이충수 개인정보 보호책임자의 디지털 시대의 새로운 에티켓, 개인정보 보호
위험 수준에 따른 차등 규제 — AI 분야의 GDPR이 온다
2024년 3월 13일, 유럽의회는 찬성 523표, 반대 46표로 세계 최초의 포괄적 인공지능 규제법인 EU AI법(AI Act)을 채택했다. 같은 해 8월 1일 공식 발효된 이 법은 단순한 기술 규제를 넘어, 인공지능이 인간의 기본권과 사회 구조에 미치는 영향을 제도적으로 통제하려는 첫 시도라는 점에서 전 세계의 주목을 받고 있다.
유럽연합 내부시장 담당 집행위원은 가결 직후 “유럽은 신뢰할 수 있는 인공지능 분야에서 글로벌 표준을 제시하는 주체가 됐다”고 선언했다. 유럽집행위원회 위원장 우르줄라 폰데어라이엔도 “AI법이 앞으로 인간과 기업의 안전과 기본권을 보장하고, 신뢰할 수 있는 인공지능의 개발과 이용을 지원하게 될 것”이라며 환영의 뜻을 밝혔다.
GDPR에서 AI법으로 — 규제 패러다임의 전환
EU의 디지털 규제는 이미 GDPR(일반개인정보보호법)을 통해 세계적 영향력을 입증한 바 있다. GDPR이 개인정보 처리와 자동화된 의사결정을 규율했다면, AI법은 AI 시스템의 설계•배포•운영 전반을 규제 대상으로 삼는다는 점에서 한 단계 더 나아간 규범이다. 전문가들이 이를 “AI 분야의 GDPR”이라고 부르는 이유가 여기에 있다.
GDPR이 2018년 시행된 이후 유럽 기업들은 물론 미국, 한국, 일본 등 전 세계 기업들이 EU 기준에 맞춰 개인정보 처리 방식을 전면 재편해야 했다. 이른바 ‘브뤼셀 효과(Brussels Effect)’라고 불리는 이 현상, 즉 EU 규제가 사실상 글로벌 기준으로 자리 잡는 메커니즘은 AI법에서도 반복될 가능성이 높다. 글로벌 기업 입장에서는 국가별로 서로 다른 AI 기준을 각각 적용하기보다 EU 기준에 맞춰 전체 서비스를 운영하는 것이 비용 면에서 더 효율적이기 때문이다.
EU는 2019년 “신뢰할 수 있는 AI(Trustworthy AI)” 윤리 가이드라인을 발표하며 AI 규제 논의를 공식화했다. 이 가이드라인은 합법성, 윤리성, 견고성이라는 세 가지 축을 중심으로 인간 주도성과 감독, 기술적 견고성, 프라이버시 보호, 투명성, 공정성, 사회적 웰빙, 책임성이라는 7대 요건을 제시했다. 이후 2021년 유럽집행위원회가 AI법 초안을 공개했고, 생성형 AI의 급속한 확산이라는 현실을 반영한 수정 과정을 거쳐 2024년 최종 채택에 이르렀다. 규정은 2025년부터 2028년까지 위험 유형에 따라 단계적으로 적용된다.
AI법이 탄생한 이유 — 기술의 기회와 위험 사이에서
인공지능 기술은 예측 정확도 향상, 자원 배분 최적화, 서비스 개인화 등 경제와 사회 전반에 막대한 편익을 가져다줄 잠재력을 지닌다. 의료 분야에서는 진단 정확도를 높이고, 교통 분야에서는 사고를 줄이며, 교육 분야에서는 개인 맞춤형 학습을 가능하게 한다. 그러나 동시에 학습 데이터의 편향으로 인한 차별적 결정, 개인정보 침해, 딥페이크를 통한 허위정보 확산, 인간 행동 조종 등 새로운 위협도 함께 수반한다.
AI 시스템이 불충분한 학습 데이터를 바탕으로 구축될 경우 편견을 내재화하고 차별적 결정을 내릴 수 있다는 점은 이미 여러 사례를 통해 확인되었다. 미국에서는 AI 기반 채용 시스템이 특정 성별이나 인종에 불리한 결과를 도출한다는 사실이 드러나 논란이 됐고, 유럽에서는 AI 신용평가 시스템의 불투명한 알고리즘이 금융 소외를 심화시킨다는 비판이 제기됐다. 유럽연합은 AI가 EU의 가치와 기본권, 민주주의 원칙에 부합하는 방식으로 개발되고 운영되어야 한다는 판단 아래 규제 입법에 나섰다.
법의 목표는 세 가지로 요약된다. 첫째는 기본권 보호다. 차별을 조장하거나 기본권을 침해하는 AI 기술의 사용을 막겠다는 것이다. 둘째는 혁신 촉진이다. 명확하고 일관된 규칙을 통해 기업들이 법적 불확실성 없이 AI에 투자할 수 있는 환경을 마련하겠다는 것이다. 셋째는 기술 주도권 확보다. AI 분야에서 유럽이 글로벌 표준을 선도함으로써 유럽 기업들의 경쟁력을 강화하겠다는 전략적 의도가 담겨 있다.
핵심은 ‘위험 기반 접근법’: 4단계 분류 체계
AI법의 가장 큰 특징은 모든 AI를 동일하게 규제하지 않고 사회적 위험 수준에 따라 차등 규제를 적용하는 이른바 ‘위험 기반 접근법(Risk-Based Approach)’이다. EU는 AI를 크게 네 단계로 구분하며, 위험이 높을수록 더 엄격한 의무가 부과되는 구조다.
가장 높은 등급인 허용 불가능한 위험(Unacceptable Risk)에 해당하는 AI는 개발과 시장 출시가 전면 금지된다. 인간의 잠재의식에 파고들어 특정 행동을 유도하는 AI, 온라인 활동 정보를 수집해 개인 평판을 점수화하는 사회적 평점(Social Scoring) 시스템, 취약계층을 대상으로 한 조작적 AI가 여기에 해당한다.
다만 실시간 공공장소 안면인식은 테러 대응, 중대 범죄 수사 등 매우 제한된 목적에 한해, 엄격한 사전 승인과 요건 아래 예외적으로 허용된다.
두 번째 등급인 고위험(High-Risk AI)은 AI법의 실질적인 핵심 규제 대상이다. 채용•인사 평가, 교육 및 시험 평가, 금융 신용평가, 의료 진단, 법집행 및 사법, 중요 인프라 운영, 자율주행 분야의 AI 시스템이 여기에 속한다. 이 등급의 AI를 운영하는 기업은 위험관리 체계 구축, 데이터 품질 검증, 기술 문서 작성, 인간 감독(Human Oversight) 체계 확보 등 광범위한 의무를 이행해야 한다.
적합성 평가(conformity assessment)와 CE 표시를 포함하는 규제 체계가 적용된다. 독일 디지털산업협회 빗콤은 “인증 기관이 병목이 되면 민감한 분야에서의 AI 혁신이 제동을 받을 수 있다”고 우려했다.
세 번째 등급인 제한적 위험(Limited Risk)에는 챗봇, 딥페이크 앱, AI 자동응답 시스템 등이 포함된다. 이용자가 AI와 상호작용하고 있다는 사실을 인지할 수 있도록 하는 투명성 의무는 규정에 따라 2025년 이후 순차적으로 적용된다. 마지막으로 스팸 필터, 추천 알고리즘, 번역 도구처럼 사회적 영향이 미미한 AI는 최소 위험(Minimal Risk)으로 분류되어 별도 의무가 부과되지 않는다. 기업들의 일상적인 업무 지원 도구 대부분이 여기에 해당한다.
생성형 AI와 GPAI — 새로운 규제의 전선
최근 가장 주목받는 부분은 생성형 AI와 GPAI(General-Purpose AI, 범용 AI)에 대한 규제다. OpenAI의 GPT, Google의 Gemini, Meta의 Llama처럼 텍스트•이미지•영상 등 다양한 콘텐츠를 생성할 수 있는 대형 언어 모델이 GPAI로 분류될 가능성이 높다. AI법은 GPAI 모델과 이를 기반으로 구축된 AI 시스템을 명확히 구분한다. AI Act는 GPAI 모델 자체에도 직접적인 의무를 부과하며, 이를 기반으로 구축된 AI 시스템에는 추가적인 규제가 적용된다.
EU는 이러한 모델이 사회 전체에 미치는 영향력이 크다고 판단하고 별도의 규제 조항을 마련했다. 먼저 AI가 생성한 콘텐츠임을 사용자에게 명확히 표시해야 하는 투명성 의무가 부과된다. 딥페이크처럼 합성된 이미지•영상•음성에는 반드시 라벨링을 해야 한다. 저작권 측면에서는 AI 학습 과정에서 EU 저작권 규정을 준수해야 하며, 학습에 사용한 콘텐츠를 명시할 의무도 생긴다. 이는 생성형 AI 기업과 미디어•출판 산업 간 갈등의 핵심 이슈이기도 하다.
대규모 GPAI 모델에는 이에 더해 안전성 테스트, 사고 보고 체계, 사이버보안 조치, 에너지 소비 공개 등 추가 의무가 부과된다. 특히 사회 전반에 ‘시스템적 위험(Systemic Risk)’을 초래할 수 있다고 판단되는 초대형 모델에는 더 엄격한 요건이 적용된다. EU 집행위원회는 범용 AI 모델에 관한 지침을 이미 발표했으며, AI 생성 콘텐츠 표시 방식에 대한 실행 지침도 준비 중이다.
독일의 대응 — 연방네트워크청이 감독기관으로
EU 회원국은 각자 국가 AI 감독기관을 지정해야 한다. 독일은 2026년 2월 연방 내각이 AI법 시행법(Durchführungsgesetz)을 의결하면서 연방네트워크청(Bundesnetzagentur)을 중심 감독기관으로 확정했다. 독일 디지털산업협회 빗콤(Bitkom)은 “AI법이 독일에서 혁신 촉진 프로젝트가 될지, 관료주의적 부담으로 전락할지는 감독 체계의 효율성에 달려 있다”고 평가했다.
60여 명의 추가 인력으로 방대한 감독 임무를 수행하려면 감독기관 자체도 AI를 적극 활용해야 한다는 지적도 제기됐다. 또한 스타트업과 중소기업이 규제 감독 아래 안전하게 AI 시스템을 개발하고 테스트할 수 있는 ‘AI 규제 실험실(KI-Reallabore)’을 조성해 혁신을 지원해야 한다는 목소리도 높다.
한국에 미치는 영향 — ‘AI 기본법’과의 정합성이 과제
AI법의 파장은 유럽 내부에 그치지 않는다. EU 시장에 제품이나 서비스를 출시하는 기업이라면 사업자의 소재지와 관계없이 이 법의 적용을 받기 때문이다. AI 시스템이 탑재된 전자기기나 자동차를 유럽에 수출하는 한국 기업도 예외가 아니다. 한국은 챗GPT 유료 구독자 수가 미국에 이어 세계 2위를 차지할 만큼 AI 기술 활용이 활발하지만, 규제 체계 마련은 상대적으로 늦게 출발했다. 2025년 1월 ‘인공지능 발전과 신뢰 기반 조성 등에 관한 기본법(AI 기본법)’이 제정되어 시행을 앞두고 있으나, 구체적 적용 범위와 하위 규정 정비가 과제로 남아 있다.
전문가들은 EU AI법이 고위험 AI 규정의 적용 시점을 차등 연기한 것이 국내 규제 적용의 범위와 속도를 조절하는 데 참고가 될 수 있다고 본다. 또한 규제 통합 절차 간소화 등 ‘규제 효율’을 도모하는 설계 원리를 반영한 디지털 인프라 구축 논의가 국내에서도 가속될 것으로 전망된다.
고려대학교 이성엽 교수는 “AI 기술은 생산성 향상을 통해 인류에게 엄청난 경제적 편익을 가져올 것이지만, 예상을 뛰어넘는 능력으로 대량 실업, 편향성과 차별, 저작권 및 개인정보 침해 위험도 함께한다”며 국내 AI 규범 정비의 시급성을 강조했다.
글로벌 표준이 될 가능성
EU는 이미 GDPR, 디지털시장법(DMA), 디지털서비스법(DSA) 등을 통해 글로벌 디지털 규제의 중심 역할을 해왔다. AI법 역시 유사한 경로를 밟을 가능성이 높다는 것이 전문가들의 공통된 시각이다.
결국 EU AI법은 단순한 유럽 내부 규제를 넘어 향후 국제 AI 거버넌스의 핵심 기준으로 자리 잡을 가능성이 크다. GDPR이 그러했듯, EU가 먼저 제시한 기준이 사실상의 세계 표준이 되는 현상은 AI 분야에서도 반복될 공산이 크다. 유럽이 세계 최초로 AI 규제의 판을 짠 지금, 나머지 세계는 그 기준을 어떻게 받아들이고 어떻게 자국 현실에 맞게 적용할 것인지를 고민해야 하는 시점에 와 있다.