EU, AI법 위반시 최대 '매출 7% 벌금'...기업들 비상
가트너(Gartner)가 발표한 'EU AI법 준비를 위한 1단계: 발견과 목록화' 보고서에 따르면, 2024년 말부터 단계적으로 시행되는 EU AI법이 기업들에게 막대한 재정적 리스크를 안길 것으로 전망된다. EU AI법의 단계별 시행 일정 공개 EU AI법은 2025년 2월부터 단계적으로 시행된다. 첫 단계로 2025년 2월부터 금지된 AI 시스템에 대한 규제가 시작되며, 2025년 8월부터는 범용 AI와 처벌 규정이 적용된다. 2026년 8월에는 대부분의 규정이 시행되고, 최종적으로 2027년 8월에는 Article 6.1과 Annex II에 해당하는 규정이 시행된다. 이러한 단계적 접근은 기업들이 충분한 준비 기간을 가질 수 있도록 설계되었다. AI 위험도별 규제 체계 상세 공개 EU AI법은 AI 시스템을 위험도에 따라 세 가지 범주로 분류한다. '금지된 AI'는 사용자의 자유의지를 침해하거나 '사회적 점수 매기기'에 사용되는 시스템으로, 법 집행 목적 등 극히 제한적인 예외를 제외하고는 전면 금지된다. '고위험 AI'는 인간에게 영향을 미치는 대부분의 AI 기술이 해당되며, 엄격한 요구사항을 준수해야 한다. '저위험 AI'는 AI 기반 추천 시스템이나 스팸 및 바이러스 필터 등이 포함되며, 재고 관리나 문서화 등 비교적 가벼운 요구사항이 적용된다. AI 도입 유형 분류와 대응 전략 가트너는 기업의 AI 도입을 네 가지 유형으로 분류했다. 첫째는 '와일드 AI'로, 직원들이 업무를 위해 공개된 AI 도구를 사용하는 경우다. 둘째는 '임베디드 AI'로, 기업이 사용하는 솔루션에 내장된 AI 기능을 의미한다. 셋째는 '하이브리드 AI'로, 기성 AI 모델과 기업 데이터를 결합한 형태이며, 마지막으로 '인하우스 AI'는 기업이 자체적으로 개발한 AI 시스템을 말한다. EU AI법의 추가 규제 요구사항 EU AI법은 특정 AI 기반 애플리케이션에 대해 위험성 평가, 투명성 의무, EU 전역 데이터베이스 등록을 요구한다. 특히 시스템적 위험을 수반하는 최고 성능의 범용 AI에는 추가적인 의무 요구사항이 적용된다. 기업들은 이러한 요구사항을 준수하기 위해 자사의 AI 시스템을 철저히 점검하고 필요한 조치를 취해야 한다. 기업의 실질적 대응 방안 가트너는 기업의 효과적인 AI 시스템 관리를 위해 구체적인 실행 방안을 제시했다. 우선 기업 아키텍처, 제3자 리스크 관리, 변경 관리, 조달 프로세스를 적절히 수정하여 새로운 AI 기능과 서비스의 도입을 지속적으로 모니터링해야 한다. 완벽한 발견보다는 점진적인 진행이 중요하며, 일반개인정보보호법(GDPR) 준수를 위해 작성된 처리활동기록(RoPA)과 개인정보영향평가(PIA)를 활용하면 발견 및 목록화 과정을 상당히 단축할 수 있다. AI 시스템 카탈로그화를 위한 구체적 행동 지침 기업들은 각 AI 시스템에 대해 상세한 정보를 수집하고 문서화해야 한다. 시스템명, 처리하는 개인정보의 종류(특히 인종, 민족, 정치적 성향, 성별, 성적 지향, 종교적 신념, 노조 가입 여부, 유전자, 생체인식, 건강 데이터 등 민감정보), 처리 목적, 관련 업무 프로세스, 벤더 정보, 개인정보 처리의 법적 근거 등을 포함해야 한다. 가트너는 데이터 중심의 접근을 권장하며, 특히 민감한 개인정보를 처리하는 인사나 마케팅 부서의 AI 시스템을 우선적으로 점검할 것을 조언했다. EU 법률 체계와의 연관성 EU AI법은 기존의 다양한 EU 법률과 연계돼 있다. 기계류 지침, 장난감 안전 지침, 의료기기 규정, 민간항공보안 규정 등 17개 이상의 EU 법률이 AI법과 직접적으로 연관되어 있다. 이러한 기존 EU 법률의 적용을 받는 AI 시스템은 대부분 고위험 AI로 분류될 가능성이 높다. 따라서 기업들은 자사의 AI 시스템이 이러한 법률과 관련이 있는지 세심하게 검토해야 한다. ■ 기사는 클로드 3.5 Sonnet과 챗GPT-4o를 활용해 작성되었습니다.
