EU(유럽연합) 산하 유럽의회가 2021년 제안된 ‘인공지능 법안’ 수정 작업을 거쳐 지난달 13일 113개 조항으로 구성된 EU 인공지능법을 통과시켰다. 미국과 중국에 이은 세 번째 법안 통과다. 조만간 EU 회원국별로 단계적 도입이 진행돼 오는 2026년이면 모든 EU 회원국에 전면 시행될 예정이다.
EU 인공지능법이 엄청난 규제 장벽이 될 것이라는 예상은 앞서 지난 2018년 5월부터 시행된 GDPR(개인정보 보호 규정)의 사례 때문이다. GDPR은 현재 EU 내 사업장을 운영하는 기업은 물론, 사업장을 운영하지 않는 기업이라도 EU 정보 주체에게 상품 및 서비스를 재공하는 기업, EU 내 행동을 모니터링하는 기업에도 모두 적용되고 있다. 쉽게 말해 EU 현지 서비스를 본격화하지 않더라도 웹사이트 등을 통해 EU 회원국 국민들에게 서비스를 제공하는 기업은 이를 준수해야 한다는 의미다.
이러한 상황에서 EU 인공지능법 통과를 두고 국내 법률 전문가들은 공히 “GDPR 수준에 버금가는 강력한 규제 장벽으로 작용할 것”이라는 전망을 내 놓고 있다. 실제 그 내용을 보면 EU 지역에서 출시되는 AI 관련 상품·서비스는 공급자의 소재지와 관계없이 모두 인공지능법에 적용 대상이 된다.
이에 지난 12일 법무법인 디엘지(전 법무법인 디라이트)가 마련한 ‘GDPR의 실무와 EU 최신 규제 동향’ 세미나에서는 GDPR을 통해 진행된 규제 내용과 더불어 인공지능법에 대한 국내 인공지능 기업의 대응 필요성이 주요 세션 중 하나로 다뤄졌다.
연이은 EU 규제 컴플라이언스, 국내 기업 역시 피할 수 없는 기준 돼
이날 세미나 첫 세션은 조원희 법무법인 디엘지 대표 변호사의 ‘EU 규제 개요와 국내 기업의 대응’을 주제 발표로 시작됐다. 발표에 나선 조 변호사는 “EU가 GDPR을 비롯해 ESG 관련 법률과 지침을 지속적으로 규정하고 있으며 이는 유럽 시장에 진출하는 국내 기업들에게 반드시 준비해야 할 절차가 되고 있다”며 운을 뗐다.
특히 조 변호사는 EU에 속한 각 국가 정상들이 모이는 정상회의와 각료이사회, 집행위원회(행정부와 같은 역할), 유럽의회, 사법재판소, 회계감사원으로 구성된 EU의 구조를 설명을 통해 그 법률 체제를 설명했다. 이 구조에서 도출되는 EU의 법안들은 가장 상위에 헌법과 같은 역할을 하는 ‘EU 조약’이 있고 그 밑에 구속력이 있는 법률로서 모든 회원국에 적용을 받는 레귤레이션(Regulations)이 있다. 최근 통과된 인공지능법이 바로 이 레귤레이션에 속한다.
그 하위 법률로는 디렉티브(Directives)가 있는데 이는 회권국들이 공통되게 추진해야 할 목표로 일종의 ‘지침’이라 할 수 있다. 레큘레이션과 차이는 디렉티브의 경우 각 회원국이 이를 달성하기 위해 별도의 국내법을 제정하는 방식으로 진행된다는 점이다. 대표적으로는 ESG와 관련된 공급망실사법(CSDDD)가 있다. 이러한 법률들은 집행위원회에서 발의되고 EU 시민들을 대표하는 유럽의회와 EU 회원국을 대표하는 이사회의 심사·승인을 거치는 입법절차를 거친다. 즉 인공지능법은 이렇듯 복잡한 절차와 심사를 거쳐 수차례 수정과 합의를 거쳐 지난달 가결된 것으로 그 의미와 위상이 남다르다고 할 수 있다.
문제는 이러한 과정을 거쳐 제정된 EU의 법률이 글로벌 스탠다드로 작용, 다른 국가에서도 입법화될 가능성이 높다는 점이다. 특히 우리나라의 경우 정부기관이 주도하는 법안에 이러한 EU의 법률 세부 내용이 상당 부분 참고되고 있다는 사실에 주목할 필요가 있다. 현재 국내에서 추진되는 AI 관련 법안이 이에 해당된다.
조 변호사는 “GDPR 당시 과도한 규제가 과연 글로벌하게 적용될 것이냐에 대한 의문이 있었지만, 실제로 글로벌 하게 통용되고 있다”며 디지털서비스법(DSA), 디지털시장법(DMA), 탄소국경조정제도(CBAM) 등의 사례를 예로 들었다.
이날 조 변호사의 개요 발표 이후에는 황혜진 파트너 변호사의 GDPR 실무와 관련된 발표와 조익제 디엘지 유럽사무소 대표의 바이오/헬스케어 기업의 EU 진출 시 고려할 GDPR 이슈를 다루는 발표가 진행됐다.
EU 인공지능법의 특징과 범위는?
이날 ‘EU 인공지능법과 국내 인공지능 기업의 대응방안’을 주제로 발표에 나선 김동환 파트너 변호사는 관련 중요 사항과 국내 AI 규제 현황 및 대응 방안을 주요 내용으로 다루며 ‘AI의 위험성’을 가장 먼저 언급했다. 그가 제시한 사례는 미국에서 재판 전 구금 및 가석방 식사, 양형 판단 시에 적용하는 AI 기반의 재범 예측 프로그램 ‘컴파스(COMPAS)’다.
“보시는 바와 같이 범죄 이력이나 여러가지 사항을 보면 오른쪽에 있는 버나드 파커가 훨씬 리스크 점수가 낮아야 하지만, 단지 흑인이라는 이유로 백인보다 위험도가 높게 평가돼 가석방 결정에 불이익을 얻는 문제가 발생했습니다. AI 기술 자체에는 편향성이 없지만, 이를 사용하는 사람, 혹은 적용된 학습 데이터에 편향성이 영향을 미치는 거죠.”
이에 따라 EU 집행위원회의 HLEG(고위전문가그룹)은 AI에 대해 네 가지 윤리 원칙을 제시한 바 있다. 그 첫째가 AI 시스템이 인간을 부당하게 종속, 강요, 기만, 조작, 통제 또는 집단화하지 않고 오히려 인간의 인지적, 사회적, 문화적 기술을 논쟁, 보완 및 강화하고, 업무 과정에 대한 인간의 감독을 확보해야 한다는 것(Respect for human autonomy), 둘째가 인간의 존엄성, 정신적, 신체적 완전성을 보호하고 기술적으로 견고하며 악의적인 이용에 노출되지 않도록 보장해야 한다는 것(Prevention of harm), 셋째가 수단과 목적 간의 비례 원칙에 따른 실질적 공정성, AI 시스템 또는 이를 운영하는 사람이 내린 결정에 대해 이의를 제기하고 구제를 요청할 수 있는 절차적 공정성을 확보해야 한다는 것(Fairness), 마지막 넷째가 프로세스가 투명해야하고, AI 시스템의 기능과 목적이 공개적으로 전달되어 야 하며, 결정에 대한 정당한 이의를 제기할 수 없는 경우 다른 설명 가능성을 위한 조치가 요구될 수 있어야 한다는 것(Explainability)이다. 이러한 네 가지 윤리 원칙은 실제 인공지능법에도 그대로 담겨 있다.
이어 김 변호사는 다음달 EU 이사회 공식 승인 후 순차적으로 발표될 것으로 예상되는 인공지능법의 적용 범위를 소개하기도 했다. 이는 크게 세 대상으로 나눠진다. 우선 EU 내에 A 시스템 혹은 범용 AI 모델을 출시하거나 서비스를 제공하는 공급자다. 이 경우 EU 내에 법인 설립 여부와 상관없이 적용된다. 두 번째가 EU 내에 설립됐거나 위치한 AI 시스템 배포자다. 마지막으로 생성된 결과물이 EU 내에서 ‘사용되는’, 하지만 제 3국에 위치하거나 설립지가 있는 AI 시스템 공급자와 배포자다.
김 변호사는 “오로지 군사 또는 국방, 과학적 연구 및 개발을 위해 사용하는 AI 시스템 및 모델은 제외 대상”이라면서도 “국내에서만 서비스하는 기업이라도 EU 인공지능법을 반영한 국내 입법이 예상되는 만큼 사전에 준비해야 한다”고 강조했다.
이러한 기준을 바탕으로 EU 인공지능법은 다시 AI를 활용한 서비스를 잠재적 위험 수준에 따라 ‘금지, 고위험, 투명성 요구, 범용’의 4단계로 분류를 하고 단계별 의무를 규정하고 있다. 여기서 특히 살펴봐야 하는 부분은 ‘금지’에 해당되는 영역이다. 이는 AI 사용에 따라 안전, 생계 및 권리 등에 명백한 위협이 되는 경우다. 대표적으로 생체 인식 데이터와 같은 민감 정보를 기반으로 특정 인물을 분류 추론할 수 있는 AI 시스템을 꼽을 수 있다.
김 변호사는 “금지 영역을 규정할 때 중국에서 AI를 활용해 일종의 빅브라더 같은 시스템을 만들어 인간의 기본권을 침해하는 상황을 많이 참고했다”며 잠재의식을 조작하거나, 취약점을 악용하는 행위, 생체인식 분류 시스템, 범용적인 사회적 평점을 매기기 위해 AI 시스템을 사용하는 행위 등을 꼽았다.
놀라운 것은 이를 위반할 시 처벌 조항이다. 우선 금지된 AI 시스템 관련 의무를 위반할 시 해당 기업은 직전 회계연도 기준 전세계 연간 총매출액의 7%를 과징금으로 내야 한다. 고위험 AI 시스템의 경우 3%, 부정확하거나 불완전한 정보를 제공한 경우에도 1%의 과징금이 적용된다.
발표 말미, 김 변호사는 재차 “사람과 유사한 수준 또는 그 이상의 지능을 갖춘 범용 AI 개발 기업에게는 투명성 의무로서 AI 학습 데이터 공개 의무가 부과되니 EU 진출을 목표로 할 경우 유의해야 한다”며 “AI를 활용한 생체 정보 자동 수집 및 식별은 사실상 금지되고 개인의 특성, 행동 데이터에 기초한 소셜 스코어링 역시 마찬가지”라고 강조했다.
이에 따르면 대표적인 고위험군으로 분류 되는 분야가 바로 자율주행과 의료장비 등에 관한 기술 기업이다. 이들 고위험군 기업은 사전에 데이터를 공개하고 적합성 평과 과정을 필수로 거쳐야 한다.
이러한 EU 인공지능법은 발효일로부터 6개월 뒤 금지된 AI 시스템 관련 규제가 적용되고 12개월 후 범용 AI 모델 관련 규제가, 36개월 후 고위험 AI 모델 관련 규정이 적용된다. 덧붙이자면 해당 기업들은 법 발효 9개월 이내에 ‘행동규범(Code of practice)’을 갖춰야 하는 의무를 이행해야 한다. 즉 우리나라 기업 상당수가 해당되는 고위험군의 경우 행동규범 등 기본적인 의무 등을 준수한 상태에서 3년의 유예 기간이 남아 있는 셈이다.