AI 규제 시계 늦춘 유럽의회…CIO, 대응 속도 놓고 딜레마

유럽의회가 3월 26일 EU AI법(EU AI Act)의 일부 시행을 연기하기로 표결하면서 이미 혼란스러운 AI 컴플라이언스 환경에 또 다른 불확실성이 더해졌다. 그러나 애널리스트들은 CIO가 규제가 이미 발효된 상황을 전제로 대응해야 한다고 조언했다.

유럽의회 의원들은 기업의 원활한 제도 이행을 지원하기 위해 유럽 당국이 지침과 표준을 마련할 시간을 확보해야 한다는 이유로, 고위험 인공지능(AI) 시스템 관련 규정의 적용을 연기하는 데 찬성했다.

유럽의회와 유럽연합 집행위원회는 이번 연기에 합의했지만, 최종 시행을 위해서는 또 다른 입법 기관인 유럽연합 이사회의 승인이 필요하다.

유럽의회 의원들이 연기하기로 한 첫 번째 기한이 2026년 8월로 예정됨에 따라 CIO는 중요한 계획상의 과제에 직면하게 됐다. 즉, 약속된 지침 없이 기존 마감 시한 전에 서둘러 변화를 도입할 것인지, 아니면 유럽연합 이사회가 연기를 승인하기를 기대하며 기다릴 것인지 결정해야 하는 상황이다.

연기는 면제가 아니다

애널리스트와 컨설턴트들은 기업 CIO가 기다려서는 안 되며, 규제가 이미 시행된 것처럼 대응해야 한다는 데 사실상 의견을 같이했다.

가트너(Gartner)의 부사장 애널리스트 나데르 헤네인은 “기한 연장이 명확해진 점은 긍정적이다. 이전에는 일정이 계속 변동하는 상황이었다”라며 “다만 최종 결정이 기존 마감 시한에 임박해 내려질 예정이어서 조직들은 결국 당초 계획대로 추진할 수밖에 없다”고 설명했다. 이어 “지난해 11월 EU 디지털 옴니버스 제안의 첫 초안이 발표된 이후, 우리는 고객에게 잠재적인 연기를 AI 시스템 목록화와 관리 프로세스를 시험하고 개선할 기회로 활용하라고 조언해 왔다”고 전했다.

헤네인은 “현재 일정의 가장 큰 제약 요인은 규제 당국이 집행 준비를 마치지 못했다는 점이며, 지금도 상황은 변하지 않았다”라며 “스페인은 규제 기관을 설립한 몇 안 되는 국가 중 하나이며, EU AI 위원회 또한 조직이 고위험 AI 시스템 관련 의무를 정확히 이해하는 데 필요한 지침 마련이 지연되고 있다”고 밝혔다. 그는 “이러한 의무는 현행 기준으로 8월 2일부터 발효될 예정”이라고 설명했다.

사이버보안 컨설턴트이자 포머고브(FormerGov)의 전무이사 브라이언 레빈은 주요 AI법 제한 조치를 2027년으로 연기한 결정이 CIO를 규제 불확실성 속에 놓이게 했지만, 근본적인 현실은 변하지 않았다고 지적했다.

레빈은 “이번 결정은 CIO를 규제의 공백 상태에 놓이게 했지만, 기업이 AI 시스템으로 인해 발생하는 위험을 책임져야 한다는 사실은 변하지 않는다”라며 “브뤼셀이 내년에 규정을 집행하든 2년 후에 집행하든, 거버넌스가 미흡한 AI로 인한 운영·법률·평판 리스크는 이미 현실화된 상태”라고 말했다. 이어 “CIO는 이번 연기를 면제 조치로 받아들여서는 안 된다”고 강조했다. 또한 “완벽한 규제 명확성을 기다리는 조직일수록 집행이 시작되기 훨씬 전부터 자사 모델이 컴플라이언스, 개인정보 보호, 안전과 관련된 책임을 조용히 만들어왔다는 사실을 뒤늦게 깨닫게 될 가능성이 크다”고 분석했다.

유럽의회는 규정에 명시된 고위험 AI 시스템에 대해 2027년 12월 2일부터 규정을 적용할 것을 제안했다. 여기에는 생체인식 기술을 포함해 핵심 인프라, 교육, 고용, 필수 서비스, 법 집행, 사법 및 국경 관리 분야에서 사용되는 시스템이 포함된다.

또한 안전 및 시장 감시와 관련된 EU 분야별 법률의 적용을 받는 AI 시스템에 대해서는 2028년 8월 2일을 시행 시점으로 제시했다.

이와 함께 의원들은 AI가 생성한 오디오, 이미지, 영상, 텍스트 콘텐츠의 출처를 표시하기 위한 워터마킹 규정 준수 기한을 2026년 11월 2일까지 부여하는 방안에 찬성한다고 밝혔다.

준비의 시간으로 활용해야

인포테크 리서치 그룹(Info-Tech Research Group)의 수석 고문 제이슨 후키는 유럽의회의 일부 결정에 동의한다고 밝혔다.

후키는 “고위험 AI 의무 적용을 연기하기로 한 EU의 결정은 합리적이다. 대부분이 이러한 규정의 목적에는 공감하지만, 충분한 지침과 기술 표준, 적절한 지원 없이 조직이 이를 충족하기는 어렵다는 우려가 있었다”라며 “이번 연기는 일정만 조정한 것이지 고위험 AI와 관련된 핵심 목표를 변경한 것은 아니다”라고 설명했다. 이어 “이 시간을 효과적으로 활용하는 조직은 규제 준수와 통제 역량을 강화하고 시장 신뢰를 구축하는 데 유리한 위치를 점하게 될 것”이라며 “반대로 기다리기만 하는 조직은 문제를 단지 미루는 데 그치고, 체계적으로 관리된 AI가 제공하는 이점을 놓칠 수 있다”고 전했다.

일부 전문가들은 유럽연합의 결정이 다수 회원국에 대한 권고 성격에 불과하며, 각 국가는 자국 상황에 맞게 변경할 권한을 보유하고 있다고 지적했다.

절차적 위험

렉시스넥시스 리스크 솔루션스 그룹(LexisNexis Risk Solutions Group)의 최고정보보호책임자(CISO) 플라비오 비야누스트레는 EU 결의안이 두 가지 수준에서 작동한다고 분석했다.

비야누스트레는 “EU 차원의 정책 결정과 회원국 차원의 이행 규정이 별도로 존재한다”라며 “이 때문에 정책이 확정·공표된 이후에도 회원국이 이를 준수하고 자국의 시행 요건을 규정하는 입법을 마련할 수 있도록 통상 수년의 이행 기간이 주어진다”고 설명했다. 이어 “이번 사안 역시 예외가 되지 않을 것으로 보이며, 실제 시행 시점은 초안에서 제시된 기한보다 더 늦춰질 가능성이 있다”고 밝혔다.

또한 컴플라이언스 기업 셸먼(Schellman)의 사장 더그 바빈은 CIO에게 절차적 위험을 경고했다.

바빈은 “유럽연합 이사회와 유럽의회 간 협상이 2026년 8월 이후로 지연될 경우 기존 마감 시한이 그대로 유지되는 절차적 위험이 존재한다”라며 “아무런 조치를 취하지 않고 기다려 온 CIO가 이러한 상황에 가장 크게 노출된다”고 말했다. 이어 “지금 거버넌스 인프라에 투자하는 조직은 향후 위기 상황에 빠지지 않을 것”이라며 “이번 연기는 추가로 확보된 시간인 만큼 적극적으로 활용해야 한다”고 강조했다.

바빈은 시장이 점차 포괄적인 전략으로 전환되고 있다고 진단했다. 그는 “컴플라이언스의 방향은 개별 조치 중심에서 거버넌스와 리스크 중심으로 이동하고 있다”고 분석했다.

기다림의 높은 대가

퓨전 컬렉티브(Fusion Collective)의 CEO 이베트 슈미터는 유럽의회의 결정이 CIO에게 잘못된 메시지를 전달할 수 있다는 점을 우려했다.

슈미터는 “사람들에게 더 많은 시간이 주어졌다는 잘못된 안도감을 준다는 점에서 부정적인 측면이 있다. 시간을 벌어주려는 의도이지만 기업은 결코 완벽히 준비된 상태에 도달하지 못한다”라며 “법원은 규제 준수 일정에 관심이 없다. AI 시스템이 대규모로 해롭거나 차별적인 결과를 초래할 경우 ‘최종 지침을 기다리고 있었다’는 해명은 법적 심문에서 받아들여지지 않을 것”이라고 말했다.

그레이하운드 리서치(Greyhound Research)의 수석 애널리스트 산치트 비르 고지아는 이번 결정이 상반된 메시지를 전달하며 AI 규제에 대한 혼란을 심화시키고 있다고 분석했다.

고지아는 “일정 변경으로 명확한 규제 집행 기준은 사라졌지만, 책임에 대한 기대가 줄어든 것은 아니다. 오히려 의사결정을 더욱 어렵게 만들었다”라며 “현재 기업은 일부 의무는 이미 시행되고, 일부는 향후 적용될 예정이며, 내부 팀마다 리스크를 서로 다르게 해석하는 혼재된 환경에서 운영되고 있다. 이러한 상황은 규제 당국이 개입하기 전부터 혼란을 초래한다”고 설명했다. 그는 많은 기업이 속도를 늦추고 최종 규정을 기다리려 할 것이라고 덧붙였다.

이어 “그러한 본능은 잘못된 판단”이라며 “기다림은 충분히 이른 시점에 명확성이 확보될 것이라는 가정에 기반하지만, 실제로는 명확성이 늦고 불균등하게 제공되며 내부 의사결정이 내려진 이후에야 나타나는 경우가 많다”고 지적했다. 또한 “일시 중단을 선택한 CIO는 리스크 노출을 줄이는 것이 아니라, 그 노출이 드러나는 시점을 늦추는 것에 불과하다”고 강조했다.

고지아는 기다림이 상당한 재무적 비용을 초래할 수 있다고도 지적했다.

그는 “지연이 비용 절감으로 이어진다는 인식이 있지만 현실은 정반대인 경우가 많다. 중단된 작업은 다시 시작해야 하고, 팀은 맥락을 잃으며 설계는 재검토된다. 초기 단계부터 구축된 거버넌스보다 사후에 추가된 거버넌스가 더 많은 비용을 발생시킨다”고 설명했다. 이어 “명확성이 확보되지 않은 상태에서 체결된 벤더 계약은 해지하기 어려워진다. 이러한 비용은 즉시 드러나지 않기 때문에 과소평가되는 경우가 많지만, 시간이 지날수록 기다림의 비용은 전략적으로 행동하는 비용을 초과하는 경향이 있다”고 분석했다.
dl-ciokorea@foundryco.com