<EU AI 규제법>발효: EU AI 규제법 총정리 (주요 내용, 적용 시기, 벌금 등)

2024년 8월 1일, 유럽연합(EU)이 세계 최초로 포괄적인 인공지능(AI) 규제법을 발효했습니다. 'EU AI 규제법'은 인공지능 기술의 개발과 사용에 있어 인간의 기본권을 보호하고, 안전하고 신뢰할 수 있는 AI 시스템을 보장하기 위한 만들어진 규제 체계인데요. 이 AI 규제법을 어길 시 최대 벌금이 우리나라 돈으로 약 520억까지 부과될 수도 있다고 합니다. 이번 포스트에서는 EU AI 규제법의 주요 내용과 적용 및 시행 시기, 벌금 액수, 우리나라 기업에 미칠 영향 등을 종합하여를 살펴보겠습니다.

 

법 적용 및 시행 일정

EU AI 규제법은 발효일인 2024년 8월 1일로부터 2년 후인 2026년 8월부터 전면 시행됩니다.

'다만, 금지된 AI 기술에 대한 규정은 6개월 뒤인 2025년 2월부터, 범용 AI에 대한 규정은 1년 뒤인 2025년 8월부터 적용됩니다.

규제를 위반할 경우, 기업은 최대 전 세계 연 매출의 3%에 해당하는 과징금을 부과받을 수 있습니다.

 

주요 요구 사항 및 규제 내용

이 법은 AI 기술이 가져올 수 있는 위험을 최소화하고, 기본권을 보호하기 위해 마련되었습니다. 법은 AI 시스템을 위험도에 따라  '허용할 수 없는 위험', '고위험, '제한적 위험, '최소한의 위험' 이 네 가지 범주로 나누어 규제합니다:

 

1. 허용할 수 없는 위험

허용할 수 없는 위험을 초래하는 AI 애플리케이션은 금지됩니다.

예를 들어, 사람들을 조작하거나 악용하여 해로운 결정을 유도하는 시스템, 생체 인식 데이터를 사용해 민감한 개인 정보를 추론하는 시스템, 그리고 실시간 원격 생체 인식을 포함한 사회적 점수 시스템 등이 있습니다.

이러한 시스템은 사람들의 기본적인 권리를 침해할 수 있기 때문에 금지됩니다.

 

2. 고위험

고위험 AI 시스템은 규제 대상 제품이나 특정 용도로 사용되며, 높은 수준의 규제와 관리가 필요합니다.

예를 들어, 교육 및 직업 훈련, 채용, 공공 서비스 접근 결정, 법 집행 등에 사용되는 시스템이 이에 해당합니다.

고위험 시스템 제공업체는 지속적인 위험 관리, 데이터 거버넌스, 사람의 감독 지원 등 다양한 규제를 준수해야 합니다.

 

3. 제한적 위험

제한적 위험 AI 시스템은 특정 투명성 요구를 충족해야 합니다.

예를 들어, 사용자가 AI와 상호작용할 때 이를 명확히 알려야 하며, 감정 인식이나 생체 인식 분류 시스템 사용 시 이를 사용자에게 알려야 합니다.

또한, 생성형 AI가 생성한 콘텐츠는 명확히 표시해야 하며, 딥페이크는 명확히 라벨링 되어야 합니다.

 

4. 최소한의 위험

최소한의 위험 AI 시스템은 별도의 규제 대상이 아니며, 일반적인 법률과 규정의 범위 내에서 관리됩니다.

이러한 시스템은 일상생활에서 비교적 낮은 수준의 위험을 초래할 가능성이 있습니다.

 

법 적용 대상과 예외 사항

• 적용 대상: EU 내외에서 AI 시스템을 개발, 배포, 수입하는 모든 기업과 조직이 포함됩니다. 심지어 EU 외부에서 개발된 시스템이라도 EU 내에서 사용된다면 이 법의 적용을 받습니다.
• 예외 사항: 개인적인 용도, 군사 및 국방, 연구 개발용으로 사용되는 AI는 규제에서 제외됩니다. 또한, 오픈 소스 저위험 AI 모델도 대부분 규제에서 벗어납니다.

 

범용 AI 모델(GPAI) 규칙

 

유럽연합(EU)은 범용 AI 모델(GPAI)을 위한 특별한 규칙을 마련하고 있습니다.

이는 GPAI의 특성상 위험 수준을 명확히 구분하기 어려운 점을 반영한 조치입니다. 아래는 GPAI 모델과 관련된 주요 규칙들입니다.

GPAI 모델 제공업체의 주요 의무

1. 기술 문서 유지
   모델의 설계, 테스트, 교육 과정 등을 상세히 설명한 최신 기술 문서를 유지해야 합니다. 이 문서는 정기적으로 업데이트되며, 모델의 기능과 제한 사항, 의도된 사용 목적을 명확하게 포함해야 합니다.
2. 책임감 있는 사용 정보 제공
   모델을 사용하는 조직에게 모델의 올바른 사용 방법을 안내해야 합니다. 여기에는 모델의 능력과 한계를 명확히 설명하는 정보가 포함됩니다.
3. 저작권 준수
   EU 저작권법을 준수하기 위한 정책을 수립하고 이를 준수해야 합니다. 저작권을 보호하고 침해하지 않도록 주의가 필요합니다.
4. 학습 데이터 공개
   학습 데이터 세트에 대한 요약을 작성하고, 이를 공개하여 투명성을 유지해야 합니다.

 

시스템적 위험을 초래하는 GPAI 모델

일부 GPAI 모델은 시스템적 위험을 초래할 수 있습니다.

이는 모델이 공공 건강, 안전 또는 기본권에 심각하고 광범위한 영향을 미칠 가능성이 있다는 뜻입니다.

• 영향력이 큰 능력
  모델이 현재 사용 가능한 가장 진보된 GPAI의 기능과 비슷하거나 이를 초과할 경우, 시스템적 위험을 초래할 수 있다고 간주됩니다.
• 훈련 리소스
  누적 컴퓨팅 성능이 1,025 테라플롭스를 초과하면 이 모델은 영향력이 큰 기능을 가졌다고 판단됩니다.

이러한 모델은 추가적인 의무를 지니며, 예를 들어 적대적 테스트를 통해 시스템적 위험을 식별하고 완화해야 하며, 사고를 문서화하고 당국에 보고해야 합니다.

또한 보안 통제 등의 요구 사항도 포함됩니다.

 

추가 요구 사항

[제공업체의 의무]

• AI 시스템을 설계할 때 관련 규정을 준수해야 합니다.
• 새로운 고위험 AI 제품을 시장에 출시하기 전에 제3자의 적합성 평가를 받아야 합니다. 이는 제품이 EU AI 법을 준수하고 있는지 확인하는 절차입니다.
• 제품의 목적을 변경하거나 규정 준수에 영향을 미치는 중대한 변경을 하는 경우, 이를 평가를 위해 다시 제출해야 합니다.
• 고위험 AI 제품을 EU 데이터베이스에 등록하고, 시판 후에도 지속적으로 모니터링하여 규정 준수를 유지해야 합니다.
• 심각한 AI 사고가 발생하면 이를 회원국 당국에 즉시 보고하고, 필요한 경우 적절한 조치를 취해야 합니다.

 

[배포업체의 의무]

• AI 시스템을 제공업체의 지시와 의도된 목적에 따라 사용해야 합니다.
• 고위험 시스템에는 적절한 인적 감독이 이루어지도록 하여, 시스템이 잘못된 결정을 내리거나 예기치 않은 문제를 일으킬 경우에 대비해야 합니다.
• 심각한 AI 사고나 인시던트가 발생할 경우, 이를 즉시 관련 당국과 제공업체, 유통업체에게 알리고 대응 방안을 마련해야 합니다.
• 회원국 법률에 따라 최소 6개월 이상 AI 시스템 로그를 보관해야 합니다. 이는 문제 발생 시 원인을 추적하고 분석하는 데 도움이 됩니다.
• 필수 서비스를 제공하는 고위험 AI 시스템을 사용할 경우, 사용 전에 기본권 영향 평가를 수행하여 시스템이 인권을 침해하지 않도록 해야 합니다.

 

[수입업체 및 유통업체의 의무]

• 이들은 유통하는 AI 시스템과 모델이 EU AI 법을 준수하는지 확인해야 합니다. 이는 제품이 시장에 출시되기 전에 반드시 필요한 과정입니다.
• 수입업체나 유통업체가 제품에 자체 이름이나 상표를 부착하거나 제품을 크게 변경하는 경우, 이들은 AI 제공업체로 간주됩니다. 따라서, 모든 제공업체의 책임을 지게 되며, 법에 명시된 모든 요구 사항을 충족해야 합니다.

 

벌금 및 처벌

 

EU AI 법을 위반하는 경우, 다양한 수준의 벌금이 부과될 수 있습니다.

금지된 AI 관행을 사용하는 경우 최대 35,000,000유로(한화 약 519억 원) 또는 연 매출의 7%에 해당하는 벌금이 부과될 수 있으며,

고위험 AI 규제를 위반하면 최대 15,000,000유로(한화 약 222억 원)  또는 연 매출의 3%가 부과됩니다.

또한, 규제 기관에 부정확한 정보를 제공하는 경우에도 최대 7,500,000유로(한화 약 112억)의 벌금이 부과될 수 있습니다.

 

한국 국내 기업에 미치는 영향

EU AI 규제법은 단순히 EU 내에서 사용되는 AI 시스템에만 적용되는 것이 아닙니다.

EU 내에서 AI 시스템의 결과물이 사용된다면, 전 세계의 모든 관련 기업들이 이 규제의 대상이 될 수 있습니다.

따라서 우리나라의 AI 기업들도 이 규제에 대비하여, 관련 법적 요구사항을 철저히 이해하고 준수해야 할 필요가 있습니다.

 

특히, 국내 기업은 고위험 AI 시스템을 개발하거나 사용하기 위해 EU 법에 명시된 엄격한 요건을 충족해야 하며, 데이터 관리와 투명성에 대한 높은 기준을 유지해야 합니다.

이는 한국 기업이 글로벌 시장에서 경쟁력을 유지하고, 신뢰할 수 있는 AI 시스템을 제공하는 데 중요한 요소로 작용할 것입니다.

 

또한, 한국의 AI 스타트업이나 중소기업은 이 법의 엄격한 규제와 높은 벌금 수준에 대비해야 합니다.

따라서 한국 기업들은 EU AI 법에 대한 충분한 이해와 함께, 내부 규정과 절차를 점검하고 필요시 개선해야 할 것입니다.

 

결론

EU AI 규제법은 AI 기술의 안전성과 투명성을 보장하기 위한 중요한 법적 프레임워크입니다.

이 법은 AI 기술이 인간의 삶에 미치는 영향을 철저히 관리하고, AI 기술의 남용을 방지하기 위해 설계되었습니다.

전 세계적으로 AI 기술의 책임 있는 사용과 개발을 촉진할 이 법은 AI의 미래를 결정짓는 중요한 역할을 할 것입니다.

AI 기술을 사용하는 기업과 조직은 이러한 규제를 준수하고, 신뢰할 수 있는 AI 시스템을 개발해야 할 것입니다.