California가 AI 조달 인증을 무기로 꺼냈다, Trump의 허점을 파고든 Newsom의 전략

3월 30일, California 주지사 Gavin Newsom이 Executive Order N-5-26에 서명했습니다. 캘리포니아주와 계약하려는 AI 기업에 안전성 인증을 의무화하고, 미국 최초의 AI 콘텐츠 워터마크 가이드라인을 도입하는 행정명령입니다. 이 행정명령이 주목받는 이유는 단순히 "캘리포니아가 AI를 규제한다"는 사실 때문이 아닙니다. Trump 행정부가 스스로 열어둔 문을 정확히 통과했기 때문입니다.

Trump는 2025년 12월, 주(state) AI 법을 무력화하겠다는 연방 행정명령을 내렸습니다. 하지만 그 명령에는 명시적 면제 조항이 있었습니다. 바로 "주정부 조달 및 AI 사용". Newsom은 이 허점을 파고들었습니다. 사기업에 의무를 부과하는 "규제"가 아니라, 주정부 계약의 "구매 조건"으로 프레이밍한 것입니다. 법적으로 도전하기 매우 까다로운 구조입니다.

"캘리포니아는 AI를 선도하고 있으며, 기업들이 사람들의 권리를 보호하도록 우리가 가진 모든 도구를 사용할 것입니다."

(원문: "California leads in AI, and we're going to use every tool we have to ensure companies protect people's rights, not exploit them or put them in harm's way.") — Gavin Newsom, California 주지사

배경: 연방 선점이라는 칼과 그 한계

이 행정명령을 이해하려면, 먼저 Trump 행정부가 쌓아온 벽을 알아야 합니다.

2025년 12월 11일, Trump 대통령은 "Ensuring a National Policy Framework for Artificial Intelligence"라는 제목의 행정명령에 서명했습니다. 핵심은 네 가지였습니다. 법무장관이 AI 소송 태스크포스를 설립하여 연방 정책과 충돌하는 주 AI 법을 제소하고, FCC가 주법을 선점하는 연방 AI 보고/공개 표준을 도입하며, AI 법률을 제정한 주에 대해 특정 연방 자금 접근을 제한하고, Biden 시대의 AI 안전 조치(레드팀 테스트, 보고 요건 등)를 폐기하는 것이었습니다.

Trump 행정부의 입장은 명확했습니다.

"과도한 주 규제는 미국의 AI 리더십을 방해합니다."

(원문: "excessive state regulation thwarts" American AI leadership)

하지만 여기에 결정적인 약점이 있었습니다. 행정명령은 법률이 아닙니다. 연방 선점(federal preemption)은 의회 입법 또는 법원 판결을 통해서만 확립됩니다. Paul Hastings, Ropes & Gray, Goodwin, Gibson Dunn 등 주요 로펌들이 이 점을 일제히 지적했습니다. NPR은 아예 "Trump is trying to preempt state AI laws via an executive order. It may not be legal"이라는 제목으로 보도했습니다. 의회가 관련 법률을 통과시키지 않는 한, 주들은 독자적 AI 규제를 계속할 수 있다는 것이 법률 전문가들의 공통 결론이었습니다.

그리고 Trump 행정명령에는 또 하나의 빈틈이 있었습니다. 명시적 면제(carve-out) 조항입니다. 아동 안전 보호, AI 컴퓨팅 인프라, 그리고 주정부 조달 및 AI 사용이 면제 대상이었습니다. Newsom은 이 세 번째 면제를 정확히 겨냥했습니다.

핵심 내용 분석: "규제가 아닌 구매 조건"의 구조

AI 조달 인증, 120일 안에 증명하라

행정명령의 중심축은 AI 조달 인증 제도입니다. Department of General Services, California Department of Technology, Government Operations Agency가 공동으로 120일 이내에 구속력 있는 조달 규칙을 확정해야 합니다.

캘리포니아주와 AI 관련 계약을 맺으려는 기업은 네 가지 영역에서 정책과 안전장치를 증명(attest)하고 설명해야 합니다.

첫째, 불법 콘텐츠 방지입니다. 아동 성 학대 물질(CSAM), 비동의 성적 이미지 등 불법 콘텐츠의 배포를 막는 체계를 갖추고 있는지 증명해야 합니다. 둘째, 편향과 차별 방지입니다. 알고리즘 편향을 완화하고 공정한 결과를 촉진하는 프레임워크가 필요합니다. 셋째, 시민권과 자유 보호입니다. 표현의 자유, 투표권, 불법 차별, 감시로부터의 보호를 다뤄야 합니다. 넷째, 보안과 프라이버시입니다. 보안 위협 및 데이터 악용 방지 체계가 요구됩니다.

여기서 핵심은 불이행의 결과입니다. 벌금이나 법적 처벌이 아닙니다. 주정부 계약에서 배제됩니다. 이것이 "규제"가 아닌 "조달"이라는 프레이밍의 본질입니다. 주정부는 누구와 계약할지 결정할 주권적 권한을 가지며, 연방 정부가 이를 쉽게 도전할 수 없습니다.

추가로, 사법적으로 프라이버시 또는 시민적 자유를 불법적으로 훼손한 것으로 판정된 기업을 배제하는 개혁안도 권고하도록 지시했습니다. 이 조항은 뒤에서 다룰 Anthropic-Pentagon 분쟁과 직접 연결됩니다.

미국 최초 AI 워터마크 가이드라인

California Department of Technology(CDT)가 AI 생성 이미지 및 조작된 동영상에 대한 워터마킹 모범 사례를 개발하도록 지시받았습니다. 적용 범위는 주 정부 기관이 사용하는 콘텐츠이며, 허위 정보 감소와 투명성 강화가 목적입니다.

기술 사양은 아직 확정되지 않았습니다. 120일 내 기관 가이드라인으로 구체화될 예정이며, C2PA 등 기존 워터마킹 표준과의 연계 가능성이 있습니다. "미국 최초의 정부 차원 AI 워터마크 표준"이라는 타이틀을 달게 된 것은 분명합니다.

공급망 독립 조항, Anthropic 방패

이 행정명령에서 가장 정치적으로 날카로운 부분은 공급망 독립 조항입니다. 캘리포니아가 연방 판정과 독립적으로 위험 평가를 수행할 수 있도록 허용하며, CDT의 State Chief Information Security Officer가 새로운 연방 기업 지정을 검토하도록 지시합니다.

이 조항의 배경에는 Anthropic-Pentagon 분쟁이 있습니다. 2026년 2월, 국방장관 Hegseth가 Anthropic을 "공급망 위험"으로 지정했습니다. Anthropic이 자율무기 및 대규모 감시에 대한 Claude AI 사용 제한을 철회하지 않았기 때문입니다. 3월 9일 Anthropic이 Pentagon을 제소했고, 3월 26일 연방 지방법원 판사 Rita Lin이 예비적 금지명령을 발부했습니다.

판사 Lin의 판결문에서 나온 표현은 이 분쟁의 본질을 압축합니다.

"미국 기업이 정부와의 의견 불일치를 표명했다는 이유로 잠재적 적대자이자 파괴공작원으로 낙인찍힐 수 있다는 오웰리언적 개념을 뒷받침하는 것은 관련 법률 어디에도 없습니다."

(원문: "Nothing in the governing statute supports the Orwellian notion that an American company may be branded a potential adversary and saboteur of the U.S. for expressing disagreement with the government") — 판사 Rita Lin, 43페이지 판결문에서

캘리포니아의 공급망 독립 조항은 이런 연방의 보복적 지정으로부터 AI 벤더를 보호하는 방패 역할을 합니다. 보안 위협이 아닌 정책 분쟁으로 인한 연방 배제에 대해, 캘리포니아가 독자적으로 판단할 수 있는 것입니다.

기존 California AI 법률 생태계와의 시너지

이 행정명령은 독립적으로 작동하지 않습니다. 2026년 1월 1일 발효된 캘리포니아 AI 법률 위에 "조달 이빨(procurement teeth)"을 더한 것입니다.

SB 53(Transparency in Frontier AI Act)은 연매출 $5억 이상 대형 AI 개발사에 안전 프레임워크 공개, 투명성 보고, 중대 안전 사고 15일 내 보고를 의무화합니다. 위반 시 건당 최대 $100만 벌금입니다. AB 2013은 생성형 AI 훈련 데이터 출처 문서화를 의무화했고, AB 621은 비동의 성적 딥페이크에 대한 민사 구제를 손해배상 $250,000까지 확대했습니다. SB 243은 AI 챗봇이 미성년자에게 실제 사람이 아님을 고지하고 자해를 조장하지 못하도록 했으며, SB 524는 법 집행 기관의 AI 사용 시 경찰 보고서에 공개를 의무화합니다.

Newsom의 행정명령은 이 법률들이 요구하는 것을 주정부 계약의 전제 조건으로 끌어올린 셈입니다. 법률 위반이 아니라 계약 배제라는 시장 기반 제재를 더한 것이죠.

실무 영향: 세계 4위 경제의 구매력이 만드는 "사실상의 표준"

이 행정명령이 단순한 지방 정치가 아닌 이유는 숫자가 말해줍니다. 미국 Top 50 비상장 AI 기업 중 33개가 캘리포니아에 본사를 두고 있습니다. 2024년 3분기부터 2025년 2분기까지 Bay Area는 미국 AI 스타트업 펀딩의 51%를 차지했습니다. New York이 11%, Boston이 5.5%입니다. 2025년 Bay Area AI 펀딩 총액은 $1,220억을 넘었습니다. 캘리포니아 경제는 독립 국가로 따지면 세계 4위 규모입니다.

Counterpoint Research의 Neil Shah는 이 상황을 명확하게 정리합니다.

"캘리포니아는 본질적으로 조달, 안전, 윤리에 있어 AI의 사실상의(de facto) 표준을 위한 벤치마크를 설정하려 합니다."

(원문: "California essentially wants to set a benchmark for de facto AI standards when it comes to procurement, safety, and ethics") — Neil Shah, Counterpoint Research

기존에 AI 조달 결정의 핵심 변수는 두 가지였습니다. 가동시간(uptime)과 가격. 이제 AI 안전과 윤리가 세 번째 벡터로 추가됩니다. 이것은 근본적인 변화입니다.

그렇다면 기업별로 어떤 영향을 받게 될까요?

대형 AI 기업(Amazon/AWS, Google, Microsoft 등)은 이미 상당한 규정 준수 인프라를 갖추고 있어 120일 내 인증을 받는 데 큰 어려움이 없을 것입니다. 오히려 캘리포니아 인증이 다른 주나 국가의 조달에서 신뢰도를 높이는 경쟁 우위가 될 수 있습니다. Anthropic의 경우, 공급망 독립 조항의 직접적 수혜자입니다.

소규모 AI 벤더와 스타트업에게는 이야기가 다릅니다. 인증 요건 충족을 위한 추가적인 규정 준수 부담이 발생합니다. 하지만 Neil Shah의 분석처럼, 한번 인증을 받으면 그것이 강력한 선례가 됩니다.

"이것은 '캘리포니아 인증'을 받기 위한 더 큰 규정 준수 부담을 야기할 수 있습니다. 하지만 일단 증명되면 강력한 선례도 만듭니다."

(원문: "However, once proven, it also sets a strong precedent") — Neil Shah, Counterpoint Research

핵심은 이것입니다. 캘리포니아가 "이 기업은 안전합니다"라고 인증한다면, 다른 40개 주가 그 판단을 참고하지 않을 이유가 있을까요? 세계 4위 경제체의 구매 결정은 자연스럽게 산업 표준이 됩니다.

다른 주들은 어떻게 움직이고 있는가

캘리포니아만 AI 규제에 나선 것은 아닙니다. 2026년 현재 100개 이상의 주 AI 법이 연방의 반대에도 불구하고 통과되었습니다. 하지만 접근법은 주마다 크게 다릅니다.

Colorado는 SB 24-205(Colorado AI Act)를 2026년 6월 시행합니다. EU AI Act와 가장 유사한 구조로, "고위험 AI 시스템"에 대한 알고리즘 차별 방지, 영향 평가, 근로자 통지, AI 결정에 대한 이의 제기를 의무화합니다. 법무장관이 독점 집행합니다.

Texas는 비즈니스 친화적 설계를 택했습니다. Texas Responsible AI Governance Act는 2026년 1월 1일 발효되었으며, 격차 영향(disparate impact)만으로는 차별 의도를 입증할 수 없도록 했습니다. 주 위원회를 설립하고 샌드박스 프로그램을 운영합니다.

Illinois는 가장 공격적인 접근법을 선택했습니다. HB 3773은 기존 인권법을 개정하여 고용 결정에서 AI 사용 시 차별을 금지하는데, 핵심은 사인(私人) 소송권을 부여한다는 것입니다. 다른 주들이 법무장관 집행에 의존하는 것과 달리, 개인이 직접 소송을 제기할 수 있습니다.

캘리포니아의 차별점은 이중 구조입니다. SB 53이라는 법률로 투명성을 확보하고, 행정명령으로 조달 강제력을 더했습니다. 그리고 결정적으로, "규제"가 아닌 "구매 조건"이라는 프레이밍을 통해 Trump의 연방 선점 논쟁을 가장 교묘하게 우회했습니다.

참고로, EU AI Act는 2026년 8월 2일 대부분 시행됩니다. 4단계 위험 분류 체계, 매출 6%까지의 벌금, 의무적 적합성 평가를 포함하며, 캘리포니아보다 훨씬 포괄적입니다. 하지만 신규 감독 기관 설립이 필요하다는 점에서 실행 속도는 다를 수 있습니다. 캘리포니아는 기존 기관(DGS, CDT)을 활용하기에 빠른 실행이 가능합니다.

커뮤니티 반응: "최초"에 대한 관심과 우려

대부분의 보도가 "first-of-its-kind"라는 수식어에 초점을 맞추고 있습니다. New York Times의 Cecilia Kang은 "안전과 프라이버시 가드레일을 요구하는 최초의 행정명령"이라고 보도했고, CBS Sacramento는 "캘리포니아가 '최초'의 행정명령으로 기업에 새 AI 규제를 부과한다"고 전했습니다. Techmeme 프론트페이지에 헤드라인으로 게시되며 주요 테크 뉴스로 인정받았습니다.

Newsom 본인은 Trump와의 대결 구도를 직접적으로 부각시켰습니다.

"워싱턴의 다른 이들이 오용의 그늘 속에서 정책을 설계하고 계약을 만드는 동안, 우리는 이것을 올바른 방식으로 하는 데 집중하고 있습니다."

(원문: "While others in Washington are designing policy and creating contracts in the shadow of misuse, we're focused on doing this the right way.") — Gavin Newsom

법률 전문가들의 반응은 대체로 "법적으로 견고하다"는 평가입니다. 행정명령이 직접 사기업을 규제하는 것이 아니라 주정부 자체의 구매 조건을 설정하는 것이기 때문에, 연방 선점 논쟁에서 상당히 유리한 위치에 있다는 분석입니다. 주정부는 자체 구매 결정에 대한 주권적 권한을 헌법적으로 보유하고 있습니다.

반면 우려의 목소리도 있습니다. 소규모 AI 벤더들에게 규정 준수 요건이 파편화되는 부담이 커진다는 점입니다. 각 주가 서로 다른 인증 기준을 세우면, 전국적으로 사업하는 AI 기업은 50개 주의 서로 다른 규칙을 맞춰야 할 수도 있습니다. 이것이 바로 Trump 행정부가 "과도한 주 규제"를 비판하는 논거이기도 합니다.

전망: 조달이라는 무기의 확산 가능성

이 행정명령이 가리키는 방향은 세 가지입니다.

첫째, "조달 모델"의 복제입니다. 캘리포니아의 접근법은 다른 주들이 복제할 수 있는 템플릿을 제공합니다. "규제"라는 이름을 쓰지 않으면서 AI 기업에 실질적 의무를 부과하는 방법론입니다. New York, Washington, Massachusetts 같은 주들이 유사한 조달 조건을 도입한다면, "캘리포니아 인증"은 "미국 표준"으로 확대될 수 있습니다.

둘째, 연방 vs 주 전쟁의 다음 라운드입니다. Trump의 AI 소송 태스크포스가 이 행정명령을 직접 도전할 수 있을까요? 조달 조건은 전통적으로 주정부의 주권적 영역입니다. 하지만 Trump 행정부가 연방 자금 제한이라는 카드를 사용할 가능성은 남아 있습니다. 이 싸움은 결국 의회 입법이나 대법원 판결을 통해서만 최종 해결될 것입니다.

셋째, AI 안전이 시장 조건이 되는 시대의 개막입니다. 이전까지 AI 안전은 주로 윤리적 논의나 자발적 서약의 영역이었습니다. 캘리포니아의 행정명령은 이를 구매 조건으로 전환했습니다. 안전하지 않으면 팔 수 없다는 것입니다. 세계 4위 경제체의 구매력이 뒷받침하는 이 조건은, 자발적 서약보다 훨씬 강력한 강제력을 가집니다.

120일 후, 구속력 있는 조달 규칙이 확정됩니다. 그때 우리는 이 행정명령이 실제로 어떤 이빨을 가지게 되는지 확인할 수 있을 것입니다. 한 가지 분명한 것은, AI 규제 전쟁에서 "조달"이라는 새로운 무기가 등장했다는 사실입니다. 그리고 그 무기를 처음 꺼낸 것은 실리콘밸리의 안마당, 캘리포니아입니다.