협력적 거버넌스 프레임워크에 대한 분석과 최신 동향, 그리고 시사점
Celso Cancela-Outeda의 논문 "The EU's AI act: A framework for collaborative governance"(Internet of Things Volume 27, October 2024, 101291)에서는 EU AI 법(AIA)이 AI의 윤리적이고 책임 있는 사용을 보장하고 혁신과 기본권 보호 사이의 균형을 맞추기 위해 '협력적 거버넌스'(collaborative governance)라는 독특한 구조를 채택하고 있음을 비판적으로 조명한다. 이 논문을 통해 EU AI법을 조명해보고, EU AI법의 최신 동향과 시사점을 알아본다.
저자는 AI의 복잡성과 빠른 발전 속도 때문에 단일 기관의 규제가 불가능하며, 유럽 및 국가 기관 및 다양한 이해관계자들의 지식과 전문성을 통합하는 분산적이면서도 조정된 거버넌스 시스템이 필수적임을 강조하며, AI 사무소(Office)를 중심으로 하는 이 협력적 메커니즘이 효과적이고 공정하게 작동할 수 있을지에 대해 질문하고, 특히 산업계의 과도한 영향력(자율 거버넌스)으로 인해 규제 의도가 약화될 수 있는 위험을 비판적으로 지적한다(para. 55).
AI 규제의 출발점은 2018년 4월 유럽 AI 전략(European AI Strategy)에서 비롯되었는데, 이 전략은 AI를 '21세기 가장 전략적인 기술'로 규정하고 투자 확대, 데이터 가용성, 인재 육성, 윤리적 AI 개발을 목표로 하는 'AI 조정 계획'(coordinated plan on AI)**을 통해 구체화되었다(paras. 13, 14). 이 과정에서 AI 고위 전문가 그룹(AI HLEG)이 2019년에 AI가 합법적, 윤리적, 견고해야 한다는 'AI 윤리 지침'(ethics guidelines for AI)을 발표하며 법적 프레임워크의 윤리적 토대를 마련했는데(para. 15), 이 지침은 인간의 주도성, 기술적 안전, 투명성, 책임성 등의 핵심 요구 사항을 강조한 '인간 중심 인공지능에 대한 신뢰 구축' 커뮤니케이션과 신뢰할 수 있는 AI 평가 목록(ALTAI)을 통해 실제 구현을 위한 도구로 발전했다(para. 16). 2020년 2월, 유럽 위원회(EC)는 AI 백서와 유럽 데이터 전략을 발표하며 데이터의 중요성을 강조하고, AI 개발의 원료인 데이터의 자유로운 순환을 위한 '공동 유럽 데이터 공간' 구축을 제안했으며(paras. 17, 18), 마침내 2021년 4월, EC는 AI 사용을 허용 불가능, 고위험, 제한적, 최소 네 가지 위험 수준으로 분류하는 위험 기반 접근 방식을 채택한 'AI 규정 제안'(Proposal for a Regulation on AI)을 공식적으로 제출하기에 이른다(paras. 19, 20). 이 법안은 2023년 6월 유럽 의회의 협상 입장을 거치면서 고위험 AI에 대한 규정을 강화하고, 특히 생성형 AI(generative AI)에 대한 투명성 의무와 특정 용도에 대한 금지 조항을 추가하며 발전했고(para. 25), 2024년 3월 유럽 의회 투표를 통해 승인되었으며, AIA 제113조에 따라 점진적인 적용 일정이 정해졌다(paras. 27, 28).
AIA의 핵심 구조는 협력적 거버넌스 시스템이다. 이는 AI 거버넌스가 AI 기술 사용이 조직의 전략, 법적 요구 사항 및 윤리적 원칙과 일치하도록 보장하는 규칙과 프로세스 시스템을 의미하며(para. 31), 이는 AIA 제7장(제64조~제70조)에 명시되어 있는데(para. 33), 이 시스템의 중심에는 2024년 2월에 설립된 '유럽 AI 사무소'(European AI Office)가 있으며 (paras. 36, 37), 이 사무소는 AI 분야의 전문 지식과 역량을 개발하고, 특히 범용 AI(general-purpose AI)에 관한 규칙의 이행 및 집행을 감독하며, 다른 EU 법규와의 규제 조정을 담당한다(paras. 37, 38). AI 사무소는 이해관계자와의 협력을 통해 업무를 수행하며, 이는 AI의 복잡성에 대응하기 위한 다학제적 접근의 일환인데(para. 39), 유럽 수준의 거버넌스는 AI 사무소 외에도 유럽 인공지능 이사회(European Artificial Intelligence Board, AIA 제65조)를 통해 보완되며, 이사회는 회원국 대표들로 구성되어 규정의 일관된 적용을 촉진한다(paras. 40, 42). 이사회는 자문 포럼(advisory forum, AIA 제67조)과 과학 패널(scientific panel, AIA 제68조)의 기술적 및 과학적 전문성 지원을 받으며(paras. 43, 44), 국가 차원에서는 AIA 제70조에 따라 국가 역량 당국(national competent authorities)이 지정되어 국내 수준의 규칙 이행을 감독하고, 유럽 AI 사무소는 유럽 수준에서 이들의 조정을 보장하는 중심축 역할을 수행하게 된다(paras. 45, 46, 49). 저자는 이러한 중앙(EU)과 지방(국가) 당국 간의 네트워크와 협력이 AI 규제의 효과적인 구현을 위한 핵심임을 강조하지만(para. 50), 동시에 권력 불균형으로 인해 산업계가 규제에 과도한 영향력을 행사할 위험이 있음을 경고한다(paras. 55, 56).
AIA는 2024년 5월 공식 공포된 후 공포 20일이 지난 시점에 이미 발효되었으며, 그 적용은 법의 복잡성과 광범위한 영향을 고려하여 단계적으로 진행되고 있다. 현재 법의 주요 조항들은 다음과 같은 시간표에 따라 적용되었거나 적용을 앞두고 있다. 먼저, 허용 불가능한 AI 관행(prohibited AI practices)에 관한 조항들은 법 발효 후 6개월 시점(2024년 말)에 적용이 시작되어 현재 시행 중이다. 그리고 범용 AI(General-Purpose AI, GPAI)에 대한 의무 사항과 이를 감독할 유럽 AI 사무소(European AI Office)의 기능 등 관련 조항들은 발효 후 12개월 시점(2025년 중반)에 적용이 이미 시작되어 현재 본격적인 규제 활동이 진행되고 있다. 이 시점의 가장 최신 동향은 AI 사무소가 GPAI 모델, 특히 OpenAI의 GPT-4 및 Google의 Gemini와 같은 대규모 모델을 중심으로 잠재적 시스템 리스크를 관리하고 투명성, 위험 완화, 모델 평가 및 테스트 의무 이행을 집중적으로 준비하고 있다는 점이다.
앞으로는 가장 광범위하고 복잡한 의무 사항을 포함하는 고위험 AI 시스템(High-Risk AI systems)에 대한 규칙은 AIA 발효 후 24개월 후인 2026년 중반부터 적용될 예정이다. 이에 대비하여 고위험 AI 시스템의 기술적 요구 사항에 대한 표준(standards) 개발이 유럽 표준화 기구(CEN/CENELEC)를 통해 활발히 진행되고 있으며, 이 표준들은 기업들이 향후 규제 준수(compliance)를 입증하는 데 필수적인 도구가 될 것이다. 최종적으로 AI 시스템의 위험 분류 및 관련된 모든 의무사항을 포함하여 법의 모든 조항은 발효 후 36개월 후인 2027년 중반에 전면 적용될 예정이다.
EU AI 법의 협력적 거버넌스 구조와 위험 기반 접근 방식은 현재 대한민국 AI 규제 및 알고리즘 규제에 중요한 시사점을 제공한다.
첫째, 대한민국은 「인공지능 산업 육성 및 신뢰 기반 조성 등에 관한 법률(AI 기본법)」이 이미 국회를 통과하여 2026년 1월 시행을 앞두고 있음에도 불구하고, 해당 법률이 AI 산업 진흥에 무게를 두는 경향이 있어 EU AIA와 같은 규제적 구속력이 상대적으로 약하다는 평가가 있다. 따라서 EU AIA가 채택한 위험 기반 접근 방식은 한국의 AI 기본법이 추구하는 '신뢰 기반 조성'이라는 목표를 실질적으로 달성하기 위해 세부적인 이행 단계에서 반드시 보완되어야 할 핵심 기준을 제시한다. 구체적으로, 한국은 EU AIA처럼 AI 시스템의 위험 수준을 명확히 정의하고, 고위험 영역에 대해서는 투명성, 설명 가능성, 인적 감독 등의 강제적인 의무를 부과하는 세부 규정을 시행령 및 후속 입법을 통해 구체화할 필요가 있다.
둘째, EU의 유럽 AI 사무소(European AI Office) 설립은 한국에 중앙 집중적이고 전문적인 AI 거버넌스 전담 기구의 필요성을 시사한다. 현재 한국은 AI 관련 기능이 과학기술정보통신부(진흥), 개인정보보호위원회(규제/보호), 행정안전부(공공 데이터) 등 여러 부처에 분산되어 있어 정책 및 규제 집행의 일관성 확보에 어려움이 존재한다. EU AI 사무소가 범용 AI(GPAI) 모델과 그 시스템적 위험을 전담하여 평가하고, 부처 간의 규제 충돌을 조정하는 역할을 수행하듯이, 한국도 AI 기본법 시행에 발맞춰 AI와 데이터 거버넌스 기능을 통합하고 조정할 수 있는 중앙 조정 기관을 설립하거나 기존 기관의 권한을 대폭 강화하여 규제의 일관성과 실효성을 확보해야 한다.
셋째, EU AIA의 투명성 및 설명 가능성 의무는 한국의 개인정보보호법상 '자동화된 결정에 대한 정보주체의 권리'와 맥을 같이 하지만, 한국의 규정은 그 적용 범위와 의무 수준이 여전히 불분명하다는 한계가 있다. 한국은 EU AIA의 요구 사항을 참고하여 고위험 알고리즘에 대해 구체적인 기술적 문서화 및 감사 의무를 명확히 부과하고, AI 시스템이 왜 특정 결정을 내렸는지(설명 가능성)에 대한 방법론적 지침을 개발함으로써 기업의 법적 불확실성을 해소하고 정보주체의 권리를 실질적으로 보장해야 한다.
마지막으로, EU가 국제적 상호 운용성을 강조하듯이, 한국도 AI 규제 프레임워크를 OECD AI 원칙, G7 AI 코드 오브 컨덕트(G7 Code of Conduct for Advanced AI Development; 미국, 영국, 프랑스, 독일, 이탈리아, 캐나다, 일본 및 유럽연합이 히로시마 AI 프로세스를 통해 합의하고 발표한, 선진 AI 시스템을 개발하는 기업들을 위한 자발적 행동 강령 및 지침) 등 글로벌 표준에 정합시키고, EU AI 법을 포함한 주요국 규제와의 상호 운용성(interoperability)을 염두에 두어 국내 기업의 글로벌 시장 진출 장벽을 낮추는 전략적이고 선제적인 외교 및 규제 접근이 필요하다.