유럽 연합(EU)는 지난 2023년 12월 8일 ‘인공지능 규제 법안(AI Act, 이하 AI 법)’ 합의에 성공했다. 이후 추가적으로 논의해야할 내용이 상당히 많으며, 실제 시행까지는 2년여의 시간을 남겨두고 있고 이는 예상보다 늦어질 수 있으나 많은 이들의 귀추가 주목되고 있다. 단순히 최초의 논의이기 때문만은 아니기 때문에, 이렇게 생각하고 ‘뜬구름 잡는 수준의 이야기'라고 넘겨서는 안 된다. 비즈니스의 ‘방향’을 잡을 수 있기 때문이다.

4차 산업혁명이란 단어로부터 비롯된 폭풍과 함께 다양한 이슈들을 사내외, 유튜브(YouTube)를 통해서도 설명할 기회가 한 때 많았었다. 당시 다뤘던 유럽연합발 이슈 중에는 ‘PSD2(Payment Services Directive 2, 지불 서비스 지침 2)’와 ‘GDPR(General Data Protection Regulation, 일반 개인정보 보호법)’도 있었다. 국내에는 유사한 분위기를 자아냈던 것으로 ‘데이터 3법’ 논의도 있겠다. 이번 이야기에서 이 개념들에 대해 자세히 설명하지는 않을 것인데, 중요한 부분은 이 부분이다.

GDPR의 경우 최초 논의 출발은 2011년에 시작됐고, 2014년 시행을 목표로 했었지만 2013년 유럽의회 통과 후에도 많은 과정을 거쳐 결과적으로 2년의 유예기간까지 가진 다음 2018년에 시행됐었다. PSD2의 경우, PSD(지불 서비스 지침)가 2009년 시행된 이후 이용자 권한 강화를 포함하여 개정 논의돼 2018년 개정 시행된 두 번째 버전이었다. 그리고 한국은 이 영향을 받았고 급속한 논의가 이뤄졌다. 결과적으로 우리는 단일 금융회사의 서비스를 넘어 다른 플랫폼에서도 쉽고 빠르게 자신의 자산을 확인할 수 있는 ‘오픈뱅킹(Open Banking)’ 시대를 맞게 되며, ‘내 정보는 회사가 아닌 나의 것'이란 관점에서 동작하는 기능으로써 금융자산 뿐만 아니라 다른 정보들도 이 서비스에서 저 서비스로 옮기거나 삭제 및 이용 확인 요청을 할 수 있도록 하는 ‘마이 데이터(MyData)' 시대로 나아가고 있다. 그리고 이런 흐름은 비단 한국만의 이야기가 아니었다.

상상해보자. 2011년 GDPR이 논의되는 시점으로부터, 2009년 PSD 시행 후 이용자 권한 강화를 포함하여 논의되던 시점으로부터 오픈뱅킹과 마이데이터 관련 산업의 박동을 신경쓰고 있었다면 어땠을까? 물론 미래를 예견하고 과도하게 서둘러 선점하려 해도, 관련 기술과 투하자본의 부재로 인해 곤혹을 치를 수 있다는 점은 누구나 알고 있다. 다만, 핵심은 사라질 위험이 큰 방향으로 키를 잡지 않는 것이다. 즉 유럽연합을 필두로 미국이 동조하는 경우 실질적으로 전세계의 비즈니스에 큰 영향을 미치는 지침과 법의 시행을 항상 보여줘왔으니 적어도 이들의 방향은 확인해야 한다는 뜻이다.

현재까지 일정 컴퓨팅 수준 이상의 인공지능에 대해 합의된 유럽연합의 AI 법의 방향성을 요약하면 다음과 같다. 첫째, 인공지능 세부 사항을 공개하는 것. 둘째, 인공지능 학습에 사용된 데이터에 대한 상세 정보 공유, 훈련 방법에 대한 최신 정보 공개, 저작권법을 따르는 정책. 마지막으로 이외 문서 요약 같은 단순 생산성 인공지능 기능은 규제 대상이 아니라는 것이다. 여기서 우리는 ‘데이터는 누구의 것인가’ 혹은 ‘데이터의 출처는 어디인가’를 따지는 것에 우선 방점을 발견할 수 있다. 그렇다면 앞으로의 방향성에서 마이데이터 트렌드에 대비되지 않은 작업은 주의가 필요하다는 것이다.

물론 기술 성장 촉진(가속)이 우선이 돼야 한다는 ‘가속주의'를 필두로 유럽연합의 AI 법에 대해서 비판하는 기업가들의 모습도 당연 발견할 수 있다. 어떤 지침과 법이든 과도하게 규제하는 방향으로만 흐르면 안 되기 때문에 마치 섭리처럼 등장이 예상된 모습이다. 그러나 이를 통해 AI 법이 완전히 무력화될 것으로 보기만 한다면 곤란다. 이익을 위한 행위에 완전한 자유를 준 경험은 유럽의 산업혁명 이래 노동 문제 경험 이후로 기대되기 어려운 것이다.