었지만 완전히 폐지된 것은 아닙니다.
개발자는 배포자가 고지 및 공개 의무를 충족할 수 있도록 충분한 문서를 배포자에게 제공해야 합니다. 여기에는 ADMT의 의도된 사용 사례, 처리하는 개인정보 카테고리, 생성하는 출력 카테고리, 그리고 중대한 결정 맥락과 관련된 알려진 제한 사항에 대한 설명이 포함됩니다. 또한 개발자는 자신이 제공하는 대상 ADMT와 중대한 결정과 관련된 위험을 관리하는 방법을 요약한 공개 성명서를 발표해야 합니다.
콜로라도 배포자가 사용하는 AI 도구를 판매하거나 라이선스를 제공하는 경우, 벤더 계약에 관한 논의는 이미 시작되었습니다. 배포자인 고객이 표준화된 모델 카드, 데이터 시트 및 ADMT 관련 계약상 진술을 요청할 것으로 예상하십시오. 마스터 서비스 계약(MSA) 및 갱신 패키지에 첨부할 수 있는 한 페이지 분량의 ADMT 공개 문서를 미리 준비하여 대응하시기 바랍니다.
중소기업 고려 사항
기존 SB 24-205의 소규모 배포자 면제 조항은 좁은 조건 하에서 전일제 환산 직원 50인 미만의 배포자에게 영향 평가 요구 사항을 면제해 주는 4단계 테스트였습니다. SB 26-189는 기초가 되는 영향 평가 요구 사항이 더 이상 존재하지 않기 때문에, 면제 조항을 그대로 유지하기보다는 중소기업에 대한 처우를 재구조화했습니다.
대부분의 중소규모 배포자에게 있어 새로운 법에 따른 실질적인 준수 범위는 진정으로 크지 않습니다. 소비자 상호작용 시점에 합리적으로 접근 가능한 명확한 ADMT 공개 페이지를 유지하고, 30일 이내의 부정적 결과 대응 프로세스를 구축하며, 기존 데이터 주체 요청 워크플로우를 ADMT 데이터 접근 및 정정까지 확장하고, 알고리즘이 실질적으로 영향을 미치는 결정에 대한 인간 검토 프로세스를 문서화하는 것입니다. 잘 운영되는 기업이라면, 특히 이미 콜로라도 개인정보 보호법(CPA) 프로그램을 갖추고 있는 경우 몇 주간의 집중적인 작업을 통해 이를 구축할 수 있습니다.
중소기업의 가장 큰 비용 동인은 고지 그 자체가 아니라, 비즈니스 내에서 대상 ADMT가 어디에 존재하는지 인벤토리를 구축하는 업스트림 작업입니다. 흔히 놀라게 되는 지점은 벤더가 AI 기능을 내장한 기성 SaaS 도구가, 배포 기업이 스스로 AI를 배포한다고 생각하지 않았음에도 불구하고 중대한 결정 목적을 위한 대상 ADMT로 작동하고 있음을 발견할 때입니다. 세입자 심사 플랫폼, 자동화된 보험 인수 마법사, AI 강화 채용 도구, 그리고 EHR 시스템에 내장된 임상 의사결정 지원 모듈 등은 모두 흔히 발견되는 의외의 포함 사례들입니다.
다른 AI 및 개인정보 보호법과의 연계 방법
콜로라도는 고립된 상태에서 입법하는 것이 아니며, 통합된 준수 프로그램을 운영하는 것이 각 주별로 별도의 체계를 운영하는 것보다 훨씬 비용이 저렴합니다. 2026년과 2027년을 대비해 계획해야 할 주요 연계 지점은 다음과 같습니다.
콜로라도 개인정보 보호법(CPA). CPA는 이미 콜로라도 소비자에게 데이터 접근, 정정 및 삭제 권한을 부여하고 있으며, "법적 또는 그에 준하는 중대한 영향을 미치는 결정을 촉진하는 프로파일링"을 수행하는 컨트롤러에게 프로파일링 관련 거부권(opt-out) 및 데이터 보호 평가 의무를 부과하고 있습니다. 데이터 주체 요청 워크플로우, 벤더 계약 템플릿 및 소비자 고지 인프라가 상당 부분 겹치기 때문에 귀사의 CPA 프로그램은 SB 26-189 프로그램의 자연스러운 토대가 됩니다.
뉴욕시 지방법 144호. 뉴욕시는 뉴욕 거주자를 심사하는 데 사용되는 자동 고용 의사결정 도구에 대해 매년 독립적인 편향성 감사를 요구합니다. SB 26-189는 편향성 감사를 요구하지 않지만, 콜로라도 법무장관이 요청할 경우 LL 144 감사를 위해 작성된 문서는 알고리즘 차별 위험을 고려했다는 유용한 증거 자료가 될 수 있습니다.
일리노이주 AI 화상 면접법 및 캘리포니아주 AB 2930. 두 법안 모두 콜로라도의 고용 맥락 공개와 겹치는 채용 맥락의 AI 고지 의무를 부과합니다. 세 가지를 별도로 작성하기보다는 이를 모두 충족하는 통합 채용 AI 고지문을 작성하십시오.
EU AI법. EU 사용자를 대상으로 서비스를 제공하는 경우, EU AI법의 고위험 시스템 문서화 및 인간 감독 요구 사항은 콜로라도의 새로운 프레임워크보다 훨씬 엄격합니다. EU 문서는 일반적으로 약간의 수정을 통해 콜로라도의 의무 사항을 충족할 수 있습니다.
EEOC 및 DOJ 집행. 2023년 5월 고용평등기회위원회(EEOC)의 AI 고용 선발 절차에 관한 타이틀 VII 기술 지원과 법무부(DOJ)의 ADA 집행 우선순위는 주 법률의 고지 의무와는 별개로 고용 AI에서 연방 차원의 차별 방지 위험을 생성합니다. 콜로라도의 고지 의무를 준수한다고 해서 연방 민권 집행으로부터 면제되는 것은 아닙니다.
NIST AI RMF. 내부 거버넌스를 NIST AI 위험 관리 프레임워크 1.0에 맞추는 것은 SB 26-189에 의해 법적으로 요구되는 사항은 아니지만, 여러 관할권의 규제 당국과 AI 벤더 실사를 수행하는 기업 고객들 사이에서 방어 가능한 기준점으로 널리 인정받고 있습니다.
실무적인 12주 컴플라이언스 로드맵
아무것도 없는 상태에서 시작하는 중소기업의 경우, 2027년 1월 1일을 대비하기 위한 작업은 네 단계로 나뉩니다.
1주 차에서 3주 차 - 재고 조사. 콜로라도 소비자에 관한 8가지 중대한 결정 범주에서 결정을 내리거나 실질적인 영향을 미치는 모든 도구, 벤더 또는 사내 시스템을 식별하십시오. 제3자 SaaS에 포함된 AI 기능도 포함하십시오. 각 항목에 대해 해당 항목이 ADMT 대상인지 분류하고 개발자가 누구인지 문서화하십시오.
4주 차에서 6주 차 - 벤더 조율. 대상 ADMT의 각 개발자에게 연락하여 귀하의 고지 및 공시 의무를 지원하기 위해 그들이 제공할 문서 패키지를 요청하십시오. 면책, 데이터 수정 지원 및 부정적인 결과 대응 협력을 보장하는 데 필요한 계약 수정 사항을 협상하십시오.
7주 차에서 9주 차 - 고지 및 프로세스 설계. 사용 전 고지 페이지, 부정적인 결과 공시 템플릿, 데이터 주체 요청 워크플로 확장 및 인간 검토 프로세스의 초안을 작성하십시오. 각각에 대해 쉬운 언어 사용 및 접근성 검토를 수행하십시오. 고객 대응, 인사 및 언더라이팅(인수 심사) 직원을 교육하십시오.
10주 차에서 12주 차 - 출시 및 감사 준비. 고지 사항을 게시하고, 새로운 프로세스를 운영 환경에 적용하며, 법무장관 조사관이 요청할 수 있는 문서 파일(벤더 계약서, 고지 화면 스크린샷, 대응 로그, 인간 검토 기록 및 교육 명부)을 구축하십시오. 6개월 단위의 내부 감사를 예약하십시오.
2026년 중반에 시작하는 팀은 충분한 여유 시간을 가질 수 있습니다. 4분기까지 기다리는 팀은 서둘러야 할 것이며, 특히 엔터프라이즈 규모에서 통상 60일에서 90일이 소요되는 벤더 계약 수정 주기를 고려할 때 더욱 그렇습니다.
회계 장부만큼 투명하게 컴플라이언스 기록을 관리하십시오
ADMT 재고를 매핑하든, 부정적인 결과 공시를 추적하든, 아니면 법무장관 조사관이 요청할 수 있는 감사 방어용 문서 파일을 구축하든, 재무 기록과 마찬가지로 컴플라이언스 기록에도 동일한 원칙이 적용됩니다. 형식보다 중요한 것은 투명성, 버전 관리, 그리고 특정 시점의 수치를 재구성할 수 있는 능력입니다. Beancount.io는 블랙박스나 벤더 종속 없이 재무 데이터에 대한 완전한 가시성을 제공하는 텍스트 기반 회계를 제공합니다. 무료로 시작하기를 통해 개발자, 재무 팀 및 컴플라이언스를 중시하는 운영자들이 왜 텍스트 기반 회계로 전환하고 있는지 확인해 보십시오.
출처: