[칼럼] AI 기본법, 국내 기업만 옥죄는 족쇄 되나

‘인공지능 발전과 신뢰 기반 조성 등에 관한 기본법(AI 기본법)’이 지난 1월 21일 공포돼 내년 1월 시행을 앞두고 있다.

AI 기본법은 해당 AI가 고영향 AI에 해당하는지 여부를 사전에 검토할 의무를 부과하고 있는데 ‘고영향 인공지능(고영향 AI)’을 정의함에 있어 그 구체적인 판단기준 등을 제시하지 않고 있다. 결국 ‘인공지능사업자’는 과학기술정보통신부에 고영향 AI 해당 여부의 확인을 요청할 수밖에 없을 것으로 보인다. 한편 고영향 AI나 생성형 AI를 이용한 제품 또는 서비스를 제공하려는 인공지능사업자는 이용자에게 AI에 기반해 운용된다는 사실을 고지해야 하고, 생성형 AI나 이를 이용한 제품 또는 서비스를 제공하는 경우 생성형 AI에 의해 생성되었다는 사실을 표시해야 하며, 딥페이크의 경우 해당 결과물이 AI 시스템에 의해 생성되었다는 사실을 이용자가 명확하게 인식할 수 있는 방법으로 고지 또는 표시해야 한다.

일정 규모 이상의 AI 시스템의 인공지능사업자는 위험식별·평가 및 완화, 안전사고 모니터링·대응을 위한 위험관리체계 구축 등을 이행해야 하는 의무를 부담한다. 또한 고영향 AI 또는 이를 이용한 제품 또는 서비스를 제공하려는 인공지능사업자는 위험관리 방안의 수립·운영, 인공지능이 도출한 최종결과, 이에 활용된 주요 기준, 학습용데이터의 개요 등에 대한 설명 방안의 수립·시행, 이용자 보호 방안의 수립·운영, 사람의 관리·감독, 안전성·신뢰성 확보 조치에 관한 문서의 작성과 보관 등의 의무를 부담한다. 이처럼 AI 기본법은 인공지능사업자에게 각종 의무를 부여하고 있다.

다만 이와 같은 의무 위반에 대해서는 어떠한 과징금 부과나 형사처벌 규정이 없고, 일부의 경우에만 과태료 부과를 규정하고 있어 그 규제 효과를 최소화했다는 의견도 있는 것 같다.

하지만 국내에서 사업을 추진하고 운영해야 하며 관련 인허가 등을 국가기관으로부터 받거나 관리를 받는 국내 사업자로서는 과징금 부과나 형사처벌 규정이 없다는 이유만으로 위와 같은 의무 부과 규정을 무시할 수 없다. 이러한 이유로 국내 인공지능사업자들은 AI 기본법이 상당한 규제사항을 담고 있다는 의견도 많다. 이러한 의무규정이 규제사항인지 여부를 뒤로 하고, 이러한 AI 기본법의 규제사항이 해외 인공지능사업자들에게도 공평하게 적용될 수 있을지의 관점에서 한번 살펴보자.

개인정보의 보호 등에 관한 일반법인 개인정보보호법은 국내에 주소 또는 영업소가 없는 외국 사업자의 경우 개인정보 보호책임자의 업무 등을 대리하도록 국내대리인을 지정하도록 규정하고 있는데(제31조의2), 국내대리인을 지정하지 않은 경우에는 2천만 원 이하의 과태료를 부과할 수 있도록 규정하고 있을 뿐이고(제75조 제3), 이러한 법 위반사항에 대한 시정조치 명령에 따르지 않은 경우 5천만 원 이하의 과태료에 처하도록 규정하고 있을 뿐이다(제75조 제1항). 국내대리인 미지정의 경우 위와 같은 규정이라도 두고 있지만, 국내대리인을 형식적으로 지정했지만 해당 국내대리인이 해당 역할을 제대로 수행하지 않고 있는 경우에 대해서는 마땅한 관련 규정이 없다. 이에 대한 시정조치가 가능하다고 보더라도, 시정조치에 대한 미이행에 대해서는 위와 같은 과태료부과 처분만 가능할 뿐이다.

이에 반해 유럽의 개인정보보호규정(GDPR)의 경우 국내대리인 지정 의무를 위반한 경우 1000만 유로 또는 직전 회계연도 연간 전 세계 총매출의 2% 중 높은 금액의 범위 내에서 과징금을 부과하도록 규정하고 있다. 이에 관한 감독기관의 시정 명령 등의 불복에 대해서는 2000만 유로 또는 직전 회계연도 전 세계 총매출의 4% 중 높은 금액의 범위 내에서 과징금을 부과하도록 규정하고 있다.

이러한 이유 때문인지 애플, 아마존웹서비스(AWS), 메타 등과 같은 글로벌 기업들은 국내대리인을 두고 있지만, 명목만 국내대리인일 뿐 아무런 역할도 제대로 하지 못하는 페이퍼컴퍼니에 불과한 것 아니냐는 논란은 최근까지 계속되고 있다. 이에 반해 유럽 등에서 위 기업들은 국내에서와 사뭇 다른 행보를 보인다. 이러한 태도는 개인정보보호법 영역만의 문제는 아닌 것으로 보인다. 국내 이용자들은 “해외 기업은 다른 나라 사람들보다 국내 소비자를 보다 불리하게 차별적으로 취급한다”고 말을 스스럼없이 한다.

최근에 인스타그램의 경우 일종의 자동화 프로그램 판별을 통해 국내 다수 인스타그램 계정을 강제 비활성화하는 등 문제 상황이 벌어지고 있다. 이에 대해 인스타그램 운영사인 메타는 적절한 대응부서조차 두지 않고 있는 것으로 보인다. 국내 이용자들은 이용자끼리 어떻게 해야 하는지를 공유하면서 메타 측에 연락하는 등의 모든 노력을 하고 있으나 적절한 어떤 설명이나 원인 규명 없이 비활성화가 풀리거나 영구 비활성화되는 등의 일방적 조치로 고통을 받고 있다. 국내 기업이라면 있을 수 없는 일이, 해외 기업의 경우 법이 사각지대처럼 운용되는 부분이 있는 것이다.

한편 오픈AI 챗GPT에서는 법률문제에 관해 제한 등이 전혀 없이 챗봇 서비스가 이루어지고 있다. 이용자가 챗GPT에 구체적인 사건이나 구체적인 법률문제나 쟁점에 대해 질문을 하고, 챗GPT가 이를 근거로 이용자에게 향후 필요한 법적 조치나 법적 대응 방안에 대해 제시하거나, 이용자의 구체적인 질문사항에 대해 맞춤형 답변이나 대화형으로 답변하는 수준의 서비스를 제공한다면 이는 법률 사건의 해결에 필요한 실체적 또는 절차적 사항에 관해 법률적인 의견을 제시하는 것으로 법률 사무의 하나인 ‘법률 상담’에 해당한다(대법원 2009. 10. 15. 선고 2009도4482 판결 등)고 볼 수 있다.

그렇다면 (유료 버전 서비스를 통해) 유상으로 위와 같은 법률 상담 서비스를 제공하는 챗GPT의 경우 변호사법 위반이 문제 된다. 그럼에도 대한변호사협회 등은 국내의 리걸테크 등 기업들의 변호사법 위반 등의 문제에 특히 집중하고 있을 뿐, 챗GPT에 대해서는 공식적으로 어떤 문제를 제기하지 않고 있는 것으로 보인다. 챗GPT를 운영하는 오픈AI가 국내에서 변호사법 위반 이슈에 휘말렸다는 기사를 아직 본 적이 없다.

AI 기본법도 앞서 살펴본 개인정보보호법과 같이 외국 인공지능사업자의 경우 국내대리인을 두도록 규정하고 있지만, 국내대리인 미지정이나 시정명령에 따르지 않은 경우 3천만 원 이하의 과태료만 부과하도록 해 가볍게 처벌하고 있을 뿐이다(제43조 제1항). 앞서 살펴본 개인정보보호법과 같은 상황이 되풀이될 것을 염려하지 않을 수 없다.

또한 AI 기본법에서의 많은 의무 규정이 있지만, 국내 이용자들을 상대로 AI 기술이 적용된 많은 서비스를 제공하고 있는 해외 기업들의 경우, 앞서 살펴본 인스타그램이나 챗GPT의 경우와 같이, 정작 AI 기본법의 적용에서 사각지대로 존재할 가능성도 배제할 수 없다.

이처럼 AI 기본법에서의 의무규정이 사실상 국내 기업에는 상당한 규제로 작용하게 되어, 관련 법령을 엄격하게 준수해야 하고 이에 관한 위험과 관련 비용 지출을 더 부담해야 하는 국내 기업의 글로벌 기업들에 대한 경쟁력을 약화하는 결과를 낳을 위험이 있고, 위와 같은 의무규정에도 불구하고 해외 기업들에 대한 국내 소비자나 이용자들의 권리나 사회 공공이익 등에 대해서는 제대로 된 보호 등이 이루어지지 못하는 아이러니한 결과가 발생할 염려도 있다.

이러한 점에서 국내외 기업 간 규제 불균형이 이루어지지 않도록 향후 AI 기본법의 내용을 보완·수정하고, 적절한 후속 규정, 지침 등이 마련될 필요가 있다. AI 기본법의 의무 규정의 필요성 여부에 대해서만 논박하다가, 앞서 살펴본 것이 법 적용에 있어서 국내외 기업의 사실상 역차별 현상이 발생하지 않도록 주의해야 한다. 미국, 유럽, 중국 등 주요 국가는 모두 자국 기업의 보호를 중요한 가치로 삼고 있다. 그러나 유독 한국의 경우 사실상 반대의 현상을 보게 된다. 앞선 사례가 그러한 사례들이다.

한편 AI 기술이 실제적이고 적극적으로 전 산업 분야에 활용되기 시작한 기간이 얼마 되지 않았기에, 위 AI 기술이 적용되어 활용되는 분야를 명확히 특정하고 그로 인한 위험성이나 부작용을 파악하고 대처하는 방안을 마련하는 것은 쉽지 않다. 또한 AI 기술은 매우 빠르게 변화하고 발전하고 있는 단계이다. 이러한 상황에서 AI 기술 일반에 적용되는 일종의 보호기준 등을 설정하고 이를 법령화한다는 것이 바람직한지 의문이다. EU(유럽연합) AI 법(AI Act)가 이와 같은 접근 방식의 예라고 생각한다. AI 기술이 지향해야 할 방향을 설정하고 이를 선언한다는 의미는, ‘윤리’의 관점이나 일종의 ‘가이드라인’과 같은 영역에서 의의가 있을 수는 있겠지만, 구체적인 사안에의 적용을 그 전제로 하고 있는 법령이라는 분야에서는 이와 같은 접근 방식은 되려 비효율적이나 현실의 괴리라는 혼란을 일으킬 수 있다고 생각한다.

따라서 AI 기본법 이후에는 일반적이고 보편적인 규제 체계보다는, 산업별 특성은 물론 AI 기술이 활용되는 세분된 분야(의료, 금융, 교육, 법률 등)별 특성을 반영하는 구체적인 법령과 가이드라인을 마련하는 것이 보다 효과적일 것이다. 이와 같은 세분된 관점에서 규제나 발전 방향에 대한 논의 등이 이루어져야, 관련 인공지능사업자는 물론 이용자의 입장에서 보다 납득이 되는, 효과적인 규제와 혁신의 조화를 꾀할 수 있는 접근이 가능하다고 본다.

AI 기본법은 일정 부분 규제사항을 담고 있지만, 그에 관해 관련 형사처벌이나 과징금 부과 규정을 두고 있지 않고, 고영향 AI의 판단기준, 실제 운영 기준 등에 대한 후속 규정과 지침이 필요한 상황이다. 따라서 AI 기본법 제정 이후 관련 시행령이나 지침, 가이드라인 등이 어떤 방식으로 그리고 어떠한 내용으로 마련이 되는지 여부가 매우 중요하다. AI 기본법이 제정되는 과정과는 달리, 위와 같은 후속 과정에서는 앞서 살펴본 문제를 포함해 많은 중요한 문제들에 관해, 정치적인 이념 기준에 의하지 않고, 다양한 AI 기술 개발자, 사업자, 법률가 등 관련자들이 참여하도록 해 충분한 논의와 검토를 거쳐, 적절한 후속 규정, 지침 등이 마련되었으면 하는 바람이다.



오정익 변호사는 법무법인(유한) 원의 인공지능앤테크(ANT)팀의 팀장을 맡고 있다. 사법연수원 41기로 AI 관련 법(개인정보보호법 등), 기업 법무(HR 등), 상속후견 분야에서 활발한 활동을 펼치고 있다. ai 기술을 포함한 디지털 기술 적용 및 개인정보보호법 관련 규제, 법 제도 개선 등 관한 정부기관 관련 위원, 국가 용역 등에 참여했다.  또 EU 인공지능법 책 발간에 공동 저자로 참여했고, 과학기술정보통신부 제4기 인공지능 법제정비단 위원, 인공지능 중심 산업융합집적단지 고도화 사전기획 위원 등을 맡은 바 있으며, 사단법인 AI휴먼소사이어티 감사, 리걸테크AI 포럼 총무이사 등을 맡고 있다.