[산업일보]
→‘[EU AI법으로 보는 K-AI법①] AI 혁신 vs 규제, 균형점을 찾아야’ 기사에서 이어집니다.
유럽연합의 AI법(EU AI Act)은 AI(인공지능) 기술의 급속한 발전으로, AI의 신뢰성을 보장하기 위한 규제의 필요성에 따라 제정됐다.
이 법은 AI 서비스를 위험도에 따라 4가지로 분류하고 규제 정도를 조절함으로써, EU내 AI 사용자의 인권을 보호하면서도 AI 기업의 경쟁력을 강화하는 균형을 맞추는데 주안을 뒀다는 평가를 받고 있다.
“EU AI 법, 특정 상황 맞춰 정교하게 설계돼”
네이버의 손지윤 이사는 “EU AI Act는 AI 파운데이션 모델과 범용 AI 시스템의 개념을 구분하고 있다”라며 “위험성을 평가하고 규제가 필요한 분야는 AI 모델이 아니라, 그에서 파생된 시스템이라고 본 것”이라고 말했다.
이어, “현재 한국에서 논의 중인 AI법은 EU와 달리 파운데이션 모델에 대한 규제하려는 움직임은 찾아보기 어렵다는 것이 지배적인 의견”이라고 전했다.
손 이사는 “EU AI법의 챕터1 총칙을 살펴보면, General-Purpose AI(GPAI, 범용 인공지능) 모델이라는 단어와 GPAI 시스템이라는 조항이 따로 있다”라며 “GPAI 모델은 수행 가능한 작업의 범용성이 넓고 광범위한 응용시스템으로 통합이 가능해야 하며, GPAI 시스템은 이러한 모델을 기초로 직접 사용할 수 있거나 다른 시스템과 결합해 다양한 용도의 목적을 달성할 수 있어야 한다”라고 했다.
풀이해 보면, 전 세계를 AI 열풍에 휩싸이게 한 OpeaAI의 ChatGPT와 같은 생성형 AI는 GPAI 모델을 기반으로 텍스트 생성과 같은 특정 작업을 수행하는 GPAI 시스템이라는 것이다.
그는 EU의 AI법의 2021년 최초 규제 논의 과정에서는 GPAI 모델에 대한 표현이 존재하지 않았는데, 2022년 ChatGPT를 비롯한 GPAI 모델 기반 이미지·텍스트 생성 서비스가 흥행하면서 법안 문구로 등장했다고 설명했다.
이후 EU 집행위원회 내에서는 위험 등급에 따라 파운데이션 AI 모델을 규제하자는 주장이 나왔지만, 프랑스·독일·이탈리아 등이 AI산업 경쟁력 약화 우려를 이유로 반발하면서 자율규제로 타협안이 도출됐다는 것이다.
EU AI Act는 크게 5개의 챕터로 이루어져 있는데, 총칙인 챕터1 이후 챕터2와 챕터3은 AI 시스템에 대한 등급별 규제에 대해 다루고 있다. 챕터4는 특정 AI 시스템 공급·배포자에 대한 투명성 의무를 내용으로 하고, AI 파운데이션 모델은 챕터5에서 대응하고 있다.
손지윤 이사는 “챕터 5에서는 강력한 영향력을 가진 GPAI 모델을 ‘High Impact Capabilities(HIC, 구조적 위험성)’로 분류한다”라며 “HIC는 현존하는 최고성능의 모델과 동등 또는 상회하는 성능을 의미하며, ‘절대적인 부동 소수점 연산 횟수(FLOPs)’를 따져보면 현재 4개 사업자 정도가 규제 대상에 들어갈 것으로 예상된다”라고 덧붙였다.
손 이사는 “EU AI법에서는 HIC GPAI 모델 공급자와 모든 GPAI모델 공급자를 나눠서 의무를 규정하고 있기도 하다”라고 소개했다
모든 GPAI 공급자는 기술문서(technicial documentation)를 작성하고 최신 상태로 유지하며, GPAI 모델 기반의 응용 시스템 공급자에게 모델 정보를 최신 상태로 제공해 공급자가 AI 모델의 성능 및 한계를 이해하게 해야 한다.
또한 EU의 저작권 관련법 준수를 위한 정책을 수립하고, ‘데이터 크롤링 허용 및 금지 조건(Directive(EU) 2019/790 4조(3))’에 따라 권리 보유자가 표시한 권리를 최신 기술로 식별하고 준수할 의무가 있다. AI 모델 학습 콘텐츠의 상세 요약자료를 작성해 대중에게 공개하라는 조항도 존재한다.
HIC GPAI 모델 공급자에게는 ▲표준화된 프로토콜 및 도구에 따른 모델 평가 수행 의무 ▲잠재적 시스템 위험 평가 및 완화 의무 ▲심각한 사건사고 및 교정조치 관련 정보는 지체없이 관할 당국에 문서화해 보고할 의무 ▲물리적 인프라에 대한 적정 수준의 사이버 보안 보장 의무 4가지가 추가된다.
그러나, 이 의무들은 EU AI Act에서 규정한 ‘Code of Practice(자율규제)’를 준수하면, 모든 GPAI 공급자의 의무를 표준규제가 마련되기 전까지 충족한 것으로 추정한다는 단서도 마련됐다.
손지윤 이사는 “EU가 AI법을 만들면서 진통을 겪었던 이유가 막연히 생성형 AI 때문이라고 이해하고 있는 분들이 많은데, 실제 규제가 이뤄졌던 것은 파운데이션 모델로 규제의 내용도 특정 상황에 맞춰 정교하게 설계돼 있다”라며 “아주 무거운 규제는 가장 높은 수준의 기술적 영향력을 가진 모델에만 제한돼 있고, 표준화 정립이 되지 않아 전문가들이 모여 Code of Practice를 만드는 상황”이라고 동향을 전했다.
“EU AI Act, AI 산업 진흥과 혁신 동력 지원하는 제도 존재”
김앤장 법률사무소의 강지원 변호사는 “EU AI Act는 규제법은 맞지만, AI 산업 발전을 위해 혁신의 속도나 방향성을 놓치지 않도록 제도적인 장치들을 열어두고 있다”라고 평가했다.
EU AI Act는 ‘고위험 AI’를 제품 안전성에 영향을 미치거나, 건강·안전·기본권에 영향을 주는 두 가지 유형으로 분류했다. 그러나, 개인에 대한 프로파일링을 제외하고 ▲협소한 절차적 과업 수행 ▲인간의 업무 결과 향상 ▲의사결정 패턴 파악 ▲기본권 활용을 위한 평가 준비 작업을 목적으로 하는 AI는 고위험 예외 사유라고 판단할 수 있다고 규정했다.
그런데 이 판단의 주체는 공급자의 자가 진단에 맡기는 ‘자율규제’ 형태다. AI 적용 범위가 광범위한 만큼, 4가지 예외 사유에 해당하는지 판단하는데 많은 인력과 비용이 소모되기 때문이라는 것이다.
그러나, 도덕적 해이에 대한 대응책으로 고위험이 아니라는 판단 근거를 규제 당국에 제출하게 했다. 규제 당국이 데이터베이스로 고위험 예외 AI를 감독하고, 공급자의 관리 부실로 사고 발생 시에는 무거운 과태료를 부과하는 제도 설계라는 강 변호사의 설명이다.
그는 “AI 규제사항은 기술적으로 복잡하고 방대해 입법기관이 법률에 모두 규정하기에 곤란하다”라며 “EU의 AI법은 ‘EU 통합 표준’, ‘공통 기술 사양’, 인공지능청 주도의 ‘행위준칙’을 통해 구체적 기준을 보완하는 ‘연성규범 체계’를 갖췄다”라고 말했다.
강지원 변호사는 “EU AI Act는 혁신동력을 지원하는 다양한 제도적 수단도 갖췄다”라며 “AI 규제 샌드박스를 도입해 사업자는 서비스 출시 전 저비용으로 법적 리스크를 확인할 수 있고, 규제기관은 혁신을 저해하지 않는 합리적인 규제 수준 및 방식에 관한 데이터를 확보할 수 있다”라고 했다.
중소기업과 스타트업의 성장 동력을 보호하는 정책도 마련됐다. 강 변호사는 “EU는 AI법뿐만 아니라 모든 법에서 중소기업 참여와 지원을 굉장히 강조하고 있다”라고 짚었다.
EU AI Act에서는 고위험 AI 시스템을 공급하는 중소기업의 문서 관리 부담을 완화하기 위해 기술문서를 간소화했고, 적합성 평가 수수료를 감액했다. 중소기업과 스타트업에게는 AI 규제 샌드박스 우선 참여권을 제공하고, 안내 및 자문을 위한 전용 상담 창구도 제공한다는 것이다.
또한 10인 미만의 초소형기업을 위해 품질 관리 시스템의 일부 요소를 간소화된 방식으로도 준수 가능하게 했고, 과징금도 일반 공급자보다 낮은 금액이 적용되도록 특례 규정을 만들었다.
강지원 변호사는 “중소기업과 스타트업에 가장 부담이 되는 것은 결국 인력 문제”라며 “AI 법 준수를 위해 적은 인력이 많은 양이 서류를 생산·관리하는 부담을 줄여 실질적인 지원이 이뤄지도록 제도적인 장치가 갖춰져 있다”라고 밝혔다.
그러면서, “한국에는 네이버나 카카오같이 선도적인 AI 기업도 있지만, 많은 중소기업과 스타트업도 AI 개발에 열을 올리고 있는 상황”이라며 “국회의 입법 과정에서, EU의 AI법에 이러한 지원제도가 마련돼있다는 것이 의미 있는 시사점으로 작용할 것이라는 생각이 든다”라고 힘주어 말했다.