유럽 연합의 인공지능 법 초안이 갖는 의미
유럽의 새로운 인공지능 규율
유럽연합의 인공지능 전략 추진 과정
유럽연합은 집행위(EC)를 중심으로 지속적으로 인공지능을 유럽연합 국가의 경쟁력 증진과 함께 유럽 시민의 가치를 보호하기 위해 어떻게 규율을 정할 것인지 논의하고 체계를 만들어 왔다. 2018년에 ‘유럽의 인공지능 전략’을 발표하고(1) 2019년에는 앞에서 소개한 전문가들의 조언을 바탕으로 신뢰할 수 있는 인공지능 가이드라인을 개발했으며, 2020년에는 신뢰할 수 있는 인공지능 평가 리스트를 만들었다. 동시에 2018년 12월에 소속 국가들과 함께 ‘인공지능에 대한 조정 계획’을 발간했다.
다시 2020년에 인공지능 백서(2)를 집행위가 발행하면서 유럽국가의 인공지능에 대한 명확한 비전을 제시했고, 이를 통해 수많은 기관과 단체가 논의에 참여하도록 했다. 여기에는 인공지능의 안전과 책임이 갖는 함의, 사물 인터넷과 로봇틱스에 대한 보고를 통해 현 제품의 안전에 대한 법안을 만들도록 했다. 추가로 백서에서는 인공지능 시스템이 안전하고, 투명하며, 윤리적이고, 편향되지 않고, 인간 제어 하에 있게 만들기 위한 규칙을 얘기하면서 인공지능에 의한 위험을 분류해 적용할 것을 제안했다.
유럽 의회나 유럽 위원회도 지속적으로 법률적 장치가 필요함을 역설해왔다. 2017년에는 유럽 위원회가 새롭게 등장하는 인공지능에 대해 긴급성을 갖고 다루어야 하며 동시에 데이터 보호, 디지털 권리, 윤리 표준을 보장해야 한다고 요청했다. 2019년에는 인공지능 개발과 사용에 대한 조정 계획에 관한 결론 등을 통해 유럽 시민의 권리가 충분히 보장되어야 하며, 인공지능 애플리케이션 중 어느 것이 고 위험에 속하는지 명확한 결정이 있어야 함을 요청했다.
유럽 의회 역시 많은 시간과 노력을 기울였는데, 2020년 10월에는 윤리, 책임, 저작권 등을 포함하는 인공지능 관련한 결의안을 채택했고, 2021년에는 범죄적 문제, 교육, 문화, 오디오와 영상 섹터에서 인공지능에 대한 후속 조치를 요청했다. 특히 인공지능, 로봇공학 및 관련 기술의 윤리적 측면에 대한 프레임워크 결의안은 인공지능의 기회와 혜택을 활용하면서 동시에 윤리 원칙을 확실하게 보호하기 위한 법안 제정을 제안하기도 했다.
계속 이어진 이 노력이 하나의 결실로 나온 것이 2021년 4월 21일에 발표한 인공지능 법안이다(3). 108페이지에 달하는 이 초안은 아직 미국도 명백한 법률을 제시하고 있지 못한 상황에서 매우 적극적인 행보를 보이고 있는 것이다.
이 법안이 최종 안이 되기 위해서는 유럽 의회와 유럽 27개 국가를 대표하는 유럽 위원회 모두에게 승인을 받아야 한다. 이후 각 국가의 기존 거버넌스 시스템을 통해서 집행이 이루어질 것이며, 협력 메커니즘은 유럽 인공지능 위원회 설립을 통해 연합 수준에서 실행을 할 예정이다. 추가적으로 혁신을 지원하기 위해 인공지능 법률 샌드박스도 제안했으며, 규율에 대한 부담을 줄이기 위해 중소기업과 스타트업을 지원하기 위한 지표도 만들 예정이다.
법안의 주요내용
유럽연합 집행위의 ‘디지털 시대에 맞는 유럽’ 프로그램의 부의장인 마르그레테 베스타거는 발표문을 통해 ‘인공지능 신뢰는 있으면 좋은 것이 아니라 반드시 갖추어야 하는 것이다.’라고 말하면서 ‘이 랜드마크 법안을 통해 유럽연합은 인공지능을 신뢰할 수 있게 만드는 새로운 글로벌 규범 개발을 선도하게 되었다.’ 라고 선언했다.
이 법이 확정되면 유럽연합 시민이 고객이거나 직원인 어떤 회사의 인공지능 시스템도 그 인공지능의 결정이 영향을 미치는 경우는 이 법에 적용을 받아야 하며, 법을 위반했을 때에는 3천만 유로 또는 글로벌 매출의 6%까지 (둘 중에 더 큰 쪽을 적용함) 벌금을 불릴 수 있다. 이 벌금은 뒤에 설명할 금지 대상의 인공지능 조항 위반과 학습용 데이터에 대한 조항 위반의 경우에 해당하며, 각 법률 조항 위반에 따라 각각 그 벌금의 규모가 다르다.
집행위가 이 법률 초안을 만들면서 내세운 인공지능 규율 프레임워크는 다음의 특정 목적을 이루어야 한다고 제안했다.
유럽연합 시장에 출시하거나 사용하는 인공지능 시스템이 기존의 기본 권리와 연합의 가치를 존중하면서 안전해야 함을 보장해야 한다.
인공지능에 대한 투자와 혁신을 활성화하기 위한 법률적 확실성을 보장해야 한다.
인공지능 시스템에 적용할 수 있는 기본 권리와 안전 요구사항에 관련한 기존 법률 거버넌스와 효과적인 집행을 개선해야 한다.
적법하고 안전하며 신뢰할 수 있는 인공지능 응용을 위한 싱글 마켓 개발을 촉진하고 시장 분열을 방지해야 한다.
타이틀 I에서는 이 법률이 적용되는 대상과 범위를 정의하고 있다. 유럽연합 내에서 사용하는 서비스로 특정 사용 영역을 제한하며, 고 위험 인공지능에 대한 요구사항과 의무, 사람과 상호작용하는 시스템에 대한 투명성, 그리고 시장 모니터링과 감시에 대한 법칙을 제시하고, 시스템 제공자, 사용자에 대한 정의를 하고 있다.
이 법안에서는 가장 눈에 띄는 부분은 앞에서 언급한 백서에서 제시한 위험 분류를 좀 더 명확히 만들었는데, 여기에는 용납할 수 없는 위험, 고 위험, 제한된 위험, 최소 위험의 네 범주가 있다. 타이틀 II에서는 금지 대상의 인공지능, 타이틀 III에서는 건강, 안정, 기본권에 대해 고 위험을 야기할 수 있는 인공지능에 대한 특정한 규칙을 제시한다.
타이틀 IV는 사람을 조작할 위험이 있는 시스템에 대해서 원칙을 제시하며, 타이틀 V 이후는 혁신 지원, 거버넌스와 법률 실현 과정에 대한 원칙, 행동 강령, 의무, 벌금 등을 기술하고 있다.
용납할 수 없는 수준의 위험은 사람들의 안전, 생활, 권리에 명확한 위협이 되는 인공지능 시스템으로 확인되면 사용을 금지한다. 여기에는 사람의 자유 의지를 회피하면서 행동을 조작하는 시스템이 해당하는데, 예를 들면 미성년자의 위험한 행동을 유발하게 만드는 음성 비서를 이용하는 장난감 같은 것이 있다. 또 다른 것으로는 정부에 의해 사람들에 대한 ‘사회적 점수 매기기’ 같은 시스템이다.
고위험에 속하는 시스템은 다음과 같은 것이 해당되며, 예를 제시하고 있다.
시민의 생명과 건강을 위험하게 만들 수 있는 중요 인프라 (예: 교통)
학습이나 전문 과정에 대한 접근을 결정하는 교육이나 직업 훈련
제품의 안전 관련 부품 (예: 로봇 수술에서의 인공지능 애플리케이션)
고용, 노동자 관리, 자영업에 대한 접근 (예: 채용 과정을 위한 이력서 분류 소프트웨어)
필수적인 민간이나 공공 서비스 (예: 대출 얻을 기회를 부정하는 신용 점수 매기기)
시민의 기본권을 침해할 수 있는 법 집행 (예: 증거 신뢰도에 대한 평가)
이민, 망명, 국경 통제 관리 (예: 여행 문서의 진위를 검증하는 일)
사법 행정과 민주적 절차 (예: 구체적인 사실에 법을 적용하는 일)
이와 같은 고위험 인공지능 시스템은 시장에 나오기 전에 엄격한 의무를 따라야 한다는 것을 명시하고 있다. 엄격한 의무라는 것은 다음과 같은 것을 말한다.
충분한 위험 평가와 완화 시스템
위험과 차별적 결과를 최소화할 수 있는 고 품질의 데이터셋
결과를 추적할 수 있음을 보장하는 행위 기록
시스템에 필요한 모든 정보와 준수를 평가하기 위한 기관의 목적에 필요한 상세한 문서
사용자에게 명확하고 충분한 정보 제공
위험을 최소화하기 위한 사람에 의한 적절한 수준의 관리
고 수준의 견고성, 보안 그리고 정확성
특히, 원격에서 이루어지는 모든 생체 인식 시스템은 고위험으로 고려해야 하며 엄격한 요구사항을 따라야 한다. 이를 공개적으로 접근할 수 있는 장소에서 법 집행 목적을 위해 바로 실행하는 것은 원칙적으로 금지해야 한다고 말한다.
저위험 인공지능 시스템은 특정한 투명성 의무를 갖는데, 챗봇과 같은 인공지능 시스템을 사용할 때 사용자는 자신이 기계와 상호작용을 하고 있다는 것을 알게 해야 하며, 이런 정보를 통해 계속할 지 아니면 그만 둘지를 결정할 수 있게 해야 한다.
최소 위험을 갖는 시스템은 인공지능을 이용하는 비디오 게임이나 스팸 필터 같은 것인 것, 이미 이 범주의 시스템은 널리 사용하고 있기 때문에 이번 법안 제안 드래프트에는 포함하고 있지 않는다.
이런 것을 총괄할 수 있는 거버넌스로 집행위는 유럽 인공지능 위원회를 창설해 새로운 법을 감독하고 시장을 감시할 것을 제안하고 있다. 위원회를 통해 인공지능에 대한 표준의 개발과 구현을 촉진하고자 한다. 추가로 책임 있는 혁신을 촉진하기 위한 규제 샌드박스와 함께 고위험이 아닌 인공지능 시스템을 위한 자발적 행동 강령을 제안했다.
유럽연합 인공지능 법안이 갖는 의미
유럽연합 집행부의 이 초안은 아직 미국이나 다른 나라가 명확한 법을 갖고 있지 않다는 점에서 매우 중요한 참고 자료가 될 것으로 본다. 특히 인공지능에서 ‘신뢰’를 가지면 좋은 것이 아니라 반드시 갖추어야 할 조건으로 설정한 것이 큰 의미가 있다.
이는 유럽연합이 개인정보와 데이터에 관한 GDPR을 통해 유럽 시장에 영향을 주는 모든 기업이 이를 준수하게 만드는데 성공한 이후, 유럽이 기술 개발에서 미국이나 중국을 넘어선다는 기대를 하기 보다는 이런 법률과 제도적 장치를 통해 세계 인공지능 기술 개발과 시장 영향력을 키우겠다는 의지가 강하게 표출된 결과이다.
이 법이 확정되면 유럽연합 시민에게 영향을 주는 인공지능 시스템은 모두 이 법을 준수해야 하며, 4억 5천만 명에 달하는 사람이 있는 이 시장은 결코 어느 기업도 무시할 수 없는 지역이기 때문이다.
법안 초안이 나올 때까지 유럽의 전략부터 시작하면 5년 이상이 걸린 것이고, 고위 전문가들의 참여와 각 국의 의견 조정, 백서를 위한 기관과 단체의 참여, 그리고 기존 GDPR의 경험이 밑바탕이 된 것으로 볼 수 있다.
이미 영국이나 프랑스는 자국의 인공지능 전략을 통해 인공지능 기술과 산업이 규모 면에서 미국이나 중국을 넘어서기 어렵다는 평가를 했고, 이런 규율과 프레임워크를 기반으로 새로운 경쟁력을 갖추려고 했다.
이를 위해 프랑스는 캐나다와 인공지능 윤리 이슈를 통해 협력을 꾀했으며 2020년에는 인공지능을 위한 글로벌 파트너십(GPAI)이라는 협의체를 도출해 냈다(4). 이는 G7 미팅과 OECD 협의를 통해서 이루어진 결과이며, 설립 멤버는 15개 국가로 되어 있다. 2020년 12월에는 브라질, 네덜란드, 폴란드, 스페인 등이 추가로 합류했다. GPAI는 책임 있는 인공지능, 데이터 거버넌스, 노동의 미래, 혁신과 상업화 네 개의 분과를 통해서 과업을 수행할 예정이다.
이번 법안 발표를 이끈 마르게리테 베스타거 부의장은 최근 몇 년 동안 경쟁을 위한 유럽연합 집행위원을 역임했는데, 이는 페이스북, 구글, 애플을 포함한 미국의 거대 테크 기업에 대한 반독점 수사에 적극적으로 참여한 인물이다.
따라서, 2018년에 만든 GDPR과 마찬가지로 이 법안은 미국과 다른 국가에게 하나의 본보기를 제공할 수 있을 것으로 본다. 미국에서는 인공지능에 규율을 적용하고자 하는 논의가 주 정부나 연방 정부 수준에서 이루어졌고, 2020년에 최소 13개 주에서 인공지능 법안이나 결의안이 나오기는 했지만 공식 법안까지 나오지는 못했다.
포츈 잡지에 따르면 미국의 주요 테크 거인들은 이미 이 법률 제안에 반대의 의견을 내고 있으며, 워싱턴의 싱크 탱크 중 하나인 ‘데이터 혁신 센터’의 정책 분석가는 이 법안이 유럽이 글로벌 인공지능 리더가 되는데 큰 타격을 줄 것이고 미국과 중국과의 격차를 더 늘릴 것이다.’라고 말하고 있다(5).
이 법안에 비판적인 사람들은 현재 제안된 법에서 용어가 모호한 것이 많으며 많은 회사에게 잠재적인 법 해석 늪에 빠지게 할 수 있기 때문에 향후 법을 구체적으로 구현하는 과정에서 좀 더 명료한 정의가 필요하다고 주장한다. 특히 조작적인 인공지능에 대한 정의에서 상당한 법적 공방이 예상되며, 고위험 인공지능에 대한 복잡한 규율과 기술 요구 사항이 사회적으로 혜택이 되는 인공지능 응용에 대한 감소를 가져올 수 있음을 지적한다. 또한, ‘적절한 인간 감독’이라는 것이 무엇을 말하는 것인지 확실하지 않다는 점도 있다.
앞으로 이 법안이 공식 법안이 되기까지는 아마 2년 정도 더 걸릴 것으로 보며, 유럽 의회의 다음 의장이 프랑스이기 때문에 이 법을 포함해 다른 관련 디지털 규율을 어떻게 이끌어 나갈 것인지 그 역할이 중요할 것이다.
* 본 원고는 KISA Report에 필자가 기고한 것으로 한국인터넷진흥원 홈페이지(https://www.kisa.or.kr/public/library/IS_List.jsp)에서도 확인하실 수 있습니다.
