“AI를 규제하는 법이, AI를 잘못 정의했다”

법무법인 광장, ‘제2회 AI법정책포럼’ 주최…AI 기본법 문제 짚었다

(시사저널=이태준 기자)

국내 7대 대형 로펌 가운데 하나인 법무법인(유) 광장이 한국정보통신법학회, 한국데이터인공지능법정책학회, 정보통신정책연구원과 함께 5일 '제2회 AI법정책포럼'을 공동 주최했다. ⓒ법무법인 광장

인공지능 기본법이 올해 1월 시행됐다. 세계에서 두 번째다. 그런데 법 전문가들은 이 법에 근본적인 결함이 있다고 본다. 무엇을 규제하는지, 누구에게 의무를 지우는지가 불분명하다는 것이다.

법무법인 광장과 한국정보통신법학회 등 4개 기관이 5일 공동 주최한 '제2회 AI법정책포럼'에서 계인국 고려대 행정전문대학원 교수는 AI 기본법의 구조적 문제를 조목조목 짚었다. 이진수 과학기술정보통신부 인공지능정책기획관도 참석해 정부 입장을 밝혔다.

AI 정의, 한국만 달랐다

현행 AI 기본법이 정의하는 인공지능은 "학습, 추론, 지각, 판단, 언어의 이해 등 인간이 가진 지적 능력을 전자적 방법으로 구현한 것"이다. 한마디로, 인간을 모방하는 기술이다.

EU, OECD, ISO, 미국, 영국, 일본 등 주요국은 다르게 본다. 이들은 AI를 "주어진 목표를 위해 입력을 받아 예측·추천·결정 같은 결과를 내놓는 기계 기반 시스템"으로 정의한다. 인간과 닮았는지는 묻지 않는다.

이 정의 차이는 규제 공백으로 이어진다. 계 교수는 "공장 불량품 탐지 시스템, 대출 심사 알고리즘처럼 인간의 인지 능력을 흉내 내지 않는 AI들이 현행 정의에서 빠져나갈 수 있다"고 설명했다. 인지 능력을 모방하지 않는 '비인지적 AI'가 이미 다른 법률 20여 곳에서 규율되고 있는데, 정작 AI를 총괄해야 할 기본법이 이를 포괄하지 못하는 역설이 생겼다는 것이다.

이 법은 의료, 채용 심사, 대출, 교통, 범죄 수사 등 11개 분야에 쓰이는 AI를 '고영향 인공지능'으로 지정하고 위험 관리 계획 수립, 설명 방안 마련, 인간 감독 의무 등을 부과한다.

문제는 어떤 AI가 여기에 해당하는지 가르는 기준이 법에 명시돼 있지 않다는 점이다. 현행법은 사업자가 스스로 판단하거나 과기부에 확인을 요청하는 방식이다. 계 교수는 "담당 부처가 시장에 나오는 AI 하나하나를 일일이 판단하는 구조는 현실적으로 작동하기 어렵다"고 말했다.

정원준 법무법인 광장 수석연구위원은 고영향 여부를 실질적으로 가르는 핵심 기준, 즉 '인적 개입 여부'가 법적 구속력이 없는 가이드라인에만 담겨 있다고 지적했다. "이해 당사자의 권리·의무에 직결되는 사항은 최소한 시행령에서 다뤄야 한다"는 것이다.

현행법은 AI 관련 사업자를 '개발사업자'와 '이용사업자'로만 나눈다. AI를 만드는 쪽과, 만들어진 AI로 제품·서비스를 파는 쪽이다. EU AI Act가 제공업자, 배포업자, 유통업자를 따로 구분하는 것과 비교하면 단순하다.

이 두 가지 구분 사이 어디에도 속하지 않는 사업자들이 있다. AI 솔루션을 총판하거나 재판매하는 유통업체, 외부에 팔지 않고 내부 업무에만 AI를 도입하는 기업이 대표적이다. 이들에게 어떤 의무가 적용되는지 법에 명확한 근거가 없다. EU는 내부 업무용 AI 도입도 배포업자로 분류해 일정 의무를 지운다.

AI 준비도, 강남 1위…지방 제조업은 사각지대

이날 포럼에서 눈길을 끈 또 다른 발표는 '지역별 AI 준비도' 분석이었다. 이으뜸 정보통신정책연구원 박사가 AI 인재·혁신·도입 세 축의 11개 지표를 종합한 지수다.

2023년 기준으로 서울 강남구(1.00), 서초구(0.89), 대전 유성구(0.84), 경기 성남시(0.71) 순이었다. 준비도 상위권은 수도권과 대덕 특구에 몰렸다.

더 주목할 부분은 격차의 구조다. 정보통신·전문서비스 분야는 해당 산업이 강한 지역과 AI 준비도가 대체로 일치했다. 그런데 첨단 제조, 금융, 의료는 달랐다. 이 산업에서 강점을 가진 지방 지역들이 AI 준비도에서는 전반적으로 낮은 수치를 보였다. AI를 써야 할 곳에 AI 인프라가 없는 구조다.

이 박사는 "첨단 제조 분야의 병목은 인재와 데이터 부족"이라며 "데이터센터 유치만으로 지역 AI 역량이 강화되지는 않는다"고 말했다. 전력망 부담, 인재 유입, 정주 기반이 함께 설계되지 않으면 의도한 효과를 내기 어렵다는 것이다.

AI 보안 문제도 이날 포럼의 주요 의제였다. 현행 정보보호 관리체계 인증(ISMS)이 클라우드·AI 기반 환경에 맞지 않는다는 지적이 이어졌다.

정원준 위원은 "AI를 활용한 해킹이 등장한 이상, 완전한 차단을 전제로 한 보안 규제는 더 이상 작동하지 않는다"고 말했다. 기술적으로 충분한 조치를 다했음에도 침해가 발생한 경우, 이른바 '성실 실패(good-faith failure)'에 대한 책임 경감 규정이 필요하다는 주장도 나왔다. "조치를 다했음에도 뚫린 경우까지 책임을 지우면 기업들이 AI 전환 자체를 꺼린다"는 이유에서다. 다만 면책의 전제로 상시 위험관리 체계 구축, 신속 복구 역량, 취약점 공개 제보 운영 등을 법에 명시해야 한다는 단서가 달렸다.

AI 기본법은 4년여 여야 논의 끝에 2025년 1월 제정됐다. 스탠퍼드대가 '선도적 사례'로 평가한 법이지만, 기술 변화 속도에 규범 정비가 뒤처지고 있다는 게 이날 전문가들의 공통된 인식이었다. 개정이 필요한 과제로는 세 가지가 꼽혔다. AI 개념의 전면 재정의, 고영향 AI 판단 기준의 법령화, 규율 대상의 세분화다. 하위 법령 손질이나 가이드라인으로는 해결되지 않는 것들이다. 법을 다시 손봐야 한다는 게 이날 전문가들이 한목소리로 낸 결론이다.