AI 규제의 내부 배포 공백

Internal Deployment Gaps in AI Regulation

프런티어 AI 규제는 주로 배포 과정이 가시적이고 외부의 감시를 받기 쉬운, 외부 사용자 대상의 시스템에 초점을 맞추고 있다. 그러나 기업이 R&D 자동화, 핵심 비즈니스 프로세스 가속화, 민감한 독점 데이터 처리 등을 위해 조직 내에 고성능 시스템을 배포할 때 내부적으로도 중대한 활용 사례가 발생할 수 있다. 본 논문은 2025년 미국과 유럽연합(EU)의 프런티어 AI 규제가 내부 배포를 어떻게 다루는지 고찰한다. 우리는 내부 배포 시스템이 의도된 감독을 회피하게 만들 수 있는 세 가지 공백을 식별한다. (1) 내부 시스템이 규제 의무를 피할 수 있게 하는 적용 범위의 모호성, (2) 내부 시스템의 지속적인 진화를 포착하지 못하는 특정 시점 중심의 규정 준수 평가, (3) 규제 기관의 인식과 감독을 무력화하는 정보 비대칭성이 그것이다. 이어 우리는 측정 가능성, 인센티브, 정보 접근성을 둘러싼 긴장 관계를 검토하며 이러한 공백이 지속되는 이유를 분석한다. 마지막으로, 이를 해결하기 위한 잠재적 접근 방식과 그에 따른 상충 관계를 제시한다. 이러한 패턴을 이해함으로써, 내부 배포 AI 시스템에 대한 정책적 선택이 우발적인 결과가 아니라 의도적인 결정으로 이루어지기를 기대한다.

Frontier AI regulations primarily focus on systems deployed to external users, where deployment is more visible and subject to outside scrutiny. However, high-stakes applications can occur internally when companies deploy highly capable systems within their own organizations, such as for automating R&D, accelerating critical business processes, and handling sensitive proprietary data. This paper examines how frontier AI regulations in the United States and European Union in 2025 handle internal deployment. We identify three gaps that could cause internally-deployed systems to evade intended oversight: (1) scope ambiguity that allows internal systems to evade regulatory obligations, (2) point-in-time compliance assessments that fail to capture the continuous evolution of internal systems, and (3) information asymmetries that subvert regulatory awareness and oversight. We then analyze why these gaps persist, examining tensions around measurability, incentives, and information access. Finally, we map potential approaches to address them and their associated tradeoffs. By understanding these patterns, we hope that policy choices around internally deployed AI systems can be made deliberately rather than incidentally.