EU, ‘허용 불가 위험’ AI 시스템 전면 금지

2월 2일(현지 시간)부터 유럽연합(EU)은 ‘허용 불가(unacceptable risk)’ 위험을 초래하는 AI 시스템의 사용을 금지할 수 있는 권한을 갖게 됐다. 이날은 EU의 AI법(AI Act)이 적용되는 첫 번째 준수 마감일이다. 이 법안은 수년간의 논의를 거쳐 지난해 3월 유럽 의회를 통과했으며, 8월 1일 공식 발효됐다. 이후 단계적으로 시행 기한이 정해졌으며, 이번 조치는 그 첫 번째 단계다.

AI법 제5조에 따르면 AI 시스템은 총 4가지 위험 수준으로 분류된다.

1. 최소 위험(Minimal risk): 이메일 스팸 필터 등 규제 대상 아님
2. 제한적 위험(Limited risk): 고객 서비스 챗봇 등 최소한의 규제 적용
3. 고위험(High risk): 의료 진단 AI 등 강력한 규제 적용
4. 허용 불가(Unacceptable risk): 사용 자체가 금지됨

이번 준수 마감일과 관련해 사용이 전면 금지된 AI 기술은 다음과 같다.

• 개인의 행동을 분석해 위험 프로파일을 생성하는 사회적 점수(Social Scoring) AI
• 무의식적으로 또는 기만적으로 사용자의 결정을 조작하는 AI
• 연령, 장애, 사회·경제적 취약성 등을 악용하는 AI
• 사람의 외모만으로 범죄 가능성을 예측하는 AI
• 생체 인식 기술을 활용해 개인의 성적 지향 등 민감한 특성을 추론하는 AI
• 공공장소에서 실시간 생체 인식 데이터를 수집하는 AI (법 집행 목적)
• 직장 또는 학교에서 개인의 감정을 분석하는 AI
• 온라인 이미지 또는 CCTV 영상을 무단 수집해 안면 인식 데이터베이스를 구축하는 AI
  
  

위에 해당하는 AI 시스템을 EU에서 사용한 기업은 소재지와 관계없이 처벌받는다. 위반 기업은 최대 35백만 유로(약 36백만 달러) 또는 전년도 연매출의 7% 중 높은 금액을 벌금으로 내야 한다. 다만, 영국 로펌 Slaughter and May의 기술 부문 책임자인 롭 섬로이(Rob Sumroy)는 벌금 적용까지는 시간이 걸릴 것이라고 TechCrunch와의 인터뷰에서 설명했다. 그는 “기업들은 2월 2일까지 법을 준수해야 하지만, 다음 주요 기한은 8월”이라며, “그때까지 규제 당국이 지정되고, 벌금 및 집행 조항이 본격적으로 시행될 것”이라고 덧붙였다.

이번 준수 마감일은 형식적인 측면도 강하다. 지난해 9월, 아마존, 구글, 오픈AI 등 100개 이상의 기업이 EU AI법의 원칙을 선제적으로 적용하겠다고 자발적 서약(EU AI Pact)을 맺었다. 그러나 애플, 메타, 프랑스 AI 스타트업 미스트랄(Mistral) 등은 서약에 참여하지 않았다. 특히 미스트랄은 AI법의 가장 강력한 반대자 중 하나다.

다만, 서약에 참여하지 않았다고 해서 이들 기업이 AI법을 위반하는 것은 아니다. 섬로이는 “이번 금지 조항을 고려했을 때, 대부분의 기업은 본래 이런 기술을 사용하지 않을 것”이라고 분석했다. 그는 또한 “기업들의 주요 관심사는 명확한 가이드라인, 표준, 행동 강령이 적시에 마련될 수 있는지”라며, “현재까지 관련 워킹 그룹은 개발자 행동 강령 초안 작업을 기한 내 수행하고 있다”고 전했다.

AI법은 일부 제한적인 경우 예외를 허용한다. 예를 들어, 공공장소에서 생체 인식 데이터를 수집하는 AI는 다음과 같은 조건을 충족할 경우 법 집행 기관이 사용할 수 있다.

• 특정 대상 수색(예: 실종 아동 추적)
• 명확하고 즉각적인 생명 위협 방지

단, 이러한 사용은 정부 기관의 승인을 받아야 하며, AI 시스템의 결과만으로 개인에게 법적 불이익을 줄 수 없다. 또한, 직장이나 학교에서 감정을 분석하는 AI도 의료 또는 안전 목적일 경우 예외가 인정될 수 있다. 예를 들어, 치료적 목적으로 사용되는 AI는 허용될 수 있다. EU 집행위원회(European Commission)는 작년 11월 업계 관계자들과 논의를 거친 후, 2025년 초 추가 가이드라인을 발표하겠다고 예고했다. 그러나 현재까지 공식 가이드라인은 발표되지 않았다.

한편, AI법과 기존 법률 간의 관계도 논란이 예상된다. 섬로이는 “AI 규제는 단독으로 존재하는 것이 아니다”라며, GDPR(개인정보 보호법), NIS2(네트워크·정보보안 지침), DORA(디지털 운영 탄력성법) 등과의 충돌 가능성을 지적했다. 그는 “특히 사건 신고 의무가 여러 법에서 중복될 수 있어 혼란이 예상된다”며, “AI법뿐만 아니라 기존 법률과의 연계성을 이해하는 것도 기업들에게 중요한 과제가 될 것”이라고 강조했다.

이번 AI법 시행으로 유럽은 세계에서 가장 강력한 AI 규제 체계를 갖춘 지역이 됐다. 그러나 여전히 구체적인 집행 기준이 마련되지 않아 업계의 혼란이 예상된다. 법 집행 기관 지정, 세부 가이드라인 공개, 다른 법률과의 정합성 검토 등 추가 논의가 필요한 부분이 많다. EU가 향후 어떻게 AI법을 집행할지, 그리고 기업들이 이에 어떻게 대응할지가 글로벌 AI 시장의 중요한 변수로 작용할 전망이다.

자세한 내용은 링크에서 확인할 수 있다.

이미지출처: 이디오그램 생성

기사는 클로드 3.5 Sonnet과 챗GPT-4o를 활용해 작성되었습니다. 

관련 콘텐츠 더보기