[A-4] 제품이 팔린 뒤가 더 무섭다
— 사후 시장감시 체계, 그리고 AI 시대의 규제 무게중심 이동
Series A. EU 제품안전 기초: NLF를 해부한다 | A-4 이전 글: [A-3] Notified Body는 심판인가, 코치인가 다음 글: [B-1] AI Act는 NLF 위에 AI 챕터를 얹은 것이다
EU의 사후 시장감시 체계 Regulation 2019/1020과 RAPEX를 통해, 왜 출시 후 관리가 현대 규제의 핵심인지를 추적한다.
우리는 시험 당일을 가장 두려워한다.
시험지를 받기 전까지 떨고, 제출하는 순간 해방감을 느낀다. 그 이후는 결과를 기다릴 뿐이다. 무언가가 끝났다는 감각. 다음으로 넘어갈 수 있다는 안도.
그런데 CE 마크를 붙이고 제품을 시장에 출시한 기업들은 종종 이런 착각을 한다. “인증을 받았으니 끝났다.”
끝나지 않았다.
오히려 지금부터가 시작이다.
인증은 입장권이다, 보증서가 아니다
A-2와 A-3에서 살펴본 것처럼, 인증 모듈과 Notified Body는 제품이 시장에 나오기 전의 이야기다. 설계가 기준을 충족하는지, 생산 시스템이 적절한지를 사전 검증한다.
그런데 실제 위험은 제품이 시장에 나온 뒤 비로소 드러난다.
소비자가 예상치 못한 방식으로 제품을 사용한다. 여러 제품이 조합되어 새로운 위험을 만든다. 시간이 지나면서 재료가 열화된다. 소프트웨어가 업데이트되면서 동작이 바뀐다. 시험실에서는 발견되지 않았던 결함이 실제 환경에서 나타난다.
인증은 입장권이다. “이 제품은 기준을 충족한 채로 시장에 진입할 자격이 있다”는 확인이다. 그것이 시장에서의 안전을 영구적으로 보증하는 것은 아니다.
유럽은 이것을 일찍부터 알았다.
사후 관리의 법적 토대: Regulation 2019/1020
2019년, EU는 기존 시장감시 체계를 전면 강화하는 규정을 채택한다.
Regulation (EU) 2019/1020 — 공식 명칭은 “제품의 시장감시 및 적합성에 관한 규정”이다.¹
이 규정이 이전 체계(Regulation 765/2008의 시장감시 조항)와 다른 점이 있다.
첫째, 온라인 판매에 대한 직접 집행력이다. 2019년 이전까지 EU 역외 온라인 판매자가 기준 미달 제품을 팔아도 직접 제재할 수단이 마땅치 않았다. 2019/1020은 이를 바꿨다. EU 내에 사업장이 없는 제3국 제조사(한국, 중국 기업 포함)는 반드시 EU 내 책임자(Economic Operator)를 지정해야 한다. 이 책임자가 법적 의무를 대신 진다.
둘째, 회원국 간 협력 강화다. 독일이 위험 제품을 발견했을 때 그 정보가 프랑스, 폴란드, 스웨덴에 즉시 전달되고, 각국이 공조해 조치를 취하는 체계를 법제화했다.
셋째, 제품 생애주기 전반에 걸친 감시다. “시장에 처음 출시될 때”가 아니라 “유통 중인 내내” 감시 대상이다. 창고에 쌓여 있는 제품도, 온라인으로 팔리는 제품도, 이미 소비자 손에 있는 제품도 감시 범위에 들어온다.
RAPEX: 유럽 전체가 연결된 경보망
그리고 이 체계를 실시간으로 작동시키는 시스템이 있다.
RAPEX(Rapid Alert System for Non-Food Products), 현재는 Safety Gate라는 이름으로 운영된다.²
작동 방식은 단순하다.
독일의 시장감시 당국이 어느 완구에서 납 성분이 기준치를 초과했다는 것을 발견한다. 이 정보를 EU 집행위원회에 통보한다. 집행위원회는 24시간 이내에 EU 전 회원국에 경보를 발령한다. 각국 당국이 자국 내 동일 제품 유통을 확인하고 조치를 취한다.
한 나라에서 발견된 위험이 27개국에 동시에 전파된다.
역내가 아닌 제3국으로도 이 정보는 공유된다. RAPEX는 45개 비회원국과 정보 공유 협정을 맺고 있다. 한국의 국가기술표준원도 EU RAPEX 정보를 받아 국내 조치 여부를 검토한다.
경보가 울리면 어떻게 되는가.
1단계는 권고(Recommendation)다. 제조사에게 자발적 리콜을 권고한다. 2단계는 명령(Order)이다. 자발적 조치가 이루어지지 않거나 위험이 심각한 경우, 당국이 판매 금지·회수·폐기를 명령한다. 3단계는 국경 차단이다. 수입 단계에서부터 해당 제품의 EU 반입을 막는다.
사후 관리가 왜 점점 더 중요해지는가
여기서 한 발 더 들어가야 한다.
왜 유럽은 2019년에 시장감시를 이렇게 대폭 강화했는가. 단순히 기존 체계가 허술했기 때문인가.
배경에는 구조적 변화가 있다.
첫째, 온라인 쇼핑의 폭발적 성장이다. 아마존, 알리익스프레스를 통해 EU 소비자가 중국, 한국, 터키 제조사로부터 직접 제품을 구매한다. 기존 국경 검역 체계는 이 흐름을 따라가지 못했다. RAPEX 통계에서 EU 역외 수입 제품이 전체 경보의 77%를 차지한다는 사실이 이를 보여준다.
둘째, 제품의 소프트웨어화다. AI, IoT, 커넥티드 기기의 확산으로 제품이 출시 이후에도 계속 변한다. OTA(Over-The-Air) 업데이트 한 번으로 제품의 동작이 근본적으로 바뀔 수 있다. “출시 시점에 안전했다”는 인증이 6개월 뒤에도 유효한지 보장할 수 없다.
셋째, 글로벌 공급망의 복잡성이다. 하나의 제품에 20개국의 부품이 들어간다. 제조사가 모든 공급망을 완벽하게 통제하기 어렵다.
이 세 가지 변화가 사전 인증의 한계를 드러냈다. 출시 전에 모든 것을 잡아내는 것이 불가능하다면, 출시 후 신속하게 감지하고 대응하는 체계가 그 공백을 채워야 한다.
규제의 무게중심이 이동하고 있다.
[필자 분석] AI 시대 규제의 핵심은 사후다
사전 인증 → 사후 감시로의 무게중심 이동은 AI 규제에서 가장 첨예하게 드러난다.
전통적 제품 규제는 “출시 전에 완성된 제품”을 전제로 설계되었다. 설계를 검증하고, 생산을 감사하고, CE 마크를 붙이면 그 제품은 그 상태로 팔린다.
AI는 다르다. AI는 출시 후에도 학습하고 변한다. 사용자의 데이터를 먹고 자라는 AI는, 출시 시점의 AI와 1년 뒤의 AI가 다른 존재일 수 있다. 출시 전 검증이 출시 후 안전을 보증하지 못한다.
EU AI Act가 Article 61에서 “사후 모니터링 시스템(Post-market Monitoring System)”을 고위험 AI 제공자의 의무로 규정한 이유가 여기 있다. 제조사가 스스로 자신의 AI를 계속 감시해야 한다. 그 데이터를 시장감시 당국이 요구하면 즉시 제출해야 한다.
항공기의 블랙박스처럼, AI 시스템도 자신의 행동을 기록하고 보존해야 한다. 사고가 났을 때, 당시 AI가 무엇을 입력받고 무엇을 출력했는지 추적할 수 있어야 한다.
이것이 사전 인증만으로는 부족한 시대의 규제 설계다.
팔리기 전의 안전과, 팔린 후의 안전은 다른 문제다. 현대 규제는 이 두 문제를 모두 다뤄야 한다. 그리고 AI 시대로 갈수록 후자의 무게가 커진다.
마무리: NLF 시리즈의 끝, 그리고 AI Act의 시작
A 시리즈 4편에 걸쳐 우리는 EU 제품안전 체계의 설계도를 따라왔다.
법이 목표만 쓰고(A-1), 세 개념의 이름으로 체계를 나눴고(A-1-1), 기업이 증명 방법을 고르고(A-2), 제3자가 검증하고(A-3), 시장에서 지속적으로 감시받는(A-4) 구조.
이것이 NLF다.
그리고 EU AI Act는 이 체계 위에 새 챕터를 얹은 것이다. 아니, 얹은 것처럼 보이지만 실제로는 더 복잡하다. 그 이야기는 B 시리즈에서 이어진다.
→ 다음 글: [B-1] AI Act는 NLF 위에 AI 챕터를 얹은 것이다 ← 이전 글: [A-3] Notified Body는 심판인가, 코치인가
주석 ¹ Regulation (EU) 2019/1020 of the European Parliament and of the Council of 20 June 2019 on market surveillance and compliance of products. OJ L 169, 25.6.2019. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02019R1020-20240523 ² RAPEX(Safety Gate) 운영 현황. EU RAPEX 시스템의 운영 메커니즘과 글로벌 제품안전 관리 체계 (프로젝트 내부 자료) 참조. 2023년 이후 공식 명칭은 Safety Gate. https://ec.europa.eu/safety-gate-alerts/screen/webReport ³ EU AI Act, Article 61 (Post-market monitoring by providers and post-market monitoring plan for high-risk AI systems). Regulation (EU) 2024/1689, OJ L, 12.7.2024.
태그: #EU규제 #제품안전 #시장감시 #RAPEX #Regulation2019/1020 #리콜 #AI규제