AI 규제: 인도의 규제 체제

인공지능(AI) 애플리케이션은 콘텐츠 제작, 마케팅 노력, 챗봇(chatbot)과 음성 비서(voice assistant)를 통한 고객 서비스 상호작용, 의료 진단과 신약 개발에 필요한 고급 애플리케이션 사용, 엔터테인먼트의 개인화, 자율 주행 시스템 구축 등 생성형 AI(GenAI)를 통해 우리의 일상 생활에 ‘적지 않은’ 영향을 주고 있다.

AI 애플리케이션은 연구와 교육, 산업용 애플리케이션, 고객 지원, 의료 등 다양한 산업 부문에서 효율성 향상, 자동화, 정교한 의사 결정 과정을 확실하게 보증한다.

글로벌 리서치 전문기관 Statista에 따르면, 전 세계 AI 시장은 2024년 3,059억 달러 규모에 달할 것으로 예상되고 2030년까지 15.83%의 연평균 성장률(CAGR)로 확대될 것으로 전망된다. 인도의 AI 시장은 2030년까지 17.94%의 CAGR을 달성하고 2024년에는 54억 7,000만 달러를 넘어설 것으로 예상된다.

인도의 AI 스타트업 생태계도 크게 성장하고 있는데, 2024년 2월에 발표된 AIM Research 보고서에 따르면 2023년에 AI 기업들은 5억 6천만 달러 이상의 자금을 확보했다. 이러한 수치(數値)는 인도의 기술 환경에서 AI의 중요성이 갈수록 커지고 있다는 것을 보여준다.

기존 체제

2024년 1월 26일 각각의 AI 시스템에 대한 위협 요소에 기반하여 AI 시스템을 분류하는 EU의 AI 법 최종 초안을 발표한 EU와 달리, 인도에는 AI와 그 활용에 대해 다루는 ‘포괄적인(overarching)’인 법안이 없다.

그러나, 2000년 정보기술법(IT법)과 관련 규칙 및 2023년 디지털 개인정보 보호법(DPDP법, 고시 법안)과 같은 기존의 인도 법은 개인정보 처리에 대한 규제 기대치를 높이면서 AI의 오용 방지에 필요한 몇 가지 기준을 제시하고 있다.

예를 들어, 2024년 3월 1일 전자정보기술부(MeitY)는 정보기술법에 따라 AI 모델에 대한 가이드라인을 담은 권고안을 발표했다. 이 권고안은 2021년 정보 기술(중개자 가이드라인 및 디지털 미디어 윤리강령) 규칙에 명시된 실사 요건 준수, AI 교육 시 편견이나 차별 방지, 테스트 중이거나 또는 신뢰할 수 없는 것으로 판단되는 AI 배포를 위한 정부 승인 획득, 사용자에 대한 불법적인 정보 취급의 결과 통지를 요구하고 있다. 그러나 이 권고안이 적용되는 “중요한” 플랫폼에 대해서는 명확한 정의가 필요하다.

도전 과제

다양한 AI 툴(tool)의 구현을 등급화, 평가 및 관리할 수 있는 중앙 정부 차원의 법적 기준이 없다는 점은 인도에서 책임감 있는 AI 개발을 가로막는 중요한 장애물 중 하나이다. 또한, 인도의 기존 법은 가짜 뉴스와 딥페이크의 확산은 물론 최근 Google의 생성형 AI 모델 Gemini에서 지적된 것처럼 AI 툴에 내재된 편향과 편견을 완전히 통제하기에 충분하지 않다.

‘범죄’란 인간의 마음과 관련한 문제이지 AI 툴과 관련한 문제가 아니라는 인도 법의 관점에서 보더라도, 표절하거나 또는 명예를 훼손하는 콘텐츠를 생성하기 위해 자율적으로 AI를 사용하는 AI 툴, 또는 데이터 도용이나 멀웨어 배포를 위해 AI 웜(예: Morris II 웜)을 자율적으로 생성하도록 프로그래밍 된 AI 툴에 책임을 부여하는 것 또한 인도에서는 아직 검증되지 않은 부분이기도 하다.

아울러, AI의 책임 있는 사용에 대한 판례도 아직 확립되어 있지 않다. AI를 관리할 때 적용되는 몇 가지 추가적인 제한 사항을 살펴보면 다음과 같다.

1957년 저작권법. 저작권법은 저작물이 독창적이고 인간이 저작자인 경우에만 저작권을 보호할 수 있도록 규정하고 있다. 따라서 AI가 생성한 콘텐츠는 저작권이 없는 것으로 간주한다. 미국과 인도의 최근 사례 또한 AI가 생성한 콘텐츠의 저작권 문제가 얼마나 복잡한지 잘 보여주고 있다. 예를 들어, AI 그림 그리기 앱 Raghav가 제작한 AI 생성 예술 작품인 Suryast의 저작권으로 등록하려는 Ankit Sahni의 시도는 거부되었다.

인도의 현행 법 체계 하에서, AI에 저작자 권리를 부여하는 것은 AI가 무한하게 존재한다는 점을 고려하면 상당한 현실적 문제를 야기할 수 있다(AI가 영구적으로 저작권 보호를 받는다는 문제 포함). 따라서 AI가 생성한 저작물에 대한 저작권 소유권을 고려하기 전에 포괄적인 개혁이 선행되어야 한다.

디지털 개인정보 보호. 디지털 개인정보 보호법은 기업이 개인의 동의를 받거나 특정의 합법적인 목적을 위한 경우에만 디지털 개인정보를 처리할 수 있도록 허용한다. 제3자 앱에서 사용자의 개인 정보를 수집하는 자율형 AI 툴이 디지털 개인정보 보호법을 위반할 경우에 해당 법에 따라 어떻게 처벌할 것인지는 아직 분명하지 않다.

AI 툴의 사전 학습 매개변수에서 해당 개인정보를 분리하는 것이 어렵고 학습한 내용을 잊어버리는 AI의 전반적인 능력을 고려하면, 개인이 동의를 철회할 때 개인정보를 삭제하거나 수정하는 AI 툴의 기능 또한 쉽지 않다.

최근의 정책 프로그램

전자정보기술부(MeitY). 전자정보기술부는 인도에서 책임감 있는 혁신과 AI 개발을 추진하기 위해 다양한 프로그램을 진행했다. 이러한 프로그램에는 정책 프레임워크 수립을 위한 AI 위원회 설립, 여러

도시에 사물인터넷(IoT) 우수 센터 설립, 가상 및 증강 현실, 게임, 시각 효과, 컴퓨터 비전 및 AI, 블록체인 기술을 위한 전문 센터 설립 등이 포함된다.

전자정보기술부 위원회의 권고 사항에는 공공 데이터를 AI에 활용하기 위한 국가 인공지능 자원 플랫폼 개발, 각 분야별 국가 미션 파악, AI 사용 활성화에 필요한 관련 규정의 개정/제정 등이 포함된다. 전자정보기술부는 국가 인공지능 포털, 즉 INDIAai와 인공지능 연구 분석 및 지식 보급 플랫폼과 같은 프로젝트도 시작했다.

뿐만 아니라, AI 국가 프로그램은 기술, 윤리, 거버넌스, 연구 및 개발과 같은 분야에 중점을 두면서 사회적 영향력 발휘에 필요한 혁신적인 기술 활용을 목표로 하고 있다. 이러한 프로그램들은 포용적이고 혁신적인 성장을 촉진하면서 AI 환경을 규제하려는 인도 정부의 노력을 보여준다.

정책 싱크탱크 NITI Aayog. 2018년 인도 정부의 최고 정책 싱크탱크인 NITI Aayog는 의료, 농업, 교육, 스마트 시티, 교통과 같은 중요 부문에서 AI의 역할에 초점을 맞춘 “인공지능을 위한 국가 전략”이라는 제목의 검토 보고서를 발표했다.

NITI Aayog는 이 보고서를 통해 AI 혁신 관리에 필요한 연구 센터, 공용 클라우드 플랫폼, 적절한 지식재산 프레임워크 구축을 제안했다. 그리고 2021년 2월에는 안전성, 형평성, 포용성, 개인정보 보호, 투명성, 책임성 및 가치를 강조하는 “책임감 있는 AI를 위한 원칙”을 발표했다.

이후 2021년 8월에 발표된 “책임감 있는 AI를 위한 운영 원칙”이라는 제목의 접근방식 보고서에서는 EU의 AI 법과 유사한 등급별 위험 기반의 규제 접근방식을 지지하는 정부와 민간 부문 및 연구 기관들의 역할에 대해 개략적으로 설명했다.

이 접근방식은 고위험 AI에 대한 엄격한 감독과 책임감 있는 AI 사용을 권장하는데, 이를 통해 기술적 구애를 받지 않는 관리 기준(governance frameworks)에 대한 이해관계자들의 의견을 조율할 수 있다. 이러한 정책 문서들은 책임감 있는 AI 시스템 활성화에 필요한 관리 기준을 제시하는 정책 수립의 첫 단계이다.

인도통신규제국(TRAI). 2023년 7월 20일 인도통신규제국은 통신 업계에서 책임감 있는 AI 사용을 위한 권고안을 발표했는데, 편향성, 책임 문제, 인간이 이해할 수 있는 AI 툴에 대한 설명 가능성 문제, 감시가 필요할 수 있는 AI의 잠재력 등 관련 위험으로 인하여 AI를 규제해야 할 필요성을 강조했다. 인도통신규제국은 싱크탱크 NITI Aayog의 접근 방식에 발을 맞춰 위험 기반 규제 기준을 채택하면서 고위험 AI 애플리케이션에 대한 한층 엄격한 통제와 면밀한 조사를 제안했다.

인도중앙은행(RBI). 인도중앙은행은 HDFC 은행, ICICI 은행, 인도국립은행, Kotak Mahindra은행 등 인도의 주요 은행들이 AI 툴을 광범위하게 채택함에 따라 은행 및 금융 서비스 부문에서 AI 사용을 감독하기 위한 규제 기준에 대해 고심하고 있다.

인도중앙은행은 AI 알고리즘의 복잡성과 잠재적 편향성, 데이터 보안에 대한 우려를 인식하여 이러한 문제 해결에 필요한 단기 대책 도입을 계획하고 있다. 이러한 조치에는 은행이 AI 사용 및 배포 전에 고객에게 이를 의무적으로 공개하고, 신용 심사를 위한 AI 사용 등 핵심 은행 기능의 아웃소싱에 대한 한층 엄격한 규정, 은행 업계의 투명성과 책임성 및 감사 가능성을 높이기 위한 AI 알고리즘의 표준화된 저장 형식 등이 포함될 수 있다.

인도표준국(BIS). 2024년 1월 인도표준국에서 발표한 인도 표준 IS/ISO/IEC 42001:2023 초안에는 조직 내 AI 관리 시스템 구축, 구현, 유지 및 지속적인 개선을 위한 지침과 전제 조건이 기술되어 있다. AI 관리 시스템에는 조직 내에서 AI를 관리 및 감독하고 최적화할 수 있도록 설계된 모든 소프트웨어 플랫폼이 포함된다.

AI 규제의 필요성

AI가 널리 보급되면서 AI 감시, 데이터 보안, 개인의 민감한 정보 남용 가능성, 사회적 편견의 확대, 보안 위험, 가짜 뉴스 및 신뢰성 부족에 대한 우려가 갈수록 커지고 있다. AI가 실업을 유발하고 자유롭고 공정한 선거에 대한 개입 등 국가 안보 위험을 높일 수 있다는 우려 또한 제기되고 있다.

최근 인도에서 발생한 딥페이크 사건과 가짜 뉴스의 확산, 인도 공항의 신속한 보안 검색을 위한 DigiYatra 앱의 얼굴 인식 기술 사용 논란은 AI 활용과 관련한 오용과 윤리적 우려에 선행적으로 대처하는 것이 중요하다는 점을 여실히 보여주고 있다.

AI 시스템은 의사 결정 과정을 평가할 수 없는 “블랙박스”처럼 작동하는 일이 빈번하기 때문에, 이러한 현실 또한 AI 시스템을 투명하고 안전하게, 추적 가능하고 비차별적으로 관리할 수 있는 적절한 정책 프레임워크가 더욱 필요하다. Google의 최고경영자 Sundar Pichai는 “AI가 중요한만큼 이에 대한 규제가 필요하다”고 지적한 바 있다.

인도는 AI의 책임감 있는 개발을 보장하고 보안 위협과 피해로부터 사용자를 보호하기 위해 구체적인 규제가 필요하다. 정보기술법을 대체할 것으로 예상되는 디지털 인도법(DIA)은 AI와 블록체인과 같은 기타 신흥 기술에 대한 보다 포괄적인 관리 기준을 제공할 것이다. 그러나, 하루가 다르게 발전하는 AI의 역동적인 특성을 감안하면 분야별 접근방식과 개방적이면서 협의가 가능한 관리 기준 또한 반드시 필요하다.