유럽 연합(EU)의 획기적인 인공지능 애플리케이션 위험 기반 규제인 <EU AI Act> 전문이 역내에 공포되었습니다. 본 법은 20일 후인 8월 1일에 효력이 발생하며, 24개월 후인 2026년 중반경에야 AI 개발자들에게 전반적으로 전면 적용됩니다. 그러나 이 법은 EU의 인공지능 규범을 단계적으로 적용하는 방식을 취하고 있어, 지금부터 완전히 적용되기까지, 그리고 그 이후까지 다양한 중요한 기한들이 존재합니다. 이는 각기 다른 법적 조항들이 순차적으로 발효되기 때문입니다.
EU 의원들은 작년 12월에 역내 최초의 포괄적인 인공지능 규범에 대한 정치적 합의를 달성했습니다.
이 규범은 사용 사례와 인지된 위험 수준에 따라 AI 개발자에게 서로 다른 의무를 부과합니다. 대부분의 AI 사용 사례는 위험도가 낮다고 간주되어 규제 대상에서 제외되지만, 일부 잠재적인 AI 사용 사례는 법에 의해 금지됩니다.
생체 인식 활용, 법 집행, 고용, 교육, 핵심 인프라 등 소위 "고위험(high risk)" 사용 사례는 법상 허용되지만, 이러한 앱을 개발하는 개발자는 데이터 품질 관리나 편향 방지(anti-bias)와 같은 영역에서 의무를 부담하게 됩니다.
세 번째 위험 등급은 AI 챗봇과 같은 도구를 제작하는 이들에게는 상대적으로 완화된 수준의 투명성 요구 사항을 적용합니다.
OpenAI의 GPT와 같은 일반 목적 인공지능(GPAI) 모델 제작사 역시 일부 투명성 요구 사항을 준수해야 합니다. 특히 컴퓨팅 임계치를 기준으로 설정되는 가장 강력한 GPAI 모델은 시스템적 위험 평가(systemic risk assessment)까지 의무적으로 수행해야 할 수 있습니다.
일부 AI 산업 주체들로 구성된 단체는 몇몇 회원국 정부의 지지를 등에 업고, 이 법이 유럽이 미국이나 중국 경쟁자들과 겨루기 위한 자국 AI 거대 기업의 성장을 저해할 수 있다는 우려를 제기하며 GPAI에 대한 의무를 완화시키려 시도해 왔습니다.
단계적 이행 일정
가장 먼저, AI 금지 사용 목록이 법 발효 후 6개월이 경과한 2025년 초부터 적용됩니다.
조만간 불법이 될 AI의 금지(혹은 "용납할 수 없는 위험") 사용 사례에는 중국식 사회 신용 점수제, 인터넷이나 CCTV를 무분별하게 스크래핑하여 안면 인식 데이터베이스를 구축하는 행위, 그리고 실종자나 유괴 피해자 수색 등 몇 가지 예외 상황을 제외하고 공공장소에서 법 집행 기관이 실시간 원격 생체 인식을 사용하는 것이 포함됩니다.
다음으로, 법 시행일로부터 9개월 후인 2025년 4월경에는 적용 범위 내 AI 앱 개발자들에게 행동 강령(codes of practice)이 적용됩니다.
법에 의해 설립된 생태계 구축 및 감독 기구인 EU AI Office가 이러한 행동 강령을 제공할 책임이 있지만, 누가 실제로 가이드라인을 작성할지에 대해서는 여전히 의문이 제기되고 있습니다.
이달 초에 발표된 보고서에 따르면, EU는 행동 강령 작성을 위한 컨설팅 회사들을 물색해 왔으며, 이로 인해 AI 업계 관계자들이 자신들에게 적용될 규칙의 형태에 영향을 미칠 수 있다는 시민 사회의 우려가 커졌습니다. 최근 MLex 보도에 따르면, AI Office는 유럽의원(MEPs)의 압력으로 과정의 포용성을 확보하기 위해, 일반 목적 AI 모델의 행동 강령을 작성할 이해관계자를 선정하는 관심 표명(call for expression of interest)을 시작할 예정입니다.
또 다른 주요 마감일은 법 시행일로부터 12개월 후인 2025년 8월 1일로, 이 시점에 투명성 요건을 준수해야 하는 GPAI에 대한 법률 규정이 발효됩니다.
고위험 AI 시스템 중 일부는 가장 관대한 준수 기한을 받았습니다. 이들은 법 발효일로부터 36개월, 즉 2027년까지 의무를 이행할 수 있습니다. 나머지 고위험 시스템들은 24개월 이후에 의무를 준수해야 합니다.