태국 중앙은행(BOT)이 2025년 9월 금융 서비스 제공 기관 전체를 대상으로 AI 리스크 관리 지침을 공식 확정·시행했다. FEAT 원칙(공정성·윤리·책임·투명성)에 기반한 이번 지침은 AI 거버넌스 체계 구축과 생애주기 전반의 통제 의무를 금융기관에 부과하며, 아세안 지역 금융 AI 규제의 새로운 기준점이 될 것으로 전망된다.
■ 규제 영향: 은행·핀테크 전 분야 의무 적용, 이사회 역할 명문화
이번 지침은 태국 내 상업은행(내·외국계 포함), 특수금융기관, 결제 서비스 제공사, 인가 핀테크 기업 등 BOT 감독 하의 모든 금융 주체에 강제 적용된다. 지침은 크게 두 축으로 구성된다. 첫째, ‘AI 거버넌스’ 축은 이사회가 AI 리스크 수용 범위와 정책을 직접 승인하도록 의무화하며 명확한 보고 체계와 에스컬레이션 절차 수립을 요구한다. 둘째, ‘AI 시스템 개발·보안 통제’ 축은 데이터 품질 관리, 모델 개발·검증, 배포 전 테스트, 지속적 성능 모니터링을 포함하며 제3자 AI 툴에도 동일한 기준이 적용된다. 기관의 규모와 AI 활용 범위에 따라 이행 수준은 비례적으로 조정되나, 기본 거버넌스 체계 마련은 모든 기관에 공통 의무다.
■ 컴플라이언스 요건: 5단계 이행 로드맵과 공정성 모니터링 의무
금융기관은 다섯 단계의 이행 체계를 갖춰야 한다. ①이사회 수준의 AI 감독 체계 수립 및 리스크 정책 승인, ②자체 개발·외부 도입 AI 시스템 전수 목록화 및 위험도 분류, ③데이터 거버넌스·모델 개발·배포·폐기 전 주기 통제 절차 마련, ④신용 평가·대출 심사·보험 요율 책정 등 고위험 AI 영역에서 인구통계학적 편향 모니터링 시행, ⑤AI 공급업체에 대한 실사, 계약상 보호 조항, 비상 대응 계획 수립이 그것이다. 특히 고객이 AI 결정에 이의를 제기할 수 있는 메커니즘 마련도 명시적 요구사항에 포함된다. 태국 개인정보보호법(PDPA)과의 연계 준수 역시 필수다.
■ 업계 대응: 역내 규제 공조 흐름 속 선제적 체계 구축 요구
싱가포르 MAS(2025년 11월 초안), 말레이시아 BNM(2025년 8월 초안), 인도네시아 OJK(2025년 12월 의무화)가 유사한 FEAT 기반 AI 규제를 잇따라 내놓으며 아세안 전역에서 금융 AI 거버넌스 표준화가 가속화되고 있다. BOT 지침은 이 중 가장 먼저 최종 확정된 사례로, 아세안 역내 금융사들은 단일 국가 대응을 넘어 통합 AI 거버넌스 아키텍처를 선제적으로 구축해야 하는 상황에 놓였다. 국내 금융사들 역시 아세안 시장 진출 시 이 지침의 적용 여부를 면밀히 검토해야 한다.
■ 국제 동향: FEAT 기반 아세안 금융 AI 규제 표준화 가속
BOT 지침은 싱가포르 FEAT 프레임워크를 직접 준용하며, 아세안 AI 거버넌스 가이드의 지역 표준과도 부합한다. 생성형 AI(GenAI) 관련 구체적 조항은 싱가포르의 ‘프로젝트 마인드포지(MindForge)’에 비해 제한적이나, 제3자 AI 관리와 공정성 모니터링 요건은 역내 최고 수준으로 평가된다. 금융 AI 규제가 권고에서 의무로 전환되는 글로벌 흐름 속에서, BOT의 선제적 규제 확정은 아세안 금융 AI 감독의 새로운 벤치마크로 자리매김하고 있다.
