AI 규제, 각국은 어디까지 왔나

규제 없이는 안 되는 시점이 왔다

2025년에 딥페이크 관련 범죄가 전년 대비 한 340% 늘었다는 통계를 보고 좀 충격받았다. AI 음성 복제를 이용한 보이스피싱, 가짜 영상으로 주가 조작, 허위 뉴스 생성. 기술이 빨라지는 만큼 악용 사례도 폭발적으로 늘고 있다.

개발자로서 AI 규제에 대한 입장이 좀 복잡하다. 규제가 혁신을 막을 수 있다는 걱정도 되고, 규제 없이 이대로 가면 안 된다는 것도 느끼고.

EU AI Act가 2024년에 발효되고, 2025년 8월부터 단계적으로 시행되고 있다. 핵심은 AI를 위험 등급별로 분류하는 거다.

금지 수준: 사회적 점수 시스템, 실시간 원격 생체 인식(일부 예외). 중국식 사회신용제도 같은 건 EU에서 못 쓴다.

고위험: 채용 AI, 신용 평가 AI, 의료 진단 AI. 이런 건 투명성 보고서 제출, 인간 감독, 데이터 품질 관리 의무가 있다.

라고들 하는데 내가 보기엔, EU AI Act의 가장 큰 문제는 실제 집행이다. 중소 AI 기업이 이 규정을 다 지키려면 컴플라이언스 비용이 한 2억~5억 원 수준이라는 추정이 있다. 스타트업한테는 진입 장벽이 되는 셈이다.

미국은 연방 차원의 포괄적 AI 법이 아직 없다. 대신 주별로 각자 규제를 만들고 있어서 좀 혼란스럽다. 캘리포니아, 뉴욕, 콜로라도가 독자적 AI 법안을 통과시켰다.

바이든 행정부의 AI 행정명령이 있었는데, 트럼프 행정부에서 상당 부분 철회됐다. 현재는 업계 자율 규제에 가까운 상황이다. 메타, 구글, 오픈AI가 자체적으로 안전 기준을 설정하고 있는데, (여우한테 닭장 지키라는 격 아닌가 싶기도 하다.)

한국은 2026년 1월부터 AI 기본법이 시행됐다. 고위험 AI에 대한 영향 평가 의무화, AI 윤리 가이드라인, 개인정보 처리 기준 등이 포함돼 있다.

솔직히 현장에서 느끼는 변화는 아직 크지 않다. 우리 회사에서 AI 기능을 서비스에 붙였을 때, 법무팀에서 영향 평가를 요구한 게 달라진 점이라면 달라진 점이다. 서류 작업이 한 2주 정도 추가됐다.

사실은 한국 AI 기본법이 EU보다 상당히 느슨하다. "혁신 친화적"이라고 하는데, 뒤집으면 규제가 약하다는 뜻이기도 하다. 딥페이크 관련 규제는 좀 더 강력해야 한다고 개인적으로 생각한다.

AI 모델을 서비스에 붙일 때 고려할 게 늘어났다. 개인정보가 AI 학습 데이터에 포함되는지, 편향성 테스트를 했는지, AI 의사결정의 설명 가능성이 있는지.

채용 AI를 만들면서 성별, 나이 편향이 없는지 테스트하는 데만 한 3주가 걸렸다. 예전에는 정확도만 신경 쓰면 됐는데, 이제는 공정성 지표도 봐야 한다.

귀찮은 건 사실인데, 필요한 과정이라는 것도 안다. 다만 규제의 구체적 기준이 모호한 부분이 있어서 "이 정도면 되는 건가" 확신이 안 서는 경우가 많다. 가이드라인이 좀 더 구체적이었으면 좋겠는데.