안전한 AI를 위한 길 ④
EU법, 위험 단계별로 포괄적 규제
교육과 공공AI적용시 사전 적합성 평가 받아야
오픈AI, 앤트로픽, 네이버 등 범용인공지능(GPAI)도 규제 대상
전문가들 'EU의 자멸..통상마찰도 우려"
[이데일리 문승용 기자] |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
박윤규 과학기술정보통신부 제2차관이 28일 오후 서울 영등포구 전경련플라자에서 열린 ‘인공지능(AI) 시대, 글로벌 규범 논의 주도를 위한 간담회’ 에서 기념촬영 하고 있다. 사진=과학기술정보통신부 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
EU의 ‘AI법(AI Act)’이 올해 관보에 게재돼 2026년부터 본격적으로 시행될 예정이다. 금지 대상인 AI는 효력 발생 후 6개월 이내, 범용AI 규제는 12개월 이내에 적용될 것으로 예상된다.
그러나 AI법이 시행된 후 2년이 지나면 AI 교육이나 AI 금융 서비스 회사들은 서비스 출시 전에 EU 규제당국으로부터 적합성 평가를 받아야 하는 등 강력한 사전 규제에 놓일 것으로 우려된다.
EU법, 위험 단계별로 포괄적 규제
과학기술정보통신부가 지난달 28일 주최한 ‘AI시대 글로벌 규범논의 주도를 위한 간담회’에서 김앤장 법률사무소의 강지원 변호사는 EU의 AI Act 규제체계를 “위험 기반 규제체계”로 정의했다. 이 체계는 위험을 ①최소위험 ②제한된 위험 ③고위험 ④수인불가위험으로 분류하고, 각각에 대한 규제 틀을 마련한 것이다.
예를 들어, 최소위험은 자율규제를 의미하며, 챗봇과 콘텐츠 생성과 같은 분야는 딥페이크 우려가 있기 때문에 제한된 위험으로 분류됐다. 여기에는 상호작용대상이 AI임을 고지하고 AI가 생성한 콘텐츠임을 명시하는 의무가 부여됐다.
핵심사회 인프라 관리, 교육과 직업훈련, 고용 및 근로자관리, 필수 서비스 접근, 이민 및 국경 통제관리, 사법절차 적용 등은 고위험으로 분류돼 위험관리, 기록 추적시스템, 사람의 관리, 사이버 보안, 데이터 거버넌스를 준수해야 한다.
공공장소에서 실시간 원격 생체인식을 하는 경우 수인불가위험으로 분류돼 원칙적으로 금지되지만, 중대 범죄나 추적과 같은 특별한 경우에는 일부 예외가 허용되는 식이다.
해당 법은 EU 집행위원회 내에 설치되는 EU AI Act 거버넌스 총괄기구에서 관장하는데, 개별 회원국 대표단 협의기구(AI Board)를 둬서 회원국간 일관성 확보에도 나선다. 또, 이를 지원하기 위해 과학·기술계 전문가로 구성된 패널도 운영한다.
교육과 공공AI 적용시 적합성 평가 받아야
산업계에 큰 영향을 미칠 것으로 예상되는 분야 중 하나는 고위험AI와 생성형AI 파운데이션 모델을 규제하는 범용인공지능(General Purpose AI·GPAI)이다.
고위험AI에는 전기·수도·가스·교통 등의 분야뿐만 아니라 교육과 직업훈련, 채용과 인사관리, 신용평가와 보험료 산정과 같은 중요한 공공·민간 서비스가 포함된다.
AI법은 올해에 관보에 게재돼 2026년에 시행될 예정이어서, 이와 관련된 서비스를 EU에 수출하려는 기업들은 미리 규제에 대비해야 한다. 이들 기업은 서비스를 출시하기 전에 기본권 영향평가와 EU 승인 기술표준을 준수했는지를 확인하는 제3자 적합성 평가를 받아야 한다.
또한, 제품을 시장에 내놓은 이후에도 생성 로그를 최소 6개월 이상 보관하고, EU AI 규제기구에 모든 정보와 문서를 공유해야 하며, AI 제품의 전 수명주기 동안 성능과 안전을 모니터링하고 AI법을 준수했는지를 평가받아야 한다.
범용인공지능(GPAI)도 규제 대상
EU AI법에선 자체 파운데이션 모델로 서비스하는 오픈AI, 앤트로픽, 구글, 네이버 등도 규제 대상이다.
범용인공지능(GPAI)의 정의는 아직 미공개이지만, ‘방대한 학습’, ‘다양한 범위의 과업 수행 가능’ 등의 개념을 넣었다. 일단 분류상으로는 일반GPKI와 시스템 리스크가 있는 고영향 GPKI를 분류하고 후자에 추가적 의무를 주기로 했다. 강지원 변호사는 “모델의 파라미터수, 데이터셋의 규모와 품질, 등록된 이용사업자 또는 최종 이용자수 등의 기준이 일반과 고영향을 나누는 기준이 될 수 있다”고 했다.
이들 범용인공지능은 기술 문서 업데이트, 공급망내 사업자에게 정보 제공, EU 저작권법 준수, 학습데이터 내용을 담은 구체적 요약본 공개 등의 의무가 주어진다.
더불어 고영향 GPKI로 지정되면 모델평가수행, EU집행위에 중대한 사고 및 시정조치 보고, 적절한 수준의 사이버 보안과 물리적 보호 보장, 예상 에너지 소비량 기록 및 보고 등의 의무를 추가로 져야 한다.
이밖에도 AI법에서는 파운데이션 모델을 활용한 생성형AI 시스템을 제공할 경우 AI와 대화한다는 고지의무, EU법을 제한하는 콘텐츠 생성을 방지하는 보호장치 장착 의무, 저작권법에 따라 보호되는 학습 데이터의 사용에 대한 충분히 상세한 요약을 문서화하고 공개적으로 제공할 의무 등을 지게 된다.
이 같은 EU의 행보에 대해 전문가들은 우리나라가 따라가선 안된다는 입장이다.
연세대 법학전문대학원 오병철 교수는 “EU는 위험상 카테고리가 핵심인데 미국은 위험 이외의 부작용들, 예를들면 고용, 환경 등 부작용과 진흥책까지 포함하고 있다는 점이 다르다”면서 “금지자체를 EU식으로 할 문제는 아니라고 본다”고 했다.
스캐터랩 하주영 변호사는 “우리의 AI 기술 잠재력은 EU 대다수 국가보다 상당히 높다는 점이 고려돼야 한다”고 했고, 고환경 법무법인 광장 변호사는 “EU같은 규제법안은 EU의 자멸아닌가? 하는 의견도 있다. 통상마찰까지 등장할 우려가 있다”고 밝혔다.
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.