[smartPC사랑=정운]
세계 최초의 AI 규제 법인 「유럽 연합 인공지능 법」이 이달 2일부터 시행에 들어갔다. 이 법은 2021년 4월 유럽 집행 위원회가 제안한 이후, 유럽 의회 및 유럽연합 이사회의 심의와 서명을 거쳐 지난 7월 12일 공식 발표되었으며, 법안 제출부터 시행까지 약 3년의 시간이 소요됐다. 순차적으로 특정 챕터 및 조항과 관련된 제품은 내년 8월 2일부터, 고위험 기기에 대한 요건은 2년 뒤인 2026년 8월 2일부터 적용될 예정이다.
EU의 AI 법이 AI 시스템의 윤리적 사용과 안전성에 대한 국제적 기준으로 자리 잡는다면, 다른 국가들도 유사한 기준을 도입하거나 EU의 규제를 준수하도록 요구하는 압력으로 작용할 것으로 전망된다.
유럽연합 AI법의 개요
EU 「AI법」은 AI를 “다양한 자율성의 수준으로 작동하도록 설계되고, 배치된 이후 적응성을 가지며, 명시적 또는 묵시적인 목표를 위해 투입된 것으로부터 물리적 또는 가상 환경에 영향을 미치는 예측, 콘텐츠, 권고 또는 결정 등 결과물을 생성하는 방법을 추론하는 기계 기반 시스템”으로 정의한다.
이는 경제협력개발기구(OECD) 등 국제기구와의 연계성, 법적 확실성, 기술 수용 가능성 등을 확보하고, 단순 소프트웨어 시스템 또는 프로그래밍은 포함되지 않도록 AI 시스템의 주요 특징에 기반을 두어 개념화한 것이다. 「AI법」의 특징은 신뢰성, 투명성, 책임성을 강조하면서, 위험 수준을 4단계로 구분해 규제 수준과 내용을 차등화했다는 데 있다.
첫째, 허용 불가 위험(Unacceptable-risk)이다. 이는 잠재의식, 생체인식 등에 대한 분석 시스템과 같이 개인에게 위협이 되고 EU의 기본 권리와 가치를 침해하는 것이다. 이러한 AI 시스템은 금지 된다.
둘째, 고위험(High-risk)이다. 개인 또는 사회의 안전, 기본 권리, 자유 등에서 높은 위험을 초래할 수 있는 것이다. 여기에는 법 집행, 이민, 교육과 같은 특정 분야에서 사용되는 시스템, 채용, 신용 평가 등을 결정하는 시스템, 의료 시스템 등이 포함된다. 이러한 시스템은 완전하고 종합적인 요건을 충족해야 한다.
셋째, 제한적 위험(limited-risk)이다. 이는 이용자가 혼란이나 기만을 일으킬 수 있는 생성 AI, 챗봇, 딥페이크 등 시스템이 해당되며, 투명성 의무를 갖는다.
넷째, 저위험(Minimal-risk)이다. 이는 위험이 없거나 최소한의 위험만 초래하거나 위험이 없는 시스템으로, AI법이 적용되지 않는다. AI 기반 비디오 게임, 스팸 필터 등이 해당된다.
금지된 AI 시스템 제공시 세계 총매출 7%에 달하는 벌금 부과
이러한 「AI법」은 범용 AI 모델과 모든 AI 시스템뿐만 아니라 EU에서 사업을 하는 역내외 모든 기업을 규제 대상으로 하기에 적용 범위가 상당히 넓다. 다만 고위험 AI 시스템 개발 기업에 대한 규제 적용은 위험 평가나 모니터링 규칙 준수 작업을 위해 최장 2027년 8월까지 유예될 예정이다.
위반 행위에 대한 처벌은 강력하다. 금지된 AI 시스템 제공 시 최대 3,500만 유로(한화 약 520억 원) 또는 전년도 세계 총매출액의 7%에 해당하는 벌금을 부과받을 수 있다. 의무 위반 시 최대 1,500만 유로(한화 약 220억 원) 또는 전년도 세계 총매출액의 3%에 해당하는 벌금을, 부정확 정보나 불완전 정보 제공은 최대 750만 유로(한화 약 110억 원) 또는 세계 총매출액의 1.5%에 해당하는 벌금을 부과받을 수 있다.
EU의 AI법, 미국 중심의 디지털 문화 왜곡 견제에 초점
EU의 「AI법」은 세계 각국에서 필요성이 강조되고 있는 AI에 대한 법적 규제의 실질적 시작을 의미한다. 우리나라 정책 당국과 전문가도 이 법의 많은 부분을 벤치마킹할 것이다. 이는 「AI법」이 매우 체계적이고 구체적이기 때문이기도 하지만, 글로벌 AI 기업의 침투에 맞서는 성격이 강하다는 점도 분명히 있다.
EU 내에서는 미국에 기반을 둔 이들 기업이 AI 시장의 대부분을 장악하게 되면 관련 산업이 파괴됨은 물론이고, 문화 왜곡이나 미국식 디지털 문화제국주의가 발현할 것이라는 우려가 적지 않다. 이미 검색엔진, 소셜미디어 시장에서 뼈아픈 경험을 한 바 있다.
문화적 차별성을 가진 개별 국가나 국가 연합체에서 소버린 인공지능(Sovereign AI) 또는 인공지능 주권(AI Sovereignty)과 같은 개념을 적극 도입하려는 시도는 이러한 맥락에서다. 사실 EU의 미국 글로벌 IT 기업에 맞서는 법적 규제의 시도는 이번이 처음은 아니다.
EU는 2023년 5월 「디지털 시장법(DMA)」과 8월 「디지털 서비스법(DSA)」을 시행했다. 이 두 법안은 글로벌 플랫폼 기업의 불공정 행위와 불법 콘텐츠를 제재하기 위해 만들어졌으며, 시가 총액, 연 매출, 월간 이용자 등을 기준으로 미국의 글로벌 IT 기업을 주요 대상으로 한다.
국내 AI 경쟁력을 고려한 유연한 법 제정 필요
다행히 우리나라는 다른 국가에 비해 미국 글로벌 IT 기업의 입김이 상대적으로 약하다. 그러나 최근 미국 글로벌 IT 기업의 국내 시장 점유율이 점점 높아지고 있다. 무엇보다 우리나라가 AI산업 생태계에서 차지하는 비중은 지극히 미약하다. AI 산업을 포괄적으로 규제하는 유럽연합 방식의 AI 규제 도입 시 국내 기업은 글로벌 시장에서 결코 AI 경쟁력을 높이기 어렵다.
우리 IT 기업의 기술 수준은 상당히 높지만 국내 IT 기업에만 적용되는 각종 국내 규제법과 이에 대응하기 위한 비효율적 자원 분배 등으로 국내 IT 기업의 국내외 경쟁력이 떨어지고 있다는 분석은 매우 설득력이 있다. 또한 국내 사업자와 달리 해외사업자에 대한 규제 적용이 어려운 실정이다.
우리 IT 서비스 및 시장 관련 법이 국내 IT 기업을 보호는 못 할지언정 성장과 생존을 막지는 않도록, 규제법인 동시에 육성법의 성격을 가져야 한다. IT 관련 법 마련이 어려운 이유이기도 하지만, IT 산업의 특성을 고려한 유연한 법 제정이 필요하다. 먼저, 수준 높은 자생적 국내 AI 기술의 확보가 우선돼야 한다. 앞으로 도입될 AI법도 이러한 점을 간과해서는 안될 것이다.
<이 기사는님의 네이버 블로그에도 실렸습니다.>