[그것을 알려주마] 인공지능(AI) 규제 가시화…‘약일까 독일까’

인공지능(AI) 활용이 가속화됨에 따라 전세계 각국이 관련 규제를 마련하고 있다. AI가 가져올 수 있는 부작용과 AI 악용으로 인한 위험을 방지하기 위함이다.

대표적인 사례는 유럽연합(EU)이다. 지난해 말 AI법안 마련에 기본 합의한 EU는 지난달 프랑스에서 개최된 EU집행위원회(EC) 본회의에서 ‘포괄적 AI 규제법’을 의결했다.

AI기술 개발의 투명성과 올바른 AI 활용에 초점을 맞춘 이 법안은 발효 시점으로부터 6개월 후에 적용되는 금지 규제를 시작으로 실천강령(발효 후 9개월), 거버넌스 등 범용AI 규칙(발효 후 12개월) 등으로 순차 적용되며 발효 후 24개월이 되는 2026년에 전면 시행될 예정이다. 단, 고위험 시스템에 대한 의무는 시행 후 36개월 후인 2027년 적용된다. 

EU AI법의 핵심은 시민의 권리, 혹은 민주주의에 위협이 될 수 있는 AI에 대한 규제다. 법안에서는 민감정보를 기반으로 한 인식분류, 예를 들어 안면인식 데이터베이스 생성을 위해 인터넷, CCTV 영상 등에서 얼굴 이미지를 무단수집하는 등의 애플리케이션이 금지된다.

또 직장이나 학교에서의 감정 인식, 개인의 특성·행동과 관련된 데이터로 개별 점수를 매기는 소셜스코어링, 개인 프로파일링이나 특성 평가에 기반한 예측 치안 등 개인의 권리를 위협할 수 있는 AI를 활용할 수 없으며 개인의 정치적 성향이나 성적 취향 추측에 대한 AI 활용도 금지된다. 

법집행기관의 경우에는 예외가 허용된다. 하지만 이러한 예외는 제한적으로 허용된다. EU AI법에서는 원칙적으로 법집행기관의 생체인식시스템(RBI)의 활용이 금지되지만, 테러 방지, 실종자 수색 등을 위해 법원(또는 행정기관)의 승인을 받아 시간과 범위가 제한된 상황에서 실시간 RBI가 예외적으로 사용될 수 있다.

사건 발생 이후나 원격 RBI의 경우에는 고위험 사용사례로 간주돼 사법적 승인이 필요하며, 활용 범위도 형사범죄와 관련된 분야로 제한된다. 

건강, 안전, 환경, 선거 등과 관련된 고위험 AI 시스템에 대해서는 투명성 보장 등에 대한 보다 명확한 의무가 부여된다.

직업훈련, 의료·은행 등 공공 서비스, 선거 등에 활용되는 AI 시스템은 사전 위험 평가는 물론 위험을 회피할 수 있는 방안 마련이 필수적이며, 사용 로그 유지 등 투명성에 대한 조치와 사람에 의한 감독 보장 등의 의무가 부여된다.

더불어 시민이 AI 시스템에 대한 질의하고, 언제든 설명을 들을 수 있는 권리도 보장해야 한다.

범용AI(GPAI) 시스템에는 EU 저작권법을 준수 의무가 부여되며 AI 학습에 사용되는 콘텐츠의 상세한 요약 게시는 물론 GPAI 모델과 시스템에 대한 위험 평가·완화 방안, 사고 보고 등도 의무에 포함된다. 또 AI가 생성한 콘텐츠에 대한 명확한 표시 의무도 명시됐다. 

EU는 위반에 대한 강력한 제제도 법안에 포함해 제정된 AI법이 실질적 효과를 갖게 할 방침이다. EU는 위반 시에는 글로벌 매출 기준으로 최대 7%의 과징금이 부과될 수 있는 방안을 AI법에 포함시켰다.

◆美 정부, 구매력으로 간접규제
UN에서는 지속가능한 개발을 위한 안전하고 신뢰할 수 있는 AI 시스템에 대한 결의안이 발표됐다. 미국이 최초 제안한 이 결의안은 AI와 관련한 국제사회의 첫 번째 공식 합의라는 의미를 지니며 지난달 열린 UN 총회에서 만장일치로 통과됐다. 

UN 결의안은 안전하고 신뢰된 AI 시스템을 확보하기 위해 효과적인 안전장치 마련, 이를 위해 국제적 협력을 주요 골자로 한다.

특히 디지털화 격차 해소와 AI의 혜택이 개발도상국을 비롯한 전세계에 공유돼야 한다는 데 합의를 이뤄냈으며, 이번 결의안이 향후 국제사회의 AI 거버넌스 논의를 발전시킬 수 있는 토대가 될 것으로 기대된다.

이번 결의안 채택을 최초 제안한 미국도 AI 법안 마련에 속도를 내는 모습이다. 지난해 10월 AI 모델의 위험성을 연방정부에 통보해야 한다는 백악관의 행정명령의 후속조치로 지난달 말 공공기관의 AI 활용에 대한 가드레일을 발표했다. 

이번 가드레일에서는 AI를 활용하는 모든 공공기관이 국민의 안전과 권리를 위협하지 않는지의 여부를 평가해 연방정부에 제출하고, 부작용 방지를 위한 구체적 안전장치 마련을 의무화하고 있다.

이에 따라 AI를 활용하는 각 기관은 사용하는 AI 시스템의 전체 목록과 사용 이유를 온라인에 게시해야 하며, 최고AI관리자를 선임해 AI 활용을 총괄·감독할 수 있도록 한다고 규정했다. 

공공기관 AI 가드레일을 발표한 카말라 해리스 미국 부통령은 “정부와 시민사회 리더들은 AI가 잠재적인 위험으로부터 대중을 보호하는 방식으로 채택·발전되도록 하는 동시에 모든 사람이 AI의 완전한 혜택을 누릴 수 있도록 보장해야 하는 도덕적·윤리적·사회적의무가 있다”며 “이번 가드레일이 (AI 남용을 방지하는) 글로벌 모델이 될 것”이라고 말했다. 

◆관련 규제 확산, 우리나라는?
미국정부의 공공기관 가드레일은 AI 산업의 자율 규제에 긍정적 영향을 미칠 것으로 기대된다. 정부는 상용 기술의 대규모 구매자로, 막강한 구매력을 활용함으로써 AI 산업의 자율적 규제를 이끌어 내는 간접적 규제가 가능하기 때문이다. 

중국과 일본의 경우에는 국가 차원의 AI 규제 도입을 검토하고 있다고 알려지지만, 미국과 같이 아직까지 구체적 법안이 마련된 상황은 아니다.

중국의 경우에는 AI 생성 콘텐츠에 라벨 부착, 개인정보보호 규정 준수 등 가이드라인만 발효된 상황이며, 일본도 아직까지는 검토 단계에 그치고 있다. 

우리나라도 중국·일본과 마찬가지로 구체적 AI 법률이 제정까지 이뤄지지 않은 상태다.

제21대 국회에서 10여개 AI 법안이 발의됐지만, 통과되지 못한 것이다. 22대 국회의원 선거를 앞둔 현재 입법은 사실상 어렵다고 볼 수 있으며, 5월30일 임기가 시작될 22대 국회에서 AI 산업 육성과 부작용 방지를 위해 조속한 AI 법안 마련을 기대해야 하는 상황이다.

AI 법안은 기업의 자유로운 활동을 제한하는 규제로 작용할 수 있지만, 동시에 안정적 산업 발전을 위한 법적 울타리를 구축할 수 있다는 의미도 지닌다. 따라서 미래 사회 혁신의 핵심기술인 AI 산업 발전을 위한 신속한 논의가 요구된다.

한편, 개인정보보호위원회는 최근 AI 서비스를 제공하는 사업자에 대해 개인정보보호 취약점에 대한 개선권고를 의결했다. 개선권고 대상으로 지목된 사업자는 구글, 네이버, 마이크로소프트(MS), 메타, 오픈AI, 뤼튼테크놀로지스 등 6개사다.

AI 학습 데이터에 포함된 개인정보 처리, 인적 검토 과정을 통한 사생활 침해, 개인정보 침해 예방·대응 조치와 투명성 등에 대한 미흡한 사항이 실태조사에서 발견돼 이에 대한 조치를 권고한 것이다.

개인정보보호위원회에 따르면, 한국인터넷진흥원(KISA)과 진행한 실태조사에서 각 기업의 대규모언어모델(LLM) 학습 데이터 수집 과정에서 주민등록번호·신용카드번호 등이 수집되거나, 이러한 민감정보의 대한 사전 제거 조치가 이뤄지지 않는 취약점이 발견됐다.

개인정보보호위원회는 이용자가 AI챗봇과 나눈 대화를 사람이 검토할 수 있다는 사실에 대한 명확한 고지도 권고했다.

현재 LLM 기반 AI 서비스 사업자들은 AI챗봇 모델의 답변 정확도를 높이기 위해 인력을 통해 질의/답변 내용을 검토하고, 데이터셋을 구축하고 있는데, 이에 대한 사용자 고지가 명확하게 이뤄지지 않고 있어 취약점을 유발할 수 있다는 지적이다.

개인정보보호위원회는 “AI챗봇 대화의 인력 검토는 민감정보 유출, 사생활 침해 등으로 이어질 수 있어 명확한 고지가 수반돼야 하며, 동시에 민감정보 보호를 위해 이용자가 입력 데이터를 손쉽게 삭제할 수 있도록 접근성을 높이는 방안도 필요하다”고 짚었다.

이어“개인정보보호위는 AI 산업 변화에 맞춰 정보 주체의 개인정보를 안전하게 보호할 수 있도록 지속적으로 모니터링해 가이드라인 마련, 개인정보 강화 기술 개발 등의 후속 조치를 취하겠다”고 덧붙였다.