AI 규제 초안 공개한 EU, GDPR처럼 글로벌 표준 될까?

유럽연합(EU)이 지난주 AI에 대한 규제 초안을 공개한 가운데 유럽연합개인정보보호감독관(European Data Protection Supervisor, EDPS)이 여기서 한발 더 나아가 유럽에서 안면인식 기술을 전면 금지할 것을 요구하고 나섰습니다. 


EU는 21일 공개한 AI 규제 초안에서 실종아동 찾기나 범죄자 수색, 테러방지 등의 용도로 안면인식 기술을 사용할 수 있도록 허용하였는데요. EDPS는 이에 대해 EU가 안면인식 기술의 사용을 전면금지시키라는 자신들의 권고에 따르지 않은 것을 유감스럽게 생각한다면서, EDPS는 안면인식기술과 같은 "원격 생체인식(remote biometric identification) 기술"이 "개인의 사생활에 심각하고 비민주적인 침해(deep and non-democratic intrusion)를 불러일으킬 위험이 극도로 크다"며 이같은 기술에 대해 보다 엄격한 접근이 필요하다고 비판했습니다. 


21일 AI 규제 초안을 공개한 EU

출처: EU



리스크별로 다른 기준 적용한 EU의 규제 초안 


EU가 21일 공개한 AI 규제 초안은 리스크에 따라 AI Use case를 구분한 뒤, high-risk에 해당하는 일부 Use-case 들에 매우 엄격한 규제를 적용하는 내용으로, 일부 AI 기술들의 경우 아예 유럽에서의 사용이 금지됩니다. 대표적으로 EU는 "조종적인 AI(Manipulative AI)"를 금지하였는데, 이는 사람을 "교묘하게 조종하고, 중독적이며, 사회를 통제하거나, 무분별한 사회 감시(indiscriminate surveillance) 행위"를 위해 사용되는 AI를 의미합니다. 여기에는 중국 정부에서와 같이 "사회적 점수(social scoring)" 평가 시스템을 통해 시민들의 행동을 평가한 뒤, 점수가 낮은 시민에게 불이익을 주거나, "법적인 분류나 평가의 용도"로 AI를 활용하는 등의 Use-case가 모두 포함됩니다. 


반면 high-risk use-case들은 달리 전면 금지되지는 않지만, 보다 엄격한 규제를 적용받는 use-case들로, 배포 전에 리스크 평가 과정을 거쳐야 하고, 고품질의 데이터셋을 훈련에 사용해야 하며, AI의 결정이 기록될 수 있도록 로깅이 이루어져야 하는 등의 규제가 적용됩니다. 이들 use-case로 AI를 활용하려는 경우, 규제를 준수했음을 증명하기 위해 매우 상세한 문서를 당국에 제출해야 하고, 유저에게도 시스템에 대한 명확하고 충분한 정보를 제공하여야 하며, "인간에 의한 적절한 감독(appropriate human oversight"이 이루어져야 합니다. 


그 외 챗봇이나 딥페이크(deepfake, 인공지능 기반 이미지 합성) 등의 use-case의 경우 사용자에게 지금 인터렉션하고 있는 상대방이 인간이 아니라 AI 임을 정확히 공지해야하는 투명성 의무가 부여됩니다. 해당 규제의 적용대상은 EU 시민에 영향을 미치는 모든 AI 시스템으로, EU 시민을 직원으로 둔 시스템과 EU 시민을 고객으로 한 시스템 모두 포합됩니다. 전면 사용금지에 대한 규제를 위반한 기업은 3,000만 유로 혹은 글로벌 연매출의 6% 중 금액이 큰 쪽을 벌금으로 지불해야 하며, high-risk use-case에 대한 규제를 위반한 경우에는 2,000만 유로와 글로벌 연매출의 4% 중 금액이 큰 쪽을 벌금으로 지불하게 됩니다. 


EU는 high-risk의 use-case를 아래와 같이 제시하였는데요. 이중 안면인식은 생체식별에 속하는 것으로, EDPS는 이같은 기술을 high-risk use-case로 분류하여 규제하는 대신, 전면 금지시켜야 한다고 주장하는 것입니다. 


EU의 규제 초안에 포함된 high-risk의 use-case

  • 생체식별 및 자연인의 분류 Biometric identification and categorisation of natural persons
  • 필수 인프라의 관리 및 운영 Management and operation of critical infrastructure
  • 교육 및 직업훈련 Education and vocational training
  • 고용과 직원관리 및 자영업에 대한 접근 Employment, workers management and access to self-employment 
  • 필수 민간 서비스 및 공공 서비스, 복지 혜택 등의 향유 및 접근  Access to and enjoyment of essential private services and public services and benefits;
  • 법률집행 Law enforcement
  • 이민, 망명 및 국격 관리 Migration, asylum and border control management
  • 법률 및 민주적 절차 관련 행정 Administration of justice and democratic processes



테크 업계는 우려의 목소리, "아직 초기단계인 AI에 지나치게 엄격한 규제"


이같은 EU의 AI 규제 초안에 대한 의견은 엇갈리는 중으로, 테크 업계에서는 아직 빠르게 발전중인 AI의 특정 use-case를 원천봉쇄하는 이같은 규제가 AI를 개발하려는 기업들의 동인과 AI의 혁신 가능성을 저해할 수 있다는 우려가 나오고 있습니다. 


예를 들어 Newcastle University의 컴퓨팅 대학 교수인 Nick Holliman는 AI에 대한 규제 미비의 위험성은 인정하면서도, EU의 규제 초안은 지나치게 모호하다면서 이를 AI에 대한 기술 이해의 산물이라고 꼬집었는데요. 미국, 중국, 영국과 같은 "다른 지역들이 (AI 개발에 있어) 유연성을 가지는 반면, (유럽에서 AI를 개발하는 기업들은) EU에서 사용될 가능성이 있는 모든 제품에 EU 규제를 따라야 할 것"이며, 이러한 간접비(overhead)를 우려해야 한다는 생각 자체가 많은 기업들이 EU에서 멀어지도록 할 것이라는 주장입니다. 


일부 전문가들은 EU가 미국, 중국 등에 비해 AI 개발에서 뒤쳐지게 된 주요 원인 중 하나로 이같은 엄격한 규제를 꼽는 중으로, 최근 공개된 World Bank 보고서에 의하면, 2019년 이루어진 데이터 법령준수(data compliance) 조사 중 EU에서 진행된 조사가 차지하는 비중이 38%로 북미의 12%보다 세 배 이상 많았습니다. World Bank의 경제학자 Wolfgang Fengler는 이같은 새로운 규제들이 "비즈니스 친화적이지 않은(business-unfriendly) 것으로 인식될 수 있다"며 EU의 높은 벌금으로 인한 잠재적 비용이 재능있는 AI 엔지니어 및 기업가들로 하여금 EU를 기피하도록(put off) 할 것이라고 우려했습니다. 


Fengler 역시 AI와 같이 빠르게 발전하는 신생기술에 지나치게 확정적인 규제를 적용하는 것에 대해 우려를 표했는데요. "AI와 관련한 실험들이 최종적으로 어떤 종착지에 도달할지는 알 수 없으며, 많은 경우 AI가 세상을 훨씬 좋은 곳으로 만들 수 있을 것"임에도 특정 기술을 사전적으로 금지시키는 것은 명백히 위험한 Big Brother 적인 접근으로, 당국은 규제의 방향성을 "정확하게 계획할 수 있을 것이라고 생각하겠지만, 그럴 수 없다"는 게 그의 설명입니다. 그는 AI에 대한 "공포로부터 보호하는 것은 좋지만, 주된 동력이 되어서는 어디에도 도달할 수 없다"는 말로 자신의 입장을 밝혔습니다. 


이와 관련해 Airbnb, Apple, Facebook, Google, Microsoft 등 주요 테크 기업들이 가입된 Dot Europe(구 Edima)는 구체적인 성명을 준비 중이라며 우선 규제초안의 공개를 환영한다는 입장을 밝혔으나, 4개 대륙 45개국 스타트업 지지 단체로 구성된 Allied For Startups은 초안의 세부사항에 대한 검토가 필요하다면서도 규제에 대한 "첫인상은 잘못 시행되었을 경우, 스타트업들에 대한 규제 부담을 현저히 증가시킬 위험이 있다는 것"이라며 조심스럽게 우려를 표했습니다. 워싱턴과 브뤼셀에 기반을 둔 테크 정책 씽크탱크 Center for Data Innovation의 경우 보다 강도높게 비판의 목소리를 냈는데, EU의 규제가 "신생단계인 EU의 AI 산업이 걸음마도 떼보기 전에 기반을 와해시키는(kneecap) 결과를 낳을 것"이라는 입장입니다. 



프라이버시 단체들도 반발, "빠져나갈 구멍이 곳곳에"


반면 유럽디지털권리(EDRi)와 같은 프라이버시 단체들은 AI가 이미 공포를 유발하는 단계를 넘어서, 실질적인 피해를 끼치는 단계에 와 있으며 이에 대한 조치가 취해져야 한다는 입장입니다. 규제로 인해 유럽이 미국과의 경쟁에서 뒤쳐질 수 있다는 우려에 대해서도 EDRi의 Ella Jakubowska 애초에 인권을 해칠 수 있는 AI 시스템의 개발을 놓고 미국과 경쟁을 할 필요 자체가 없다고 반박했는데요. "무한한 혁신이 기본권(fundamental rights)과 동등하다고 간주"해서는 안되며 "물론, 유럽 기업들이 번성하도록 할 수 있는 모든 것을 해야겠지만, 이는 어디까지나 기본권 보호라는 범주 내에서의 일"이라는 것입니다. 


안면인식 전면금지를 주장한 EDRi

출처: EDRi


이들은 역으로 EU의 규제 초안이 지나치게 느슨하다는 입장으로, BBC는 EU의 초안이 지나치게 모호하고 빠져나갈 구멍이 많다(vague and contained loopholes)는 것이 전문가들의 입장이라면서, 군에서의 AI 사용과 공공안전 보장을 위한 당국의 AI 시스템 이용이 금지 대상에서 빠진 것을 예시로 꼽았습니다. ZD Net 역시 수년간 논란의 대상이었던 안면인식 기술의 금지 여부에 시선이 집중되고 있다며, 법률집행당국이 실종아동 및 범죄피해자 수색, 범죄자 색출 및 테러방지 등의 목적으로 AI surveillance를 수행할 수 있다는 점과, 생체 인식이 실시간이 아닐 경우 금지 대상이 아니라 high-risk로 분류된다는 점이 안면인식의 전면금지를 요구해 온 행동주의 그룹의 비판을 받고 있다고 전했습니다. 


앞서 언급된 EDRi가 대표적으로, EDRi는 EU의 초안에 "차별적이고 감시적인(discriminatory and surveillance)" 기술과 관련해 "우려스러운 틈(worrying gap)"이 있다고 밝혔습니다. 특히 high-risk AI 시스템을 개발하는 기업들이 서드파티에 의해 규제 준수 여부를 감시받는 대신, 스스로 이를 입증하도록 한 것에 대해 "이는 실질적으로 AI 개발자들이 스스로의 숙제를 채점하도록 하는 것"이라면서 "당연히, 이들은 자신이 개발중인 시스템이 규제를 준수하고 있다고 말하고 싶어할 것"이라고 지적했는데요. EU의 초안이 "AI를 이용해 이윤을 창출하는 기업들에게 지나치게 광범위한 자기규제(self-regulation)를 허용한다"는 지적입니다. 


EU의 AI 규제초안 백서에 직접 참여하기도 한 네덜란드에 기반을 둔 비영리단체 ECNL(The European Centre for Not-for-Profit Law)의 경우, BBC 인터뷰를 통해 "high risk 대 low risk라는 이분법적 규정(binary-defining)은 좋게 말해 엉성하고(sloppy), 최악의 경우엔 위험하다"며, 유럽위원회가 우선 "AI 시스템이 초래하는 위험을 인권, 법의 원칙, 민주주의에 초래하는 위험을 고려한 권리 기반의 프레임워크(rights-based framework)에 의해 파악"해야 하고, "지나치게 단순한 low-high 구조에서 벗어나 AI의 위험에 대한 tier 기반의 접근을 채택"해야 한다고 비판했습니다. 



전세계 프라이버시 표준 된 GDPR, AI 규제도 GDPR 전철 밟을까?


EU의 AI 규제 초안을 둘러싼 논쟁이 이처럼 광범위하게 퍼지고 있는 이유는 EU의 규제가 향후 전세계적인 AI 규제의 표준이 될 가능성이 상당부분 존재하기 때문인데요. 이와 관련해 Fortune은 대부분의 글로벌 비즈니스들은 4억 5,000만 명 규모의 시장이자 인력풀인 EU를 무시하기는 어려울 것이라며, 특히 AI의 경우 데이터와 학습량이 많아질수록 정확도가 높아지는 특성 상, 기업들이 EU만을 위한 별도의 알고리즘 및 시스템을 구축하기보다는 EU에서도 동일하게 운영할 수 있도록 시스템을 변경할 가능성이 높다고 분석했습니다. 


GDPR(General Data Protection Regulation)은 이같은 분석에 무게를 실어주는 실례로, 2018년 5월 발효된 GDPR은 이미 대부분의 거대 테크 기업들에 있어 프라이버시 정책의 표준으로 자리잡은 상태입니다. 발효 초기 GDPR에 대한 비판의 목소리가 많았던 미국 역시, 캘리포니아 주에서 같은 해 California Consumer Privacy Act(California Consumer Privacy Act)가 통과된 데 이어 최근에는 그보다 더 강력한 프라이버시 법안인 CPRA(Consumer Privacy Rights Act)가 통과되는 등, 유사 규제들이 속속 입안되고 있는데요. 앞으로 상당기간의 논의를 거쳐 수립되게 될 EU의 AI 규제 역시 유사한 행보를 걷게 될 지 주목됩니다.  


참조 자료 출처: Venture Beat, BBC, Fortune, ZD NetTech Crunch