이번 법은 국가 단위에서 전 세계 최초로 본격 시행됐다는 점에서 주목할 만하다. 유럽연합(EU)은 EU AI 법(AI Act)을 제정했지만 실제 적용은 올해 6월부터 단계적으로 시작될 예정이며, 미국 역시 일부 주(州) 단위 규제만 운영 중이다. 이런 점을 고려하면 한국의 AI 기본법 시행은 글로벌 차원에서도 선제적인 조치로 평가된다.
과학기술정보통신부(과기정통부)가 주도한 AI 기본법은 지난해 1월부터 80여 명의 민간 전문가가 참여한 하위법령 정비단을 운영하며, 70여 차례에 걸친 의견 수렴을 거쳐 시행령을 마련했다. 정부는 나름 법 시행에 따른 혼란을 최소화하기 위해 가이드라인 5개를 제시하고 ‘인공지능기본법 지원데스크’를 운영하는 등 적극적인 지원에 나서고 있다.
다만 AI라는 기술 자체도 아직 낯선 상황에서 관련 법까지 시행되다 보니 업계의 평가는 엇갈린다. 규제가 지나치게 느슨하다는 비판과, 산업 현실을 반영한 합리적인 출발이라는 평가가 동시에 나온다. 이런 상황에서 IT 리더와 경영진은 무엇을 준비해야 할까. 지금 당장 대응이 필요한 규제일까, 아니면 시간을 두고 점검해도 되는 변화일까. 이 질문에 답하기 위해 학계·법률·산업 전문가의 시각을 차례로 살펴봤다.
“완벽하진 않지만 지금 필요했던 법”
강은성 서울여대 지능정보보호학부 교수는 AI 기본법을 볼 때 구조 자체에 주목해야 한다고 말했다. 그는 “이 법은 크게 ‘인공지능의 건전한 발전’과 ‘신뢰 기반 조성’이라는 두 축으로 구성돼 있다”라며 “발전을 촉진하면서도 부작용을 보완하려는 구조로, 정보통신망법이나 신용정보법 등과 닮은 한국 법제의 전형적인 방식”이라고 설명했다.
동시에 강 교수는 AI 기본법을 “전형적인 기술 규제 법이 갖는 한계를 안고 있는 법”이라고 평가했다. 그는 “대부분의 법은 기본적으로 후행적일 수밖에 없다”라며 “AI 역시 기술이 빠르게 발전한 뒤에야 법이 만들어질 수밖에 없는 구조”라고 말했다.
다만 그는 이러한 한계가 곧 AI 기본법의 필요성을 부정하는 근거가 될 수는 없다고 선을 그었다. AI는 단순한 기술을 넘어 생명과 신체, 기본권은 물론 사회 전반에 미치는 영향이 매우 큰 만큼, 아무런 법적 장치 없이 방치하는 것 역시 또 다른 문제라는 설명이다
강 교수는 “이런 점에서 AI 기본법은 완전히 선행적인 법도, 전형적인 후행 법도 아닌 중간 지점에 서 있다”라며 “기술 변화 속도 앞에서 법이 가질 수밖에 없는 한계를 안고 있지만, 그럼에도 지금 시점에서는 필요했던 법”이라고 평가했다. 그는 “이 구조를 이해하지 못하면 AI 기본법을 지나치게 느슨한 규제나, 반대로 과도한 통제로 오해하기 쉽다”라며 “당장 강한 제재를 가하기보다는, AI를 사회적으로 관리할 최소한의 틀을 먼저 세운 법으로 봐야 한다”라고 덧붙였다.
강 교수는 또한 현재 기업과 시민단체 사이에는 이 법을 바라보는데 분명 온도차가 있을 수 있다고 짚었다. 먼저 기업의 핵심 고민은 불확실성이다. 강 교수는 “법이 시행되는 순간부터 적용 대상인지, 어떤 의무를 져야 하는지 스스로 판단해야 한다”라며 “특히 AI를 직접 개발하지 않고 활용만 하는 기업일수록 ‘우리가 규율 대상이 맞는지’부터 헷갈릴 수밖에 없다”라고 분석했다.
실제로 기업 입장에서는 고영향 AI 판단 기준과 생성형 AI 적용 범위, 이용 사업자의 책임 수준이 명확하지 않다는 점을 부담으로 느낄 수 있다. 강 교수는 “기업에게 규제 리스크는 결국 ‘모호함’”이라며 “무엇을 안 하면 문제가 되는지 분명하지 않으면 보수적으로 움직이거나 과잉 대응으로 흐르기 쉽다”라고 짚었다.
반면 AI 기본법이 지나치게 느슨하고 제재가 약하다는 시민단체 입장도 있는 상황이다.강 교수는 “시민단체는 AI로 인한 기본권 침해 가능성을 전제로 보기 때문에, 현재 체계가 보호 장치로 충분하지 않다고 느끼는 것”이라고 설명했다.
현재 과태료 부과 대상은 투명성 확보 의무 중 주로 ‘고지 의무’ 위반에 한정된다. 1회 위반 500만 원, 2회 1,000만 원, 3회 이상 1,500만 원 수준으로, 법에 ‘3,000만 원 이하’라고 돼 있어도 실제 부과 수준은 그에 못 미친다.
EU AI 법은 금지 규정 위반 시 전 세계 매출액의 7% 또는 3,500만 유로(약 600억 원) 중 더 큰 금액을 과징금으로 부과할 수 있다. 이에 대해 강 교수는 “한국의 AI 기본법은 EU에 비해 제재 범위와 강도가 상대적으로 낮다”라며 “이 때문에 시민단체가 규제가 충분하지 않다고 문제를 제기하는 것도 이해할 만하다”라고 평가했다.
규제 대상 분류에서도 사각지대가 존재한다는 지적이다. 안전성 확보 조치 의무는 누적 연산량이 10의 26제곱 플롭스를 넘고, 동시에 생명·신체·안전·기본권에 중대한 영향을 미치는 경우에만 적용된다. 문제는 이 정도 연산량 기준이 사실상 극소수 기업이나 국가 차원의 프로젝트만 충족할 수 있는 수준이라는 점이다. 두 조건이 ‘교집합’으로 묶이면서, 연산량 기준에는 미치지 않지만 기본권에 실질적인 영향을 미치는 AI가 규제 대상에서 빠질 수 있다는 우려가 나온다.
그럼에도 강 교수는 정부의 지원 의지에 대해서는 긍정적으로 봤다. 그는 “시행일에 바로 5개 가이드라인을 상세히 제공한 건 이전에는 보기 어려운 속도”라며 “고영향 AI 판단 가이드라인, 지원 데스크 운영, 전문위원 지원 체계까지 갖추는 걸 보면, 제도를 안착시키려는 의지가 보인다”라고 말했다.
“위험 기반 접근은 옳다, 하지만 기준은 모호하다”
법무법인 린의 구태언 변호사는 이번 AI 기본법이 ‘위험 기반 접근법(risk-based approach)’을 택했다는 점에 주목했다. 모든 인공지능을 동일하게 규제하기보다는, 사람의 생명·신체·기본권에 중대한 영향을 미칠 수 있는 이른바 ‘고영향 AI’에 규제의 무게를 두는 방식을 정부가 선택했다는 것이다.
그는 위험 기반 규제 자체에 대해서는 분명히 긍정적인 평가를 내렸다. 구 변호사는 “챗봇 하나 만들었다고 의료기기급 규제를 적용할 수는 없다”라며 “위험도가 높은 영역에 집중하겠다는 발상 자체는 합리적”이라고 말했다. 생성형 AI, 추천 시스템, 자동화 도구 등 AI 활용이 일상화된 상황에서 일률적인 규제는 산업 위축으로 이어질 수밖에 없다는 이유에서다.
또한 ‘AI 영향평가’, ‘설명 가능성’, ‘투명성 의무’ 같은 원칙들이 법으로 명문화됐다는 점도 의미 있다고 봤다. 그동안 자율규제나 가이드라인에 머물던 내용이 이제는 법적 의무가 됐다는 것이다. 구 변호사는 이 점을 두고 “이번 법의 가장 중요한 의미는 ‘드디어 출발했다’는 데 있다”라고 평가했다.
구태언 변호사는 위험 기반 규제의 방향성에는 공감하면서도, 현행 제도에는 여러 한계가 드러난다고 지적했다. 가장 먼저 그는 ‘고영향 AI’의 판단 기준이 추상적이라는 점을 아쉬운 점으로 꼽았다.
시행령은 고영향 AI 판단 요소로 사람의 생명·신체의 안전 및 기본권에 초래할 수 있는 위험의 영향력, 중대성, 빈도를 제시하고 있지만, 실제로 어떤 AI가 이에 해당하는지는 명확하지 않다는 것이다. 결국 사업자가 자체적으로 판단하거나 과학기술정보통신부에 개별 확인을 요청해야 하는 구조인데, 30일 이내 회신을 받도록 돼 있음에도 판단이 일관되게 이뤄질 수 있을지는 불확실하다고 봤다.
구 변호사는 “AI 기반 대출 심사처럼 개인의 삶에 직접적인 영향을 미치는 서비스는 문제 제기나 민원 제적을 통해 판단 기준이 형성될 가능성도 있다”라며 “초기 운영 과정에서 정부가 얼마나 일관된 기준을 유지하느냐가 매우 중요하다”라고 강조했다. 그는 또한 금융·채용·의료·교육 등 사회적 파급력이 큰 분야일수록 관심이 집중될 수밖에 없다며, 관련 담당자들 역시 초기 기업 사례를 각별히 주의 깊게 살펴볼 필요가 있다고 조언했다. 이어 그는 이를 “대학 입시의 커트라인과 같은 구조”에 비유하며, 사전에 선을 넘었는지 판단하기 어렵고 초기 결정이 이후 모든 판단의 기준이 될 수 있다고 설명했다.
구 변호사가 짚은 또 다른 한계는 자율규제와 법적 의무의 경계가 모호하다는 점이다. 고영향 AI 사업자는 영향평가를 자체 수행하거나 제3자에게 의뢰할 수 있지만, 정부의 직접 평가나 사전 승인 절차는 없다. 이로 인해 제도상으로는 의무 규정임에도 실제 운영에서는 자율평가에 가깝게 작동하며, “우리는 적절히 관리하고 있다”는 수준의 보고서 제출로 책임이 정리될 가능성도 있다.
구 변호사는 글로벌 규제 환경과의 정합성 문제도 짚었다. EU, 미국, 중국 등 주요 국가들이 각자 다른 AI 규제 체계를 구축하면서, 한국 기업들은 결국 국가별 규제를 모두 따로 대응해야 하는 상황에 놓였다. 글로벌 기업은 가장 엄격한 기준에 맞추면 되지만, 중소기업이나 스타트업은 각국 법령을 해석하고 대응하는 데 상당한 리소스를 투입해야 한다는 점에서 부담이 더 클 수 있다.
마지막으로 그는 차세대 기술에 대한 대비가 충분하지 않다고 지적했다. 현행 AI 기본법은 현재 상용화된 기술을 전제로 설계됐지만, 피지컬 AI나 AGI처럼 다음 단계의 기술은 이미 논의 단계에 들어섰다. 구 변호사는 “법이 시행되는 시점에는 이미 기술이 한 발 앞서 있을 수 있다”라며 “빠르게 변화하는 환경을 고려하면, 법 자체가 조기에 시대에 뒤처질 가능성도 배제하기 어렵다”라고 말했다.
“규제 보단 ‘준비 점검표’로 봐야 한다”
산업계 시선에서 AI 기본법은 어떻게 보일까. 최윤석 가트너 시니어 파트너는 “EU의 AI법이 제재와 처벌 중심의 집행법에 가깝다면, 한국의 AI 기본법은 계도와 준비에 방점이 찍혀 있다”라며 “완성형이라기보다는 출발선에 놓인 법”이라고 평가했다. 실제로 한국 법은 과태료 중심의 비교적 온건한 구조를 택했고, 시행 초기 1년간은 계도 기간도 운영할 계획이다.
그렇다고 기업이 안심해도 된다는 뜻은 아니다. 최 파트너는 기업들이 지금부터 점검해야 할 핵심 요소로 ▲데이터 품질 ▲데이터 거버넌스 ▲보안 ▲데이터 파이프라인을 꼽았다.
그는 “AI 규제를 피하려는 기업보다, 기준을 먼저 내재화한 기업이 장기적으로 경쟁력을 갖게 된다”라며 “AI 기본법은 기업에게 ‘어디까지 준비돼 있는지’를 묻는 질문지에 가깝다”라고 말했다.
구체적으로는 투명성, 설명 가능성, 추적성 확보가 중요하다고 조언했다. 최 파트너는 “어떻게 학습이 이뤄졌고 어떤 결과가 나왔는지를 설명할 수 있는 로그와 추적성이 확보돼 있다면, 문제가 발생하더라도 감사를 통해 확인할 수 있다”라며 “개인정보가 학습에 노출되지 않도록 마스킹이나 비식별화를 적용하고, 특정 집단에 불리하게 작용하지 않도록 공정성과 편향성을 관리하는 것도 기본”이라고 말했다.
특히 생성형 AI를 활용하는 기업이라면 표시·고지 의무를 가볍게 봐서는 안 된다고 강조했다. AI가 만든 콘텐츠임을 이용자가 인식할 수 있도록 명확히 표시하는 것은 단순한 법적 의무를 넘어, 기업의 신뢰와 브랜드 평판에 직결된다는 이유에서다.
최 파트너는 “GDPR도 처음에는 기업들이 과도한 규제라고 반발했지만, 결과적으로 데이터 관리 성숙도를 끌어올리는 계기가 됐다”라며 “AI 기본법 역시 비슷한 경로를 밟을 가능성이 크다”라고 내다봤다. 기존에 데이터 거버넌스와 보안 체계를 갖춘 기업일수록 대응 비용은 낮고, 변화에도 유연하게 적응할 수 있다는 분석이다.
그는 “AI 규제를 피하려는 기업보다, 기준을 먼저 내재화한 기업이 결국 경쟁력을 갖게 된다”라며 “AI 기본법은 기업에게 준비 상태를 점검하라고 던진 질문에 가깝다”라고 말했다.
임원 지정·조직 연결·선제 대응…AI 기본법 대응 전략
전문가들은 우선 AI 기본법 대응을 총괄할 조직 내 담당자, 특히 임원급 책임자를 명확히 지정하는 것이 출발점이라고 조언한다.
최윤석 가트너 시니어 파트너는 “정보 보호 담당자가 있듯, AI 역시 전반적인 품질과 거버넌스를 책임질 임원이 필요하다”라며 “다만 그 역할을 한 사람이 혼자 떠안는 구조는 현실적이지 않다”라고 말했다.
사실 데이터 품질 관리, 접근 통제, 개인정보 보호, 로그 관리 등은 이미 많은 기업이 수행해 온 영역이다. 그런 면에서 최 파트너는 “AI는 결국 이 데이터 위에서 작동하기 때문에, 기존 데이터 거버넌스가 제대로 작동하고 있는지가 핵심”이라며 “AI 기본법이 요구하는 투명성이나 설명 가능성도 결국 데이터 관리 수준에서 갈릴 것”이라고 언급했다.
오히려 AI 법에 기민하게 대응하려면 담당자 1명을 두는 데 그치기보다, 다양한 이해관계자가 함께하는 구조가 필요하다고 최 파트너는 조언했다. 핵심은 새로운 조직이 아니라 기존 조직 간의 연결과 의사결정 구조로, CIO·보안·법무·데이터 조직이 분절돼 있으면 AI 기본법 대응이 쉽지 않다는 것이다.
최 파트너는 “AI 기본법은 ‘AI를 처음부터 다시 하라’는 신호가 아니라, 그동안 해오던 데이터·보안·거버넌스를 AI 관점에서 점검하라는 메시지에 가깝다”라며 “이렇게 접근하면 인력이나 조직 부담을 과도하게 느낄 필요도 없다”라고 말했다. 구체적으로 그는 CEO, CFO, CIO, 법무 담당 임원 등이 참여하는 운영위원회(Steering Committee) 구성을 제시했다. 비즈니스 리스크와 기회, 고객과 파트너에 대한 영향, 브랜드 평판까지 종합적으로 판단할 의사결정 체계가 필요하다는 설명이다.
강은성 서울여대 교수는 역시 비슷한 의견을 공유했다. AI 기본법 대응의 주도 조직은 기업의 상황과 조직 구조에 따라 달라질 수 있다고 전제하며, AI를 직접 개발하는 기업의 경우 개발 조직이나 AI 전담 조직이 중심이 될 수 있고, 규제 대응 경험이 풍부한 기업이라면 법무나 컴플라이언스 조직이 그 역할을 맡을 수도 있다고 보았다. 다만 그는 “현실적으로 보면 안전성·신뢰성·규제 대응이라는 AI 기본법의 요구사항은 기존 보안·정보보호 조직이 수행해 온 업무와 상당 부분 겹친다”라며 “이 때문에 많은 기업에서 보안 조직이 실무적인 대응 창구 역할을 맡게 될 가능성이 있다”라고 설명했다.
이어 강 교수는 “중요한 것은 어느 조직이 주도하느냐가 아니라, 개발·보안·법무 조직이 유기적으로 연결돼 AI의 작동 원리와 책임 구조를 설명할 수 있는 체계를 갖추는 것”이라며 “AI 기본법 대응은 특정 부서의 과제가 아니라 기존 조직 간 역할을 조정하는 문제로 봐야 한다”라고 강조했다.
강 교수는 또 모든 AI 사업자가 공통적으로 준비해야 할 최소 요건으로 ‘설명 의무’를 꼽으며, 이에 대응하기 위해 조직 내부에서 누가 어떤 내용을 설명할 책임을 지는지에 대한 논의가 사전에 이뤄져야 한다고 설명했다.
그가 말하는 설명 의무는 AI 기본법 제3조 제2항에 근거한 것으로, 해당 조항은 ‘(AI 시스템에 의해) 영향받는 자는 인공지능의 최종결과 도출에 활용된 주요 기준 및 원리 등에 대하여 기술적ㆍ합리적으로 가능한 범위에서 명확하고 의미 있는 설명을 제공받을 수 있어야 한다’라고 규정하고 있다.
이 조항은 당장 과태료 등 행정처분과 직결되지는 않는다. 그럼에도 강 교수는 가볍게 볼 사안이 아니라고 강조했다. 그는 “최근 규제 흐름은 선언적 원칙이라 하더라도, 시간이 지나면 실제 준수 여부를 따지는 기준으로 작동하는 경우가 많다”라며 “개인정보보호법 역시 처음에는 원칙 조항으로 보였던 내용들이 이후 행정처분의 근거가 됐다”라고 말했다.
강 교수는 “이런 흐름이 국내에서도 반복될 가능성이 크다”라며 “AI 기본법도 지금은 원칙처럼 보이지만, 향후 분쟁이나 사고가 발생하면 ‘설명 가능성’이 기업 책임을 판단하는 기준이 될 수 있다”라고 내다봤다.
그는 특히 내부 준비의 중요성을 강조했다. “설명 의무는 문구를 홈페이지에 올리는 것으로 해결되는 문제가 아니다”라며 “개발 단계에서부터 자사 AI가 어떤 기준과 논리로 결과를 도출하는지, 개발팀 스스로 설명할 수 있어야 한다”라고 조언했다. 기술적으로 완벽하지 않더라도, 합리적인 수준에서 의사결정 구조를 설명할 수 있는 체계가 필요하다는 의미다.
법무법인 린의 구태언 변호사도 기업 규모에 따라 대응 전략이 달라야 한다고 봤다. 그는 “대기업은 이미 일정 수준의 대응 역량을 갖추고 있을 가능성이 크지만, 스타트업은 지금부터 체계를 만들어야 한다”라며 “표시·고지 의무는 비교적 단순한 기술적 조치로 대응할 수 있지만, 영향평가나 안전성 확보 조치는 내부 거버넌스 없이는 어렵다”라고 말했다.
구 변호사는 기업들에게 선제적 대응을 추천했다. 그는 “애매한 상태로 방치하지 말고, 특히 생체인식·채용·신용평가·의료·교육 분야의 AI라면 미리 과기정통부에 확인 요청을 해두는 것이 좋다”라며 “30일 이내에 정부의 회신을 받을 수 있는 상황이고, 막연하게 ‘우리 AI는 아닐 것’이라고 넘긴 후 나중에 문제가 생기면 대응할 시간이 없다”라고 말했다.
만약 고영향 AI로 판단될 경우에는 AI 영향평가(AI Impact Assessment, AIIA) 체계를 마련한 뒤, 상황에 맞춰 정기적인 평가를 이어가는 방안을 고려하면 좋다.
구 변호사는 “시행령에 명시된 평가 항목에는 영향받는 개인과 집단, 침해될 수 있는 기본권 유형, 사회·경제적 영향 범위, 정량·정성적 평가지표, 위험 예방·완화·복구 방안까지 포함돼 있다”라며 “AIIA는 단순한 규제 대응 수단이 아니라, 실제 AI 사고를 예방하기 위한 리스크 관리 차원에서도 필수”라고 말했다. 이어 그는 “AI 개발·배포 과정에서 데이터 편향성, 설명 가능성, 안전성 테스트를 문서화하고, 이를 뒷받침할 내부 거버넌스를 갖추는 것이 중요하다”라고 조언했다.
생성형 AI 서비스 제공 사업자의 투명성 확보 의무도 강조했다. 서비스가 생성형 AI 기반이라는 사실을 계약서, 약관, 화면 표시 등으로 사전에 알리고, AI가 만든 콘텐츠에는 워터마크나 메타데이터로 생성 여부를 표시해야 한다는 것이다. 그는 “마케팅, 미디어, 엔터테인먼트 분야에서 생성형 AI 서비스를 제공하는 기업이라면 당장 기술적 대응이 필요한 영역”이라고 말했다.
마지막으로 글로벌 정합성 문제도 짚었다. 구 변호사는 “EU, 미국, 중국 모두 각자의 AI 규제 체계를 구축하고 있다”라며 “글로벌 시장을 공략한다면 EU AI 법, 미국 NIST AI RMF, ISO/IEC 42001(AI 경영시스템) 같은 국제 기준을 함께 검토해야 한다”라고 조언했다. 그는 “가장 높은 기준에 맞춰 준비하는 것이 오히려 장기적으로는 유리하게 작용할 수 있다”라고 덧붙였다.
jihyun.lee@foundryco.com
Read More from This Article: AI 기본법 시대 개막…법·산·학이 제시한 IT 리더의 대응 방향은?
Source: News