[해외 DS] EU AI법 승인, AI 시장의 새로운 지형과 글로벌 영향

EU 회원국 만장일치로 AI법 승인, 의회 최종 투표만 남아
AI법 초안 유출, "오픈소스 AI 모델은 규제 대상에서 제외"
전문가들은 EU AI 법이 전 세계 AI 규제에 영향을 미칠 것으로 예상해

[해외DS]는 해외 유수의 데이터 사이언스 전문지들에서 전하는 업계 전문가들의 의견을 담았습니다. 저희 데이터 사이언스 경영 연구소 (GIAI R&D Korea)에서 콘텐츠 제휴가 진행 중입니다.

---

지난 2일 유럽연합(EU) 회원국들은 유럽 이사회와 유럽 의회가 지난해 12월 합의한 AI 법안에 서명했다. 법률전문가들은 올해 법제화될 AI 규제로 인해 유럽에서 AI 도구를 사용하는 기업에 전면적인 제한이 가해지는 것뿐만 아니라, 전 세계에서 AI 도구가 개발되고 사용되는 방식이 잠재적으로 영향을 받을 것으로 예상한다. EU의 AI 법안은 직장과 학교에서 감정 인식 소프트웨어의 사용을 금지하고, 인종 차별적이고 편향된 프로파일링 시스템을 금하며, 기업이 준수해야 하는 엄격한 윤리적 프레임워크를 제시하는 등, AI 애플리케이션의 사용자와 제공자 모두에게 큰 영향을 미칠 예정이다.

하지만 이러한 규제가 효과를 발휘하려면 모든 산업에 일률적으로 적용되어야 하는데, 매주 새로운 제품이 쏟아지고 빠르게 변화하는 기술 분야에서는 쉽지 않은 일이라고 네덜란드 위트레흐트대학교의 법학대학원 부교수 카타리나 고안타(Catalina Goanta)는 설명했다. 성장과 혁신을 장려하는 것과 개인을 보호하기 위한 안전장치를 구현하는 것 사이에서 ‘견고한 균형’을 찾기가 어렵다는 것이다. 아울러 최근 유출된 초안에 따르면 법안 발표 이후 내부의 정치적 다툼과 로비로 인해 법안의 내용이 변경됐다고 한다. 그리고 일각에선 여전히 미흡한 세부안에 대해 우려를 표하고 있다.

유럽연합 AI법 초안 유출, 주요 변경 사항과 논쟁

지난달 22일 유럽 미디어 네트워크인 유랙티브의 저널리스트 루카 베르투찌(Luca Bertuzzi)가 AI 법의 초안을 유출했다. 유출된 초안에서 가장 주목할 만한 점은 오픈소스 AI 모델, 즉 소스 코드와 학습 데이터를 자유롭게 사용할 수 있는 시스템에 대한 면제가 추가됐다는 점이다. 메타의 대규모언어모델(LLM)인 LLaMA를 포함한 이러한 오픈소스 도구는 OpenAI의 GPT-4와 같은 ‘블랙박스’ 시스템보다 투명하게 작동하지만, 전문가들은 여전히 해를 끼칠 수 있다고 지적했다.

다른 변경 사항으로는 AI 시스템의 정의 변경으로 인한 규제 범위 축소가 있다. ‘배포 후 적응성을 나타낼 수 있는’ AI 시스템만 규제 대상으로 포함됐는데, 여기서 ‘적응성’은 새로운 데이터에 기반하여 자가 학습 및 적응이 가능한 능력을 의미한다. 따라서 규칙 기반 AI 시스템은 규제 대상에서 제외될 수 있다. 이는 부적절하게 설계된 규칙 기반 시스템을 규제하지 못할 위험이 있음을 뜻한다.

일반적인 생각과는 달리 오픈소스 모델과 규칙 기반 AI 시스템 모두 윤리적인 문제를 완전히 피해 가지 못한다. LLM은 방대한 양의 텍스트 데이터를 학습하는데, 여기에는 원본 자료에 존재하는 편견이 포함될 수 있다. 이러한 편향은 모델에 의해 의도치 않게 반영될 수 있는데, 특히 학습 데이터에 개인 정보 또는 개인 식별 정보가 포함된 경우, LLM은 민감한 정보를 공개하는 텍스트를 실수로 생성할 수 있다. 게다가 악의적인 공격자로 인해 자동화된 ‘탈옥’ 공략법이 공개되면 그 여파는 걷잡을 수 없이 커지는 위험 부담도 있다. AI가 생성한 콘텐츠의 ‘책임감 있는 사용’에 대해 우려하는 시각도 있는데, AI가 생성한 콘텐츠는 가짜 뉴스와 딥페이크 생성 등 다양한 용도로 악용될 수 있어, 오픈소스 LLM의 높은 접근성을 경계해야 한다는 뜻이다.

한편 유출된 초안은 변경된 사항 외에도 기존에 사용된 ‘고위험’이라는 용어 자체가 여전히 모호하다는 비판을 받고 있다. 고위험 AI 시스템에는 의료 영상 및 국경 통제 초소에서의 안면 인식과 같은 특정 용도가 포함된다. 하지만 ‘건강, 안전, 기본권, 민주주의 등과 같은 공공의 이익에 잠재적인 해를 끼칠 수 있는’ 모든 애플리케이션이 고위험군으로 간주될 수 있다는 점에서 그 범위는 매우 광범위하다. 결과적으로 이러한 모호한 정의는 AI 개발을 복잡하게 만들고, AI 기업의 EU 시장 진출을 막아 혁신을 저해할 수 있다. 이탈리아 볼로냐대학의 디지털 윤리·법률 교수 클라우디오 노벨리(Claudio Novelli)는 “우리의 비판은 위험 기반 접근법 자체에 대한 것이 아니라 위험 측정에 사용되는 방법론에 대한 것이다”고 강조했다. 하지만 그런 그도 현재 법안의 문구가 원래보다 개선되었다는 점은 인정한다고 밝혔다.

인공지능 법 시행 이후와 예상되는 글로벌 파장

고위험 용도를 제외하고, 이른바 범용 AI 제공업체(ChatGPT와같이 다양한 응용 분야가 있는 생성형 AI 도구를 제공하는 회사)도 추가 의무를 적용받게 된다. 이들은 모델의 결과가 편견을 확대하지 않고 의도한 대로 작동한다는 것을 정기적으로 증명해야 하며, 해커나 기타 악의적 행위자에 대한 시스템의 취약성을 점검해야 한다. 에이바 러브레이스 연구소의 유럽 공공정책 책임자인 코너 던롭(Connor Dunlop)은 EU의 AI 법은 범용 AI 모델의 위험성을 식별하는 수준을 넘어 위험 완화를 위한 첫 번째 시도라고 언급했다.

AI 법이 시행되면 곧바로 카운트다운이 시작된다. 이 법에 따라 금지된 관행은 6개월 이내에 중단되어야 한다. 범용 AI 의무는 1년 이내에 시행될 예정이며, 고위험 AI를 개발하는 모든 사람은 24개월 이내에, AI가 포함된 의료 기기 등 일부 특수한 고위험 용도의 경우 36개월 이내에 법을 준수해야 한다. 하지만 AI 법이 어떻게 시행될지는 아직 명확하지 않다. AI 법에 따라 회원국들을 지원하기 위한 EU AI 사무국이 설치될 예정이지만, 정확한 역할은 아직 정해지지 않았다. 유니버시티 칼리지 런던의 법학과 부교수 마이클 베일(Michael Veale)은 회원국들이 민간 기관에 법 집행을 위임할 것으로 예상했는데, 일부 전문가들은 민간 기관이 법을 적극적으로 시행하지 않을 것이라고 우려했다.

던롭도 실제로 얼마나 많은 강제력이 작용할 수 있을지 의문을 제기했다. 그는 GDPR(General Data Protection Regulation, EU 개인 정보보호 규정)을 모델로 삼을 것을 제안했는데, GDPR의 경우 많은 글로벌 기업은 여러 관할권에서 다른 버전의 애플리케이션을 실행하는 대신, 전 세계적으로 EU 표준에 따라 운영하기로 결정했다. 그 결과 EU 외부에서도 많은 웹사이트에서 방문자에게 쿠키 제공 동의를 요구하는 관행이 생겼다. 이는 크게 두 가지 이유를 꼽을 수 있는데, EU는 세계에서 두 번째로 큰 시장이며 EU의 규제는 다양한 회원국의 의사 조율 과정을 거치면서 보편적인 가치를 반영하기 때문이다. 이는 다른 나라들도 받아들이기 쉬운 규제를 만드는 효과가 있다. 따라서 이번 AI 규제 시행에서도 대부분의 AI 기업이 EU의 표준을 따를 것이라는 전망이 나왔다.

한편 노벨리 교수는 현재 미국 규제 당국은 관망하는 태도를 보이고 있다며, EU는 빅 테크에 대한 단속 의지를 강조하고 있지만, 미국은 투자자와 혁신을 방해하는 것을 더 경계하고 있다고 설명했다. 그는 미국이 EU의 AI 법이 AI 시장에 미치는 영향과 이해관계자들의 반응을 모니터링해서 부정적인 피드백을 활용해 경쟁 우위를 확보하려는 의도가 있을 수 있다고 덧붙였다.

영어 원문 기사는 사이언티픽 아메리칸에 게재되었습니다.