1월 22일에 AI 기본법이 시행됐다. 벌써 두 달이 넘었는데, 스타트업 CTO들 사이에선 여전히 "우리 서비스가 고영향 AI에 해당하는지 모르겠다"는 푸념이 끊이질 않는다. 법은 확실히 존재하는데, 현장에선 뭘 해야 하는지가 불분명한 이상한 시기다.

법은 있는데 기준이 없다

AI 기본법은 '고영향 AI'를 "사람의 생명, 신체의 안전 및 기본권에 중대한 영향을 미치거나 위험을 초래할 우려가 있는 인공지능시스템"으로 정의한다. 의료, 금융, 범죄 수사, 생체 인식, 에너지, 교통 — 열거된 영역이 꽤 넓다.

문제는 이 정의가 너무 추상적이라는 거다. 헬스케어 스타트업이 운영하는 증상 체커 챗봇을 생각해보자. 진단을 내리진 않지만 "병원 가보세요"라는 권고를 한다. 이게 고영향인가? 금융 분야 로보어드바이저는? 직접 매매를 실행하면 해당되고, 종목 추천만 하면 아닌 건가? 교육 서비스에서 학생 성적을 예측하는 모델은? 성적 예측 자체가 기본권 침해인지 아닌지를 누가 판단하나?

시행령은 과기정통부 장관이 "사용영역, 기본권에 대한 위험의 영향·중대성·빈도, 활용 영역별 특수성 등을 종합적으로 고려"해서 판단한다고 돼 있다. 한마디로, 재량 판단이다. 선례가 쌓이기 전까지는 아무도 확정적인 답을 줄 수 없다.

과태료 유예가 면죄부는 아니다

정부는 최소 1년간 과태료를 부과하지 않겠다고 했다. 이걸 듣고 "그럼 2027년까지 신경 안 써도 되는 거 아니야?"라고 해석하는 개발팀이 꽤 있는데, 위험한 판단이다.

시정명령은 유예 대상이 아니다. 과기정통부가 "이거 고쳐라"라고 명령을 내렸는데 무시하면 — 그때부터 과태료가 붙는다. 계도 기간이라는 건 벌금을 바로 때리지 않겠다는 거지, 점검을 안 한다는 뜻이 아니다.

생성형 AI 사업자라면 특히 주의가 필요하다. AI가 만든 결과물임을 표시할 의무는 유예 없이 이미 적용 중이다. 딥페이크 영상, AI 생성 이미지, 자동 작성 텍스트 — 이런 콘텐츠에 대한 투명성 표시를 빠뜨리면 계도 기간이건 아니건 문제가 된다.

개발자가 지금 당장 챙길 세 가지

실무 관점에서 당장 손댈 수 있는 건 세 가지다.

첫째, AI 인벤토리를 만들자. 우리 서비스에서 AI가 어디에 쓰이는지 목록화하는 작업이다. 추천 엔진, 자연어 처리, 이미지 분류 — 내부적으로 "이건 AI라 부르기도 민망한데" 싶은 규칙 기반 시스템도 일단 리스트에 올려야 한다. 시행령상 인공지능의 정의가 생각보다 넓기 때문이다. 전자적 수단으로 학습·추론하는 시스템이면 다 포함된다.

둘째, 투명성 표시 체계를 구축하자. 생성형 모델로 콘텐츠를 만들어 제공하는 서비스라면, 사용자에게 "이 콘텐츠는 AI가 생성했습니다"를 어떤 방식으로든 보여줘야 한다. 워터마크, 메타데이터, UI 라벨 — 기술적 방식은 자유다. 다만 "안 했다"는 변명이 안 된다.

셋째, 문서화를 지금부터 습관 들이자. 고영향 AI로 판정되면 위험 관리 조치의 근거를 5년간 보관해야 한다. 나중에 소급해서 문서를 꾸미는 건 고통 그 자체다. 모델 변경 이력, 학습 데이터 출처, 편향성 테스트 결과 — 지금부터 기록을 남겨두면 나중에 감사 대응이 훨씬 수월해진다.

EU와 비교하면 그나마 숨통이 트인다

한 가지 위안이 있다면, 한국의 접근법이 EU AI Act보다 상당히 유연하다는 점이다.

EU는 고위험 AI 시스템에 대해 글로벌 매출의 최대 7%까지 과징금을 물릴 수 있다. 한국은 3,000만 원 이하 과태료. 숫자만 놓고 보면 차원이 다르다. EU는 특정 유형의 AI 사용 자체를 아예 금지하는 조항도 두고 있지만, 한국은 안전 조치를 충실히 이행하면 활용을 허용하는 쪽이다.

그런데 이건 "현재 시점"에 한정된 얘기다. 개인정보보호법의 궤적을 떠올려보자. 처음엔 과태료가 미미했다가 3차 개정에서 매출의 10%까지 치솟았다. AI 기본법도 같은 경로를 밟을 가능성이 높다. 지금의 느슨함을 영구적인 것으로 착각하고 대비를 미루면, 규제가 강화되는 순간 감당하기 어려워진다.

모호함 자체가 리스크다

결국 지금 가장 불편한 건 규제의 강도가 아니라 "불확실성" 그 자체다. 법은 시행됐는데 구체적 가이드라인은 아직 나오지 않은 과도기. 과기정통부의 고영향 AI 판단 선례가 축적되기 전까지, 개발팀은 자체적으로 보수적 판단을 할 수밖에 없다.

애매하면 고영향으로 가정하고 준비하는 게 맞다. 나중에 "해당 없습니다"라는 판정이 나와도 손해 볼 건 문서 좀 더 쓴 것뿐이다. 반대로 "해당됩니다"가 나왔는데 아무 준비도 없으면? 그건 좀 더 곤란한 상황이 된다.