유럽연합의 AI 법은 8월 1일 발효되었습니다. EU AI 법은 세계 최대 시장 중 하나에서 채택된 최초의 인공 지능 규정 중 하나입니다. 비즈니스에는 어떤 변화가 있을까요?
유럽 연합(EU)은 AI에 관한 새로운 규칙을 정의한 최초의 주요 시장입니다.
EU 관계자는 "EU를 신뢰할 수 있는 AI의 글로벌 허브로 만드는 것이 목표입니다."라고 말합니다.
AI법은 기본권과 안전에 대한 잠재적 위험에 따라 애플리케이션을 분류하는 위험 기반 접근 방식을 취하고 있습니다. 가장 중요한 조항으로는 허용할 수 없는 위험을 초래하는 것으로 간주되는 특정 AI 관행 금지, 특정 고위험 AI 시스템 개발 및 배포에 대한 표준, 범용 AI(GPAI) 모델에 대한 규칙 등이 있습니다. EU AI법의 위험 카테고리 중 하나에 속하지 않는 AI 시스템은 해당 법률에 따른 요건('최소 위험' 카테고리라고도 함)의 적용을 받지 않지만, 일부는 투명성 의무를 충족해야 할 수도 있고 다른 기존 법률을 준수해야 할 수도 있습니다.
"이는 위험 수준에 따라 제약 조건을 조정하는 것을 목표로 하는 규제 실용주의의 한 형태입니다."라고 IBM 유럽 법률 책임자 겸 부사장 겸 법률 고문인 Bruno Massot는 말합니다.
이 새로운 규칙에 따라 시민의 권리를 위협하는 특정 AI 애플리케이션은 금지됩니다. 여기에는 민감한 특성에 기반한 생체 인식 분류 시스템, 인터넷이나 CCTV 영상에서 얼굴 이미지를 비표적 스크래핑하여 얼굴 인식 데이터베이스를 만드는 것, 직장과 학교에서의 감정 인식, 예측적 치안 등이 포함됩니다.
AI 법은 4월 22일에 EU 의회에서, 5월 21일에 EU 회원국에서 승인되었습니다. 이 법안은 7월 12일 유럽연합 관보에 게재되었으며, 8월 1일부터 발효되어 법의 여러 조항이 단계적으로 시행되고 있습니다.
EU AI 법은 매우 빠른 속도로 진행될 예정입니다.
"매우 빠르게 진행되고 있지만 이는 놀라운 일이 아닙니다. 초안은 오랫동안 알려져 왔습니다. 기술이 매우 빠르게 발전하고 있기 때문에 빠르게 대응하는 것도 중요합니다."라고 Massot는 말합니다.
6개월이 지나면금지된 AI 관행에 대한 금지령이 시행됩니다. 9개월째 되는 달부터 실천 강령이 적용됩니다. 이달 12일부터 거버넌스를 포함한 범용 AI 규정이 시행됩니다. 24개월이 지나면 고위험 AI 시스템에 대한 규칙이 적용됩니다. 마지막으로, 발효 후 36개월이 지나면 특정 EU 법률에 따라 규제되는 제품 또는 제품의 안전 구성 요소인 AI 시스템에 대한 규정이 적용됩니다.
법을 준수하지 않으면 최대 3,500만 유로 또는 회사 연매출의 7%에 달하는 막대한 벌금이 부과될 수 있습니다.
"긴박감이 느껴집니다."라고 IBM의 신뢰할 수 있는 AI 부문 매니징 컨설턴트 Dasha Simons는 말합니다. "준비에 2~3년은 길게 느껴질 수도 있습니다. 하지만 전 세계에 많은 AI 시스템을 보유한 국제적 또는 다국적 조직이라면 그렇게 오래 걸리지 않습니다."
그렇다면 어디서부터 시작해야 할까요? 첫 번째 단계는 비즈니스에 적용할 규칙을 결정하는 것이라고 Simons는 말합니다.
"AI 법은 배포자, 제공자, 수입자에 대해 다양한 규칙과 정의를 정의합니다. 회사에서 어떤 역할을 맡고 있는지에 따라 서로 다른 요구 사항을 준수해야 합니다."라고 Simons는 설명합니다. "모델을 구매해서 브랜드만 바꾸고 모델 자체는 바꾸지 않으시나요? 아니면 모델을 꽤 많이 미세 조정하고 계신가요? 이것이 진정한 첫 번째 단계입니다."
두 번째 단계는 조직 내에서 어떤 AI 시스템을 사용하고 있는지, 그리고 각 시스템과 관련된 위험 수준을 파악하는 것입니다.
"중요한 것은 우선 어디에 집중할 것인지 파악하는 것입니다."라고 Simons는 말합니다. "많은 기업이 생산 또는 개발 중인 AI 시스템과 모델이 어떤 유형인지조차 파악하지 못하고 있습니다."
이 평가를 수행하면 금지된 시스템을 먼저 평가한 다음 고위험 시스템을 평가하여 우선순위를 결정하는 데 도움이 됩니다.
"이를 통해 새로운 AI 시스템을 출시할 때 어떤 프로세스를 마련해야 하는지 결정하고, 사후에 고려하는 것이 아니라 사전에 AI 법을 준수하는지 확인하는 데 도움이 될 것입니다."
Simons는 이 규정이 기업이 AI를 전략적으로 활용하고 최고 경영진이 이 대화에 적극 참여해야 할 필요성을 강조하고 있다고 생각합니다.
"기술적 전문 지식이 필요하며, GDPR을 이행한 최고 개인정보 보호 책임자의 전문 지식도 필요할 수 있습니다. 이에 대한 지식도 필요하지만, 책임과 방향도 최고 경영진에서 설정해야 합니다."라고 Simons는 말합니다.
유럽 연합은 AI 개발의 표준을 수립하고 전 세계를 위한 청사진 역할을 하겠다는 포부입니다. EU는 이미 2018년에 GDPR과 함께 포괄적인 데이터 프라이버시 및 보안법을 제정했습니다.
국회의원이자 AI 법안의 수석 협상가인 Dragoș Tudorache는 기자회견에서 "AI 법은 안전하고 인간 중심적인 AI 개발에 명확한 길을 제시하는 세계 최초의 규제"라고 말했습니다.
전 세계적으로 AI 사용과 관련하여 많은 규정이 채택되고 있습니다.
"서로 다른 제약이 있는 다양한 시스템을 개발하는 것은 [기업에게] 복잡하기 때문에 일관성이 중요합니다."라고 Massot은 말합니다.
IBM의 watsonx 및 임베드 가능한 AI 부문 EMEA 비즈니스 리더인 Hans-Petter Dalen은 EU에서 사업을 운영하는 조직과 기업이 사용자나 직원에게 AI에 대해 교육해야 할 필요성이 흥미로운 변화를 가져올 것이라고 말합니다.
"흥미롭게도 EU AI 법에는 AI 리터러시에 관한 조항이 있습니다. 따라서 EU 단일 시장의 모든 기업이나 조직은 AI를 사용하는 사용자와 직원을 일정 수준까지 교육해야 합니다. 아직 어느 정도 수준인지는 알 수 없지만, AI가 무엇인지에 대한 기본 수준을 높이는 것은 매우 좋은 일입니다."라고 Dalen은 설명합니다.
"이 분야의 한 예로 오늘날 이미 이력서를 심사하고 후보자를 추천할 수 있는 기능을 갖춘 HR 시스템을 들 수 있습니다. 이는 위험성이 높은 사용 사례이며 준수해야 할 7가지 필수 요구 사항이 있습니다. 해당 소프트웨어의 구매자로서 알고리즘에 대해 질문해야 할 사항을 이해할 수 있을 만큼 AI에 대해 충분히 교육받았나요?"라고 Dalen은 묻습니다.
AI 법에서 요구할 기술 표준과 관련하여 아직 알려지지 않은 부분이 많습니다.
"법 자체에 매우 느슨하게 규정된 고위험 사용 사례를 준수하기 위한 7가지 필수 요구 사항이 있습니다. 그리고 이 7가지 요구 사항으로 인해 10개의 기술 표준 요청이 발생했고, 현재 유럽 표준 결정 기구 중 두 곳에서 개발 중입니다."라고 Dalen은 설명합니다. "기술 기준은 규제의 실제 요구사항이 무엇인지 명확히 해줄 것이며, 우리는 기술 표준 시행이 가장 빠르고 저렴하게 준수를 달성하는 방법임을 분명히 기대합니다."