EU AI법 시행 돌입…심하게 어기면 벌금 최고 375억 원

[아이티데일리] 유럽연합(EU)의 AI법 집행이 2일(현지시간)부터 공식적으로 시행됐다. 엄격한 제한 조치 시행과 함께, 이를 위반할 경우 천문학적인 금액의 벌금을 부과할 수 있는 길을 열었다고 CNBC, 테크크런치, BBC 등 외신들이 전했다.

EU AI 법은 지난해 8월 공식적으로 시행됐지만, 기업들에게 6개월의 준비 기간을 부여했었다. 기업은 이제 AI법을 제한을 준수해야 하며 그렇지 않으면 처벌을 받을 수 있다.

EU의 AI법은 AI의 급속한 발전과 산업계 확산에 따라 윤리적, 법적, 사회적 규범으로 만들어진 것이다. 지난해 3월 유럽의회에서 통과됐고, 5월 유럽이사회에서 최종 승인됐다. 법이 규정한 위험 수준에 따라 단계적으로 시행된다.

정해진 위험 수준 단계는 ▲수용 불가 위험 AI 시스템 ▲고위험 AI 시스템 ▲제한된 위험성을 갖는 AI 시스템▲저위험 AI 시스템 등 네 가지다.

최고 위험 AI는 인간의 존엄성, 자유, 평등, 차별금지, 민주주의 및 법치 등 EU의 기본 가치를 해치는 시스템이며, 이 경우 사용이 엄격히 금지된다. 두 번째 단계인 고위험 AI 시스템은 생체인식, 주요 인프라, 교육, 필수 서비스 등 민감한 사회 분야에 사용되는 경우로, 높은 수준의 규제를 받는다. 세 번째 단계인 제한된 위험성을 갖는 AI 시스템은 비교적 낮은 위험으로 분류되는 시스템이다. 그러나 투명성을 요구한다. 저위험 AI 시스템은 일상적인 상업적 또는 개인적 용도로 사용되는 시스템으로 최소한의 규제를 받게 된다.

이번에 시행되는 것은 최고 위험 AI 시스템이며 일부 두 번재 단계의 위험 항목도 포함돼 있다. 여기에는 사회 규범 관련 시스템, 실시간 생체인식 및 인종, 음란 등 성적인 내용, 성차별, 딥페이크 또는 가짜정보 AI 도구가 포함됐다.

기업이 AI법을 위반하면 최대 3500만 유로(375억 원) 또는 글로벌 연간 매출의 7% 중 높은 금액을 벌금으로 내게 된다. 벌금 규모는 위반 내용과 벌금을 부과받는 기업의 규모에 따라 달라진다고 한다.

CNBC는 AI법에 의한 벌금이 유럽의 디지털 개인정보 보호법(GDPR)이 부과하는 것보다 강하다고 전했다. 인 GDPR에 따라 부과할 수 있는 벌금보다 높습니다. GDPR 위반 시 기업은 최대 2000만 유로 또는 연간 글로벌 매출의 4% 중 높은 금액의 벌금을 낸다.

한편 한국도 EU에 이어 AI 기본법을 지난해 말 통과시켰지만, 아직 시행령과 시행규칙 등 세부 사항이 마련되지 않은 상태다. 인간의 기본권에 영향을 미치는 AI 규정으로는 선구적이라는 평가를 받고 있다.

문제는 최근 핫이슈로 부상한 생성형 AI 규정이다. 딥페이크 영상을 대량으로 생산할 수 있는 생성형 AI에 대해서는 좀 더 구체적이고 세부적인 규제 기준이 만들어져야 한다는 지적이다. 이와 관련, AI법에 따라 모델 사용을 규제할 신규 기관인 EU AI 사무소는 대규모언어모델(LLM)인 오픈AI의 챗GPT와 같은 생성형 AI 모델에 대한 2차 실무 규범 초안을 만들었다. 특히 중국의 딥시크가 급부상하면서 어떤 규제로 확정될 지가 초미의 관심사다. 이탈리아가 첫 번째 딥시크 금지 테이프를 끊었다. 

빅테크들은 AI법의 취지에 대해서는 인정하면서도 AI 기술 혁신을 막을 수 있다고 우려를 표명하고 있다. 유럽이 앞장서서 AI 규제에 집중하는 것이 우려스럽다는 것이다. 다만, 미국과 중국이 AI 모델 전쟁을 벌이는 가운데, 유럽은 양적인 팽창보다는 신뢰할 수 있는 AI 모델을 구축하는 리더십을 확보할 것이라는 기대도 많다. 긍정적으로 평가하면, EU의 AI법은 혁신을 제한하는 것이 아니라 좋은 AI는 어떤 모델이 되어야 하는지를 알리는 방향타가 될 것이라는 지적이다.