일본산업뉴스요약

Nikkei X-TECH_2023.4.28

IT가 위험하다
챗GPT의 유행으로 AI 리스크에 대한 우려 높아져
EU에 이어 일본에서도 법 정비 논의 추진

기업이나 행정기관 등에서 미국 오픈AI(OpenAI)의 대화형 AI(인공지능) ‘챗GPT’를 비롯한 생성 AI의 이용이 급속하게 확산되고 있는 가운데, 기밀정보 누설 등 리스크에 대한 우려가 높아지고 있다. 유럽연합(EU)에서는 AI 규제 대상에 생성 AI를 포함시키는 논의가 진행되고 있으며, 일본에서도 법 규제에 관한 논의가 시작되었다.

“삼성의 사례도 있기 때문에 (사내에서의) 이용에 대해 신중해지고 있다”고 어느 기업의 임원은 말한다. 한국의 삼성전자가 직원들에게 챗GPT 이용을 허가한 후에 소스코드 등 최소 3건의 정보 유출이 있었던 것으로 보도되었다.

그렇다면 생성 AI의 리스크에 어떻게 대비해야 할 것인가? 일본에서는 직장 내에서의 룰 정비와 같은 현장에서의 리스크 대처와 함께 미래를 내다본 법 정비에 대한 논의도 진행되고 있다.

4월 14일부터 국내 전 사원 9만 명을 대상으로 오픈AI의 ‘GPT-3.5’를 활용한 대화형 AI 서비스 이용을 시작한 파나소닉홀딩스. 파나소닉홀딩스는 사내 정보와 기업 비밀, 개인 정보 등을 입력하지 않는다는 이용 룰을 정비했다.

정보법 전문인 규슈(九州)대학 법학연구원 법학부의 나리하라(成原) 조교수는 챗GPT  등을 사내에서 이용할 경우에는 사내 규칙을, 외부에 서비스를 제공할 경우에는 이용 규약을 우선 정비할 필요가 있다고 설명한다.

사내 룰은 예를 들면, ‘프롬프트에 입력한 정보가 AI 학습에 이용될 가능성이 있는 경우, 개인정보나 기업 비밀 등을 입력하지 않는다’, ‘잘못된 정보나 부적절한 정보를 출력할 가능성이 있기 때문에 출력 결과를 책임지고 확인 및 판단하기 위한 조직적인 체크 체제를 구축한다’, ‘복수의 AI로 크로스 체크를 한다’ 등이다.

또한, 생성 AI를 사용한 서비스를 외부에 제공할 때에는 이용 규약 정비가 필요하다. 예를 들면, 유저의 개인정보를 취급하는 경우에는 그 취득 범위 및 이용 목적 등을 명기. AI가 부정확한 정보를 출력할 가능성이 있기 때문에 서비스 제공 측의 면책 사항을 규정하거나, 출력한 아웃풋의 지적 재산이 누구에게 귀속되는지 등을 결정한다.

-- 지금까지의 AI 리스크와 동일 --
나리하라 조교수는 “생성 AI가 눈부시게 발전하고 있지만, 기존에 검토해 온 AI 리스크 외에 다른 특유의 리스크가 있는가라고 하면 애매하다”고 지적한다.

나리하라 조교수는 2016년 당시 근무하던 총무성 연구회에서 AI 리스크에 대처하기 위한 검토를 추진했다. 구체적으로는 '기능에 관한 리스크'와 '법제도 및 권리이익에 관한 리스크'로 나눈 후, 각 리스크에 따른 리스크 시나리오를 작성. 발생 시기나 발생 확률, 피해 규모, 이차적 리스크, 리스크 평가, 리스크 관리 등의 시뮬레이션을 실시했다.

예를 들어, 개인 데이터 등의 정보 유출, 가짜뉴스 생성, 학습 데이터의 편중 등에 의해 편향된 결과가 출력되는 생성 AI의 리스크는 지금까지도 AI 일반 리스크로 검토되어 왔다. 사내 룰 작성 시에는 기존의 데이터 보호, 보안, 리스크 관리에 관련된 룰을 우선 적용하면 된다.

AI의 리스크를 최소화하면서 효과적으로 활용하기 위한 AI 거버넌스도 이미 여러 차례 제안되어 왔다. 이것들은 챗GPT 등을 이용할 때에도 활용할 수 있다.

예를 들어, 경제산업성 검토회가 2022년 1월에 정리한 'AI 원칙 실천을 위한 거버넌스 가이드라인 Ver.1.1'에서는 AI 개발 및 운용을 담당하는 사업자 등이 자주적 대응 시 참고하기 위한 매니지먼트 체제 정비와 리스크 관리를 위한 행동 목표 등이 정리되어 있다.

또한, 도쿄대학 미래비전연구센터의 에마(江間) 조교수와 마쓰모토(松本) 객원연구원이 고안한 ‘리스크 체인 모델’은 AI 이용 케이스 별 리스크 요인을 체계화한 것이다. 뿐만 아니라, 구체적인 시나리오를 상정해 리스크를 가시화하고 대책을 강구할 수 있도록 했다.

챗GPT와 같은 새로운 AI 서비스도 클라우드 서비스의 일관성을 고려할 때 기존 가이드라인 등의 룰을 그대로 적용할 수 있다. 실제로 행정 기관 중 최초로 챗GPT를 일부 업무에서 이용하기 시작한 농림수산성은 이미 마련되어 있는 정부 정보시스템의 클라우드 서비스 보안평가 지침 등에 준해 이용을 검토했다고 한다.

한편, 기존의 룰이나 가이드라인으로는 대응할 수 없는 리스크도 나오고 있다. 예를 들면, “지적 재산권을 둘러싼 논의는 더욱 격렬해질 수 있다”라고 나리하라 조교수는 말한다.

일본의 저작권법에서는 AI 학습 등을 목적으로 하는 경우의 저작물 이용은 저작권 침해에 해당하지 않는다고 되어 있지만, “창작자 착취, 무임승차 등 비판의 목소리도 있어, 창작자에게 이용료나 보상금 등으로 환원될 가능성도 있다”(나리하라 조교수)

-- 생성 AI를 '고위험 AI'로 --
이러한 가운데, 새로운 법 규제를 통한 AI 활용 룰 정비에 대한 논의도 추진되고 있다. AI 이용에 포괄적인 룰을 부과하는 유럽연합(EU)의 ‘AI 규칙안’ 논의를 진행하고 있는 유럽의회에서는 올 2월, 규제 대상 AI 목록에 생성 AI를 추가하는 것이 제안되었다.

EU는 2021년 4월에 AI 규칙안을 공표, 2024년 이후의 본격적인 시행을 위해 준비 중이다. AI 규칙안에서는 리스크에 따라 AI를 분류하고, 이 중 '고위험'으로 분류되는 AI에는 규제를 가한다. ‘생성 AI를 이 고위험 AI로 분류해야 한다’라고 제안하는 의원도 있었다고 한다. 고위험 AI에는 이미 유저의 안전과 관련된 AI와 이용에 따라 사람에 대한 차별이나 편견 등으로 이어지기 쉬운 AI가 포함되어 있다.

일본에서도 AI의 법 정비를 위한 논의가 진행되고 있다. 자민당 디지털사회추진본부는 4월, AI에 관한 국가 전략을 제언. 이 가운데 중대한 리스크가 있는 분야에 대해 AI 규제 검토를 실시할 것을 제언했다.

이번 제언을 추진한 자민당의 프로젝트팀 회합에서 아쓰미사카이(渥美坂井)법률사무소 외국법공동사업의 미베(三部) 변호사는 “규제의 우선 순위가 높은 분야 및 항목을 특정한 후에 현행법의 검토가 필요하다”라고 지적했다.

일본 정부는 지금까지 가이드라인 등의 ‘연성법(Soft law)’으로 AI에 대응하고 있었지만, 생성 AI를 비롯한 AI의 이용 범위가 확대되고 있어 입법에 의한 규제로 방향을 전환할 가능성이 있다. 기업도 이러한 상정 하에 이용 룰을 검토해야 할 것이다.

 -- 끝 --

Copyright © 2020 [Nikkei XTECH] / Nikkei Business Publications, Inc. All rights reserved.