인공지능(AI) 시대를 맞아 AI 혁신을 통한 국가 발전을 이끌기 위한 입법의 필요성이 제기된다. 한편에선 지속 발전을 뒷받침할 수 있도록 AI 위험성을 적절히 규제하기 위한 입법의 목소리도 설득력을 얻고 있다.
21대 국회 종료로 13개 AI 법안이 폐기됐는데 소관 상임위원회의 정치적 대립 상황으로 인해 충분한 논의가 이뤄지지 못한 면도 있지만, 실질적으론 진흥과 규제를 어떻게 조화시킬 것인지에 대해 합의가 이뤄지지 않은 것이 더 중요한 원인으로 보인다.
22대 국회에서도 이미 6개의 AI 법안이 발의돼 본격적인 논의가 진행될 것으로 예상된다. 진흥이든 규제든 AI 법안을 발의하는 과정에서 빠지지 않고 언급되는 사례가 바로 '유럽연합 인공지능법(EU AI법)'이다. EU는 세계 최초로 AI를 규제하는 법을 제정해 지난 1일 발효했고, 2025년부터 2027년까지 단계적으로 적용할 예정이다.
EU AI법을 긍정적으로 평가해 국내에도 유사하게 입법화해야 한다는 목소리와 이와 같은 규제방식을 채택할 경우 우리나라 AI 개발과 경쟁력 제고에 악영향을 줄 수 있다는 반대 목소리가 서로 충돌하고 있다. 미래에 AI가 가져올 효용을 극대화하기 위한 혁신은 최대한 장려하면서도 다양한 위험성을 적절히 통제할 수 있는 균형 잡힌 입법이 필요하다. 이를 위해 AI 관련 입법의 영향을 면밀히 분석·예측하면서 다른 한편으론 글로벌 스탠더드의 정립 동향과 외국의 법제도 사례를 객관적으로 비교·평가해 우리의 입법에 반영할 요소를 찾아내는 노력도 함께 요구된다. 이런 차원에서 먼저 입법된 EU AI법은 우리에게 좋은 참고 사례가 될 수 있지만, 무비판적 수용은 경계해야 한다.
EU AI법을 참조하는 과정에서 법의 일부만이 소개되는 경우가 많다. EU AI법은 전문 180개 항, 본문 13개 장의 총 113개 조문과 13개의 부속서로 구성됐다. 매우 방대하기 때문에 전체 법 내용을 파악하는 게 쉽진 않다. 그렇지만 법 전체를 조감하지 않고 지엽적인 몇몇 조문만 참조하면 '눈 감고 코끼리 뒷다리 만지기'의 우를 범하게 된다. EU AI법의 전체 체계와 내용을 인지한 상태에서 구체적·개별적 규정을 상세하게 살펴서 각 조항이 우리나라 맥락에서도 적절한지를 검토해 우리의 입법과정에서 참조나 반영 여부를 결정해야 한다.
EU AI법은 유럽 내부 시장의 기능을 개선하고 인간 중심의 신뢰할 수 있는 AI 활용을 촉진하면서도 EU 내 AI 시스템의 유해한 영향으로부터 기본권을 높은 수준으로 보호하고 혁신을 지원하는 것을 목적으로 한다. 기본적으로 AI 시스템과 범용 AI 모델에 적용되며, 연구·개발 및 시제품 제작 활동을 위해 시장 출시 전에 이용되는 AI 모델에는 적용되지 않는다. 군사·국방 또는 국가안보만을 위한 AI시스템, 과학적 연구·개발 목적으로만 개발·공급되는 AI시스템·AI모델, 순수하게 사적·비직업적 활동 과정에서 AI시스템을 이용하는 자연인인 배포자, 고위험 AI 시스템 등 예외가 있지만 무료 오픈 소스로 공개된 AI시스템 등에도 적용되지 않는다. AI 생태계 참여자로서 공급자, 배포자, 제조업자, 수입자, 유통자, 국내 대리인을 구분해 규율한다.
EU AI법의 규제체계를 형성한 기본 철학은 기술중립적으로 AI시스템을 정의하면서 위험의 정도에 따라 단계별로 구분하는 위험 기반 접근 방식(risk-based approach)에 맞춘 차등화된 단계별 규제다. 이에 따라 허용되지 않는 위험, 고위험, 제한된 위험, 최소 위험 등 4가지 수준의 위험으로 구분한다.
인간의 존엄성, 자유평등, 민주주의 가치뿐 아니라 차별금지, 정보보호, 사생활 보호, 아동권 등 기본권을 중시하는 EU의 가치에 상충하는 8가지 유형의 AI시스템은 금지된다. 잠재적·조작적·기만적 기술을 활용해 인간의 의사결정을 왜곡하거나 직장·교육 기관에서 인간의 감정을 추론하는 AI시스템 등이 해당된다. 건강이나 안전, 기본권과 같은 중요 영역에 중대한 해로운 영향을 미칠 가능성이 있는 AI시스템을 고위험으로 분류해 특정 요건을 갖춘 경우에만 EU시장에 출시하거나 서비스 공급을 허용한다. 부속서Ⅰ에 열거된 EU조화법의 적용을 받는 제품의 안전구성요소이거나 제품 그 자체인 경우로서 EU조화법상 제3자 적합성 평가 대상인 경우에 고위험 AI시스템으로 간주되며, 사람의 건강이나 안전을 포함해 기본권에 부정적 영향을 미칠 수 있는 AI시스템의 세부 유형으로서 부속서Ⅲ에 열거된 AI시스템도 고위험으로 간주된다. 원격 생체인식 식별 시스템, 시험 중 학생 모니터링·감지 관련 시스템, 근로자 감시·평가 관련 시스템, 거짓말 탐지기·유사 도구 관련 시스템 등이 해당된다. 부속서Ⅲ에 열거된 고위험 AI시스템이라 해도 의사결정 결과에 실질적으로 영향을 미치지 않거나 사람의 건강, 안전 또는 기본권을 해할 중대한 위험을 초래하지 않는 때엔 고위험으로 간주되지 않는다. 고위험의 경우 건강, 안전 및 기본권에 대한 위험을 효과적으로 완화하기 위해 위험 관리, 이용된 데이터 세트의 품질 및 관련성, 기술문서화 및 기록 보관, 배포자에 대한 투명성 및 정보제공, 인간의 관리·감독, 견고성, 정확성 및 사이버 보안과 관련된 '고위험 AI시스템 요건'을 준수해야 한다. 이는 EU AI법에 따른 의무로서 다른 EU법이나 회원국법에 따른 요건은 별도로 충족해야 한다.
나아가 AI 생태계 참여자의 유형별로 의무를 차등화한다. 예를 들면, 고위험 AI 시스템 공급자는 '고위험 AI 시스템 요건' 준수 보장 및 입증, 이름·연락처 등 기재, 적합성 평가 및 EU적합성 선언 작성과 CE 표시, EU 데이터베이스에의 등록, 고위험 AI 시스템의 접근성 요건 준수 보장, 품질 관리 체계 수립, 기술문서 등 문서의 보관, 로그 보관, 시정조치 및 정보 제공, 관할당국과의 협력, 국내대리인 지정 등의 의무를 준수해야 한다. 한편, 고위험 AI 시스템 배포자는 이용지침에 따른 이용을 보장하기 위한 조치, 입력 데이터의 관련성 및 대표성 보장, 모니터링, 로그기록 보존 등의 의무가 부과된다.
공공기관이나 공공서비스를 제공하는 민간 조직인 배포자, 자연인의 신용도를 평가하거나 신용점수를 정하기 위한 의도를 가진 AI 시스템의 배포자, 생명 및 건강 보험과 관련해 해당 자연인에 대한 위험 평가 및 해당 보험의 가격을 책정하기 위한 의도를 가진 AI 시스템의 배포자는 기본권 영향평가(FRIA)를 수행하고 그 결과를 시장감시당국에 통지해야 한다. 이완 별개로 고위험 AI시스템이 높은 수준의 신뢰성을 보장할 수 있도록 시장 출시 전에 적합성 평가를 거치도록 했다. 적합성 평가는 내부통제에 근거한 경우와 인증기관에 의한 경우로 나뉘지만, 고위험 AI 시스템의 유형에 따라 실시 방법과 절차에 차이를 두고 있다.
제한된 위험 AI시스템 중 특정 AI시스템에 대해선 투명성 의무를 부과한다. 예를 들면, 딥페이크를 만드는 AI시스템의 배포자는 그러한 사실을 밝힐 의무가 부과되며, 합성된 콘텐츠를 만드는 범용 AI시스템 공급자는 결과물이 인위적·조작적이라고 인식될 수 있도록 기계가 읽을 수 있는 형식으로 표시해야 하며, 콘텐츠의 다양한 유형이 갖는 특수성과 한계, 구현에 따른 비용을 고려해 기술적으로 가능한 한도에서 효과적인 기술을 사용해야 한다.
범용 AI모델 공급자는 기술문서의 작성 및 유지, 국가관할당국과의 협조, AI시스템 공급자에 대한 정보제공, 저작권 및 관련 권리에 관한 EU법 준수 등 의무를 부담한다. 구조적 위험이 있는 범용 AI모델 공급자는 위험을 평가하고 완화하기 위해 적대적 테스트 수행 및 문서화를 포함해 최신 기술을 반영하는 표준화된 프로토콜과 도구에 따라 평가를 수행할 의무를 부담한다.
EU AI법은 혁신을 지원하기 위해 AI 규제 샌드박스 운영 지원 및 공통 규칙 마련을 규정한다. 특히, 공익 목적의 AI 시스템 개발과 관련한 개인정보 처리 특례를 규정하며, 고위험 AI시스템의 '현실 세계 조건에서의 테스트'를 허용한다. 스타트업을 포함한 중소기업이 AI 생태계의 중요 부분으로 인식하고 규제 환경에서도 경쟁력을 유지하기 위해 혁신을 계속할 수 있도록 지원하고, 규제 부담 완화를 위한 포괄적인 지원체계를 제시한다.
법 실효성 담보를 위해 위반 시 경고, 비금전적 조치뿐만 아니라 위반행위별로 전 세계 매출액의 최대 7%까지 과징금을 부과할 수 있다. 다만, 정액 기준가 매출액 기준 중 높은 금액을 과징금으로 부과받는 다른 운영자들과 달리 중소기업은 둘 중 낮은 금액의 과징금을 부과받는 특례 규정을 뒀다.
EU의 정치·경제·사회·문화·역사적 배경 아래 정치적 합의로 제정된 EU AI법은 여과 없이 무비판적으로 수용해야 할 금과옥조가 아니다. 추구하는 가치나 배경이 다르면 EU AI법을 참조하더라도 우리에 맞는 변화나 취사선택이 필요하다. 위험 기반 접근 방식을 기반으로 설계된 차등화된 규제체계, AI 혁신 지원을 위한 샌드박스나 개인정보특례, 중소기업 특례는 적극 고려할 필요가 있다. 문제는 구체적인 규제의 대상을 어떻게 확정할 수 있을지다. EU는 간주규정과 구체적으로 열거한 부속서가 있지만 결국 구체적·개별적 판단이 필요해서 예측가능성 확보가 어렵다는 비판은 우리가 주의해야 한다. 예측가능성이 낮은 규제는 나쁜 규제다. EU AI법을 포함한 글로벌 동향을 객관적으로 비교·분석하고 매우 빠른 속도로 변화·발전하는 AI 기술·생태계와 AI가 가져오는 위험이 현실화·구체화하는 정도가 영역별로 천차만별인 점을 고려해 균형 잡힌 합리적 K인공지능법에 대한 국민적 합의를 위한 국가적 노력이 필요할 때다.
최경진 가천대 법학과 교수 kjchoi@gachon.ac.kr
〈필자〉최경진 교수는 가천대 인공지능(AI)·빅데이터정책연구센터장이다. 데이터·정보통신기술(ICT)·개인정보보호 법 연구자로 관련 법·정책 전문가다. 현재 한국인공지능법학회장, 한국정보법학회 수석부회장, UN 국제상거래법위원회 정부대표로 활동하고 있다. 개인정보보호법학회장도 역임했다. OECD 인공지능, 데이터 및 프라이버시 전문가그룹(Expert Group on AI, Data, and Privacy)에 한국 대표로 참여하고 있으며, 데이터와 ICT에 대한 폭넓은 이해를 바탕으로 법·제도 개선과 정책 추진에 기여하고 있다.