Limitations and Loopholes in the EU AI Act and AI Liability Directives:
What This Means for the European Union, the United States, and Beyond
EU AI법, 위험 기반 접근법의 한계 드러내
유럽연합(EU)의 인공지능(AI) 규제가 현실적 실효성을 확보하지 못하고 있다는 비판적 분석이 제기됐다. 옥스포드 인터넷연구소의 산드라 바흐터(Sandra Wachter) 교수는 최근 예일대 법학기술저널에 발표한 논문을 통해 “EU의 AI법(AI Act)과 AI 책임 지침이 큰 기업들의 로비로 인해 상당 부분 약화됐다”고 지적했다.
EU AI법은 AI 시스템을 위험도에 따라 분류하고 규제하는 ‘위험 기반 접근법’을 채택했다. 용납할 수 없는 위험(unacceptable risk), 고위험(high risk), 제한된 위험(limited risk), 최소 위험(minimal risk) 등 네 단계로 나누어 규제하는 방식이다. 하지만 바흐터 교수는 “현행 규제 체계가 AI의 실질적 위험을 효과적으로 통제하기에는 근본적인 한계가 있다”고 분석했다.
특히 법안이 금지하는 ‘AI 시스템’의 범위가 매우 제한적이라는 점이 문제로 지적됐다. 현재 금지 대상은 ▲의식적 조작 기술 ▲취약계층 착취 시스템 ▲생체인식 기반 차별 시스템 ▲사회신용점수 시스템 ▲실시간 생체인식 시스템 등이다. 그러나 법 집행기관의 사용은 예외로 두고 있어, 실질적인 ‘금지’라고 보기 어렵다는 것이다.
고위험 AI 분류 기준도 논란…”실효성 있는 관리감독 어려워”
고위험 AI 시스템에 대한 분류 기준도 문제점으로 지적됐다. 현행법은 교육, 고용, 필수 서비스, 법 집행 등 8개 분야의 AI를 고위험으로 분류하고 있다. 하지만 미디어, 과학·학술, 금융거래, 보험 등 중요 분야가 제외됐고, 챗봇이나 가격 책정 알고리즘 같은 소비자 직면 애플리케이션도 포함되지 않았다.
더욱 심각한 문제는 고위험 AI의 적합성 평가를 기업의 자체 평가에 맡기고 있다는 점이다. 바흐터 교수는 “AI 제공업체들이 자신들이 참여해 만든 기준을 스스로 평가하는 구조”라며 “이는 심각한 법적 허점”이라고 지적했다.
또한 고위험 AI 시스템의 기본권 영향평가도 제한적이다. 공공기관이나 대형 신용평가·보험사 등 일부 민간기업에만 의무화돼 있어, 대다수 민간 영역의 AI는 평가 대상에서 제외된다.
생성형 AI 규제 약화 우려…”실질적 통제 어려워”
생성형 AI에 대한 규제도 논란이다. 당초 EU 의회는 강력한 규제를 추진했으나, 프랑스, 독일, 이탈리아 등의 반대로 상당 부분 약화됐다. 특히 시스템적 위험이 있는 모델을 판단하는 기준으로 연산량(FLOPS)만을 사용하는 것이 문제로 지적됐다.
현재 기준인 10^25 FLOPS는 GPT-4, Gemini 등 최상위 모델만 포함한다. 이는 ChatGPT의 기반이 되는 GPT-3.5나 Anthropic의 Claude, Meta의 Llama 등 널리 사용되는 모델들이 규제 대상에서 제외됨을 의미한다.
바흐터 교수는 “연산량만으로 AI의 위험성을 판단하는 것은 적절하지 않다”며 “더 작은 모델도 허위정보 생성, 차별, 프라이버시 침해 등 심각한 위험을 초래할 수 있다”고 강조했다.
AI 책임 지침도 개선 필요…”피해자 권리구제 미흡”
EU의 AI 책임 지침도 실효성 측면에서 문제가 있다는 분석이다. 제품책임지침(PLD)과 AI책임지침(AILD) 모두 피해자가 AI 시스템의 결함과 피해 간의 인과관계를 입증해야 하는데, 이는 기술적 전문성이 부족한 일반 시민들에게 너무 큰 부담이라는 것이다.
특히 현행 지침은 물질적 피해에만 초점을 맞추고 있어, AI로 인한 차별이나 프라이버시 침해 같은 비물질적 피해는 보상받기 어렵다. 또한 완전 자동화된 시스템에 의한 피해만을 다루고 있어, 인간이 의사결정 과정에 개입한 경우는 보상 대상에서 제외된다.
바흐터 교수는 “AI로 인한 피해는 개인적 차원을 넘어 사회적 차원의 문제를 일으킬 수 있다”며 “금전적 배상 외에도 시스템 재설계 의무화, 일시적 사용 중지, 의무적 외부 감사 등 다양한 구제 수단이 필요하다”고 제안했다.
전문가들 “EU AI 규제, 전면 개선해야”
보고서는 실효성 있는 AI 규제를 위한 구체적인 개선방안을 제시했다. 우선 독립적인 외부 기관의 심사를 필수화하고 시스템적 위험 탐지를 위한 외부 감사를 도입하는 등 제3자 적합성 평가를 의무화해야 한다고 강조했다. 또한 평가 결과를 투명하게 공개하여 AI 시스템의 신뢰성을 확보해야 한다고 제안했다.
생성형 AI 규제도 강화해야 한다고 지적했다. 현재의 연산량 중심 평가에서 벗어나 위험성 판단 기준을 다양화하고, 사용자 수 등 추가 기준을 도입해야 한다는 것이다. 아울러 모든 생성형 AI 시스템에 대한 의무사항을 확대하여 보다 포괄적인 규제 체계를 구축할 필요가 있다고 설명했다.
고위험 AI의 범주도 확대해야 한다고 주장했다. 현재 규제 대상에서 제외된 미디어, 과학·학술 분야를 포함하고, 금융거래와 보험 분야도 추가해야 한다는 것이다. 특히 소비자들이 직접 접하는 애플리케이션에 대한 규제를 강화하여 실질적인 소비자 보호가 이루어져야 한다고 강조했다.
환경영향에 대한 통제도 강화해야 한다고 제안했다. AI의 탄소발자국 감소를 위한 명확한 기준을 설정하고, 에너지 소비 보고를 의무화하며, 환경 영향 저감 조치를 의무화하는 등 구체적인 규제 방안이 필요하다고 설명했다.
마지막으로 책임 제도의 개선이 시급하다고 지적했다. 피해자의 입증 책임을 완화하고 비물질적 피해에 대한 보상을 확대해야 한다는 것이다. 또한 AI로 인한 피해가 개인을 넘어 집단적 차원에서 발생할 수 있음을 고려하여, 집단적 구제수단을 도입할 필요가 있다고 강조했다.
바흐터 교수는 “EU의 AI 규제는 전 세계적으로 중요한 의미를 갖는다”며 “브뤼셀 효과로 인해 다른 국가들의 AI 규제에도 영향을 미칠 것”이라고 전망했다. 이어 “현행 법안의 허점을 보완하지 않으면 AI 시대의 새로운 도전과제들에 효과적으로 대응하기 어려울 것”이라고 경고했다.
“AI 규제, 사회적 합의 바탕으로 발전해야”
전문가들은 AI 규제의 발전 방향에 대해서도 제언했다. 우선 AI 시스템의 적합성 평가나 위험성 판단이 기술 전문가들에게만 맡겨져서는 안 된다는 지적이다. AI가 사회에 미치는 영향을 고려할 때, 시민사회를 포함한 다양한 이해관계자들의 참여가 필요하다는 것이다.
또한 AI로 인한 피해를 단순히 개인적 차원의 문제로 보는 시각에서 벗어나야 한다고 강조했다. AI 시스템이 초래할 수 있는 차별, 프라이버시 침해, 허위정보 확산 등은 사회 전체에 영향을 미치는 문제이므로, 이에 걸맞은 규제와 책임 체계가 필요하다는 것이다.
바흐터 교수는 “AI 규제는 기술 발전과 사회적 가치 사이의 균형을 찾는 과정”이라며 “지속적인 사회적 논의와 법제도의 개선이 필요하다”고 강조했다.
기사에 인용된 리포트의 원문은 링크에서 확인할 수 있다.
기사는 클로드 3.5 Sonnet과 챗GPT-4o를 활용해 작성되었습니다.
관련 콘텐츠 더보기
