5 분 소요

— 신뢰는 누구에게 맡기는가

Series C. 한국 vs EU: 어느 쪽이 더 똑똑한 규제인가 | C-1 이전 글: [B-4] AI Office는 왜 별도로 만들었나 다음 글: [C-1-1] KC와 CE를 동시에 받아야 하는가

B 시리즈에서 해부한 EU 체계를 한국과 나란히 놓는다. C 시리즈의 첫 번째 질문: 같은 “안전”을 목표로 하는 두 마크가 왜 이렇게 다른가.

한국에서 만들어진 전기밥솥이 있다.

국내 시장에서는 KC 마크가 붙어야 팔린다. 유럽에 수출하려면 CE 마크가 필요하다. 소비자 입장에서 두 마크는 비슷해 보인다. 둘 다 “이 제품은 안전하다”는 뜻이니까.

그런데 두 마크를 받는 과정은 완전히 다르다. 하나는 국가가 심사해서 준다. 다른 하나는 기업이 스스로 선언하고 붙인다.

이 차이가 사소해 보이는가.

사소하지 않다. 이 차이가 두 나라의 규제 설계 철학 전체를 반영한다. 그리고 AI 시대에, 이 차이는 더 크게 벌어진다.

KC인증: 국가가 심사하고 국가가 허가한다

한국의 KC 인증은 국가가 중심에 선다.[^1]

제품을 팔기 전에, 정해진 기관에 제품을 제출하고, 기관이 시험한다. 합격하면 인증서를 발급받는다. 인증서가 있어야 KC 마크를 붙일 수 있다. KC 마크가 없으면 국내 시장에서 팔 수 없다.

세 가지를 확인하자.

첫째, 사전 허가 방식이다. 인증을 받기 전에는 판매 자체가 금지된다. 국가의 “허락”이 먼저다.

둘째, 국가기관 또는 지정 기관이 심사한다. 기업이 스스로 “안전하다”고 선언하는 것이 아니라, 외부 기관이 판단한다. 한국인정기구(KOLAS) 인정을 받은 시험기관이나 국가가 지정한 인증기관이 그 역할을 한다.

셋째, 인증서는 국내에서만 유효하다. KC 마크가 있어도 유럽에서는 통하지 않는다.

비유하자면 KC 인증은 운전면허와 비슷하다. 면허를 따기 전에는 운전할 수 없다. 경찰청이 시험을 보고, 합격하면 면허증을 준다. 자격이 먼저고, 운전이 나중이다.

CE 마킹: 기업이 선언하고 기업이 붙인다

EU의 CE 마킹은 제조사가 중심에 선다.[^2]

제조사가 필수 요구사항을 충족했는지 스스로 평가한다. 적합성 평가(Conformity Assessment)를 수행하고, 기술문서(Technical File)를 작성하고, EU 적합성 선언(Declaration of Conformity)에 서명한다. 그리고 CE 마크를 직접 붙인다.

국가의 허가가 필요 없다. 제조사의 선언으로 충분하다.

단, 예외가 있다. 위험이 높은 제품에는 독립적인 제3자 — Notified Body(NB) — 가 개입한다(A-3 참조). 압력용기, 의료기기, 승강기 등. 이 경우 NB가 제조사의 평가를 검증하거나 직접 시험한다.

그런데 주목할 것은, NB가 개입하더라도 최종 책임은 제조사에게 있다. CE 마크는 국가가 발급하는 허가증이 아니라, 제조사가 자신의 법적 책임 하에 붙이는 표시다.[^3]

비유하자면 CE 마킹은 건축물 사용 허가보다는 건축사가 서명한 준공 확인서에 가깝다. 건축사(제조사)가 “이 건물은 건축 기준을 충족한다”고 서명한다. 국가(시장감시기관)는 사후에 문제가 생기면 조사한다.

두 체계의 핵심 차이

                KC인증              CE 마킹
────────────────────────────────────────────────
신뢰 기반       국가기관 심사        제조사 자기선언
               → 국가를 믿는다      → 제조사를 믿는다

사전/사후       사전 허가            사전 평가 + 사후 감시
               국가가 먼저 OK      제조사 선언 → 시장 출시
                                   → MSA가 사후 감시

위험 비례성     품목 지정 방식       모듈 A~H 비례 방식
               (법령으로 대상 열거) (위험에 따라 강도 결정)

유효 범위       국내만              EU 27개국 전체

책임 주체       인증기관 + 제조사   제조사 (NB는 검증자)

표준 관계       표준 충족 = 인증    표준 충족 = 준수추정
               (인증 선행)         (추정이지 의무 아님)
────────────────────────────────────────────────

이 차이는 어디서 왔는가.

A-1에서 우리가 확인한 역사적 배경을 기억하자. 1985년 이전 EU는 Old Approach였다. 정부 공무원이 직접 공장에 와서 도장을 찍었다. 그 방식이 단일 시장 형성을 막자, EU는 질문을 바꿨다. “정부가 모든 것을 검증하는 대신, 제조사에게 책임을 주고 나중에 감시하면 어떨까.”

그 답이 CE 마킹이다.

한국은 다른 역사적 경로를 걸었다. 제품안전기본법이 “국가가 안전을 보증한다”는 철학을 기반으로 설계되었다. 지금도 전기용품안전관리법, 방송통신기자재법 등에서 사전 KC인증이 원칙이다.

두 체계 중 어느 쪽이 우월한가? 그 질문은 단순하지 않다. 각각의 강점과 약점이 있다. 다만 AI 시대에 이 차이가 어떤 의미를 갖는지를 물어야 한다.

AI에서 이 차이가 어떻게 나타나는가

지금까지는 물리적 제품의 이야기였다. AI는 어떤가.

EU AI Act의 접근: CE 마킹 방식을 그대로 AI에 이식했다. 고위험 AI는 공급자가 Art.9-15의 8대 기술 요건을 충족하고, 적합성 평가를 수행하고, EU 적합성 선언(Article 47)에 서명하고, CE 마크를 붙인다(Article 49). 저위험 AI는 아무 인증 없이 출시 가능하다. 비례성 원칙이 작동한다.

한국 AI 기본법의 접근: 명시적 사전 인증 의무가 없다.[^4] 대신 “고영향 AI 확인”이라는 절차가 있다. 고영향 AI 사업자는 과기정통부 장관에게 자신의 AI가 어떤 분류인지를 확인받을 수 있다(법 제35조). 그러나 이것은 사전 허가가 아니다. 확인을 받지 않아도 출시할 수 있다.

결과적으로 한국 AI 기본법은 KC인증 방식도 CE 마킹 방식도 아닌 제3의 길을 택했다. 사전 허가는 없되, 사업자에게 6가지 책무를 부과하고(제34조), 위반 시 과태료를 부과하는 방식.

이 차이를 표로 정리하면:

                한국 고영향 AI          EU 고위험 AI
────────────────────────────────────────────────────
사전 평가       자율 확인 (선택)         적합성 평가 (의무)
기술문서        없음                    Annex IV (10개 항목, 의무)
인증 마크       없음                    CE 마킹 (의무)
NB 개입        없음                    생체인식 등 일부 의무
데이터 거버넌스  없음                    Article 10 (의무)
자동 로그      없음                    Article 12 (의무)
사후 모니터링   없음                    Article 72 PMS (의무)
제재 상한       3,000만원               €35M or 매출 7%
────────────────────────────────────────────────────

[필자 분석] 신뢰의 기반이 다르다

KC인증과 CE 마킹의 차이를 단순히 “절차”의 차이로 보면 본질을 놓친다.

이것은 신뢰의 기반을 어디에 두는가의 차이다.

KC인증은 “국가가 검증했으니 믿어도 된다”는 체계다. 소비자는 국가기관의 인증서를 신뢰한다. 기업이 아무리 좋은 제품을 만들어도, 국가의 도장이 없으면 팔 수 없다.

CE 마킹은 “제조사가 법적 책임을 지고 선언했으니, 문제가 생기면 책임진다”는 체계다. 소비자는 제조사와 시장감시 체계를 신뢰한다. 국가는 사전에 허가하는 것이 아니라, 사후에 감시하고 문제 제품을 퇴출한다.

어느 쪽이 더 안전한가? 이 질문은 잘못 설정되었다.

KC인증 체계는 국가기관이 모든 제품을 사전에 검증한다는 전제에서만 작동한다. 제품 수가 적고, 기술 변화가 느리고, 국가기관의 전문성이 높을 때 효과적이다.

CE 마킹 체계는 제조사의 법적 책임과 시장감시의 실효성이 전제다. 제품이 다양하고, 기술이 빠르게 변하고, 위험이 제품마다 다를 때 유리하다.

AI는 후자의 모든 조건을 갖추고 있다. 수천 가지 용도로 쓰이고, 매달 업데이트되고, 같은 모델도 어디에 쓰느냐에 따라 위험이 완전히 달라진다. 국가기관이 모든 AI를 사전에 검증하는 것은 현실적으로 불가능하다.

이것이 EU가 AI에도 CE 마킹 방식을 적용한 이유다. 그리고 한국 AI 기본법이 사전 인증 의무를 두지 않은 이유도, 아마 같은 인식에서 출발했을 것이다.

문제는 책임의 공백이다.

CE 마킹 체계에서는 제조사가 무거운 법적 책임(€35M or 매출 7%)을 지기 때문에 자기 선언의 신뢰성이 유지된다. 책임이 무거울수록 자기 선언이 신중해진다.

한국 AI 기본법에서 고영향 AI 사업자의 책임은 과태료 최대 3,000만원이다. 이 크기의 책임이 사전 인증 없는 체계를 지탱할 수 있는가. 이것이 C 시리즈에서 우리가 계속 돌아올 질문이다.

마무리 — 다음 질문

KC인증과 CE 마킹이 다른 체계라면, 한국 기업이 유럽에 AI 제품을 팔 때는 어떻게 되는가.

KC인증을 받았으니 CE 마킹도 인정해주나? 아니면 처음부터 다시 EU 방식으로 평가를 받아야 하나?

두 가지 인증을 동시에 유지하는 부담은 얼마나 큰가.

그 이야기를 다음 글에서 한다.

이전 글: [B-4] AI Office는 왜 별도로 만들었나 다음 글: [C-1-1] KC와 CE를 동시에 받아야 하는가

주석 : [^1]: 전기용품 및 생활용품 안전관리법, 방송통신기자재 등의 적합성평가에 관한 고시, 어린이제품 안전 특별법 등 KC 관련 법령군. 산업통상자원부·과학기술정보통신부·환경부 등 소관 부처별 KC인증 운영. [^2]: Blue Guide 2022 (OJ C 247), Section 4.1. CE 마킹의 법적 성격: 공급자가 해당 제품이 모든 적용 가능한 EU 조화 법령의 요건을 충족한다는 자기 선언. [^3]: Blue Guide 2022, Section 4.2. CE 마크는 국가가 허가한다는 의미가 아니며, 제조사가 법적 책임 하에 붙이는 표시임을 명시. “CE marking does not indicate that the product has been approved by a public authority.” [^4]: 인공지능 발전과 신뢰 기반 조성 등에 관한 기본법 제35조(인공지능 확인). 고영향 AI 확인은 의무가 아닌 임의 절차. 위키 [[한국AI기본법-EU-AI-Act-조문대응]] §2·§6 참조.

참고