챗GPT 등장 이후 인공지능(AI)과 신기술, 혁신적인 서비스의 개발을 해하지 않으면서도 이용자의 권리와 개인정보를 보호하려면 어떤 것을 고려해야 할 지에 대한 논의가 최근 활발해진 분위기다. 급변하는 정보사회에서 AI와 개인정보 보호에 있어 우리 사회가 취해야 할 균형 잡힌 자세가 어떤 것인지에 대해 법무법인 태평양 AI팀에서 [AI 컨택]을 통해 2주 마다 다뤄보고자 한다. [편집자주]
인공지능(AI) 기술이 빠르게 발전하면서 각국이 본격적으로 AI 관련 법제화를 추진하고 있다. 다만 AI는 그 활용 분야가 특정 산업∙업무에 국한되지 않고 개발에 있어서도 여러 법률 이슈가 존재해 단일한 법으로 모든 문제를 해결하는 것은 매우 어려운 일이다.
우리나라도 내년부터 시행 예정인 '인공지능 발전과 신뢰 기반 조성 등에 관한 기본법(AI 기본법)'을 통해 AI의 정의∙분류와 사업자의 기본적인 의무 등에 관한 법적 틀을 마련한 바 있다. 그러나 AI의 개발∙운용이 기존의 개인정보 보호법, 저작권법, 독점규제 및 공정거래에 관한 법률 등 여러 법률과 맞물려 있는 상황으로, 기업들은 AI 관련 사업이나 업무를 추진할 때 다양한 법률에 대한 종합적인 검토를 거쳐야만 안심할 수 있다.
이러한 사정은 해외에서도 마찬가지다. 특히 유럽연합(EU)에서는 AI 시스템의 위험도 및 그에 따른 의무 등을 규정한 'EU AI법'을 중심으로 다양한 기타 법안들을 살펴볼 필요가 있다. 이 중에는 AI 개발∙운용에 수반되는 개인정보 처리에 적용되는 '일반정보보호 규정(GDPR)', 디지털 시장 및 서비스에 적용되는 '디지털 시장법(DMA)' 및 '디지털 서비스법(DSA)', 특정 산업에서의 경쟁제한성과 독점적 지위 강화에 대한 경쟁법 등을 살펴봐야 한다.
최근 기업의 타겟이 글로벌화 되면서 국가 간 경계가 흐려지고 있고 AI 개발에 활용되는 데이터도 특정 국가에서 생성∙수집된 것으로 한정되지 않고 있다. 이에 AI를 개발하고 활용하는 과정에서 국내뿐 아니라 해외 규제도 종합적으로 검토하는 것은 필수적인 과정이 됐다.
이에 따라 기업이 복잡한 규제 환경에서 AI를 안전하게 개발∙운용하기 위해서는 단순히 법제 동향을 파악하는 것을 넘어 AI 개발 및 운영 과정 전반에서 법적 위험을 사전에 검토하고 대응책을 마련할 수 있는 체계를 구축해야 한다. 이를 위해 기업이 실질적으로 고려해야 할 대응 전략으로는 다음과 같은 것들이 있다.
먼저 AI 기획∙개발∙운용 단계별로 적절한 법적 검토가 이루어질 수 있도록 내부 검토 기준을 마련할 필요가 있다. 특히 AI 기획∙개발 단계에서는 알고리즘의 공정성, 학습 대상이 되는 데이터 조달 방식에 따른 개인정보 처리 적법성, 저작권∙초상권 침해 여부 등의 위험요소에 대한 검토가 필요하다. AI 운용 단계에서는 이용자의 권리∙의무에 미치는 영향, AI 결정의 불공정성, 투명성 등에 대해 검토가 필요하다.
이 외에 AI를 직접 개발하는 것이 아니라 외부 AI 솔루션을 도입하거나 데이터를 외부에서 제공받는 형태로도 개발이 이루어질 때가 있다. 외부 제3자와 협업하는 경우에는 법적 위험을 최소화할 수 있도록 업체 선정 및 계약 단계에서부터 실제 개발∙활용 단계까지 양사 간 법적 관계 및 책임 소재를 명확히 하기 위한 기준을 마련해야 한다. 특히 데이터의 적법성 및 활용 범위, 저작권∙라이선스 등에 대해 분쟁이 발생할 위험이 있으므로 이러한 부분을 유의해야 한다.
이처럼 기업은 내부 인원들이 이러한 단계별 위험요소를 충분히 인지하고 각 단계별로 법적 검토를 진행할 수 있도록 큰 틀의 검토 기준을 마련하고 이를 교육하는 절차를 구축해야 할 것이다.
AI 기획∙개발∙운용 단계별로 고려가 필요한 내부 기준이 마련되면 이제 이를 실효성 있게 만들 수 있는 거버넌스 체계를 구축해야 한다. AI 기술이 기업 내에서 광범위하게 활용되면서 개별 부서에서 각각 별도의 AI 시스템을 개발하는 사례가 많아지고 있다.
기업 내부에서 기준을 마련했다고 하더라도 이를 체계적으로 검토하기 위한 거버넌스가 구축돼 있지 않다면 AI 모델이 완결성 있는 검토 없이 개발돼 사후적으로 큰 문제가 발생할 수 있다. 이를 방지하기 위해 내부 지침 및 기준 등에 맞게 체계적인 검토를 주도할 수 있는 위원회나 담당부서 등을 신설 또는 지정할 필요가 있다.
실제로 시스템을 구축한 사례들을 살펴보면, 글로벌 기업인 A사는 자사 AI 시스템의 영향도, 목적적합성, 데이터 거버넌스, 투명성, 안정성 등을 평가하기 위한 종합적인 AI 가이드라인을 구체적으로 제시했다. 또 AI 원칙, 기술, 윤리, 법률, 정책 분야의 최고 전문가들로 구성된 내부 위원회를 통해 최신 AI이슈에 대한 조사, 정책 개발 및 도구 제작, 특정 기술 분야에 대한 실행 지침 수립, AI 모델 평가 등의 업무를 수행하고 있다.
이 외에도 많은 기업들이 자신의 입장을 고려한 AI 거버넌스를 구축하고 있다. 분야를 막론하고 이들의 공통점은 일관된 기준과 그 기준을 구체화한 가이드라인, AI 개발∙운용에 대한 체계적인 관리를 위한 거버넌스를 구축하고 있다는 점이다.
AI에 대한 법적 규제가 고도화되고 있으나 AI의 복잡성과 발전 속도로 인해 많은 기업들이 그 대응 전략을 설정하는 데 어려움을 겪고 있는 것도 현실이다. AI가 공급망 전단계에 걸쳐 다양하고 새로운 법적 위험을 내포하고 있는 만큼 이에 대한 대비가 부족한 경우 불필요한 법적 분쟁에 휘말릴 가능성이 커질 수밖에 없다.
관련기사
- [기고] 원본 데이터 AI 활용 특례, 신기술 혁신 속도와 수요 반영해야2025.02.03
- [기고] 야누스의 얼굴을 가진 인공지능2024.12.23
- [기고] EU AI법 시행과 AI규제 방향2024.08.06
- [기고] 인공지능 규제, 어디로 가야 하나2024.06.21
반면 AI 법제를 선제적으로 검토하고 체계적인 위험 관리 체계를 갖춘 기업은 단순한 규제 준수를 넘어 효율성 있는 정책 및 전략 수립을 세울 수 있을 것이다. 이로써 이들이 AI 비즈니스에서 경쟁력을 확보할 수 있는 기회를 갖게 될 것도 명확하다.
AI 법제화가 진행되는 글로벌 환경에서 기업들이 해야 할 일은 분명하다. 단순히 AI 기술을 개발하는 것을 넘어 AI의 법적 위험을 줄이고 이를 체계적으로 관리할 수 있는 AI 관리 시스템을 구축하는 것이다. 이것이 기업이 글로벌 AI 경쟁에서도 지속 가능한 경쟁력을 확보하는 길이다.
