전문가 인사이트: EU AI 법 규정 준수를 위한 필수 정보

2023년 12월 8일, 유럽연합(EU) 정책 입안자들은 인공지능법(AI Act)의 최종안을 확정하며 세계 최초의 포괄적인 인공지능 규제 체계를 수립하는 획기적인 이정표를 세웠습니다. 글로벌 디지털 및 데이터 거버넌스의 선두주자인 EU는 데이터 프라이버시와 타겟 광고 관행 등 다양한 문제에 대한 기준을 지속적으로 설정해왔습니다. 2021년 4월에 시작된 긴 입법 과정을 거쳐 AI Act는 인공지능 거버넌스를 혁신하고, 전 세계 경제에서 AI 기준을 높이는 '브뤼셀 효과'를 예고하고 있습니다.

현재 공식 텍스트는 최종 수정 중이며, EU 지도자들은 역사적인 AI Act가 2024년 4월에 공식 채택되고 2026년부터 단계적으로 시행될 것으로 예상하고 있습니다.

EU AI 법안이란 무엇인가?

EU AI 법안은 2021년 4월 유럽연합 집행위원회에 의해 도입된 획기적인 법적 틀로, EU 시장에서 인공지능 시스템의 안전성, 책임, 투명성을 확보하는 것을 목표로 합니다. 이 법안은 위험 기반 접근 방식을 채택하여 AI 개발자, 유통업체, 수입업체 및 사용자를 감독하며, AI 시스템의 잠재적 부정적 영향을 면밀히 평가합니다. AI 응용 프로그램의 잠재적 위험이 클수록 더 강력한 감독이 요구됩니다. 이 법안은 2016년 발효된 EU 일반 데이터 보호 규정(GDPR)을 연상시키며, 글로벌 프라이버시 기준에 영향을 미쳐 온 대표적인 사례입니다.

AI 법안의 영향을 받는 주체는?

AI 법안은 AI 생태계에 포함된 다양한 주체들에 대한 특정 정의와 책임을 명시하고 있습니다. 특히 EU 외부에 본사를 둔 기업도 이 법의 적용을 받을 수 있으며, 그들의 AI 시스템이 EU 내에서 활용될 경우 적용됩니다. 예를 들어, 유럽 주민에게 영향을 미치는 AI 시스템을 개발하는 남미 기업도 법안의 적용을 받을 수 있습니다.

AI 법안은 군사 또는 국가 안보 애플리케이션에는 적용되지 않지만, 원거리 생체 인식 시스템의 법 집행 사용에 대한 엄격한 조건을 명시하고 있습니다.

2023년 6월 유럽 의회가 채택한 초안 AI 법안은 두 가지 주요 주체 범주를 강조합니다:

- 제공자(Provider): AI 시스템을 무료 또는 유료로 제공하는 개발자를 지칭하며, 예를 들어 OpenAI의 ChatGPT가 EU 시장의 제공자에 해당합니다.

- 배포자(Deployer): 이전의 '사용자'라는 용어 대신, 이제 AI 시스템을 전문적 또는 사업적 용도로 사용하는 주체를 설명하는 용어입니다.

AI 법안의 준수 의무는 주로 AI 제공자에게 귀속되며, 이는 GDPR이 데이터 관리자에게 책임을 부여하는 방식과 유사합니다. 그러나 AI 사용자의 수(배포자)는 제공자 수를 훨씬 초과할 것으로 보이며, 특히 고위험 시스템의 경우 배포자가 AI 관련 위험 관리에서 중요한 역할을 하게 됩니다.

AI 실천의 위험 분류

AI 법안은 최종 사용자의 권리와 안전을 보호하기 위해 AI 시스템을 네 가지 위험 범주로 분류합니다:

1. 용납할 수 없는 AI: 민주적 가치나 인권을 위협하는 AI 기술을 금지합니다. 예를 들어, 사회 신용 시스템이나 침해적인 생체 감시 시스템이 포함됩니다.

2. 고위험 AI: 인프라, 고용 및 공공 건강과 같은 주요 분야에 상당한 해를 끼칠 수 있는 AI 시스템이 포함됩니다. 이러한 시스템의 개발자는 적합성 평가, 등록, 데이터 거버넌스 및 사이버 보안 프로토콜 등 엄격한 요구사항을 준수해야 합니다.

3. 저위험 AI: 기본 챗봇과 같이 미미한 위험을 초래하는 시스템은 투명성 조치를 요구하며, 사용자에게 AI 생성 콘텐츠임을 알리는 것이 의무화됩니다.

4. 최소 또는 무위험 AI: 자동 요약 및 스팸 필터와 같은 저위험 애플리케이션이 포함되며, 일반적으로 사용자가 당면할 위험이 크지 않습니다.

비준수에 대한 처벌

AI 법안의 규정을 위반할 경우 상당한 벌금이 부과될 수 있습니다. 벌금은 위반의 심각도에 따라 750만 유로 또는 전 세계 연간 수익의 1.5%에서 3500만 유로 또는 7%에 이를 수 있습니다. 2023년 의회 버전은 다음과 같은 잠재적 벌금을 제안합니다:

- 용납할 수 없는 AI: 전 세계 연간 수익의 최대 7%, 이전의 6%에서 증가했습니다.

- 고위험 AI: 최대 2000만 유로 또는 전 세계 수익의 4%.

- 일반 목적 AI(예: ChatGPT): 최대 1500만 유로 또는 전 세계 수익의 2%, 생성 AI 애플리케이션에 대한 특별 조항이 포함됩니다.

- 잘못된 정보 제공: 최대 750만 유로 또는 전 세계 수익의 1.5%의 벌금.

AI 법안에 대비하기

AI 법안을 효과적으로 준수하기 위해 조직은 강력한 내부 통제 및 공급망 관리가 포함된 포괄적인 거버넌스 전략을 채택해야 합니다. 고위험 AI 시스템을 개발하거나 배포하는 기업은 운영을 철저히 평가하고 다음 질문을 고려해야 합니다:

- 어떤 부서가 AI 도구를 사용하고 있나요?

- 이 도구들이 독점 정보나 민감한 개인 데이터를 처리하고 있나요?

- 이러한 사용 사례가 AI 법안에서 정의한 용납할 수 없는, 고위험 또는 저위험 범주에 해당하나요?

- 회사는 AI 제공자로 활동하고 있나요, 아니면 AI 배포자로 활동하고 있나요?

- 데이터 보호 및 준수에 관한 공급업체 계약에 어떤 stipulation이 존재하나요?

EU의 AI 법안 추진은 AI 위험 관리에 대한 글로벌 입법 접근 방식의 상당한 변화를 촉발할 수 있습니다. 10월에 발표된 미국의 AI 행정 명령과 연계됨으로써, 이 중요한 합의는 기업이 책임감 있게 효과적으로 AI 기술을 활용하는 방식에 변혁적인 시대를 예고합니다.