[현장] AI기본법, 시행 넘어 정교화 단계로…“불명확한 규제와 AI 보안 공백 줄여야” 작성일 06-09 30 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="BHtpOee4WN"> <div contents-hash="7344613ddfc63a836d7b92dc31eaf43ee06d4588f43ab9be74007a81c9b8851b" dmcf-pid="bXFUIdd8la" dmcf-ptype="general"> <h5>AI법정책포럼, AX 시대 국가 혁신 위한 법제 후속 과제 논의</h5> <h5>계인국 교수 “AI 정의·수범자·모델 개념 재정비 필요”</h5> <h5>정세진 변호사 “AI 보안 규제, 예방·차단에서 복원력 중심으로 전환해야”</h5> <div> </div> </div> <figure class="figure_frm origin_fig" contents-hash="0e5df3c04af829af482181425b153cf5e8645a689dfd0fc93d3b003e41705865" dmcf-pid="KWpzlnnQSg" dmcf-ptype="figure"> <p class="link_figure"><img alt="AI가 국가와 사회 전반의 체질을 바꾸는 AX 시대에 진입한 상황에서 이제 AI 법정책은 기술 규제에 머무르지 않고 국가 혁신 기반과 인간 존엄, 신뢰 확보를 함께 다뤄야 한다는 논의가 더해지고 있다. 이에 테크42는 이날 포럼에서 ‘인공지능기본법의 개선 방향’을 다룬 계인국 고려대 행정전문대학원 교수(오른쪽), ‘AI 보안의 법적 이슈 및 과제’를 주제로 다룬 정세진 법무법인 광장 변호사의 발제를 통해 현 시점에서 필요한 AI 법정책의 개선안을 들어봤다. (이미지=AI로 생성)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/09/552816-OGTrtXj/20260609085643610hitz.png" data-org-width="1024" dmcf-mid="qIi1DPPKhU" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/09/552816-OGTrtXj/20260609085643610hitz.png" width="658"></p> <figcaption class="txt_caption default_figure"> AI가 국가와 사회 전반의 체질을 바꾸는 AX 시대에 진입한 상황에서 이제 AI 법정책은 기술 규제에 머무르지 않고 국가 혁신 기반과 인간 존엄, 신뢰 확보를 함께 다뤄야 한다는 논의가 더해지고 있다. 이에 테크42는 이날 포럼에서 ‘인공지능기본법의 개선 방향’을 다룬 계인국 고려대 행정전문대학원 교수(오른쪽), ‘AI 보안의 법적 이슈 및 과제’를 주제로 다룬 정세진 법무법인 광장 변호사의 발제를 통해 현 시점에서 필요한 AI 법정책의 개선안을 들어봤다. (이미지=AI로 생성) </figcaption> </figure> <div contents-hash="bc5257331c0ea1386c5d07525a5cf1ed36bf94371bdd3122fe6ff4b5df167384" dmcf-pid="9YUqSLLxvo" dmcf-ptype="general"> <div> </div> </div> <p contents-hash="6c5f668af37120239053d4a53c4301cb88d8ac209dcd3571684a7e169bb03af6" dmcf-pid="2GuBvooMyL" dmcf-ptype="general">정보통신정책연구원(KISDI), 법무법인 광장, 한국정보통신법학회, 한국데이터인공지능법정책학회가 공동 주최한 ‘제2회 AI법정책포럼’이 지난 5일 서울 중구 남대문로 63 한진빌딩 본관 26층 그랜드홀에서 열렸다. </p> <p contents-hash="dae64a817685c569e2152a04412f8c79eacbe13d52b625c34fc8bef09b661694" dmcf-pid="VH7bTggRyn" dmcf-ptype="general">이번 포럼의 주제는 ‘AX 시대 국가 혁신 기반 구축을 위한 법정책적 과제’였다. 인공지능(AI)이 산업과 행정, 보안, 지역 정책까지 재편하는 핵심 인프라로 부상하면서, AI 법제의 논의도 법 제정 자체를 넘어 실제 집행 기준과 책임 체계, 기술 변화에 맞춘 제도 개선으로 옮겨가는 모습이다. </p> <p contents-hash="26e90abc46f6c853ca402f8891d81c19b6ac0ef33ce11361356db9bf05a3ab46" dmcf-pid="fXzKyaaeli" dmcf-ptype="general">국내에서는 지난해 1월 제정·공포된 ‘인공지능 발전과 신뢰 기반 조성 등에 관한 기본법’이 올해 1월 22일 시행되며 산업 진흥과 신뢰 기반 조성을 동시에 겨냥한 일반법 체계가 본격 가동됐다. 유럽연합(EU) 역시 2024년 AI Act를 발효한 뒤 금지 행위와 범용 AI 모델 관련 의무를 먼저 적용하고, 고위험 AI 관련 핵심 의무는 단계적으로 적용하는 구조를 밟고 있다. </p> <p contents-hash="3f448b61ca4cb548a2770fda3aa7d3ed7b09aed5d002a85cedb16e9cc451007a" dmcf-pid="4Zq9WNNdTJ" dmcf-ptype="general">AI가 국가와 사회 전반의 체질을 바꾸는 AX 시대에 진입한 상황에서 이제 AI 법정책은 기술 규제에 머무르지 않고 국가 혁신 기반과 인간 존엄, 신뢰 확보를 함께 다뤄야 한다는 논의가 더해지고 있다. 이에 테크42는 이날 포럼에서 ‘인공지능기본법의 개선 방향’을 다룬 계인국 고려대 행정전문대학원 교수, ‘AI 보안의 법적 이슈 및 과제’를 주제로 다룬 정세진 법무법인 광장 변호사의 발제를 통해 현 시점에서 필요한 AI 법정책의 개선안을 들어봤다. </p> <div contents-hash="01f41eaa067a5fd31bbac8b0341a276f80ada4b7bb8cbcef69af0d46a26caa9c" dmcf-pid="85B2YjjJTd" dmcf-ptype="general"> <strong>“가장 나쁜 규제는 강한 규제가 아니라 불명확한 규제”…AI 정의부터 다시 묻다</strong> <div> </div> </div> <figure class="figure_frm origin_fig" contents-hash="c06a0e088acacfa4e8206ba4d5b7ea7c905258f93dc8392d843d6ca1080fe3ac" dmcf-pid="61bVGAAiCe" dmcf-ptype="figure"> <p class="link_figure"><img alt="이날 첫 발제에 나선 계인국 고려대 행정전문대학원 교수는 인공지능기본법이 국내 AI 정책의 기본 틀을 마련했다는 점을 인정하면서도, 실제 집행 단계에서는 핵심 개념부터 정교하게 손봐야 한다고 진단했다. (사진=테크42)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/09/552816-OGTrtXj/20260609085645133reah.jpg" data-org-width="1024" dmcf-mid="BKapOee4vp" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/09/552816-OGTrtXj/20260609085645133reah.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 이날 첫 발제에 나선 계인국 고려대 행정전문대학원 교수는 인공지능기본법이 국내 AI 정책의 기본 틀을 마련했다는 점을 인정하면서도, 실제 집행 단계에서는 핵심 개념부터 정교하게 손봐야 한다고 진단했다. (사진=테크42) </figcaption> </figure> <div contents-hash="8cb93cbd633584449ad02ade305f0079f8573b768e76ef9e038a295655594515" dmcf-pid="PtKfHccnvR" dmcf-ptype="general"> <div> </div> </div> <p contents-hash="e697cef4760c2c8e620568f3a10c361e6096f016315aa2e1720c0ba089b0be89" dmcf-pid="QZq9WNNdlM" dmcf-ptype="general">이날 첫 발제에 나선 계인국 고려대 행정전문대학원 교수는 인공지능기본법이 국내 AI 정책의 기본 틀을 마련했다는 점을 인정하면서도, 실제 집행 단계에서는 핵심 개념부터 정교하게 손봐야 한다고 진단했다. 계 교수의 문제의식은 AI기본법이 ‘진흥법’의 성격을 갖더라도 법 안에 이미 고영향 인공지능, 생성형 인공지능, 고성능 인공지능 관련 의무가 들어가 있다는 점에 있다. 규율 대상과 수범자가 불명확하면 기업과 공공기관 모두 예측 가능성을 확보하기 어렵기 때문이다. </p> <p contents-hash="c1a4c3a63406375420ad3ef1ed7cf0152e0998be00ab6b25c404e51f65b8dc8a" dmcf-pid="x5B2YjjJTx" dmcf-ptype="general">계 교수는 AI기본법의 성격을 먼저 짚었다. 기본법은 헌법처럼 다른 법률 위에 존재하는 법은 아니지만, 특정 영역에서 국가가 어떤 철학과 방향으로 법·정책을 추진할지 보여주는 기준점이어야 한다는 설명이다. 문제는 이 기준점이 실제 기술 구조와 맞아떨어지지 않을 경우, 하위 법령이나 개별 산업별 규제에서 혼선이 증폭될 수 있다는 데 있다. </p> <p contents-hash="0a266fadc703c760d384594a282028fbdcf8f68a986dc56c4e596a4f70733629" dmcf-pid="ynwORppXvQ" dmcf-ptype="general">“기본법은 법률 위의 법률은 아닙니다. 하지만 특정 영역에서 앞으로 대한민국이 어떤 방향으로 법과 정책을 추진해 갈 것인지를 보여주는 역할을 해야 합니다. EU AI Act의 일반 적용 시점보다 한국 AI기본법 시행이 앞섰다는 점은 분명 선도적인 의미가 있습니다. 다만 중요한 것은 우리 AI기본법이 어떤 철학을 보여주고 있느냐입니다. 법을 만들었다고 끝나는 문제가 아니라, 그 법이 실제 현장에서 어떤 기준으로 작동할 수 있는지를 계속 점검해야 합니다.” </p> <p contents-hash="b3cd40010ff06a42a43b487ac6300372a3f7c999e17664752082a759a7f68ebc" dmcf-pid="WLrIeUUZhP" dmcf-ptype="general">계 교수가 가장 먼저 지적한 대목은 AI의 법적 정의다. 현행 AI기본법은 인공지능을 ‘학습, 추론, 지각, 판단, 언어의 이해 등 인간이 가진 지적 능력을 전자적 방법으로 구현한 것’으로 정의한다. 계 교수는 이 정의가 이른바 ‘인간유사적 AI’ 이해에 기반한다고 봤다. AI를 인간의 인지 능력 모방으로 이해하는 접근은 대중적으로는 익숙하지만, 산업 현장에서 쓰이는 AI의 상당수는 반드시 인간의 사고나 인지 기능을 닮은 형태로 작동하지 않는다. </p> <p contents-hash="23ea29f3963dda66c24e0663d39f75e5f8bd32a53302a7ab6ecbebc85922dec0" dmcf-pid="YomCduu5W6" dmcf-ptype="general">예컨대 통계적 패턴 인식, 데이터 기반 결함 분석, 수요 예측, 자동 매칭, 제조공정 최적화처럼 비인지적 기능을 수행하는 시스템도 산업 현장에서는 AI로 활용된다. 그러나 인간의 지적 능력 구현이라는 문구를 좁게 해석하면 이들 시스템이 AI기본법의 규율 범위에서 빠질 수 있다. 반대로 넓게 해석하면 단순 조건문, 매크로 소프트웨어, 전통적 통계 모델까지 AI에 포함될 여지가 생긴다. 규율 범위가 좁아져도 문제이고, 지나치게 넓어져도 문제라는 뜻이다. </p> <p contents-hash="e367b51e24c81db8a211dae023e2e62620703f207924a8dc7bc7734aaae03571" dmcf-pid="GgshJ771C8" dmcf-ptype="general">“우리나라 인공지능 정의는 소위 인간유사적 AI 개념을 포함하고 있습니다. 학문적 논쟁에 그친다면 길게 말할 필요가 없겠지만, 실제 산업 현장에서는 비인지적 기능을 수행하는 AI가 훨씬 많이 사용됩니다. 만약 현행 정의를 엄격하게 해석하면 그런 AI가 기본법의 규율 범위에서 제외될 수 있습니다. 반대로 넓게 해석하면 단순한 소프트웨어까지 모두 AI가 될 수 있습니다. 결국 규제 대상이 무엇인지 불명확해지고, 가장 나쁜 규제인 불명확한 규제가 만들어질 수 있습니다.” </p> <div contents-hash="0963727b1e591f81847b77e656a10e7c72b88470283d39705626fa5f217159b0" dmcf-pid="HaOlizztl4" dmcf-ptype="general"> 계 교수는 이 문제를 해결하려면 AI 자체의 정의와 AI 시스템의 정의를 함께 재정비해야 한다고 봤다. EU AI Act, 경제협력개발기구(OECD) 등 주요 국제 기준은 AI를 인간 모방 여부보다 시스템이 입력을 바탕으로 예측, 추천, 결정, 콘텐츠 생성 등의 결과물을 산출하고 실제 또는 가상환경에 영향을 미치는 방식으로 이해한다. 계 교수는 이를 ‘기능합리적’ AI 이해로 설명했다. AI를 인간과 닮은 지능적 개체가 아니라, 특정 환경에서 기능적으로 작동하는 기계 기반 시스템으로 규율해야 한다는 의미다. <div> </div> </div> <figure class="figure_frm origin_fig" contents-hash="20f3499165f69e567b3b49127ce67f5ba690c14f972ad33cd7be0dc44be1d647" dmcf-pid="XNISnqqFyf" dmcf-ptype="figure"> <p class="link_figure"><img alt="인간유사적 AI는 사람의 인지·추론·판단 능력을 모방하는 데 초점을 두는 반면, 기능합리적 AI는 데이터 입력부터 예측·추천·자동화·산업 적용까지 실제 환경에서의 기능 수행을 중심으로 작동한다. (이미지=AI로 생성)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/09/552816-OGTrtXj/20260609085646837urvm.png" data-org-width="1024" dmcf-mid="bdL3mMMVS0" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/09/552816-OGTrtXj/20260609085646837urvm.png" width="658"></p> <figcaption class="txt_caption default_figure"> 인간유사적 AI는 사람의 인지·추론·판단 능력을 모방하는 데 초점을 두는 반면, 기능합리적 AI는 데이터 입력부터 예측·추천·자동화·산업 적용까지 실제 환경에서의 기능 수행을 중심으로 작동한다. (이미지=AI로 생성) </figcaption> </figure> <div contents-hash="e46884e1e0445c4a7059ed9934b7e3b1dcdd8403b248c5eaa89060a9de32902d" dmcf-pid="ZStpOee4yV" dmcf-ptype="general"> <div> </div> </div> <p contents-hash="437d69154d00bb90e3d84bfa65ee3351b04c793eedd48e6882aca80f3e3f9eb2" dmcf-pid="5vFUIdd8h2" dmcf-ptype="general">이어 계 교수는 현행법상 ‘인공지능시스템’ 정의도 모호하다고 지적했다. 현재 AI기본법은 인공지능시스템을 ‘다양한 수준의 자율성과 적응성을 가지고 주어진 목표를 위하여 실제 및 가상환경에 영향을 미치는 예측, 추천, 결정 등의 결과물을 추론하는 인공지능 기반 시스템’으로 정의한다. 계 교수는 ‘주어진 목표’라는 표현이 사람이 사전에 정한 목표만을 상정해 자율성이 고도화된 AI를 충분히 포섭하기 어렵고, ‘인공지능 기반 시스템’이라는 표현 역시 다시 모호한 인공지능 개념으로 회귀한다고 봤다. </p> <p contents-hash="be1fe1bf808b62e5bdb68600b22a04955cb4c07756f82b0fd29116dd84fc6b00" dmcf-pid="1T3uCJJ6h9" dmcf-ptype="general">계 교수가 특히 강조한 것은 ‘AI 모델’ 개념의 신설이다. 생성형 AI의 핵심 능력은 서비스 화면이나 애플리케이션보다 파운데이션 모델, 즉 대규모 데이터 학습을 거친 파라미터 집합에 있다. 그러나 현행법이 시스템 중심으로 설계돼 있으면 모델만 응용프로그램 인터페이스(API)로 제공하거나 최소한의 래핑만 거친 경우 규율 대상에서 빠질 수 있다. 결과적으로 실제 생성 능력을 제공하는 대형 모델 사업자는 의무를 덜 부담하고, 이를 활용해 서비스를 만드는 하위 사업자에게 의무가 집중될 가능성이 있다. </p> <p contents-hash="9c0f847603adef95ea6d1c53c886129090c4e1e837e90963eeda159d9a7c00a2" dmcf-pid="ty07hiiPCK" dmcf-ptype="general">계 교수는 투명성 의무 역시 모델 단계와 분리해 보기 어렵다고 설명했다. AI 생성물 표시, 워터마크, 출처 인증 등은 서비스 단계에서도 구현할 수 있지만 기술적으로는 모델 단계에서 설계될 때 실효성이 커진다. 그런데 모델 제공자가 ‘시스템 제공자’로 보이지 않는다면, 가장 핵심적인 단계가 의무에서 벗어나는 모순이 생긴다. 고영향 AI 역시 마찬가지다. 동일한 파운데이션 모델이 의료 진단 시스템과 일반 챗봇 서비스에 함께 쓰일 경우, 모델 자체만으로 고영향 AI인지 판단하기 어렵다. 반대로 의료 진단 전용 모델처럼 개발 단계부터 고영향 영역을 겨냥한 경우에는 시스템 이전 단계에서의 관리가 필요하다. </p> <div contents-hash="379dd44578faf0e837816824bde2446c215677e4296ca4408e7742ac4cf8ce2a" dmcf-pid="FWpzlnnQlb" dmcf-ptype="general"> <strong>개발자·이용자만으로는 부족하다…수범자·고영향 AI·적합성 평가의 재설계</strong> <div> </div> </div> <figure class="figure_frm origin_fig" contents-hash="e20fe3b23f18ed0b373953f57e3d55f385119af1f7a822cd2109ba5d695058be" dmcf-pid="3YUqSLLxSB" dmcf-ptype="figure"> <p class="link_figure"><img alt="계 교수는 EU AI Act의 제공자(provider), 배포자(deployer), 유통업자(distributor), 수입업자(importer) 등 세분화된 구조를 그대로 따라야 한다는 취지는 아니라고 선을 그었다. 다만 한국 법처럼 지나치게 단순화하면 사업자가 스스로 어느 지위에 해당하는지 판단하기 어려워진다고 봤다. (사진=테크42)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/09/552816-OGTrtXj/20260609085648345pyrt.jpg" data-org-width="1024" dmcf-mid="pRlQtrrNvD" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/09/552816-OGTrtXj/20260609085648345pyrt.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 계 교수는 EU AI Act의 제공자(provider), 배포자(deployer), 유통업자(distributor), 수입업자(importer) 등 세분화된 구조를 그대로 따라야 한다는 취지는 아니라고 선을 그었다. 다만 한국 법처럼 지나치게 단순화하면 사업자가 스스로 어느 지위에 해당하는지 판단하기 어려워진다고 봤다. (사진=테크42) </figcaption> </figure> <div contents-hash="4d8a8e8eaee2ad5f4ec904c0edcb2fa5d13cee0503388f60cd9d8ca8f2fcd643" dmcf-pid="0GuBvooMvq" dmcf-ptype="general"> <div> </div> </div> <p contents-hash="8ed310823b7aec08ac285ae48869857893dc2c71fe56c17012c8cbf41ce477c6" dmcf-pid="pH7bTggRyz" dmcf-ptype="general">계 교수 발표의 두 번째 핵심은 수범자 체계와 규제 설계였다. 현행 AI기본법은 인공지능사업자를 개발사업자와 이용사업자로 나눈다. 개발사업자는 AI를 개발해 제공하는 자, 이용사업자는 개발사업자가 제공한 AI를 이용해 제품 또는 서비스를 제공하는 자다. 단순한 구조라는 점에서는 장점이 있지만, 실제 AI 공급망은 이보다 훨씬 복잡하다. 모델 개발, 위탁 개발, 시스템 통합, API 제공, 중간 유통, 리셀링, 내부 업무용 활용, AI 탑재 기기 판매가 모두 다른 책임 구조를 갖기 때문이다. </p> <p contents-hash="36cdb09a1d18c6c4b80a6e062f220b389103c71b900775debf831fd37b586505" dmcf-pid="UXzKyaaeS7" dmcf-ptype="general">계 교수는 EU AI Act의 제공자(provider), 배포자(deployer), 유통업자(distributor), 수입업자(importer) 등 세분화된 구조를 그대로 따라야 한다는 취지는 아니라고 선을 그었다. 다만 한국 법처럼 지나치게 단순화하면 사업자가 스스로 어느 지위에 해당하는지 판단하기 어려워진다고 봤다. 특히 위탁 개발 후 자기 명의로 출시하는 기업, 내부 업무용 AI를 자체 개발해 쓰는 기업, AI 솔루션 총판이나 리셀러, AI 기능을 탑재한 하드웨어 판매자의 법적 지위가 불명확하다는 것이다. </p> <p contents-hash="8cbe24458fdb744f50cf17e5dfdafeb012c6ba71177e4ad5f68a91548bc17b48" dmcf-pid="uCZFrxx2Su" dmcf-ptype="general">“EU 법은 복잡하다는 비판을 많이 받았습니다. 그래서 우리 AI기본법은 조금 더 간결하게 만들자는 취지에서 출발한 것으로 보입니다. 문제는 너무 단순화되면서 내가 어디에 들어가는지를 모르는 상황이 생긴다는 점입니다. 개발사업자인지, 이용사업자인지, 아니면 중간 유통 단계에 있는 사업자인지 불명확해집니다. 의무가 수범자별로 달라지는 구조라면, 누가 어떤 의무를 부담하는지 법률 단계에서 최대한 명확히 해야 합니다.” </p> <div contents-hash="e5b25717cac0c113e3d4cb4a5516faa5acb492ee27ffb1bf1184998e66bba9ce" dmcf-pid="7h53mMMVTU" dmcf-ptype="general"> 계 교수는 하위 법령에서 수범자 유형을 세분화하는 방식에도 신중해야 한다고 봤다. 규제 대상과 피규제자를 정하는 문제는 법률상 근거가 명확해야 하는데, 위임 없이 시행령이나 고시에서 새로운 사업자 지위를 사실상 만들어내면 위임입법의 한계가 문제 될 수 있다는 설명이다. 따라서 AI 가치사슬에 맞춰 배포사업자와 유통사업자 개념을 일정 부분 도입하고, 내부 사용 책임과 공급망 책임을 구분하는 작업이 필요하다고 제안했다. <div> </div> </div> <figure class="figure_frm origin_fig" contents-hash="2c617acd9208707f3639b680ed4b67f3d84dd2ff936a419c68c966ffb9b05151" dmcf-pid="zl10sRRfCp" dmcf-ptype="figure"> <p class="link_figure"><img alt="개발·이용·배포·유통 주체가 복잡하게 얽힌 AI 공급망에서 책임 배분과 고영향 AI 규율, 적합성 평가 체계의 재설계가 주요 과제로 떠오르고 있다. (이미지=AI로 생성)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/09/552816-OGTrtXj/20260609085649950jpoo.png" data-org-width="1024" dmcf-mid="UbH8ZEEoCE" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/09/552816-OGTrtXj/20260609085649950jpoo.png" width="658"></p> <figcaption class="txt_caption default_figure"> 개발·이용·배포·유통 주체가 복잡하게 얽힌 AI 공급망에서 책임 배분과 고영향 AI 규율, 적합성 평가 체계의 재설계가 주요 과제로 떠오르고 있다. (이미지=AI로 생성) </figcaption> </figure> <div contents-hash="3a62c388d067ca6a8eaa272a023925ab6cc0fa361aeff0739a0db2e8be3f86ed" dmcf-pid="qStpOee4l0" dmcf-ptype="general"> <div> </div> </div> <p contents-hash="05cd99364c86875a8940ca90f66fcd644a399323bfec6c1a30fea527279e969e" dmcf-pid="BvFUIdd8y3" dmcf-ptype="general">고영향 AI 규율도 주요 쟁점으로 제시됐다. 현행법은 사람의 생명, 신체 안전 및 기본권에 중대한 영향을 미치거나 위험을 초래할 우려가 있는 AI 시스템을 고영향 인공지능으로 정의하고, 에너지, 먹는 물, 보건의료, 의료기기, 원자력시설, 범죄수사상 생체인식정보 활용, 채용·대출 심사 등 특정 영역을 열거한다. 계 교수는 이 구조가 EU의 고위험 AI 열거 방식을 참고한 것이지만, EU 법체계와 한국의 법률·시행령 체계는 다르다고 지적했다. </p> <p contents-hash="660622d2b51118524b89e7171972ac1d9acd9aae13d41f6d80fed16cadc89009" dmcf-pid="bT3uCJJ6CF" dmcf-ptype="general">예를 들어 EU AI Act의 고위험 AI 목록은 부속서 구조를 통해 조정될 수 있고 회원국별 적용 과정에도 일정한 여지가 있다. 반면 한국은 법률과 시행령의 상하 체계가 명확하다. 법률에 열거된 고영향 AI와 대통령령으로 추가되는 고영향 AI가 동일한 지위를 갖는지, 새로운 고위험 영역이 등장할 때마다 법률 개정이 필요한지, 포괄 위임으로 해결할 경우 위임 범위가 지나치게 넓어지는 것은 아닌지 검토해야 한다는 것이다. </p> <p contents-hash="96ffefa53fab7698a1a8179be4f9655de658e559c0e9818967ad8134c9cb8b53" dmcf-pid="Ky07hiiPht" dmcf-ptype="general">계 교수는 고성능 AI 규율에서도 비슷한 문제가 나타난다고 봤다. 현행법은 학습에 사용된 누적 연산량, 즉 플롭스(FLOPs)를 기준으로 고성능 AI를 판단한다. 그러나 이 기준은 사실상 모델을 겨냥하면서도 법적 규율 대상은 시스템으로 돼 있어 개념상 불일치가 생긴다. 이와 관련 계 교수는 “모델사업자가 1차적으로 위험 식별·평가·완화를 담당하고, 시스템사업자는 해당 모델의 위험이 실제 서비스 안에서 어떻게 관리되는지 책임지는 식의 이행 구조가 필요하다”고 설명했다. </p> <p contents-hash="313e7904b17b45d4f038a4deb31b6458b323fef6c65fd83370d82e91640ab903" dmcf-pid="9WpzlnnQh1" dmcf-ptype="general">투명성 의무와 관련해서는 생성형 AI 기반 제품·서비스 사전고지, AI 생성물 표시, 딥페이크 고지·표시 의무의 실효성이 기술표준에 달려 있다고 봤다. 가시적 워터마크는 이용자가 바로 알아볼 수 있지만 콘텐츠 편집 과정에서 삭제되기 쉽고, 비가시적 표시는 기술적으로 유용하지만 이용자가 즉시 인식하기 어렵다. 계 교수는 C2PA(콘텐츠 출처와 편집 이력을 검증하는 국제 기술 표준)처럼 콘텐츠의 출처와 편집 이력을 확인할 수 있도록 하는 글로벌 출처 인증 표준을 참고하되, 국내 표준을 별도로 만들 것인지 국제표준과 정합성을 맞출 것인지에 대한 정책 판단이 필요하다고 설명했다. </p> <p contents-hash="9e36d447a4b12e057f00918ea520617dcf68a8da37a93fde1f1c0664aa356964" dmcf-pid="2zPR0OOcl5" dmcf-ptype="general">계 교수는 마지막으로 사전 적합성 평가와 면책 기능을 연결해야 한다고 강조했다. EU AI Act는 고위험 AI 시스템에 대해 적합성 평가를 요구하는 규제법으로 평가되지만, 동시에 인증을 받은 경우 일정한 적합성 추정과 중복 규제 완화 효과를 기대할 수 있다. 반면 국내에서 향후 사전 적합성 평가를 도입하더라도 인증 의무만 추가하고 면책 또는 중복 규제 완화 장치를 두지 않는다면, AI기본법이 진흥법이 아니라 강한 규제법으로 작동할 수 있다는 우려다. </p> <p contents-hash="e6c88bd97a2b7dbba56b49cc6d9ae947ca5d5e8d27846ca25090f51e1259d80e" dmcf-pid="VqQepIIkSZ" dmcf-ptype="general">“AI기본법은 규제법이 아니라 진흥법이라고 많이 말합니다. 저도 기본법의 성격은 그렇게 봅니다. 그러나 이미 기본법 안에는 여러 의무와 규제 요소가 들어가 있습니다. 앞으로 각 도메인별로 AI 관련 규제가 추가되면 기업은 기본법상 의무와 개별 산업 규제를 함께 부담할 수 있습니다. 기본법에서 일정한 의무를 충족한 경우 개별 영역에서 면책이나 중복 규제 완화가 가능하도록 설계하지 않으면, 기업 입장에서는 무엇을 지켜야 하는지 더 불명확해질 수 있습니다.” </p> <div contents-hash="2e4791a4cdf5ae8d133ced5086b14b95434a8dc6eb9365c4f01590040ed2f211" dmcf-pid="fBxdUCCEyX" dmcf-ptype="general"> <strong>AI 보안 위협은 두 갈래다…“기업 내부 유출과 공격자 자동화 함께 봐야”</strong> <div> </div> </div> <figure class="figure_frm origin_fig" contents-hash="039c601bb1ada80eb5da93709d5975a1a7fbd73184e7a0596ddf63735ce88129" dmcf-pid="4bMJuhhDWH" dmcf-ptype="figure"> <p class="link_figure"><img alt="이어진 발제에서 정세진 법무법인 광장 변호사는 AI 보안의 법적 이슈를 다루며 “AI 보안 논의가 두 가지 방향에서 접근돼야 한다”고 운을 뗐다. (사진=테크42)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/09/552816-OGTrtXj/20260609085651465yawx.jpg" data-org-width="1024" dmcf-mid="uUZP1wwaCk" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/09/552816-OGTrtXj/20260609085651465yawx.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 이어진 발제에서 정세진 법무법인 광장 변호사는 AI 보안의 법적 이슈를 다루며 “AI 보안 논의가 두 가지 방향에서 접근돼야 한다”고 운을 뗐다. (사진=테크42) </figcaption> </figure> <div contents-hash="de0cc96f6d07ce38569dac3935641c81990d391805af5e7958878c308d19517c" dmcf-pid="8KRi7llwWG" dmcf-ptype="general"> <div> </div> </div> <p contents-hash="84a8983e3434492c1e652d12581d5c85b6a49df06baeb9cb4156ec743ca4405f" dmcf-pid="69enzSSrlY" dmcf-ptype="general">이어진 발제에서 정세진 법무법인 광장 변호사는 AI 보안의 법적 이슈를 다루며 “AI 보안 논의가 두 가지 방향에서 접근돼야 한다”고 운을 뗐다. 하나는 기업이 AI를 업무에 활용하면서 생기는 내부 보안 리스크이고, 다른 하나는 공격자 또는 해커가 AI를 도구로 활용하면서 생기는 외부 공격 리스크다. 두 문제는 모두 AI 보안이라는 이름으로 묶이지만, 원인과 대응 방식이 다르기 때문에 구분해서 봐야 한다는 것이다. </p> <p contents-hash="7a091600b6dcc7975b3a73d61cb9c8aca531a7864a1be59eccf47b746ebf3adc" dmcf-pid="P2dLqvvmWW" dmcf-ptype="general">그러면서 정 변호사는 먼저 최근 논의되는 고성능 AI 기반 사이버 공격 사례를 소개하며, 공격의 속도와 규모가 달라지고 있다고 진단했다. 발표에서는 취약점 탐지와 침투 능력이 강화된 AI 모델 사례가 언급됐다. 정 변호사는 이 같은 모델이 일반화될 경우, 기존의 보안 체계처럼 알려진 위험을 목록화하고 이를 차단하는 방식만으로는 대응이 어렵다고 봤다. 공격자가 취약점을 찾고, 침투 코드를 만들고, 내부 시스템에서 가치 있는 자산을 찾아내는 과정이 AI에 의해 자동화될 수 있기 때문이다. </p> <p contents-hash="0e27746b6d5255783707e6d04e5c171164fc129155eeabd39bc3044fec64f347" dmcf-pid="QVJoBTTsyy" dmcf-ptype="general">“AI 보안을 이야기할 때는 두 가지 접근이 필요합니다. 하나는 회사가 AI를 사용하면서 생기는 보안 위협입니다. 다른 하나는 공격자, 즉 해커가 AI라는 뛰어난 도구를 사용하면서 생기는 보안 위협입니다. 두 문제의 해결책은 일부 같을 수 있지만, 출발점은 다릅니다. 이 두 가지를 구분하지 않으면 AI 보안 문제를 논의하는 과정에서 대응 방향이 꼬일 수 있습니다.” </p> <p contents-hash="d3885f072887168481db16423e6e683a8225ca38435aebab51630d48337b9f98" dmcf-pid="xfigbyyOST" dmcf-ptype="general">정 변호사는 AI가 해킹의 경제학을 바꾸고 있다고도 말했다. 과거에는 고급 인력이 오랜 시간 취약점을 분석하고 공격 코드를 작성해야 했다면, 이제는 AI가 이 과정을 단축할 수 있다. 공격자가 한 번에 하나의 표적을 분석하던 방식에서, AI 에이전트가 다수 표적을 동시에 탐색하고 공격 가능성을 평가하는 방식으로 바뀔 수 있다. 정 변호사는 한 회의에서 들은 표현을 빌려 “해킹은 기술의 문제가 아니라 의지의 문제가 되고 있다”고 전했다. 좋은 AI 도구를 확보하고 이를 악의적으로 활용할 의지만 있다면, 전문성이 낮은 공격자도 더 큰 피해를 낼 수 있다는 뜻이다. </p> <p contents-hash="5f0c07ab811d1b5706fc6cf0978c490d74d98da4c2994d3811b73b525b2aa0f8" dmcf-pid="yiDsM00Hhv" dmcf-ptype="general">기업 내부에서 AI를 활용할 때 발생하는 보안 문제도 크다. 생성형 AI가 업무 생산성을 높이는 도구로 쓰이면서, 직원이 소스코드, 회의록, 수율 관련 데이터, 내부 보고서 등을 외부 AI 서비스에 입력하는 사례가 늘고 있다. 정 변호사는 이러한 행위가 의도적 유출이 아니더라도 기업 기밀이 외부 모델이나 서비스에 전달될 수 있는 경로가 된다고 설명했다. 기업 입장에서는 AI 사용을 전면 금지하기 어렵지만, 입력 데이터 통제와 권한 관리, 로그 기록, 내부 가이드라인 없이는 보안 사고 가능성이 커진다. </p> <p contents-hash="616152c10309376d5d6e0c2cdc56616eeec39f585a316b8d3808af08ae7d15ab" dmcf-pid="WnwORppXWS" dmcf-ptype="general">“AI는 생산성 향상의 수단이지만 통제되지 않으면 새로운 기업 기밀 유출 경로가 될 수 있습니다. 직원이 문제 해결을 위해 소스코드를 입력하거나, 회의록 작성을 위해 녹음 파일을 올리는 일이 생길 수 있습니다. 피싱 메일도 과거처럼 문법 오류나 어색한 표현으로 걸러내기 어려워지고 있습니다. 결국 AI는 내부에서는 정보 유출 경로가 되고, 외부에서는 공격자의 창을 더 날카롭게 만드는 도구가 될 수 있습니다.” </p> <p contents-hash="8965c04793e4e45b95c9fcbdd83bde9913d647e43fa4619b21c2db879e8f3992" dmcf-pid="YLrIeUUZvl" dmcf-ptype="general">다만 정 변호사는 AI를 보안 위협으로만 보는 접근에는 선을 그었다. AI는 공격 수단이지만 동시에 방어 수단이기도 하다. 사람이 오랜 기간 찾지 못한 취약점을 AI가 발견할 수 있고, 보안관제센터(SOC)에 쌓이는 수많은 알림을 AI가 선별해 대응 우선순위를 정할 수 있다. 발표에서는 대규모 기업에서 하루 수천 건의 보안 알림이 발생하지만 상당수는 검토되지 못하는 현실도 언급됐다. AI를 도입하면 다수 알림 중 실제 대응이 필요한 항목만 추려 보안 인력의 부담을 줄일 수 있다. </p> <p contents-hash="4d82feadcd259781bb58854c9ffecb9d2e295b2712c26eaf412cb547c470b9ed" dmcf-pid="GomCduu5Wh" dmcf-ptype="general">또 개발 현장에서 AI 코딩 도구가 이미 널리 활용되고 있는 만큼, 보안을 이유로 AI 사용 자체를 막기 어렵다는 점도 강조됐다. AI를 활용하는 기업과 활용하지 않는 기업 사이의 생산성 차이가 커지고 있기 때문이다. 정 변호사는 결국 AI 보안의 과제는 “AI를 쓰지 말자”가 아니라 “AI를 쓰되, 통제 가능한 구조를 어떻게 만들 것인가”에 있다고 봤다. </p> <div contents-hash="bd67f6dd80451f6b639ae9b2a8ee5bfdd3ea60585315a28fccbaeb6d6c985f84" dmcf-pid="HgshJ771lC" dmcf-ptype="general"> <strong>에이전틱 AI가 흔드는 보안 규제…예방·차단에서 복원력·동적 대응으로</strong> <div> </div> </div> <figure class="figure_frm origin_fig" contents-hash="39ed21839c9401993dd1632770a41cb60136545a724ea8751da2058fa079b6aa" dmcf-pid="XaOlizztCI" dmcf-ptype="figure"> <p class="link_figure"><img alt="정 변호사는 AI 보안 위협의 핵심 명제를 두 가지로 정리했다. 첫째, 공격 규모가 폭발적으로 늘어날 수 있다. 둘째, 사람이 아니라 기계가 자율적으로 시스템에 접근하는 시대가 오고 있다. 이 두 가지 변화는 기존 보안 규제의 전제를 흔든다. 지금까지 보안 규제는 알려진 위험을 차단하고, 사람의 접근권한을 통제하며, 문제가 생기면 접속기록을 통해 누가 무엇을 했는지 추적하는 방식으로 설계돼 왔다. 문제는 에이전틱 AI가 업무를 대신 수행하면 이 전제가 약해진다는 점이다. (사진=테크42)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/09/552816-OGTrtXj/20260609085652966ivdl.jpg" data-org-width="1024" dmcf-mid="7P0dUCCETc" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/09/552816-OGTrtXj/20260609085652966ivdl.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 정 변호사는 AI 보안 위협의 핵심 명제를 두 가지로 정리했다. 첫째, 공격 규모가 폭발적으로 늘어날 수 있다. 둘째, 사람이 아니라 기계가 자율적으로 시스템에 접근하는 시대가 오고 있다. 이 두 가지 변화는 기존 보안 규제의 전제를 흔든다. 지금까지 보안 규제는 알려진 위험을 차단하고, 사람의 접근권한을 통제하며, 문제가 생기면 접속기록을 통해 누가 무엇을 했는지 추적하는 방식으로 설계돼 왔다. 문제는 에이전틱 AI가 업무를 대신 수행하면 이 전제가 약해진다는 점이다. (사진=테크42) </figcaption> </figure> <div contents-hash="396fbae2a5b54fff2c77a47abae2dead442267cd6c0b5be2076a32d7d445e833" dmcf-pid="ZNISnqqFTO" dmcf-ptype="general"> <div> </div> </div> <p contents-hash="94a7e71d38c2d79822e4250bf38af68da2d6bc17868e3f07f1dccc6ae1e4babf" dmcf-pid="5jCvLBB3Ss" dmcf-ptype="general">정 변호사의 발표 후반부는 법제도 변화 방향에 집중됐다. 정 변호사는 AI 보안 위협의 핵심 명제를 두 가지로 정리했다. 첫째, 공격 규모가 폭발적으로 늘어날 수 있다. 둘째, 사람이 아니라 기계가 자율적으로 시스템에 접근하는 시대가 오고 있다. 이 두 가지 변화는 기존 보안 규제의 전제를 흔든다. 지금까지 보안 규제는 알려진 위험을 차단하고, 사람의 접근권한을 통제하며, 문제가 생기면 접속기록을 통해 누가 무엇을 했는지 추적하는 방식으로 설계돼 왔다. 문제는 에이전틱 AI가 업무를 대신 수행하면 이 전제가 약해진다는 점이다. </p> <p contents-hash="c66c4bb27007574d80f2f217a677cf33cc356eea23613335da7d3b5f63c2333c" dmcf-pid="1AhTobb0ym" dmcf-ptype="general">개인정보보호 영역의 접근권한 관리와 접속기록 보관 규정이 대표적이다. 현행 규정은 개인정보취급자인 사람이 개인정보처리시스템에 접근하는 상황을 전제로 한다. 그러나 직원이 AI 에이전트에 업무 목표를 지시하고, 에이전트가 스스로 계획을 세워 데이터베이스에 접근하거나 API를 호출하고, 파일을 내려받아 분석하는 구조에서는 접근 주체를 누구로 볼 것인지가 불명확해진다. </p> <p contents-hash="46d982bf613f57eae972f8974f1a1d2c77cf32469566ca68228250d700dcf664" dmcf-pid="tXzKyaaehr" dmcf-ptype="general">“기존 보안 체계는 시스템이나 데이터에 접근하는 사람을 통제하는 방식으로 설계돼 있습니다. 과거에는 자율성을 가진 접근 주체가 사실상 사람이었기 때문에 사람의 권한을 관리하면 됐습니다. 그런데 에이전틱 AI는 사람이 단계마다 지시하지 않아도 목표를 달성하기 위해 스스로 계획하고 실행합니다. 이 경우 직원을 기준으로 접근권한을 관리할 것인지, AI를 별도의 접근 주체로 볼 것인지 문제가 생깁니다. 접속기록 역시 직원이 지시했다는 기록만으로는 AI가 실제로 무엇을 했는지 추적하기 어려울 수 있습니다.” </p> <p contents-hash="61f9dc12d1aa7f80cec259dfdd1b94b603a09e1108994ce14f6a05efac7e4536" dmcf-pid="FZq9WNNdCw" dmcf-ptype="general">책임 소재도 복잡해진다. AI 공급망에는 모델 개발사, 서비스 제공사, 시스템 통합사, 이용사업자, 최종 이용자 등 다수 당사자가 관여한다. 사고가 발생했을 때 모델 자체의 문제인지, 서비스 구현상의 문제인지, 내부 사용자의 지시나 권한 설정 문제인지 구분하기 어렵다. </p> <p contents-hash="18df45f2a128771835c4848dd4e3ed0ffac0dc48be27554677539f4a8e8d1147" dmcf-pid="35B2YjjJTD" dmcf-ptype="general">정 변호사는 한 방안으로 AI기본법상 정의 체계를 책임 배분 논의와 연결해 볼 수 있다고 언급했다. 다만 앞선 계 교수 발표를 언급하며, 책임 체계 논의 역시 기본법의 정의와 수범자 구조 정비라는 더 근본적인 과제와 맞물려 있다고 덧붙였다. </p> <p contents-hash="f8fbd6fd988cd0db5fca05e43799af662c618cb058288debb6882d401a97ae57" dmcf-pid="01bVGAAiWE" dmcf-ptype="general">정 변호사는 이 외에도 외부 공격에 대한 대응으로 직접 규제와 간접 규제를 병행해야 한다는 점을 언급했다. 직접 규제는 공격의 창이 되는 AI 자체를 통제하는 것이다. 현행 AI기본법의 고성능 인공지능 의무는 학습 연산량 등을 기준으로 위험 관리체계를 요구한다. </p> <div contents-hash="8025c9d8e9aa2cb36149d4d91efbbf1eca1e4a00b003d6d862dcce953de09176" dmcf-pid="ptKfHccnyk" dmcf-ptype="general"> 이와 관련 정 변호사는 “단순 연산량보다 취약점 자동 탐지, 침투 코드 생성, 사이버 공격 자율 수행 능력 같은 실질적 공격 능력을 봐야 한다”고 했다. 이러한 능력을 가진 AI 시스템이나 모델은 배포 전 안전성·보안성 평가, 위험모델 지정, 배포 제한, 실효적 제재 등 별도 통제 장치가 필요하다는 것이다. <div> </div> </div> <figure class="figure_frm origin_fig" contents-hash="9ed1f0b65f24d909d2092c71c37a2336d95c7fd820a1723c6c2e3780cc692ccd" dmcf-pid="UF94XkkLyc" dmcf-ptype="figure"> <p class="link_figure"><img alt="정 변호사는 기존 보안 규제가 예방·차단 중심, 정형화된 의무 중심, 사후 입법 방식으로 설계돼 있다고 봤다. 방화벽, 접근통제, 망분리, 백신 등 특정 조치를 열거하고 이를 갖췄는지 점검하는 방식은 알려진 위험에는 효과적일 수 있다. 그러나 AI 공격은 알려지지 않은 취약점을 빠르게 찾아내고, 공격 패턴을 변형하며, 자동화된 속도로 확산될 수 있다. 이에 정 변호사는 “정적인 체크리스트만으로는 충분하지 않다”며 말을 이어갔다. (사진=테크42)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/09/552816-OGTrtXj/20260609085654513jehg.jpg" data-org-width="1024" dmcf-mid="zwOlizztWA" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/09/552816-OGTrtXj/20260609085654513jehg.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 정 변호사는 기존 보안 규제가 예방·차단 중심, 정형화된 의무 중심, 사후 입법 방식으로 설계돼 있다고 봤다. 방화벽, 접근통제, 망분리, 백신 등 특정 조치를 열거하고 이를 갖췄는지 점검하는 방식은 알려진 위험에는 효과적일 수 있다. 그러나 AI 공격은 알려지지 않은 취약점을 빠르게 찾아내고, 공격 패턴을 변형하며, 자동화된 속도로 확산될 수 있다. 이에 정 변호사는 “정적인 체크리스트만으로는 충분하지 않다”며 말을 이어갔다. (사진=테크42) </figcaption> </figure> <div contents-hash="c54bc355b378f3cb7c3a260501a8aec2ef0a817f50eecbe9a0f95e2b1f6e4559" dmcf-pid="u328ZEEolA" dmcf-ptype="general"> <div> </div> </div> <p contents-hash="d991396c2efd05252ac614ec5d97c4e46c918bc2aba78942723378522872aa50" dmcf-pid="70V65DDgTj" dmcf-ptype="general">간접 규제는 방어자, 즉 기업과 기관의 보안 체계를 바꾸는 방향이다. 정 변호사는 기존 보안 규제가 예방·차단 중심, 정형화된 의무 중심, 사후 입법 방식으로 설계돼 있다고 봤다. 방화벽, 접근통제, 망분리, 백신 등 특정 조치를 열거하고 이를 갖췄는지 점검하는 방식은 알려진 위험에는 효과적일 수 있다. 그러나 AI 공격은 알려지지 않은 취약점을 빠르게 찾아내고, 공격 패턴을 변형하며, 자동화된 속도로 확산될 수 있다. 이에 정 변호사는 “정적인 체크리스트만으로는 충분하지 않다”며 말을 이어갔다. </p> <p contents-hash="d995362903c579e1390c9ffb6b13e618f2890d055d4f04f2ca38065a63e17fc0" dmcf-pid="zWpzlnnQWN" dmcf-ptype="general">“기존의 보안 체계는 알려진 위험을 전제로 만들어졌습니다. 알려진 위험을 목록화하고, 그것을 잘 차단하면 보안을 달성할 수 있다는 생각이었습니다. 하지만 AI로 인해 공격 규모가 커지고, 기계가 자율적으로 시스템에 접근하는 상황이 되면 침투를 완전히 막기는 점점 어려워집니다. 그래서 보안 규제도 정형화된 의무 중심에서 동적인 대응 체계 중심으로 바뀌어야 합니다. 안 뚫리는 것만 목표로 삼기보다, 뚫렸을 때 얼마나 빨리 파악하고 회복할 수 있는지를 봐야 합니다.” </p> <div contents-hash="8c210364c3f4af10c3e849d6adc12d6cb63a1cb6325b9bb2386f6ca8a9d5dc78" dmcf-pid="qYUqSLLxTa" dmcf-ptype="general"> 정 변호사는 이 전환의 핵심 개념으로 복원력과 동적 대응을 제시했다. 복원력은 침해를 전제로 하되, 피해 확산을 막고 빠르게 정상 상태로 돌아오는 능력이다. 동적 대응은 한 번 정한 보안 조치를 고정적으로 유지하는 것이 아니라, 침투 테스트, 신속 보고, 복구 목표 설정, 제3자 공급망 위험 관리 등을 통해 계속 보안 수준을 조정하는 방식이다. 정기적 침투 테스트를 통해 실제 공격 가능성을 점검하고, 사고 발생 시 신속 보고 체계를 갖추며, 복구시간목표(RTO)와 복구시점목표(RPO)를 설정해 이행 여부를 확인해야 한다는 설명이다. <div> </div> </div> <figure class="figure_frm origin_fig" contents-hash="67cdd2900265c2da3908977ac5d306c49ff577b3e93b98cba1b595bbe931334b" dmcf-pid="BGuBvooMhg" dmcf-ptype="figure"> <p class="link_figure"><img alt="정 변호사는 “각 기업이 자신에게 맞는 위험관리 체계를 구축하도록 하고, 이를 실제로 운영한 기업에는 인센티브를 줘야 한다”고 제안했다. 사고가 발생했다는 이유만으로 처벌하기보다, 사전에 합리적 보안 역량을 갖추고 최선을 다했는지 평가하는 방식이 필요하다는 것이다. (사진=테크42)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/09/552816-OGTrtXj/20260609085656001aefq.jpg" data-org-width="1024" dmcf-mid="qgH1DPPKTj" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/09/552816-OGTrtXj/20260609085656001aefq.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 정 변호사는 “각 기업이 자신에게 맞는 위험관리 체계를 구축하도록 하고, 이를 실제로 운영한 기업에는 인센티브를 줘야 한다”고 제안했다. 사고가 발생했다는 이유만으로 처벌하기보다, 사전에 합리적 보안 역량을 갖추고 최선을 다했는지 평가하는 방식이 필요하다는 것이다. (사진=테크42) </figcaption> </figure> <div contents-hash="f2f241c51c0cb636f4d99a4de888d80eeade067599422b43cb8f32ff84c7498c" dmcf-pid="bH7bTggRyo" dmcf-ptype="general"> <div> </div> </div> <p contents-hash="2a1983224b4a574d22a34ac658fdcbb2754294d34031532291dd785c05747aea" dmcf-pid="KXzKyaaevL" dmcf-ptype="general">정 변호사는 보안 규제의 철학도 바뀌어야 한다고 했다. 모든 기업에 동일한 기술적 수단을 강제하는 방식은 AI 시대에 맞지 않는다. 기업 규모, 보유 데이터, 시스템 구조, 외부 의존도, 공급망 위험이 모두 다르기 때문이다. 대신 정 변호사는 “각 기업이 자신에게 맞는 위험관리 체계를 구축하도록 하고, 이를 실제로 운영한 기업에는 인센티브를 줘야 한다”고 제안했다. 사고가 발생했다는 이유만으로 처벌하기보다, 사전에 합리적 보안 역량을 갖추고 최선을 다했는지 평가하는 방식이 필요하다는 것이다. </p> <p contents-hash="d3b2aa13bbaac3bed204b1afd440a8da7c754520737706427f297d672b92f8f0" dmcf-pid="9Zq9WNNdTn" dmcf-ptype="general">정 변호사는 이를 ‘성실 실패’의 인정으로 설명했다. AI 공격은 모든 취약점을 사전에 제거하기 어려운 만큼, 침해 사고가 발생했더라도 기업이 상시 위험관리, 신속 복구, 취약점 대응, 제3자 관리 체계를 갖추고 있었다면 책임 판단에서 이를 고려해야 한다는 취지다. AI 시대의 보안 규제는 사고를 0으로 만드는 비현실적 목표보다, 사고 발생 가능성을 전제로 피해를 줄이고 회복 속도를 높이는 방향으로 설계돼야 한다는 메시지다. </p> <p contents-hash="962a9221e7956a05f0ec47451066ec4a81b2c2e9dd133c70215718fa43ef28be" dmcf-pid="25B2YjjJSi" dmcf-ptype="general">이날 두 발제의 결론은 맞닿아 있었다. 계 교수는 AI기본법이 실제 산업 현장에서 작동하려면 개념과 수범자, 고영향·고성능 AI 규율, 적합성 평가와 면책 체계를 명확히 해야 한다고 강조했다. 정 변호사는 AI가 보안 위협과 보안 대응 능력을 동시에 키우는 상황에서 법제도가 정적 규제에서 동적 위험관리 체계로 이동해야 한다고 제안했다. 이처럼 AI기본법 시행 이후의 과제는 이제 법의 존재를 알리는 단계를 넘어, 빠르게 진화하는 AI 기술을 어떤 기준과 책임 구조 안에서 사회적으로 수용할 것인지 정교하게 설계하는 문제로 옮겨가고 있었다. </p> <p contents-hash="bfa1e24297718f0d7f0bae29d179d5c5f89f61a71ccae0f127c1057f0ecd3bd8" dmcf-pid="V1bVGAAiSJ" dmcf-ptype="general">저작권자 © Tech42 - Tech Journalism by AI 테크42 무단전재 및 재배포 금지</p> </section> </div> 관련자료 이전 베스핀글로벌, ‘AI 클라우드 데이터 엔지니어 과정’ 교육생 모집 06-09 다음 승패보다 값진 ‘평생 체육’…전 세계 탁구인 강릉으로 06-09 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
