정보통신정책연구원(KISDI)과 법무법인 광장, 한국정보통신법학회, 한국데이터인공지능법정책학회가 공동 주최한 ‘제2회 AI법정책포럼’이 지난 5일 서울에서 열렸다. 이번 포럼은 올해 1월 22일 시행된 ‘인공지능 발전과 신뢰 기반 조성 등에 관한 기본법'(AI기본법)이 실제 산업 현장에서 작동하려면 어떤 제도 정비가 필요한지를 집중 검토했다. 계인국 고려대 행정전문대학원 교수와 정세진 법무법인 광장 변호사가 각각 AI기본법 개선 방향과 AI 보안의 법적 이슈를 주제로 발제했다.
계인국 교수는 현행 AI기본법의 AI 정의가 ‘인간 지적 능력 모방’ 개념에 기반해 산업 현장의 비인지적 AI 시스템을 포괄하기 어렵고, 반대로 해석에 따라 단순 소프트웨어까지 규율 범위에 포함될 수 있다는 이중 위험을 지적했다. 그는 수범자 체계도 개발사업자·이용사업자의 이분 구조가 지나치게 단순해 위탁 개발사, 총판, 내부 업무용 AI 활용 기업의 법적 지위가 불명확하다고 밝혔다. 고영향 AI 열거 방식, 고성능 AI를 판단하는 학습 연산량(FLOPs) 기준, 모델 개발사의 의무 귀속 여부도 보완이 필요한 영역으로 꼽혔다. 계 교수는 “가장 나쁜 규제는 강한 규제가 아니라 불명확한 규제”라며 규율 대상과 의무 내용을 법률 단계에서 명확히 할 것을 촉구했다.
정세진 변호사는 AI 보안 위협을 기업 내부의 데이터 유출 리스크와 외부 공격자의 자동화 공격으로 구분해 각각 다른 대응이 필요하다고 진단했다. 그는 AI가 피싱·취약점 탐색·침투 코드 생성을 자동화함으로써 해킹의 경제학을 바꾸고 있다고 설명했으며, 에이전틱 AI가 자율적으로 시스템에 접근하면서 기존 접근권한 관리·접속기록 보관 체계의 전제가 흔들린다고 밝혔다. 그는 보안 규제가 정형화된 기술 조치 열거 방식에서 복원력(resilience)·동적 위험관리 중심 체계로 전환돼야 한다고 제안했다. 침해 사고를 막는 것이 비현실적인 만큼, 사전에 합리적 보안 역량을 갖추고 신속히 복구한 기업에 ‘성실 실패’를 인정하는 방향도 법제에 반영돼야 한다는 의견이다.
두 발제는 AI기본법 시행 이후의 과제가 법 제정 단계를 넘어 정교한 집행 기준과 책임 체계 설계 단계로 이동하고 있음을 보여줬다. 유럽연합(EU) AI법이 단계적 의무 적용을 진행 중인 가운데, 한국도 AI 가치사슬 전반의 책임 배분과 보안 규제 현대화를 서둘러야 한다는 공감대가 형성됐다.
