홈
topics
eu ai act
유럽연합의 인공지능법(EU AI 법)이란 무엇인가요?
업데이트 날짜: 2024년 9월 20일
기고자: Matt Kosinski, Mark Scapicchio
EU AI 법 또는 AI 법으로도 알려진 유럽연합의 인공지능법은 유럽연합(EU)에서 인공 지능(AI)의 개발 및/또는 사용을 규율하는 법률입니다. 이 법안은 규제에 대한 위험 기반 접근 방식을 취하며 AI가 제기하는 위험에 따라 다양한 규칙을 적용합니다.
AI에 대한 세계 최초의 포괄적인 규제 프레임워크로 간주되는 EU AI 법은 일부 AI 사용을 완전히 금지하고 다른 AI에 대해 엄격한 거버넌스, 위험 관리 및 투명성 요구 사항을 구현합니다.
이 법안은 또한 IBM의 Granite와 Meta의 Llama 3 오픈 소스 파운데이션 모델과 같은 범용 인공 지능 모델에 대한 규칙을 제정합니다.
벌금은 위반 유형에 따라 750만 유로(전 세계 연간 매출액의 1.5%)에서 3,500만 유로(전 세계 연간 매출액의 7%)까지 부과될 수 있습니다.
전문가들은 EU의 일반 데이터 보호 규정(GDPR)이 다른 국가의 데이터 개인정보 보호법 채택에 영감을 준 것과 마찬가지로 EU AI 법이 전 세계적으로 AI 거버넌스 및 윤리 표준 개발에 박차를 가할 것으로 예상하고 있습니다.
EU AI 법은 공급자, 배포자, 수입자, 유통업체, 제품 제조업체 및 공인 대리인과 같은 AI 가치 사슬의 여러 운영자에게 적용됩니다. 언급할 가치가 있는 것은 EU AI 법에 따른 공급자, 배포자 및 수입자에 대한 정의입니다.
제공자란 AI 시스템 또는 범용 AI(GPAI) 모델을 개발하거나 대신 개발한 후 이를 시장에 출시하거나 자신의 이름이나 상표로 AI 시스템을 서비스하는 사람 또는 조직입니다.
이 법은 AI 시스템을 어느 정도의 자율성을 가지고 입력을 처리하여 물리적 또는 가상 환경에 영향을 줄 수 있는 아웃풋(예: 예측, 추천, 결정, 콘텐츠)을 생성하는 방법을 추론할 수 있는 시스템으로 폭넓게 정의합니다. GPAI는 상당한 일반성을 보이고 다양한 고유 작업을 능숙하게 수행할 수 있으며 다양한 다운스트림 AI 모델 또는 애플리케이션에 통합할 수 있는 정의합니다. 예를 들어 파운데이션 모델은 GPAI이며, 해당 모델을 기반으로 구축된 챗봇 또는 생성형 AI 도구는 AI 시스템이 될 것입니다.
배포자는 AI 시스템을 사용하는 사람이나 조직입니다. 예를 들어, 타사 AI 챗봇을 사용하여 고객 서비스 문의를 처리하는 조직은 배포자가 될 수 있습니다.
수입업체는 EU에 위치하거나 설립된 개인 및 조직으로, EU 외부에 설립된 개인 또는 회사의 AI 시스템을 EU 시장에 출시합니다.
EU 외부 애플리케이션
EU AI 법은 EU 외부의 제공자 및 배포자의 AI 또는 AI의 아웃풋이 EU에서 사용되는 경우 EU 외부의 제공자 및 배포자에게도 적용됩니다.
예를 들어, EU에 있는 회사가 EU 외부의 AI 공급업체에 데이터를 보내고 해당 공급업체가 AI를 사용하여 데이터를 처리한 다음, 그 아웃풋을 다시 EU에 있는 회사로 보내 사용한다고 가정해 보겠습니다. 제공자의 AI 시스템 아웃풋이 EU에서 사용되기 때문에 제공자는 EU AI 법의 적용을 받습니다.
EU에서 AI 서비스를 제공하는 EU 외부의 제공업체는 EU 내에서 승인된 담당자를 지정하여 규정 준수 노력을 조정해야 합니다.
예외
이 법은 광범위한 적용 범위를 가지고 있지만, 일부 AI 사용은 예외입니다. AI의 순수한 개인적 사용과 과학적 연구 및 개발에만 사용되는 AI 모델 및 시스템은 AI 법의 면제 대상의 예라고 할 수 있습니다.
EU AI 법은 위험 수준에 따라 AI 시스템을 규제합니다. 여기서 위험은 잠재적 피해의 가능성과 심각성을 나타냅니다. 가장 중요한 조항은 다음과 같습니다.
- 용납할 수 없는 위험을 초래하는 것으로 간주되는 특정 AI 관행에 대한 금지
- 특정 고위험 AI 시스템 개발 및 배포를 위한 표준입니다.
- 범용 AI(GPAI) 모델에 대한 규칙
EU AI법의 위험 categories 중 하나에 속하지 않는 AI 시스템은 해당 법률에 따른 요건('최소 위험' 카테고리라고도 함)의 적용을 받지 않지만, 일부는 투명성 의무를 충족해야 할 수도 있고 다른 기존 법률을 준수해야 할 수도 있습니다. 그 예로 이메일 스팸 필터와 비디오 게임이 있으며, 오늘날 많은 일반적인 AI 사용이 이 범주에 속합니다.
EU AI 법의 시행과 관련된 세부 사항 중 상당수가 아직 다듬어지고 있다는 점에 주목할 필요가 있습니다. 예를 들어, 이 법안은 EU 집행위원회가 시판 후 모니터링 계획 및 교육 데이터 요약과 같은 요구 사항에 대한 추가 지침을 발표할 것이라고 명시하고 있습니다.
EU AI 법은 허용할 수 없는 수준의 위험을 초래하는 것으로 간주되는 특정 금지된 AI 관행을 명시적으로 나열하고 있습니다. 예를 들어, 사람들이 다른 방법으로는 하지 않았을 해로운 선택을 하도록 의도적으로 조작하는 AI 시스템을 개발하거나 사용하는 행위는 사용자에게 허용할 수 없는 위험을 초래하는 것으로 간주되며 금지된 AI 관행에 해당합니다.
유럽연합 위원회는 이 법에서 금지된 관행 목록이 있으므로 앞으로 더 많은 AI 행위가 금지될 수 있습니다.
이 기사가 게시될 당시 금지된 AI 관행의 일부 목록은 다음과 같습니다.
- 사회적 점수 시스템(사회적 행동에 따라 개인을 평가하거나 분류하는 시스템)은 원래 데이터 수집과 무관하고 행동의 심각성에 비해 정당하지 않거나 불균형적인 사회적 맥락에서 해롭거나 불리한 대우로 이어질 수 있습니다.
- 의료 또는 안전 목적으로 사용되는 경우를 제외한 직장 및 교육 기관의 감정 인식 시스템
- 사람들의 취약점을 악용하는 데 사용되는 AI(예: 연령 또는 장애로 인한 취약성)
- 안면 인식 데이터베이스를 위해 인터넷 또는 폐쇄 회로 텔레비전(CCTV)에서 얼굴 이미지의 비표적 스크래핑
- 민감한 특성을 기반으로 개인을 식별하는 생체 인식 시스템
- 특정 예측 치안 애플리케이션
- 법 집행 기관이 공공장소에서 실시간 원격 생체 인식 시스템을 사용하는 경우(예외가 적용되지 않는 한, 일반적으로 사법 또는 독립 행정 당국의 사전 승인이 필요함).
AI 시스템이 장난감 안전 및 체외 진단 의료 기기 법 등 해당 법에서 언급하는 특정 EU 법률에 따라 규제되는 제품 또는 제품의 안전 구성 요소인 경우 EU AI 법에 따라 고위험군으로 간주됩니다.
이 법은 또한 사용되는 AI 시스템을 포함하여 일반적으로 고위험으로 간주되는 특정 용도를 나열합니다.
- 고용 맥락(예: 후보자 모집, 지원자 평가, 승진 결정에 사용되는 시스템).
- 특정 의료 기기
- 특정 교육 및 직업 훈련 맥락
- 선거 결과에 영향을 미치기 위한 제도와 같은 사법적이고 민주적인 절차에서
- 공공 혜택에 대한 적격성을 평가하고 신용 점수를 평가하는 시스템을 포함하여 필수 민간 또는 공공 서비스에 대한 액세스 결정
- 중요 인프라 관리(예: 물, 가스 및 전기 공급 등)
- 개인의 신원을 확인하는 것이 유일한 목적인 시스템(예: 지문 스캐너를 사용하여 누군가에게 은행 앱에 대한 액세스 권한을 부여하는 경우)을 제외하고 금지되지 않는 모든 생체 인식 시스템에서.
이 목록에 포함된 시스템의 경우, AI 시스템이 개인의 상황, 안전 또는 권리에 중대한 위협이 되지 않는 경우 예외가 적용될 수 있습니다. 이 작업은 예외가 트리거되기 전에 하나 이상이 충족되어야 하는 기준을 지정합니다(예: AI 시스템이 좁은 절차적 작업을 수행하려는 경우). 이 예외에 의존하는 경우 제공업체는 시스템이 고위험이 아니라는 평가를 문서화해야 하며 규제 당국은 해당 평가의 열람을 요청할 수 있습니다. 항상 고위험으로 간주되는 제품 선호도(프로파일링)와 같이 개인 데이터를 자동으로 처리하여 개인의 삶의 일부 측면을 평가하거나 예측하는 AI 시스템에는 예외가 적용되지 않습니다.
금지된 AI 관행 목록과 마찬가지로, EU 집행위원회는 향후 고위험 AI 시스템 목록을 업데이트할 수 있습니다.
고위험 AI 시스템에 대한 요구 사항
고위험 AI 시스템은 특정 요구 사항을 준수해야 합니다. 몇 가지 예를 들어 보겠습니다.
- 지속적인 위험 관리 시스템을 구현하여 AI의 수명 주기 전반을 모니터링합니다. 예를 들어, 공급자는 시스템의 의도된 사용으로 인해 제기되는 합리적으로 예측 가능한 위험을 완화해야 합니다.
- 엄격한 데이터 거버넌스 관행을 채택하여 교육, 검증 및 테스트 데이터가 특정 품질 기준을 충족하도록 합니다. 예를 들어, 데이터 수집 프로세스 및 데이터 출처에 대한 거버넌스, 편향을 방지하고 완화하기 위한 조치가 마련되어 있어야 합니다.
- 포괄적인 기술 문서 유지 관리, 시스템 설계 사양, 기능, 제한 사항, 규정 준수 노력을 포함한 구체적인 정보를 담고 있습니다.
특정 유형의 AI에는 추가적인 투명성 의무가 있습니다. 예를 들면 다음과 같습니다.
- 개인과 직접 상호 작용하는 AI 시스템은 문맥상 개인이 명백히 알 수 있는 경우가 아니라면 사용자가 AI 시스템과 상호 작용하고 있음을 알 수 있도록 설계되어야 합니다. 예를 들어, 챗봇은 사용자에게 챗봇임을 알리도록 설계되어야 합니다.
- 텍스트, 이미지 또는 기타 특정 콘텐츠를 생성하는 AI 시스템은 기계 판독이 가능한 형식을 사용하여 결과물을 AI가 생성하거나 조작한 것으로 표시해야 합니다. 예를 들어, 누군가가 하지 않은 행동이나 말을 표현한 것처럼 이미지나 동영상을 변조하는 AI가 여기에 포함됩니다.
고위험 AI 시스템 운영자의 의무
아래 내용은 AI 가치 사슬에서 고위험 AI 시스템의 핵심 운영자(공급자 및 배포자)에 대한 몇 가지 의무 사항입니다.
고위험 AI 시스템 제공업체는 다음과 같은 요구 사항을 준수해야 합니다.
- 고위험 AI 시스템이 이 법에 명시된 고위험 AI 시스템에 대한 요구 사항을 준수하도록 합니다. 예를 들어, 지속적인 위험 관리 시스템을 구현하는 것입니다.
- 품질 관리 시스템을 갖춥니다.
- AI 시스템의 성능을 모니터링하고 시스템 수명 주기 동안 지속적인 규정 준수를 평가하기 위한 시판 후 모니터링 계획을 구현합니다.
고위험 AI 시스템 배포자는 다음과 같은 의무가 있습니다.
- 사용 지침에 따라 해당 시스템을 사용할 수 있도록 적절한 기술적 및 조직적 조치를 취합니다.
- 자동으로 생성된 AI 시스템 로그를 지정된 기간 동안 해당 로그가 제어되는 범위 내에서 유지 관리합니다.
- 공공 서비스를 제공하는 정부 기관 또는 민간 조직과 같은 특정 필수 서비스를 제공하기 위해 고위험 AI 시스템을 사용하는 배포자의 경우, 특정 고위험 AI 시스템을 처음 사용하기 전에 기본권 영향 평가를 수행합니다.
EU AI 법은 범용 AI 모델(GPAI)에 대한 별도의 규칙을 제정합니다. GPAI 모델 제공업체에는 다음과 같은 의무가 있습니다.
- EU 저작권법을 존중하기 위한 정책을 수립합니다.
- 학습 데이터 세트에 대한 자세한 요약을 작성하고 공개적으로 사용할 수 있습니다.
GPAI 모델이 시스템적 위험을 초래하는 것으로 분류되는 경우, 제공자는 추가적인 의무를 지게 됩니다. 체계적 위험이란 GPAI 모델의 영향력이 큰 모델에 한정된 위험으로, 또는 그 범위가 공중 위생, 안전, 치안, 기본권 또는 사회 전체에 실제적 또는 합리적으로 예측 가능한 부정적 영향을 미치며 가치 사슬 전반에 걸쳐 대규모로 확산될 수 있기 때문에 EU 시장에 중대한 영향을 미치는 것을 말합니다. 이 법은 시스템적 위험을 식별하는 중요한 기준 중 하나로 훈련 리소스를 사용합니다. 모델을 훈련하는 데 사용되는 누적 컴퓨팅 성능이 10^25개의 부동 소수점 연산(FLOP)을 초과하면 영향력이 큰 기능으로 간주되어 시스템적 위험이 발생할 가능성이 있습니다. 유럽연합 위원회는 모델을 시스템적 위험을 초래하는 것으로 분류할 수도 있습니다.
무료 오픈 소스 모델을 포함하여 시스템적 위험을 초래하는 GPAI 모델 제공업체는 다음과 같은 몇 가지 추가 의무를 충족해야 합니다.
- 심각한 인시던트의 문서화 및 보고는 EU AI 사무소 및 관련 국가 규제 기관에 이뤄집니다.
- 적절한 사이버 보안을 구현하여 모델과 그 물리적 인프라를 보호합니다.
금지된 AI 관행을 준수하지 않을 경우 조직은 최대 35,000,000 유로 또는 전 세계 연간 매출의 7% 중 더 높은 금액의 벌금을 부과받을 수 있습니다.
조직은 고위험 AI 시스템에 대한 요구 사항을 준수하지 않는 것을 포함하여 대부분의 다른 위반에 대해 최대 15,000,000 유로 또는 전 세계 연간 매출액의 3% 중 더 높은 금액의 벌금을 물게 될 수 있습니다.
조직이 당국에 부정확하거나 불완전하거나 오해의 소지가 있는 정보를 제공하는 경우 최대 7,500,000유로 또는 전 세계 연간 매출의 1% 중 더 높은 금액의 벌금을 물게 될 수 있습니다.
특히 EU AI 법은 스타트업과 기타 중소기업에 대한 벌금에 대해 서로 다른 규칙을 가지고 있습니다. 이러한 비즈니스에게 적용되는 벌금은 앞서 명시된 두 가능한 금액 중 더 낮은 금액입니다.
이 법은 2024년 8월 1일부터 시행되며, 법의 여러 조항이 단계적으로 시행될 예정입니다. 가장 주목할 만한 날짜는 다음과 같습니다.
- 2025년 2월 2일부터 금지된 AI 행위 금지 조항이 시행됩니다.
- 2025년 8월 2일부터 범용 AI에 대한 규칙이 새로운 GPAI 모델에 적용됩니다. 2025년 8월 2일 이전에 시장에 출시된 GPAI 모델 제공자는 2027년 8월 2일까지 이 규정을 준수해야 합니다.
- 2026년 8월 2일부터 고위험 AI 시스템에 대한 규칙이 시행됩니다.
- 2027년 8월 2일부터 특정 EU 법률에 따라 규제되는 제품 또는 제품의 안전 구성 요소인 AI 시스템에 대한 규칙이 적용됩니다.
리소스
최신 eBook은 AI 거버넌스의 주요 구성 요소를 간략하게 설명하고 조직에 적용할 수 있는 상세한 AI 거버넌스 프레임워크를 공유합니다.
조직을 위한 책임감 있는 AI의 혁신적 잠재력을 살펴보고 윤리적 AI 관행을 채택하는 데 있어 중요한 동인에 대해 알아보세요.
책임감 있는 AI를 배포하기 위해 기업이 AI 거버넌스를 우선시해야 하는 이유에 대한 토론에 참여하세요.
데이터 거버넌스를 통해 기업이 데이터 자산을 최대한 활용할 수 있는 방법을 알아보세요.
설명 가능한 AI는 조직이 AI 모델을 생산에 투입할 때 신뢰와 확신을 구축하는 데 매우 중요한 역할을 합니다.
AI 윤리는 위험과 부정적인 결과를 줄이면서 AI의 유익한 영향을 최적화하는 방법을 연구하는 다학문 분야입니다. AI 윤리에 대한 IBM의 접근 방식을 자세히 알아보세요.
고객은 적용되는 모든 법률과 규정을 모두 준수할 책임이 있습니다. IBM은 법률 자문을 제공하지 않으며, 고객이 자사의 서비스 또는 제품을 통해 법률이나 규정을 준수할 수 있음을 표현하거나 보증하지 않습니다.