보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

유럽연합의 인공지능법, CISO들은 어떻게 받아들여야 할까

입력 : 2024-04-10 09:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
유럽연합의 인공지능법이 통과됐고, 5월부터는 효력을 서서히 발휘하기 시작할 것이다. 새로운 국면으로 접어든 것인데, 이 때문에 CISO의 업무 부담이 더해졌다. 하지만 아직 그렇게까지 큰 부담을 느낄 필요는 없다.

[보안뉴스 = 셰인 스나이더 IT 칼럼니스트] 유럽연합이 지난 주 인공지능법(AI Act)을 통과시키며 세계를 깜짝 놀라게 만들었다. 앞으로 인공지능 기술을 가지고 사업하려는 기업들은 진지하게 고려해야 할 것이 하나 더 생겼다. 인공지능법을 어기는 기업은 총 연간 수익의 7% 혹은 3800만 달러라는 벌금을 내야 한다. 유럽연합은 이 법을 2024년 5월부터 2027년까지 서서히 적용해나갈 방침이라고 한다.

[이미지 = gettyimagesbank]


인공지능법에 의하면 인공지능과 관련된 리스크는 ‘수용 불가’에서부터 ‘고위험군’, ‘중위험군’, ‘저위험군’으로 분류된다고 한다. ‘수용 불가’라는 판정을 받게 될 경우 해당 인공지능 앱은 즉시 시장에서 판매 금지가 된다. 유럽위원회의 내수시장 책임자인 티에리 브레톤(Thierry Breton)은 엑스를 통해 “이제 유럽은 전 세계적인 인공지능 표준 선도자가 됐다”고까지 말했다. 그 외에도 각계에서 유럽연합의 이러한 움직임을 치하하는 분위기다. 하지만 현장의 CISO들에게 있어 이 새 법은 어떤 의미를 가질까?

기업이 예상해야 할 것
유럽연합의 GDPR이 개인정보 보호법의 표준처럼 여겨지고 있듯이 이번 인공지능법 역시 세계 각지에서 인공지능과 관련된 표준처럼 받아들여질 가능성이 높다. 많은 전문가들은 앞으로 여러 국가에서 이 법을 참고삼아, 그리고 이 법에 자극을 받아, 각종 인공지능 규제를 신설할 것으로 예상하고 있다. GDPR이 지금 다른 국가에서 어떤 형태로 영향을 받아들여지고 있는지 떠올리면 이해하기 쉬울 것이다.

IT 연구 기업인 에버레스트그룹(Everest Group)의 파트너 니시 미탈(Nish Mittal)은 “인공지능이라는 미지의 괴물을 다루기 위한 현존 장치들 중 가장 영향력이 막강할 것”이라고 예측한다. “생각보다 빠르게 다른 지역에서도 비슷한 규정들이 나타날 거라고 봅니다. 더 엄격한 것도 충분히 나올 수 있을 겁니다. 다만 개인정보 보호를 앞세웠던 GDPR이라 그 엄격함에 이견이 거의 없던 편이었던 것에 반해 인공지능을 규제한다는 개념 자체에는 부침이 많다는 게 변수로 작용할 수 있습니다. 인공지능 혁신에 더 가중치를 두는 정부라면 좀 더 상황을 지켜보고자 할 겁니다.”

CISO들의 이상적인 대응이란
보안 업체 크래늄(Cranium)의 CEO인 조나단 담브롯(Jonathan Dambrot)은 “정확한 틀이 규제와 가이드라인의 형태로 갖춰져 있다면 오히려 인공지능의 혁신이 그 틀 안에서 활성화 될 수 있다”고 보고 있다. “규제라기보다 더 활발한 혁신을 위한 기틀이라고 보는 편이 맞을 겁니다. 물론 아직 손봐야 할 부분들이 발견되는 등 미세한 조정의 여지가 남아 있긴 하겠지만요. 아직은 규정에 대한 혼란부터 불식되어야 할 것이고, 인공지능이라는 기술 자체의 수수께끼도 좀 더 풀려야 합니다. 그래야 이 법이 가져다 줄 영향력을 제대로 이해할 수 있을 거라고 봅니다.”

그렇기 때문에 어마어마한 벌금의 규모가 납득할 만하다는 게 담브롯의 설명이다. “미래 기술 발전을 위한 기틀을 마련하는 책임을 소수의 누군가가 떠맡을 수는 없습니다. 사회 구성원들이 적극 참여해야 하지요. 벌금은 그런 의미에서 긍정적인 게, 참여를 촉진시킬 게 뻔하기 때문입니다. 벌금 규모를 바짝 올려 참여도를 높인다면 인공지능의 가이드라인이라는 것이 보다 빠르게 정해지지 않을까요?”

컴플라이언스 플랫폼인 토로파스(Thoropass)의 CEO 샘 리(Sam Li)는 “CISO라면 이번 인공지능법 문건을 확보해 인공지능 개발 로드맵으로 삼아야 할 것”이라고 귀띔한다. “이 법이 곧 인공지능법의 표준이 될 거라는 게 명백하기 때문입니다. 인공지능이 가져다 줄 수 있는 각종 리스크들을 기반으로 규제가 마련됐다는 것도 좋은 소식입니다. 앞으로 세세한 조정이 있겠지만 큰 선에서 미리 파악해둔다면 향후 인공지능 사업을 이끌어가는 데 적잖은 자산이 될 거라고 생각합니다.”

미탈은 “인공지능법 때문에 혼란스럽거나 할 일이 늘어 어깨가 무겁게 느껴지는 사람은 당신만이 아님을 기억하라”고 강조한다. “유럽연합의 인공지능법에 집중하고 있는 사람들이 많습니다. 인공지능에 조금이라도 발을 걸치고 있는 기업의 CISO와 CIO들이라면 이미 이거 읽고 해석하느라 머리 싸매고 있을 겁니다. 그러니 혼자 부담을 갖지 마세요. 아는 동료들에게 전화해 상황과 고민을 나누면 짐이 조금은 가벼워질 겁니다.”

결국 데이터부터 시작해야
그러면서 미탈은 “너무 정보가 많고 문건 분량이 방대해 어디서부터 어떻게 시작해야 할지 모르겠다면 데이터부터 시작하는 게 안전하다”고 말한다. “현재까지 인공지능 기술에서 발견된 문제들 대부분은 인공지능 그 자체의 문제가 아니었습니다. 인공지능에 주입되는 데이터가 문제였지요. 문제의 뿌리에 데이터가 있는 경우가 훨씬 많았습니다. 데이터의 품질을 어떻게 유지하느냐, 또 데이터를 어떻게 안정적으로 확보하고 공급하느냐가 해결되지 않는다면 인공지능 프로젝트가 실패로 끝날 가능성이 높습니다.”

담브롯은 “새로운 기술이 도입되고 구축되면, 그 기술을 효과적으로 관리하는 방안부터 마련하듯 인공지능 역시 관리 방안이 꼼꼼하게 마련되어야 한다”고 말한다. “인공지능이란 게 지금 워낙 많은 관심을 받고 있습니다. 누구나 손을 대보고 있죠. 중구난방이에요. 그런 상황부터 일단 정돈하는 게 먼저입니다. 누가 어떻게 무슨 실수를 저질러 일이 커질 지 몰라요. 인공지능 활용과 관련된 정책을 정하고, 그것을 안전하게 보호할 방안을 마련해두면서 유럽연합의 법을 참고하면 그리 부담스럽지 않을 겁니다. 처음부터 유럽연합 법의 전문가가 될 필요는 없습니다.”

글 : 셰인 스나이더(Shane Snider), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)