G05-7182802122

특별기고

인공지능 법, 어디까지 왔을까

NSP통신, NSP인사 기자, 2021-07-19 08:31 KRD7
#서울여자대학교

서울여자대학교 바른AI연구센터장

(서울=NSP통신) NSP인사 기자 = 부작용이나 역기능이 없는 신기술이란 없다. 빠르게 발전하고 파급력이 큰 신기술일수록 우려와 걱정도 더불어 자란다. 상상적 심증만 있고 사건이나 현상이 구체적으로 나타나지 않는 초창기에는 윤리가 전면에 등장한다. 차츰 시간이 지나면서 정책이 뒤따라오고 결국은 법과 규제가 모습을 드러낸다.

신기술이 진화할수록 '윤리-정책-법'이라는 순환구조도 공진화한다. 지금 인공지능에도 이러한 현상이 진행되고 있다. “인공지능 법”이 서서히 모습을 드러내고 있다. 윤리나 정책과 다르게 법은 구속력이 강하다. 특히 인공지능 사업자나 개발자에게는 매우 민감한 사안이다. 그렇기에 긴장되는 시기이기도 하다.

2017년 발표된 딥페이크를 시작으로 인공지능 GAN(생성적 적대 신경망) 기반의 얼굴 바꿔치기 기술은 유명인들의 가짜 동영상을 쉽고도 사실적으로 만들어냈다. 정치인만으로도 미국의 버락 오바마와 트럼프 대통령, 영국의 엘리자베스 여왕, 북한의 김정은에 이르기까지 다양했다.

NSP통신-김명주 교수 (서울여자대학교 제공)
김명주 교수 (서울여자대학교 제공)

이러한 가짜 동영상들이 2020년 미국 대통령선거에 큰 혼선을 줄 것으로 우려되었다. 이에 미 의회는 2019년 일명 딥페이크 법(HR3230)을 발의했다. 자칫 표현의 자유를 억압할 수도 있었기에 딥페이크 활용 자체를 금지하지는 않았다. 딥페이크를 기반으로 동영상을 제작했으면 이에 알맞은 고지(disclaimer)를 사전에 꼭 하라는 것이다. 이를 지키지 않으면 민형사상 책임을 지도록 되어있다.

G03-9894841702

미국 일부 지자체는 인공지능의 특정 활용에 한정하여 법을 자체적으로 만들었다. 샌프란시스코 시와 서머빌 시는 법 집행시 안면인식기술을 사용하지 못하도록 하는 조례를 2019년 4월과 5월 각각 통과시켰다. 일리노이 주는 인공지능을 이용한 비디오 채용 인터뷰에 대한 법을 2020년 1월 만들었다. 고용주는 면접자에게 인공지능 비디오 인터뷰를 실시한다는 사실을 미리 고지해야 하며, 면접자가 이를 거부하면 사용할 수 없다. 그리고 이 비디오 면접의 특성적 정보를 미리 제공해주어야 하며, 면접자가 녹화된 비디오 삭제를 요구하면 응해야 한다. 뉴욕 시의회도 인공지능 채용면접을 시행할 경우 면접자에게 이를 사전에 고지해야 하며 이러한 자동화된 결정 시스템은 매년 편향성 감사를 받도록 하는 법을 2020년 2월 제정했다.

우리나라도 N번방 사건을 계기로 성폭력범죄의 처벌 등에 관한 특례법을 개정할 때 딥 페이크에 대한 처벌규정을 추가하여 2020년 6월부터 시행했다.

2021년 4월 21일. 유럽연합 위원회는 세계 최초로 인공지능의 일부가 아닌 전체와 전반에 관한 법(간략히 인공지능 법, AIA, Artificial Intelligence Act)을 만들고 이에 대한 제안 발표를 했다. 이러한 법을 제안하기까지 유럽연합은 그동안 나름대로 행보를 걸어왔다. 2018년부터 AI 고급전문가 그룹(HLEG)을 중심으로 AI 전략 수립을 진행했다. 2019년 4월 핵심요구사항 7개로 구성된 신뢰할 수 있는 AI를 위한 윤리 가이드라인을 발표했다.

2020년 2월 AI 백서를 발간했으며 7월에는 신뢰 가능한 AI를 위한 자체평가항목도 만들었다. 발행한 AI 백서를 기반으로 유럽연합 위원회는 4개월간 온라인 공개 청문회를 거쳤다. 2020년 12월부터는 규제조사 위원회에 의한 입법 영향평가를 받았고 2021년 3월 긍정적 답변을 받으면서 4월 세계 최초로 인공지능 법에 대한 제안서를 발표했다.

이번 EU의 인공지능 법은 몇 가지 특징을 가지고 있다. 우선 인공지능에 대한 정의가 상당히 구체적인 기술 및 접근방법을 중심으로 이루어졌다. 즉, AI는 딥러닝을 포함한 다양한 방법을 사용하는 기계학습 접근방법(감독, 비감독 및 강화 학습 포함), 지식 표현, 귀납적(논리) 프로그래밍, 지식 기반, 추론 및 연역적 엔진, (기호적) 추론 및 전문가 시스템을 포함한 논리 및 지식기반 접근방법, 통계적 접근법, 베이지안 추정, 검색 및 최적화 방법 등으로 개발된 소프트웨어라고 구체적으로 정의되었다.

AI 시스템이 가질 수 있는 위험은 수용 불가능한 위험(unacceptable risk), 고위험(high risk), 낮은 위험(non-high, low or minimal risk)이라는 3가지 범주로 분류되었다.

사람의 안전과 건강 그리고 기본권에 높은 위험을 야기할 수 있기에 붙여진 이름이 고위험의 AI 시스템이다.

고위험 AI 시스템을 시장에 출시하기 전에 시스템 제공자는 다음 사항을 엄격하게 지켜야 한다. 먼저, 해당 고위험 AI 시스템과 관련하여 위험을 평가하고 완화하기 위한 위험관리시스템을 마련하고 이를 지속적으로 유지하면서도 문서화를 병행한다. 이 위험관리시스템은 고위험 AI시스템의 전체 수명주기에 걸쳐 운영되어야 하고 정기적이며 체계적인 업데이트가 이루어져야 한다. 위험을 최소화하기 위하여 인간이 감독할 수 있는 적합한 방법을 제시한다. 위험과 차별적인 결과를 최소화하기 위해 고품질 데이터 세트를 제공한다.

결과에 대한 추적 가능성을 보장하기 위하여 모든 활동에 대한 로그 기록을 유지한다. 규정 준수 여부를 평가할 수 있도록 당국에게 제공할 시스템 관련 제반 정보를 담아놓은 문서를 구체적으로 작성한다. 사용자들에게는 명확하고 적절한 정보를 제공할 뿐만 아니라 높은 수준의 견고성과 보안성 및 정확성을 보장해야 하며, AI 시스템이 본 법에서 요구하는 사항들을 만족했음을 표시해주는 CE 마크를 도입하도록 한다.

AI 시스템을 직접 구현하여 공급하는 제공자 이외에도 자신의 이름 또는 상표로 고위험 AI 시스템을 시장에 출시하거나 서비스하는 경우, 이미 운영 중인 고위험 AI 시스템을 어떤 목적을 가지고 수정한 경우, 고위험 AI 시스템을 실질적으로 수정한 경우에는 유통업체, 수입업체, 사용자 또는 기타 제3자도 제공자로 간주되어 동일한 의무를 준수하도록 되어 있다.

고위험 AI 시스템의 사용자에게도 의무가 주어진다. 사용자는 입력 데이터에 대한 통제권을 행사해야한다. 사용자는 입력 데이터가 고위험 AI 시스템의 당초 의도된 목적과 관련이 있는지 확인해야한다. 사용 지침에 따라 고위험 AI 시스템의 운영을 사용자는 모니터링해야 한다. 이 지침에 따라 사용했음에도 불구하고 AI 시스템이 위험에 처할 수 있다는 판단이 들면 사용자는 공급자 또는 배포자에게 이를 알리고 시스템 사용을 중지한다. 또한 심각한 사고 또는 오작동을 식별한 경우에도 공급자 또는 배포자에게 알리고 AI 시스템 사용을 중단한다. 고위험 AI 시스템에서 자동으로 생성하는 로그는 사용자 자신의 통제 하에서 적절한 기간 동안 보관해야 한다.

고위험이 아닌 AI 시스템의 공급자에게는 고위험 AI 시스템에서 요구되는 필수사항을 기준으로 자발적인 행동 강령을 만들도록 권장된다. 이 행동 강령 안에는 환경적인 지속가능성, 장애인을 위한 접근성, 이해관계자의 AI 시스템 설계 및 개발 참여, 개발 팀의 다양성과 같은 자발적인 약속도 포함할 수 있다. 고위험이 아닌 AI 시스템의 경우 투명성 의무가 매우 제한적으로 부과된다. AI의 혁신발전을 지원하기 위하여 규제 샌드박스도 도입하고 있다. AI 규제 샌드박스는 관할 당국의 감독 및 시정 권한에 영향을 주지 않는다.

이 인공지능 법은 EU 및 회원국 수준에서 거버넌스 시스템을 설정하고 있다. 이 법에 의하면 EU 회원국과 EU 위원회의 대표로 구성된 유럽 인공지능 위원회(European Artificial Intelligence Board)를 설립하도록 되어 있다.

이 위원회는 인공지능 법의 원활하고 효과적이며 조화로운 이행을 촉진하게 된다. 국가 차원에서 EU 회원국은 법의 적용 및 이행을 감독할 목적으로 하나 이상의 국가 관할 기관과 그 중에서 국가 감독 기관을 지정해야 한다. 이 인공지능 법은 앞으로 유럽 의회와 그 회원들의 승인이 필요하기 때문에 발효되기까지는 시간이 다소 걸릴 것으로 예상되지만 결국은 시행될 것이다.

이 법은 AI에 대한 법과 규제의 필요성이 전 세계적으로 증가하는 가운데서 등장하는 세계 최초의 법이기 때문에 글로벌 AI 시장에 큰 영향을 미칠 뿐만 아니라 AI 규제에 대한 각국의 입법 시기와 방향에도 적지 않은 영향을 줄 것으로 예상된다.

개인정보보호에 관한 각국의 입법은 물론 글로벌 기업 활동에 EU의 GDPR이 지금까지 적지 않은 영향을 끼쳐왔다. 이번에 발표한 EU의 인공지능 법(AIA)이 GDPR처럼 EU의 존재감을 다시금 과시하며 글로벌한 영향력을 끼칠 수 있을 지는 좀 더 두고 볼 일이다. 아울러 여러 국회의원들이 발의 준비 중인 국내의 인공지능 관련 법안들도 EU의 이번 인공지능 법을 참조하고 분석한 후 글로벌 표준을 향해 최대한 가까이 다가갈 수 있도록 꼼꼼하게 준비할 필요가 있다.

NSP통신 people@nspna.com
저작권자ⓒ 한국의 경제뉴스통신사 NSP통신·NSP TV. 무단전재-재배포 금지.