[안광섭의 AI 진테제] AI시대 디딤돌과 걸림돌
지난 4월 7일, 일본 내각이 개인정보보호법(APPI) 개정안을 승인했다. AI 개발을 위해 개인정보를 제3자에게 제공하거나 민감정보를 수집할 때 개인의 사전 동의를 면제하는 내용이 핵심이다. 단, 데이터가 통계 처리나 AI 모델 학습처럼 개인을 특정할 수 없는 형태로만 사용될 때에 한한다. 마쓰모토 히사시 디지털 담당 장관은 현행법이 AI 개발과 활용에 매우 큰 장애물이라고 못 박았다. 법을 고치지 않으면 일본이 AI 경쟁에서 뒤처진다는 위기감이 입법으로 직결된 셈이다. 일본의 이 같은 움직임은 이번이 처음은 아니다. 이미 2018년 저작권법 제30조의4를 개정해 'AI 학습 목적의 저작물 이용'을 상업·비상업 구분 없이 폭넓게 허용한 바 있다. 당시에도 저작권자 단체의 거센 반발이 있었지만, 아베 정부는 4차 산업혁명 대비를 명분으로 밀어붙였다. 2025년 5월에는 AI 촉진법(AI Promotion Act)을 제정했고, 올해 4월 이번 개인정보보호법 개정안까지-저작권, AI 거버넌스, 개인정보 세 영역을 일관된 방향으로 정비해 온 것이다. 법률이 데이터의 흐름을 설계하고 있는 구조다. 이 뉴스를 접하면서 필자가 주목한 것은 일본 APPI 개정안 자체보다, 바로 며칠 전 국내에서 벌어진 일련의 사건들과의 대비다. 하룻밤의 에너지, 그리고 백 번째 수동 검색 지난 4월 7일, 오마이뉴스에 흥미로운 기사가 실렸다. 개발자 박정환 씨가 하룻밤 만에 대한민국 법령 6907건, 개정 이력 8만1538건을 깃(Git, 소프트웨어 버전관리 시스템) 저장소에 올린 이야기다. 법령이 깃에 올라가면 무엇이 달라지는가. 민법이 언제 어떻게 바뀌었는지를 명령어 한 줄로 추적할 수 있고, 특정 시점의 법률 상태를 즉시 복원할 수 있으며, 6907개 법령 전체를 대상으로 키워드 검색을 할 수 있다. 무엇보다 법령 전체가 AI가 읽을 수 있는 마크다운(Markdown) 텍스트로 구조화돼 있어, AI 기반 법령 질의응답 시스템을 구축하기가 훨씬 쉬워진다. 더 인상적인 것은 광진구청 류승인 주무관의 사례다. 경영학과 출신인 류 주무관은 법제처 데이터 17만 건을 AI가 직접 호출할 수 있는 MCP(Model Context Protocol, AI가 외부 도구와 데이터를 표준화된 방식으로 연결하는 프로토콜) 서버로 만들어 공개했다. 64개의 구조화된 도구로 감싸서, 어떤 AI 모델이든 법률·시행령·행정규칙·판례를 한 번에 검색하고 맥락을 연결해 가져올 수 있게 한 것이다. 류 주무관은 이 프로젝트를 소개하면서 "법제처를 백 번째 수동 검색하다 지친 공무원이 만든 것"이라고 했다. 코딩 전공자가 아닌 공무원이, AI의 도움을 받아 이 작업을 해냈다. 노마다마스라는 개발자가 만든 'K-스킬' 프로젝트도 같은 맥락이다. SRT 예매, 서울 지하철 실시간 도착정보, KBO 경기 결과, 한글(HWP) 문서 변환 같은 한국에서만 필요한 기능들을 AI가 쓸 수 있도록 모아놓은 오픈소스 스킬 모음집이다. 챗PT든 클로드든 제미나이든, 외국에서 만든 AI가 한국 생활을 이해할 수 없는 부분을 채워주는 일종의 '한국 생활력 교육'이다. 정부24 등본 발급, 홈택스 세금 신고, 카카오T 택시 호출까지 로드맵에 올라와 있다. 이 세 가지 사례의 공통점은 명확하다. 모두 AI 시대에 필요한 인프라를 개인이 자발적으로 만들어내고 있다는 것이다. 그리고 그 에너지의 원천은 '답답함'이다. 법제처 검색이 답답하니까, 공공 서비스가 AI와 연결되지 않으니까, 한국형 데이터가 AI에 없으니까, 스스로 만들었다. 한국이 잘하고 있는 것들 여기서 짚어야 할 것이 있다. 한국의 공공데이터 생태계가 형편없다는 뜻이 아니라는 점이다. 오히려 한국은 공공데이터 개방에서 세계적으로 앞서 있는 나라다. OECD 공공데이터 평가에서 2015년부터 4회 연속 세계 1위를 달성했고, 공공데이터포털(data.go.kr)에는 10만 개 이상 데이터셋이 오픈(Open) API 형태로 공개돼 있다. 국가법령정보센터가 API를 열어두고 있기 때문에 박정환 씨의 프로젝트가, 류승인 주무관의 MCP 서버가 가능했던 것이다. 올해 1월 22일에는 우리나라에서도 인공지능기본법이 시행됐다. EU AI Act에 이어 세계 두 번째로 포괄적 AI 법률을 마련, 처음으로 시행한 것으로 고영향 AI와 생성형 AI에 대한 투명성·안전성 의무를 규정하고, 대통령 직속 국가인공지능위원회의 법적 근거를 마련했다. 2026년 정부 AI 예산은 10조 1000억 원으로 전년(3조 3000억 원) 대비 3배 이상 증가했다. 개인정보보호위원회도 'AI 프라이버시팀'을 신설하고, 생성형 AI 개발·활용을 위한 개인정보 처리 안내서를 발간했으며, 가명정보 처리 기준 합리화와 '개인정보 이노베이션존' 구축에 나서고 있다. 한마디로, 에너지도 있고 기반도 있다. 부족한 것은 다른 곳에 있다. 법률과 안내서 사이 간극 일본 APPI 개정안의 핵심 설계를 다시 보자. 주목할 것은 단순한 '규제 완화'가 아니라 '규제 완화+처벌 강화'의 동시 패키지라는 점이다. 데이터를 AI 학습에 쓸 수 있도록 동의 요건을 완화하면서, 동시에 데이터를 부정 취득하거나 악의적으로 사용한 기업에는 부당이득 상당의 과징금을 신설했다. 16세 미만 아동의 안면 데이터 수집에는 부모 동의와 '최선의 이익(best interests)' 심사를 의무화했다. 풀 것은 과감히 풀되, 악용에는 실질적 이빨을 갖추었다. 그리고 이 모든 것이 '법률' 수준에서 이뤄졌다. 한국의 현재 상황과 비교하면, 가장 큰 차이는 바로 이 '수준'에 있다. 한국에서 AI 학습을 위한 개인정보 활용은 개인정보보호법 본문이 아니라 '안내서', '가이드라인', '사전적정성 검토'의 영역에서 다뤄지고 있다. 개인정보보호법에 AI 학습 데이터 활용 특례를 신설하는 법안이 여러 건 발의되어 있지만, 본격적 심의에 이르지 못한 채 그 사이를 행정 해석이 메우고 있는 형국이다. 안내서와 법률의 차이는 격식의 차이가 아니다. 법률은 기업에 예측 가능성을 준다. "이 조건을 충족하면 동의 없이 데이터를 사용할 수 있다"는 명확한 근거가 법에 있으면, 기업은 투자와 개발에 나설 수 있다. 안내서는 해석의 여지를 남긴다. 담당자가 바뀌면 해석도 바뀔 수 있고, 사후에 위반으로 판정될 리스크를 기업이 온전히 떠안아야 한다. 20년간 GTM(Go To Market) 전략을 수립해 온 필자의 경험상, 기업이 신기술 도입을 주저하는 가장 큰 이유는 기술의 미성숙이 아니라 규제의 불확실성이다. "해도 되는 건지 안 되는 건지 모르겠다"는 상태가 가장 치명적이다. 저작권 영역도 마찬가지다. 일본이 2018년 저작권법 제30조의4로 AI 학습 목적의 저작물 이용을 명시적으로 허용한 반면, 한국은 아직 텍스트·데이터마이닝(TDM) 면책 규정이 저작권법에 도입되지 않았다. 포괄적 공정이용 조항(제35조의5)의 해석에 맡겨져 있을 뿐이다. 한 인터넷기업 법무팀 임원이 수많은 원저작자에게 개별 허가를 받는 것은 사실상 불가능하고, 최악의 경우 형사처벌까지 받을 수 있어 연구를 시도하지 못한다고 토로한 바 있는데, 이 상황이 수년째 근본적으로 달라지지 않았다. 규제 선행론이 놓치는 것 필자가 우려하는 것은 한국 정부 전체의 방향이 아니다. 인공지능기본법 제정, 공공데이터 개방 성과, AI 예산 대폭 증액-이 모든 것은 올바른 방향이다. 문제는 이 흐름과 별개로, 몇몇 영역에서 '일단 규제부터' 만들자는 움직임이 현장의 에너지를 꺾을 수 있다는 점이다. AI 기술은 아직 가능성의 영역에 있다. 어디까지 할 수 있는지, 어떤 문제가 실제로 발생하는지를 충분히 경험하기 전에 촘촘한 규제를 먼저 세우면, 결과적으로 시도 자체를 억제하게 된다. 류승인 주무관이 법제처 MCP 서버를 만들 수 있었던 것은, 공공데이터 API가 열려 있었고, 그것을 활용하는 데 별도의 허가나 심의가 필요 없었기 때문이다. 만약 "공공데이터를 AI에 연결하려면 사전 영향 평가를 받아야 한다"는 규정이 먼저 생겼다면, 그는 여전히 법제처를 수동 검색하고 있었을 것이다. 일본의 접근에서 배울 것은 '규제 해제'가 아니다. '규제의 순서'다. 일본은 먼저 데이터를 풀고(저작권법 2018, 개인정보보호법 2026), 악용에 대한 처벌을 동시에 강화하는 구조를 선택했다. 가능성을 열어주되, 잘못에는 확실한 책임을 묻는 방식이다. EU가 AI Act로 사전 규제를 촘촘히 세운 것과는 의도적으로 다른 경로를 택한 것이다. 한국의 인공지능기본법도 EU보다는 '산업 진흥'에 무게를 두고 설계됐다. 이 방향 자체는 올바르다. 그러나 하위 법령과 가이드라인이 구체화되는 과정에서, 실무 현장의 불확실성을 줄여주는 쪽이 아니라 의무와 심사를 추가하는 쪽으로만 흘러간다면, 법의 취지와 실행 사이에 괴리가 벌어질 수 있다. 가속화를 위한 세 가지 필자가 보기에, 한국이 AI 시대를 가속화하기 위해 지금 가장 필요한 것은 세 가지다. 첫째, 공공데이터의 AI 친화적 공개를 표준으로 삼는 것이다. 국가법령정보센터가 API를 열어둔 것은 좋은 출발이었지만, 데이터가 처음부터 마크다운, JSON((Javascript Object Notation), CSV(Comma-Separated Values) 같은 표준 형식으로 공개됐다면 박정환 씨가 하룻밤을 쓸 이유가 없었다. 모든 공공데이터를 AI가 바로 읽을 수 있는 형태로 제공하고, 주요 공공 서비스에 MCP를 붙이는 것, 이것만으로도 민간의 자발적 에너지가 폭발적으로 확산될 수 있다. 둘째, AI 학습을 위한 데이터 활용의 법적 근거를 '안내서'가 아니라 '법률'로 명확히 하는 것이다. 개인정보 활용 특례든, 저작권법의 TDM(Text and Data Mining) 면책 조항이든, 기업과 개발자가 "이것은 해도 되는 것"이라고 확신할 수 있는 법적 근거가 필요하다. 일본처럼 '완화+처벌 강화' 패키지로 설계하면, 프라이버시 보호와 혁신 촉진 사이의 균형점을 법률 수준에서 잡을 수 있다. 셋째, 규제의 순서를 '사전 허가'에서 '사후 책임'으로 전환하는 것이다. 현장에서 먼저 시도하고, 문제가 발생하면 확실히 책임을 묻는 구조가, 시도 자체를 사전에 심사하는 구조보다 혁신에 유리하다. 인공지능기본법이 과태료 계도 기간을 1년 이상 두기로 한 것은 이 방향의 좋은 신호다. 이 정신이 하위 법령과 가이드라인 전반으로 확산돼야 한다. 현장의 에너지를 믿어야 할 때 일본의 APPI 개정을 무비판적으로 받아들이자는 것이 아니다. 옵트아웃(opt-out, 사후 거부) 기회를 의무화하지 않은 것은 프라이버시 관점에서 정당한 우려가 있으며, 야당과 시민단체의 반발도 예상된다. 한국이 일본과 같은 방식을 그대로 따를 필요도 없다. 그러나 한 가지는 분명하다. 광진구청의 류승인 주무관, 개발자 박정환 씨, K-스킬의 노마다마스-이들이 보여준 것은 한국에 이미 AI 시대를 가속화할 에너지가 넘친다는 것이다. 공무원이 답답해서 직접 MCP를 만들고, 개발자가 하룻밤을 써서 법령 전체를 AI 친화적 형태로 전환하고, 비전공자가 AI와 협업해 한국형 스킬을 오픈소스로 공유한다. 이 에너지는 규제가 만들어낸 것이 아니다. 공공데이터가 열려 있었고, 이를 활용하는 데 장벽이 낮았기 때문에 자연스럽게 분출된 것이다. 정부가 할 일은 이 에너지에 법적 기반을 깔아주는 것이다. 규제로 방향을 통제하려 하는 것이 아니라, 법률로 예측 가능성을 주고, 데이터를 표준 형식으로 열어주고, 악용에만 확실한 책임을 묻는 것. 일본이 법을 고치는 데 반해 그 속도로 한국이 안내서만 만들고 있다면 아쉬운 일이지만, 한국의 현장이 보여주는 에너지를 감안하면 제도적 뒷받침만 갖춰지 순간 가속은 충분히 가능하다. 대한민국이 세계 최고의 AI 생태계를 가지는 것이 꿈이 아닌 이유는, 기술이 준비돼서가 아니라 사람이 이미 움직이고 있기 때문이다. ◆필자 안광섭은..... 세종대학교 경영학과 교수이자 OBF(Oswarld Boutique Consulting Firm) 리드 컨설턴트다. 대학에서 경영데이터 관리, 비즈니스 애널리틱스 등 데이터 분석을 가르치는 한편, 현장에서는 GTM 전략과 인공지능 전략 컨설팅을 이끌며 기술과 비즈니스의 접점을 설계하고 있다. AI 대화 시스템의 기억 아키텍처(HEMA) 연구로 학술 논문을 발표했으며, 매일 글로벌 AI 논문을 큐레이션하는 Daily Arxiv 프로젝트를 운영하고 있다. 고려대학교 KBMA 기술경영전문대 석사과정을 졸업했다. 저술한 책으로 '생각을 맡기는 사람들: 호모 브레인리스'가 있다.
