2026년 시행을 앞두고 드러난 성과와 구조적 한계

2025년 1월 14일, 「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」(이하 AI 기본법)이 국무회의에서 의결되며 우리나라는 국가 차원의 포괄적 AI 기본법을 마련한 주요 국가 중 하나가 되었습니다. 법은 같은 해 1월 21일 공포되었고, 1년의 준비 기간을 거쳐 2026년 1월 22일 시행을 앞두고 있습니다.

유럽연합(EU)은 이미 2024년 「EU AI Act」를 제정·발효하여, 위험 기반 규제 체계를 갖춘 세계 최초의 초국가적 AI 규제법을 시행 단계에 들어섰습니다. 우리나라의 AI 기본법 또한 이러한 국제 흐름 속에서, 국가 단위에서 AI 전반을 포괄적으로 다루려는 비교적 이른 시도의 하나로 볼 수 있습니다.

다만 올해 시행을 앞두고 AI 기본법이 그동안 문제로 제기되어 왔던 것이 지난 1년간 논의 과정에서 보완되었는지에 대해서는 의문입니다.

국무회의 의결 이후, 무엇이 보완되었나?

과학기술정보통신부는 2025년 하반기 시행령 초안을 공개하고, 산업계·전문가·시민사회 의견 수렴을 거쳐 세부 규정을 구체화해 왔습니다. 주요 보완 사항은 아래와 같습니다.

1. AI 결과물에 대한 투명성 의무 강화.
생성형 AI 및 고영향 AI를 활용한 서비스는 이용자에게 AI 활용 사실을 명확히 고지해야 하며, 특히 딥페이크 콘텐츠에는 가시적 워터마크를 부착하도록 했습니다. 이는 허위정보 확산과 초상권 침해 문제에 대응하기 위한 최소한의 보호 장치입니다.

2. 초거대·고성능 AI에 대한 안전성 기준 도입
시행령은 누적 연산량 10²⁶ FLOPS 이상인 AI 시스템을 ‘고성능 AI’로 정의하고, 위험성 평가 및 안전조치 의무를 부과했습니다. 이는 EU AI Act 및 미국 일부 주 법안을 참고한 기준으로, 프론티어 AI에 대한 선제적 관리 시도라는 점에서 의미가 있습니다.

3. 고영향 AI 판단 절차의 제도화
의료, 채용, 금융, 교통 등 인간의 생명·권리에 중대한 영향을 미칠 수 있는 영역에 대해, 사업자가 사전에, 정부에 해당 여부를 질의하고 공식 판단을 받을 수 있는 절차가 마련되었습니다.

2026년 시행을 앞둔 현재의 이슈

AI 기본법을 둘러싼 가장 큰 논쟁은 규제의 실효성입니다. EU AI Act가 ‘허용 불가 AI(Unacceptable Risk AI)’를 명시적으로 금지하는 것과 달리, 한국 AI 기본법에는 개발·사용이 금지되는 AI 유형이 규정되어 있지 않습니다.

자율 살상 무기, 인간의 자유의지를 교란하는 조작적 AI 등 명백한 고위험 기술에 대한 최소한의 금지선조차 설정되지 않았다는 점은 시민사회와 인권 단체가 지속적으로 비판해 온 부분인데 전혀 개선되지 않았습니다. 또한 고영향 AI 사업자가 의무를 위반하더라도, 직접적인 처벌보다는 시정명령과 최대 3천만 원의 과태료에 그치는 구조에서는 실효성이 없다는 평가가 대부분입니다. 예를 들어 군수 산업에서 3천만 원의 과태료는 충분히 지급할 수 있는 비용일 겁니다.

다만, 어찌 되었든 AI 기본법이 발의된 것 자체는 의미가 있습니다. 특히 아래의 점에서는 분명 진전을 보여주었습니다.

• AI를 단순 산업 기술이 아닌 사회적 영향력을 지닌 공공적 기술로 인식했다는 점
• 투명성·안전성·신뢰성이라는 공통 원칙을 국가 법률 차원에서 명문화했다는 점
• EU식 강력한 사전 규제와 미국식 시장 자율 모델 사이에서 절충적 위험 기반 접근을 시도했다는 점

따라서, 이번에 시행되는 AI기본법은 완결된 규제 체계라기보다는 향후 개정과 정책 보완을 전제로 한 출발점으로 보는 것이 맞을 것입니다.

녹색당 논평(2025.1.25) 이후, 무엇이 달라졌는가

위의 연장선에서 앞으로 어떠한 부분이 보완되어야 하는지를 살펴보기 위해 좋은 기준점이 있습니다. 그건 AI기본법 의결 후 내놓은 녹색당 과학기술위원회(구 ICT위원회)의 논평입니다. 크게 3가지를 개선해야 함을 지적했고 각 내용은 다음과 같습니다.

1. 포괄적인 국제적 협력 및 표준화 부족

OECD AI 원칙은 국제 협력과 상호 운용할 수 있는 거버넌스 및 정책 환경의 중요성을 강조하며 다자간 합의 기반으로, 국제적으로 비교할 수 있는 지표를 사용하여 AI 연구, 개발 및 배포를 측정하도록 가이드하고 있습니다. 또한 UN 결의안에는 안전하고 신뢰할 수 있는 AI 시스템을 위한 국제적 상호 운용할 수 있는 안전장치, 관행 및 표준을 공식화하고 개발도상국의 참여를 통해 인공지능 거버넌스 구성에 있어 격차를 해소하고 함께해 나가게 되어 있습니다. 그러나 현행 AI 기본법은 여전히 선언적 조항만 두고 있을 뿐, 글로벌 안전 기준, 개도국 지원, 국제 거버넌스 참여 전략 등을 구체화하지 못했고.. 시행령에서도 이 부분은 보완되지 않았습니다.

2. AI시스템의 생명 주기 관리 부재 및 관리 방법 내에 인공지능 윤리의 구체성 부족

OECD AI 원칙은 인공지능의 투명성, 설명 가능성, 견고성, 보안, 안전 및 책임성 등 구체적인 윤리적 원칙을 제시하고 있습니다. 모든 정보기술 서비스가 마찬가지지만 개발 그 자체보다 개발 과정에서 윤리 기준을 지키고 운용 과정에서 이를 안정적으로 관리하는 것이 더 중요합니다. 기술 그 자체가 중요한 것이 아니라 해당 기술에 기반하여 만든 서비스를 사람이 운용하고 그 영향이 서비스를 이용하는 모든 사람에게 미치기 때문에 설계, 개발, 테스트, 배포, 사용, 폐기에 이르는 전 과정을 해당 서비스를 개발하는 기업이 어떻게 운용하느냐가 중요합니다. 이에 필요한 전문 역량이 부족한 기업은 안전과 윤리를 지켜나갈 수 있도록 정부가 지원하고 충분한 돈과 인력을 갖춘 기업은 투명하게 운용 명세를 공개하고 정부가 감시할 수 있는 체계를 갖추어야만 합니다. 이는 단순히 규제의 부족을 얘기하고 있는 것이 아닙니다. 이것이 누락되었다는 것은 AI 기반의 서비스가 어떻게 만들어지고 각 현장에서 어떻게 운용되는지에 대해 현 정부 관료들, 입법 기관의 실무자들이 이해가 부족한 상황을 드러냅니다. 최근 하정우 수석이 임명되어서 청와대 비서관으로 활동 중이지만 산업적인 측면만 두드러질 뿐, AI 윤리에 대해서는 많은 부족함이 보입니다.
기술을 계속 발전시켜 나가는 것도 중요하고 이를 통해 돈을 버는 것도 중요하겠지만, AI가 전방위로 모든 시민의 정신 건강까지 영향을 미친다는 점을 고려하면, AI 시스템의 설계–개발–학습–배포–운영–폐기에 이르는 전 과정에 대한 생명주기 관리 체계는 책임 구조를 바로 세우는 일입니다. AI로 인한 차별, 오판, 권리 침해가 발생했을 때, 사전 예방과 사후 책임을 연결하는 법적 고리가 여전히 약합니다. 현재는 법에 관련 내용이 포함되어 있지 않을 뿐만 아니라, 인공지능 인권 영향 평가 역시 “노력 의무”에 머물러 있으며, 시행령에서도 강행 규정으로 전환되지 않고 있습니다.

3. 디지털 격차 해소

아직 우리나라뿐만 아니라 많은 나라가 디지털 리터러시의 부재로 시민 간의 격차가 벌어져 있는 상황입니다. 여기에 AI 리터러시도 최근 쟁점이 되고 있습니다. 정부가 해야 할 일이 이러한 격차를 해소하고 시민들이 공평하게 최신의 기술과 더 나은 서비스를 삶에서 누리게 해주는 것일 텐데, 여전히 이에 대해서는 구체적인 언급이 없습니다. 이는 UN과 OECD가 강조하는 ‘포용적 AI’ 원칙과 비교할 때 분명한 공백입니다. 현재 일부 부처 사업이 존재하나, 이는 법적 의무가 아닌 정책 재량에 의존하고 있어 지속성과 책임성이 취약합니다. ‘포용적 AI’는 향후 법 개정 또는 국가 AI 기본계획을 통해 반드시 보완되어야 할 영역 중의 하나입니다.

참고로 OECD AI 원칙을 계속 강조하는 이유는 AI에 관한 최초의 정부 간 표준이며, 우리나라를 포함한 전세계 40개국 이상이 서명한 국제 지침으로, 서로 다른 지침을 갖고 있다고 생각되어지는 EU와 미국(당시 트럼프 대통령)이 함께 합의한 원칙이기 때문입니다. 

시행은 끝이 아니라 시작이다

AI 기본법은 한국 사회가 AI를 다루는 방식에 있어 중요한 제도적 이정표입니다 그러나 동시에, 녹색당과 시민사회가 지적해온 문제 대부분이 여전히 해결되지 않은 채 시행을 맞이하고 있다는 사실도 분명합니다.

2026년 시행 이후 주어질 계도기간은 단순한 유예가 아니라,
국제 기준에 부합하는 방향으로 법을 재정비할 수 있는 결정적 기회가 되어야 합니다.

AI법제화에서 가장 중요한 부분은 사람의 권리와 존엄을 중심에 둔, 신뢰 가능한 AI 거버넌스를 실제로 구현할 수 있는가입니다. AI 기본법이 그 출발점에 머무를지, 진정한 기준으로 발전할지는 지금부터의 정책 선택과 사회적 논의에 달려 있습니다.

많은 관심과 참여, 그리고 논의가 계속 필요합니다.

Green Geek을 구독하시면 지금 보시는 것과 같은 ICT 소식과 정보를 받아보실 수 있습니다.

용어 사전

EU AI Act: 유럽연합이 만든 AI 규제법으로, AI를 위험 수준에 따라 나누고 위험이 큰 AI는 더 엄격하게 제한·관리하는 제도입니다. (자세한 내용은 “AI 리스크를 관리하기 위한 국제 동향과 국내외 입법 현황 (2)” 편 참조)
위험 기반 규제 체계(Risk-based regulation): 모든 AI를 똑같이 규제하지 않고, 사람에게 미칠 위험이 큰 분야(예: 채용·의료)는 강하게, 위험이 낮은 분야는 상대적으로 가볍게 관리하는 방식입니다.
초국가적 규제법: 한 나라가 아니라 여러 나라(예: EU 회원국)가 함께 적용하는 법을 뜻합니다.
생성형 AI(Generative AI): 글, 이미지, 영상, 음성 등을 ‘새로 만들어내는’ AI입니다. 챗봇이나 이미지 생성 AI가 여기에 해당합니다.
고영향 AI(High-impact AI): 사람의 생명, 안전, 권리, 기회에 큰 영향을 줄 수 있는 분야(의료, 채용, 금융 등)에 쓰이는 AI를 말합니다. 문제가 생기면 피해가 커서 특별 관리가 필요합니다.
딥페이크(Deepfake): AI로 사람의 얼굴·목소리를 합성해 실제처럼 보이게 만든 콘텐츠입니다. 사기, 명예훼손, 허위정보에 악용될 수 있습니다.
워터마크(Watermark): 사진이나 영상에 ‘표시’를 넣어 출처나 변형 여부를 알리는 장치입니다. 딥페이크에 워터마크를 붙이면 AI로 만든 콘텐츠임을 알아채기 쉽게 하려는 목적이 있습니다.
투명성 의무(Transparency obligation): “이 콘텐츠/서비스는 AI를 사용했다” 같은 사실을 이용자에게 알리도록 하는 책임입니다. 숨기지 말고 공개하라는 뜻입니다.
초거대·고성능 AI(Frontier / High-performance AI): 매우 큰 규모의 데이터와 연산으로 학습된, 성능이 뛰어난 AI를 말합니다. 사회적 영향이 커서 별도의 안전 기준이 논의됩니다.
누적 연산량(Compute) / FLOPS: AI를 학습시키거나 돌릴 때 컴퓨터가 얼마나 많은 계산을 했는지 나타내는 값입니다. 숫자가 클수록 더 “큰 규모의 AI”일 가능성이 높습니다.
10²⁶ FLOPS: ‘10의 26제곱’ 수준의 매우 큰 계산량을 뜻합니다. 일반 독자에게는 “엄청난 규모의 초고성능 AI를 구분하기 위한 기준선” 정도로 이해하시면 됩니다.
위험성 평가(Risk assessment): AI가 어떤 피해를 만들 수 있는지(차별, 오판, 사고, 보안 위협 등)를 미리 점검하고 위험을 줄이는 절차입니다.
안전조치(Safety measures): 위험을 줄이기 위해 도입하는 구체적 조치(검증, 모니터링, 접근 통제, 사고 대응 체계 등)를 뜻합니다.
고영향 AI 판단 절차(사전 질의·판단): 어떤 서비스가 ‘고영향 AI’에 해당하는지 사업자가 정부에 문의하고 공식 판단을 받는 제도입니다.
허용 불가 AI(Unacceptable Risk AI): 위험이 너무 커서 원칙적으로 사용 자체를 금지하는 AI 유형을 말합니다(예: 인간을 조종하는 기술 등). EU AI Act는 이런 범주를 명확히 둡니다.
자율살상무기(LAWS): 사람의 개입 없이 표적을 선택하고 공격할 수 있는 무기 체계를 말합니다. 윤리·인권 차원에서 강한 논쟁이 있는 기술입니다.
조작적 AI(Manipulative AI): 사람의 판단을 교란하거나, 심리적으로 유도해 특정 행동을 하게 만드는 AI를 뜻합니다(예: 취약 계층을 노린 과도한 설득).
시정명령(Corrective order): 법을 어겼을 때 바로 처벌하기보다 “이렇게 고쳐라”라고 정부가 명령하는 조치입니다.
과태료(Administrative fine): 형사처벌(전과)과는 달리, 행정적으로 부과되는 벌금 성격의 돈입니다.
계도기간(Grace period): 법을 바로 강하게 적용하기 전에, 현장에서 준비하고 적응할 시간을 주는 유예 기간입니다.
거버넌스(Governance): 정부·기업·시민사회가 어떤 규칙과 절차로 의사결정하고 책임을 나누는지, 즉 “운영 체계”를 뜻합니다.
국제적 협력 및 표준화(International cooperation & standardization): 나라별 규칙이 달라 혼란이 생기지 않도록, 공통 기준(표준)과 협력 체계를 만드는 것을 말합니다.
상호 운용성(Interoperability): 서로 다른 나라·기관·시스템이 같은 기준으로 연결되고 함께 작동할 수 있는 성질입니다.
다자간 합의(Multilateral agreement): 여러 나라가 함께 합의한 원칙이나 규범을 의미합니다.
지표(Indicators): 어떤 정책이나 현상을 측정하기 위한 ‘수치 기준’입니다(예: AI 위험 사건 수, 교육 참여율 등).
개도국(Developing countries): 경제·산업 발전 단계가 상대적으로 낮아 지원이 필요한 나라들을 말합니다.
선언적 조항: “해야 한다/노력한다”처럼 방향만 말하고, 구체적으로 어떻게·누가·언제·어떤 책임을 지는지까지는 명확히 정하지 않은 조항입니다.
생명주기(Lifecycle) 관리: AI 서비스를 기획·설계→개발→학습→배포→운영→폐기까지 전 과정에서 안전과 책임을 관리하는 체계를 뜻합니다.
설명 가능성(Explainability): AI가 왜 그런 결론을 내렸는지 사람이 이해할 수 있도록 설명할 수 있는 성질입니다.
견고성(Robustness): 오류나 공격, 예외 상황에서도 AI가 쉽게 망가지지 않고 안정적으로 작동하는 성질입니다.
책임성(Accountability): 문제가 생겼을 때 “누Toggle지 책임지는지”가 분명하고, 책임을 회피하지 못하도록 만드는 원칙입니다.
인권영향평가(Human rights impact assessment): AI가 차별, 감시, 권리 침해를 일으킬 가능성이 있는지 사전에 평가하는 절차입니다.
노력 의무: “반드시 해야 한다”가 아니라 “하도록 노력하라”는 수준의 요구입니다. 법적 강제력이 상대적으로 약합니다.
디지털 리터러시(Digital literacy): 디지털 기기와 인터넷을 이해하고 안전하게 활용하는 기본 능력입니다.
AI 리터러시(AI literacy): AI가 무엇을 할 수 있고 무엇을 못 하는지, 결과를 어떻게 해석하고 위험을 어떻게 피해야 하는지에 대한 이해 능력입니다.
디지털 격차(Digital divide): 기술 접근성이나 활용 능력 차이 때문에 정보·기회·서비스 이용에서 격차가 벌어지는 현상입니다.
포용적 AI(Inclusive AI): 일부 사람만 혜택을 보는 AI가 아니라, 취약 계층도 배제되지 않도록 공정하고 접근 가능하게 설계·정책화된 AI를 뜻합니다.
정책 재량: 법으로 ‘반드시’ 하라고 정해진 것이 아니라, 정부가 상황에 따라 할 수도 있고 안 할 수도 있는 정책 결정 범위를 말합니다.
지속성/책임성: 정책이 일회성으로 끝나지 않고 계속 이어지며, 결과에 대해 누가 책임지는 구조가 있는지를 뜻합니다.