세계 각국의 인공지능(AI) 입법 논의가 한창이다. AI 거버넌스의 핵심은 기업의 혁신활동을 지나치게 위축시키지 않으면서도 규제목적을 달성할 수 있도록 규제방식과 수준을 정하는 데 있다. AI 거버넌스 정립을 위한 노력은 국가별로 서로 다른 양상으로 전개되고 있는데, 이들을 편의상 3가지 유형으로 분류해 보고자 한다.
EU "입법 통한 AI 거버넌스 표준 선점"
EU는 '규제 중심주의'다. 올해 통과를 목표로 신속히 추진 중인 인공지능법(AI Act)은 AI의 위험에 대한 통제, 인권보호, 투명성과 책임성의 보장 등 규제에 초점을 맞추고 있다. 규제가 강하면 '준법비용'이 커진다. 창업자에게는 진입장벽이 된다. 2016년 제정된 개인정보보호법(GDPR)도 이런 비판을 받았다. 다만 마이크로소프트, 오픈AI, 구글, 아마존, 메타 등 AI 개발을 선도하고 있는 빅테크 기업은 대부분 미국 기업이다. EU의 강력한 AI 거버넌스 구축에 저항이 적은 이유이기도 하다.
EU의 전략은 입법을 통한 AI 거버넌스 표준 선점이다. EU는 GDPR 제정을 통해 유사한 경험을 했었다. GDPR은 회원국 간 자유로운 데이터 이동을 보장하고 개인정보 침해를 규제하는 목적으로 제정되었다. DLA 파이퍼는 GDPR이 시행된 2018년 5월 25일 이후 GDPR 위반으로 부과된 벌금이 총 4조원이 넘는다고 분석했다. 애매하거나 비공개인 데이터를 제외하고 보수적으로 집계한 금액이다. GDPR 시행으로 기업들의 개인정보 보호수준 향상, 개인정보의 가치에 대한 인식 개선, 기업의 전략적 의사결정에 많은 효과가 있었다는 평가들이 있다. 반면 기업들은 비싼 준법비용을 지불했다. 특히 EU 회원국 내 기업과 거래하는 해외기업에게는 여간 까다로운 규제가 아니다. 계약서가 최소 한두 쪽은 늘었다. 게임의 법칙인 GDPR을 '받아들이든지, 거래를 포기하든지(Take it or leave it)' 선택해야 했다. EU가 인공지능법으로 글로벌 거래의 표준을 만들 수 있다는 자신감은 이런 경험에 근거를 둔다.
美, 자율규제 통한 비즈니스 모델 구축
미국은 '시장 중심주의'다. 개인정보보호 입법에 대해서도 그랬다. 미국도 분야별 개인정보보호 법률과 캘리포니아, 버지니아, 콜로라도 등 주별 포괄 입법들은 차츰 도입되어 왔지만 연방 차원의 포괄적 개인정보보호 법률은 아직 제정되지 않았다. 준법비용이 낮은 규제환경에서 빅테크 업체들, 스타트업들은 다양한 비즈니스 모델을 실험하며 성장했다.
AI 법안에 대해 미국 정부와 의회도 깊은 관심을 보이며 분주하게 정책을 조율하고 있다. 바이든 행정부는 행정명령을 준비하고 있고 연방의회는 AI 학습에 많은 노력을 기울이고 있다. 다만 입법조치는 꼭 필요한 한도에서 천천히 진행될 것이다. AI 업계의 희망사항이 반영된 거버넌스가 예상되며 자율규제를 존중하는 방향이 예상된다.
지난 7월 21일 AI 개발 업체들은 백악관을 통해 AI 기술의 안전성, 보안성, 투명성을 준수하겠다는 공개적인 약속을 했다. 업계의 자율규제 약속이라서 법적 강제력은 없다. AI 개발의 선두주자인 마이크로소프트, 오픈AI, 구글, 아마존, 메타, 앤트로픽, 인플렉션의 공개적 약속이라는 점은 의미가 있다. 흔히 '연성법'으로 불리는 느슨한 수준의 규제로 볼 수도 있다. 바이든 행정부가 작년 10월 발표한 'AI 권리장전 청사진'도 마찬가지다. 한편 빅테크들은 자율규제 약속의 형식을 빌어 행정부가 준비하고 있는 AI 행정명령, 연방의회가 제정할 수도 있는 AI 규제입법에 대한 자신들의 의견을 피력한 셈이다. 빅테크들이 적극적으로 정부와 의회에 거버넌스 체계를 제안하는 것을 후발 업체들에 대한 진입장벽 쌓기라고 분석하는 이들도 있다. 아무튼 빅테크들의 약속은 어느 정도 구체적이다. 예컨대 △AI 제품 출시 전 안전성 테스트 △AI 시스템의 핵심자산인 '모델 가중치'의 철저한 보안 △보안취약점 발견 및 보고 시스템 △AI 생성 콘텐츠임을 표시하는 워터마킹 시스템 △AI 시스템의 능력과 한계 △보안위험과 사회적 위험의 공개(공정성과 편향 문제 등) △암 예방과 기후변화 완화 등 사회적 문제를 해결할 수 있는 AI 시스템 개발 등이다.
中 "AI 알고리즘 등록 등 사상 통제"
중국은 '사상 통제주의'다. 중국도 AI에 대해 적극적이고 신속한 입법적 대응을 해 왔다. 2022년 3월부터 시행된 '인터넷정보서비스 알고리즘추천 관리 규정'과 올해 1월부터 시행된 '인터넷정보서비스 딥페이크 관리 규정'이 현재까지 대표적인 관련 입법이다. 중국 AI 업체들은 중국공산당중앙 네트워크안전정보화위원회(CAC)에 알고리즘을 등록해야 한다. 이미 텐센트(위챗), 바이두(검색엔진), T몰 및 타오바오(알리바바 쇼핑 플랫폼), 웨이보(SNS)를 비롯한 다수 IT 업체들의 AI 알고리즘이 등록되어 있다. 이로써 정부에 대한 비판이나 부정적 평가를 담은 콘텐츠는 통제된다. 최근 생성형 AI 규제 법률인 '생성형 인공지능서비스 관리방법'에 대한 공개의견 수렴이 끝났다. 입법권을 가진 전국인민대표대회 상무위원회가 이 법안을 EU 인공지능법보다 먼저 통과시킬 수도 있다. 이 법안은 특히 챗GPT와 같은 생성형 AI를 규제대상으로 한다. 챗GPT가 일반에 공개되기 5일 전인 작년 11월 25일 확정된 '인터넷정보서비스 딥페이크 관리 규정'을 보완하는 입법이다. 인종·성별 등에 대한 차별을 사전에 방지할 의무, IP침해, 영업비밀 유출, 허위정보 생성에 대한 방지조치 의무, 데이터, 저작권 등을 보호하는 타 법령에 대한 준수의무 등을 담았다. 다만 생성된 콘텐츠는 사회주의 핵심가치를 담아야 한다는 의무가 강조되었다.
韓, 입법 부재...AI 거버넌스 구축 서둘러야
국내의 경우 제21대 국회에서 발의된 인공지능 관련 법안이 총 12건이다. 올해 2월 14일에는 발의된 7개 법률안을 통합한 '인공지능산업 육성 및 신뢰 기반 조성에 관한 법률안'이 대안으로 과학기술정보통신위원회 법안소위를 통과했다. 규제하되 혁신활동에 큰 부담을 주지 않겠다는 절충안으로 이해된다. 다만 입법절차가 더 진행되지 못하고 있는 것이 아쉽다. 입법의 부재는 미국의 네거티브 시스템에서는 거버넌스의 한 방식이 될 수 있지만 우리의 경우는 전면적 금지 또는 미래의 준법비용이다. 작년 11월 생성형 AI의 첫 공개 이후 기술은 점점 강력해지고 있다. 기술적인 관점에서 제기되는 우려는 과장됐다는 의견도 많지만 새로운 비즈니스 모델들이 속속 출현하고 시장은 급변하고 있다. 언제나 신속한 입법이 능사는 아니다. 다만 AI의 잠재적 위험을 통제하고 주요국들의 입법동향에 대응하며 우리 기업들의 혁신활동을 지원하는 AI 거버넌스 구축이 지연되어서는 안 된다.
/박성필 KAIST 문술미래전략대학원장
※이 글은 필자의 주관적인 견해이며, 본지의 편집방향과 다를 수 있습니다.
kim091@fnnews.com 김영권 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지