AI 규제의 시대가 도래했다. 경영진들은 종종 규제를 제약과 동일시하곤 하는데 그럴 법도 하다. 규제를 준수하지 않으면 심각한 결과를 초래할 수 있기 때문이다. 예를 들어 메타(Meta)는 EU-US 데이터 전송 규정 위반으로 13억 달러 벌금을 부과받기도 했다. 하지만 실상은 훨씬 더 복잡 미묘하다. AI 규제는 정부 관계자뿐 아니라 업계 리더, LLM 개발업체들에게도 점점 더 시급하게 필요하다고 인식되고 있다. 이들은 모두 생성형 AI의 진화와 미래 AI 도구의 안전성에 대해 우려를 표하고 있다.
전 세계 규제 당국들은 이미 관련 노력 추진에 열심이다. EU의 AI 법(AI Act)은 협상 막바지 단계에 돌입하고 있으며, 많은 이들이 데이터 보호에 있어 GDPR이 그랬던 것처럼 이 법이 AI 규제에 있어 글로벌 표준이 될 수 있을 것으로 기대한다. 미국에서는 연방거래위원회(Federal Trade Commission)가 공정성, 평등성, 정의에 대한 핵심 원칙을 추진할 것을 약속했으며 중국 규제 당국들은 생성형 AI 챗봇 관리를 위한 제안서를 제출했다.
이 중요한 순간에 AI 변혁을 추진 중인 기업들은 기존 그리고 새로운 규제를 깊이 있게 이해해야 규정을 제대로 준수하고 데이터 기반 대화를 통해 규제 당국들과 생산적으로 협력할 수 있다. 이런 협력은 서로에게 도움이 되고 기술적으로 실현 가능한 규제를 개발할 기회이며, 효과적인 안전장치를 제공하는 동시에 기업들이 실험하고 혁신할 수 있는 여지를 만들어 준다.
경영진은 4가지 조치를 시행하는 것부터 시작할 수 있다. 통합 규제 프레임워크를 구축하고, 국가 간 모순되는 규제를 관리하며, 샌드박스 및 인센티브 프로그램에 참여하고, 내부 전문지식을 개발하고 규제 당국과 공유하는 것이다.
단일 프레임워크로 규제 통합
EU는 현재 디지털 및 데이터 규제의 폭과 깊이에 있어 세계적인 선두 주자로 AI를 도입하는 기업들은 복잡성에 직면하고 있다. EU의 AI 법은 단독으로만 존재하는 것이 아니라 곧 시행 예정인 데이터 법안(Data Act), 데이터 거버넌스 법안(Data Governance Act), 디지털 서비스 법(Digital Services Act), 디지털 시장법(Digital Markets Act) 등이 포함된 규제 포트폴리오의 일부가 될 것이다. 이 법들은 서로 중복되는 부분이 있기도 하고 참조가 되기도 한다.
이 방대한 규제 포트폴리오에 접근해 법안들이 제공하는 기회를 유리하게 활용하기 위해 기업들은 EU의 규제 프레임워크를 총체적으로 바라보고, 공통점과 (호환 가능한) 차이점을 파악한 후 준수할 수 있는 전체적인 프레임워크를 만들어야 한다. 다시 말해서 이 프레임워크를 모든 규제를 망라하는 지배 구조와 통합 프로세스 목록이 포함된 통합된 스택으로 접근해야 한다. 기업이 새로운 AI 중심 제품이나 서비스를 출시하고자 한다면 일일이 수천 개의 법조문을 찾아보는 대신 자동화가 가능하다면 이를 이용해 목록을 검토할 수 있다.
기업들은 EU의 규제 프레임워크를 총체적으로 바라보고 공통점과 (호환 가능한) 차이점을 파악한 후, 준수할 수 있는 전체적인 프레임워크를 만들어야 한다.
고객 관계 매니저와 재무 어드바이저의 데이터 입력 소요 시간을 최소화하기 위해 생성형 AI 솔루션을 구축하고자 하는 EU 기반 은행의 경우를 생각해 보자. 이 AI 솔루션은 상호작용이 발생하기 전에 항상 관계 요약을 생성하고 고객의 상황에 따라 실시간으로 차선책과 핵심 내용을 제안할 수 있다. 이것과 가장 먼저 즉각적으로 관련되는 규제 프레임워크는 은행 상담원과 고객의 개인정보에 대한 철저한 보호를 의무화하는 GDPR이다. 이 애플리케이션의 데이터가 클라우드에 저장될 경우에 은행은 데이터 전송법도 모두 준수해야 한다.
EU의 AI 법에 따라 이 솔루션의 지배 구조가 한 단계 더 나아갈 수 있다. 고객의 신용도에 대한 조언에 있어 편견과 차별이 개입될 가능성을 고려하면 ‘고위험‘ 사용 사례로 분류될 가능성이 높다. 결과적으로 이 은행은 적합성 평가를 실시하고, 시스템의 안정성을 보장하기 위한 요건을 충족하고, 투명성을 위해 공개 데이터베이스에 실행 정보를 제공해야 할 것이다. 가장 중요한 것은 은행이 기술을 출시하기 전에 EU에서 인증을 받아야 한다는 점이다.
전체적인 프레임워크를 구축하기 위해서는 큰 초기 투자가 필요하지만, 장기적으로는 시간 및 비용이 상당히 절감될 것이다. 기업은 기존 규제를 더 효과적으로 관리할 수 있을 뿐 아니라 미래의 발전에도 더 잘 대비할 수 있다. 새로운 규제나 기술이 출시되면 기업은 규정을 제대로 준수할 수 있는 방식을 결정해 업데이트된 요건을 기존의 통합된 프레임워크와 일치시킬 것이다.
프레임워크에 지역별 지사 추가
글로벌 기업들에는 많은 경우 운영을 하고 있는 모든 국가에서 규정을 모니터링하고 준수해야 한다는 과제가 추가로 주어진다. 예를 들어 이탈리아에서는 GDPR을 근거로 챗 GPT가 금지되고 있지만 GDPR을 준수하는 다른 국가들은 이런 방침을 따르지 않기 때문에 기업들은 국가별 맞춤형 정책을 수립해야 한다.
또한 다양한 지역의 규제들이 서로 상충하거나 호환되지 않는 요구사항들을 제시하는 경우가 종종 있다. 예를 들어 한 지역에서는 기업들이 고객 데이터를 삭제하기 전에 일정 기간 데이터를 저장하는 것이 의무인 반면 다른 지역에서는 고객이 언제든지 자신들의 데이터를 삭제할 수 있어야 한다고 가정해 보자. 이 경우 한 지역의 규정을 준수하는 것이 다른 지역에서는 규정을 위반하는 것이 되기 때문에 전 세계적으로 운영하는 기업에게는 복잡한 문제가 야기될 수 있다.
다양한 지역의 규제들이 서로 상충하거나 호환되지 않는 요구사항들을 제시하는 경우가 종종 있다.
이런 모순으로 인해 다양한 법적이고 윤리적인 문제가 발생할 수 있다. 예를 들어 EU의 디지털 서비스 법안(Digital Services Act)에 따르면 온라인 콘텐츠는 철저히 검토돼야 하며 온라인 플랫폼 기업에게 공유 콘텐츠에 대한 책임이 있다. 반면, 미국 통신 품위법(US Communications Decency Act)에 따르면 플랫폼 기업들은 책임에 대해 광범위한 면책이 가능해 콘텐츠를 자유롭게 조정할 수 있다.
이런 복잡성을 관리하기 위해 기업들은 지역별 규제가 상충되는 지역을 중심으로 통합 프레임워크에 지사를 추가해야 한다. 하지만 지역의 법이라 해도 전 세계적으로 관할권이 있을 수 있기 때문에 모든 지사는 최고 AI 윤리 책임자(Chief AI Ethics Officer)가 지휘하는 중앙화된 위원회를 통해 관리돼야 한다. 예를 들어 중국의 개인정보보호법(Personal Information Protection Law)은 회사의 소재지와 상관없이 중국에서 사람들에게 재화나 서비스를 판매하거나 관련된 개인의 데이터를 취급하는 모든 기업에 적용된다.
정부 인센티브를 이용해 혁신 추진
영국, 노르웨이, 프랑스 등 여러 나라의 규제 당국들은 데이터 보호 정책(GDPR 등) 내에서 혁신을 추진하기 위해 규제 샌드박스를 중점으로 한 프로그램들을 시범운영하고 있다. 이처럼 정부가 설립한 디지털 공간 내에서 기업들은 ‘안전한‘ 환경에서 실험하고 고유한 데이터에 접근할 수 있다.
이 데이터 보안 샌드박스와 유사하게 EU의 AI 법은 기업들이 새로운 규제와 그 적용 방법에 대해 배울 수 있도록 규제 샌드박스를 마련할 것이다. AI 변혁의 과정에 있는 기업들은 지금부터 이 기회를 활용해 혁신을 강화하고 규정을 확실히 준수해야 한다.
또한 기업들은 인센티브 프로그램을 통해 정부와 협력함으로써 실험하고, 혁신하며, 성장을 촉진할 수 있다. 예를 들어 인도의 한 은행 컨소시엄은 정부와 협력해 통합결제 인터페이스(Unified Payments Interface)의 표준 접근 방식을 수립했다. 정부는 거래 수수료 인하와 같은 재무 인센티브를 제공하고 중앙은행은 상호운용성을 촉진하는 프레임워크를 구축했다. 인도는 활발한 기술 생태계가 발전한 결과로 현재 전 세계의 모든 디지털 결제거래의 약 40%를 담당하고 있으며 글로벌 핀테크 기업들은 운영 범위를 확대하기 위해 인도의 플랫폼을 채택하고 있다.
유럽에서는 규제 당국이 결제 서비스 지침(Payment Services Directive)을 수정해 보안대책을 개선하고 결제 시장을 서드파티 결제 서비스 제공 업체들에 개방했다. 이 새로운 기업들이 추가되면서 결제 생태계 전반에 혁신이 확대돼 두 자릿수 성장을 이끌었다.
전문지식 공유를 통해 규제 당국의 혁신 지원
최근 6개국에서 600여 명의 업계 종사자들을 대상으로 한 BCG 설문조사에서 61%가 AI 관련 필수 규제가 부족하다고 답했다. 많은 기존 기업이 자체적으로 윤리적 AI 지침을 연구하는데 상당한 투자를 하고 있으며 AI 제품과 전략이 윤리적 AI 원칙을 준수하도록 검토 위원회를 마련하고 있다.
앞으로 기업들은 이 노력에 더욱 박차를 가해야 한다. 기술 전문지식, 실질적인 인사이트, 위험평가 내용 등을 규제 당국과 공유해야 한다. AI는 기술적으로 복잡하고 빠르게 발전하는 분야이다. AI 솔루션을 개발하고 구현하는 기업들은 이 기술의 미세한 차이와 한계점에 대해 고유한 인사이트가 있다. 또한 다양한 구현 전략의 비용과 혜택에 대해 실질적인 이해도 하고 있다. 이런 전문지식은 혁신을 촉진하고 사회적 우려를 해소하는 것 사이에서 균형을 잡으려는 규제 당국에 매우 중요하다.
예를 들어 영국 규제 당국은 2023년 3월 AI의 혁신적이고 안전한 사용을 촉진하기 위한 원칙을 설명하는 백서를 발간하면서 정부 주도 플랫폼을 통해 기업, 개인 사용자, 학계 전문가들이 의견을 공유할 수 있도록 초청했다. 규제 당국은 앞으로 수개월 동안 위험평가 템플릿 등 관련 도구와 자원을 준비하면서 이 피드백을 고려하고 반영할 계획이다. 그 목표는 결국 균형 잡힌, 미래를 대비한, 혁신 지향적인 규제 프레임워크를 구축하는 것이다.
——————————
경영진은 새롭고 다가올 AI 정책을 역함수(forcing function)로 받아들여야 한다. 변화하는 환경으로 인해 기업들은 더욱 통합되고 일관된 규제 프레임워크 접근법을 수립하고, 샌드박스 내에서 실험하고 혁신하며, 규제 당국과 선제적이고 생산적인 대화를 추진함으로써 규제 당국이 감독하는 기술에 제대로 대비할 수 있다. 이를 적극적으로 수용하는 CEO들에게 오늘날의 다양한 규제 관련 움직임들은 큰 기회가 될 것이다.
