4 분 소요

— 규제의 무게는 제재로 측정된다

Series C. 한국 vs EU: 어느 쪽이 더 똑똑한 규제인가 | C-3 이전 글: [C-2] 신기술이 나왔을 때 누가 더 빨리 대응하는가 다음 글: [C-3-1] AI가 잘못 판단했을 때 누가 책임지는가

규제의 실효성은 선언에서 오지 않는다. 위반 시 무슨 일이 생기는지에서 온다. 두 체계의 책임 구조를 비교한다.

의사가 오진으로 환자를 사망에 이르게 했다.

두 가지 책임이 동시에 생긴다. 환자 가족이 의사에게 민사 손해배상을 청구한다. 국가가 의사의 면허를 행정 제재한다. 상황에 따라 형사 처벌도 가능하다.

이 세 가지 책임 층위가 동시에 작동하기 때문에, 의사는 매 진료마다 신중하다.

AI도 사고를 낸다. 채용 AI가 특정 집단을 체계적으로 차별한다. 대출 AI가 저소득층에게 부당하게 높은 금리를 제시한다. 의료 AI가 암을 놓친다.

이럴 때 누구에게 청구서가 날아가는가. 얼마나 큰 청구서인가.

EU의 책임 체계: 세 개의 층

EU는 AI 사고에 대해 세 개의 책임 층위를 설계했다.

1층: AI Act 행정 제재

AI Act 위반에 대한 공적 제재다.[^1] 세 단계로 나뉜다.

최고 단계 (Article 5 금지 위반)
€35,000,000 또는 전 세계 연간 매출의 7%, 더 큰 쪽.

중간 단계 (고위험 AI 의무 위반)
€15,000,000 또는 전 세계 연간 매출의 3%, 더 큰 쪽.

하위 단계 (부정확한 정보 제공 등)
€7,500,000 또는 전 세계 연간 매출의 1%, 더 큰 쪽.

이 제재를 부과하는 곳: 27개국 시장감시기관(MSA)이 고위험 AI를 담당하고, AI Office가 GPAI 모델을 담당한다.

2층: AI 책임 지침 (AI Liability Directive)

유럽의회가 2024년 채택 추진한 민사 책임 지침.[^2] 핵심은 인과관계 추정이다.

AI 피해 소송에서 전통적인 문제가 있다. “이 AI가 이 피해를 일으켰다”는 인과관계를 피해자가 직접 입증하기 어렵다. AI의 판단 과정은 블랙박스다. 피해자는 불리한 구조에서 싸워야 했다.

AI Liability Directive는 이 부담을 뒤집는다.

AI 공급자나 배포자가 기술문서 제공을 거부하거나, AI Act 의무를 위반했음이 확인되면, 인과관계가 추정된다. 피해자가 “이 AI가 내 피해를 일으켰다”를 증명하지 않아도, 공급자가 “이 AI가 피해를 일으키지 않았다”를 반증해야 한다. 입증 책임이 피해자에서 기업으로 이동한다.

3층: 제조물책임 지침 (Product Liability Directive) 개정

2024년 개정된 제조물책임 지침은 AI 소프트웨어를 “제품”으로 명시했다.[^3] 이전에는 소프트웨어가 제조물책임법의 적용 대상인지 불분명했다.

이제 AI 시스템의 결함으로 피해가 생기면, 하드웨어 제품과 같은 기준의 무과실 책임(strict liability)이 적용된다. 공급자가 과실이 있었는지 증명할 필요 없이, 제품 결함과 피해의 연관성만 있으면 책임을 진다.

한국의 책임 체계: 얇은 층

한국 AI 기본법의 책임 체계를 보면, EU의 세 층에 비해 현저히 얇다.

행정 제재

법 제43조 + 시행령 별표 2. 과태료 부과.[^4]

위반 행위             1차          2차         3차 이상
─────────────────────────────────────────────────────
투명성 미이행        500만원     1,000만원    1,500만원
국내대리인 미지정   2,000만원    2,000만원    2,000만원
시정명령 불이행     1,000만원    2,000만원    3,000만원
─────────────────────────────────────────────────────
최대 상한: 3,000만원

법 제32조(프론티어 AI) 위반에 대한 과태료 규정은 없다. 제재 공백.

민사 책임

AI 기본법에 별도 책임 조항이 없다. 일반 민법 불법행위(제750조), 제조물책임법, 개인정보보호법 등이 간접 적용된다. 그러나 인과관계 추정이나 입증 책임 전환 규정이 없다.

피해자가 “이 AI의 이 결함이 이 피해를 일으켰다”를 직접 입증해야 한다. 블랙박스 AI를 상대로 인과관계를 입증하는 것은 기술적으로 매우 어렵다.

국가 책임

KC인증 체계에서는 국가기관이 인증을 발급했기 때문에, 결함 제품에 대해 국가 책임이 제기되는 경우가 있었다. 그런데 AI 기본법에는 사전 인증이 없다(C-1 참조). 국가의 사전 게이트키핑이 없으니, 사고 발생 시 국가 책임 주장이 더 어려워진다.

사후 감시 실패에 대한 국가 책임도 불명확하다. AI 기본법 제40조의 사실조사 권한이 존재하지만, 조사 미실시로 인한 국가 책임 조항이 없다.

숫자로 보는 격차

                    한국                  EU
────────────────────────────────────────────────────────
최대 행정 제재     3,000만원             €35M or 매출 7%
GPAI 위반 제재     없음                  €15M or 매출 3%
인과관계 추정      없음                  AI Liability Directive
입증 책임 전환     없음                  있음
AI 소프트웨어      일반 민법 적용        제조물책임법 명시
민사 손해         인과관계 자증          추정 후 반증 구조
────────────────────────────────────────────────────────

배경을 보면 격차가 더 크다. 삼성이나 LG 같은 대기업이 AI 사고를 낸다면:

한국 과태료 최대 3,000만원 → 분기 영업이익 대비 무시할 수 있는 수준.

EU 제재 최대 매출의 7% → 삼성전자 2024년 연매출 약 3,000억 달러 기준으로 계산하면 약 21조원 규모. 물론 실제로 이 수준이 부과된 사례는 없고 비례성 원칙에 따라 조정되지만, “잠재적 위협의 크기”가 다르다.

이 숫자 차이가 기업의 사전 투자 결정에 영향을 미친다.

[필자 분석] 책임의 무게가 행동을 결정한다

규제 이론에서는 이를 억지력(deterrence) 이라 한다. 위반 시 예상 비용이 위반으로 얻을 이익보다 크면, 기업은 법을 준수한다.

EU의 “매출 7%”는 억지력이 설계된 숫자다. 2018년 GDPR이 “매출 4%” 기준을 도입한 이후, 실제로 Meta에 €1.3B(2023), 아마존에 €746M(2021) 등의 거액 제재가 부과되었다.[^5] 이 제재들이 데이터 처리 방식에 대한 기업의 투자와 정책을 바꿨다.

AI Act의 “매출 7%”도 같은 논리다. 제재가 실제로 집행되기 전에, 그 잠재적 크기가 기업의 리스크 관리 투자를 끌어낸다.

한국의 3,000만원은 이 기준에서 억지력이 거의 없다. 한국 규제 당국도 이 사실을 안다. AI 기본법 입법 과정에서 더 강한 제재 조항이 논의되었으나, 산업 육성과 규제 균형의 논리로 약화되었다.

그러나 억지력이 없는 규제는 선언에 그친다. 선언은 신뢰를 만들지 못한다. 신뢰 없이 AI의 사회적 수용이 가능한가.

국가 책임의 측면에서도 역설이 있다. KC인증 체계에서는 국가가 “허가”를 줬기 때문에 사고 시 책임의 일부를 져야 했다. AI 기본법은 사전 인증 없이 사업자 책무만 부과하는 방식을 택했다. 국가 책임을 줄이는 방향이다. 그런데 이것이 “국가가 더 자유로워진 것”인지, “기업에게 더 큰 책임을 맡긴 것”인지는 후속 제재 체계가 결정한다. 제재가 약하면, 결국 아무도 충분한 책임을 지지 않는 구조가 된다.

마무리 — 다음 질문

제재의 차이를 확인했다. 그런데 제재가 집행되려면, 먼저 피해자가 소송을 제기할 수 있어야 한다.

그것도 쉽지 않다. AI의 피해는 눈에 보이지 않는 경우가 많다. 채용 AI에서 불합격했을 때, 대출 AI에서 거절당했을 때, 이것이 AI의 편향 때문인지 다른 이유 때문인지 피해자는 알 수 없다. 알 권리가 있어야 한다. 설명을 요구할 수 있어야 한다.

그 이야기를 다음 글에서 한다.

이전 글: [C-2] 신기술이 나왔을 때 누가 더 빨리 대응하는가 다음 글: [C-3-1] AI가 잘못 판단했을 때 누가 책임지는가

주석 : [^1]: EU AI Act Article 99. 세 단계 행정 제재. Article 101: GPAI 위반 시 €15M or 매출 3%. [^2]: EU AI Liability Directive 제안 (COM(2022) 496). 2024년 유럽의회·이사회 협상 진행. 인과관계 추정 및 기술문서 공개 의무 포함. 법적 절차 진행 중으로 최종 채택 확인 필요. [^3]: EU Product Liability Directive 개정 (Directive 2024/2853, OJ L 2024). 2024년 11월 채택. 소프트웨어·AI 시스템을 “제품(product)” 정의에 명시 포함. [^4]: 인공지능 발전과 신뢰 기반 조성 등에 관한 기본법 제43조 + 시행령 별표 2. 위키 [[한국AI기본법-EU-AI-Act-조문대응]] §9 참조. [^5]: GDPR 집행 사례: Meta €1.3B (2023, DPC Ireland), Amazon €746M (2021, CNIL Luxembourg). GDPR 4% 기준 집행 실적. EU AI Act 7% 기준은 억지력 강화 목적.

참고