EU AI법 '사대주의' 대신 실리적 관점으로 보는 법 [real! AI pro]
AI 대전환의 시대, 쏟아지는 이슈와 키워드 중 '꼭 알아야 할 것'과 '알아두면 좋은' 것을 구분하기란 쉽지 않습니다. 뜬구름 잡는 이야기도 많습니다. [real! AI Pro]는 이 고민을 현업 전문가들이 직접 선정한 주제와 인사이트를 담아 명쾌하게 정리해드립니다. <편집자주>
[디지털데일리 이건한 기자] 요즘 국내 AI 업계의 공통화두는 'AI 기본법'입니다. 기본법이란 이름에 걸맞게, 향후 국내 AI 산업 진흥 및 통제 정책의 뼈대와 헌법 같은 역할을 하게 될 예정이죠. 사실 딥러닝-생성형AI로 이어지는 AI 중심 시대로 전환된 지 이미 시간이 꽤 흘렀습니다만, 국내에선 그동안 AI 기본법 논의와 제정이 지지부진했습니다. 앞서 지난해 제21대 국회에서 상당한 진척이 있었으나 21대 국회의 회기 종료 및 추가 논의가 필요한 사항(생성형 AI 대응, 시민사회 의견 조율)들이 발목을 잡아, 법안은 결국 폐기됐죠.
그사이 유럽연합(EU)이 선수를 쳤습니다. 말 그대로 '유럽연합 인공지능 법(EU AI ACT)'라 이름 붙인 광범위한 AI 규제법이 지난 8월1일 정식 발효됐죠. 2027년까지 세부 내용에 대한 점진적 시행이 이뤄질 예정인데요. EU라는 거대한 시장에 통용되는 법안인 데다가, 미국이나 중국 등 AI 선진국보다 앞서 제정된 점에서 상당한 상징성을 인정받고 있습니다.
문제(?)라면, 이것이 국내 AI 기본법 제정 방향에도 큰 영향을 미치고 있는 점인데요. 실제로 현재 제22대 국회에 발의된 9건의 AI 기본법 관련 법의 대부분이 EU AI법을 바탕으로 재설계된 형태를 띄고 있습니다. 보통 신규 제정법 논의 시, 다른 국가의 관련법을 벤치마킹하는 사례는 흔합니다. 다만, 핵심은 그것이 대한민국 실정에 얼마나 적합한 것이냐는 점입니다.
이런 관점에서 최근에는 규제 성향이 강한 EU AI법은 진흥과 상생이 필요한 한국의 AI 현실을 바라볼 때 부적합한 면도 많다는 지적이 각계에서 나오고 있습니다. 그것을 자각하지 않고 '사대주의(事大主義)' 관점에서 EU AI법을 무작정 받아들이고, 따르면 안 된다는 목소리도 점차 커지고 있습니다.
물론, EU AI법 자체는 수년 이상의 고민과 논의를 거쳐 만들어진 법인 만큼 뼈대에서 참고할 내용이 적지 않은 것도 사실입니다. 당면한 과제는 이를 얼마나 실리적인 관점에서 취할 것은 취하고, 뺄 것은 빼내어 가장 한국적인 AI 기본법으로 만들 것이냐는 거죠. 더불어 지난 24일 AI 기본법을 심사하는 국회 과학기술정보방송통신위원회(과방위)가 최종안 마련을 위한 공청회도 실시한 만큼, 이 논의는 이제 더욱 가속이 붙을 예정입니다.
오늘은 이 가운데 EU AI법의 허와 실을 법 전문가의 시각에서 깊이 있게 분석함으로써, 한국 AI 기본법이 나아갈 방향에 대한 제언을 들어보려 합니다. 본편에 참여한 오정익 법무법인 원 인공지능대응팀 팀장 변호사는 각종 정부 사업에서 다수의 AI 법제 정비, 전략 컨설팅 현장 경험을 쌓은 AI 정책 및 법안 전문가로 꼽힙니다. 현재는 사내 인공지능대응팀에서 다양한 AI 전문기업 및 전환 기업들의 법적 이슈 해결에도 힘쓰고 있습니다.
AI 후위국 EU, 시장을 무기로 꺼내 든 '규제법' 카드
안녕하세요, 오정익입니다. 본격적인 이야기에 앞서, EU가 AI법을 누구보다 선제적으로 논의하고 발효한 배경부터 살펴볼 필요가 있습니다. 그 핵심 전제는 EU가 다른 과학기술 분야와 달리 AI만큼은 선진국이 아닌 '후위국'에 속한다는 점입니다. 이 부분은 EU가 4억5000만명에 달하는 인구와 다양한 국가의 연합체임에도 불구하고 AI 연구 종사자 수, 논문 수에서 선진국으로 분류되는 미국, 중국, 인도 대비 떨어지는 점, EU에 속한 글로벌 AI 기업의 수도 상대적으로 적다는 점 등에서 간접적으로 드러나는데요.
그럼에도 세계가 EU를 무시할 수 없는 건 중국과 마찬가지로 그들이 거대한 시장을 보유하고 있기 때문입니다. 특히 글로벌에서 경쟁하는 기업이 유럽시장을 아예 배제해야 한다면 사실상 너무 큰 제약이 되죠.
이를 잘 아는 EU는 AI법 제정 이전에도 2018년 강력한 개인정보보호 규제인 GDPR(일반개인정보보호법)을 선제적으로 발효, 개인정보 규제 분야를 선도한 경험이 있습니다. 이번 AI법도 EU가 AI 기술 선도 부문에서 놓친 헤게모니를 되찾고자 GDPR과 마찬가지로 '규제' 카드를 빠르게 꺼내든 것으로 해석할 수 있습니다.
이를 바탕으로 탄생한 EU AI법의 핵심은 그 위험도에 따라 금지된 AI 업무 유형, 고위험 AI 시스템 유형, 제한된 AI 시스템 등으로 분류되어 그 규제가 다르게 적용된다는 것입니다. 구체적으로 살펴보면 먼저 사람의 건강과 안전, 기본권에 허용불가한 위험을 줄 수 있는 유형의 AI 시스템은 그 사용이 금지됩니다. 한편 '고위험 AI'로 분류되는 경우, AI 공급자 등은 ▲위험관리체계 ▲품질관리체계 구축 ▲기술문서 등 일정 문서 작성 및 보관, 유럽적합성(CE) 표시 등의 요건과 의무를 준수해야 합니다.
또한 사람과 상호작용하는 AI 시스템이나 생성형 AI 시스템, 범용 AI 모델 및 시스템 등 제한적 위험이 있는 유형의 AI 시스템에 대해서도 ▲일정 사실의 고지 ▲워터마크 표시 ▲기술문서 작성 ▲학습데이터 상세요약서 작성 및 제공 등의 요건을 준수하도록 세밀하게 규제합니다.
게다가 이를 위반하는 경우 부과되는 행정 벌금의 규모도 상당합니다. 일례로 고위험 AI 시스템 관련 위반만 해도 1500만유로(약 223억원), 또는 전세계 매출액 3% 중 높은 금액을 벌금으로 내야 하죠. 더불어 EU는 이 같은 규제 업무의 이행, 모니터링, 감독, 지휘 등을 위한 AI 사무소와 위원회까지 설립해 운용하도록 했습니다.
무엇보다 상세한 AI법, '글로벌 표본'이 되다
그런데 이런 빡빡한 규제투성이로 보이는 법을 한국을 비롯한 세계에서 왜 주목하고 벤치마크하는 걸까요? 그 답은 상세함에 있습니다. 겉보기엔 꽤 보수적으로 보여도 EU AI법 관보 게재 버전 문서는 약 144페이지에 달합니다. 문서 내 글자 크기가 매우 작은 점을 고려하면 통상 수준에서 약 400페이지에 달하는 수준이죠. 이 안에는 현 시점 기준 세계에서 가장 상세하고 정교한 AI 유형 정의, 위험성 요건 및 필요한 조치가 담겨 있습니다. 이는 EU가 GDPR 발효 후 수년 이상 수많은 논의로 다듬은 결정체라고 볼 수 있죠. 하루, 이틀에 '뚝딱' 나온 것이 아닙니다.
특히 EU 이전에는 AI에 대해 추상적 관점에서 위험성과 대응 방안을 논한 경우만 있었을 뿐, EU AI법처럼 종합적인 관점에서 상세한 정의와 조치를 제시한 법률은 없었다는 점에서 의미가 큽니다. 그만큼 이후 많은 국가가 AI 관련법을 제정할 때 참고할만한 지침으로 쓰기에 딱 좋았지요.
상세함 뒤에 감춰진 '추상성'에 주목하라
이런 EU AI법에 감사할 점이라면, 우리가 맨땅부터 모든 것을 연구하고 만들 필요 없이 쓸만한 표본을 제시했다는 점 정도일 겁니다. 하지만 우리는 그 안에서도 맹점을 찾아야 합니다. 가장 큰 맹점은 그렇게 상세한 EU AI법조차 아직 각 법률을 실무에서 적용하기 위한 구체적 기준과 내용을 모두 담지 못했다는 점입니다. 이는 EU 집행위원회 등이 추가 위임법 등 후속조치로 마련해야 할 부분입니다.
따라서 현시점 EU AI법은 '상세함 뒤에 감춰진 추상성'이 상당한 상태입니다. 이에 따르는 문제는 법을 준수해야 할 기업들이 현장에서 마주하는 다양한 사례에 있어 법의 허용치 구분을 어렵게 하고, 일단 처벌을 피하기 위해 보수적인 입장을 취하도록 만드는 점이죠. 이는 EU에 진입하는 글로벌 AI 기업은 물론, EU 내에 존재하는 기업들조차 EU 시장에 접근하길 어렵게 만드는 부작용을 낳을 수 있습니다. 일례로, 미국 기업인 애플은 최근 신제품 아이폰16에 포함될 AI 기능을 유럽에선 출시하지 않겠다고 이미 못 박은 바 있죠.
AI 선도국인 한국, EU와는 안팎이 달라
이제 국내 이야기를 해볼까요? 한국은 AI 선도국에 속합니다. 우선 자체 AI 모델부터 서비스까지 제작할 역량이 충분하고요, 내수 시장이 작을 뿐 AI에 대한 수용성이나 활용 인프라도 좋습니다. 이 점만 봐도 우리가 AI 후위국의 방어 전략인 규제 중심법을 맹목적으로 따를 필욘 없습니다.
무엇보다 EU가 AI 시스템의 위험성을 '허용 불가한 위험', 고위험' 등으로 상세하게 나눠 접근한 취지는 충분히 참고할 만합니다. 그러나 그 위험성을 판단하는 기준은 그 국가와 사회의 윤리, 가치관, 산업 환경에 따라 달리 평가될 수밖에 없는 상대성을 띕니다.
일례로 이민이나 망명이 상대적으로 빈번하고 중요한 사회적 이슈로 다뤄지는 EU라면 관련 AI 시스템에 대해 매우 신중하고 엄격하게 접근하며, 이를 '고위험 AI'로 분류합니다. 반대로 이민과 망명이 흔치 않은 한국에서 EU와 동일한 기준으로 고위험군을 설정하는 건 부적절할 수 있습니다.
또한 대표적인 AI 이슈로 거론되는 개인정보보호 및 저작권 문제는 AI 기본법에서 별도로 규율하지 않더라도, 기존 법제도를 잘 활용하거나 개정 등을 통하면 일정 부분 해결되는 경우도 있습니다.
예를 들어 AI 시스템이 불법적으로 혹은 과도하게 개인정보를 수집하거나 이용하는 경우, 혹은 저작물을 불법적으로 수집하거나 이용하는 경우, AI 시스템이 생성한 결과물이 저작권을 침해하는 경우가 있죠. 이런 문제는 지금도 개인정보보호법 및 관련 법리나, 저작권법 및 관련 법리로 해결 가능한 부분들이 있습니다. AI 시스템으로 인해 사고가 발생하거나 민사상 손해가 발생한 경우도 마찬가지로 기존의 일반 불법행위 법리나 제조물책임법 등을 통해 일정 부분 해결이 가능합니다.
그런데 AI 기본법에서 일괄적으로 규제 성향이 강한 규정들을 중복해서 신설한다면? 직접적 이해당사자인 국내 AI 기업 및 한국에 진출하는 해외기업들 입장에선 혼란과 부담이 더욱 가중될 것입니다. 기본적으론 중복 규제를 피하는 것이 좋고, 최소한 법 적용의 우선순위 설정 등을 통해 명확함 법안을 만드는 노력이 중요할 것으로 보입니다.
AI G3 도약을 앞둔 백년대계, 가장 중요한 '실리'
한편, 우리 정부의 AI 강국 도약 의지는 굉장히 강력합니다. 이미 수백억원 이상의 투자를 확정 짓고 AI G3(주요 3개국) 달성을 꿈꾸고 있죠. 우리처럼 자원과 시장이 부족한 나라에서, AI 같은 차세대 기술의 패권국으로 향하기 위한 목표를 세우는 건 분명 긍정적인 시도입니다. 하지만 그렇기에 G3 도약의 기초가 될 AI 기본법 제정은 국가의 '백년대계'와도 다르지 않다고 볼 수 있습니다. 무릇 정책은 첫 단추를 잘 꿰어야 이후 시행착오를 줄이고, 각종 사회적 비용도 절감할 수 있기도 하고요.
이 점에서 우리가 놓치지 말아야 할 단 하나의 키워드가 바로 '실리'입니다. 사실 EU AI법은 이미 발효됐고 기업이 EU 시장을 고려하지 않을 수 없는 상황이죠. 그러나 그렇다고 우리만의 방식, 사회규범, 기존 법제도 등으로 해결 가능한 부분까지 '편함'을 이유로 EU 것을 모두 받아들여서는 안 될 것입니다.
좋은 예로 조선시대 만들어진 고유의 법전인 '경국대전'이 있습니다. 경국대전 이전 고려 및 조선의 법률은 사대주의에 따라 고대 중국의 당, 송, 원나라 등이 만든 법이 뒤섞여 있었고, 해당 지역의 관습법마저 따르는 등 기본적으로 한민족에게 어울리지 않는 구석이 많았습니다. 이에 조선 성종대에 완성된 경국대전은 기존 중국의 법률을 뼈대로 하되, 조선의 사회, 문화적 특성을 고려해 불필요한 부분은 제거하고, 고유의 법령을 추가함으로써 조선왕조 500년을 지킨 기본 법전의 역할을 훌륭히 수행할 수 있었죠.
EU AI법에 대응한 한국의 AI 기본법 제정도 마찬가지입니다. EU AI법에서 실리적으로 취할 것이 무엇인지 먼저 구분합니다. 이어 법률을 근거로 하는 AI 관련 정부 정책 등을 총괄할 수 있는 우리 고유의 행정기관을 설립하고, 위 기관 및 산하 조직이 국내 AI 기업들이 EU AI법 규제에 유연하게 대처하여 경쟁력을 키울 수 있도록 지원하는 것에 주안점을 두는 것이 가장 효과적이리라 생각합니다.
또한 EU AI법을 참고하여 AI 기술의 부작용 등을 방지하기 위해 필요한 방안이 무엇인지를 ▲개발자 ▲기업 ▲민간단체 ▲교수 ▲각 분야의 전문가 ▲일반인 등 사회 각계각층이 참여하여 충분히 논의할 수 있는 공청회 개최도 지속하는 것이 중요하고요. 적극적인 관련 연구용역 지원을 통해 충분한 사회적 공감이 이뤄진 부분에 대해 선제적인 법 제도화를 추진하는 방식도 함께 고려해 볼 수 있을 것입니다.
한편, EU AI법이 발효된 이상 이와 관련된 적합성 평가나 인증제도는 적어도 EU 시장 내에서는 현실적인 문제일 수밖에 없습니다. 또한 현재 AI 관련 국제 표준이 마련되고 있는 중임에 비추어 볼 때, 국내 AI 규제와 별개로 국내 기업들이 위와 같은 평가나 표준, 인증 관련 시장에 적극적으로 참여하고 이를 상품화할 수 있도록 적극 지원하는 것도 고려해 보아야 할 것입니다.
[양종희 KB금융 회장 1년- 상] 실적 무난했지만 내부통제 문제 심각… 빛바랜 성적표
2024-11-15 15:55:09한싹, 올해 3분기 12억원대 손실…AI 투자·인콤 인수 영향
2024-11-15 15:44:00“금융권 책무구조도, 내부통제 위반 제재수단으로 인식 안돼”
2024-11-15 15:19:319월 국내은행 가계·기업대출 연체율 하락…"분기말 연체채권 정리규모 확대 때문"
2024-11-15 15:11:10