유럽연합(EU)이 지난 4월 발표한 AI 규제안의 핵심은 신뢰할 수 있는 AI 구현이다. 이를 위해 EU는 AI 시스템을 수준에 따라 △용인할 수 없는 위험 △고위험 △낮은 위험으로 나누고 단계별 위험 관리가 필요하다고 적시했다. 이 가운데 용인할 수 없는 위험에 속하는 시스템은 아예 활용이 금지된다. 고위험 시스템은 적합성 평가를 거쳐 사용 가능하다. AI 시스템 개발 기업은 고위험 시스템 해당 여부를 비롯해 지켜야할 준수 사항 등에 숙지가 필요하다.
◇고위험 시스템, 리스크 관리부터 사이버 보안까지 준수
EU는 고위험 AI 항목으로 △생체 인식 및 분류 △공공 인프라 △교육 및 직업훈련 △고용 △공공 서비스 및 필수 개인 서비스 △법 집행 △이주 및 망명 등 7개 분야를 명시했다. 7가지 항목 관련 AI 시스템을 개발한 기업, 개인은 요구사항을 준수해야 한다.
시스템 공급자는 위험 관리 시스템을 구축하고 구현, 문서화하며 유지 관리해야 한다. 고위험 AI 시스템의 위험 식별·분석, 발생 가능한 위험의 추정·평가, 시판 후 수집된 데이터를 분석해 발생 가능 위험 평가를 수행하는 시스템을 구현해야 한다.
데이터와 데이터 거버넌스를 확립해야 한다. 고위험 AI 시스템은 학습, 검증, 시험 데이터셋에 대해 품질 기준과 적절한 거버넌스 관리를 준수해야 한다.
고위험 AI 시스템 기술문서는 해당 시스템이 시장에 출시되거나 서비스되기 전에 작성하고 최신을 유지해야 한다. 시스템이 작동하는 이벤트(log)를 자동 기록할 수 있는 기능을 갖추도록 설계·개발해야 한다.
사용자가 시스템 결과를 해석하고 적절하게 사용하도록 투명하게 설계·개발해야 한다. 적절한 수준의 정확성, 견고성, 사이버 보안을 달성하고 일관되게 작동하도록 구성해야 한다.
이 같은 사항은 제품 배포자, 수입업자 등도 공급자로 간주돼 공급자와 동일한 의무를 따르도록 했다. 법안이 최종 통과될 경우 EU로 제품을 수출하는 공급자 모두 준수해야 한다.
◇EU 거버넌스 마련해 통제…AI 규제안 확산 대비 필수
EU는 '유럽인공지능위원회'를 신설, 컨트롤타워 기능을 맡길 계획이다. 유럽위원회가 의장직을 맡고 회원국 국가감독기관장과 유럽 데이터 보호 감독기구가 위원으로 참석해 법안 규정 마련과 시행을 지원한다. 이를 통해 회원국 간 일관된 행정 관행을 수립하고 규정 이행 관련 이슈에 대한 의견 수렴, 권고안 등 보고서를 발행한다. 특히 고위험 AI에 대한 요구 사항의 기술 성능과 벌금 설정에 대한 지침을 마련할 계획이어서 위원회 역할과 책임이 막중하다.
EU는 규제안에 별도 처벌 조항을 마련했다.
용인할 수 없는 AI 시스템 활용 금지 위반시 최대 3000만 유로 또는 전년 회계연도 기준 세계 연매출액의 최대 6% 가운데 큰 금액을 지불해야 한다. 그 외 고위험 AI 시스템 규정 위반 등에 해당할 경우 최대 2000만 유로 또는 세계 연 매출액의 최대 4% 중 큰 금액을 과징금으로 납부한다.
EU AI 규제안은 실제 구현되기까지 1∼2년이 걸릴것으로 예상된다. 중소기업에 과도한 규제라는 비판도 있어 세부 사항이 조율될 가능성도 있다.
전문가는 적용 시기와 내용과 관계없이 EU AI 규제안은 시작에 불과하다고 평가한다. AI 신뢰성 확보를 위해 규제가 불필요한 만큼 EU를 비롯해 각국에서 규제안이 뒤따를 것으로 전망한다. 각국 규제안 동향을 살피는 동시에 이에 대비하기 위한 지원책 마련이 중요한 시점이라고 제언한다.
김지선기자 river@etnews.com
