[2023.05.26.]

지난 5월 11일 유럽연합(EU) 의회의 내부시장위원회(Internal Market Committee)와 시민자유위원회(Civil Liberties Committee)는 ‘EU 인공지능(AI) 법안’(Proposal for a Regulation on a European Approach for Artificial Intelligence)에 대한 수정안(이하 “EU 의회안”)을 발표하였습니다.

EU는 2021년 4월 EU 집행위원회에서 AI 법안의 초안을 발표하였고, 이후 2022년 12월 EU 각료 이사회에서 수정안을 발표한 바 있습니다. 이번에 EU 의회에서 발표한 수정안은 AI 법안에 대한 가장 최근까지의 논의가 포함된 것으로서, GPT 모델로 대표되는 파운데이션 모델에 대한 규제가 포함되고, AI의 정의와 고위험 AI 시스템의 목록이 변경되는 등의 변화가 있었습니다.

I. EU 의회안의 주요 변경사항

기존 EU 집행위원회에서 마련한 초안과 비교하여 EU 의회안에서 변경된 주요사항은 아래 <표 1>과 같습니다.

이하에서는 우선 EU 의회안에서 가장 큰 변화로 평가되고 있는 파운데이션 모델에 관한 조항을 살펴보고, 이어서 AI 시스템을 공급받아 활용하는 사업자들이 유의해야 할 의무사항과 불공정 계약 규제를 설명 드리겠습니다.

II. 파운데이션 모델 규제 조항 신설

1. 파운데이션 모델의 정의 및 공급자의 의무

EU 의회는 최근 급부상하고 있는 파운데이션 모델의 법적·윤리적 문제가 제기됨에 따라 관련 조항을 마련했습니다. EU 의회안은 파운데이션 모델을 기존의 AI 위험 분류에 포함시키지 않고, 파운데이션 모델의 공급자(provider)가 준수해야 할 의무 조항을 별도로 추가하였습니다.

EU 의회안에 따르면, 파운데이션 모델은 대규모 데이터에 의해 학습되고, 출력의 범용성을 고려하여 설계되었으며, 다양한 작업에 적용될 수 있는 AI 모델을 의미합니다. EU 의회안은 파운데이션 모델의 공급자에게 아래 <표 2>의 내용을 준수할 것을 요구하고 있습니다.

이에 따르면, 파운데이션 모델의 공급자는 자신으로부터 모델을 공급받아 활용하는 하위 사업자의 서비스 내용까지 고려해서 모델에 대한 기술문서와 지침을 작성하여 제공해야 합니다.

2. 생성 AI에 사용되는 파운데이션 모델의 추가 의무

GPT 모델과 디퓨전(Diffusion) 모델과 같이 문자, 이미지, 영상 등을 생성하는 AI 시스템에 사용되는 파운데이션 모델의 공급자는 위 <표 2>의 사항과 함께 추가 의무를 부담합니다. 생성 AI 파운데이션 모델의 공급자는 이용자에게 AI 시스템 활용 사실을 알려야 하고, 위법한 콘텐츠 생성을 방지할 수 있도록 모델을 설계·개발·학습해야 합니다.

최근 대량의 저작물을 저작권자의 허락 없이 학습데이터로 구축하여 학습하는 생성 AI 서비스에 대하여 저작권 침해를 다투는 다수의 소송이 제기되고 있습니다. EU 의회 AI법안은 생성 AI 서비스의 저작권 침해를 방지하기 위한 수단으로서, 생성 AI 파운데이션 모델이 저작권에 의해 보호되는 학습데이터를 이용할 경우, 이에 대한 정보를 문서화하여 공개하도록 하고 있습니다.

III. 고위험 AI 시스템 배포자에 대한 의무 강화

1. 고위험 AI 시스템 배포자의 감독 의무

AI 시스템과 관련된 위험은 시스템의 개발 단계뿐만 아니라 서비스 제공 단계에서도 구체적인 서비스 내용에 따라 발생할 수 있습니다. 이에 EU 의회안은 고위험 AI 시스템을 활용하여 서비스를 제공하는 자(이하 “고위험 AI 시스템 배포자”)에게 감독 의무를 새롭게 부과하고 있습니다.

고위험 AI 시스템 배포자는 자신이 시스템에 대하여 통제하는 범위 내에서 사람에 의한 감독이 이루어지도록 해야 합니다. 그리고 이 때 감독을 담당하는 사람은 적절한 자격을 갖춰야 합니다. 나아가 고위험 AI 시스템에 대한 정기적인 모니터링을 통하여 견고성 및 보안 수준이 적절하게 보장되도록 해야 합니다.

2. 기본권 영향평가 수행 의무

고위험 AI 시스템 배포자는 시스템을 사용하기 전에 기본권 영향평가를 수행해야 합니다. 기본권 영향평가 항목에는 고위험 AI 시스템 사용 시 예상되는 기본권에 대한 영향, 취약계층에 발생할 수 있는 위해, 인간에 의한 감독 방안을 포함한 AI 거버넌스 구축 계획 등이 포함됩니다.

기본권 영향평가 수행 시 정부 감독기관 및 이해관계자들에게 평가 사실을 통지해야 하고, 고위험 AI 시스템의 영향을 받을 수 있는 자들을 가능한 범위 내에서 영향평가 과정에 참여시켜야 합니다. 다만 이러한 의무는 중소기업에는 적용되지 않습니다.

IV. 중소기업과의 불공정계약에 대한 규제 조항 신설

EU 의회안은 중소기업(SME) 또는 스타트업(이하 “중소기업등”)에게 일방적으로 적용되는 불공정한 계약 조건을 규제하는 조항을 새롭게 추가하였습니다. 구체적으로, 고위험 AI 시스템에 이용되는 도구·서비스·구성요소의 공급에 관한 계약조건, 계약 위반 또는 종료에 대한 계약조건이 중소기업등에게 ‘일방적으로 부과’되고 그 내용이 ‘불공정’하다면, 해당 내용은 중소기업등에게 효력이 없습니다. 여기서 계약 상대방이 제시한 계약조건에 대하여 중소기업등이 협상을 시도하였지만 그 내용에 영향을 미칠 수 없었다면, 계약조건이 ‘일방적으로 부과’된 것으로 간주됩니다.

V. 시사점

EU 의회안은 6월 중순경에 EU 의회의 투표로 확정될 예정입니다. 이후 EU 의회, 집행위원회, 각료 위원회는 AI 법안의 최종안을 도출하기 위해 3자 협의 과정을 거칠 예정입니다. 그 과정에서 EU 의회안의 내용도 조정될 것으로 보입니다.

EU 의회안은 아직 최종 입법안이 아니지만 최근 전 세계적으로 많은 논의가 이루어지고 있는 파운데이션 모델 규제에 관한 내용을 신설했다는 점과 2021년 초안의 규제 내용을 발전하는 AI 생태계에 맞춰 구체화시켰다는 점에서 의미가 있습니다. 특히 AI 시스템에 대한 규제에 머무르지 않고, AI 시스템의 공급자에서 배포자 및 최종 이용자까지 이어지는 공급망(supply chain)에서 발생할 수 있는 위험과 불공정 계약 문제를 세부적으로 다루기 시작했다는 점을 눈 여겨 볼 필요가 있습니다. EU AI 법안은 2023년 말 또는 2024년 초에 최종 입법될 것으로 예상됩니다.

김도엽 변호사 (doyeup.kim@bkl.co.kr)

마경태 변호사 (kyungtae.ma@bkl.co.kr)