자율주행차와 ChatGPT와 같은 인공지능기술(Artificial Intelligence; AI) 기술이 우리 일상생활에 적용됨에 따라 AI가 인간의 친구인가 아니면 잠재적 위협인지에 대한 의구심이 들고 있다.
친구라면 AI가 인간의 일상을 유익하고 편하게 해준다며 반긴다. 실제로 AI 반려로봇, AI 산업용 로봇, AI 협동로봇, AI 서빙로봇 등 우리 일상생활과 산업 현장에서 잘 활용되고 있다.
반면 반대론자들은 AI가 인간의 일자리를 빼앗고 급기야 인간의 행동까지 통제할지도 모를 불편의 도구로 생각한다. 그들은 언젠가 인간이 AI 휴머노이드 로봇에게 지배당하고 그들의 노예로 전락할 수도 있다는 부정적 예측을 하기도 한다.
휴머노이드 로봇이 실시간 대화와 작업을 통해 인간의 지능을 학습하여 미래의 인류를 지배하는 상황에서 살아남으려고 애쓰는 인간을 주제로 한 영화를 심심찮게 봐왔다. 상상의 산물로 여겼던 공상과학영화가 어쩌면 실제로 일어날지도 모른다는 상상이 되니 정말 오싹해진다.
주목할 만한 것은 데이터를 보유한 회사나 조직이 데이터가 필요한 수요자에게 판매하는 데이터 거래의 성장이 증가되고 있다는 것이다. McKinsey Global Institute(2018)에 따르면, AI 글로벌 데이터 시장은 2030년까지 13조 달러에 이를 것으로 전망된다.
아직 우리나라는 데이터 거래소를 통하여 거래되는 시장의 성장률이 선진국에 비하여 낮은 연평균 6.4% 수준이나 AI나 빅데이터에 대한 수요가 늘고 있어 데이터 시장은 필연적으로 성장할 것이다.
한국데이터산업진흥원은 2022년도 데이터산업백서에서 데이터 거래는 조직과 조직, 개인과 조직, 개인과 개인 간에 이루어진다고 발표했다.
우리나라에서는 공공기관과 민간기업 간에도 데이터 거래가 활발하다는데 예를 들면, 일부 지방자치단체는 버스, 택시 등 운송데이터와 통신사 기지국 데이터를 결합하여 신규 노선 발굴 및 배차 간격 조정 등에 활용 중이다.
따라서 데이터 거래소가 많이 생기고 있다. 대표적인 거래소는 한국데이터거래소, 금융데이터거래소이고주제별로 특화된 산림빅데이터거래소, 농식품빅데이터거래소, 해양수산빅데이터거래소 등도 있다.
조만간 데이터국민총생산(gross data domestic production, DGDP)이란 용어가 등장해도 전혀 생소하지 않을 것 같다.
Chakravorti et al.(2019)에 따르면, 데이터 경제(data economy)를 선도하는 국가들은 미국, 영국, 중국, 스위스, 한국, 프랑스, 캐나나, 스웨덴 등이나, 중국과 미국이 AI 초강대국으로 부상되었다고 봐도 무관할 것이다.
그러나 AI는 국가 간의 디지털 격차를 강화하여 선도국과 개발도상국 간의 디지털 경제의 빈분의 차이가 가속화될 것이다.
Bughin et al.(2018)은 AI 채택의 선두국가(주로 선진국)는 현재와 비교하여 순 경제적 이익에서 20~25%를 추가로 얻을 수 있는 반면에, 개발도상국은 약 5~15%만 얻을 수 있다고 한다.
GDP 성장 모멘텀이 둔화되는 많은 선진국이 더 높은 생산성 성장을 달성하기 위해 AI를 추진할 수밖에 없는 이유이다.
그들은 많은 경우 인구 노령화로 인하여 낮은 생산성이 발생되어 임금률이 높은 선진국에선 저임금 개발도상국보다 노동력을 기계로 대체하려는 인센티브가 더 많다고 한다.
AI, 빅데이터, 그리고 자율주행자동차 등 우리 일상생활과 산업 현장에서 AI를 채택하려는 전략이 국가와 기업의 전략이 된 이유이다.
그러나 AI로 인하여 사람들의 일자리 감소, 사회 양극화 심화 등 AI 부작용에 대한 우려로 AI의 도입과 확산을 반대하는 여론도 있다.
AI와 빅데이터를 이용한 사업을 하는 회사나 기관이 AI를 이용 목적에 맞게 사용하지 않는다면 우리 인류의 미래는 극한 혼란에 빠질 것이며 되돌릴 수 없는 참한 결과를 맞닥뜨릴 수도 있다.
이런 우려로 AI나 빅데이터 등 데이터와 관련된 컴플라이언스를 다루는 법이나 규정이 증가되고 있는 것이다.
한국인터넷진흥원이 2021년에 발표한 글로벌 개인정보보호규제 체계 현황 조사 보고서에 의하면, 세계 각국은 다양한 영역에서 정부와 민간이 개인정보호를 규율하는 법을 제정하고 있다.
유럽에선 EU GDPR(General Data Protection Regulation), 우리나라에선 개인정보보호법으로 공공 및 민간 부문을 아우르는 개인정보보호를 규정하고 있다. 반면에, 미국에선 공공 및 민간 부문을 아우르는 개인정보보호를 연방 법률로 규율하지 않고, 대신 시장의 자율 규율 방식을 채택하고 있다.
그러나 공공, 금융, 통신, 교육, 의료, 비디오 감시, 그리고 근로자 정보 등의 각 영역에서는 개별 법률이 개인정보보호를 규제하고 있다. 예를 들어, Privacy Act of 1974, Health Insurance Portability and Accountability Act, Child Online Privacy Protection Act 등이 특정 분야의 개인정보보호를 담당하고 있다.
현재 연방 의회에서는 일반적인 개인정보보호법을 도입하려는 노력이 진행 중이며, 몇몇 법안이 심의되고 있다.
한편, 주 법체계도 같은 방식으로 각 분야의 개인정보보호를 규제해 왔으나, EU GDPR 제정 이후 많은 주가 포괄적인 개인정보보호법을 도입하려는 움직임이 높아지고 있다.
예를 들어, 캘리포니아주를 시작으로 많은 주들이 이러한 노력을 활발하게 펼치고 있다. 미국에 진출하려고 하는 데이터 관련 회사들이 눈여겨봐야 할 내용이다.
AI는 기업과 국가의 성장을 촉진하고 있지만, 동시에 기업의 컴플라이언스 환경을 빠르게 변화시키고 있다.
미국의 경우, 법무부의 기업 컴플라이언스 프로그램의 평가(Evaluation of Corporate Compliance Programs, ECCP)는 AI를 구체적으로 다루지는 않지만, ECCP가 제대로 작동하는지 확인하기 위해, 회사 내에서 사용가능한 기업 데이터가 효과적으로 기능하고 실제로 작업할 수 있도록 설계되고, 적절한 자원이 제공되고, 컴플라이언스 부서가 접근할 권한이 부여되었는가 등을 강조한다.
따라서 ECCP 평가 검사는 a) 컴플라이언스 부서가 회사 내 관련 데이터 소스에 접근할 수 있는지 여부, b) 회사가 직면한 리스크를 이해하고 데이터를 모니터링 및 테스트하기 위해 데이터가 어떻게 활용되고 있는지 여부를 평가한다.
AI는 CCO(Corporate Compliance Officer)가 규정 준수 프로그램의 효과를 평가하고 다양한 방법으로 잠재적 리스크를 모니터링하면서 다음의 도움을 준다(Benjet et al., 2023).
첫째, 잠재적인 리스크 식별. AI는 거래 데이터, 직원 기록, 소셜 미디어 데이터 등 대량의 데이터를 분석하여 인간 분석가에게는 분명하지 않을 수 있는 잠재적 리스크를 식별하는 데 사용될 수 있다.
이는 문제가 발생할 가능성이 가장 높은 영역에 주의를 집중함으로써 규정 준수 담당자에게 도움이 될 수 있다. 예를 들어, AI를 사용하면 사기나 자금세탁의 징후가 될 수 있는 비정상적인 거래를 식별할 수 있다.
둘째, CCP(Corporate Compliance Program)의 모니터링 가능. AI는 규정 준수 프로그램을 모니터링하여 프로그램이 효과적으로 구현되고 있는지 확인하는 데 사용될 수 있다. 이를 통해 프로그램에 부족한 부분을 식별하고 문제가 표면화되기 전에 시정 조치를 취할 수 있다.
예를 들어, AI를 사용하면 직원 교육 기록을 검토하여 직원이 회사의 규정 준수 정책 및 절차를 인지할 수 있다.
셋째, 컴플라이언스 데이터에 대한 통찰력 제공. AI는 컴플라이언스 데이터를 분석하여 CCO가 더 나은 결정을 내리는 데 도움이 되는 통찰력을 제공하는 데 사용될 수 있다. AI의 강점과 기능을 활용하여 인간 분석가의 관심을 벗어날 수 있는 패턴과 관계를 식별할 수 있다.
예를 들어, AI를 사용하면 회사의 규정 준수 프로그램에 대한 변경이 필요함을 나타낼 수 있는 규정 준수 데이터의 추세를 식별할 수 있다.
넷째, 컴플라이언스 작업의 자동화. AI는 문서 및 보고서 검토와 같은 보다 일상적인 규정 준수 작업 중 일부를 자동화하는 데 사용될 수 있다. 이를 통해 CCO는 보다 전략적인 업무에 집중할 수 있다. 예를 들어, AI를 사용하면 직원 지출 보고서를 검토하여 잠재적인 사기나 오류를 식별할 수 있다.
그러나 AI를 배포하기 위한 컴플라이언스에 따라 알아두어야 할 네 가지 원칙이 있다(Benjet et al., 2023).
첫째, CCO는 규정 준수 프로그램에서 AI 데이터 분석 배포가 잠재적 책임에 미치는 영향을 신중하게 고려해야 한다. 일반적으로 이러한 도구는 회고적 조사보다는 향후 규정 준수에 중점을 두고 집중적이고 단계적인 방식으로 신중하게 배포되어야 한다.
둘째, AI의 배포와 사용은 투명성과 책임감을 기반으로 이루어져야 한다. CCO는 AI 모델의 작동 방식과 AI 모델이 그러한 결정을 내리는 이유를 설명할 수 있어야 하며, 또한 AI 모델이 정확하고 신뢰할 수 있음을 입증할 수 있어야 한다.
셋째, AI는 공정하고 차별 없이 활용되어야 한다. AI는 불공정하거나 차별적인 결정이나 권장 사항을 생성하는 방식으로 배포되어서는 안 된다. CCO는 AI 모델이 편향될 가능성을 인식하고 편향을 완화하기 위한 조치를 취해야 한다.
마지막으로, CCO는 개인 정보 보호 및 데이터 보호법을 존중하고 준수하는 방식으로 AI를 사용해야 하며, 규정 준수 목적에 필요한 데이터만 사용하고 AI 모델 내에서 데이터가 사용되는 개인의 개인 정보를 보호하기 위한 구체적인 조치를 취해야 한다.
그렇다면, AI와 관련된 컴플라이언스를 따르지 않을 경우엔 어떤 일이 발생될까?
EU는 2022년 12월 6일, 유럽이사회는 인공지능법(Artificial Intelligence Act: AI법)에 대한 타협된 포괄적 입장을 승인했는데, 이 법에 따른 벌금은 <표 1>과 같다.
그리고 2023년 6월 14일, EU 의회는 공공장소에서 실시간으로 또는 나중에 사람을 식별할 수 있는 AI 시스템에 대해 우려를 표명했다.
또한, EU 의회는 성별이나 인종과 같은 민감한 세부 정보를 사용하여 사람들을 분류하는 시스템, 위치나 과거 행동을 기반으로 개인을 프로파일링하는 예측, 치안, 법 집행 기관이나 학교와 같은 맥락에서 감정을 읽을 수 있는 시스템, 개인 데이터의 무작위 수집에 대해 우려하고 있다.
소셜미디어나 CCTV를 활용해 안면인식 데이터베이스가 구축되는데, 이 모든 것이 사람들의 권리와 사생활을 침해할 수 있기 때문이다.
우리나라는 2024년 3월 15일 공포된 개인정보보호법과 후속 개정 시행령을 통하여 정보 주체인 국민의 개인 정보를 더욱 엄격히 보호하기 위해 개인 정보를 사적인 목적으로 이용하는 행위를 엄격히 금지하고, 위반할 경우, 5년 이하의 징역 또는 5,000만 원 이하의 벌금에 해당하는 형사처벌을 하도록 했다.
CALYPSOAI(2024)에 따르면, AI 및 사이버보완 팀은 다음의 5가지 단계에 따라 AI 컴플라이언스와 관련하여 사전 예방적 보호장치와 전략을 채택해야 한다.
최근 EU를 중심으로 한 강력한 AI관련 법이 등장함에 따라, 우리나라도 이와 관련된 개인정보보호법을 개정하고 시행에 들어가고 있다. 그럼에도 불구하고, 개인정보 침해 신고와 상담 건수는 매년 증가될 것으로 예측된다.
특히, 지능화된 범죄단의 개인 정보 유출이 점점 증가되고 있으며, 급기야 ChatGPT 이용자의 결제 정보가 유출되는 사례가 발생되었다. 또한, 개인 정보를 교묘하게 수집해 맞춤형 광고를 한 메타 아일랜드와 인스타그램도 74억 원의 과징금을 내게 되었다.
AI를 악용한 사이버 위협과 개인 정보의 침해 건수가 증가되고 있어 지능화된 범죄와 오용에 대비한 회사와 국가의 컴플라이언스 목표 달성을 위한 철저한 노력이 요구되는 이유이다.
AI는 개인의 정보를 먹고 성장한다는 말은 앞서 얘기한 바와 같이, 인류의 삶을 편안하게 한다는 점에선 긍정적으로 평가되나, 악용이 될 경우엔 심각한 테러의 수준으로 돌변할 것이다.
가물에 돌친다라는 속담이 있다. 돌이 없는 가뭄에 도랑을 미리 쳐서 물길을 낸다는 뜻으로 미리 준비해서 다가올 리스크나 근심거리를 예방과 대비한다는 뜻이다.
이런 관점에서 컴플라이언스를 담당하는 CCO의 역할과 전문성이 그 어느 때보다도 요구된다. AI 컴플라이언스 목표는 누가 CCO가 되느냐에 따라 결정될 것이다.
결국 AI 시대의 컴플라이언스 전략은 어떤 인재를 확보하는가의 사회자본이론(Social Capital Theory)이나 자원준거이론(Resource-based Theory)의 관점에서 다루어지는 것이 바람직하다.
참고문헌
한국인터넷진흥원 (2021). 글로벌 개인정보보호규제 체계 현황 조사 보고서, 1-374.; Bughin, J., Seong, J., Manyika, J., Chui, M., Joshi, R. (2018). Notes from the AI frontier: Modeling the impact of AI on the world economy. McKinsey Global Institute. Retrieved from https://www.mckinsey.com/featured-insights/artificial-intelligence/notes-from-the-ai-frontier-modeling-the-impact-of-ai-on-the-world-economy (March 17, 2024).; 한국데이터산업진흥원 (2022). 데이터산업백서 (2022 Data industry white paper). 통권 25호, 1-60.; Chakravorti, B., Bhalla, A., & Chaturvedi, R. S. (2019). Which countries ate leading the data economy? Harvard Business Review. Retrieved from https://hbr.org/2019/01/which-countries-are-leading-the-data-economy (March 17, 2024).; Benjet, B., Borden, B., Hausfeld, K., and Ferroni (2023). AI tools are already here: How they can help compliance officers, and four general principles. Retrieved from https://www.dlapiper.com/en-au/insights/publications/practical-compliance/2023/ai-tools-are-already-here-how-they-can-help-compliance-officers-and-four-general-principles (March 17, 2024).; EXIN. AI Compliance: What it is and why you should care. Retrieved from https://www.exin.com/article/ai-compliance-what-it-is-and-why-you-should-care/#:~:text=AI%20compliance%20is%20essential%20for,with%20applicable%20laws%20and%20regulations (March 17, 2024).; CALYPSOAI(2024). Five Steps Toward Achieving Your AI Compliance Goals. Retrieved from https://calypsoai.com/five-steps-toward-achieving-your-ai-compliance-goals/ (March 17, 2024).
● 세종대학교 경영학과 교수
● 세종대학교 탄소중립ESG연구소 소장
● 세종대학교 대학원 경영학과 지속가능(ESG)경영전공 Founder(2020)/코디네이터
● 세종대학교 공공정책대학원 시니어산업학과 석사과정 Founder(2020)
● 세종대학교 산업대학원 마케팅학과 Founder(2007)(현, 유통산업학과)
● 세종대학교 경영전문대학원 프랜차이즈석사과정 Founder(2006)
● 세종사이버대학교 경영학과 Founder(2005)
● (사)한국프랜차이즈경영학회 회장
● SDX재단 교육연구원 자문단장
● 논문과 통계 research and statistics professor 유튜브 채널 운영자
