6 분 소요

— 기존 시장감시 체계의 한계와 새로운 실험

Series B. EU AI Act: 새 법인가, 기존 법의 확장인가 | B-4 이전 글: [B-3] AI가 업데이트되면 인증을 다시 받아야 하나 다음 글: [C-1] ‘안전인증’과 ‘CE 마킹’은 무엇이 다른가

A-4에서 본 시장감시 체계가 AI 시대에 왜 부족한지, EU가 어떤 새로운 거버넌스를 설계했는지 추적한다. B 시리즈의 마지막 글.

유럽연합에는 27개 나라가 있고, 27개의 시장감시기관(MSA)이 있다.

독일 제품은 독일 MSA가 감시한다. 프랑스 제품은 프랑스 MSA가 감시한다. A-4에서 우리가 확인한 체계다. Regulation 2019/1020이 이들의 권한과 절차를 규정하고, Safety Gate(RAPEX)가 위험 정보를 공유하고, UPCN이 조정한다.

물리적 제품에 이 체계는 잘 작동해왔다. 독일 공장에서 나온 불량 토스터를 독일 MSA가 발견하면, Safety Gate로 통보하고, 다른 26개국 MSA가 자국 시장에서 같은 제품을 확인한다.

그런데 2024년, EU는 이 체계만으로는 부족하다고 판단한다. AI Act에 전혀 새로운 기구를 만든다.

European AI Office. 유럽 AI 사무소.[^1]

왜?

MSA 체계의 세 가지 한계

AI가 기존 시장감시 체계에 던지는 도전은 세 가지다.

첫째, 국경이 없다.

토스터는 독일 매장에서 팔린다. 물리적 실체가 있고, 유통 경로가 추적 가능하다. 그런데 AI 모델 하나가 클라우드에 배포되면, 동시에 27개국에서 작동한다. 서버는 아일랜드에 있고, 개발사는 미국에 있고, 사용자는 전 유럽에 흩어져 있다.

어느 나라의 MSA가 감시해야 하는가? 독일 MSA가 아일랜드 서버의 AI를 감시할 수 있는가?

둘째, 범용 모델(GPAI)은 어디에도 속하지 않는다.

GPT-4나 Claude 같은 범용 AI 모델은 그 자체로 특정 제품이 아니다. 수천 가지 용도로 쓰일 수 있다. 의료에 쓰이면 의료기기법 영역이고, 채용에 쓰이면 고위험 AI 영역이다. 하지만 모델 자체는 어떤 분야 MSA의 관할에도 깔끔히 들어가지 않는다.

NLF 체계에서 MSA는 특정 법령의 특정 제품을 감시하도록 설계되었다. 모든 법령에 걸치는 범용 기술이라는 개념은 NLF 설계 시 존재하지 않았다.

셋째, 전문성의 벽.

토스터의 안전성을 평가하려면 전기공학 지식이 필요하다. AI의 안전성을 평가하려면 머신러닝, 데이터 거버넌스, 편향 분석, 사이버보안, 그리고 적용 분야의 도메인 지식까지 필요하다.

27개국 MSA 모두가 이 전문성을 갖추기는 현실적으로 어렵다. 소규모 회원국의 MSA가 OpenAI의 최신 모델을 독자적으로 평가할 역량이 있는가?

EU의 해법: 세 개의 톱니바퀴

EU는 이 세 가지 한계에 대해 새로운 거버넌스 구조를 설계했다. 기존 MSA 체계를 폐기한 것이 아니라, 그 위에 세 개의 새 장치를 추가했다.

톱니바퀴 1: AI Office (Article 64)

European AI Office는 EU 집행위원회 내에 설치된 AI 전문 집행기관이다. DG CNECT(통신망·콘텐츠·기술 총국) 산하.[^2]

핵심 임무는 네 가지:

  • 하나. GPAI 모델 집행 총괄. 범용 AI 모델에 대한 규칙은 27개국 MSA가 아니라 AI Office가 직접 집행한다.[^3] GPT-4, Claude, Gemini 같은 모델을 평가하고, 위반 시 조치하는 것은 AI Office의 몫이다.

  • 둘. AI 전문성 허브. “The Centre of AI Expertise in Europe.” AI 표준, 기술 평가, 리스크 분석에 대한 범유럽 차원의 전문 지식 축적.

  • 셋. AI Board 사무국. 27개 회원국 대표로 구성된 AI Board의 운영을 지원한다.

  • 넷. 표준화·샌드박스 조정. CEN-CENELEC JTC 21의 조화표준 개발과 규제 샌드박스 운영을 조율한다.

톱니바퀴 2: AI Board (Article 65-67)

AI Board는 UPCN의 AI 버전이라 할 수 있다.[^4]

A-4에서 본 UPCN(Union Product Compliance Network)은 27개국 MSA의 조정 기구였다. AI Board도 같은 역할을 한다. 27개국 대표가 모여 AI Act 시행의 일관성을 보장한다.

다만 차이가 있다. UPCN은 시장감시의 조정에 집중했다면, AI Board는 그보다 범위가 넓다. AI Act 전반의 시행 — 표준, 샌드박스, 코드 오브 프랙티스, 회원국 간 격차 — 을 다룬다.

톱니바퀴 3: Advisory Forum (Article 67)

이해관계자 자문기구. 산업계, 스타트업, 시민사회, 학계 대표가 AI Board에 자문을 제공한다. NLF에는 없던 구조다. AI 규제가 기술·사회·윤리의 교차점에 있기 때문에, 정부와 기업 외의 목소리를 제도적으로 반영한 것이다.

세 개의 톱니바퀴가 물리는 방식

이 세 장치와 기존 MSA 체계가 어떻게 맞물리는지 보자.

                    [AI Office]
                    GPAI 직접 집행
                    전문성 허브
                         │
         ┌───────────────┼───────────────┐
         │               │               │
   [AI Board]      [Advisory Forum]  [27개국 MSA]
   회원국 조정      이해관계자 자문   고위험 AI 감시
   일관성 보장      산업·학계·시민    (Reg 2019/1020 준용)
         │                               │
         └───────────┬───────────────────┘
                     │
              [Safety Gate / ICSMS]
              위험 정보 공유 인프라
              (A-4에서 확인한 체계)

핵심 설계 원리: 기존 MSA 체계는 그대로 작동한다. 27개국 MSA는 여전히 자국 시장의 고위험 AI를 감시한다. Reg 2019/1020의 11대 권한 — 위장구매, 온라인 차단 포함 — 이 그대로 적용된다.

그 위에 AI Office가 GPAI를 직접 관할하고, AI Board가 회원국 간 일관성을 보장하고, Advisory Forum이 외부 시각을 투입한다.

B-1에서 본 “기존 건물에 새 층 올리기”가 거버넌스에도 적용된 것이다.

논쟁: 중앙 집중인가, 분산인가

AI Office의 탄생 과정은 순탄하지 않았다. EU 내부에서 두 가지 논쟁이 있었다.

첫째, 보충성 원칙(Subsidiarity) 긴장.

EU는 전통적으로 “회원국이 할 수 있는 일은 회원국에 맡긴다”는 보충성 원칙을 따른다. 시장감시가 대표적이다. 독일 시장은 독일이 감시한다.

AI Office는 이 원칙에서 한 발 벗어난다. GPAI 집행을 EU 중앙(집행위원회)에 집중시켰다. 프랑스의 Mistral이든, 미국의 OpenAI든, GPAI 모델 감독은 회원국이 아니라 브뤼셀의 AI Office가 한다.

이는 EU 제품안전 역사에서 전례가 드문 중앙 집행이다.[^5] 의약품(EMA)이나 화학물질(ECHA) 분야에서는 유사한 중앙 기관이 있지만, 제품안전/NLF 체계 내에서는 AI Office가 최초의 사례에 가깝다.

둘째, AI Office의 독립성.

AI Office는 독립 기관(Agency)이 아니라 집행위원회 내부 조직(DG CNECT 산하)이다. EMA나 ECHA처럼 별도 법인격을 가진 독립 기관이 아니다.

이것이 좋은 점은 의사결정이 빠르다는 것이고, 우려되는 점은 집행위원회의 정치적 판단에 영향받을 수 있다는 것이다. AI 산업 육성과 AI 규제 집행을 같은 조직(집행위원회) 안에서 하는 것이 적절한가? 이 질문은 아직 열려 있다.

GPAI에 대한 별도 규율

AI Office가 직접 관할하는 GPAI(General Purpose AI) 모델 규율은 AI Act에서 가장 독자적인 부분이다.[^6]

NLF에도, 기존 어떤 제품안전법에도 대응 개념이 없다.

GPAI 규율의 핵심 구조:

모든 GPAI 모델
├── 투명성 의무 (Art.53)
│   └─ 기술문서 + 저작권 정보 + 훈련 데이터 요약
│
└── 시스템적 리스크 GPAI (Art.51(2))
    └─ 추가 의무 (Art.55)
        ├── 모델 평가
        ├── 적대적 테스트 (adversarial testing)
        ├── 시스템적 리스크 추적·완화
        ├── 중대 사건 보고
        └── 사이버보안 보장

시스템적 리스크의 기준은 10^25 FLOPs 이상의 연산량(Article 51(2)).[^7] 현재 GPT-4급 이상의 대형 모델이 해당된다.

흥미로운 것은 위반 시 제재다. GPAI 위반에 대한 과징금은 최대 1,500만 유로 또는 전 세계 매출의 3%(Article 101). NLF 전통의 과태료와는 차원이 다른, GDPR형 제재 체계다.

[필자 분석]

AI Office의 탄생은 NLF 체계의 진화인 동시에 한계의 고백이다.

40년간 NLF는 “분산 감시, 상호 인정”으로 작동했다. 회원국이 각자 감시하되, 하나의 기준으로 통일한다. 이 모델이 성공한 이유는 제품이 물리적이고, 시장이 지역적이었기 때문이다.

AI는 이 두 전제를 모두 깨뜨렸다. 제품은 소프트웨어이고, 시장은 즉시 전 지구적이다. 결국 EU는 NLF의 분산 모델만으로는 불가능한 영역 — GPAI — 에 한해서 중앙 집행을 선택했다. 고위험 AI는 여전히 MSA가 감시하되, GPAI만큼은 AI Office가 직접.

한국과 비교하면 흥미로운 대칭이 나타난다. 한국은 과기정통부 한 곳이 AI를 총괄한다. EU의 분산 모델과 정반대다. 한국의 인공지능안전연구소(법 제12조)는 AI Office의 한국판이라 할 수 있지만, 법적 근거와 권한 범위가 다르다. AI Office는 GPAI 집행권을 갖지만, 인공지능안전연구소는 “연구·평가” 중심이고 집행권은 명시되지 않았다.[^8]

더 근본적인 차이가 있다. EU는 AI Office를 기존 NLF-MSA 체계 위에 올렸다. 기초가 있는 건물에 새 층을 추가한 것이다. 한국은 기초(제품안전 시장감시 체계)와 새 층(AI 기본법)이 서로 연결되지 않은 채 병렬로 서 있다. 제품안전기본법과 AI 기본법 사이에 Reg 2019/1020 같은 연결 규범이 없다.

EU의 AI 거버넌스가 더 복잡해 보이지만, 복잡함의 이유가 있다. 40년간 쌓아온 체계 위에서의 복잡함이기 때문이다. 한국의 단순함은 효율적일 수 있지만, 체계가 아니라 빈칸일 수도 있다.

B 시리즈를 마치며

B 시리즈 네 편에 걸쳐 우리는 이것을 확인했다.

B-1에서, AI Act가 NLF의 다섯 기둥 위에 서 있음을 확인했다. B-2에서, 비례성 원칙이 4단계 피라미드로 구현되었음을 확인했다. B-3에서, AI의 지속적 변화가 NLF 체계에 가장 큰 긴장을 준다는 것을 확인했다. B-4에서, 그 긴장에 대한 EU의 거버넌스 해법을 확인했다.

하나의 질문이 관통한다. AI Act는 NLF의 성공적 확장인가, 아니면 NLF의 한계를 드러낸 실험인가.

답은 아마 둘 다일 것이다.

40년 된 체계의 강점(기술 중립, 표준 위임, 비례성)은 AI에도 유효하다. 그러나 AI의 고유한 속성(지속적 변화, 국경 없는 배포, 범용성)은 NLF가 설계되지 않은 영역이다. AI Act는 이 사이에서 균형을 찾으려는 시도다.

C 시리즈에서 우리는 시선을 한국으로 돌린다.

EU의 이 체계를 한국과 나란히 놓으면 무엇이 보이는가. 같은 목표를 향해 다른 길을 걷는 두 체계. 어느 쪽이 더 “똑똑한” 규제인가. 그 질문은 C-1에서 시작한다.

이전 글: [B-3] AI가 업데이트되면 인증을 다시 받아야 하나 다음 글: [C-1] ‘안전인증’과 ‘CE 마킹’은 무엇이 다른가

주석 : [^1]: AI Act Article 64. European AI Office 설립 근거. 2024년 8월 1일(AI Act 발효)과 함께 출범. [^2]: DG CNECT = Directorate-General for Communications Networks, Content and Technology. EU 집행위원회 내 AI 정책 주관 총국. [^3]: AI Act Article 88-94. GPAI 모델에 대한 AI Office의 직접 집행 권한. 정보 요청·평가·시정조치·과징금 부과. [^4]: AI Act Article 65-66 (AI Board), Article 67 (Advisory Forum). UPCN(Union Product Compliance Network, Reg 2019/1020 Art.29-33)의 AI 확장판. [^5]: EU 제품안전 역사에서 중앙 집행 선례: EMA(European Medicines Agency, 의약품), ECHA(European Chemicals Agency, 화학물질). NLF 체계 내에서는 AI Office가 최초에 가까운 중앙 집행 사례. [^6]: AI Act Article 51-55 (Chapter V). GPAI 모델 규율. NLF에 대응 개념 없음. [^7]: AI Act Article 51(2). 시스템적 리스크 GPAI 기준: 누적 연산량 10^25 FLOPs. 한국 AI 기본법 시행령 제24조의 10^26 FLOPs와 10배 격차. 위키 [[한국AI기본법-EU-AI-Act-조문대응]] §5 참조. [^8]: 한국 인공지능 발전과 신뢰 기반 조성 등에 관한 기본법 제12조(인공지능안전연구소). 위키 [[인공지능안전연구소]] 참조.

참고