I. 배경
EU 정상회의(European Council) 및 EU 이사회(Council of the European Union)는 2024년 8월 1일 ‘EU AI Act’(유럽연합 인공지능 규제법)(이하 “AI법”)를 공식 발효하였으며, 이후 2025년 2월 2일부터는 AI법 제1조부터 제4조까지의 일반 규정[제4조의 AI 리터러시(literacy) 요건 포함] 및 AI법 제5조의 금지된 AI 활동에 관한 규정 중 일부가 실제로 적용되기 시작하였습니다.
AI법 제96조 제1항은 유럽연합 집행위원회(European Commission)(이하 “집행위”)가 AI법 이행을 위한 가이드라인을 마련할 것을 요구하고 있습니다. 이에 따라 집행위는 2025년 2월 4일 및 2월 6일 각각, 유해한 조작 및 기만, 취약성의 악용, 사회적 점수 평가(social scoring) 등 금지된 AI 활동에 관한 가이드라인(Guidelines on Prohibited AI Practices under the AI Act)과 인공지능 시스템의 정의(The guidelines on the AI system definition)에 관한 가이드라인을 발표하였습니다.
또한, 집행위는 AI 리터러시 실천 사례 상시 저장소(living repository of AI literacy practices)를 발간하였습니다. 이는 AI 시스템 제공자와 활용 기업·기관으로부터 수집한 AI 리터러시 실천 사례를 공유·축적하는 온라인 자료 플랫폼으로, AI 사용자들의 이해도와 역량을 높이고, 다양한 조직 간에 경험과 사례를 공유할 수 있도록 하며, AI 기술의 보다 책임 있고 효과적인 활용을 지원하는 것을 목적으로 합니다.
위와 같은 가이드라인은 법적 구속력은 없고, 향후 필요에 따라 개정될 수 있으며, 유럽연합 사법재판소(CJEU)의 판단에 따라 다른 해석이 제시될 가능성도 있습니다. 그럼에도 불구하고, AI법 주요 규정에 대한 해석 기준을 제공하고, 실무에서의 법적 명확성과 예측 가능성을 높이는 데 중요한 참고 자료가 될 수 있을 것으로 기대됩니다.
II. 금지된 AI 활동에 관한 가이드라인
2025년 2월 4일 발표된 본 가이드라인은 AI법 제5조에 EU 기본권(Fundamental Rights)에 대한 본질적 침해 가능성을 이유로 규정된 총 8가지 금지된 인공지능 활용 사례(AI practices)에 대한 해석과 적용 지침을 제공합니다. 금지 사례에는 (i) 유해한 조작 및 기만(harmful manipulation and deception); (ii) 취약성의 악용(exploitation of vulnerabilities); (iii) 사회적 점수화(social scoring); (iv) 개인의 범죄행위 위험 평가 및 예측(risk assessment and prediction of criminal offences); (v) 안면인식 데이터베이스 구축을 위한 무차별적 데이터 수집(untargeted scraping); (vi) 감정 인식(emotion recognition); (vii) 생체 정보 기반 분류(biometric categorization); (viii) 실시간 원격 생체 인식(real-time remote biometric identification)이 포함됩니다. 한편, 실시간 원격 생체 인식을 제외한 나머지 금지 관행들은 해당 AI 시스템의 EU 시장 내 출시(placing on the market), 서비스 개시(putting into service), 또는 사용(use) 단계에서 적용됩니다. 특히 실시간 원격 생체 인식은 공공장소 감시 목적 사용 자체가 원칙적으로 금지되며, 테러 위협 대응이나 특정 중대한 범죄 수사 등 극히 제한적 상황에서만 사법적 승인과 엄격한 비례성 요건을 충족하는 경우에 한해 예외적으로 허용됩니다.
본 가이드라인은 AI법의 적용이 제외되는 영역도 명확히 제시하고 있습니다. 국가 안보(national security), 국방 및 군사 목적(defense and military), 사법 및 법집행 협력(judicial and law enforcement cooperation with third countries), 연구개발(R&D), 비전문적 개인 사용(personal non-professional use) 등은 해당 규제 대상에 포함되지 않습니다.
유해한 조작 및 취약성의 악용과 관련된 금지 요건은 본 가이드라인에서 특히 상세하게 다루어지고 있습니다. 해당 금지 규정이 적용되기 위해서는 다음 세 가지 요건이 모두 충족되어야 합니다. 첫째, AI 시스템이 잠재적 인식에 영향을 미치는 기술(subliminal techniques)을 활용할 것, 둘째, 해당 기술이 개인 또는 집단의 행동을 실질적으로 왜곡할 목적이나 효과를 가질 것, 셋째, 그 왜곡된 행동이 해당 주체 또는 제3자에게 중대한 피해(significant harm)를 야기하거나 그럴 개연성이 있을 것입니다.
한편, 나머지 여섯 가지 금지 조항(사회적 점수화, 범죄 예측, 무차별적 데이터 수집, 감정 인식, 생체정보 기반 분류, 실시간 원격 생체 인식)은 개별적으로 요건 충족 여부를 단계적으로 심사할 필요 없이, 해당 시스템이 그러한 목적에 사용되거나 그러한 기능을 수행하는 경우 곧바로 금지 대상에 해당합니다. 이와 관련하여 가이드라인은 AI법 제5조 제1항(c)의 문언을 폭넓게 해석하고 있으며, 해당 행위가 반드시 평가·결정으로 귀결될 필요는 없고, 공공·민간·산업 등 다양한 맥락에서 이루어질 수 있으며, 사용되는 정보는 명시적 특성뿐 아니라 추론되거나 예측 가능한 개인정보도 포함될 수 있음을 강조합니다.
본 가이드라인은 유럽연합 집행위원회(European Commission)가 발표한 최초의 공식 해석 문서로, AI법 시행 및 해석에 대한 실무적 기준을 제시합니다. 다만, 이를 준수한다고 하여 개인정보보호법(GDPR), 소비자보호법 등 기타 중복 적용되는 법령상의 준수 의무가 면제되는 것은 아니라는 점도 분명히 하고 있습니다.
III. 인공지능 리터러시(Literacy)에 대한 실천 사례 모음집(Living Repository)
집행위는 인공지능 시스템의 제공자 및 사용자(배포자) 간의 학습 및 정보 교류를 장려하고자 AI 리터러시 관련 실천 사례를 정리한 목록(이하 “리포지터리”)을 발표하였습니다. 해당 목록은 지속적으로 업데이트되고 있으며, 최신 버전은 2025년 4월 16일 기준으로 공개되어 있습니다.
리포지터리는 도입 수준에 따라 ‘전면 도입(fully implemented)’, ‘부분 도입(partially rolled-out)’, ‘도입 예정(planned)’의 세 단계로 구분되며, 각 단계별로 실제 사례와 해당 조직이 채택한 접근 방식에 대한 구체적인 정보가 포함되어 있습니다. 또한, 라이브 리포지터리에 기재된 이니셔티브를 단순히 이행했다고 해서 AI법 제4장의 요건을 자동적으로 충족하는 것으로 간주되는 것은 아니라는 내용의 면책 조항(disclaimer)이 함께 명시되어 있습니다.
예를 들어, 인공지능 시스템의 사용자(배포자)인 AI & Partners B.V.의 사례에서는, 조직 전반에 걸쳐 역할 및 배경에 따라 접근 가능한 유연한 교육 방식(예: 자율 진행형 모듈, 강사 주도 워크숍, 시나리오 기반 실습 등)을 활용하는 내부 프레임워크를 구축함으로써, AI 리터러시 관련 필수 관행을 ‘전면 도입’한 사례로 평가되었습니다. 리포지터리는 성공적인 AI 리터러시 이행을 위해서는 산업별 특화된 적용(sector-specific adaptation) 및 조직 전체의 협업과 통합(organization-wide collaboration and integration)이 핵심 요소임을 강조합니다. 반면, ‘부분 도입(partially rolled-out)’에 그친 조직들의 경우, AI 거버넌스 및 책임 있는 이행에 대한 이해 부족, 조직 내 지식 사일로 현상, 통합적 실행 체계 미비 등이 주요한 개선 과제로 지적되고 있습니다.
IV. 인공지능 시스템 정의에 관한 가이드라인
AI법 제3조 제1항에 따르면 AI법은 ‘인공지능 시스템’(AI system)의 정의에 해당하는 시스템에만 적용됩니다. 이에 따라 집행위원회는 2025년 2월 6일, 해당 정의의 적용 범위를 보다 명확히 하기 위한 가이드라인을 발표하였으며, 이 가이드라인은 특정 시스템이 AI법의 적용 대상에 해당하는지를 단계별 기준(step-based formulation)을 통해 판단할 수 있도록 안내하고 있습니다. 또한, 가이드라인은 인공지능 시스템의 정의를 구성하는 아래 7개의 요소가 시스템 생애주기 전반에 걸쳐 항상 동시에 존재해야 하는 것은 아니라는 점을 분명히 하고 있습니다.
(1) 기계 기반(machine-based): 모든 인공지능 시스템은 기계 기반이어야 하며, 여기서 ‘기계’란 물리적 하드웨어(예: 처리 장치)뿐 아니라 소프트웨어(예: 컴퓨터 코드)를 포함하는 넓은 개념으로 정의됩니다. 양자컴퓨팅 등 새로운 형태의 계산 시스템도 기계적 연산 능력을 제공하면 이에 포함됩니다.
(2) 자율성(autonomy): AI 시스템은 다양한 수준(level)의 독립성을 가지고 작동할 수 있도록 설계되어야 하며, 핵심은 입력을 바탕으로 물리적·가상 환경에 영향을 미칠 수 있는 예측, 결정, 추천 등의 추론능력을 보유하는 데 있다고 설명합니다. 완전 수동 시스템은 정의에서 제외되며, 인간 개입이 적을수록 위험이 커질 수 있으므로 강화된 감독 체계가 필요할 수 있다는 점을 강조합니다.
(3) 적응성(adaptiveness): 적응성은 시스템이 배포 이후 스스로 학습하거나 동작 방식을 변화시키는 능력을 의미하지만, 가이드라인은 AI법에 ‘may’라는 표현이 사용되었음을 지적하며, 이러한 기능은 선택적 요건에 해당하고 필수 요건은 아니라고 설명합니다.
(4) 목적(objectives): AI 시스템은 하나 이상의 명시적 또는 묵시적 목표를 달성하기 위해 작동해야 합니다. 명시적 목적은 비용 함수 최적화, 누적 보상 극대화 등 개발자가 시스템에 코딩한 목표를 뜻하며, 묵시적 목적은 시스템의 행동과 내재된 전제에서 추론되는 목표를 의미합니다. 가이드라인은 이 목적이 시스템 내부의 과업에 관한 개념으로, ‘의도된 용도(intended purpose)’와 구별된다는 점을 강조합니다.
(5) 추론능력(inferencing): AI 시스템은 입력으로부터 출력 생성 방식을 스스로 ‘추론’할 수 있어야 하며, 이는 단순히 사람이 규칙을 정의한 전통적 소프트웨어와 구별되는 중요한 조건입니다. 이때 ‘추론’이란 단순히 입력으로부터 출력을 도출하는 능력에 국한되지 않고, 구축(building) 단계에서 AI 기법을 활용해 출력 생성이 가능하도록 하는 과정까지 포함됩니다.
(6) 출력(outputs): AI 시스템은 입력에 기반해 예측, 콘텐츠 생성, 추천, 의사결정 등의 형태로 결과를 생성할 수 있어야 합니다.
(7) 환경 영향(influencing environments): 이러한 출력은 단순히 내부에 머무르지 않고 물리적 또는 가상 환경에 실질적으로 영향을 미치는 능동적 기능을 수행해야 합니다. 이 요건은 AI 시스템이 수동적 처리 도구가 아니라 외부 환경과 상호작용하는 체계임을 명확히 규정합니다.
V. 시사점
위와 같이 위 가이드라인과 리포지터리는 지금까지 명확히 다루어지지 않았거나 해석상 불명확했던 여러 개념들에 대해 실질적인 방향성을 제시하고 있다는 점에서 유의미한 참고자료로 평가됩니다. 관할 감독 당국들이 향후 이러한 핵심 개념들에 대해 집행위와 동일한 해석을 취할지 여부는 아직 불확실하지만, 주목할 만한 점은 AI법의 적용 대상에서 일정한 예외를 명시하고 있다는 점입니다. 이는 집행위가 과도한 규제로 인해 기술 혁신이 저해되는 것을 방지하는 동시에, 필요한 규제 체계를 마련하고자 하는 균형 잡힌 접근을 시도하고 있음을 보여줍니다.
법무법인 태평양의 AI팀은 국내외 인공지능 규제 동향을 면밀히 모니터링하며, 관련 가이드라인과 해석 자료를 지속적으로 검토·분석해 AI 개발과 서비스의 법적·제도적 리스크를 최소화하고 지속 가능한 사업 운영을 적극 지원하겠습니다.
