|
|
PROFESSIONALS
구성원
최근 소식
-
뉴스레터[금융부문] PG업자의 가맹점 자금을 보호하고 건전 경영을 관리 감독하기 위한「전자금융거래법」일부개정안 국회 본회의 통과1. 전자금융거래법 개정 배경 및 개정이유 온라인 플랫폼·전자지급결제대행업자(이하 ‘PG업자’)를 통한 전자지급결제가 급증하면서, PG사가 보유하는 판매대금·환불예정액이 커졌음에도 정산자금 보호 장치가 미흡하다는 지적이 제기되어 왔습니다. 특히 큐텐그룹 산하 이커머스 업체인 ㈜티몬과 ㈜위메프가 2024. 7. 정산자금을 유용하다가 대규모 미정산 사태를 일으킨 것을 기점으로, PG업자가 환불 및 정산을 위해 보유하는 정산자금의 보호 장치가 미비하다는 의견이 수렴되었습니다. 소상공인·가맹점 보호와 PG업자 건전성 감독 강화를 위한 법적 근거를 마련하고 정산금 미지급 사태가 발생하는 것을 막을 수 있도록 제도를 정비할 필요성이 정책적으로 부각되었습니다. 금융위원회는 그에 따른 조치로 2024. 9.경부터 관계부처 협의 및 전문가의 의견 수렴을 거쳐 「전자지급결제대행업(PG업) 제도개선 방안」을 발표하였습니다. 이 방안을 바탕으로 하는 「전자금융거래법」 일부개정안[대안(정무위원장), 의안번호: 2214593. 이하 ‘개정안’]이 2025. 11. 27. 국회 본회의에서 통과되었습니다. 개정안은 PG사가 판매자에게 대가를 정산하거나 이용자에게 환불하기 위해 보유한 자금을 외부에 예치·신탁하도록 하는 것을 골자로 합니다. 구체적인 개정 내용은 다음과 같습니다. 2. 개정안 주요 내용 가. PG업의 정의 명확화 현행 전자금융거래법은 PG를 ‘전자적 방법으로 재화의 구입 또는 용역의 이용에 있어서 지급결제정보를 송신하거나 수신하는 것 또는 그 대가의 정산을 대행하거나 매개하는 것’으로 정의하고 있습니다(현행법 제2조 제19호). 여기에는 사실상 내부정산을 포함한 모든 정산업무가 포함될 수 있어, PG업 규제 적용 범위가 문언상 불분명하였습니다. 금융위원회는 종전에는 플랫폼, 유통업체 본사 등이 전자적 방법으로 재화의 구입 또는 용역 이용의 대가 정산을 대행하거나 매개하는 경우 PG업 등록을 하여야 한다는 입장이었으나, 이후 「전자지급결제대행업(PG) 제도개선방안」을 통하여 자기 사업의 일부로서 대금을 수취하여 내부정산하는 경우는 PG업의 범위에서 제외된다는 입장을 밝혔습니다. 이번 개정안은 금융위원회와 같은 입장에서, PG업의 정의에서 판매중개 등 다른 업무를 영위하는 과정에서 부수적으로 대가를 수수하여 정산을 대행하는 경우를 명시적으로 제외하였습니다(개정안 제2조제19호, 개정안 제3조제4항 신설). 나. 정산자금 법적 보호장치 강화 이번 개정안에 따르면 PG업자가 정산대상금액에 관한 청구권을 가지는 판매자 등에게 대가를 정산하거나 이용자에게 환불하기 위해 보유하는 자금(정산자금)을 예치, 신탁, 지급보증 등의 방법으로 외부관리 하여 안전하게 운용하여야 합니다. 또한 개정안은 PG업자가 정산자금을 PG 외의 다른 목적으로 사용하는 것을 금지하고, 정산자금을 양도하거나 담보로 제공하는 것을 금지하며, 정산자금에 대한 제3자의 상계·압류 역시 금지하였습니다. 판매자, 이용자 등에게는 PG업자 파산시에도 정산자금을 우선하여 변제 받을 수 있는 권리가 부여됩니다(개정안 제25조의4 및 제25조의5 신설). 정산자금을 외부관리 하지 않고 PG 외 다른 목적으로 사용할 경우 10년 이하의 징역 또는 1억 원 이하의 벌금에 처해질 수 있습니다(개정안 제49조 제1항 5호 신설). 정산자금의 외부관리의무를 위반하는 것은 업무정지 또는 과태료 부과사유가 될 수 있습니다(개정안 제43조 제2항 제1호, 제51조 제1항 제4호 신설). 정산자금을 양도하거나 담보로 제공할 경우에도 과태료가 부과될 수 있습니다(개정안 51조 제1항 제5호 신설). 개정안은 정산자금 외부관리 의무에 관하여 경과기간을 두고 있습니다. 외부관리가 의무화되는 정산자금의 비율은 시행(공포 후 1년이 경과한 날) 후부터 1년간은 정산자금의 60% 이상, 그 다음 1년간은 80% 이상, 시행일로부터 2년이 경과한 날부터는 정산자금의 100%를 외부관리 하여야 합니다(개정안 부칙 제1조, 제2조). 다. PG사 진입규제 강화 이번 개정안은 PG업자의 자본금 요건을 강화하였습니다(개정안 제30조 제2호, 제3호 신설). 이는 대규모 PG업을 영위하는데 필요한 인적·물적 요건을 상향한 것으로 평가됩니다. 현행법에 따르면 분기별 전자금융거래 총액이 30억원을 초과하는 경우에도 자본금이 5억원 이상(시행령에서 10억원으로 규정함)이면 자본금 요건을 충족하고(현행법 제30조 제3항 각 호, 동법 시행령 제17조 제2항 제1호, 제3항 제1호), 이는 분기별 전자금융거래 총액이 300억원을 초과하는 경우에도 같습니다. 그러나 개정안에 의하면, 분기별 전자금융거래 총액이 300억원을 초과하는 경우에는 자본금이 10억원 이상으로 대통령령으로 정하는 금액이어야 합니다. 개정안은 자본금 요건에 관한 경과기간을 두고 있습니다. 개정안 시행 당시 종전의 종전의 제30조제3항에 따라 등록한 전자금융업자는 개정안 시행일(공포 후 1년이 경과한 날)부터 1년 이내에 같은 개정규정에 따른 요건을 갖추어야 합니다(개정안 부칙 제3조). 라. 전자금융업자의 대주주 변경 시 허가·등록 의무 부과 신설 현행법에는 이미 전자금융업 허가를 받거나 등록을 마친 전자금융업자의 대주주가 변경되는 경우 변경허가나 변경등록을 거쳐야 한다는 규정이 없습니다. 이로 인해 전자금융업의 허가 또는 등록을 위한 대주주 요건을 갖추지 못한 자도 이미 허가 또는 등록을 마친 전자금융업자를 인수하는 방식으로 대주주 규제를 우회할 가능성이 있었습니다. 개정안은 전자금융업자의 대주주가 변경된 경우에는 대주주의 결격사유 해당 여부를 확인할 수 있도록 금융위원회에 변경등록을 하도록 하였습니다(개정안 제33조의3 신설). 변경허가·변경등록 없이 그 업무를 하거나 거짓 또는 부정한 방법으로 변경허가·변경등록한 경우에는 허가·등록 취소사유가 됩니다(개정안 제43조 제7항 신설). 이는 전자금융업자로 등록할 수 없는 자가 편법적으로 전자금융업을 영위하는 것을 제한하기 위함으로, 종래에는 전자금융업자의 대주주 요건을 갖추지 못한 자라고 하더라도 전자금융업자를 양수할 수 있었으나, 개정법이 시행되면 전자금융업자의 대주주 요건을 갖추지 못한 자는 전자금융업자를 양수할 수 없습니다. 대주주의 변경등록에 관한 개정 내용은 개정안 시행 이후 대주주가 변경된 경우부터 적용합니다(개정안 부칙 제4조). 마. 정산기한 내 대금 미지급시 제재·처벌 「대규모유통업에서의 거래 공정화에 관한 법률」이 대규모유통업자에 대하여 판대대금의 지급기한을 규정하고 있는 것과는 달리, 현행 전자금융거래법은 PG업자에 대하여 정산금 지급시기에 관한 아무런 규정을 두고 있지 않습니다. 개정안은 PG업자로 하여금 계약 등으로 정한 기한 내에 대가를 정산하여 지급하도록 하는 규정을 신설하였습니다. 구체적으로, PG업자는 정당한 사유가 없는 한 전자지급결제대행 계약에서 정한 기한 내에 대가를 정산·지급하여야 합니다(개정안 제36조의3 신설). 이를 위반한 경우 금융위원회가 PG업자의 미정산행위에 대해 시정명령을 하도록 하였습니다(개정안 제36조의3). 그 시정명령을 이행하지 않은 자에 대하여는 5천만원 이하의 과태료를 부과할 수 있습니다(개정안 제51조제1항제8호). 바. 경영지도기준 감독 실효성 확보 현행법에 따르면 금융위원회는 전자금융업 ‘허가’를 받은 전자금융업자에 대해서만 경영지도기준 미준수에 대한 시정조치를 요구할 수 있습니다(현행법 제42조 제3항, 제43조 제2항 제3호). 이로 인하여 금융위원회에 ‘등록’한 전자금융업자의 경우, 경영지도기준을 준수하지 않더라도 금융위원회가 이에 대한 조치를 할 수 없었습니다. 이번 개정안은 금융위원회의 건전경영지도 대상에 기존의 허가 전자금융업자 외에도 ‘등록 전자금융업자’를 추가하면서(개정안 제42조 제3항), 전자금융업자가 현행 제25조의2에 따른 ‘선불충전금 별도관리 기준’ 및 개정안 제25조의4에 따른 ‘정산대상금액 외부관리 기준’ 위반 시 그 시정을 명하거나 이용자의 보호를 위하여 필요한 조치를 명할 수 있도록 하였습니다(개정안 제42조의2). 금융위원회는 전자금융업자가 그 시정조치를 이행하지 않을 때에는 6월의 범위 내에서 관련 업무의 전부 또는 일부의 정지를 명할 수 있습니다(개정안 제43조 제2항 제3호 신설). 허가·등록 전자금융업자의 경영지도기준 미준수 시 금융위원회가 시정명령을 내릴 수 있다는 개정안 제42조 제3항은 공포한 날부터 즉시 시행됩니다(개정안 부칙 제1조 단서). 한편, 개정안은 전자금융업자에게 이용자 보호를 위한 공시의무도 부과하고 있습니다(개정안 제42조의2 제2항 신설). 공시의무를 위반한 전자금융업자에 대해서는 2천만 원 이하의 과태료가 부과될 수 있습니다(개정안 제51조 제2항 제8호). 사. 자금유용시 형사처벌 등 이번 개정안은 선불충전금 및 정산대상금액을 각각 제25조의2에 따라 별도관리하지 않거나 개정안 제25조의4에 따라 외부관리하지 않고 목적 외 사용한 경우 10년 이하의 징역 또는 1억원 이하의 벌금에 처하도록 하였습니다(개정안 제49조 제1항 제4호 및 제5호 신설). 그리고 정산대상금액을 외부관리하지 않거나, 양도 또는 담보제공하는 경우, 정산기한내 정산금을 지급하지 않아 시정명령을 받았음에도 이를 이행하지 않는 경우, 대주주 변경허가를 받지 아니하거나 변경등록을 하지 않는 경우, 그리고 이용자 등을 보호하기 위하여 필요한 사항을 공시하지 않는 경우를 과태료 부과대상으로 규정하였습니다(개정안 제51조 제1항 제4호, 제5호, 제8호, 제15호 각 신설, 동조 제2항 제8호 신설). 3. 기대효과 및 시사점 이번 개정안은 판매중개 등 과정에서 부수적으로 대가를 수수하여 정산을 대행하는 경우는 PG업의 범위에서 명시적으로 제외하여 PG업의 정의를 명확히 하고, 그 범위를 합리적으로 축소하고자 하였습니다. 이에 따라 기존 2차 PG에 해당하던 전자상거래업체들의 경우 PG업 등록의무가 면제되고 PG업 규제 준수 부담이 경감되는 긍정적 효과가 있을 것으로 기대됩니다. 기존의 PG업자는 위 법의 적용 대상에 해당하는지를 재점검할 필요가 있겠습니다. 개정안에 의하면 특히 자금 관리의 중요성이 커질 것으로 예상되므로, 적용 대상에 해당한다면 정산대상금액 등 자금 관리 체계를 전면 개편할 필요가 있습니다. 개정안에 따라 PG업자에 포함되는 사업자들에 대하여는 한층 강화된 규제가 적용되고, 금융위원회의 실질적인 관리·감독 또한 단계적으로 이루어질 것으로 전망됩니다. 특히 정산자금 외부 관리 및 보호, 강화된 자본금 요건, 대주주 변경 시 변경등록 등과 관련한 규정이 신설된 만큼, 개정안 시행에 앞서 계약 구조, 정산자금 관리 체계, 자본금 요건 충족 여부 등을 점검하여야 하겠습니다.2025.12.08
-
뉴스레터인공지능기본법 시행과 사업자의 의무인공지능기본법 시행과 사업자의 의무 2026년 1월22일부터 시행되는 우리의 '인공지능 발전과 신뢰기반 조성 등에 기본법' (이하 "AI 기본법"이라 칭함)의 하위 시행령, 고시, 가이드라인 초안이 최근 발표되었기 때문에 시행을 둘러싼 AI 기본법상의 사업자 규제에 대해 분석이 가능하게 되었습니다. 그러나 우리의 AI 기본법에 큰 영향을 미친 유럽의 AI법은 2026년 8월부터 고위험 (high-risk) 규제의 많은 부분이 시행될 예정임에도 최근 11월 19일에 법 조문들의 운영에 따른 표준화 문서 등 실무적 차원의 수정안을 담은 '디지털간소화방안' (Digital Omnibus package)이 EU 집행위원회 (Commission)에 의해 공식 발표됨으로써 혼란이 초래되고 있습니다. EU라는 국가연합체의 특성, 미국과 AI빅테크들의 압력, 혁신을 저해할 수 있다는 반발, 그리고 실무적 준비부족 등을 배경으로 법 준수부담, 비용을 줄이면서 동시에 기업들의 경쟁력 향상, 혁신 장려를 위한다는 취지로 발표된 '디지털간소화방안'은 EU 개인정보보호법 (GDPR) 개념정의, 절차등을 간소화하는 내용도 포함되어 있고 아직 회원국간 논의, 유럽의회의 승인절차 등이 남아있긴 하지만 과연 EU가 핵심 타겟인 고위험 AI에 대한 규제를 최대 18개월 (2027년 12월2일까지) 늦출 것인지의 여부가 초미의 관심사로 등장했습니다. 한편, 미국은 연방차원의 단일 AI 규제 법은 없는 대신 주 정부 차원의 규제들이 여전히 작동하고 있고, 최근에는 캘리포니아 주가 거대 범용 AI모델에 대한 투명성, 안전성을 강화하는 특별법 (SB 53: Transparency in Frontier Artificial Intelligence Act)을 통과시켜 내년 1월 1일부터 시행하기로 하는 등 연방정부와 주정부간 AI규제를 둘러싼 갈등이 여전히 지속중이지만 규제의 큰 흐름만큼은 충분히 짐작케 하고 있습니다. 이하에서는 이런 변화속에서 우리의 AI 기본법 시행령, 고시, 가이드라인 초안들을 통해 확인하게 되는 우리만의 차별적 규제 특색, 이에 따른 사업자의 의무 등을 중심으로 분석하기로 합니다. Ⅰ. 우리 AI 기본법의 규제적 특색 1. 고위험이 아닌 고영향으로 규제 1) 2021년에 EU 집행위원회가 선보인 EU의 AI 법 초안은 의료, 채용 등과 같은 AI의 사용용도 (purpose)에 따른 규제에 초점을 맞춰 위험 (risk)별 차별 규제를 근간으로 했습니다. 특히 개인의 생명, 신체의 안전, 기본권에 중대한 해를 끼칠 수 있는 '고위험' (high-risk)을 영역별로 세분하여 규제하는데 초점을 맞추었지만 2022년 11월에 범용 (general purpose) AI인 챗 GPT 가 처음 선을 보이면서 AI 법 초안은 큰 수정을 하게 됩니다. 구체적으로 EU 의회 (Parliament)는 AI의 사용용도는 물론이고 챗 GPT 와 같은 강력한 범용 AI 모델 자체를 규제하는 수정안을 2023년에 내놓게 됩니다. 즉 AI 기술 발전의 속도가 생각보다 빠르게 진행되면서 규제를 더 넓게 하지 않으면 안되겠다는 생각으로 사용용도에 따른 규제 방식외에 결과물을 만들어내는 생성형 (generative) AI는 물론이고 스타트업이 만든 작은 모델의 범용AI라도 모두 규제를 하고자 시도했습니다. 그러나 새로운 기술확산에 따른 혁신적 발전을 저해할 수 있다는 반발이 국가들 사이에서 나왔고 결국 2024년에 EU가 AI 법으로 최종 공표한 것은 위험별 규제 방식외에 강도를 달리해서 범용 AI를 차별적으로 규제하는 방식이었습니다. 즉 AI 모델의 컴퓨팅 연산능력에 따라 일반 범용 AI와 객관적 일정 기준을 넘는 컴퓨팅 학습능력을 가져 고영향 (High Impact) AI로 추정되면 체계적 위험 (systematic risk)이 있는 거대 범용 AI 모델로 구분, 특별히 후자는 투명성에 대한 의무 (법 제53조)외에 안전성에 대한 의무 (제55조)를 추가로 부과한 것입니다. 다시 말해, 최종 공표된 EU AI 법은 범용 AI 모델 가운데 거대 컴퓨팅 학습능력 기반의 모델을 일반 범용 AI 모델과 구분, '고영향'이라는 용어를 써서 모델 자체를 추가 규제하는 모습으로 나타나게 됩니다. 2) 우리 AI 기본법은 고영향 AI를 '사람의 생명, 신체의 안전 및 기본권에 중대한 영향을 미치거나 위험을 초래할 우려가 있는 AI 시스템'으로 정의하고, AI 활용영역에 따른 규제를 하게 함으로써 (법 제2조) 결과적으로 EU AI 법의 고위험AI과 같은 개념으로 정의, 거의 유사한 내용의 규제시스템을 제시하고 있습니다. 더욱이 '고영향’ AI 사업자에 대한 안전성확보의무 규정 (법 제32조)의 해당 고시는 ‘위험도가 사람의 생명, 신체의 안전, 기본권에 광범위하고 중대한 영향을 미칠 우려가 있는 경우’라고 적용 AI 대상을 명시함으로써 '고영향=고위험'임을 확인시켜주고 있습니다. 우리 AI 기본법상의 '고영향' 정의가 EU AI 법상의 '고위험'과 동일하다는 것은 사업자 규제시스템 역시 동일함을 뜻합니다. 즉 EU AI 법은 risk-based approach에 따른 비례적, 차별화된 책임을 사업자를 세분하면서 부과하고 있고, 고위험 모델 시스템 자체의 적합성평가를 요구하며, 해당 모델의 개발자 (provider)는 AI 모델의 가치사슬단계에서 출시 전 위험관리, 품질관리, 적합성평가, 사이버보안 등의 의무를 부담하게 하고, 출시 후에는 배포자 (deployer)로 하여금 기본권영향평가, 투명성, 인간감독 등 실제 사용 맥락에서의 위험을 모니터링하게 하게 함으로써 사업자의 역할에 따른 의무를 비례적으로 배분하고 있습니다. 또한 우리 AI 기본법은 EU AI 법에 비해 전체적으로 제재를 통한 강제성은 부족, 제33조에서 AI 사업자로 하여금 고영향 AI에 해당되는지의 여부를 '스스로' 사전 검토케 하고 있고, 제34조는 사업자의 책무규정, 관련 고시를 통해 위험관리방안 등을 갖추도록 '권고'함으로써 규제의 틀 자체는 EU AI 법을 따르고 있되 자율적 규제방식을 택하고 있습니다. 더욱이 시장에 출시하기 전의 강제적 의무 규정은 없기 때문에 EU AI 법처럼 '고위험 AI' 모델개발사업자로 하여금 확인 (적합평가)을 받아 인증표시 (CE marking)를 붙여 시장에서 유통될 수 있도록 하는 규제시스템에 비한다면 사전에 과기정통부장관에게 고영향 AI 여부 확인을 사업자 스스로 요청하지 않는 한 (제33조) 고영향 AI 시스템 자체에 대한 출시 전 사전 통제는 없다고 평가할 수 있습니다. 한편, 고영향 AI의 안전성, 신뢰성을 확보하기 위해 필요한 사항은 국가인공지능위원회 (제7조는 대통령이 위원장인 AI 기본법상 최고의 심의, 의결기관으로 정의)의 심의, 의결을 통해 추가할 수 있도록 하고 있습니다. 의무를 부담하는 사업자 또한 제34조는 AI 개발사업자와 이용사업자 모두를 포괄하여 규정하고 있고, 기본권영향평가를 받아야 하는 사업자 역시 EU AI 법과 같이 '이용사업자'로 규정하고 (제35조) 있습니다. 즉 현재 EU AI 법은 범용 AI 모델을 데이터연산능력을 기준으로 10의 25승 FLOPs 이상의 AI 모델은 고영향능력 (high impact capabilities) 모델로 추정 (presumed), 체계적 위험 (systematic risk)이 있는 것으로 분류되어 모델의 출시 전부터 모델 자체의 취약함, 위험을 기술적으로 평가, 지속적으로 거대 모델인 foundation model 자체보다 EU로서는 2023년 AI 법 수정안 작성시 어디에 쓰일 지 몰라 사용용도에 따른 통제가 불가능한 범용 (general purpose) AI 모델에 대해 더 관심을 두었기 때문에 (구글 DeepMind의 단백질구조예측 전용 AI 모델인 AlphaFold처럼 거대한 학습데이터 기반의 모델이지만 범용이 아닌 전문적으로 특화된 foundation model도 있음) EU AI 법은 단순한 foundation model이 아니라 상당한 범용 (significant generality)이면서 '광범위한 영역의 상이한 작업' (wide range of distinct tasks)을 능숙하게 수행할 수 있는 거대 AI 모델을 '범용 AI'로 정의 (법 제3조 제63항), 별도로 규제하게 됩니다. 2. 범용 AI 모델 규제의 인위적 공백 거대 모델인 foundation model 자체보다 EU로서는 2023년 AI 법 수정안 작성시 어디에 쓰일 지 몰라 사용용도에 따른 통제가 불가능한 범용 (general purpose) AI 모델에 대해 더 관심을 두었기 때문에 (구글 DeepMind의 단백질구조예측 전용 AI 모델인 AlphaFold처럼 거대한 학습데이터 기반의 모델이지만 범용이 아닌 전문적으로 특화된 foundation model도 있음) EU AI 법은 단순한 foundation model이 아니라 상당한 범용 (significant generality)이면서 '광범위한 영역의 상이한 작업' (wide range of distinct tasks)을 능숙하게 수행할 수 있는 거대 AI 모델을 '범용 AI'로 정의 (법 제3조 제63항), 별도로 규제하게 됩니다. 즉 현재 EU AI 법은 범용 AI 모델을 데이터연산능력을 기준으로 10의 25승 FLOPs 이상의 AI 모델은 고영향능력 (high impact capabilities) 모델로 추정 (presumed), 체계적 위험 (systematic risk)이 있는 것으로 분류되어 모델의 출시 전부터 모델 자체의 취약함, 위험을 기술적으로 평가, 지속적으로 관리하는 방식 (즉 제55조의 안전성의무를 추가로 부과)으로 규제하는 반면, 일반 범용 AI는 모델 자체에 대한 기술적 공개, 저작권준수 등의 의무 (제53조)만을 부과하고 있습니다. 즉 구체적으로 EU AI 법은 기술문서를 작성케 하고 학습데이터 요약을 공개하게 하며, 저작권을 준수하게 하는 등의 의무는 모든 범용 AI에게 다 요구하지만 특별히 거대 모델은 추가적으로 모델 자체의 안전성을 평가받아야 하고, 출시후에는 모델의 개발, 사용에 따른 예상 체계적 위험평가와 완화조치, 사고발생시의 보고, 해커 공격을 막기 위한 사이버보안장치 등의 안전성 의무를 추가 부담케 하고 있습니다.반면, 우리 법 제32조는 안전성확보의무의 구체적 내용으로 모델의 수명주기 전반에 걸친 위험의 식별, 평가 및 완화, 위험관리체계 구축을 열거하고 있고 적용 대상으로는 고시에서 학습에 사용된 누적연산량 10의 26승 FLOPs이상으로 규정하고 있기 때문에 현재 국내 사업자는 해당되지 않게 하였습니다. 다만 우리 AI 기본법이 범용 AI 자체를 정의하고 있지 않기 때문에 제32조가 해석상 특정 목적에 특화된 범용 AI 모델에도 적용되어질 수 있는 여지가 있어 보이지만 의무의 구체적 내용을 보더라도 제32조는 거대 범용 AI 모델을 대상으로 한 것으로 해석하여야 합니다. 이렇게 보면 우리 AI 기본법은 규제의 인위적 공백을 통해 결과적으로 경량형 (sLM) AI 범용모델 내지 산업적으로 특화된 (수직적) 범용 AI 모델 개발을 장려하는 것으로 이해할 수 있습니다. Ⅱ. AI 사업자의 의무 1. 투명성 확보 1) 우리 AI 기본법 제31조는 고영향 인공지능이나 생성형 인공지능을 이용한 제품이나 서비스를 제공하려는 경우 해당 인공지능을 이용하거나 기반으로 하고 있다는 사실을 사전고지, 표시를 통해 알리도록 함으로써 '최종 사용자를 보호'하고자 합니다. 따라서 ‘투명성’ 의무는 통상의 경우 AI 이용사업자 (AI를 이용하여 AI 제품이나 서비스를 제공하는 자)가 부담하게 되지만 만약 AI 개발사업자가 사용자에게 직접 제품이나 서비스를 제공하게 되면 AI 개발사업자에게 투명성의무가 적용됩니다. EU AI 법 제50조에 규정된 투명성의무 (transparency obligations)도 최종 사용자에게 AI 사용으로 인한 것을 알려주도록 되고 있고 제2항은 범용 AI 모델의 제공자로 하여금 결과물에 기계가 읽고 탐지할 수 있도록 표시 (mark)하도록 규정하고 있습니다. 최근의 '디지털간소화방안'은 바로 이 규정에 대해서 실무적 준비의 필요 등을 이유로 2027년 2월까지 (6개월 연장) 적용을 늦추는 제안을 담고 있습니다. 최종 사용자에 대한 투명성의무 규정외에 또한 EU AI 법 제13조는 특별히 고위험 AI 시스템의 경우 이용사업자 (deployer)가 결과물 (output)을 알고 제대로 이용할 수 있도록 설계와 개발단계에서부터 투명성 (transparency)이 확보되어야 한다고 규정하고 있고 (개발사업자에 대한 의무는 제16조에 별도로 규정), 우리 법도 고영향 AI 사업자에 대해서는 특별히 제34조에서 규정하고 있습니다. 즉 동 조 제1항은 '기술적으로 가능한 범위 내에서의 인공지능이 도출한 최종결과, 인공지능의 최종결과 도출에 활용된 주요 기준, 인공지능의 개발, 활용에 사용된 학습데이터의 개요 등에 대한 설명방안의 수립, 시행' 조치를 이행하도록 역시 개발사업자에게 추가 의무를 부담케 하고 있습니다. 2) 한편, EU AI법 제53조는 범용AI모델의 제공자로 하여금 모델자체의 평가, 학습, 테스트 과정 등을 담은 기술적 문서를 작성, 보관하여야만 하고 AI시스템에 모델을 이용하려는 사업자에게도 필요한 정보와 문서를 제공하게 하는 등 '의무' (투명성이라는 용어는 사용하지 않음)를 부과하고 있지만 우리 법은 범용 AI에 대한 별도의 규정을 두고 있지 않고 단지 범용AI모델과 대부분 겹치게 되는 '생성형AI'를 제31조에서 별도로 언급하면서 '표시'를 통한 투명성확보의무를 규정하고 있습니다. EU AI법은 제50조에서 합성콘텐츠 (synthetic contents)를 기반으로 서비스나 제품을 제공하는 개발사업자 (provider)는 AI가 만들었다는 것을 이용자에게 고지하는 차원을 넘어 기계가 판독 가능하고 탐지 가능하도록 (detectable) 결과물에 marking하도록 하고 있고 우리도 제31조 제3항에서 이를 규정하고 있습니다. 다만 우리 법이 범용AI모델 자체에 대해서는 규정하고 있지 않기 때문에 EU AI법처럼 범용AI 모델 제공자에게 학습, 텍스트 등에 관한 기술적 문서, 학습시키는데 사용된 내용물의 상세 요약본 등을 작성, 공개하도록 함은 물론, 특별히 EU 저작권법 준수를 요구하고 있는 등 또 다른 의미의 '투명성'의무를 우리 AI 기본법은 누락하고 있습니다. 참고로 최근 제정된 미국 캘리포니아의 AI 특별법 (SB 53: Transparency in Frontier Artificial Intelligence Act)은 일정 규모 이상의 거대 모델을 개발하는 기업에게 허위정보, Deepfake를 차단할 목적으로 특정 콘텐츠들에 대한 명확한 공개 (disclosure)의무를 부과하는 것은 물론, 모델 자체의 편향성과 저작권 무단사용을 방지하기 위한 훈련데이터의 공개, 어떤 데이터와 기준을 사용하여 AI 시스템이 결론을 내렸는지, 해당 시스템의 잠재적 영향이 무엇인지 등에 대한 모델 작동과정의 공개까지 '투명성'이라는 이름아래 주 정부에 보고하고 공개할 의무를 부과하고 있습니다. 3) 실무적 문제 ① 우리 법 제31조의 투명성확보의무를 부담하는 사업자는 세분하여 파악할 필요가 있습니다. 즉 구체적으로 Deepfake (생성형 AI를 이용하여 만들어 낸 가짜 이미지, 음성 등)와 같이 실존 인물이라는 피해주체가 분명한 경우의 책임은 AI 모델개발자가 아닌 이용사업자가 지는 것이지만 (제 3항은 이용자가 명확하게 인식할 수 있는 방식으로 고지 또는 표시하도록 사업자에게 의무를 부담하고 있기 때문에 결국 AI 모델의 이용사업자가 그 의무를 부담하는 것으로 해석), 만약 Deepfake가 가능하도록 합성콘텐츠 (synthetic contents)를 생성할 수 있는 AI 모델을 개발한 사업자의 경우에는 EU AI 법 제 50조 제 2항은 기계가 판독할 수 있고 탐지할 수 있도록 AI 결과물에 marking할 의무를 부담케 하고 있기 때문에 우리 법 제 31조 제 3항에 해당되는 투명성확보의무의 해석에서도 그 경우에는 역시 동일하게 모델개발사업자가 부담하는 것으로 해석하게 됩니다. ② 2019년 EU 저작권법 (Directive 2019/790)은 디지털 ‘문자 및 데이터 마이닝’ (text and data mining: 이하 ‘TDM’이라 칭함)에 대한 저작권보호 예외를 인정한 바 있지만 정작 AI 법에서는 범용 AI 모델 개발자에게 학습과정에서의 저작권 준수의무를 강조하고 있습니다. 우리는 저작권법은 물론이고 AI 기본법에도 학습과정에 대한 저작권 관련 규정이 없기 때문에 향후 우리 법원에 AI 모델을 둘러싼 저작권침해소송이 제기되면 결국 출력결과물을 놓고 침해가 추정된 다음, 사전 학습과정에서의 복제 (copy)가 있었는지를 다투게 될 가능성이 큽니다. 물론 AI가 경쟁적으로 개발, 확산되면서 특정 모델이 학습한 데이터의 출처를 확정하기 어렵고, 콘텐츠의 생성과정이 명확하게 알려져 있지 않으며, 유통과정 또한 책임을 특정하기가 어려워진 상태이기 때문에 원고의 침해 입증책임 또한 쉽지 않은 측면이 있고, 특히 법정 공방 과정에서 우리 저작권법상 AI 개발을 둘러싼 예외규정이 없기 때문에 AI 사업자가 결국 자신의 모델개발에서의 학습과정을 공개하면서 침해에 대한 반박을 하여야만 되는 상황이 초래될 가능성 또한 있습니다. 따라서 모델의 개발단계에서부터 자문을 통해 라이선스정책과 학습데이터의 문서화 등을 체계적으로 관리할 필요성이 제기됩니다. 2. 안전성확보의무 AI기본법 제32조 의무부담자의 1차 기준을 시행령 (안)에서는 10의 26승 FLOPs 이상으로 정하고 있기 때문에 숫자상으로는 캘리포니아 AI특별법 (SB 53)상의 frontier model 규제 기준과 일치하고는 있지만 (AI사업자가 모델개발시의 누적 연산량을 공개하지는 않기 때문에 추정치로 계산하더라도) 이 정도의 컴퓨팅 파워를 유지하기 위해서는 상당한 양의 GPU와 학습훈련기간, 그리고 엄청난 전력 인프라가 필요하다는 점에서 극소수의 미국 범용 AI 모델 정도가 적용대상이라고 할 수 있습니다. 더욱이 법 제32조 안전성 확보의무는 객관적 누적 연산량 기준외에 사람의 생명, 신체, 기본권에 광범위하고 중대한 영향을 미칠 우려가 있을 것이라는 추가 기준이 고시에 규정되고 있고 더더욱 최첨단의 AI 기술을 적용하여 구성, 운영되고 있을 것이라는 요건까지 추가하고 있기에 현실적으로 국내 범용 AI 개발사업자보다는 우리 시장에서 사업을 하는 글로벌 범용 AI 사업자를 타겟으로 한 것이라고 할 수 있습니다. 결국 해당 외국 사업자는 국내 대리인을 지정해야 하지만 (제36조/시행령안은 국내 대리인을 지정하여야 하는 요건으로 전년도 매출액 1조원 이상이거나 인공지능서비스 부문 전년도 매출액이 100억원 이상이거나 전년도 말 기준으로 직전 3개월간 국내 이용자수가 일일 평균100만명 이상인 기준을 제시하고 있음) 의무이행의 최종 방법은 외국의 AI 사업자가 위법 행위를 한 것으로 간주 (제36조 제3항), 처리될 수 밖에 없을 것입니다. 3. 고영향 AI 사업자에 대한 추가적 의무 1) 사전 확인 및 기본권영향평가 (제33조와 제35조) ① 위험을 관리하기 위한 사전 절차의 하나로서 법 제33조는 해당 사업자로 하여금 고영향에 해당되는 지의 여부를 사전 검토케 하고 필요하면 과기정통부 장관에게 확인을 요청할 수 있게 하고 있지만 현실적으로는 고영향 제품이나 서비스 개발사업자는 출시 시간에 맞춰 시행령에 규정된 대로 적어도 60일 (30일 연장가능성을 포함)전에는 사전 확인요청을 할 것으로 예측됩니다. 물론 고영향인공지능으로 확인된다면 제35조의 기본권 영향평가도 받아야 되고 제34조의 사업자책무규정도 면밀히 체크하여야만 되기 때문에 실무적으로는 충분한 시간확보가 필요할 것입니다. 또한 EU AI 법이나 우리 법 모두 고위험영역의 해당 응용모델 출시 전 사전 규제절차를 거쳐야만 되기 때문에 ‘범용 AI에 대한 사전 규제를 하지 않은 우리 법의 특성상’ 만약 특정 고영향분야의 응용 모델로 범용 AI 모델을 전환하여 사업을 펼치고자 할 경우 더더욱 사전에 컴플라이언스 이슈에 대한 꼼꼼한 자문이 필요하게 됩니다. ② 제35조의 영향평가는 고영향AI 모델의 이용사업자로 하여금 사전에 기본권에 미치게 되는 부정적 영향을 체계적으로 식별, 분석하여 이를 자율적으로 시정조치토록 하기 위한 규정으로서 AI제품, 서비스별로 영향을 받는 기본권의 종류는 다양할 수밖에 없고 규정의 취지상 직간접적으로 영향을 받는 사람, 집단 등을 식별하여 어떤 방식으로 위협 요인이 생성되고 통제할 수 있는지 등을 수행하는 방대한 작업일수밖에 없습니다. 이번에 발표된 고시 (안)에서는 전담기관으로 정보통신정책연구원 (KISDI)을 지정하고 있습니다. 2) 사업자의 책무 고영향인공지능 개발사업자와 이용사업자는 우리 법 제34조에 따라 '안전성, 신뢰성을 확보하기 위해' 위험관리방안, 이용자 보호방안, 사람의 관리, 감독 등에 대한 과기정통부 장관의 관련 조치를 준수하도록 ‘권고’받고 있습니다. 또한 제34조에서는 대통령소속의 국가인공지능위원회가 심의, 의결하여 고영향AI 사업자의 의무로 추가할 수 있도록 하고 있지만 EU AI 법과 같이 고영향에 대한 관리체계 (management system)는 주기적이고 체계적인 업데이트를 통해 전 수명주기 (entire lifecycle)동안 요구되어지는 의무로 이해됩니다. 그러나 모든 AI관련 위험을 다 관리하도록 사업자에게 요구할 수는 없기 때문에 결국 고영향 시스템을 개발하거나 설계하면서, 또는 적절한 기술정보 (adequate technical information)를 제공하면서 합리적으로 (reasonably) 제거하거나 감소할 수 있는 위험만을 대상으로 통제할 수 있는 시스템을 구축하라는 의미로 해석됩니다. 특히 고영향AI 사업자 책무는 모든 사업자들이 모델의 전 수명주기에 걸쳐 비례적으로 책임을 분담케 하는 구조임을 기억해야 합니다. 구체적으로 모델의 제공자 (provider)는 고영향 AI 시스템이 시장에 출시되기 전에 갖춰야 할 기술적 및 기능적 필수 요건을 준수하도록 시스템을 설계하고 개발할 포괄적인 책임을 지게 되고, 배포자 (deployer)는 출시된 이후 실제 사용단계에서의 책임을 지되 주로 시스템의 운영 및 모니터링 단계에서의 안전을 보장할 책임을 지는 식으로 유통 사슬 구조에 있는 모든 사업자가 의무를 부담하게 됩니다. <EU 집행위원회의 'Digital Omnibus package' 발표는 AI 고위험시스템 규제를 EU차원에서 집행하기 위한 EU차원의 표준개발, 감독기구, 산업영향평가 등의 세부 작업, 절차가 지연됨에 따른 어느 정도 예정된 결과라고도 할 수 있습니다. 법 자체의 강제력을 뒷받침할 수 있는 세부 절차와 규정 등이 미비하기 때문에 AI 고위험규제를 최대 18개월 연기할 수 있게 했습니다. 정부가 과태료부과는 1년을 유예하겠다고 발표했지만 우리 법상의 고영향 규제 역시 EU의 고위험처럼 산업별, 영역별 세부 절차, 감독체계등이 정비되어야만 제대로 실행할 수 있을 정도로 방대하기 때문에 우리에게도 큰 관심사입니다. 매월 발간하는 법무법인 린 AI.플랫폼.테크 (종전 'TMT'를 개명) AI 산업센터의 뉴스레터인 AID에 대한 질문, 조언 등은 구태언 A.P.T. 그룹장 (tekoo@law-lin.com ), 방석호 AI 산업센터장 (shbang@law-lin.com) 에게 보내주십시오.>2025.12.08
-
언론보도[법률신문] "작은 로펌 크게 성장하려면 … 전문성 집약·고객 밀착·초효율화"지난 12월 4일 서울 양재동 aT센터에서 열린LES 2025 패널토론에서는 강소·중소형 로펌의 경쟁력과 생존 전략이 주요 화두로 다뤄졌으며, 참여자들은 인력 유출 등 스몰펌 환경이 쉽지 않다는 점에 공감하면서도 속도·밀착 서비스·유연성이라는 부티크 로펌의 강점은 오히려 더 중요해지고 있다고 진단했습니다. 여러 로펌 대표들은 대형로펌 대비 신속한 의사결정과 고객과의 긴밀한 소통, 효율적인 업무 수행 체계 등이 스몰펌의 핵심 경쟁력이라고 강조했습니다. 스타트업·IT 분야를 다루는 로펌들은 소수 인원이 M&A 등 전 과정을 함께 담당함으로써 경험 축적과 데이터베이스화가 용이해지고, 궁극적으로 고객에게 ‘가성비’ 높은 서비스를 제공할 수 있다고 설명했습니다. 이 가운데 법무법인(유) 린의 김지호 변호사는 린의 강점으로 “규모는 대형로펌보다 작지만, 꾸준한 합병과 전문가 영입을 통해 약 180여 명의 인력을 갖추며 협업 시스템을 고도화한 점”을 꼽았습니다. 김지호 변호사는 최근에는 대형로펌에 지원할 만큼 우수한 인재들이 린에도 많이 지원하고 있다며, 신입 변호사들은 육아휴직 등 복지 제도도 중요하게 생각하지만 무엇보다 “열린 기회 구조”에 매력을 느낀다고 설명했습니다. 이미 구조가 견고한 대형로펌과 달리, 린은 빠르게 성장하는 조직이기 때문에 젊은 변호사들이 비교적 짧은 시간에 핵심 멤버로 자리 잡을 수 있는 가능성이 크다는 점이 지원자들에게 강한 장점으로 작용하고 있다고 밝혔습니다. 이번 논의를 통해 법무법인(유) 린은 중소형 로펌의 경쟁력이 단순한 규모의 문제가 아니라 전문성과 속도, 유연성, 그리고 구성원 개개인이 성장할 수 있는 구조에 있다는 사실을 재확인했습니다. 앞으로 린은 분야별 전문성을 더욱 강화하고 내부 협업 시스템을 고도화하며, 구성원들이 빠르게 성장해 핵심 인재로 자리 잡을 수 있는 환경을 조성하겠습니다. 또한 고객에게는 더욱 효율적이고 밀착된 법률 서비스를 제공함으로써 강소 로펌의 장점을 극대화하고, 차세대 종합법률 서비스 플랫폼으로 도약하는 데 집중하겠습니다. 자세한 내용은 아래 기사 원문을 참고 부탁드리겠습니다. 법률신문 원문보기▼ https://www.lawtimes.co.kr/news/2138192025.12.05
| Share |
|
