AI 기본법 완전 해설: 고영향 인공지능과 사업자 책무
인공지능 발전과 신뢰 기반 조성 등에 관한 기본법(이하 AI 기본법)은 우리나라가 마련한 인공지능 분야의 기본 규범이다. 산업 진흥과 신뢰 확보라는 두 축을 동시에 담고 있으며, 유럽연합의 AI법이 위험 기반 규제를 전면에 내세운 것과 달리 진흥에 무게를 두면서도 고영향 영역에는 최소한의 의무를 부과하는 구조를 취한다. 인공지능을 개발·활용하는 기업이라면 자사 서비스가 규율 대상에 해당하는지, 어떤 의무를 부담하는지를 사전에 검토해야 한다.
법의 목적과 규율 체계
AI 기본법은 인공지능 산업의 건전한 발전과 국민의 권익 및 존엄성 보호를 함께 목적으로 한다. 이를 위해 국가 차원의 기본계획 수립, 인공지능위원회 설치, 연구개발·표준화·인력양성 등 진흥 시책의 근거를 두는 한편, 신뢰성 확보를 위한 사업자 의무를 규정한다. 규율의 핵심은 인공지능을 그 영향력에 따라 구분하고, 위험이 큰 영역에 상응하는 책무를 부과하는 데 있다.
법이 정의하는 인공지능은 학습·추론·판단 등 인간의 지적 능력을 전자적으로 구현한 시스템을 의미하며, 그중에서도 특별한 규율이 필요한 유형으로 고영향 인공지능과 생성형 인공지능을 별도로 정의한다. 이 두 범주는 실무상 규제 부담이 집중되는 지점이므로 개념을 정확히 이해하는 것이 중요하다.
고영향 인공지능이란
고영향 인공지능은 사람의 생명·신체의 안전이나 기본권에 중대한 영향을 미치거나 위험을 초래할 우려가 있는 영역에서 활용되는 인공지능을 말한다. 일반적으로 다음과 같은 분야가 여기에 해당한다.
- 보건·의료 및 의료기기에서 사람의 생명·건강에 영향을 주는 판단
- 원자력·에너지 등 주요 기반시설의 운용·관리
- 채용·평가 등 개인의 권리·의무에 영향을 미치는 판단
- 대출 심사, 신용 평가 등 금융 서비스 제공
- 교통·수도·전기 등 국민 생활에 필수적인 서비스
- 생체인식 정보를 분석·활용하는 시스템
- 국가·지방자치단체 등 공공영역의 의사결정 지원
자사 서비스가 위 영역에 해당한다면 단순한 정보 제공을 넘어 개인의 권리·안전에 직접 영향을 미치는지를 기준으로 고영향 여부를 판단해야 한다. 경계에 있는 경우에는 보수적으로 접근하여 신뢰성 확보 조치를 선제적으로 설계하는 것이 안전하다.
투명성 의무
AI 기본법은 이용자가 인공지능과 상호작용하고 있음을 인식할 수 있도록 하는 투명성 확보에 상당한 비중을 둔다. 실무상 특히 유의할 지점은 다음과 같다.
첫째, 고영향 인공지능 또는 이를 이용한 제품·서비스를 제공하는 사업자는 해당 서비스가 고영향 인공지능에 기반한다는 사실을 이용자에게 사전에 고지해야 한다. 둘째, 생성형 인공지능을 이용한 제품·서비스를 제공하는 사업자는 그 결과물이 인공지능에 의해 생성되었다는 사실을 이용자가 알 수 있도록 표시해야 한다. 셋째, 실제와 구분하기 어려운 가상의 결과물, 이른바 딥페이크 유형의 콘텐츠에 대해서는 인공지능으로 생성되었다는 사실을 명확히 표시할 의무가 강화된다.
이러한 표시 의무는 단순히 약관에 기재하는 것으로는 충분하지 않으며, 이용자가 결과물을 접하는 시점에 실질적으로 인식할 수 있는 방식으로 이행되어야 한다. 워터마크, 메타데이터, 화면상 라벨 등 기술적·시각적 방법을 조합하여 설계하는 것이 바람직하다.
사업자의 책무
고영향 인공지능을 개발·제공하는 사업자는 신뢰성과 안전성을 확보하기 위한 조치를 이행해야 한다. 대표적으로 위험관리 방안의 수립·운영, 인공지능이 내린 최종 결과에 대한 설명 가능성 확보 방안, 이용자 보호 방안, 사람에 의한 관리·감독 방안, 안전성·신뢰성 확보 조치를 문서화하고 관리하는 것이 요구된다. 이는 조직 내부에 인공지능 거버넌스 체계를 구축하라는 요청으로 이해할 수 있다.
또한 일정 규모 이상의 연산량을 사용하여 학습한 인공지능이나 국내에 주소·영업소가 없는 해외 사업자에 대해서는 별도의 의무가 적용될 수 있다. 특히 국내에 일정 규모 이상 이용자를 두면서 국내 주소가 없는 해외 사업자는 국내대리인을 지정하도록 하여, 규율의 실효성을 국경 너머까지 확보하려는 구조를 갖는다. 국내대리인은 투명성·안전성 의무의 이행과 관련한 창구 역할을 담당한다.
정부는 사업자의 의무 이행 여부를 확인하기 위해 필요한 경우 사실조사, 자료 제출 요구, 시정명령 등을 할 수 있으며, 의무를 위반한 사업자에게는 과태료 등의 제재가 부과될 수 있다. 다만 AI 기본법은 산업 초기 단계의 특성을 고려하여 형벌보다는 시정 중심의 접근을 취하고 있어, 규제 대응의 핵심은 사후 처벌 회피보다 사전 신뢰성 확보에 있다.
실무 대응 방향
기업이 AI 기본법에 대응하기 위해서는 다음 순서로 접근하는 것이 효율적이다. 먼저 자사가 개발 또는 활용하는 인공지능 시스템의 목록을 작성하고, 각 시스템이 고영향·생성형 범주에 해당하는지를 분류한다. 다음으로 해당 범주별로 요구되는 투명성 표시, 위험관리, 설명 가능성 확보, 이용자 보호 조치를 매핑하여 미비점을 도출한다. 이어 내부 인공지능 거버넌스 정책과 책임자를 지정하고, 개발·배포 과정에 신뢰성 검토 단계를 편입한다.
AI 기본법은 개인정보보호법, 저작권법, 제조물책임법 등 기존 법제와 중첩적으로 적용되므로, 인공지능 규제 대응은 개별 법률이 아니라 통합적 컴플라이언스 관점에서 설계해야 한다. 규제 환경이 빠르게 구체화되고 있는 만큼, 하위 법령과 가이드라인의 변화를 지속적으로 모니터링하며 내부 정책을 갱신하는 체계를 갖추는 것이 무엇보다 중요하다.