트럼프가 AI 행정명령에 서명했어 — '프런티어 모델, 출시 30일 전에 정부가 먼저 보자'·사이버 벤치마킹은 자발적으로

정부가 '가장 강한 AI를 일반 공개 전에 먼저 보겠다'고 손을 들었어

6월 2일, 트럼프가 'Promoting Advanced Artificial Intelligence Innovation and Security'라는 긴 이름의 행정명령(EO)에 서명했어. 한 줄로 요약하면 이거야. "세계에서 제일 강력한 AI를 만드는 회사들아, 그거 일반에 공개하기 최대 30일 전에 연방정부한테 먼저 좀 보여줘." 강제는 아니고 '자발적(voluntary)' 협력 요청이야. 근데 이게 왜 톱뉴스냐면, 미국 정부가 처음으로 '프런티어 모델을 출시 전에 들여다보겠다'는 의사를 공식 문서로 박아 넣었기 때문이야.

재밌는 건 서명 과정이야. 원래 트럼프는 저명한 테크 CEO들 불러서 카메라 앞에서 화려하게 서명하려고 했어. 근데 명령서 일부 조항이 맘에 안 든다며 그 공개 서명식을 한 번 미뤘고, 결국 비공개로 조용히 사인했어. 정책을 둘러싼 백악관 내부, 그리고 업계와의 신경전이 그대로 드러난 장면이야. 'AI는 미국이 이겨야 한다'는 혁신 가속 기조와 '그래도 제일 센 모델은 안전하게 관리해야 한다'는 안보 기조가 한 문서 안에서 부딪힌 거지.

핵심 메커니즘은 세 개야. 첫째, 정부가 모델의 '고도 사이버 역량(advanced cyber capabilities)'을 평가하는 벤치마킹 절차를 새로 만들어. 둘째, 그 기준을 통과한 모델을 'covered frontier model'로 분류해. 셋째, 자발적으로 참여하는 개발사는 정부와 함께 '신뢰할 수 있는 파트너(trusted partners)'를 골라서, 이들한테 covered 모델에 대한 조기 접근권을 줘. 목적은 핵심 인프라 사이버보안을 강화하는 거야. 라이선스도, 사전 승인 의무도 없어 — 그래서 '규제'보다는 '협력 프레임워크'에 가까워.

주인공 소개 — 백악관, 프런티어 랩, 그리고 '사이버 역량'이라는 새 잣대

이 명령의 발신자는 백악관이야. 트럼프 행정부는 출범 초부터 'AI 탈규제·혁신 가속'을 외쳐왔어. 바이든 시절의 까다로운 AI 안전 행정명령을 걷어내고 '미국 우선 AI 패권'을 밀던 흐름이었지. 그런 행정부가 이번엔 정반대 결의 카드를 꺼냈어. 완전 자유방임이 아니라, '제일 센 모델만큼은 정부가 미리 본다'는 안전장치를 자발적 형태로 끼워 넣은 거야. 규제는 싫지만 안보 리스크는 무시 못 하는, 그 사이의 줄타기라고 보면 돼.

수신자는 프런티어 AI 랩들이야. OpenAI, 앤트로픽, 구글 딥마인드, xAI, 메타처럼 가장 앞선 대규모 모델을 만드는 회사들. 이들이 만드는 모델이 곧 'covered frontier model' 후보가 돼. 자발적이라곤 해도, 사실상 백악관이 '같이 하자'고 손 내미는 거라 이 회사들 입장에선 마냥 무시하기 어려운 초대장이야. 참여하면 정부와의 관계·핵심 인프라 시장에서 유리해지고, 빠지면 '안보에 비협조적'이라는 정치적 부담을 질 수 있거든.

이번 명령에서 가장 눈여겨볼 새 잣대는 **'고도 사이버 역량'**이야. 모델이 얼마나 똑똑한지(지능)나 얼마나 큰지(파라미터)가 아니라, '사이버 공격·방어에 얼마나 쓸 수 있느냐'를 기준으로 프런티어 모델을 가른다는 거야. 즉 정부가 신경 쓰는 핵심은 '이 AI가 해킹 도구가 될 수 있나, 아니면 핵심 인프라를 지키는 방패가 될 수 있나'인 거지. 로펌들(WilmerHale, A&O Shearman, Wiley)도 이 명령을 '사이버보안 거버넌스'와 '프런티어 모델 거버넌스'가 합쳐진 신호로 읽었어.

핵심 내용 — '30일'과 '자발적'이라는 두 단어를 뜯어보면

가장 많이 인용된 숫자가 **'최대 30일'**이야. 참여 기업은 모델을 일반에 풀기 최대 한 달 전에 정부한테 조기 접근을 줘. 이 한 달 동안 정부는 벤치마킹을 돌려서 사이버 역량을 평가하고, 위험하다 싶으면 대응을 준비할 시간을 벌어. 핵심은 '출시를 막는' 게 아니라 '출시 전에 미리 본다'는 거야. 모델을 멈춰 세우는 권한이 아니라, 먼저 알 권리에 가까워. 그래서 업계도 '라이선스 의무화'보다는 훨씬 받아들이기 쉬운 형태로 평가해.

두 번째 키워드는 **'자발적(voluntary)'**이야. 이 EO는 신규 모델에 대한 정부 라이선스나 사전 승인을 의무화하지 않아. 안 하면 처벌받는 구조가 아니라, '같이 하실 분?' 하고 손 드는 방식이야. 왜 이렇게 했냐면, 강제 규제는 (1) 의회 입법 없이 행정명령만으로 밀어붙이기엔 법적 근거가 약하고, (2) 트럼프 행정부의 '탈규제' 기조랑 정면충돌하거든. 그래서 강제 대신 '인센티브로 끌어들이는' 자발적 프레임워크를 택한 거야. 참여하면 trusted partner 선정, 핵심 인프라 보안 협력 같은 당근이 따라와.

세 번째는 'trusted partners' 구조야. 참여 개발사는 정부와 함께 조기 접근권을 줄 신뢰 파트너를 선정해. 이게 사실상 '프런티어 모델 → 정부 + 검증된 핵심 인프라 사업자'로 흘러가는 새 유통 경로를 만드는 거야. 가장 센 AI가 일반 대중보다 먼저 특정 그룹(정부·전력망·금융·통신 같은 핵심 인프라 운영자)한테 닿는 길이 생기는 거지.

항목	내용	성격
조기 접근 시점	일반 공개 최대 30일 전	사전 검토
평가 기준	모델의 '고도 사이버 역량' 벤치마킹	신설 절차
분류	통과 모델 = 'covered frontier model'	새 카테고리
참여 방식	자발적, 라이선스·사전승인 의무 없음	비강제
접근 대상	정부 + 'trusted partners'	핵심 인프라

각자의 이득 — 정부도, 랩도, 핵심 인프라도 챙길 게 있어

정부 입장에선 명분과 실리를 둘 다 챙겨. 명분은 '미국이 가장 앞선 AI를 안보 관점에서 선제적으로 본다'는 거고, 실리는 '핵심 인프라를 노리는 사이버 위협에 한 달 먼저 대비할 시간'이야. 규제를 새로 입법하는 정치적 비용 없이, 행정명령 한 장으로 프런티어 모델에 대한 '가시성'을 확보한 셈이지. 강제가 아니라 자발이라 업계 반발도 최소화했고.

프런티어 랩 입장에선 양면적이야. 부담은 분명히 있어. 출시 30일 전에 정부한테 모델을 까야 하면, 경쟁 일정·기밀 관리가 더 복잡해지거든. 근데 잘 쓰면 기회야. 정부와 보안 협력 관계를 맺으면 핵심 인프라(국방·에너지·금융) 시장에 들어갈 명함이 생기고, '우리 모델은 정부 검증을 거친 안전한 프런티어'라는 마케팅 포인트도 챙겨. 자발적이라 '안 하면 그만'처럼 보이지만, 안 하는 회사는 '비협조적'이라는 정치적 꼬리표를 감수해야 해.

핵심 인프라 사업자 입장에선 거의 순수한 이득이야. 전력망·통신·금융처럼 사이버 공격의 1순위 타깃인 곳들이, 가장 강력한 AI를 일반보다 먼저 받아서 방어에 쓸 수 있게 되거든. 공격자가 그 모델을 손에 넣기 전에 방어자가 먼저 무장하는 그림이야. trusted partner로 뽑히면 사실상 '국가 사이버 방어망'의 일부가 되는 거지.

과거 유사 사례 — '자발적 안전 합의'는 성공도 실패도 있었어

정부와 AI 기업이 '강제 아닌 자발적' 형태로 안전을 약속한 사례는 이미 있었어. 결과는 엇갈렸어.

부분 성공 — 2023년 백악관 자발적 약속. 바이든 행정부 시절, OpenAI·구글·앤트로픽·메타 등 주요 랩들이 백악관과 '모델을 출시 전에 레드팀 테스트하고, 워터마킹을 도입한다'는 자발적 약속을 했어. 강제력은 없었지만, 업계 표준을 만드는 출발점은 됐어. 이번 EO도 그 계보를 잇는데, 다르게 손본 부분이 있어 — '레드팀'이라는 모호한 표현 대신 '사이버 역량 벤치마킹'이라는 더 구체적인 잣대를 박았고, '출시 30일 전'이라는 시점을 못 박았다는 점이야. 추상적 약속에서 측정 가능한 절차로 한 발 나간 거지.

경고 사례 — 자율규제의 한계. 금융·소셜미디어 역사를 보면, '자발적 약속'이 위기 앞에서 쉽게 무너진 전례가 많아. 인센티브가 충분하지 않거나 경쟁이 치열하면, 기업은 약속보다 출시 속도를 택하기 마련이거든. 이번 EO도 똑같은 약점을 안고 있어. 자발적이라 법적 강제력이 없고, 정권이 바뀌거나 경쟁이 과열되면 '먼저 내놓는 쪽이 이긴다'는 압력에 밀려 유명무실해질 수 있어. '30일 먼저 보여줘'가 실제로 지켜지느냐는, 결국 기업이 그걸 지킬 이유를 충분히 느끼느냐에 달렸어.

대비되는 길 — EU·한국의 강제 규제. 반대편엔 EU AI Act나 한국 AI 기본법처럼 법으로 의무를 박는 모델이 있어. 미국은 이번에도 '강제 입법'이 아니라 '자발적 협력'을 택했어. 빠르고 유연하지만 구속력이 약하고, 유럽식은 느리고 뻣뻣하지만 확실하지. 어느 쪽이 'AI 안전'이라는 목표에 더 잘 닿을지는 앞으로 몇 년이 증명할 숙제야.

경쟁자 카운터 플레이 — 의회, 주정부, 그리고 해외는 어떻게 받아칠까

먼저 의회가 변수야. 행정명령은 대통령이 펜 하나로 만들고 다음 정권이 펜 하나로 지울 수 있어. 그래서 'AI 안전을 진짜로 박으려면 법으로 해야 한다'는 목소리가 의회에서 다시 커질 수 있어. 반대로 'EO조차 과하다, 혁신을 옥죈다'는 탈규제 진영의 반발도 동시에 나올 거야. 이번 EO는 양쪽 모두를 자극하는, 정치적으로 한가운데 놓인 카드야.

주정부도 움직일 거야. 캘리포니아처럼 자체 AI 안전법을 밀던 주들은, 연방의 '느슨한 자발적' 접근으로는 부족하다며 더 강한 주법을 추진할 수 있어. 그러면 기업은 연방의 자발적 기준과 주별 강제 기준을 동시에 맞춰야 하는 '규제 누더기'를 마주하게 돼. 연방 차원의 명확한 입법이 없으면, 이 파편화는 더 심해질 가능성이 커.

해외, 특히 중국은 이걸 전혀 다르게 받아들일 거야. 미국 정부가 자국 프런티어 모델을 '출시 전에 먼저 본다'는 건, AI를 명백히 '국가 안보 자산'으로 다루기 시작했다는 신호거든. 이건 같은 날 흐름인 'AI 칩 수출통제 강화'와 한 세트로 읽혀. 중국은 자체 모델 생태계를 더 빠르게 키우고, 미국의 '안보화' 행보를 명분 삼아 자국 규제·국산화를 정당화할 거야. AI 거버넌스가 점점 더 지정학의 언어로 번역되는 거지.

그래서 뭐가 달라지는데 — 페르소나별로

AI 모델을 만드는 회사·연구자라면, 이번 EO는 '출시 프로세스에 정부 단계가 끼어들 수 있다'는 신호야. 당장 강제는 아니지만, 프런티어급 모델을 만든다면 '사이버 역량 평가'라는 새 검증 단계를 미리 염두에 두는 게 좋아. 특히 정부·핵심 인프라 시장을 노린다면, 이 자발적 프레임워크 참여가 진입 티켓이 될 수 있어. 반대로 순수 상용·소비자 제품만 한다면 단기 영향은 제한적이야.

보안·인프라 업계에 있다면, 이건 기회의 신호야. 'covered frontier model'을 핵심 인프라 방어에 쓰는 새 시장이 열리는 거니까. 가장 강력한 AI를 일반보다 먼저 받아 사이버 방어에 적용하는 'trusted partner' 자리는, 사실상 국가 보안 생태계의 일부가 되는 거야. 보안 솔루션·컨설팅·MSSP 쪽은 이 흐름에 미리 포지셔닝해둘 만해.

정책·규제를 지켜보는 사람이라면, 핵심은 이거야. 미국이 'AI 안전'을 강제 규제가 아니라 '자발적 협력 + 안보 프레임'으로 접근하기로 했다는 거. 이건 EU·한국식 법제화와 뚜렷이 갈리는 길이고, 앞으로 글로벌 AI 거버넌스가 '강제 vs 자발' 두 모델로 나뉘어 경쟁할 거라는 예고편이야. 그리고 자발적 약속이 실제로 지켜지는지, 정권이 바뀌어도 살아남는지가 이 실험의 진짜 시험대가 될 거야.

참고 자료

• The White House — Promoting Advanced Artificial Intelligence Innovation and Security (Presidential Actions)
• Trump signs AI executive order asking companies to give government early access to models — CNBC
• New Executive Order Addressing Early Government Access to Frontier AI Models — WilmerHale
• Executive order sets voluntary cyber reviews for advanced AI — Roll Call
• US order seeks 30-day frontier model access before public release — Interesting Engineering