EU 인공지능법(AI Act)의 개요와 쟁점

EU 인공지능법(AI Act)은 세계 최초의 포괄적이고 법적 구속력을 갖는 AI 규제 프레임워크입니다. 이 법의 핵심 목표는 EU 단일 시장 내에서 인간 중심적이고 신뢰할 수 있는 AI의 개발 및 채택을 촉진하는 동시에, 시민의 기본권, 건강, 안전을 보호하고 혁신을 장려하는 것입니다. AI 법은 AI 시스템이 제기하는 잠재적 위험 수준에 따라 규제 강도를 차등 적용하는 '위험 기반 접근 방식'을 채택하고 있으며, 이는 전 세계 AI 거버넌스의 기준이 될 '브뤼셀 효과'를 일으킬 것으로 예상됩니다.

 

법안은 AI 시스템을 네 가지 위험 등급으로 분류합니다. '용납할 수 없는 위험' 으로 간주되는 AI 시스템은 전면 금지됩니다. 여기에는 정부 또는 민간 행위자에 의한 사회적 점수 평가(social scoring), 인간의 행동을 조작하거나 취약점을 악용하는 시스템, 직장 및 교육 기관에서의 감정 인식, 법 집행 목적의 공공장소 내 실시간 원격 생체 인식 식별(엄격한 예외 적용) 등이 포함됩니다.

 

'고위험' AI 시스템은 가장 엄격한 규제를 받습니다. 이 범주에는 중요 인프라, 교육, 고용, 필수 서비스(은행 및 보험 등), 법 집행, 이민 및 국경 통제, 사법 행정 등 사회에 중대한 영향을 미칠 수 있는 분야의 AI가 포함됩니다. 고위험 시스템 제공업체는 위험 관리 시스템 구축, 고품질 데이터 거버넌스, 기술 문서화, 인간 감독 보장, 높은 수준의 정확성·견고성·사이버보안 확보, 적합성 평가 수행 및 EU 데이터베이스 등록 등 광범위한 의무를 준수해야 합니다.

 

최근 가장 큰 논쟁의 중심이었던 범용 AI(GPAI) 및 파운데이션 모델에 대해서는 계층적 접근 방식이 도입되었습니다. 모든 GPAI 모델 제공업체는 기술 문서 제공, EU 저작권법 준수, 훈련 데이터에 사용된 콘텐츠 요약 공개 등 투명성 의무를 준수해야 합니다. 특히 10^25 FLOPs 이상의 컴퓨팅 파워로 훈련된 '시스템적 위험'을 초래할 수 있는 모델은 모델 평가 수행, 시스템적 위험 평가 및 완화, 적대적 테스트, 심각한 사고 보고, 사이버보안 보장 등 추가적인 강력한 의무를 부담합니다.

 

AI 법의 거버넌스와 집행은 새로 설립된 유럽 AI 사무소(European AI Office) 가 중심적인 역할을 수행하며, 회원국 대표로 구성된 AI 위원회(AI Board) 가 법의 일관된 적용을 지원합니다. 법 위반 시에는 전 세계 연간 매출액의 최대 7% 또는 3,500만 유로에 달하는 막대한 과징금이 부과될 수 있습니다.

 

법안은 채택되었으며, 금지 관행(6개월), GPAI 규칙(12개월), 고위험 시스템 의무(24-36개월) 등 조항별로 단계적으로 발효될 예정입니다. 현재 AI 사무소 설립, GPAI 실행 강령(Code of Practice) 초안 작성, 표준화 작업 등 본격적인 이행 단계에 있으며, 일부 회원국과 산업계에서는 경쟁력 저하를 우려하며 법안의 일부 시행 연기 또는 간소화를 요구하는 목소리도 지속적으로 제기되고 있습니다.

EU 인공지능법(AI Act)의 개요와 쟁점

1. EU AI 법 개요 및 목표

EU AI 법은 2021년 4월 유럽 집행위원회가 처음 제안한 야심 찬 규제안으로, AI 기술에 대한 포괄적인 법적 프레임워크를 마련한 세계 최초의 시도입니다. 이 법의 근본적인 목표는 AI 기술이 가져올 수 있는 잠재적 위험으로부터 EU 시민의 건강, 안전, 기본권을 보호하는 동시에, 신뢰할 수 있는 AI의 개발과 채택을 촉진하여 유럽 내 혁신과 투자를 장려하는 것입니다.

 

이 법은 기술 중립적이고 미래지향적인 접근 방식을 취하며, 특히 다음과 같은 핵심 가치에 중점을 둡니다.

• 인간 중심 접근 방식: AI 시스템이 인간의 감독 하에 안전하고 투명하며 책임감 있게 운영되도록 보장합니다.
• 신뢰성 및 안전성: AI 시스템의 설계부터 배포, 사용에 이르는 전 과정에서 높은 수준의 안전 기준을 적용합니다.
• 기본권 보호: 차별 금지, 사생활 보호, 표현의 자유 등 EU의 기본권을 침해할 수 있는 AI의 사용을 엄격히 제한하거나 금지합니다.
• 법적 확실성: AI 개발자, 배포자, 사용자에게 명확하고 통일된 규칙을 제공하여 EU 단일 시장 내에서 AI 시스템의 자유로운 유통을 촉진합니다.

이 법안은 EU 역외 기업이라도 그들의 AI 시스템 결과물이 EU 내에서 사용될 경우 적용되는 '역외 적용성'을 가지므로, 전 세계 기업들에게 영향을 미쳐 글로벌 AI 규제 표준을 설정하는 '브뤼셀 효과(Brussels Effect)' 를 낳을 것으로 예상됩니다.

 

2. AI 시스템의 위험 기반 분류

AI 법의 핵심 구조는 AI 시스템이 사회에 미칠 수 있는 위험 수준에 따라 규제 요건을 차등적으로 적용하는 '위험 기반 접근 방식(risk-based approach)'입니다.

A. 용납할 수 없는 위험 (Unacceptable Risk)

이 범주에 속하는 AI 시스템은 EU의 가치와 기본권에 명백한 위협으로 간주되어 사용이 전면 금지됩니다.

• 사회적 점수 평가 (Social Scoring): 정부나 민간 기업이 개인의 사회적 행동이나 개인적 특성을 기반으로 신뢰도를 평가하는 시스템.
• 인지 행동 조작: 잠재의식적 기법을 사용하거나 특정 취약 집단(아동, 장애인 등)의 취약점을 악용하여 인간의 행동을 왜곡하고 해를 끼치는 시스템.
• 직장 및 교육 기관에서의 감정 인식 시스템.
• 공공장소에서의 실시간 원격 생체 인식 식별: 법 집행 목적으로 사용되는 경우, 납치 피해자 식별, 테러 공격 예방 등 매우 제한적이고 엄격하게 규정된 예외적인 경우에만 사법적 승인을 거쳐 허용됩니다.
• 민감한 특성을 이용한 생체 인식 분류 시스템 및 얼굴 이미지의 무차별적 스크래핑.
• 개인 프로파일링을 통한 예측 치안 시스템.

B. 고위험 AI 시스템 (High-Risk AI Systems)

고위험 AI 시스템은 시민의 건강, 안전, 기본권에 중대한 영향을 미칠 수 있는 분야에서 사용되는 AI로, 시장 출시 전후로 엄격한 의무를 준수해야 합니다. 분류 기준은 다음과 같습니다.

1. EU 제품 안전 법규의 적용을 받는 제품(예: 장난감, 항공, 자동차, 의료기기)의 안전 구성요소로 사용되는 AI 시스템.
2. 부속서 III(Annex III)에 명시된 특정 분야의 독립형 AI 시스템. 주요 분야는 다음과 같습니다.
   • 중요 인프라 관리 및 운영: 교통, 수도, 가스, 전기 공급 등.
   • 교육 및 직업 훈련: 시험 채점, 입학 및 학생 평가.
   • 고용 및 인사 관리: 이력서 분류, 채용, 성과 평가.
   • 필수 공공 및 민간 서비스 접근: 신용 평가, 보험 위험 평가, 복지 수급 자격 결정.
   • 법 집행 및 국경 통제: 증거 신뢰성 평가, 이민 및 망명 신청 처리.
   • 사법 행정 및 민주적 절차: 법률 연구 보조, 선거에 영향을 미치는 시스템.

고위험 AI 시스템의 의무 사항:

의무 사항	설명
위험 관리 시스템	시스템의 전체 수명 주기에 걸쳐 알려지거나 예측 가능한 위험을 지속적으로 식별, 분석, 완화 및 문서화해야 합니다.
데이터 및 데이터 거버넌스	훈련, 검증, 테스트에 사용되는 데이터는 편향을 최소화하고 높은 품질과 관련성을 보장해야 합니다.
기술 문서화	시스템의 목적, 기능, 한계 등을 상세히 설명하는 문서를 작성하고 당국의 요청 시 제공해야 합니다.
기록 보관	시스템 운영 중 발생하는 이벤트를 자동으로 기록하여 추적 가능성을 확보해야 합니다. (로깅 기능)
투명성 및 정보 제공	사용자가 시스템의 결과물을 해석하고 적절하게 사용할 수 있도록 명확하고 충분한 정보를 제공해야 합니다.
인간 감독	시스템이 작동하는 동안 인간이 효과적으로 감독하고, 필요한 경우 개입하거나 작동을 중단시킬 수 있도록 설계되어야 합니다.
정확성, 견고성, 사이버보안	예측 가능한 오류와 외부 공격에 대해 높은 수준의 정확성, 복원력, 보안을 유지해야 합니다.
적합성 평가	시장에 출시되기 전에 제3자 기관 또는 자체 평가를 통해 규정 준수 여부를 확인해야 합니다.
EU 데이터베이스 등록	시장에 출시되는 모든 고위험 AI 시스템은 공개된 EU 데이터베이스에 등록되어야 합니다.
기본권 영향 평가(FRIA)	공공 기관이나 특정 민간 사업자가 고위험 시스템을 배포할 때, 기본권에 미치는 잠재적 영향을 평가하고 완화 조치를 마련해야 합니다.

C. 제한된 위험 (Limited Risk)

이 범주의 AI 시스템은 특정 투명성 의무를 준수해야 합니다.

• 챗봇 등 인간과 상호작용하는 시스템: 사용자는 자신이 기계와 상호작용하고 있음을 인지해야 합니다.
• 딥페이크 등 AI 생성 콘텐츠: AI에 의해 생성되거나 조작된 오디오, 이미지, 비디오 콘텐츠는 인공적으로 생성되었음을 명확히 표시해야 합니다(워터마킹 등).
• 감정 인식 또는 생체 인식 분류 시스템: 사용자에게 해당 시스템이 작동 중임을 알려야 합니다.

D. 최소 위험 (Minimal or No Risk)

대부분의 AI 시스템(예: AI 기반 비디오 게임, 스팸 필터)이 이 범주에 속하며, 법적 의무는 없지만 자발적인 행동 강령(codes of conduct) 채택이 권장됩니다.

 

3. 범용 AI(GPAI) 및 파운데이션 모델 규제

AI 법 협상 과정에서 가장 큰 논쟁거리 중 하나는 GPT-4와 같은 파운데이션 모델 및 범용 AI(GPAI) 시스템의 규제였습니다. 초기 법안에는 이들에 대한 명시적 규정이 없었으나, 기술 발전과 함께 그 중요성이 부각되면서 최종적으로 계층적 규제 접근법이 도입되었습니다.

• 모든 GPAI 모델 제공업체의 의무:
  • EU 저작권법을 존중하고, 훈련 데이터에 사용된 콘텐츠에 대한 "충분히 상세한 요약"을 작성하여 공개해야 합니다.
  • 다운스트림 제공업체가 모델의 기능과 한계를 이해하고 의무를 준수할 수 있도록 기술 문서를 제공해야 합니다.
• 시스템적 위험(Systemic Risk)이 있는 GPAI 모델에 대한 추가 의무:
  • 10^25 FLOPs 이상의 컴퓨팅 자원으로 훈련된 모델 등 특정 기준을 충족하는 강력한 모델은 '시스템적 위험'을 지닌 것으로 간주됩니다.
  • 이러한 모델의 제공업체는 모델 평가 수행, 시스템적 위험(예: CBRN, 사이버 공격, 통제 불능) 식별 및 완화, 적대적 테스트 수행, 심각한 사고 보고, 사이버보안 보장, 에너지 효율성 보고 등 추가적인 강력한 의무를 준수해야 합니다.
  • 이러한 의무 준수를 돕기 위해, 독립적인 전문가들이 개발한 '실행 강령(Code of Practice)' 이라는 자발적 도구가 마련되었으며, 이를 채택하면 법규 준수를 입증하는 데 도움이 됩니다.

이 규제는 OpenAI, Google 등 소수의 거대 기술 기업과 Mistral AI, Aleph Alpha 같은 유럽 스타트업 간의 이해관계가 충돌하면서 프랑스, 독일 등의 반대로 협상 막판까지 난항을 겪었습니다. 최종안은 혁신을 저해하지 않으면서도 가장 강력한 모델에 대한 책임을 부과하는 절충안을 담고 있습니다.

 

4. 주요 쟁점 및 논의 사항

• AI 정의: 초기에는 광범위한 정의(집행위)와 좁은 정의(이사회) 사이에서 논쟁이 있었으나, 최종적으로 국제적 합의를 고려하여 OECD의 정의와 유사한 방향으로 결정되었습니다.
• 책임 소재: 복잡한 AI 가치 사슬 내에서 책임 소재를 명확히 하는 것은 여전히 과제입니다. 특히 GPAI 모델의 경우, 모델 제공업체와 이를 활용하여 특정 서비스를 만드는 다운스트림 배포자 간의 책임 분담이 핵심 쟁점이었습니다. AI 법은 제공업체에 상당한 책임을 부과하지만, 이를 보완하기 위한 'AI 책임 지침(AI Liability Directive)' 이 별도로 논의되고 있습니다.
• 국가 안보 및 군사적 예외: AI 법은 군사, 국방, 국가 안보 목적으로 개발되거나 사용되는 AI 시스템에는 적용되지 않습니다. 이는 EU의 권한 밖의 영역이기 때문이지만, 시민 사회 단체들은 이 예외 조항이 인권 침해의 허점이 될 수 있다고 우려합니다.
• 오픈 소스: 연구 및 개발 활동과 오픈 소스 라이선스로 제공되는 AI 구성 요소는 대부분의 규제에서 면제됩니다. 다만, 시스템적 위험을 초래하는 파운데이션 모델의 경우 오픈 소스라도 일부 의무가 적용될 수 있습니다.

 

5. 거버넌스 및 집행

AI 법의 효과적인 이행을 위해 다층적인 거버넌스 구조가 설립됩니다.

• 유럽 AI 사무소 (European AI Office): 집행위원회 내에 신설된 중앙 기관으로, GPAI 모델에 대한 규칙을 감독하고, 법 집행을 조정하며, 표준 및 실행 강령 개발을 촉진하는 핵심적인 역할을 합니다.
• AI 위원회 (AI Board): 모든 EU 회원국 대표로 구성되며, AI 사무소에 자문을 제공하고 법의 일관된 적용을 보장하기 위한 조정 플랫폼 역할을 합니다.
• 자문 포럼 및 과학 패널: 산업계, 스타트업, 시민 사회, 학계 등 다양한 이해관계자들이 참여하는 자문 포럼과 독립적인 전문가로 구성된 과학 패널이 AI 사무소와 위원회에 기술적 전문성을 제공합니다.
• 국가 관할 당국: 각 회원국은 법 집행을 담당할 시장 감시 기관 및 기타 관할 당국을 지정해야 합니다.
• 벌금 및 처벌: 법 위반 시 막대한 과징금이 부과됩니다.
  • 금지된 AI 관행 위반: 최대 3,500만 유로 또는 전 세계 연간 매출액의 7%.
  • 고위험 AI 시스템 의무 위반: 최대 1,500만 유로 또는 매출액의 3%.
  • 부정확한 정보 제공: 최대 750만 유로 또는 매출액의 1%.
• 규제 샌드박스 (Regulatory Sandboxes): 혁신을 지원하기 위해 기업들이 통제된 환경에서 당국의 감독 하에 혁신적인 AI 시스템을 테스트할 수 있는 제도를 마련해야 합니다.

 

6. 국제적 영향 및 관계

AI 법은 EU를 넘어 전 세계 AI 규제 논의에 상당한 영향을 미칠 것으로 예상됩니다.

• 미국과의 관계: EU의 포괄적이고 법적 구속력 있는 접근 방식은 미국의 자발적 가이드라인(NIST AI 위험 관리 프레임워크 등) 및 행정명령 중심의 접근 방식과 대조를 이룹니다. 미국 행정부와 빅테크 기업들은 AI 법이 혁신을 저해할 수 있다는 우려를 표명하며 로비를 벌여왔으나, EU-미국 무역기술위원회(TTC) 등을 통해 규제 조화를 위한 논의도 진행 중입니다.
• 표준화: AI 법의 기술적 요구사항을 구체화하기 위해 유럽표준화기구(CEN-CENELEC)가 조화된 기술 표준을 개발하고 있습니다. 이 표준을 준수하는 기업은 법규를 준수하는 것으로 추정되어 법적 확실성을 얻게 됩니다. 그러나 표준 개발 지연은 법 이행의 주요 과제 중 하나입니다.
• 글로벌 벤치마크: 인도, 카자흐스탄, 대한민국 등 여러 국가가 자체 AI 규제를 마련하면서 EU AI 법을 중요한 참고 자료로 활용하고 있어, AI 법이 사실상의 글로벌 표준으로 자리 잡을 가능성이 높습니다.

 

7. 이행 및 향후 전망

AI 법은 2024년 8월 1일 발효되었으며, 조항에 따라 6개월에서 36개월에 걸쳐 단계적으로 적용됩니다.

• 주요 이행 일정:
  • 2025년 2월: 금지된 AI 관행 적용 시작.
  • 2025년 8월: GPAI 모델 제공업체에 대한 의무(투명성, 저작권 등) 적용 시작.
  • 2026년 8월: 고위험 AI 시스템에 대한 대부분의 의무 적용 시작.

현재 AI 사무소는 GPAI 실행 강령 초안을 마련하고 이해관계자 협의를 진행하는 등 본격적인 이행 준비에 착수했습니다. 또한, 기업들의 자발적인 조기 준수를 장려하기 위한 'AI Pact' 가 출범했습니다.

 

그러나 일부 유럽 대기업과 스웨덴 등 회원국에서 AI 법이 유럽의 기술 경쟁력을 저해할 수 있다는 우려를 제기하며 일부 조항의 시행을 연기해야 한다는 목소리가 나오고 있습니다. 이에 유럽 집행위원회는 규제 부담을 줄이기 위한 '디지털 간소화' 방안을 검토하고 있으나, AI 법의 핵심 원칙은 유지하겠다는 입장을 고수하고 있습니다. 향후 몇 년간은 실행 강령, 가이드라인, 위임법 등 2차 입법과 기술 표준 개발을 통해 법의 구체적인 내용이 채워지는 중요한 시기가 될 것입니다.