"국내 최초의 인공지능 기본법"의 매력
이전에 인공지능과 관련한 법에 대해 이야기를 여러번 했습니다. 문명화된 시대에 법은 우리에게 최소한의 규칙과 우리가 사회적으로 활동하는데 있어 타인에게 피해를 주지 않는 선을 지키는 데 주요한 역할을 합니다. 그렇기에 무언가 신기술이 나오고 법이 생기는게 꼭 '규제'라는 개념으로 생각 되지 않아 됩니다. 하지만, 대부분은 법안 통과와 해당 기술에 대한 깊은 이해 없이 발의 되는 경우가 자주 있습니다. 이전에도 21대 국회에서 십여개의 인공지능 관련 법안이 나왔으나 유야무야 묻힌 것에 정쟁 말고도 이러한 이유도 있을 것 입니다. 22대 국회에서는 어떻게 되려나 하고 국정감사기간이 끝나고 논의가 될 것을 기대하며 있던 중, 위와 같은 뉴스가 왔습니다. 해당 뉴스에 보면 이런 내용이 있습니다. '고위험 AI’에 대한 규제 수준이 될 것으로 보인다. 권칠승 의원안은 고위험 AI를 개발하는 기업이 정부 검증을 받지 않으면 징역형(신체형)까지 처벌하도록 하고, 최민희 의원안은 고위험 AI에 대해 정부에 왜곡된 정보를 제공하거나 시정조치를 따르지 않으면 3000만원 이하의 과태료를 부과하는 내용을 담고 있다. 이해민 의원안은 고위험 AI에 대해 시정조치를 따르지 않으면 5000만원 이하의 과태료를 부과하는 조항을 포함하고 있다. 고위험 AI라는 개념은 아마 EU AI Act에서 사용되는 분류법을 차용한 것 같아 용어의 정의에 대한 모호함은 그렇다 쳐도 처별 규정과 책임에 대한 부분이 매우 안타까움을 너머 이상하다고 느껴 이 글을 쓰게 되었습니다. 과도한 처벌 규정과 모호한 법적 책임 먼저 눈에 띄는 것은 처벌 규정의 비현실성입니다. 권칠승 의원안의 경우 고위험 AI 개발 기업이 정부 검증을 받지 않으면 징역형까지 처할 수 있게 했습니다. 최신희 의원안은 3000만원, 이해민 의원안은 5000만원의 과태료를 규정했습니다. 현재 AI 기술의 한계를 전혀 고려하지 않은 처벌 규정입니다. 예를 들어 ChatGPT나 Claude와 같은 생성형 AI의 경우, 할루시네이션(환각, 잘못된 정보 생성)은 피할 수 없는 기술적 한계입니다. 이는 Vector DB나 RAG(Retrieval Augmented Generation) 등 최신 기술을 적용하더라도 100% 해결할 수 없는 문제입니다. 실제로 최근 인터넷 검색을 통해 최신 정보를 가져오거나, 앞서 말한 RAG 방식으로 출처를 명기해 잘못 된 정보를 표시 하지 않는 방법들이 시도 되고 있지만 애초에 검색 결과가 잘못 되었거나, 인용된 정보가 틀렸을 경우도 자주 발생하기에 이 방식도 무조건 적으로 진실을 말하는 방법은 아닙니다. 특히 할루시네이션이라는 기술적으로 벌어지는 일을 "왜곡된 정보 제공시 처벌"이라는 규정을 두는 것은, 마치 "사람이 재채기할 때마다 벌금을 물리는 것"과 다름없습니다. 많은 분들이 써보시는 ChatGPT나 Claude만 하더라도 사용자가 프롬프트를 입력하는 곳 바로 하단, 답변 하단 등에 "ChatGPT는 실수를 할 수 있습니다. 중요한 정보를 확인하세요.", "Claude can make mistakes. Please double-check responses." 이런 문구가 괜히 있는게 아닙니다. 모호하고 광범위한 '고위험 AI' 정의 일단 기사에서 언급한 세 법안 모두 '고위험 AI'에 대한 정의가 지나치게 광범위하고 모호합니다. "공공복리에 중대한 영향을 미치는 경우" 같은 추상적 표현들이 많아 법적 불확실성이 큽니다. 이는 앞서 말한 것과 같이 EU AI Act에서 차용한 개념입니다. 이와 비슷한 법안으로 미국에서도 연방정부 단위의 인공지능에 대한 접근을 진행 중인데 이 고위험 인공지능 시스템이라는 개념 자체가 너무 모호해 해석의 영역에 존재합니다. 또한 딥러닝의 학습 과정에서 정확하게 어떤 데이터가 어떻게 재가공 되어 새롭게 생성되었는지를 추적하는 것은 사실상 불가능 합니다. (추론으로 가능하지만 100%는 아닙니다. 파라미터의 수 가 클 수록 더더욱이 추론도 어려워 집니다.) 하나씩 예를 들어보겠습니다. 의안정보시스템에 24년 11월에 업로드된 이해민 국회의원이 발의한 법안에는 다음과 같이 고위험 AI에 대한 내용이 묘사 되어 있습니다. "사람의 감정인식에 사용되는 인공지능" "사회보험, 공공부조, 사회서비스 등 혜택의 수급자격 평가에 사용되는 인공지능" 이는 사실상 대부분의 AI 서비스가 규제 대상이 될 수 있습니다. 하다못해 감정 분류, 인식은 NLP나 Vision Detection 입문 과정에서도 연습문제로 주어지는 단순 알고리즘도 이미 많이 사용 되고 있습니다. 또한 디지털 정부 및 행정효율화 등에서 자주 언급되는 개념이 공공 차원에서 진행되는 수급 및 평가에 공무원 개인의 편향이 들어가거나 부적절한 개입이 들어가는 것을 막는 것인데 일정한 기준을 가지고 특이 사항이 있는 서비스만 별도로 사람이 더블체크 하는 방식이 많이 쓰이고 있습니다. 다른 법안들도 마찬가지 입니다. 해당 법안들에선 고위험 AI에 대한 사전 검증/인증을 의무화하고 있습니다. 하지만 AI 기술의 발전 속도를 고려할 때, 이러한 절차적 체계가 제대로 작동할 수 있을지 의문입니다. 예를 들어 GPT-4는 출시 직후 몇 주 만에 수많은 업데이트가 이루어졌습니다. 이런 빠른 발전 주기에서 정부 주도의 검증/인증 체계는 오히려 혁신을 저해할 수 있습니다. 또한 이 업데이트를 무엇을 기준으로 할 것인가요? 특정 브랜치를 기준으로 할 것인지 아니면 버전 업데이트로 할 것인지, 최신 데이터를 넣는 기준으로 할 것인지 등에 따라 이야기가 계속 되어야 할 것 입니다. 이거 따라 갈 수 있을까요? 그래서 어쩌자고? AI 규제는 필요합니다. 하지만 현재 발의된 법안들은 규제를 위한 규제에 치중한 나머지, 산업 발전을 저해할 수 있는 여러 문제점을 안고 있습니다. AI 기술의 특성과 한계를 이해하고, 혁신과 규제의 균형을 찾는 더 유연한 접근이 필요한 시점입니다. 국내에서 많이들 좋아하시는 EU AI Act 등 해외 주요 규제는 위험 수준에 따른 단계적 접근과 자율 규제를 중요하게 다루고 있습니다. 반면 국내 법안들은 일률적이고 경직된 규제 중심적 접근을 보이고 있어, 글로벌 스탠다드와도 맞지 않습니다. 일단 머리 속에서 떠오르는 것을 적어보면 총 네 가지 주제가 있는데 다음과 같습니다. 기술적 한계를 고려한 면책 조항 도입 할루시네이션 등 현재 기술로는 완전히 해결할 수 없는 문제에 대한 면책 규정 고의성 여부를 구분하는 조항 추가 위험 수준별 차등 규제
3
https://haebom.dev/4z7pvx2k9pwd12ek8653