“우리 서비스가 고영향 AI인지 아닌지, 어떻게 판단하나요?” AI기본법 시행을 앞두고 스타트업 현장에서 가장 많이 나온 질문이다.
오늘(22일) 인공지능 산업의 발전과 신뢰 기반 조성에 관한 법률(AI기본법)이 시행된다. AI 산업 진흥과 규제를 하나의 법률에 담은 세계 최초의 사례다. 이 법은 AI 사업자에게 AI 생성물 표기 의무, 고영향 AI 사전 고지, 위험관리 체계 구축 등 새로운 의무를 부과한다. 고영향 AI란 생명·신체의 안전, 기본권 보호에 중대한 영향을 미칠 수 있는 AI를 말한다. 의료 진단, 채용 심사, 신용 평가 등에 활용되는 AI가 해당될 수 있다. 위반 시 최대 3,000만원의 과태료가 부과된다.
그러나 현장의 준비는 미흡하다. 스타트업얼라이언스가 AI 기업 101곳을 대상으로 한 설문에서 98%가 “준비되지 않았다”고 답했다. “기준이 모호하다”, “준비 시간이 부족하다”는 불만이 나온다. 정부는 최소 1년 이상 계도기간을 두고 과태료 부과를 유예하겠다고 밝혔지만, 현장의 불안은 여전하다.
AI기본법 시행령 작업반에 참여했던 법무법인 비트에 실무 관점의 해석을 물었다.
시행령을 읽고
Q. 변호사로서 시행령 초안을 처음 읽었을 때 어떤 인상을 받으셨나요?
안일운: 투명성과 안전성 확보 기준을 명확히 하려고 노력한 흔적이 보입니다. 그럼에도법률을 적용받는 사람들의 입장에서는 어렵게 느껴지는 부분이 존재하기도 합니다. 아마 정부에서도 많은 고민을 했을 것이라고 생각되고, 최종적으로는 ISMS 같은 정부 주도 인증 제도로 갈 것 같다는 생각이 들었습니다.
최성호: 아직은 구체적인 케이스가 없다 보니 스타트업 입장에서는 어떻게 대응해야 할지 갈피를 잡기 어려운 상황이에요. 특히, 고영향 인공지능으로 판단되면 법률상 많은 준비를 해야 하는데, “고영향 인공지능”의 정의가 조금은 넓고 모호하게 되어 있다고 생각하는 분들이 많은 것 같습니다.
조은별: 저도 비슷한 생각이에요. 아직은 사례가 없으니 명확할 수 없다는 건 당연하고요. 다만 이 법은 규제법이 아니라 진흥법이에요. EU AI Act의 틀을 참고하면서도 한국 산업 환경에 맞는 자율 판단 구조를 도입했다는 점은 의미가 있다고 봅니다. 고영향 인공지능을 일괄적으로 지정하지 않고, 활용 영역과 위험도를 중심으로 검토하도록 한 건 산업의 유연성을 고려한 선택이에요. 그 취지에 맞게 실제 적용 시에는 좀 더 정부의 지원 중심으로 법률이 운영됐으면 좋겠습니다.
핵심 쟁점: AI 생성물 표기
Q. “AI 생성물 표기 의무”가 현장에서 가장 민감한 부분입니다. AI로 초안 쓰고 사람이 수정한 경우, 어디까지 표기해야 하나요?
조은별: 조항의 핵심은 ‘AI를 사용했다’는 사실 자체가 아니에요. 이용자가 결과물을 사람이 전적으로 만든 것으로 오인하지 않도록 하는 투명성 확보가 핵심입니다. AI가 결과물 생성에 실질적으로 관여했다면, 이후 사람이 수정하더라도 그 사실을 알리는 방향으로 기준을 세우는 게 바람직해요.
예를 들어 AI가 기사나 마케팅 문구의 초안을 만들고 사람이 다듬은 경우에는 표시가 필요할 수 있습니다. 반면 맞춤법 교정이나 문장 다듬기처럼 보조적으로 활용한 경우까지 일률적으로 표시할 필요는 없고요. 실무에서는 AI의 관여 단계와 이용자 오인 가능성을 기준으로 사전 표기 원칙을 정리해 두는 게 효과적인 리스크 관리 방법입니다.
Q. 텍스트는 그나마 표기가 쉬운데, 이미지나 영상 같은 비정형 콘텐츠는 어떻게 표시해야 하나요?
조은별: 딥페이크나 보이스피싱처럼 위험하게 사용되는 것들을 막으려고 “AI 사용을 표기하라”고 단순하게 규정된 건데, 현실에는 맞지 않는 부분이 있어요. AI를 이용해 만든 영화를 보는 내내 계속 “AI 생성물입니다”라고 떠 있는 것은 적절하지 않죠.
안일운: 그래서 개정 과정에서 들어간 게 제31조 3항입니다. “예술적·창의적 표현물에 해당할 때는 그 전시나 향유를 저해하지 않는 방식으로 표시할 수 있다”는 내용이에요. 영화 전체를 AI로 만들었다면, 모든 장면에 워터마크를 띄우는 대신 시작할 때 “AI 기술을 활용해 제작되었습니다”라고 한 번 고지하고 넘어가는 방식이 가능할 겁니다. 다만 아직 “예술적·창의적 표현물”로만 규정되어 있어서, 사진은 어떻게 되느냐는 식의 요구가 앞으로 더 나올 것 같습니다.
핵심 쟁점: 고영향 AI
Q. “고영향 AI” 판단 기준이 모호하다는 지적이 있습니다. EU AI Act는 고위험 AI 목록을 명시했는데, 한국은 목록이 없습니다. 실무에서 어떻게 판단하나요?
조은별: 고영향이 무엇인지 몇 가지 항목으로 설명하고 있긴 합니다. 문제는 마지막에 기타 규정을 두고 있다는 거예요. “그 밖에 사람의 생명·신체의 안전, 기본권 보호에 중대한 영향을 미치는 영역”이라고 되어 있는데, 기본권에 재산권도 포함되니까 범위가 상당히 넓어질 수 있죠.
단순히 기술 유형만 보는 게 아니라, AI가 활용되는 분야, 결과가 개인의 권리·안전에 미치는 영향, 인간의 개입 가능성, 오류 발생 시 회복 가능성 등을 종합적으로 검토해야 해요. 단순 체크리스트로 해결되기보다는, 기술 구조·활용 맥락·법적 책임을 함께 고려한 다각적 검토가 필요한 영역입니다. 초기 단계에서 판단 프레임을 정리해 두면 이후 규제 대응과 사업 확장 과정에서 불확실성을 크게 줄일 수 있어요.
Q. 사업자가 판단하기 어려우면 과기정통부에 확인 요청을 해야 하는데, 회신까지 30일, 연장되면 60일이 걸립니다. 스타트업 입장에서 부담이 되지 않나요?
조은별: 위험성이 높은 AI에만 적용되는 사항이다 보니, 어떻게 보면 그 정도 기간을 두고라도 꼭 확인받아야 하는 것들이라고 볼 수도 있을 겁니다. 고영향 인공지능을 쓰지 않는 방향으로 가면 면제될 수 있는 부분이기도 하고요. 무조건 확인 요청을 해야 한다기보다는, 위험성이 있는 서비스에 대해 확인 요청을 하도록 하는 거니까 구별해서 볼 수 있을 것 같습니다.
또한 확인 요청 제도는 인허가 절차라기보다는, 사업자가 자체적으로 판단한 내용을 공식적으로 점검받는 장치에 가까워요. 서비스 전체를 멈추기보다는 기능별·단계별로 판단을 정리하고, 사업 준비와 제도 대응을 병행하는 방식이 현실적입니다. 확인 요청 여부와 시점을 어떻게 설정하느냐에 따라 사업 일정과 리스크 관리 방식이 달라질 수 있으니까, 사업 구조를 설계할 때부터 염두에 주는 것이 중요합니다.
핵심 쟁점: 스타트업 부담과 제재
Q. 업계에서는 “50인 미만 소규모 기업에 예외 규정을 둬야 한다”는 목소리가 나옵니다. 현행 시행령에는 중소기업·벤처기업 과태료 50% 감경 조항만 있는데, 초기 스타트업에게 현실적으로 어떤 부담이 생기나요?
최성호: 적용 자체에 대한 예외 규정이 있으면 더 좋겠다는 생각이 들긴 해요. 스타트업이라고 해서, 소규모라고 해서 위험성이 낮은 건 아니니까요. 50인 미만이라는 기준보다는 위험성에 따른 예외 규정이 들어가면 더 합리적이지 않을까 싶습니다. 물론 그것도 쉬운 일이 아니라서 지금은 빠져 있는 것 같은데, 만드신 분들의 고민이 느껴지는 조항이에요.
다만 초기 단계에서 최소한의 내부 기준과 문서 체계를 정리해 두는 것만으로도 이후 시행착오를 줄이고 전체적인 컴플라이언스 비용을 낮추는 데 도움이 됩니다. 필요한 범위만 선별해서 참고하거나 자문을 활용하는 방식이 현실적인 대안이 될 수 있어요.
Q. 외부 API나 오픈소스 모델을 가져다 쓰는 스타트업이 많습니다. 이 경우 책임 범위가 어디까지인가요?
안일운: 오픈소스나 이미 학습된 모델을 쓴다고 해도, 결국 그걸 활용해서 실제로 서비스하는 쪽이 최종 책임을 지는 구조입니다. 이러한 책임 분배는 AI 기본법뿐 아니라 관련된 모든 법률에서 비슷하게 나타나는 현상이기는 합니다. 사업을 하는 회사 입장에서는 오픈소스든 모델이든 사전 검사를 해서 서비스 이용자가 피해를 받지 않도록 노력할 의무도 동시에 부담하게 되었다고 볼 수 있겠습니다.
Q. 과태료가 최대 3,000만원입니다. EU는 글로벌 매출의 7%까지 부과할 수 있는데, 한국 제재 수준이 약한 건가요?
조은별: 절대적인 관점에서 강한 처벌이라고 보기는 어렵죠. 다만 이 법은 기본적으로 진흥법이고, 처벌보다는 기준을 정하자는 게 목적이었기 때문에 제재 수준이 높지 않은 것으로 생각됩니다.
실무 가이드
Q. AI 법률 자문 수요가 늘고 있나요? 요즘 가장 많이 들어오는 질문은 뭔가요?
최성호: 서비스 제공자 입장에서 “AI 관련 내용을 이용약관에 어디까지 넣어야 하느냐”, “개인정보 처리방침에 뭘 넣어야 하느냐”는 질문이 많습니다. 기존 서비스 운영에 필요한 여러 문서에 AI 관련 내용을 어디까지 반영해야 하는지가 핵심이에요. 저희도 AI 기본법 시행을 앞두고 하위 법령 마련 과정을 지켜보면서, 법의 취지와 규제 구조가 실제 사업 현장에 어떻게 적용될 수 있을지 내부적으로 검토해왔어요. 산업별로 기존 법령과의 관계, 향후 규제 충돌 가능성 같은 부분도 계속 논의하고 있고요.
조은별: AI 기본법에 대한 자문은 이제 막 들어오기 시작했고요. 그전에는 학습 데이터 사용에 대한 질문이 제일 많았어요. “학습 데이터를 어떻게 수집해야 하는지”, “이렇게 받은 데이터를 써도 되는지” 같은 것들이 대표적이었어요 예를 들면, 안면 인식 스타트업들이 인터넷에 떠도는 사진으로 학습시켜서 법적 문제로 비화된 케이스가 있었거든요 어디까지 동의를 받아야 하고, 어떤 서식이나 내부 규칙을 정비해야 적법한 수집이고 적법한 학습인지, 이런 질문들이 많았습니다.
최근에는 자사가 AI 기본법상 인공지능사업자에 해당하는지, 형식적으로는 해당하지 않더라도 적용 가능성이 있는지, 해당한다면 어떤 리스크가 예상되고 무엇을 우선 준비해야 하는지 문의하는 경우가 늘고 있어요. 특히 파운데이션 모델을 외부에서 활용하는 기업들이 “모델 개발사가 아닌 자신이 최종 책임 주체가 될 수 있다”는 점을 우려해서 리스크를 문의하는 경우도 많아졌습니다.
Q. 계도기간 동안 스타트업이 준비해야 할 체크리스트가 있다면?
안일운: 지금 AI 기본법을 보면 모든 AI 관련 서비스가 다 규율을 받는 건 아니거든요. 자사가 서비스하고 있는, 또는 앞으로 런칭할 AI 서비스가 여기에 포함되는지 안 되는지 확인하는 게 최우선인 것 같습니다.
조은별: AI 서비스를 직접 만드는 분들도 있겠지만, AI 서비스를 연계하거나 자체적으로 이용하는 경우가 훨씬 많습니다.. 그걸 이용해서 다시 서비스를 제공하는 경우와 자체적으로만 이용하는 경우의 책임 관계가 다 달라질 수 있어요.
최소한 AI 활용 현황 정리, 고영향 인공지능 해당 여부 검토, 생성형 AI 결과물 표시 기준, 위험 관리 및 대응 프로세스는 점검해보시길 권장해요. 사전에 이 부분을 정리해두는 것만으로도 규제 대응의 시작 틀은 갖출 수 있습니다. 다만 이런 항목들은 기업의 기술 구조와 서비스 방식에 따라 적용 방식이 달라질 수 있어서, 형식적인 준비보다는 각 항목이 실제 서비스에 어떻게 연결되는지를 점검하는 과정이 중요합니다.
Q. EU AI Act는 고위험 규제 시행을 최대 16개월 연기했습니다. 한국이 오히려 먼저 전면 시행하는 셈인데, 글로벌 서비스하는 스타트업은 어느 기준을 따라야 하나요?
조은별: 한국에 위치한 기업이라면 한국 법을 준수해야 하고, 외국 소비자를 대상으로 서비스한다면 현지 국가의 강행 규정도 적용돼요. 주로 타겟팅하는 국가가 있다면 현지법 검토를 받으셔야 하고, 그렇지 않고 제너럴하게 하신다면 큰 법들 위주로 검토하셔야 해요. 다만 AI 법이 있는 나라가 아직 많지 않으니까, AI 기본법뿐 아니라 개인정보, 저작권, 소비자 관련 법도 함께 검토하셔야 합니다.
실무적으로는 EU 기준을 상단선으로 삼고, 한국 법에 맞게 운영 방식을 조정하는 전략이 합리적이에요. 글로벌 서비스를 전제로 한다면, 초기부터 규제 차이를 고려한 설계가 중요합니다.
전망과 과제
Q. 2018년부터 규제 샌드박스 자문을 해오셨는데, AI 법률 자문은 기존 규제 자문과 뭐가 다른가요?
안일운: 결국 비슷하다고 생각됩니다. 스타트업과 기업이 궁금해하는 부분은 “우리 회사가 이런 서비스를 하려고 하는데, 지금 형태로 계속 유지해도 법 위반이 없는지, 위반하지 않으려면 어떻게 서비스를 수정해야 하는지”인데, AI 법률 자문 역시 다르지 않아요. AI라고 해서 특별하기보다는, AI와 자주 연관되는 영역에 집중되는 경향은 있는 것 같습니다.
조은별: 기존 규제 샌드박스나 플랫폼·데이터 규제는 주로 특정 산업이나 서비스 유형을 전제로 설계되어 왔어요. 반면 AI 기본법은 산업 구분 없이 인공지능 기술 전반을 포괄적으로 규율하는 첫 법률이라는 점에서 의미가 큽니다. 특히 위험도에 따라 규율 강도를 달리하는 구조와, 사업자가 스스로 활용 맥락을 점검하도록 한 방식은 단순한 규제 준수를 넘어서, AI 활용에 대한 투명성·책임성·설명 가능성을 기업 내부에서 체계화하도록 요구하는 법이라는 점에서 의미가 있어요.
Q. AI 기본법으로 인해 가장 흔하게 사회적 논쟁거리가 될 수 있다고 생각하는 부분은?
안일운: 단연 “고영향 인공지능”이 논쟁이 될 것 같습니다. “우리 회사는 정말 작은 회사이고 이용자도 별로 없는데 왜 고영향 인공지능인가”라는 의문은 충분히 나올 수 있을 것 같습니다. 초기 단계의 AI 스타트업들은 입장에서는 성장 산업에 대한 규제라고 받아들일 수도 있다고 생각됩니다.
Q. 이 법이 한국 AI 산업에 약이 될까요, 독이 될까요?
최성호: 예전에 개인정보보호법 처음 나왔을 때, 이 법이 개인정보를 활용하는 법이냐 보호하는 법이냐에 대한 논의가 많았습니다. 스타트업의 입장에서만 보면 해야 할 의무가 하나 더 늘어난 상황이라고 볼 수도 있습니다.
물론 딥페이크 영상 같은 부작용도 있을 수 있지만, 포괄적으로 의무를 부과하는 것보다는 규제는 완화하되 악용했을 때 더 큰 책임을 지우는 방향이 맞지 않나 싶어요.
물론 딥페이크 영상 같은 부작용도 있을 수 있지만, 포괄적으로 의무를 부과하는 것보다는 규제는 완화하되 악용했을 때 더 큰 책임을 지우는 방향이 맞지 않나 싶어요.
안일운: 언젠가는 AI의 투명성과 안전성에 대한 내용이 명확하게 공개되는 성숙산업이 될 것이라고 생각합니다. 다만 지금 글로벌 시장에서의 AI 경쟁 구도, 한국이 해외와의 기술 격차를 따라가야 하는 상황을 종합적으로 고려하면 조금 빠르게 진행된 느낌은 있어요.
조은별: 어차피 언젠가는 모두 할 테니까 미리 준비한다는 면에서는 지금의 AI 기본법이 필요하다고 보는 관점도 있을 거예요. 더 안전한 서비스를 만들 수 있는 기준이 될 수도 있을 것 같고요.
법 자체보다는 운영 방식과 해석의 축적 과정이 중요하다고 봅니다. 명확한 기준과 사례가 쌓인다면, AI 기술에 대한 신뢰를 높이고 산업 발전을 뒷받침하는 기반이 될 수 있어요. 특히 투명성과 책임 기준이 정착된다면, AI 기술에 대한 막연한 불신이나 오해를 줄이고, 이용자·투자자·규제기관 모두에게 예측 가능한 환경을 제공하는 기반이 된다고 봅니다. 그런 점에서는 AI 기본법은 신뢰성을 전제로 한 성장을 가능하게 하는 기반 규범이 될 수 있을 것이고, 실제로도 그런 방향으로 운용되기를 바라고 있습니다.
댓글 남기기