[리걸타임즈 IT Law] AI 규제 동향과 기업의 대응
[리걸타임즈 IT Law] AI 규제 동향과 기업의 대응
  • 기사출고 2021.08.13 11:28
이 기사를 공유합니다

"투명성 확보 등 거버넌스 구축 필요"

인공지능(AI) 기술이 비약적으로 발전하면서 여러 사업 곳곳에 인공지능이 활용되고 있다. 그러나 최신 AI 기술은 기계학습에 기반하고 있어 불확실, 불투명한 측면이 있고 고의적으로 악용될 위험이 있다. AI 활용 과정에서 의도치 않은 불합리한 차별이나 개인정보 · 사생활 침해가 발생할 수도 있다. 최근 국내 인공지능 챗봇 서비스가 편향 · 차별 발언 논란으로 한 달여 만에 서비스를 중단하고 무분별한 개인정보 처리에 대해 과징금과 과태료를 부과받기도 했다.

EU · 미국, AI 규제에 적극적

AI로 인한 부작용과 역기능을 방지하기 위해 국내외에서 가이드라인이나 법률을 제정하고 있는데, AI를 개발, 활용하는 기업에 규제로 작용할 수 있어 동향 파악이 필요하다.

◇신용우 변호사
◇신용우 변호사

EU는 수년 전부터 인공지능 규제에 대한 연구와 입법을 추진해왔으며, 최근 포괄적인 규제 법안을 발표했다. 2016년 발효된 EU 개인정보보호규정(GDPR)은 정보주체가 자동화된 처리에만 근거한 결정에 따르지 않을 권리를 규정했다. 2019년 제정된 「온라인 플랫폼 시장의 공정성 및 투명성 강화를 위한 2019년 EU 이사회 규칙」 및 후속 규정인 「온라인 투명성 가이드라인」은 투명성 강화 방안으로서 검색결과 노출순위를 결정하는 알고리즘의 주요 매개변수를 공개하도록 했다. EU의 AI 고위전문가 그룹(AI-HLEG)은 2019년 4월 '신뢰할만한 AI 윤리 가이드라인'을 발표하고 2020년 7월 140여 가지 구체적인 질문을 담은 AI 윤리 평가 체크리스트를 공개했다.

EU 집행위원회가 올 4월 발표한 「인공지능 법안」 초안은 위험 기반의 포괄적 규제 체계를 제시하고 있다. AI 시스템을 ▲허용할 수 없는 위험(unacceptable risk), ▲고위험(high-risk), ▲제한된 혹은 최소 위험(low or minimal risk)으로 분류하고 각 위험도에 따라 규제를 달리 정하고 있다.

특히 자연인의 건강 · 안전 · 기본권에 고위험을 야기할 수 있는 시스템을 고위험 AI로 규정하고 사전 적합성 평가를 도입하며, ①위험관리 시스템 구축, ②데이터 거버넌스 수행, ③시스템 평가에 필요한 기술의 문서화, ④결과의 추적성을 보장하기 위한 활동 기록, ⑤이용자에게 투명성 및 정보 제공, ⑥인간에 의한 감독, ⑦정확성 · 견고성 · 사이버보안 의무를 준수하도록 하였다.

직원 채용때 AI 인터뷰 동의 받아야

미국도 적극적인 입법과 정책을 추진하고 있다. 뉴욕시의회는 2019년 뉴욕시의 알고리즘 사용에 편향성이 있는지 점검하는 기구를 설립했으며, 샌프란시스코시와 매사추세츠주 서머빌시는 2019년 수사당국이 안면인식기술을 사용하지 않도록 했다. 일리노이주는 2020년 1월 고용인이 직원 채용과정에서 AI를 이용하여 비디오 인터뷰를 진행하는 경우 구직자에게 AI 이용 사실을 알리고 동의를 받도록 했다. 미 연방거래위원회(FTC)는 2020년 4월 발표한 「AI와 알고리즘 사용에 대한 지침」에서 기업이 AI와 알고리즘 이용 과정에서 소비자에게 발생할 수 있는 위험을 관리하는 방안을 제시했으며, 올 4월에도 관련 지침을 발표했다.

국제기구 · 단체들도 AI 개발 · 이용 관련 표준화를 추진하고 있다. 국제전기전자기술자협회(IEEE)는 2019년 4월 인공지능 · 자율 시스템에 윤리적 규범이 구현되도록 원칙과 방법을 규정한 「윤리적 설계」 보고서를 발간했고 표준화를 위한 후속 작업반을 운영하고 있다. ICT 분야의 국제 표준화기구인 ISO는 11개의 연구그룹에서 AI 데이터 관리, 위험 관리 등 표준화를 진행하고 있다.

정부는 2020년 12월 '인공지능 윤리 기준'을 발표하면서, '인간성을 위한 인공지능'의 원칙과 요건을 제시했다. 지난 5월 발표된 '신뢰할 수 있는 인공지능 실현 전략'은 신제품 · 서비스의 각 구현단계에 따른 신뢰 확보 기준 제시 및 지원, 학습데이터 신뢰성 제고, 고위험 인공지능 신뢰 확보, 주체별(연구 · 개발자, 이용자 등) 체크리스트 마련 등의 계획을 담았다.

부처별로 AI 가이드라인 발표

개별 정부부처는 해당 분야의 AI 가이드라인을 발표하고 있다. 개인정보보호위원회는 올해 6월 AI 서비스 시 발생할 수 있는 개인정보 침해를 예방하기 위한 자율점검표를 발표했으며, 방송통신위원회는 AI 기반 미디어 추천 서비스의 이용자 보호 기본원칙을 발표했다. 금융위원회는 올해 7월 금융 분야 AI 시스템의 신뢰성을 높이기 위한 가이드라인을 발표했다.

제21대 국회 발의 법안 중 알고리즘 공개 법안은 주로 온라인 플랫폼과 언론매체로 하여금 기사 배열, 콘텐츠 노출 등의 기준을 공개하도록 하고 있으며, AI 이용 사실을 이용자에게 사전고지하고 이용자의 요청이 있는 경우 설명의무를 부과하는 법안도 발의됐다.

성급한 규제에 대한 우려가 있지만, AI 기술의 내재적 불확실성 · 불투명성과 그에 대한 불안으로 인하여 머지않은 시기에 AI 규제가 입법화될 가능성이 있으며, 현재 마련되고 있는 가이드라인이 사실상의 강제력을 가질 수 있어 사전 대비가 필요하다. 최근 논의를 고려하여 기업은 아래 사항을 추진할 필요가 있다.

첫째, 개인정보 보호 및 프라이버시 강화가 필요하다. 최신 AI 기술은 대규모 데이터 기계학습에 기반하는데, 학습데이터에 개인정보와 민감한 사생활 정보가 포함될 경우 유출 가능성이 있어 주의가 필요하다. 특히 SNS 대화 등 비정형 데이터의 비식별 처리가 요구된다.

둘째, 투명성 확보가 필요하다. 기업은 이용자에게 AI 활용 사실을 고지하고 AI에 의한 의사결정 시 그 기준을 공개하거나 설명할 수 있어야 한다. 다만, 과도한 알고리즘 공개로 영업비밀이 노출되거나 이를 악용하는 어뷰징(abusing) 위험이 있어 적절한 균형점을 찾을 필요가 있다.

공정성 기준 설정, 준수해야

셋째, 공정성 기준을 설정하고 준수해야 한다. 통일된 공정성 평가지표가 있지 않으므로 기업 스스로 기준을 설정하고 평가방법을 고안할 필요가 있다. 공정성 확보를 위해 차별 · 편향이 담긴 데이터를 학습데이터에서 제거하더라도 유사한 다른 간접정보(proxy)로써 차별 · 편향된 결과가 나올 수 있어 결과의 공정성도 점검할 필요가 있다.

넷째, 거버넌스 구축이다. 기업 자체적으로 위와 같은 일련의 기준과 절차를 수립하고 준수 여부를 점검할 수 있는 체계를 마련할 필요가 있다. 생명윤리 분야에서 의무화된 기관생명윤리위원회(IRB)와 같은 체계가 추후 도입될 수도 있을 것으로 보인다.

그 밖에 AI 기술의 동적 특성을 고려하여 지속적으로 모니터링하고 오류 여부 및 성능개선 필요성을 확인할 필요가 있으며, 이용자가 AI의 의사결정에 이의신청할 수 있는 방안도 제공할 필요가 있다.

AI 기술은 강력하고 매력적인 도구이지만 오류 가능성과 악용 우려가 있어 세심한 주의가 필요하다. 기술 발전을 저해하지 않으면서 안전하게 활용할 수 있도록 정책과 입법을 추진할 필요가 있으며, 고객의 신뢰를 확보하기 위해 기업의 노력이 필요하다. ESG(환경 · 사회 · 지배구조) 관점에서 올바른 AI의 개발과 활용은 사회적 의미가 있다.

신용우 변호사(법무법인 지평, ywshin@jipyong.com)