[칼럼] AI 공공분야, 우리가 먼저 더 잘하려면
1. 인공지능 규제법, 호들갑 떨지 말고 대비하자.
필자의 전문 분야는 AI 신뢰성 관련 컨설팅이다. 얼마 전에는 과기부의 ‘신뢰할 수 있는 AI 개발 안내서’ 6개 분야 전 영역을 제작하기도 했다. 최근 ISO/IEC JTC1 SC42에서 인공지능 국제표준화 과정에 참여하고, 또 TRAIN(Trustworthy AI International Network)을 창설하면서, AI 신뢰성 관련 세계적 동향에 대해서는 업계 내에서 누구보다 빠르고 민감하게 반응하는 중이라고 생각한다.
최근 AI 신뢰성 문제에 관해 관심이 뜨거운 것은, 일차적으로 EU의 규제 법안과 미 바이든 정부의 행정 명령 때문이다. 그런데 해당 법안은 사실 2021년 4월에 이미 발표된 것이다. 심지어 2021년 발표 이전에도, 그러한 종류의 법이 나오리라는 것은 업계 관련자들 대부분이 진작에 예상했다. 그런데도 그에 대한 대비책에 이상하리만치 다들 무관심했다. 그런 모습을 생생히 기억하기에 지금의 호들갑이 신기하게 느껴질 따름이다.
사실 지금도 관심은 호들갑 수준에 그칠 뿐, 법안들이 지닌 의미와 앞으로의 파장에 대해서 제대로 분석하지 못하고 있다고 생각한다. 필자가 검토해본 바로 해당 법안에는 법안을 만든 국가의 자국 이기주의로 인한 독소 조항처럼 해석될 만한 부분이 있어 보이며, 수많은 예외 사항 조항이 있으면서도 그 내용이 상당히 모호하다는 점 역시 우리에게는 잠재적 위험 요소가 될 수 있다. 이런 세밀한 부분에 대해 먼저 관심을 가져야만, 몇 년 후 문제가 닥친 다음에 또 뒤늦게 허둥대는 일이 없으리라 생각한다. 그중 특히 중요한 것은 ‘책임’의 문제이다.
2. 인공지능 시대에는 ‘책임’의 개념이 달라진다.
지금은 SW 2.0 시대이다. 그것은 소프트웨어가 내가 작성한 로직대로 움직이는 것이(SW 1.0) 아니라, 학습한 데이터로 판단하여 동작한다는 것을 의미한다. 그렇다면 그 판단과 동작에 대해 누군가 책임을 져야 한다. 인공지능의 행동에 대한 윤리적‧법적 책임을 져야 하며, 인공지능의 안전성 문제에 대해서도 책임 주체가 필요하다. 문제는 정확한 책임 소재를 밝히기가 쉽지 않다는 점이다.
이를테면 누군가 어떤 음식을 먹고 탈이 났다고 하자. 탈이 난 이유가 식자재 자체의 문제인지? 식자재가 유통 과정에서 변질했기 때문인지? 식자재를 요리하는 과정에서 문제가 생겼는지? 음식을 제공하는 과정에서 문제가 생겼는지? 이 점을 정확히 규명해야, 피해에 대해 누가 책임을 져야 하는지 밝힐 수 있다. 탈이 난 것이 음식 때문이라는 것을 확인하는 것만 해도 쉽지만은 않을 텐데, 음식의 문제가 정확히 누구 책임인지를 밝히는 것은 더 어렵다는 것이다. 심지어 음식을 먹은 사람 자신의 부주의 때문이었을 수도 있다.
그렇기에 이런 경우 책임을 묻는 일에서는 실제 결과뿐 아니라 과정을 중요시할 수밖에 없다. 단계별 준수해야 할 규정들을 잘 이행했는지가 중요해진다는 뜻이다. 이제는 ‘정해진 음식을 시간 내에 만들었다’라는 결과 도출에 그치는 것이 아니라, ‘위생, 안전, 영양상태 관련 필요한 규정들을 모두 지키면서 음식을 만들었는가?’가 곧 ‘음식을 만드는 책임을 다했는가?’라는 질문의 의미가 된다는 뜻이다.
현재 공공에서 발주되는 AI 행정 서비스들은 이 부분에서 위험해 보이는 경우가 많다. 민감한 문제이기 때문에 이 지면에서 실제 사례를 정확히 지칭할 수는 없지만, 최소한 EU의 AI Act 기준으로 봤을 때 위법으로 판단될 만한 대목이 많았다. 아니 국내의 행정 서비스인데 왜 EU의 법 기준을 신경을 쓰지? 라고 하기에는, EU의 해당 법이 서비스 위치와 무관하게 EU 내에 거주하는 자를 대상으로 하는 모든 AI 서비스에 적용된다는 점이 문제다. 즉, EU에 거주하는 한국인들도 해당 서비스에 대한 법적 대상이 된다는 뜻이다. 자칫하면 해외 거주하는 동포를 위한 서비스가 그들에게 위법적인 결과가 될 수도 있다. 지금은 이 모든 것이 매우 모호한 상황이기 때문에, 훗날 국제적 분쟁의 소지를 만들지 않으려면, EU에 거주하는 한국인이던, 한국에 거주하는 EU 시민이던 공공영역에서 AI 서비스를 포기할 게 아니라면 사전에 충분히 검토돼야 한다.
법에 대해서 잘 모르는 내가 과도한 기우일 수도 있는 어설픈 유추를 해 보면 이렇다. 이를테면 우리나라의 공무원이 대마초가 합법인 국가에 초대받아, 모든 음식에 대마초 성분이 포함된 환영 만찬을 대접받은 상황이라면? 만약 대마초 음식을 먹는 일이 국외 행동이라도 국내법에 저촉될 수 있는 경우임을 알지 못했거나, 혹은 음식에 대마초가 함유됐음을 알지 못했다면 귀국 후 복잡한 문제에 연루될 수 있다. 왜냐하면 현행 대한민국 형법은 속지주의를 원칙으로 하고, 해외의 한국인에 대해 속인주의도 추가로 적용하고 있기 때문이다.
마찬가지로 아직 한국 내에는 AI 서비스에 대한 투명성 고지 의무가 없는 상황에서, 외국인들이 AI Act 기준으로 위법 소지가 있는 행정 서비스의 대상이 되는 일도 고려해봐야 한다. 내가 알기로는 EU 역시도 속지주의와 속인주의를 혼합적으로 적용하고 있지만 각 국가마다 결합 방식이 조금씩 다르고, 그 서비스가 EU 내에 실질적인 영향을 미치거나 특정한 연결고리가 있으면, EU는 자국민의 권익 보호를 위해 해당 AI 시스템에 대해 규제를 적용하려는 국제협력을 시도할 수 있기 때문이다. 게다가 EU의 AI Act는 일반적으로 상법에 성격을 띠고 있으면서도, 고위험 AI 시스템에 대해서는 강력한 규제와 처벌 조항이 있어, 형법적 요소도 일부 포함되는 것으로 보인다. 이처럼 아직 제대로 된 판례 등이 없는 상황에서 미래 상황에 대해 법적으로 면밀하게 검토해야 한다는 것이, 법 전문가가 아닌 일반인으로서는 상당히 골치 아픈 일일 수밖에 없다.
위의 공무원이 대마초 만찬 후 아무 생각 없이 귀국했다가 특정 검사에 걸려서 책임 소재를 따져야만 하게 되는 경우처럼, AI 서비스 관련해서, 이런 문제들로 인해 발생할 수 있는 법적 책임과 분쟁에 대해서는 어떠한 지침도 대비도 없다. 앞으로 EU AI Act와 유사한 법들이 생겨날 것이 충분히 예고되는 상황에서, 정작 조심하고 대비해야 하는 것은 이렇게 구체적이면서도 복잡한 문제들이다.
이런 경우에 우리에게 익숙한 대응은 아예 문제가 될 만한 서비스를 폐지해 버리는 방식이다. 그러한 방식은 적절성 여부를 떠나, 어쨌든 산업의 진보를 의미하지는 않을 것이다. 우리에게 필요한 건 AI Act와 같은 도전을 계기로 우리의 대응 수준을 한 단계 높이는 일이다. ‘AI 강국’을 준비한다는 것은 이런 일에 먼저 대비해야 함을 의미하는 것이다.
3. 공공분야의 AI 서비스, 이대로는 안 된다.
그렇다면 공공분야의 AI 서비스는 지금 무엇을 준비해야 할까? 크게 3단계로 봐야 할 것이다.
첫 번째로 기획 단계에서부터, 해당 서비스가 국내법과 국제법의 모든 기준에서 위법적 요소나 분쟁의 소지가 있는지를 면밀하게 검토해야 한다. 인터넷 서비스는 기본적으로 국적이나 거주지 제한 없이 이용 가능해야 하기 때문이다. 더구나 행정 서비스의 대상에서 국내 거주 외국인이나 재외 한국인을 제외한다는 것은 차별적 행위로 판단될 소지가 있다. 다만 여기서 문제는, 이러한 법적 검토를 할 때 현재의 법 기준만을 고려해서는 한계가 있다는 점이다. 모든 나라가 경쟁적으로 AI 관련 법안을 추진하고 있어서, 서비스를 기획하는 시점에선 없었던 제한이 서비스 배포 시점에서 새로 생길 수도 있기 때문이다. 따라서 문제의 소지가 적은 서비스를 우선 도입한 후 법적 리스크가 있는 서비스 요소들은 장기 과제로 남겨놓는 식의, 우선순위를 정하는 전략도 필요해 보인다.
두 번째는 책무성에 대한 활동과 결과를 RFP에 반영하여 요구하는 것이다. AI 책무성 중에서도 기업들이 가장 꺼리는 것은 투명성 제시이다. 이때의 투명성에는 제품에 대한 투명성과 제품 개발의 과정(조직)에 대한 투명성이 있다. 이에 대해 EU의 법은 Article 11, 13, 50에서 요구하고 있다. 개발 과정의 투명성이 의미하는 것은 AI를 검증하는 기술이 현 상태에서 충분하지 않다는 점을 고려해, 마치 음식을 눈으로 봐서 성분을 검사할 수 없어서 주방을 공개해 음식의 위생을 검증받는 것처럼, AI의 개발 과정을 투명하게 공개하라는 의미이다.
그리고 그 투명성을 공개하는 방법으로, 표준 준수를 요구하고 있다. ISO/IEC 12792 표준에서는 투명성 개념에 대해서 ‘이해관계자’에게, ‘필요한 정보’를 ‘잘 전달’해야 한다는 3가지 방향으로 규정했다. 이때 6개의 ‘이해관계자’와 그들이 보아야 할 정보로 4가지 분류체계를 정하는데, 해당 내용을 자세히 읽어보면 기업 대다수가 ‘이걸 다 공개해야 한다고? 그러느니 그냥 사업을 접겠어!’라고 말할 정도이다. 공개해야 하는 정보들이 기업들 입장에서 수많은 시행착오를 겪으며 쌓아온 노하우이자 자산, 경쟁력이기 때문이다.
이 부분에 대해 벨기에의 플랑드르에서는 ‘Prototyping The EU AI Act’s Transparency Requirements’라는 프로젝트를 시행했다. ‘과연 투명성을 제시하기 위해 어느 정도의 정보를 제공했을 때 사회적으로 책무를 다할 수 있을까?’ 17명의 전문가가 5개의 그룹으로 나뉘어 투명성을 제공하기 위한 정보들을 IFU라는 문서로 작성했고, 다시 15명의 산업별 대표자들을 뽑아 해당 정보를 확인했다. 실험 대상은 눈의 망막 이미지로 눈의 병리를 감지하는 AI 소프트웨어였고, 이해관계자는 안과 의사였다. 실험 결과에서 흥미로운 부분은, 필요 이상의 정보를 제공하지 않으면서도 안전에 필수적인 정보를 적정한 만큼 제공할 수 있었다는 대목이었다. 다시 말해 투명성 확보를 위해서는, 해당 실험의 경우 안전성을 판단하는 데 필수적인 정보를 충분히 제공하는 데 집중하는 게 중요했으며, 그 이상의 정보 노출은 정보 과부하를 만들어낼 뿐 사용자에게도 도움이 되지 않았다는 것이었다. 이것을 ‘정보 균형’이라고 표현했다.
따라서 공공에서 AI 제품이나 서비스를 발주할 때는 이 점을 고려해, 공개해야 할 정보를 최소화하여 RFP에 반영해야 한다. 자칫 과도한 정보를 요구하여 기업의 자산과 노하우에 부정적 영향을 미치게 하는 것은 ‘갑질’이 될 수 있기 때문이다. 또한 해당 정보 공개로 인한 기업의 손실이 사업을 통해 보상될 수 있게끔 예산이 책정되어야 한다. 다시 말해 투명성을 위한 정보 공개에 대해 ‘품질 비용’과 ‘안전 비용’이 적절하게 지급되어야 한다. 그래야만 기업이 양질의 제품을 공공에 제공할 수 있다.
마지막으로 투명성 제시뿐 아니라 검수와 유지보수 과정에서도 마찬가지다. 과거 SW 시대의 검수는 개발 이후, 배포 이전에 하는 시험을 의미했고, 그것으로 충분했다. 이후 발생하는 버그 해결이나 기능의 추가는 유지보수 항목에 들어갔다.
지금은 다르다. AI Life Cycle을 정의한 ISO/IEC 5338 표준을 참조해 보면, 기존 SW 프로세스인 12207에 더하여, Operation and Monitoring이라는 단계에서 Continuous Validation, Re-Evaluation 프로세스가 추가돼 있다.
SW 1.0 시대에는 코드로 만든 로직이 기능적 판단을 했다. 다시 말해 내가 로직을 수정하지 않으면 시스템에는 변화가 발생하지 않았다는 뜻이다. 하지만 SW 2.0 시대에는 로직이 아니라, 데이터로 학습한 AI가 자체적으로 기능적 판단하게 된다. 이는 운영과정에서 시스템이 계속해서 데이터를 수집하고, 그 데이터가 AI의 판단에 영향을 미치게 된다는 것을 의미한다. 따라서 출시 이후에도 추가 데이터 수집 과정에서 시스템의 성격이 바뀔 수 있다. 이를테면 운영과정에서 AI가 악의적으로 제공된 데이터나, 사회적 편견 때문에 편향된 데이터에 노출된다면 AI는 개발자의 의도와 전혀 다른 행동을 하게 될 수 있다.
AI를 개발하는 기업은 이러한 운영과정의 안전 문제도 책임을 져야 할 것인데, 이 또한 추가 비용이 요구되는 부분이고, RFP에 반영돼야 한다. 그렇지 않으면 기업은 충분한 비용의 투입을 통해 양질의 제품을 공급할 수가 없게 된다.
요컨대 기존의 SW 개발 수준의 예산으로는 현 단계에서 요구되는 수준의 안전한 AI를 만드는 것이 불가능하다. 따라서 공공기관은 AI 안전성을 위해 충분한 예산을 편성해서 발주 대상 기업에 제공해야 한다. 그것이 해당 산업 발전을 위한, 공공기관의 역할이다.
4. 거대한 힘에는 거대한 책임이 필요하고, 거대한 책임에는 거대한 예산이 필요하다.
공공기관이 AI 서비스 발주에 더 많은 예산을 투입해야 하는 이유는, 단지 서비스 출시 후 생길 수 있는 문제에 대해 책임져야 하기 때문만은 아니다. 이것은 국내 AI 산업 전반의 발전을 위해, 보기보다 더 중요한 문제이다.
글로벌 시장은 AI의 ‘안전’에 대해 점점 더 높은 수준을 요구하고 있다. 이런 상황에서는 공공에서부터 선제적으로, AI 안전에 대한 눈높이를 높여야 한다. 우리의 AI 산업은 내수만으로 유지될 수가 없고, 유지될 수 있다고 해도 그것은 ‘AI 선진국’의 수준이 아닐 것이기 때문이다. 세계시장을 노린다면, 우리 AI의 안전성 수준은 현재의 글로벌 기준보다 더 높아야만 한다. 그것을 선도하는 것이 공공의 역할일 것이다.
단, 여기서 두 가지가 고려돼야 한다. 첫째로, ‘글로벌 기준 이상의 안전성 수준’을 모든 분야, 모든 기업에 요구할 수는 없다. 안전성이 요구되는 영역을 세분화할 필요가 있다. 해당 서비스의 성격과 대상에 따라 정말로 엄격한 안전성이 요구되는 분야와 그렇지 않은 분야가 있다. 아직 역량이 부족한 기업들은 안전성이 상대적으로 덜 요구되는 분야에서 기초 체력을 키운 후 상황에 따라 더 큰 시장으로 진출할 수 있을 것이다.
두 번째로는 요구되는 기준을 높일 뿐 아니라, 기업들이 더 높은 기준에 충족하는 기술을 만들어낼 수 있도록 제도적 지원방안을 마련해야 한다는 점이다. 요컨대 더 많은 기업이 더 빨리 성장할 수 있게끔 다양한 인프라가 갖추어져야 한다.
그런 관점에서 지금 계류되고 있는 AI 산업법 제정이 왜 우리에게 시급하고 중요한 문제인지를 인식하는 것이 중요하다. 단지 빨리 법안을 제정하자는 것이 아니라, 빨리 합리적인 법안이 제정될 수 있도록 각계의 노력이 모여야 한다는 것이다.
5. AI 선진국 진입, 지금은 공공의 역할이 중요하다.
AI와 같은 새로운 산업에서 기술 발전이 촉진되려면, 시장에서의 경쟁과 함께 공공의 지원이 필요하다. 여기서 공공의 지원이란 특정 기업이나 분야를 공공이 무작정 도와야 한다는 의미가 아니다. 기업이 도전할 수 있는 시장에는 크게 민간 시장과 공공 시장이 있다. AI 안전성 분야의 경우, 현 단계에서는 민간 시장에서 비약적인 발전이 이뤄지기 어렵다. 안전성의 혁신은 상대적으로 긴 시간의 연구와 검증이 필요하고 그만큼 비용의 증가를 요구하게 되는데, 단기 경쟁을 위주로 하는 민간의 여건상 쉽지 않기 때문이다.
이때 필요해지는 것이 공공 시장이다. 공공이 높은 안전성 수준을 요구하는 AI 서비스를 발주하면서 거기에 합당할 만큼의 보상을 제공한다면, 기업들은 성공을 위해 경쟁하면서 결과적으로 산업 전반에 걸쳐 기술 수준이 향상될 것이다.
그러려면 공공기관 실무자들의 역할이 중요하다. 지금은 기술적 격변의 시기이다. 자칫하면 ‘이런 건 배운 적이 없는데, 뭐지?’라며 어물거리는 사이에 산업의 생태계 자체가 바뀌어 버린다. 당장 필요한 지식이 무엇인지 확인하고, 그것을 공유할 수 있을 만한 전문가들을 확보하며, 전문가들과의 소통을 통해 필요한 사업들을 체계적으로 구성해야 한다. 당연히 쉽지 않은 일이다. 하지만 모든 나라가 신기술에 대한 우선권을 얻고자 경쟁하는 시점이다. 여기서 성공하는 것은 결국 실무자들이 그런 역할을 잘해주는 나라일 것이다. 공공이 그만큼 노력해 준다면, 우리 산업계는 더 큰 이익을 위해서 제 한 몸 불사를 각오가 돼 있는 기업인들로 이미 가득하다.