유럽이 만든 ‘AI 해자’에 빠지기 전 해야 할 일

최근 유럽연합(EU)이 합의한 ‘인공지능 법(AI Act)’ 초안은 AI 시스템의 전 수명 주기에 걸쳐 개발사가 지켜야 할 일련의 의무 사항을 제시하고 있다. 유럽 시장에 진출하려는 기업은 서비스 설계부터 배포, 시장 출시 후 운영까지 각 단계에서 AI법 준수 여부를 점검해야 한다.

예컨대 한 인공지능 회사가 지능형 가상 HR 매니저(인적자원개발 담당자)를 개발한다고 치자. 이 회사는 개발 초기 단계부터 엄격한 데이터 거버넌스를 수립해야 한다. 학습 데이터에 편향성이 없다는 점을 입증해야 하고 데이터 출처도 투명하게 밝혀야 한다.

시스템을 개발하는 단계에서는 알고리즘이 편향이나 불공정 논란에 휩싸이지 않도록 신경 써 설계해야 하며 AI 법을 준수하고 있음을 보장해야 한다. 시스템을 시장에 출시한 후에도 지속적 모니터링을 통해 신뢰를 유지해야 한다. 문제가 생기면 신속하게 통지하고 오작동을 해결하는 사고 대응 능력을 갖춰야 한다. 마지막으로 시스템이 얼마나 많은 에너지를 사용하는지 측정해 탄소 발자국을 줄이기 위한 노력을 기울여야 한다.

이 법에 비추어 AI 회사들을 현재 상태에서 심사한다면 아마도 대부분이 낙제점을 받게 될 것이다. 스탠퍼드 기초모델 연구센터(CRFM)가 올 6월 AI법 초기 버전을 기준으로 AI 파운데이션 모델들을 평가한 결과를 보면 그렇게 예상된다.

스탠퍼드의 조사는 데이터 거버넌스, 저작권 준수, 에너지 사용 등 총 12개 항목에 대해 각 4점씩 총 48점 만점을 기준으로 실시됐다. 오픈AI의 ‘GPT-4’는 25점, 스태빌리티 AI의 이미지 생성 도구 ‘스테이블디퓨전’은 22점, 메타의 ‘라마’는 21점을 받았다. 국내 기업인 LGCNS와 SK텔레콤의 투자를 받은 엔트로픽도 ‘클로드1’에 대해 7점을 얻는 데 그쳤다. 10개 제품 중 대부분이 반타작도 못 했다.

AI법을 지키지 않으면 기업 규모에 따라 최대 3500만 유로(약 497억 원) 벌금도 부과한다는데 이 회사들은 얼마나 많은 벌금을 내야 할지 궁금하다.

이렇다 보니 많은 기업들이 유럽 AI 시장 진입을 재고하지 않으면 안 되는 상황이다. 당장 구글은 개인정보보호 문제로 생성형 AI 챗봇인 ‘바드’를 당분간 유럽에 출시하지 않기로 했다. 혹자는 AI법이 EU 소속국 인공지능 회사들의 자생력을 기르기 위한 시간 벌기용 해자(垓子)라고 꼬집는다.

하지만 우리에게 불평하고 있을 시간이 없다. 유럽의 AI 규제가 EU뿐 아니라 다른 지역에 벤치마크 될 가능성에 대비해 대응 전략을 마련해야 한다. 우리나라 인공지능법의 대원칙은 ‘선(先)허용, 후(後)규제’다. 기술 개발이 우선이고 사후 문제가 발생할 경우 규제한다는 것이다. 기술 발전을 촉진한다는 취지이지만 국제 규제의 움직임에 보조를 맞추지 않고 있다가 낭패당할까 우려된다.

이와 함께 국제 AI 규제를 만드는 과정에서 우리의 의견이 충분히 반영될 수 있도록 부지런히 물밑 작업을 해야 할 것이다. 기업이 EU의 AI법 준수를 위해 이행해야 하는 의무의 범위는 상황에 따라 다양하게 해석될 여지가 있고 유럽이 아닌 미국 등 AI 강국에서는 규제보다 성장에 방점을 둔 AI법이 만들어질 가능성도 높기 때문이다.