EU, AI법 시행과 한국의 대응
EU, AI법 시행과 한국의 대응
EU AI법 시행은 고위험 AI 규제 필요성에 대한 철학 재정립 기회 제공.
최근 정상급회의에서 논의된 ‘안전한 AI’와 관련 국내 규제체계와 산업육성의 균형된 시각 확보 및 국제협력을 추진할 수 있는 법적·제도적 기반 조속히 정비해야.
EU, AI법은 AI기술에 대한 인식과 접근 방향 재정립 중
EU AI법은 AI 산업육성과 규제 사이의 절충을 고민한 접근
- 유럽 내 AI 기술개발을 지원하는 ‘AI 혁신 패키지(AI Innovation Package)’와 사용자와 개발자에 안전하고 기본권을 보장하는 AI 생태계 조성을 위한 ‘AI 조정 계획(Coordination Plan on AI)’이 포함됨
- 미국과 중국 등 주요 경쟁자들에 비해 크게 뒤처진 AI 분야의 혁신을 EU 차원의 AI 규제 법안 마련을 통해 EU 중심으로 재편하며, 특히 시민의 기본권 보호에 맞춰 AI 윤리의 발전을 보장해야 함을 강조
- 신흥기술 발전으로 인해 발생할 수 있는 위험과 잠재적인 남용 가능성을 고려하여 법 적용의 유연성 확보
AI 관련 위험으로부터 개인정보 보호, 민주주의, 법치주의, 지속가능환경 유지 등 EU의 핵심가치와 시민의 기본권을 보호하는데 방점
- AI에 대한 투자·혁신을 촉진하기 위한 법적 정당성 확보, AI에 적용되는 기본권 및 보안 요구사항에 대한 법적 구속력을 강화하고, 역내 도입된 AI 시스템이 안전하고 시민의 기본권과 EU 가치를 존중하는지 확인
- 유럽의회는 상기 핵심목표에 기반하여 AI를 개발·사용하는 기업에 대한 의무를 설정하고, AI가 생성할 수 있는 위험과 영향을 제한하고자 노력(testachats, 2024.03.28.)
EU 역내 활용될 AI 시스템의 ①안전성, ②투명성, ③추적가능성, ④비차별성, ⑤환경친화성 보장
- AI 시스템은 자동화가 아닌 인간의 감독을 통해 해로운 결과를 예방 가능하다는 전제와 동시에 미래의 AI 시스템에 적용 가능한 기술 중립적이고 통일된 정의 확립(European Parliament, 2023.12.19.)
* AI 시스템을 ‘다양한 수준의 자율성으로 작동하도록 설계되었으며, 명시적 또는 암묵적 목표를 위해 영향을 미치는 기계 기반 (machine-based) 시스템’으로 정의(법률신문, 2023.05.31.)
AI로 인한 위험수준에 따라 공급자(provider)와 배포자(deployer)의 의무를 설정함
위험기반 접근(risk-based approach)에 따른 차등적 규제
EU AI법은 AI를 ▲허용불가한 위험, ▲고위험, ▲투명성 위험, ▲최소 위험 등급 분류, 차등 규제함
허용 불가한 위험(Unacceptable risk) AI
- 사람의 잠재의식 기술을 이용하거나 의도적으로 교묘하게 또는 기만적 기술을 이용하여 사람의 의사결정 능력을 손상시킬 수 있는 AI 시스템
- 나이, 신체, 사회적 또는 경제적 상황 등에 기반한 특정 그룹의 취약성 악용
- 소셜 스코어링(social scoring: 인터넷상 개인이나 기업의 사회적 영향력을 수치화)과 같이 공공기관이 AI를 통한 개인의 신뢰도를 평가
- 의료 또는 안전상의 이유를 제외하고 직장이나 교육기관 에서 감정을 추론
- 생체인식과 같은 특정정보를 실시간으로 인종, 신념, 성적 취향, 개인 생체정보를 수집하는 AI
* 범죄수사(프로파일링)와 군사·테러 공격과 같은 국가안보에 대한 위협이나 공공 안전의 목적을 가진 이슈에 대해 공공기관의 생체정보의 활용이나 실시간 원격 생체인식기술 사용을 예외적으로 허용
고위험(High risk) AI
- 유럽연합조정법(The Union Harmonisation Law)이 적용되는 제품으로서 보건, 국민안전, 기본권(차별 금지, 표현의 자유, 인간의 존엄성, 개인정보 보호·프라이버시)을 위협할 소지가 있는 AI 시스템을 포함하며, 이들이 EU시장 진입을 위해서는 적합성 평가 등의 의무가 부과됨
* 도로·철도·항공과 같은 교통 인프라, 교육·직업훈련·고용·근로자 관리, 공공·민간 서비스에 대한 접근(건강보험, 전기, 냉난방, 인터넷, 신용점수), 법 집행, 이주, 망명 및 국경통제 관리 등 사법, 민주절차의 관리 등에 적용되는 AI 시스템* 고위험에 해당하는 AI 시스템은 위험관리 시스템의 구축·실행·유지·데이터 품질 기준 충족 및 관리, 기술문서의 작성 및 최신상태 유지, 기록 이력추적, 일정 수준의 정확성과 견고성, 사이버 보안의 확보 등 매우 높은 요구사항을 부과함
투명성 위험(Transparency risk/limited risk) AI
- 자연인과 상호 작용하거나 콘텐츠를 생성하기 위한 특정 AI 시스템은 고위험 여부에 관계없이 사칭이나 사기의 특정 위험을 초래할 수 있음. 이러한 시스템에는 정보 및 투명성 요구사항이 적용됨
* 생성형 AI 콘텐츠는 인간과 높은 정서적 교류가 가능한 대표적인 AI 유형이기 때문에 그 공급자(provider)는 사용자(user)에게 해당 AI 시스템으로 말미암아 인간이 AI 시스템과 교류하고 있다는 점을 혼동하지 않도록 명확하게 사전 고지해야할 의무 부과
* 이미지, 오디오 또는 비디오 콘텐츠(예: 딥 페이크)를 생성하거나 조작하는 AI 시스템의 배포자(deployer)는 매우 제한된 경우(예: 범죄예방 목적)를 제외하고 해당 콘텐츠가 인위적으로 생성되거나 조작되었음을 공개해야 함
* 대량의 합성 콘텐츠를 생성하는 경우 AI 시스템 공급자(provider)는 충분히 신뢰할 수 있고 상호운용 가능하며 효과적이고 강력한 기술과 방법(예: 워터마크)을 통해 결과물이 사람이 아닌 AI에 의해 생성되었음을 표시하고 탐지할 수 있어야 함
저위험 및 최소위험(Low & Minimal risk) AI
- 상대적으로 위험도가 낮은 AI는 현재 적용되는 법률(ex. GDPR) 외에 추가의무가 부과되지는 않으나 고위험 AI 시스템과 같이 향후 투명성과 신뢰성을 확보하기 위한 자발적인 행동강령의 제정을 촉구
* ‘스팸 필터’처럼 AI 서비스나 비즈니스 운영이 사회적으로 무해하다고 판단되면 저위험 등급으로 분류, 저강도 규제대상에 해당
범용 AI(GPAI) 모델과 시스템적 위험을 초래하는 범용 AI 모델에 대한 규칙 제공
- (투명성 요구) 모든 GPAI 모델은 최신 기술문서를 작성·유지해야 하며 AI 시스템의 다운스트림 공급자가 정보와 문서를 사용할 수 있어야 함. 또한 GPAI 모델의 모든 공급자는 저작권지침에 따라 합법적인 텍스트 및 데이터 마이닝 수행 위해 최첨단 기술(예: 워터마킹)을 포함한 EU 저작권법 존중정책 마련 필요
* GPAI는 AI Office(규제기관)에서 제공한 템플릿에 따라 GPAI 모델 교육에 사용된 내용에 대한 충분히 상세한 요약을 작성하고 공개적으로 제공해야 함(European Parliament Research Service, 2024)
과징금 등 제재 규정 및 예외·조정 거버넌스 마련
위반에 대한 제재 및 기업규모별 과징금의 차등 부과
- 허용불가능한 AI의 경우, 위반 시 최대 3,500만€(약 508억원) 또는 직전 회계연도의 전세계 연매출의 7% 이하 중 더 높은 금액의 과태료를 부과. 기업규모별로 차등 부과되며, 중소기업이 규제법을 위반한 경우 최대 750만€(약 109억원) 또는 전세계 연매출의 1.5%를 과징금 부과(글로벌 서플라이 체인,n.d.)
중소기업·스타트업 등에 대해서는 완화된 규제 적용
- 고위험 AI 시스템에 이용되는 도구·서비스·구성요소의 공급에 관한 계약조건, 계약위반 또는 종료에 대한 조건이 중소기업에 일방적이고 불공정하게 부과될 때 해당 규제는 효력 없음(법률신문, 2023.05.31.)
- EU AI법은 ‘규제 샌드박스’를 도입하여 EU 기업들의 혁신과 경쟁력 강화를 유도하는 한편, 개발된 AI 제품과 서비스가 규정을 제대로 준수하는지 상용화 전 사전테스트를 해 볼 수 있는 환경도 보장
EU 역내 AI 조정·감독 거버넌스 수립
- EU AI 사무국(AI Office)을 신설하여 AI Act 이행을 위한 EU 내 단일 거버넌스 체계 유지 및 AI 모델에 대한 감독·심사를 수행하도록 명시(채은선·채기현, 2024)
시사점
EU AI법은 AI 기술의 빠른 진보와 잠재적 위험이 국가안보에 미칠 영향을 예측하고 제도적으로 제한하는 수단 등을 마련하고 있는 바, 우리나라도 이와 관련된 해당 모니터링 체계 구축 시급
○ EU는 EU역외 민간혁신이 디지털 기술 관련 강력한 우위를 차지하고 있어 EU회원국 차원에서 이에 대한 의존의 위험함을 인식, 디지털 분야 규칙 제정의 필요성을 고민해 왔음. 유럽 시민들 역시 향후 디지털 신흥기술의 오남용을 예측하고 이로부터 자신들을 국가가 보호해야 함을 피력(Rochetin, 2024)
- EU 공공 데이터베이스에 등록되어야 하는 국가안전 관련 영역 및 EU 제품안전법에 해당하는 제품(예: 장난감·항공기·자동차·의료기기·리프트(lifts))에 사용되는 AI 시스템은 고위험 등급으로 규정
- 고위험 AI 규제 필요성에 대해 국내 정책 방향 설정이 필요하며, 향후 한국도 신흥기술의 국가안보 위협 시 국가차원의 대응을 위한 공공, 민간 주체의 임무와 역할에 대한 역할 재정립 필요
안전한 AI 기술활용과 저작권 보호를 위해 AI 훈련·개발에 필수적인 사용자 데이터의 순환과 재사용 규제 관련 목표 설정 및 제도 정비 검토
○ GPAI 모델 훈련·개발에는 많은 데이터 수집·순환·분석이 필요함. 그러나 관련 목표 설정 및 제도 정비 미비 시, 리바운드 효과로 인해 데이터 재사용이 유해한 합성 콘텐츠 생산으로 오남용될 수 있음
- 미(美) AI 행정명령 후속조치로 미(美)상무부·BIS가 발표한 신(新)규제(2024.01.)는 외국 고객이 클라우드 컴퓨팅 서비스를 통해 악의적 사이버 활동에 사용될 가능성이 있는 대형 AI모델을 학습시키는 경우 주목 및 미(美) NIST 통해 디지털 투명성 확보 위한 접근법·가이드라인 제시(강태욱 외, 2024)
○ 프랑스 재정경제부는 저작권 이슈로 EU AI법이 부과하는 GPAI 모델 훈련에 사용되는 데이터에 대해 일정한 투명성 의무에 반대했으나 최종법안 내 ‘영업비밀 존중’ 반영 되면서 승인 참여
- 프랑스 정부의 남은 숙제는 “영업비밀로서 지켜야할 정보와 공개해야 하는 정보 수준에 대한 올바른 위치를 찾는 것”임(Gurgoz & Viard, 2024). 즉, 안전한 AI 입증과 저작권 보호 동시에 충족해야 하는 상황임
‘안전한 AI’ 의제 기반 국제규범화 대응을 위해서는 AI의 가변적인 잠재 위험영향 관리 위한 AI 규제와 혁신정책 간의 균형점 모색이 필요하고, 새로운 국가 아젠다 설정과 관련 법제도 정비 시급
○ EU AI법과 미(美) AI 행정명령에 이어 영국 주도의 AI 안전성 정상회담까지 ‘안전한 AI’의 국제 규범화가 대세인 반면, 한국은 AI관련 법제 미비로 영향력 있는 역할 수행에 한계 존재(Harrison & Eom, 2024)
- 2024 AI 안전성 정상회담 서울선언 통해 합의된 AI의 가변적인 잠재 위험영향을 관리하기 위한 AI 규제와 혁신정책 간 균형점 모색을 시작으로 새로운 국가 아젠다 설정 및 관련 법제도 정비 시급
발간물 컬렉터의 큐레이션
EU의 인공지능(AI) 법 제정과 관련된 최신 동향을 바탕으로, 한국도 이에 대한 신속한 대응이 필요하다는 내용입니다.
EU AI법은 AI 시스템의 위험 수준에 따라 네 가지 범주(허용 불가한 위험, 고위험, 투명성 위험, 저위험)로 분류하여 차등 규제를 적용합니다. 특히, 고위험 AI 시스템에 대해서는 매우 엄격한 기준을 충족해야 하며, 이에 따라 AI 기술의 개발과 상용화에 큰 영향을 미칠 것으로 예상됩니다.
한국의 경우, AI 산업 육성과 규제 사이의 균형을 맞추는 것이 중요하다고 강조합니다.
AI 기술의 안전한 활용을 보장하면서도, 국내 AI 산업이 위축되지 않도록 하기 위해 적절한 법적·제도적 기반을 마련해야 한다는 필요성이 제기됩니다.
또한, AI 관련 국제 규범이 점차 강화되고 있는 상황에서, 한국도 이에 부합하는 법적 정비와 전략적 대응이 요구됩니다.
이와 함께, AI 기술의 발전이 빠르게 이루어지고 있는 만큼, 관련 규제가 산업 발전을 저해하지 않도록 하는 균형 잡힌 접근이 필요하며, AI 기술과 관련된 저작권 보호 문제도 법적 정비를 통해 해결해야 할 과제 중 하나로 언급됩니다.
EU의 AI법 시행이 한국의 AI 정책 방향에 중요한 영향을 미칠 수 있는 만큼, 지속적인 모니터링과 대응 전략 수립이 필요합니다.