[※ 편집자 주 = 문화체육관광부 집계 기준 2025년 K-콘텐츠 수출액은 149억 달러로 역대 최고를 기록했습니다. 이제 K-콘텐츠와 K-컬처는 언어와 국경을 넘어 지구촌 곳곳에서 실시간으로 향유되고 있습니다. 바야흐로 '한류 4.0'의 시대입니다. 연합뉴스 동포·다문화부 K컬처팀은 독자 여러분께 새로운 시선으로 한국 문화를 바라보는 데 도움이 되고자 전문가 칼럼 시리즈를 준비했습니다. 시리즈는 매주 게재합니다.]

[본인 제공]

더불어민주당 조인철 의원(광주 서구갑)이 이른바 '우리아이 AI 안심 패키지법'을 지난 23일 대표 발의했다. 패키지는 두 축이다. 하나는 아동·청소년을 '인공지능취약계층'에 포함하고 국가 인공지능 기본계획에 이들의 피해 예방과 보호를 반영하도록 한 인공지능기본법 개정안이고, 다른 하나는 대화형·생성형 AI 서비스 제공자에게 보호 의무를 부과하는 정보통신망법 개정안이다.(조 의원은 이와 별도로 5월 13일에는 해외 AI 사업자의 국내대리인 지정·관리를 강화하는 인공지능기본법 개정안을 따로 대표 발의한 바 있다.)

후자에는 이용자 연령 및 본인 확인, 법정대리인 동의, 이용 방법·시간 제한, 대화 일시·내용 정보 제공, 자살·자해·마약류 오남용·성적 착취 등 위험 노출에 대한 신고 시스템 구축과 위험 제거 조치가 담겼다.

문제의식은 타당하다. 아이들에게 생성형 AI는 더는 낯선 기술이 아니다. 초록우산이 3월 전국 만 14세 이상 아동·청소년 3천300명을 조사한 결과 94.4%가 생성형 AI 챗봇을 썼고, 19.3%는 거의 매일 이용했다. 응답자의 약 절반이 "AI가 자신을 이해해 준다고 느낀 적이 있다"고 했고, 41%는 챗봇 답변을 실제 행동으로 옮긴 경험이 있었다. 챗봇은 검색창과 다르다. 이용자의 표현을 받아주고 맥락을 기억하며 듣고 싶은 말을 돌려준다. 정보 제공 도구가 관계형 인터페이스로 바뀌는 순간 위험의 성격도 달라진다.

◇ 위험은 아이에게만 있지 않다

그렇다고 위험이 아이들만의 것은 아니다. 아동·청소년이 더 취약할 뿐, AI가 만드는 위험은 전 연령에 걸쳐 있다. 성인도 챗봇에 정서적으로 의존하고, 자해·망상 강화, 위험한 의료·투자 조언, 성적 착취, 범죄 조장 정보에 노출될 수 있다. 그래서 핵심 질문은 '아이가 AI를 쓰게 할 것인가'가 아니라 '대화형 AI 전체에 어떤 가드레일을 둘 것인가'다.

기본 안전장치는 모든 이용자에게 적용돼야 한다. 자살·자해를 부추기는 응답, 성착취와 범죄를 조장하는 응답, 위험한 약물 사용을 안내하는 응답은 이용자가 미성년인지와 무관하게 통제돼야 한다. 그 위에 아동·청소년에게는 성적 대화 제한, 과몰입 경고, 위기 시 상담기관 연결, 보호자 연계 같은 추가 보호가 얹히는 구조가 바람직하다. 연령 확인이 가드레일의 전부가 돼서는 안 된다.

두 번째 쟁점은 연령 확인 방식이다. 보호를 위해 일정 수준의 연령 확인은 필요하지만, 그 방식이 주민등록번호·신분증·얼굴 이미지·보호자 정보의 대량 수집으로 흘러서는 곤란하다. 아이를 지키겠다며 아이와 부모의 개인정보를 글로벌 AI 사업자에게 직접 넘기면, 보호의 명분이 또 다른 개인정보 위험을 낳는다.

필요한 것은 신원 확인이 아니라 속성 증명이다. 사업자에게 필요한 정보는 정확한 생년월일이나 이름이 아니라 '만 14세 미만인지, 18세 미만인지, 성인인지, 청소년 보호모드가 필요한지'다. "이 사람은 누구인가"가 아니라 "어떤 보호 수준이 필요한가"만 전달하면 된다.

이런 방향은 이미 나타나고 있다. 애플은 자녀 계정의 실제 생년월일을 앱 개발자에게 넘기지 않고 연령대만 공유하는 방식을 제공한다. 구글도 앱이 이용자의 연령 관련 신호를 받도록 하는 체계를 베타로 마련하고 있다. 오픈AI는 챗GPT 이용자가 18세 미만일 가능성이 있다고 판단되면 청소년용 보호 설정을 적용하는 연령 예측 기능을 운영한다고 안내한다. 다만 이런 방식은 모바일 앱 생태계에 강하다. PC 웹 접속에는 별도 방식이 필요하다. PC 화면에 QR 코드를 띄우고 휴대전화의 디지털 지갑으로 연령대만 인증하는 식의 대안이 있다. 핵심은 특정 인증 수단을 법으로 강제하는 것이 아니라, 어떤 방식을 쓰든 원본 개인정보가 사업자에게 넘어가지 않도록 프라이버시 중심 설계를 유도하는 데 있다.

◇ 해외 사업자에게 어떻게 적용할 것인가

가장 어려운 쟁점은 해외 사업자 집행이다. 좋은 원칙을 써도 챗GPT, 제미나이, 클로드, 그록 같은 글로벌 서비스가 기능을 지원하지 않으면 효과는 제한된다. 한국이 독자 인증 규격을 만들어 "이대로 붙이라"고 요구해도 빅테크가 한국만을 위해 별도 기능을 개발할 가능성은 크지 않다. 자칫 국내 사업자만 규제를 떠안는 역차별이 생긴다.

흔히 거론되는 해법이 국내대리인 제도다. 현행 인공지능기본법은 전년도 매출 1조원 이상, AI 서비스 매출 100억원 이상, 일평균 국내 이용자 100만명 이상 등에 해당하는 해외 사업자에게 국내대리인 지정을 의무화하고 있다. 그러나 실효성은 의문이다.

조인철 의원실에 따르면 현재 과학기술정보통신부에 국내대리인을 신고한 해외 AI 기업은 앤트로픽 한 곳뿐이다. 국내대리인은 연락 창구이자 절차적 책임의 접점일 뿐, 해외 본사가 모델 정책과 안전설계, 차단 기준을 바꾸지 않으면 민원 접수처에 머물기 쉽다.

그래서 필요한 것은 국내외 사업자에게 똑같이 적용되는 결과책임 구조다. 일정 규모 이상 이용자를 대상으로 서비스한다면 미성년자 보호와 위험 응답 통제를 위해 무엇을 했는지 설명하고, 사고 시 보고하며, 필요하면 독립적 검증을 받아야 한다. 이행 방식은 기업이 택하되 안전성과 개인정보 최소수집이라는 결과는 입증하게 하는 것이다.

법 문장이 중요하다. "정부 지정 본인인증 방식을 의무 탑재하라"고 쓰면 또 하나의 갈라파고스 규격이 된다. "개인정보 최소수집 방식의 연령 속성 증명을 우선 사용하고, 국제 표준과 상호운용 가능한 방식으로 보호조치를 이행하라"고 쓰면 글로벌 기업이 이미 다른 나라 규제에 대응해 구축한 공통 안전 인프라에 한국의 요구를 얹을 여지가 생긴다. 유럽연합(EU)의 디지털서비스법(DSA)과 AI법이 보여주듯, 핵심은 특정 국가의 인증창을 붙이라는 것이 아니라 서비스가 초래하는 위험을 평가·완화하고 그 과정을 설명하게 하는 데 있다.

◇ 차단의 기술이 아니라 설계의 책임

아이들을 AI로부터 격리하는 것은 현실적 해법이 아니다. 이미 아이들은 AI와 함께 공부하고 대화하며 위로받고 영향을 받는다. 정책의 목표는 사용 금지가 아니라 안전한 사용이어야 한다.

좋은 법은 불안을 이용하지 않는다. 문제를 정확히 보고, 필요한 만큼만 개입하며, 보호의 이름으로 새 부작용을 만들지 않는다. 지금 필요한 것은 'AI 실명제'도 '한국형 인증창'도 아니다. 개인정보를 덜 모으고, 위험 응답을 더 잘 막고, 국내외 사업자에게 같은 책임을 묻는 안전설계다. 그 균형을 놓치면 아이를 지킨다는 명분으로 불필요한 개인정보 수집 구조를 키우게 된다. 균형을 잡아낸다면, 이번 법안은 한국형 AI 안전 거버넌스의 출발점이 될 수 있다.

임기범 인공지능 전문가

▲ 서울과학종합대학원 대학교(aSSIST) 객원교수 ▲ 현 AI경영학회 상임이사 겸 학술분과 위원장 ▲ ㈜컴팩 CIO ▲ 신한 DS 디지털 전략연구소장 역임

Copyright 연합뉴스 All rights reserved. 무단 전재 및 재배포 금지.