EU AI법(AI Act)을 설계자가 인공지능(AI) 모델 자체를 규제하는 것은 반대했지만 입법 과정에서 규제 범위가 모델 자체로 확장됐다고 밝혔다.

EU AI법의 주 설계자인 가브리엘레 마치니(Gabriele Mazzini) 메사추세츠공대(MIT) 박사가 27일 서울 르메르디앙 명동에서 열린 ‘AI 주권과 글로벌 정합성’을 주제로 한 국제 심포지엄에서 “AI 파운데이션 모델 자체를 규제하는 것에 반대했다”며 “EU AI법(AI Act)을 AI 모델이 아니라 사용 사례 기반으로 단순하고 명확하게 규제하고자 했다”고 말했다. 이어 확장된 법안의 모호하고 중복된 내용을 앞으로 이행 단계에서 보완해야 한다고 강조했다.

마치니 박사는 EU 집행위원회에서 AI Act 팀 리더로 EU AI법 초안을 총괄하며 법안 설계를 주도했다. 그는 2021년 4월 EU 집행위가 처음 제안한 AI법 초안이 사용 사례(Use case) 기반의 위험 접근법을 중심으로 설계됐다고 설명했다. 이는 AI 기술 자체가 아닌 고위험 응용 프로그램과 최종 제품의 규제에 초점을 맞춘 것이었다.

하지만 법안은 EU 의회와 평의회를 거치며 AI 파운데이션 모델에 대한 규제 조항이 추가되면서 범위가 대폭 확대됐다. 그는 “파운데이션 모델 개발자에게 투명성 의무, 리스크 평가, 사고 보고 등 추가 규제를 요구하며 복잡성이 더해졌다”며 “이러한 규제는 중소기업에 과도한 부담을 주고, 자본력이 있는 대기업이 시장 지배력을 확대할 위험이 있다”고 지적했다.

EU AI법 제정 과정에서 주요 사건들도 법안 방향에 영향을 미쳤다. 챗GPT의 등장(2022년 11월)과 미국 바이든 행정부의 행정명령(2023년 10월)은 규제 논의를 한층 복잡하게 만들었다. 마치니 박사는 “챗GPT의 등장은 AI 기술의 대중적 관심을 급격히 높이며 규제 논의에 큰 영향을 미쳤다”며 “이로 인해 파운데이션 모델에 대한 추가 규제 논의가 포함되면서 법안이 더욱 복잡해졌다”고 설명했다.

EU AI법 제정은 집행위가 설계한 초안을 출발점으로 선출직으로 구성된 EU 의회와 EU 회원국 정부를 대표하는 EU 평의회를 통과해야 했다. 그는 “두 기관은 각기 다른 관점과 우선순위를 가지고 있어, 법안의 논의 과정이 자연스럽게 길어지고 복잡해질 수밖에 없었다”며 “의회는 시민의 권리와 기본권 보호에 더 중점을 두고, 평의회는 회원국 간 균형을 유지하며 실용적인 접근 방식을 강조하려 했다”고 했다.

마치니 박사는 EU AI법의 모호하고 중복된 조항들이 문제라고 지적했다. 그는 “초기 초안에 포함되지 않았던 영향을 받는 자(affected persons)가 유럽의회의 요구에 따라 포함됐다”며 “이 개념은 AI 시스템에 영향을 받는 사람들을 보호하기 위한 권리 조항이지만 EU GDPR(개인정보보호법)과 중복되거나 법적 해석의 혼란을 야기하고 있다고 했다.

‘배포자(deployer)’ 정의도 모호하다. 처음 그는 “초기 초안에서는 AI 시스템의 주요 책임자를 ‘사용자(user)’와 ‘제공자(provider)’로 간단히 구분했다”며 “의회에 의해 사용자 대신 배포자의 개념이 도입되면서 배포자에게 기본권 영향 평가(Fundamental Rights Impact Assessment)와 같은 추가 의무가 부과됐고, 이는 원래 GDPR에서 제공자에게 부과된 의무와 중복되는 결과를 낳았고, 배포자와 제공자 간 책임 분담이 혼란스러워졌다”고 했다.

예를 들어, AI 시스템을 학교에 배포하는 경우, 배포자는 시스템이 학교 환경에 적합하도록 맞춤화할 책임을 진다. 하지만 이는 이미 제공자가 개발 단계에서 처리해야 할 의무로, 이중 규제가 발생한다고 마치니 박사는 지적했다. 그는 “앞으로 누가 배포자이고 제공자인지가 주요 쟁점이 될 것”이라고 전망했다.

그는 EU AI법 논의 과정에서 AI가 가져올 혜택에 대한 논의가 부족했다고 지적했다. 예측적 경찰 활동과 생체 인식 감시 등 활동을 금지하고 있다. 그는 “공공 치안에 AI를 활용했을 때 혜택이 많이 논의되지 않았다”며 “EU AI법은 경찰이 AI를 활용하는 데 실시간 생체인식 기술 사용을 엄격히 제하하고 있고, 이러한 기술을 활용하려면 매번 독립적인 기관과 사법부에 승인을 받아야 해 절차적으로 매우 복잡하고 사용하기 어려울 것”이라고 설명했다.

이날  박사와 국내 전문가가 참여한 대담에서는 국내 AI 기본법에 대한 혁신 내용이 부족하다는 지적도 나왔다.

최경진 한국인공지능법학회 회장은 “EU AI법은 규제와 더불어 혁신을 지원하기 위한 샌드박스 제도와 실제 환경 테스트를 포함하고 있어 AI 기술 개발과 검증이 이루어질 수 있는 환경을 제공한다”며 “반면, 한국 AI 기본법 초안에는 혁신 지원을 위한 구체적 제도나 조항이 부족하다”고 지적했다. 그는 이어 “국내 AI 법이 국회 상임위를 통과해 곧 제정될 수 있다”며 “아직까지 AI 기본법에는 이러한 부분에 대한 구체적인 내용이 보이지 않는다”고 말했다. EU AI법에는 규제 샌드박스(sandbox)나 실제 환경 테스트(real-world testing)와 같은 혁신 지원 제도가 포함돼 있다.

마치니 박사는 한국도 AI 법안을 제정하는 과정에서 간결성과 명확성을 중심으로 법안을 설계해야 한다고 조언했다. 그는 “기존 법률과의 중복을 피하고, 특정 위험(차별 방지, 투명성)에 초점을 맞춘 규제가 필요하다”며 “특정 문제를 중심으로 간단하고 명확한 규제를 설계”하라고 조언했다. 이어 “법은 모든 문제를 한꺼번에 해결하려고 하면 복잡성과 법적 불확실성을 초래할 뿐”이라며 “지속성을 가지돼 그 국가가 추구하는 AI법의 방향성은 명확해야 한다”고 말했다.

EU AI법은 지난 8월 1일 정식 발효됐다. 발효 12개월 후인 2025년 8월부터는 범용(General Purpose AI) AI에 대한 규정이 적용되며, 이는 파운데이션 모델 제공자를 대상으로 기술 문서 작성, 투명성 확보, 리스크 평가와 같은 의무를 부과한다. 이어 발효 24개월 후인 2026년 8월에는 의료, 자율주행, 교육 등 고위험 AI 시스템(High-Risk AI Systems)에 대한 규정이 시행된다. AI 기반 의료기기와 같은 특정 고위험 제품에 대한 규정은 발효 36개월 후인 2027년 8월부터 적용된다.

한편 이번 국제 심포지엄은 서울대 인공지능 정책 이니셔티브(SAPR)와 한국인공지능법학회, 서울대 인공지능신뢰성센터가 공동 주최했다.