2024년 8월 발효된 유럽연합(EU)의 '인공지능법'(AI Act)은 세계 최초의 포괄적, 수평적 AI 규제법안이라는 역사적 의의를 가졌으나, 동시에 유럽 내 기술 혁신을 저해하고 기업에 과도한 컴플라이언스 부담을 지울 것이라는 우려를 낳았다. 실제로 법 시행 초기 단계에 이미 표준이나 가이드라인 제정 지연 등 현실적인 이행 장벽들이 드러났다.

이에 EU 집행위원회는 지난 19일, AI법의 실효성을 높이고 기업의 부담을 줄이기 위한 결단을 내렸다. 바로 'AI에 대한 디지털 옴니버스'(Digital Omnibus on AI) 제안이다. 이번 제안은 규제의 끈을 놓지 않으면서도, 혁신이라는 엔진이 꺼지지 않도록 '규제 단순화'(simplification)와 '이행 지원'(enablement)으로 정책의 무게중심을 이동시켰다는 점에서 시사하는 바가 크다.


현실 반영한 유연한 타임라인 등 규제 부담 완화
이번 제안에서 가장 눈에 띄는 변화는 고위험 AI 시스템(High-risk AI systems)에 대한 규제 적용 시점을 유연하게 조정한 것이다. 당초 계획대로라면 고위험 AI 시스템에 대한 의무 사항은 2026년 8월부터 적용될 예정이었다. 그러나 기업이 규제를 준수하기 위해 필수적인 조화된 표준, 적합성평가 지침, 기술문서 표준양식 등 규정 준수 도구들의 준비가 늦어지면서 기업들의 불확실성이 커졌다.

이에 EU 집행위는 규제 적용 시점을 표준 등 규제 준수 지원 수단의 가용성(availability)과 연동시키는 메커니즘을 도입했다. 즉 집행위가 표준과 가이드라인이 이용 가능하게 됐다고 결정을 내린 후, 고위험 AI 시스템의 유형에 따라 추가 유예 기간을 거쳐 규제가 적용되도록 한 것이다.

법 부속서 III(신용평가·채용·교육·사회서비스·법집행 등)의 고위험 AI 의무 적용은 집행위가 표준, 가이드라인 등 규제 준수 지원 조치가 이용 가능하다고 결정한 날로부터 6개월 이후에 시행되며, 해당 적용 시점은 최대 2027년 12월까지로 연기될 수 있다. 또한 부속서 I(제품안전 규제 연계 분야)의 AI는 12개월 이후에 시행되며, 최대 2028년 8월까지로 연기될 수 있다. 이는 규제 당국이 인프라를 갖추지 못한 상태에서 민간에만 의무를 강요하지 않겠다는 합리적인 태도 변화로 평가된다.

EU 경제의 허리인 중소기업(SME)과 스타트업에 대한 보호막도 두꺼워졌다. 특히 이번 개정안은 지원 대상을 기존의 SME에서 '소형 중견기업'(Small Mid-Caps, SMCs)까지 확장했다. SMC는 SME보다 성장 속도와 혁신 수준이 높지만, 대기업과 동일한 규제를 적용받을 경우 성장통을 겪을 수 있는 기업군이다. 구체적으로 SMC와 SME는 기술문서 작성 요건을 간소화된 양식으로 제출할 수 있게 됐다. 과징금 부과 때도 기업의 경제적 생존 능력을 고려해 감경받을 수 있는 특례가 적용된다.

또한 기존에는 개별 고용주에게 직원들의 AI 리터러시 제고를 위한 교육 의무를 부과했지만, 이 의무가 집행위원회 및 회원국의 정책적 촉진 의무로 변경됐다. 회원국과 집행위는 교육 기회 제공, 정보 리소스 제공, 모범 사례 공유 등의 비구속적(non-legally binding) 이니셔티브를 통해 기업이 직원들에게 적절한 수준의 AI 리터러시를 제공하도록 지원해야 한다. 이는 AI 리터러시(Literacy) 교육에 대한 기업의 행정적 부담을 덜어준 것이다.

다만 고위험 AI 시스템 배포자에게는 별도로 명확한 교육 의무가 존재한다. 또한 고위험 영역에 해당하더라도 제공자가 자체 평가를 통해 '고위험이 아님'(not high-risk)으로 결론 내린 경우 EU 데이터베이스 등록 의무를 면제할 수 있도록 했다.

혁신을 가속하기 위한 실질적인 조치들도 포함됐다. EU 집행위는 AI 규제 샌드박스의 활용을 확대하고, 기존 회원국 단위의 샌드박스를 넘어 2028년부터는 AI 사무국(AI Office) 산하에 EU 차원의 통합 규제 샌드박스를 설립하기로 했다. 이는 국경을 초월한 AI 프로젝트의 개발과 테스트를 용이하게 할 것이다.

또한 기존에는 샌드박스 안에서만 실환경 시험이 가능했으나 규제 샌드박스 외부에서도 고위험 AI 시스템에 대한 '실환경 테스트'(Real-world testing)가 가능하도록 허용 범위를 넓혔다. 특히 자동차 산업과 같은 핵심 산업 분야의 제품에 내장된 AI 시스템에 대해서도 자발적 협약을 통해 실환경 테스트를 진행할 수 있는 법적 근거를 마련함으로써 실험실을 넘어선 현장 중심의 기술 고도화가 가능해질 전망이다.

AI 성능의 핵심인 데이터 활용과 관련해서도 변화가 있었다. 원래 민감정보에 대해서는 처리 금지가 원칙이나, AI 시스템의 편향성을 탐지하고 수정하기 위한 목적의 민감한 개인정보 처리는 엄격한 보호조치 하에 예외적으로 허용하는 법적 근거를 마련했다. 이는 GDPR상 엄격한 개인정보보호 규정과 AI 성능 향상 사이의 딜레마를 해소하려는 시도로 AI 공정성·비차별성 감독을 위해서 데이터 보호 규제를 완화한 것이다.

거버넌스 측면에서는 범용 AI 모델과 이를 기반으로 한 시스템, 그리고 초대형 온라인 플랫폼(VLOPs)에 탑재된 AI 시스템에 대한 감독 권한을 AI 사무국으로 일원화했다. 이는 국가별로 상이한 법 해석으로 인한 파편화를 방지하고, 일관된 집행을 통해 기업의 법적 불확실성을 제거하기 위함이다.


규제는 예측 가능성 높여주는 길잡이 돼야
EU의 이번 AI 규제 완화는 규제가 단순히 금지와 제재에 머물러서는 안 되며, '예측 가능성'과 '규제 이행 지원'이 동반돼야 함을 명확히 보여준다. 이번 AI 규제 완화를 포함한 데이터·사이버보안 등 전체 디지털 옴니버스 패키지 추진으로 인해 EU 내 기업들은 2029년까지 약 50억 유로(약 7조 3000억 원)의 행정 비용을 절감할 수 있을 것으로 추산된다.

AI 기본법 시행을 앞둔 한국 상황에서 EU의 이러한 행보는 중요한 시사점을 제공한다. 첫째, 속도 조절이다. 한국이 계획대로 내년 1월 법안을 시행하는 경우 부속서 I 제품안전 AI를 기준으로 하면 EU보다 최대 2년 반 이상 먼저 고영향 AI 규제를 시행하는 세계 최초의 AI 규제 시행국이 될 수 있다. 하위 법령이 11월에 입법예고된 상황에서 내년 1월 시행은 기업의 컴플라이언스 준비를 사실상 불가능하게 한다. 이에 따라 법 시행과 동시에 대부분의 기업이 법 위반 상태에서 놓이게 된다.

둘째, 기업 규모별 차등적 규제다. 스타트업과 중견기업이 규제 비용으로 인해 성장의 사다리를 걷어차이지 않도록 세밀한 배려가 필요하다. 셋째, 샌드박스의 활용이다. 한국도 AI 기본법에 샌드박스를 직접 도입함으로써 혁신의 실험장 역할이 가능하게 해야 한다.

결국 EU의 이번 정책 선회는 "유럽의 방식대로 기본권을 보호하되, 불필요한 규제를 줄이고, EU 법령을 단순화하며, 데이터 접근을 확대함으로써 혁신이 일어날 공간을 내어주겠다"는 헨나 비르쿠넨(Henna Virkkunen) 부의장의 말처럼, 규제와 혁신의 균형점을 찾으려는 고민의 산물이다. 우리도 AI 3대 강국을 지향하는 마당에 최초의 규제 시행보다는 혁신과 규제의 조화를 고민해야 할 것이다.

opinion@news1.kr