EU AI Act가 감사 기술에 미치는 영향: 2026년까지 준비해야 할 사항

EU AI Act의 감사 기술 적용 범위

먼저 AI Act가 뭐가 아닌지부터 정리한다. 모든 자동화 도구를 규제하는 법이 아니다. 머신러닝이나 신경망처럼 학습 기반 시스템을 대상으로 위험 수준에 따라 의무를 부과하는 법이다.

EU AI Act는 AI 시스템을 위험 수준으로 분류한다. 감사 기술 상당수가 "고위험" 카테고리에 들어갈 가능성이 높다. Annex III의 분류 기준에 따르면 신용평가나 개인 신용도 평가에 쓰이는 AI 시스템이 고위험이다. 재무제표 감사에서 쓰는 채무불이행 모델링, 계속기업 평가 도구, 부정 위험 분석 소프트웨어에도 같은 기준이 걸린다.

제16조는 고위험 AI 시스템 사용자에게 세 가지를 지정했다가 최근 논의에서 두 가지 핵심으로 정리됐다. 시스템이 의도된 목적대로 쓰이도록 보장하고, 인간의 감독을 유지하는 것이다. 감사 맥락에서 이는 AI 도구의 출력을 그대로 조서에 옮기지 않고 전문가적 판단을 유지한다는 뜻이다.

제26조에 따른 투명성 의무도 걸린다. AI 시스템과 상호작용하는 자연인에게 해당 시스템이 AI임을 명확히 알려야 한다. 클라이언트와의 미팅에서 AI 기반 위험 평가나 표본 선택 결과를 제시할 때 이를 명시해야 한다.

고위험 분류와 감사 도구

현재 감사법인에서 쓰는 도구 중 고위험으로 분류될 가능성이 높은 것들을 본다.

확실한 고위험 분류: - 신용 위험 모델링 소프트웨어 (ECL 계산, 부도 확률 추정) - 부정 위험 분석 도구 (이상 거래 탐지, 행동 패턴 분석) - 자동화된 계속기업 평가 시스템 - AI 기반 내부통제 테스트 도구

분류 불확실한 영역: - 일반적인 데이터 분석 소프트웨어 (Tableau, Power BI의 AI 기능) - 문서 OCR 및 자동 분류 시스템 - 표본 선택 알고리즘 (전통적 통계적 방법은 제외)

EU Commission의 해석 지침에 따르면 단순한 자동화나 규칙 기반 시스템은 AI Act 적용 범위에서 빠진다. 머신러닝이나 신경망을 쓰는 시스템은 들어간다.

고위험 분류를 받은 시스템의 공급업체는 제10조에 따라 적합성 평가를 완료하고 CE 마킹을 부착해야 한다. 사용자인 감사법인은 제16조에 따라 적절한 인간 감독을 보장하고 시스템의 한계를 이해해야 한다.

실무 예시: 한국감사회계법인의 대응 사례

현장에서는 이론보다 목록 작성이 먼저 걸린다. 아래 사례는 로컬 법인 기준이다. 빅펌은 테크 인프라팀이 전담하지만 로컬은 품관실이 본업 옆에서 돌린다.

한국감사회계법인 (가명)은 2025년 상반기부터 EU AI Act 준비를 시작했다. 이 법인은 총 직원 85명으로 중견 회계법인에 해당하며, 연간 감사보수 약 120억 원을 기록하고 있다.

1단계: 현재 사용 기술 목록 작성 조서 문서: "AI 시스템 인벤토리 2025"

법인은 다음 도구들을 식별했다: - FraudDetect Pro (부정 위험 분석) - CreditScope Analytics (신용 위험 모델링) - DocScan AI (계약서 자동 검토) - RiskMatrix 3.0 (통합 위험 평가)

2단계: 고위험 분류 평가 조서 문서: "AI Act 위험 분류 매트릭스"

FraudDetect Pro와 CreditScope Analytics는 Annex III 기준에 따라 고위험으로 분류되었다. DocScan AI는 단순 OCR 기능으로 제외, RiskMatrix 3.0은 머신러닝 요소로 인해 고위험 분류를 받았다.

3단계: 공급업체 실사 및 계약 수정 조서 문서: "공급업체 AI Act 준수 확인서"

각 고위험 시스템 공급업체에게 CE 마킹 계획과 적합성 평가 일정을 확인했다. 계약서에 AI Act 준수 조항과 비준수 시 해지 권한을 추가했다. 솔직히 여기서 막힌 공급업체가 절반 이상이었다. 기대와 다르게 "CE 마킹이 뭔가요"를 되묻는 업체도 있었다.

결론: 이 법인은 2025년 12월까지 모든 준비를 완료할 예정이며, 총 비용은 약 3,500만 원으로 추산된다.

2026년까지의 준비 체크리스트

다음 단계를 현재 진행 중인 감사업무에 바로 적용할 수 있다:

1. 현재 쓰는 모든 AI 기반 도구의 목록을 작성한다. 제9조에 따른 위험 관리 시스템의 첫 단계다.

2. 각 도구에 대해 공급업체에게 AI Act 준수 계획을 서면으로 요청한다. CE 마킹 일정과 적합성 평가 진행 상황을 확인한다.

3. 고위험으로 분류될 가능성이 높은 시스템에 대해 인간 감독 절차를 조서에 남긴다. 제16조(d)에 따른 요구사항이다.

4. 클라이언트 미팅에서 AI 도구 사용 시 투명성 의무를 지킨다. 제26조에 따라 AI 시스템 사용을 명시한다.

5. 대체 도구나 수동 절차에 대한 백업 계획을 세운다. 공급업체가 준수하지 못할 경우를 대비한다.

6. 가장 중요한 것은 전문가적 판단을 유지하는 것이다. AI 출력을 맹신하지 말고 감사기준서 315.18에 따른 위험 평가 책임을 진다.

공급업체 실사 가이드라인

AI Act 준수를 위한 공급업체 실사 시 다음 사항을 확인한다:

CE 마킹 및 적합성 평가: - 제10조에 따른 적합성 평가 완료 계획 - Notified Body 지정 및 평가 일정 - CE 마킹 부착 예정일

기술 문서 및 투명성: - 제11조에 따른 기술 문서 제공 여부 - 시스템의 한계와 정확도에 대한 명시 - 사용자 지침 및 감독 요구사항

이 실사는 현재 진행 중인 모든 감사에서 쓰는 도구에 적용되어야 한다. 2026년 2월 이후 비준수 도구 사용은 법적 위험이 따라붙는다.