EU, 질주하는 AI 개발에 Stop사인을 꽂다

규제 선진국 EU의 AI 규제 노력

AI의 질주를 누가 멈춰 세울 수 있나

고삐 풀린 AI가 질주하고 있다. 생성형 AI 광풍을 이끌었던 OpenAI는 올해 5월 AI안전팀인 ‘‘슈퍼얼라인먼트(superalignment)’팀을 해체했다. 이 팀을 이끌던 OpenAI 공동 창립자 일리야 수츠케버와 팀의 공동 리더였던 얀 라이크는 회사를 떠났다. 얀 라이크는 OpenAI에서 AI안전이 “반짝이는(shiny) 프로덕트”에 밀려 뒷전이 되었다고 비판했다. 구글에서는 OpenAI의 약진에 코드레드 (code red)를 발령하고 헐레벌떡 추격에 나섰다가 안전 문제를 놓쳐 피차이 CEO가 스스로 ‘용납할 수 없다'라고 표현한 오류를 가진 프로덕트를 내놓고 말았다. 

OpenAI를 떠난 수츠케버 / 코드레드 발령 후 피차이의 도움을 요청받은 구글 창업자 세르게이와 레리

AI 선두주자들에 대해 안전성 우려가 커지면서 AI 규제 강화 목소리도 커지고 있다. 심지어 AI 선두 기업들 내부에서도 이 같은 우려가 제기되고 있다. OpenAI, 구글 딥마인드, Anthropic 등 전·현직 정보기술(IT) 업계 종사자들이 나서서 ‘첨단 AI에 대해 경고할 권리(A Right to Warn about Advanced Artificial Intelligence)’라는 제목의 공동 성명을 내고 기술의 위험성을 경고하기도 했다. 이들은 이 성명에서 “기업 자체 규제만으로 한계가 있는 만큼 적절한 입법이 필요하다”라고 주장했다. OpenAI에서는 내부 직원들이 안전에 대한 내부 고발을 금지하는 계약을 파기해 달라고 정부 당국에 요청하는 일도 있었다.

기업들은 치열한 경쟁 속에서 안전보다 속도를 우선시하고 있는 듯하다. 인류라는 공유지가 비극을 향해 치닿을지 모른다는 시장 실패의 우려는 자연스레 정부로 눈을 향하게 만든다. 느리고 복잡하다고 비판받는 것은 전 세계 모든 정부의 공통점인 듯도 한데, 과연 정부가 광속질주 중인 AI의 발전에 발맞추어 제 역할을 할 수 있을까. 규제 분야에서 큰 형님으로 존재감을 과시하는 EU는 어떻게 하고 있을까?

기술은 몰라도 규제는 내가 으뜸 - EU, 세계 최초의 AI 규제법 통과 

EU 의회 

2024년 3월, 유럽연합(EU)은 세계 최초로 ‘인공지능 규제법(AI Act)’을 통과시켰다. 통과된 AI 규제법은 유럽의회에서 가결된 법으로 회원국들의 개별 입법을 요하지 않고 바로 회원국 내에서 효력을 갖는다. EU의 AI 규제법은  AI 관련 규제 중 최초로 구속력 있는 규제로 알려져 있다. 위반하면 해당 회사 세계 매출(EU지역 내 매출이 아니라 전 세계 매출 기준이다!)의 최대 7%에 해당하는 벌금이 부과된다. 벌금 상한선은 최대 3,500만 유로(약 517억 원)다. 법안은 향후 3개월 후인 2024년 4분기 금지조항(Prohibitions)부터 효력이 생기고, 36개월 동안 단계적으로 확대 적용되어 2026년 전면 시행된다.

EU는 규제 선진국이다(EU는 하나의 국가가 아닌 27개 회원국의 연합체이지만 편의상 선진국이라고 한다). 기술면에서는 미국이나 중국이 앞서갈지 모르지만 규제 영역에 있어서는 EU가 앞서간다는 평을 받는다. AI와 디지털전환 등 첨단기술 분야에서 처지는 기술력(하드파워)을 규범력(소프트파워)으로 보완하고 있다. 표준 선점을 통한 기술의 열세를 극복하려는 시도다. 티에리 브르통 EU 내수시장 집행위원(Thierry Breton, European Commissioner for Internal Market)은 AI 규제법 통과에 대해 “유럽이 AI 분야에서 글로벌 표준을 제시했다”라고 밝히기도 했다.

EU의 디지털 표준 선점 전략은 과거 사례에서도 발견된다. 2018년부터 시행된 GDPR(General Data Protection Regulation)은 개인정보 보호에 대한 글로벌 규범을 선도했고, 2022년에 통과되어 올해 시행 중인 DSA (Digital Services Act)와 DMA(Digital Market Act)는 각각 온라인 플랫폼상 불법·유해 콘텐츠 유통 방지와 불공정 경쟁 행위를 막기 위한 규제로 “가장 앞선 규제”인 동시에 “가장 강력한 규제”라는 평가를 받고 있다. 이들 규제 모두 AI 규제법과 공통적으로 위반 시 전 세계 매출 기준 벌금이 부과되고, DMA는 한발 더 나아가 조직적 위반의 경우 20%까지 과징금이 올라간다. 이번에 통과된 AI 규제법도 이 GDPR, DSA, DMA에 크게 의존하고 있다.

규제선진국 EU의 AI 규제법은 어떻게 생겨먹었나

법안 분석만큼 지루한 일도 드물기 때문에 비교를 통해 간결히 세 가지 특징만 뽑아 최대한 흥미롭게 설명해 보도록 하겠다. EU가 경계하고 경쟁하는 라이벌, 미국의 규제와 비교했을 때 EU AI 규제법은 1. 포괄적 접근 (vs 섹터별 접근), 2. 위험기반 접근 (vs 기술기반 접근), 3. 선규제 (vs 선개발) 측면에서 차이를 보인다.

이미지 출처: https://www.techopedia.com/2024-is-the-year-of-ai-regulation

먼저 포괄절 접근 차원에서 EU의 AI 규제법은 섹터별(분야별)로 다른 형태의 AI규제를 시도하는 미국의 접근과 달리 전 분야에 대해 공통적인 예방적 원칙을 적용하고 있다. 교통, 헬스케어, 교육, 사이버안보 등 AI가 적용되는 다양한 섹터들에 대해서 서로 각기 다른 규제 기관이 모자이크 형식으로 AI 규제를 추진하기보다 EU 차원에서 모든 분야에 적용되는 원칙을 마련한 것이다. 

그 공통 원칙은 두 번째 특징인 위험기반 접근에 따라 형성되었다. 미국이 AI 도메인, AI 시스템, AI 모델 등에 기술과 기술이 적용되는 섹터에 따라 규제를 조형해 나가려 하는 반면, EU는 기술이 아닌 인류사회와 개인의 권리에 미치는 영향에 초점을 두고 위험 수준에 따라 AI를 규제한다. 총 4단계로 최고 단계인 ‘허용될 수 없는 위험(Unacceptable risk)’부터 ‘고위험’(High risk) ‘제한적 위험(Limited risk)’ ‘저위험(Minimal risk)’ 이 있다. 위험 수준이 높을수록 강한 통제와 제재를 받는다.

이미지 출처: https://eiec.kdi.re.kr/publish/naraView.do?fcode=00002000040000100010&cidx=14782&sel_year=20

최고 단계인 허용될 수 없는 위험군에 속한 기술은 금지 대상이다. 개인의 특성이나 행동을 데이터화하고 평가하여 점수를 매기는 ‘소셜 스코어링’은 전면 금지된다. 인터넷이나 CCTV에서 얼굴 이미지를 수집하여 AI로  신상을 인식하는 것과 같은 AI를 활용한 실시간 원격 생체인식 식별 시스템을 사용하는 것도 원칙적으로 금지다(중대 범죄 용의자를 수색하는 등 예외적인 경우는 제외된다). 이는 중국의 사회적 평점 시스템인 사회신용체계(社会 信用体系, Social Credit System)와 실시간 원격 생체정보기반 식별 시스템인 천망공정(天网工程, Skynet Project)을 구체적으로 염두에 두었던 것으로 알려져 있다. 더불어 개인의 잠재의식을 활용하여 어린이, 노약자, 장애인 등 특정그룹을 착취·조작하여 개인의 자유의지에 피해를 줄 수 있는 시스템도 허용되지 않는다. 또, 개인의 육체·정신적 특성을 활용하여 정치 성향·종교 신념·인종·성적 취향 등 민감한 데이터를 추론하기 위한 ‘생체 분류 시스템’도 금지된다.

고위험 등급으로 분류되는 기술로는 의료, 교육, 고용, 금융 등 핵심적인 공공 서비스와 이민이나 국경 관리처럼 국가 시스템과 밀접한 AI 시루들로 기술 사용 시 위험관리 시스템 구축 및 인간 관리자의 감독 아래 놓여야 한다. 딥페이크와 같은 제한적 위험에 해당되는 기술은 AI로 생성된 콘텐츠라는 사실을 식별할 수 있는 정보를 제공하고 정보의 투명성을 제고하고자 한다. 마지막으로 ‘스팸 필터’처럼 위험도가 낮은 AI 서비스나 혁신이나 비즈니스 운영과 관련하여 무해하다고 판단되는 경우 저위험 등급(minimal risk)으로 분류되어 약한 규제를 받는다.  

EU AI 규제법의 마지막으로 상대적 특징으로는 선기술 개발보다 선규제에 역점을 두고 있다는 점이다. 미국의 규제가 AI의 기술적 발전을 저해하지 않는 수준에서 유연성과 자율성을 부여하는 반면 EU의 규제는 사람과 사회에 미치는 영향을 방지하기 위한 예방적 접근법을 취한다. 개발하고 문제가 생기면 사후 대처에 나서기보다 잠재적 위험을 사전에 예방하고자 한다는 것이다. EU에 비하면 미국의 규제들은 기업 친화적이라는 평가가 나온다. 미국 주요 테크 기업에서는 EU의 AI 규제법이 혁신을 저해할 것이라며 과도한 규제에 대한 목소리를 전달해 왔고, 이를 저지하기 위한 로비도 상당했다고 알려져 있다. 

1. 포괄적 접근, 2. 위험기반 접근 , 3. 선규제라는 세 가지 특징 외에도 주목할 만한 점으로 범용 인공지능(General Purpose AI: GPAI)을 별도의 장(Chapter)으로 다루며 추가 의무를 부과했다는 점을 꼽을 수 있다. 2021년 초안이 발의될 때까지만 해도 생성형 AI가 주목받지 못했는데, OpenAI의 ChatGPT가 혜성같이 등장한 이유로 초미의 관심사가 되면서 입법 과정에서 범용 AI에 대한 규제가 입법 과정에서 추가되었다고 한다. GPAI 개발 기업들은 는 기술 문서 업데이트, 저작권법 준수, 학습데이터 요약본 공개 등 투명성 의무가 부과된다. 영향력이 큰 GPAI의 경우  시스템 위험의 평가 및 완화, 중대사고 및 시정조치 보고, 사이버 보안, 예상 에너지 소비 기록 및 보고 등 다양한 추가 의무사항이 주어졌다. 

EU의 접근 방식에 대한 비판

문제점 하나: 다 같은 AI 가 아닌데?

EU AI 규제법의 포괄적 특성이 일관성과 예측가능성을 제고할 것이라는 긍정적 시각도 있지만 문제로 지목되는 지점도 있다. AI의 사용방식과 영향이 각 분야별로 상이함에도 불구하고 획일적인 규제를 도입하게 되면, 서로 다른 종류의 특수한 시장실패에 대해 효과적으로 대응할 수 없다는 비판이다. 섹터 별로 다른 특수한 맥락을 고려하여 맞춤형 대응이 더 바람직할 수 있다는 주장과 궤를 같이 한다.  

문제점 둘: 모든 것을 하겠다는 건가?

EU AI 규제법이 AI에 부정적 영향에 초점을 두고 가능한 한 잠재적 위험에 대해 예방적 접근을 취하다 보니 그 적용 범위가 너무 광범위하다는 비판도 있다. AI 규제법이 실질적으로는 전산업적 규제로 이어질 수 있다는 비판이다. 현재 다양한 산업 전반에서 AI를 어떻게 더 활용할 수 있을지 많은 시도가 이루어지고 있어 규제 영역도 자연스럽게 확장될 것으로 예상된다. 이는 규제준수비용의 상승과 AI기술 발전을 전해할 수 있다는 우려로 이어진다.

문제점 셋: 어떻게 하라는 것인지?

EU AI 규제법의 구체성과 현실성이 떨어지고, 법규 내에서도 상충되는 내용들도 있어 혼란스럽다는 평가도 있다. 예를 들어 AI를 훈련시키는 데이터가 대표성, 무오류성, 완전성을 갖추어야 한다는 법적 의무를 명시하는데, 현실적으로 이 의무를 충족할 수 있는 방대한 양의 데이터를 모으는 것은 불가능에 가깝다. AI의 공정성을 담보하기 위해 때로는 정확성을 다소 희생해야 하는 경우도 있고, 인적 감시와 프라이버시 사이에 상충 관계도 나타날 수 있는데 이를 고려해서 규제를 어떻게 따라야 할지는 아직 불분명해 보인다. AI 규제법에서 열거한 AI 기술 다수가 아직 개발 초기 단계에 있고 본격 상용화가 이루어지지도 못한 상태에서 규제가 과도하게 기술 발전을 위축시킬 수 있다는 우려다. 빅 테크의 경우 이 모호하고 복잡한 규제를 뚫고 어떻게든 시장성을 갖출 방안을 찾아낼지도 모르나, 스타트업이나 중소형 사업체에는 새로운 진입장벽이 될 수 있다.

EU AI 규제법 추종이 답은 아닐지 모른다

EU의 AI규제법의 가치를 너무 빠르게 진화하는 AI기술의 ‘불확실성'과 전투에 투항하지 않은 점이라고 보는 시각도 있다. 보통의 규제가 해당 분야에 대한 이해가 선행된 후에 마련되기 마련인데, AI의 경우 기술 발전의 속도가 너무 빨라 이런 이해가 불가능함에도 불구하고, 그 막대한 파급력 때문에 규제에 먼저 발을 내디뎠다는 것이다. 바꿔 말하면 EU도 아직 명확한 답을 찾지는 못했다는 것이다.

언론에서 심심치 않게 한국에도 유럽식 선진규제가 필요하다는 섣부른 주장을 마주하게 된다. ‘한국형 DSA가 필요하다’, ‘유럽에는 선례가 있다' 등의 기사가 나오는데, 사실 유럽의 규제도 문제가 많다. EU가 깃발을 먼저 꼽았다고 무조건 추종할 일은 아니다. 이미 시행 중인 DSA와 GDPR, DMA도 완벽하지 않은 규제로 지양해야 할 점도 많다. 너무 쉽게 외부의 ‘선진국'을 이상화할 필요가 없다. 

그럼에도 배울만한 점: 잘 먹고 잘 사는 것보다 설득력 있는 가치가 있다면

EU는 이번 AI 규제법을 통해 AI산업 육성이나 경제적 득실보다 시민들의 권리, AI 기술의 민주적 통제와 이를 통한 정당성의 확보가 중요하다는 것을 분명히 했다. 이런 가치 지향적인 규제 움직임이 인상 깊다. AI 기술 발전을 저해할 것이라는 다양한 목소리와 비판, 빅테크 기업들의 로비에도 불구하고 과감히 스탑사인을 세운 점이 인상 깊다. 

이런 가치지향적 태도가 지나치게 이상주의적 접근으로만 보일 수 있지만, 사실은 EU의 이익에도 잘 부합하는 접근일 수도 있다. AI 규제법은 기술 경쟁에서 뒤처지고 있는 EU가 휘두를 수 있는 만능 규제 보검으로서도 제법 쓰임새가 있어 보인다. 규제선진국으로서 빅테크에게 먹일 수 있는 한 방을 마련한 것이다. 

EU는 AI 규제법 통과 하루 만인 3월 14일 전격적으로 미국의 X, 중국의 TikTok, 알리익스프레스에 대해 위반 여부 조사에 착수했다. 자국 산업보호가 아니고 인권과 민주주의 수호를 위해서라는데 돌을 던질 수 있을까? 이들의 원칙은 이제 말 뿐인 선언을 넘어 강제성을 갖춘 실효적 제도로 거듭났다. 

한국은 어떤 인류보편적 가치를 앞세워 규제를 정당화하면서 국익을 지킬 수 있을까. 과연 갈등과 분열이 점철된 이 사회에서 ‘잘 먹고 잘 살자' 이상의 가치에 합의를 이룰 수 있을까. 그 가치를 한국형 AI 규제법에 반영할 수 있는 규제 역량과 제도적 성숙도는 충분한가. 고민을 이어갈 필요가 있다.