Gen AI로 인해 법적 조치의 비용이 감소하고 있음 — 기업들은 준비해야 함

• AI로 인해 고객, 직원, 경쟁자, 규제 기관이 더 쉽고 저렴하게 법적 조치를 취할 수 있게 되었음
• 미래의 법적 위험은 인터넷 피싱 공격과 유사한 법적 조사 형태로 발생하며, 개인적이기 보다는 대량으로 제작되어 여러 행위자에 의해 개시될 것임
• 조직화되면 DDoS 공격과 같이 트래픽 유입으로 타겟을 무력화시키는 방식으로 진행될 수 있음
• 기업들은 사이버보안의 대응책을 참고하여, 취약점 파악, 영향 분석, 위험 완화 조치, 이해관계자 소통 전략 등을 신속히 수립해야 함

법률 서비스의 혁신적 변화 가능성

• 작년 미국 재무부는 탈세 방지를 위해 암호화폐 정보공개를 확대하는 법안을 제안함
• 암호화폐 업계는 의무사항이 너무 광범위하다며 강력히 반발함
• 탈중앙화금융 산업에 법률 지원을 제공하는 "LexPunk Army"라는 개발자/변호사 커뮤니티가 규칙안에 누구나 의견을 제출할 수 있는 AI 봇을 공개함
• 이 봇 덕분에 올바른 형식으로 쉽게 의견 제출이 가능해졌고, 대량 의견 제출로 재무부의 조치가 지연되었으며, 향후 법적 이의제기의 토대가 마련됨
• 보통 새 규제에 대한 의견 수는 약 3건정도 지만, 이 규칙안에는 12만 건이 제출됨
• 최종 규칙은 크게 완화되었고, 블록체인협회는 이를 두고 업계와 커뮤니티의 강력한 목소리가 반영된 결과라고 평함
• 이것이 기술과 법에 정통한 작은 집단의 일회성 승리에 그칠지, 아니면 개인과 기업의 법률 활용 방식에 광범위한 혼란을 초래할지에 대해 질문을 제기함
• 우리는 이것이 후자라고 믿으며, 이는 기술이 법률 서비스와 절차를 혁신적으로 증폭시켜 정부와 기업에 기회와 도전을 동시에 제기하는 전형적 사례라고 봄

불안정한 세계 정세

• 법률의 디지털화뿐 아니라 세계 정세도 변화하고 있음
• 현재 세계는 지정학적 불안정과 법치주의 약화로 인해 법적 노출이 전반적으로 증가하는 상황임
• 기업 행동을 규율하던 전통적인 법적 장치들이 무너지고 있음
  • WTO 분쟁해결 절차는 무력화됨
  • 새로운 전쟁은 새로운 제재를 의미함
  • 각국은 독자적 규제를 도입하여 준수해야 할 복잡한 규정들이 생겨나고 있음
  • 정치인들은 전통적으로 자유롭고 공정했던 관할지에서 경쟁자를 기소하고 선거 결과에 이의를 제기하겠다고 위협함
• 이러한 혼란은 글로벌 기업에게 새로운 법적 리스크를 야기함
• 2022년 설문조사에 따르면 사내 법률 담당자의 99%가 법적 문제가 상당히 증가했고 더 복잡해졌다고 응답함
• 경쟁사, 직원, 고객, 정부 규제 기관 등 경제적, 정치적 이득을 노리는 주체로부터 법적 조치가 제기될 수 있음

법적 비용의 감소

• 기업은 연간 수억 달러의 법률 서비스 비용을 지출함
• 변호사 시간당 수천 달러를 지불하는 이들 기업은 법적 비용이 감소한다고 느끼지 못할 수 있으나, 근본적인 변화가 예상됨
• 약 10만 단어 분량의 재무부 암호화폐 규칙 제안에 대해 의견을 제출하는 사례를 살펴보면,
  • 일반인이 분당 225단어를 읽을 경우 법안을 읽는 데만 8시간이 소요됨
  • 이에 대한 응답을 작성하는 데 2시간이 더 걸릴 수 있음
  • 분석 시간은 제외하고 단순히 이해하고 응답을 작성하는 데 걸리는 시간만 고려한 것임
  • 시간당 500달러의 평균 기업 요율을 적용하면 10시간에 5,000달러가 소요됨
  • 더 비싼 변호사가 광범위한 작업을 수행할 경우 비용은 훨씬 더 커질 수 있음
• 그러나 대형 언어 모델(LLM)에 이 규칙안을 입력했더니 몇 분 만에 간결하고 이해하기 쉬운 요약본을 생성함
• LLM에게 비트코인 브로커, 비트코인 구매자 등 다양한 역할을 부여했더니 각 입장에서 왜 이 규칙에 관심을 가져야 하는지 설명하고 제출할 만한 의견을 작성해 줌
  • 이는 사실상 시간과 비용이 들지 않음
• 이런 도구가 회사를 상대로 악용된다면 어떨까?
  • 새로 진출한 시장에서 위협을 느낀 경쟁사가 AI 도구로 회사의 공개 정보를 훑어 수백 건의 저작권 침해, 지식재산권 침해, 영업비밀 도용 소송을 제기한다면?
  • 소규모 식당이나 커피숍을 운영한다면, 매장에 들어온 모든 스마트폰이 직원의 행동을 캡처해 차별 혐의로 제소하는 데 단 몇 번의 클릭으로 된다면?
  • 불만 고객이 플랫폼에서 버튼 클릭 몇 번으로 더 많은 배상금을 얻고, 합의보다 더 많은 변호사 비용을 지출하게 하는 민원을 제기한다면?
• 기업은 위법 행위를 해도 법적 대응 비용이 높아 종종 처벌을 모면함
• 직원, 고객, 경쟁사는 법적 분쟁에 시간과 비용, 주의력이 소모되기에 신중해짐
• 그러나 법적 조치가 훨씬 용이해지면 더 많은 소송이 제기될 것임
• 이는 풍부한 법률 자원과 전문성을 보유한 기업의 비대칭적 우위를 제거함으로써 경쟁의 장을 평준화함
• 경우에 따라 정의 실현에 기여하기도 하고, 부당한 공격을 조장하기도 함
• 어찌 되었든 기업에는 새로운 법적 위험의 세계를 열어줌

새로운 사이버 리스크

• 법적 위험에는 생소하지만 사이버보안 분야는 수십 년간 대량의 위험에 대처해 왔으며, 다가올 법적 조치 물결에 대응하는 데 유용한 교훈을 제공함
• 수백 개 기업이 직면한 법적 조치 유형과 그것을 생성하는 기술 엔진에 대한 데이터를 공유하거나, 취약점 공유와 감소를 위한 기술에 공동 투자한다고 상상해 보라
  • 이는 사이버보안 분야에서는 일반적임
  • CVE(Common Vulnerabilities and Exposures)부터 NVD(National Vulnerability Database)까지 정부, 기업, 학계, 버그바운티 헌터들이 정보 공유의 중요성을 깨달았음
• 그러나 CEO나 법률 책임자들이 회사의 법적 취약점과 노출을 공유하는 것이 좋은 생각이라고 여기기는 어려움
  • 변호사-고객 특권, 기밀 유지, 반독점법 위반 등을 이유로 즉각 반대할 것임
  • 이는 특정 행위자에 의한 구체적 법적 조치라는 익숙한 법적 위험 구조에 기반한 계산임
• 그러나 미래의 법적 위험은 인터넷 피싱 공격과 유사한 법적 조사 형태가 될 것임
  • 개인적이기 보다는 대량으로 제작되어 여러 행위자에 의해 개시될 것임
  • 조직화되면 DDoS 공격과 같이 트래픽 유입으로 타겟을 무력화시키는 방식으로 진행될 수 있음
  • 이는 의견 폭주로 재무부를 압도하려 한 것과 유사함
• DDoS 공격은 사소한 불편으로 치부되다가 갑자기 심각해짐
  • 서버에 대한 요청이 인터넷의 일부인 것처럼, 규칙 제안에 대한 의견 제시나 고객 불만 제기도 행정법과 소비자 권리 행사의 일부일 뿐임
  • 그러나 한꺼번에 너무 많은 요청이 쇄도하면 시스템이 마비됨
• 사이버보안 분야에서는 사이버 불안정이 범죄자와 적대세력을 제외한 모두에게 나쁘다는 인식이 기본임
  • 기업도 자신과 민감한 고객 데이터를 보호하지 못한 책임을 물을 수 있지만, 대부분의 경우 피해자로 간주됨
  • Petya(2016)와 NotPetya(2017) 공격은 동일한 취약점을 악용해 사용자 파일을 암호화했으나 목적은 달랐음
    • Petya는 범죄자가 배포한 랜섬웨어로, 비용을 지불해야 데이터를 되찾을 수 있었음
    • NotPetya는 러시아가 데이터 파괴 목적으로 유포한 것으로 추정됨
    • 두 경우 모두 Maersk와 같은 피해 기업들은 희생자로 여겨짐
• 러시아 등 국가 행위자가 기업이나 이미 과부하된 법률 시스템을 통해 유사한 공격을 법률 시스템에 가하지 않으리라고 단언할 수 있을까?
  • 북한, 러시아, 이란은 미국의 인종차별과 불평등한 사법접근성을 비난해 왔음
  • 짜증난 고객이나 경쟁사에 AI 기반 소송 서비스를 제공함으로써 미국을 당황시키고 주요 기업의 신뢰를 떨어뜨릴 수도 있음
• 랜섬 요구자들은 처벌의 위험 때문에 활동이 제한되지만, 공세적 법적 전략 추구는 합법임
  • 오히려 공격이 정의 실현과 힘의 불균형 해소를 위한 효율적 방법이라 자신을 납득시키기 쉬움
• 법적 위협이 증가하면서 누가 돈을 노리는지, 누가 공격 비용을 들이지 않고 고통스럽고 당혹스러운 증거개시 절차를 겪게 할 속셈인지 파악하기 어려워질 것임
  • 정보와 노이즈를 구분하기 어려운 상황에서 법적 위험을 걸러내는 새로운 기법이 필요해질 것임
  • AI로 AI에 맞서 싸우는 것이 자연스러운 결과일 것임

새로운 법적 방어막

• 현재 기업은 중대한 법적 위험을 이사회에서 다루며, 법적 조치와 사건이 중요성 기준을 충족할 때만 기업 리스크 레이더에 포착됨
  • 그러나 이는 미래 법적 위험에 대한 올바른 필터링 방식이 아님
• 이 새로운 현실에 대비하려면 사이버보안의 대응 방식을 참고해야 함
  • 취약점, 신종 위협과 잠재적 영향, 위험 완화 조치, 내외부 이해관계자 소통 전략 등을 신속히 파악해야 함
  • 법률 회사 DLA Piper는 기업과 함께 '법적 레드팀' 훈련을 통해 취약점을 식별함
• 우선 핵심 접근법과 전략을 수립하라
  • 법적 위험 증가에 대응하는 기술 투자를 결정할 수 있음
  • 물론 인력 투입이라는 오래된 방식, 사내 변호사 충원이나 로펌 아웃소싱도 당분간은 효과가 있을 것임
• 다음으로 기업 전략팀과 법무팀이 협력하여 현재 상황을 분석하라
  • 핵심 시장은 어디인가? 시장 점유율을 위해 수단을 가리지 않는 경쟁사는 어디인가?
  • 어떤 법제도에 노출되어 있으며, AI 기반 대량 법적 공격 시 어떻게 작동할 것인가?
  • 철수할 만한 곳은 없는가? 지금 취약성을 줄일 수 있는 완화 조치는 무엇인가?
• 세계 동향 모니터링도 중요함
  • 법적 위험에 대한 CVE 시스템은 없지만, 법률 업무 디지털화와 사법 시스템 투명화 노력 덕분에 데이터는 풍부함
  • 여기에 기존 법적 리스크 데이터를 더하면 훌륭한 출발점이 될 것임
• 위험이 식별되면 대응팀을 구성하고 대응 시스템과 프로세스를 설계하라
  • NIST CSF 2.0 등 사이버보안 모범사례 프레임워크를 검토하고 내부 사이버보안팀과 논의하라
  • 법률 책임자는 CISO가 SOC를 운영하는 방식에서 많은 것을 배울 수 있을 것임
• 협력을 환영할 외부 파트너를 물색하라
  • 업계 단체, 파트너사, 일부 정부기관 등과 함께 특정 유형의 공격에 대한 포괄적 대응책을 마련할 수 있음
  • 경솔한 지식재산권 청구 공세는 규제나 입법 지원을 위한 로비 근거가 될 수 있음
• 마지막으로 주의사항을 언급하자면, 이 위험을 과소평가하지 말 것
  • 기술 덕분에 재무부는 12만 건의 의견을 처리해야 했음
  • "법적 홍수가 닥치기 전에 준비하라"