- EU 내에서 “수용 불가 위험(unacceptable risk)”으로 분류되는 AI 시스템 사용이 전면 금지됨
- 2월 2일은 EU AI Act의 첫 번째 준수 마감일으로, 해당 규정은 EU 역내에서 서비스되거나 사용되는 AI 기술 모두에 적용됨
- 이를 위반할 경우 연 매출액 7%나 최대 3,500만 유로(약 3,600만 달러) 중 더 큰 금액이 벌금으로 부과될 수 있음
EU AI Act 개요
- AI 위험도를 4단계로 구분해 규제함
- 최소 위험: 예) 스팸 필터
- 제한적 위험: 예) 고객 상담용 챗봇
- 고위험: 예) 의료 판단 지원 시스템
- 수용 불가 위험: 사람들에게 물리적·정신적 피해나 차별을 초래할 우려가 큰 AI
- 수용 불가 위험으로 지정된 AI는 전면 사용 금지 대상임
- 대표적인 예시
-
사회적 점수화: 개인의 행동을 기반으로 리스크 프로파일을 생성하는 AI
-
무의식적 조작: 사람들의 결정을 은밀하게 또는 기만적으로 조작하는 AI
-
취약 계층 착취: 연령, 장애, 경제적 지위 등을 악용하는 AI
-
외모 기반 범죄 예측: 사람의 외모를 기반으로 범죄 가능성을 예측하는 AI
-
바이오메트릭 기반 특성 분석: 성적 지향 등 개인 특성을 추론하는 AI
-
공공장소 실시간 바이오메트릭 데이터 수집: 법 집행 목적의 실시간 생체 데이터 수집 AI
-
감정 추론 AI: 직장이나 학교에서 사람들의 감정을 분석하는 AI
-
얼굴 인식 데이터베이스 구축: 온라인 또는 보안 카메라에서 이미지를 수집하여 얼굴 인식 데이터베이스를 생성·확장하는 AI
사전 서약
- 2월 2일 마감일 이전에, 2024년 9월경 약 100여 개 기업이 ‘EU AI Pact’에 서명해 AI Act 시행 이전부터 규범을 자발적으로 준수하겠다고 약속함
- Amazon, Google, OpenAI 등이 참여했으나 Meta, Apple, Mistral 등은 서명하지 않았음
- Pact에 참여하지 않은 기업이라도 부적합 위험 AI 사용은 금지되는 것이 원칙임
잠재적 예외 조항
- 법 집행기관이 특정 상황(예: 유괴 피해자 수색, 긴급한 위협)에 한해 생체 인식 정보를 사용할 수 있도록 제한적 예외를 둠
- 이 경우에도, 단일 AI 시스템 결과만으로 개인에게 불리한 결정을 내릴 수 없도록 규정함
- 학교·직장 내 감정 파악 AI도 ‘의료적 목적이나 안전’ 확보 등의 정당한 이유가 있다면 제한적으로 허용 가능함
- 추가적인 가이드라인이 2025년 초 발표될 예정이나, 아직 구체적인 내용이 공개되지 않았음
향후 과제
- 실제 벌칙 부과와 본격 시행은 8월 이후로 예상됨
- 이때 각국의 “유관 기관(competent authorities)”이 정해지고, 벌금 및 집행 조치가 효력을 갖출 전망임
- 다른 규제(GDPR, NIS2, DORA 등)와의 중복 적용 가능성이 있어 기업에 혼선을 줄 수 있음
- 여러 규제가 동시에 요구하는 신고 의무나 데이터 관리 방식이 상충하지 않도록 주의가 필요함
- 기업들은 향후 발표될 표준, 가이드라인, 행동 강령 등을 참고해 체계적으로 대비해야 할 필요가 있음