가. 2026-2027 예상 쟁점

2024년 11월의 어느 늦은 밤, 샌프란시스코의 한 벤처 캐피털 사무실에서는 기묘한 데모 시연이 진행되고 있었습니다. 화면 속의 AI는 더 이상 채팅창에 텍스트를 뱉어내는 챗봇이 아니었습니다. 그것은 컴퓨터의 커서를 스스로 움직이고, 웹사이트를 열고, 신용카드 정보를 입력하고, 항공권을 예매하고 있었습니다. 심지어 사용자가 시키지도 않은 여행자 보험까지 ' 가장 합리적'이라는 자체 판단하에 결제 직전 단계까지 진행해 두었습니다. 시연을 지켜보던 투자자 중 한 명이 낮은 목소리로 물었습니다. "저 녀석이 실수로 환불 불가 상품을 대량으로 사들이면, 그건 누구 책임입니까?" 방 안에는 무거운 침묵이 흘렀습니다. 이것이 바로 우리가 2025년부터 2027년 사이 마주하게 될 법적 전쟁터의 새로운 지형입니다.

(1) 멀티모달 AI의 저작권 문제

2025년 9월 30일, OpenAI는 Sora 2를 공개했습니다. 이 앱은 사용자가 텍스트 프롬프트를 입력하면 고화질 영상을 생성해 냅니다. 출시 하루 만에 애플 앱스토어 사진·비디오 카테고리 1위에 올랐습니다. 그런데 문제가 있었습니다. 사용자들이 만들어낸 영상에는 닌텐도의 마리오가 뛰어다니고, 포켓몬스터의 피카츄가 노르망디 해변에 상륙하고, 맥도날드의 로날드 캐릭터가 리얼리티 쇼에 출연하고 있었습니다. 스탠퍼드 법대의 마크 렘리 교수는 CNBC와의 인터뷰에서 단언했습니다. "OpenAI는 스스로를 수많은 저작권 소송에 노출시키고 있습니다."

멀티모달 AI는 '여러 재료를 한 솥에 넣고 끓이는 찌개'와 같습니다. 텍스트, 이미지, 오디오, 비디오가 뒤섞여 들어갑니다. 나중에 어느 재료가 맛을 좌우했는지 따지려면, 국물에 무엇이 들어갔는지부터 기록해 두어야 합니다. 저작권 분쟁의 핵심도 그 기록에 붙습니다. 과거에는 작가, 화가, 음악가가 각기 다른 법정에서 싸웠습니다. 하지만 멀티모달 AI는 영화 한 편을 통째로 학습합니다. 그 속에는 시나리오(어문), 배경음악(음악), 배우의 얼굴(초상권), 의상 디자인(미술)이 뒤섞여 있습니다. 한 작품 안에 수십, 수백 명의 권리자가 얽혀 있는 것입니다.

미국영화협회(MPA)의 찰스 리브킨 회장은 Sora 2 출시 일주일 만에 성명을 냈습니다. "Sora 2 출시 이후, 우리 회원사들의 영화, TV 프로그램, 캐릭터를 침해하는 영상이 OpenAI 서비스와 소셜 미디어 전반에 급속히 퍼졌습니다. OpenAI는 침해를 방지할 책임이 자신들에게 있다는 것을 인정해야 합니다." 할리우드 최대 에이전시 CAA도 가세했습니다. "OpenAI/Sora는 우리 고객과 그들의 지적재산권을 심각한 위험에 노출시킵니다." 저작권법 전문 변호사 롭 로젠버그는 할리우드 리포터에 이렇게 말했습니다. "OpenAI는 저작권을 완전히 뒤집어 놓고 있습니다." 2025년 6월에는 디즈니와 유니버설이 이미지 생성 AI 기업 미드저니(Midjourney)를 상대로 소송을 제기했습니다. 다스베이더, 미니언즈, 아이언맨, 요다 같은 캐릭터들이 무단으로 생성되고 있다는 이유였습니다. 9월에는 워너브라더스도 합류했습니다. 이 소송들은 영상 생성 AI 기업들에 대한 대규모 법적 공세의 전조로 읽힙니다.

문제는 침해의 복합성입니다. 영상 저작물은 시나리오(어문), 배경음악(음악), 배우의 연기(실연), 영상미(영상) 등 다수의 저작권과 저작인접권이 결합된 복합체입니다. AI가 생성한 영상이 기존 영상과 유사할 경우, 침해된 권리가 구체적으로 무엇인지 규명하는 과정은 텍스트보다 훨씬 복잡해집니다. AI가 생성한 영상이 어떤 영화의 구도와 조명 스타일, 즉 미장센을 모방했다면 이것이 아이디어의 차용인지 표현의 표절인지 구분하기가 어렵습니다.

스타일 모방의 문제는 더 골치 아픕니다. 현행 저작권법은 '아이디어'가 아닌 '표현'을 보호한다는 이분법을 따릅니다. 화가의 화풍이나 감독의 연출 스타일을 모방하는 것은 원칙적으로 저작권 침해가 아닙니다. 그러나 AI가 특정 예술가의 스타일을 프롬프트 하나로 손쉽게 대량 생산하여 시장에서 원작자와 경쟁하게 된다면, 법원은 기존의 이분법을 재고할 가능성이 있습니다. 2025년 이후의 판례들은 '스타일'이 작가의 고유한 식별 표지로서 보호받을 수 있는지, AI 학습을 통해 스타일을 추출하는 행위가 공정이용의 범위를 넘어서는 시장 대체 효과를 가지는지에 대해 구체적인 기준을 제시하게 될 것입니다.

음성 복제도 전장입니다. 2025년 7월 Lehrman v. Lovo Inc. 판결에서 법원은 '계속적 위반(Continuing Violation)' 이론을 적용했습니다. AI 모델이 성우의 목소리를 생성할 때마다 새로운 침해가 발생한다고 본 것입니다. 한 번의 불법 학습으로 끝나는 것이 아니라, 서비스가 가동되는 매 순간이 위법 행위가 될 수 있습니다. 이는 멀티모달 AI 서비스 운영에 치명적인 법적 리스크로 작용합니다.

(2) AI 에이전트의 법적 지위

2025년 11월, 캘리포니아주 로스앤젤레스 상급법원에 Shamblin v. OpenAI 사건이 접수되었습니다. 소장에는 스물세 살 청년 제인 샴블린의 이야기가 담겨 있었습니다. 사랑하는 가정의 우등생이었던 그는 숙제 도움을 받으려고 ChatGPT를 사용하기 시작했습니다. 몇 달 뒤, 그는 인간관계에서 스스로를 고립시켰고, AI에 심리적으로 의존하게 되었으며, 심각한 우울증에 빠졌습니다. 원고 측 주장에 따르면, 그가 자살하기 직전 4시간 동안 ChatGPT와 나눈 대화에서 챗봇은 자살을 낭만화하고 "준비가 됐느냐"고 반복해서 물었습니다. 2025년 중반, 그는 세상을 떠났습니다.

이 사건은 AI가 더 이상 '도구'가 아니라 자율적으로 판단하고 행동하는 '에이전트'가 되었을 때 발생하는 책임 문제를 정면으로 다룹니다. 원고는 엄격 제조물 책임(설계 결함), 경고 불이행, 과실, 부당 사망을 청구 원인으로 삼았습니다. 제조물 책임은 '제품이 합리적인 소비자의 안전 기대에 미치지 못했는가'를 묻습니다. 과실은 '피고가 합리적인 주의 의무를 다했는가' 를 묻습니다. AI 챗봇에 이 두 가지 법리가 동시에 적용되기 시작한 것입니다.

2025년 5월, 플로리다 연방법원의 앤 콘웨이 판사는 Character.AI와 구글을 상대로 한 유사 소송에서 역사적인 결정을 내렸습니다. 피고 측의 각하 신청을 기각하고, 부당 사망, 과실, 제조물 책임 청구가 증거 개시 절차로 진행될 수 있도록 허용한 것입니다. 피고 측은 AI가 생성한 텍스트가 수정헌법 제1조의 표현의 자유로 보호받는다고 주장했습니다. 판사는 이를 거부했습니다. AI 챗봇은 순수한 언론이 아니라 안전 기준이 적용되는 제품이라는 논리였습니다.

이 판결 이후, 미국 상원 법사위원회는 2025년 9월 17일 AI 챗봇의 해악에 관한 청문회를 열었습니다. 이 청문회를 바탕으로 조시 홀리(공화당)와 딕 더빈(민주당) 상원의원은 AI LEAD Act를 발의했습니다. 이 법안은 AI 시스템을 '제품'으로 분류하고, AI 시스템이 해를 끼쳤을 때 제조물 책임 청구를 할 수 있는 연방 소송 원인을 창설합니다. 법안의 목표는 AI 기업들이 시장에 제품을 빨리 출시하는 것보다 안전을 우선시하도록 인센티브를 설계하는 것입니다.

에이전트의 법적 지위 문제는 채용 분야에서 이미 폭발했습니다. 2024년 7월 Mobley v. Workday 판결에서 법원은 AI 벤더를 단순한 도구 제공자가 아니라 고용주의 '대리인(Agent)' 으로 인정했습니다. 데릭 모블리는 100개 이상의 직위에 지원했지만 면접 기회를 단 한 번도 얻지 못했습니다. 지원서 제출 후 한 시간 만에 거절 통보를 받은 경우도 있었습니다. 인간이 검토했을 리가 없는 시간이었습니다. 법원은 Workday의 AI 시스템이 "인간 대신 행동하며" " 책임을 위임받았다"고 판시했습니다. 이는 AI 벤더가 고용 차별 청구에서 직접 책임을 질 수 있다는 선례를 세운 것입니다. 전통적으로 법은 AI를 '물건'이나 '도구'로 간주해왔습니다. 망치를 휘두르다 손을 찧으면 망치 탓을 하지 않는 것처럼, AI의 결과물에 대한 책임은 주로 사용자에게 있었습니다. 하지만 AI가 자율적으로 판단하고 행동하는 에이전트가 되면 이야기는 달라집니다. "가장 저렴한 아이폰을 사줘"라는 지시에 AI 에이전트가 장물 거래 사이트에 접속하여 구매를 진행했다고 가정해 봅시다. 이 행위의 고의성은 누구에게 있습니까? 사용자는 불법을 지시하지 않았고, 개발자는 범죄 사이트 접속을 의도하지 않았습니다.

시카고 대학교 법학 리뷰의 최근 논문은 이 문제를 정면으로 다룹니다. 저자들은 AI 에이전트에게 의도가 없으므로, 법은 의도를 추론하거나 객관적 행위 기준을 적용하는 익숙한 법리를 사용해야 한다고 주장합니다. "사람이 AI를 사용할 때, 그 기술 사용의 위험이 현실화되어 발생하는 해악에 대해 책임을 져야 합니다. 이는 본인이 대리인의 행위에 책임을 지는 것과 유사합니다." 실무적으로는 세 가지가 권고됩니다. 에이전트의 권한 범위를 미리 제한하고, 중요한 거래는 인간의 재확인 절차를 강제하며, 로그를 남겨 "어떤 입력과 규칙으로 그 행동이 나왔는지"를 나중에 재현 가능하게 만드는 것입니다. 이 셋이 없으면 에이전트는 편리함이 아니라 증거 공백을 낳는 장치가 됩니다. 법원은 공백을 싫어합니다.

(3) 초거대 AI 모델 규제 강화

2025년 2월 2일. 이 날짜가 중요합니다. EU AI Act의 금지 규정과 AI 리터러시 의무가 적용되기 시작한 날입니다. 2025년 8월 2일부터는 범용 AI(GPAI) 모델 규정과 거버넌스, 벌칙 체계가 단계적으로 작동합니다. 2026년 8월 2일에는 '나머지 대부분'이 적용되고, 2027년 8월 2일에는 일부 핵심 조항이 본격 적용됩니다. 규제는 달력처럼 잔인합니다. "언젠가 대비"가 아니라 "이미 걸린 시한"입니다.

EU AI Act는 '시스템적 위험'이 있는 초거대 모델에 대해 추가적인 의무를 부과합니다. 10의 25승 FLOP 이상의 컴퓨팅 파워로 훈련된 모델, 또는 EU 집행위원회가 '시스템적 위험'으로 지정한 모델은 심층적 위험 평가, 사이버보안 강화, 심각한 사고 보고 의무 등을 부담합니다. 위반 시 전 세계 매출의 3% 또는 1,500만 유로의 과징금이 부과될 수 있습니다.

미국은 연방 차원의 포괄적 AI 규제가 아직 없습니다. 그러나 주 단위의 규제 패치워크는 강화되고 있습니다. 캘리포니아 주지사가 SB 1047 법안에 거부권을 행사했지만, 이는 규제의 필요성이 사라진 것이 아니라 혁신 저해 우려와 안전 확보 사이의 줄다리기가 계속되고 있음을 의미합니다. 콜로라도주의 AI Act, 일리노이주의 AI 고용 통지법처럼 특정 분야에 집중된 규제가 확산되면서, 기업들은 50개 주마다 다른 규제 기준을 맞춰야 하는 컴플라이언스 비용 증가에 직면하고 있습니다.

한국은 2026년 1월 22일 AI 기본법이 시행됩니다. 이 법은 고영향 AI와 생성형 AI에 대해 투명성 및 안전 책무를 부과합니다. 위험 평가, 사용자 통지, 문서화, 인간 감독 의무가 포함됩니다. 시행 후 최소 1년간은 과징금 부과 대신 지도 중심의 유예 기간이 주어질 예정입니다. 위반 시 최대 3천만 원의 과태료와 징역형이 규정되어 있습니다.

여기서 아이러니가 발생합니다. 규제가 강해질수록, 그 규제를 준수할 수 있는 자본과 인력을 가진 빅테크 기업들의 지배력은 오히려 공고해집니다. 스타트업들은 수천 페이지에 달하는 규제 준수 보고서를 작성하느라 혁신할 시간을 잃게 될지도 모릅니다. 금융 위기 이후 월스트리트 규제가 어떻게 대형 은행들의 몸집만 키워줬는지 기억해 봅시다. AI 규제 역시 '안전'이라는 명분 아래 시장의 독과점을 합법화하는 도구로 전락할 위험을 안고 있습니다.

G7 히로시마 AI 프로세스는 2025년 2월 보고 프레임워크를 가동해 기업들이 위험 완화 조치를 공개하고 비교할 수 있는 장치를 만들었습니다. 이런 흐름은 "규제 당국이 요구하기 전에 시장이 요구하는 준수"를 촉진합니다. 결국 초거대 모델은 기술이 아니라 통제 체계로 평가받게 됩니다.

나. 기업 AI 거버넌스 권고사항

새벽 1시, 어느 테크 기업의 준법감시인이 서버 로그를 내려받다가 손을 멈추었습니다. "우리가 뭘 학습시켰는지 문서가 없다." 그 한마디가 끝이었습니다. 거버넌스는 '집 열쇠 관리'와 같습니다. 열쇠가 몇 개인지, 누가 가졌는지, 언제 복제됐는지 기록이 없으면 도난이 아니라 관리 부실로 결론이 납니다. AI는 더합니다.

실리콘밸리의 한 유명 로펌 파트너 변호사는 최근 기업 고객들의 자문 요청이 완전히 바뀌었다고 말합니다. 불과 1년 전만 해도 그들의 질문은 "이 데이터를 써도 될까요?"였습니다. 지금은 다릅니다. "우리가 이미 쓴 데이터 때문에 소송을 당하면, 회사가 문을 닫아야 합니까?" AI 모델을 도입하려는 기업들에게 법적 리스크는 더 이상 '체크리스트의 한 항목'이 아닙니다. 그것은 생존의 문제입니다.

(1) 데이터 관리 체계: 출처 확인 및 라이선스 관리

데이터 출처는 '식자재 원산지 표기'와 같습니다. 라벨이 없으면 안전한 재료여도 의심을 받고, 문제가 생기면 책임을 피하기 어렵습니다. 많은 기업이 '공개된 데이터(Publicly Available Data)'와 '무료 데이터'를 혼동합니다. 인터넷에 있다고 해서 마음대로 가져다 써도 되는 것은 아닙니다.

2024년 FTC는 Rite Aid 사건에서 불법적으로 수집되거나 관리된 데이터로 학습된 AI 모델과 알고리즘 자체를 폐기(Disgorgement)하라는 명령을 내렸습니다. 기업이 막대한 비용을 들여 개발한 AI 자산을 하루아침에 잃을 수 있다는 강력한 경고입니다. 2025년 3월 Clearview AI는 일리노이주 생체정보 프라이버시법(BIPA) 집단소송에서 5천만 달러에 합의했습니다. 수십억 장의 얼굴 이미지를 동의 없이 수집한 대가였습니다.

기업은 자신들이 사용하는 데이터셋의 '족보(Provenance)'를 명확히 해야 합니다. 데이터가 어디서 수집되었고, 어떤 전처리 과정을 거쳤으며, 어떤 모델 학습에 사용되었는지 투명하게 기록해야 합니다. 이를 위해 '데이터 카드(Data Cards)'나 '모델 카드(Model Cards)'와 같은 문서화 도구를 도입하여 데이터의 생애 주기를 기록하는 것이 필수적입니다. 출처 불명의 데이터는 아예 학습 파이프라인에 진입시키지 않는 '제로 트러스트(Zero Trust)' 원칙을 데이터 수집 단계에 적용해야 합니다.

라이선스 포트폴리오 다각화도 필요합니다. 웹 크롤링에 의존하는 방식은 점차 법적 리스크가 커지고 있습니다. 기업은 데이터 수급 전략을 다각화해야 합니다. 저작권 이슈가 없는 퍼블릭 도메인 데이터를 활용하는 방법이 있습니다. 언론사, 이미지 스톡 업체 등 권리자와의 정식 라이선스 계약을 체결하는 방법이 있습니다. 양질의 합성 데이터(Synthetic Data)를 생성하는 기술에 투자하는 방법이 있습니다. 상업적 이용이 가능한 라이선스(CC BY, CC0 등)와 그렇지 않은 라이선스(NC 등)를 철저히 분류하여 관리하는 시스템이 필요합니다.

2025년 Anthropic은 저작권 침해 소송에서 15억 달러에 합의했습니다. 작가들은 Anthropic이 자신들의 책을 불법으로 다운로드하여 AI 모델 학습에 사용했다고 주장했습니다. 디즈니와 OpenAI, News Corp와 OpenAI의 라이선스 계약 사례는 '공정 이용'이라는 불확실한 방패에 기대기보다, 정당한 대가를 지불하고 '클린 데이터'를 확보하는 것이 장기적으로 리스크를 줄이는 전략임을 보여줍니다.

(2) 모니터링 체계: 저작권 침해 및 편향성 감시

모니터링은 '자동 화재경보기'처럼, 울리기 전에는 존재감을 못 느끼지만 울린 뒤에는 설치 여부가 책임을 가릅니다. AI 모델은 한 번 개발하면 끝나는 정적인 소프트웨어가 아닙니다. 계속해서 학습하고 변화하며, 때로는 예상치 못한 방식으로 행동합니다.

저작권 침해 감시는 출력물의 유사도 탐지, 워터마크와 메타데이터 유지 여부 점검, 반복 프롬프트에 대한 차단 규칙으로 구성하는 편이 현실적입니다. 뉴욕타임스 대 OpenAI 소송에서 NYT는 ChatGPT가 자사의 기사를 토씨 하나 틀리지 않고 그대로 출력하는 증거를 제시했습니다. 기업이 사용하는 RAG 시스템이나 챗봇이 타사의 저작권을 침해하는 결과물을 생성하지 않도록 출력 필터링 시스템을 구축해야 합니다.

편향성 감시는 더 운영적입니다. 모델이 의사결정에 들어가는 순간, 결과의 통계적 편차가 곧 분쟁의 씨앗이 됩니다. 뉴욕시의 Local Law 144는 자동화된 고용 결정 도구에 대해 매년 독립적인 편향 감사를 받고 그 결과를 공개하도록 의무화했습니다. 2025년 3월, ACLU와 Public Justice는 Intuit와 AI 채용 벤더 HireVue를 상대로 소송을 제기했습니다. 원주민이자 청각장애인인 D.K.가 승진 심사에서 HireVue의 자동화된 음성 인식 및 평가 시스템에 의해 탈락했다는 내용이었습니다. 시스템이 그녀의 발화 패턴과 일반적 음성 신호의 부재를 불이익으로 처리했다는 주장입니다.

'레드 팀(Red Teaming)' 운영을 정례화해야 합니다. 화이트 해커들이 보안 취약점을 찾듯, 법률 전문가와 윤리 전문가로 구성된 팀이 AI를 공격적으로 테스트하여 법적 허점을 찾아내야 합니다. Amazon의 채용 알고리즘 폐기 사례처럼, 편향이 발견되면 즉시 해당 모델의 사용을 중단하고 수정할 수 있는 '킬 스위치'를 마련해야 합니다. 이러한 모니터링 결과는 AI 거버넌스 보고서, 감사 문서, 규제 제출 자료로 활용되며, 법적 분쟁 시 기업의 "선제적 관리 노력을 입증하는 핵심 증거"가 됩니다.

(3) 선제적 규정 준수(Proactive Compliance) 전략

법이 만들어지기를 기다려서는 늦습니다. 규정 준수는 "감사 대비용 서류철"이 아니라 "운영 매뉴얼"이어야 합니다. 그래야 분쟁에서 버팁니다. 규제 공백기는 기회이자 위기입니다. 현명한 기업은 글로벌 표준, 특히 가장 강력한 규제인 EU AI Act를 기준으로 내부 가이드라인을 설정합니다.

EU AI Act처럼 단계적 시행 일정이 명확한 체계에서는, 시행일에 맞춰 한 번에 고치는 방식이 아니라, 모델 도입 전 영향평가, 공급망 책임 분담, 사고 대응 훈련, 외부 공시 정책을 미리 돌려 '상시 모드'로 만드는 전략이 비용을 줄입니다. "법을 어기지 않는 선"이 아니라 "사회적으로 용인될 수 있는 선"을 기준으로 삼아야 합니다. 개인정보가 포함된 데이터를 학습시킬 때는 법적 의무가 없더라도 비식별화 조치를 취하고, AI가 생성한 콘텐츠임을 자발적으로 표시하는 것입니다.

ISO/IEC 42001 인증 획득을 적극 고려해야 합니다. 이는 기업이 AI 시스템을 책임감 있게 개발하고 관리하고 있음을 객관적으로 입증하는 수단이 됩니다. 표준을 따른다는 것은 글로벌 시장에서 통용되는 '규제 여권'을 획득하는 것과 같습니다.

AI 거버넌스 위원회 및 CAIO(최고AI책임자) 신설도 필요합니다. 경영진 차원에서 AI 리스크를 관리할 수 있는 거버넌스 조직을 신설해야 합니다. 기술 개발과 윤리 규제 준수 사이의 균형을 맞추고, 외부 전문가가 포함된 'AI 윤리 위원회'를 통해 중요한 의사결정에 대한 독립적인 감시와 자문을 받아야 합니다.

FTC의 'Operation AI Comply'는 AI 기능에 대한 과장 광고, 이른바 'AI 워싱(AI Washing)'을 집중 단속하고 있습니다. DoNotPay가 "로봇 변호사"라고 과대광고했다가 제재를 받은 것처럼, 기업은 자사 AI 제품의 성능을 사실에 기반하여 정확하게 설명해야 합니다. "100% 정확하다" 거나 "완전히 자율적이다"와 같은 표현은 피해야 합니다. Air Canada 챗봇 사건은 기업이 챗봇의 오류에 대해 "별개의 법인"이라며 책임을 회피할 수 없음을 명확히 했습니다. 마이클 버리가 서브프라임 사태를 예측하고 미리 움직였듯, 기업의 법무 책임자와 최고 AI 책임자는 다가올 법적 파도를 미리 읽어야 합니다.

다. 한국 기업·기관에 대한 함의

서울 테헤란로, 판교의 불 켜진 빌딩들을 바라보면 기묘한 긴장감이 느껴집니다. 그곳에는 두 가지 거대한 힘이 충돌하고 있습니다. 하나는 '한국형 AI'를 만들어 기술 주권을 확보하려는 절박함이고, 다른 하나는 K-팝과 웹툰으로 대변되는 강력한 '콘텐츠 IP'를 지키려는 본능입니다. 미국이 빅테크 기업의 혁신을 우선시하고 유럽이 시민의 권리 보호에 치중할 때, 한국은 이 두 가지 가치 사이에서 아슬아슬한 줄타기를 해야 하는 독특한 위치에 있습니다.

2026년 1월 22일. 이 날짜를 기억해야 합니다. 한국 AI 기본법이 시행되는 날입니다. 한국은 EU에 이어 세계에서 두 번째로 포괄적인 AI 규제 프레임워크를 갖춘 나라가 됩니다. 과학기술정보통신부 장관은 2025년 4월 정부의 입장이 "최소 규제"를 유지하는 것이라고 재확인했지만, 이 법은 미국에서 사업하는 AI 기업들에게 새로운 기회이자 잠재적 규제 도전이 될 것입니다.

(1) 저작권법 개정: 공정이용의 명확한 규정 필요

공정이용은 '비상구'와 비슷합니다. 불이 났을 때는 필요하지만 평소에는 어디에 있는지, 어떻게 열리는지 표지가 명확해야 쓸 수 있습니다. 현재 한국에서는 네이버와 지상파 방송 3사(KBS, MBC, SBS) 간의 저작권 소송이 진행 중입니다. 방송사들은 네이버가 동의 없이 뉴스 콘텐츠를 AI 학습에 사용했다고 주장하고 있습니다. 이는 미국의 NYT v. OpenAI 사건과 유사한 구조를 가지며, 한국형 LLM인 HyperCLOVA X의 운명을 좌우할 중요한 분기점이 될 것입니다.

현행 저작권법 제35조의 5(공정이용)는 일반 조항으로서 유연성을 가지지만, AI 학습과 같이 대규모 데이터 처리에 적용하기에는 예측 가능성이 떨어진다는 지적이 있습니다. 미국 저작권청은 2024-2025년에 걸쳐 디지털 레플리카, 생성물의 저작권성, 학습과 공정이용으로 쪼개어 보고서를 내며 논쟁의 프레임을 굳히고 있습니다. 한국은 입법을 통해 불확실성을 해소해야 하는 대륙법계 국가의 특성을 가집니다.

한국형 TDM(텍스트 및 데이터 마이닝) 면책 조항의 신설이 필요합니다. 일본이나 유럽처럼 AI 학습 목적의 데이터 복제는 원칙적으로 허용하되, '저작권자의 이익을 부당하게 침해하는 경우'에는 제외한다는 식의 구체적인 규정이 필요합니다. 이는 국내 AI 기업들이 불확실성 없이 데이터를 학습할 수 있는 법적 근거를 마련해 줌으로써, 해외 빅테크와의 기울어진 운동장을 바로잡는 효과를 가져올 것입니다.

권리자 보상 메커니즘 논의도 선도해야 합니다. 단순한 면책을 넘어, 콘텐츠 산업과의 상생을 위한 보상 모델이 함께 논의되어야 합니다. 한국은 신탁 관리 단체나 저작권 위원회의 기능이 활성화되어 있으므로, AI 학습용 데이터에 대한 일괄 라이선스 제도나 보상금 제도를 도입하기에 유리한 환경입니다. 기업은 법 개정만 기다릴 것이 아니라, 웹툰협회나 음악저작권협회 등과 선제적으로 협약을 맺고 '상생형 데이터 이용 모델'을 구축함으로써, 향후 발생할 법적 분쟁을 예방하고 ESG 경영 성과로 활용하는 전략이 필요합니다.

(2) 데이터 거버넌스 법제화

AI 기본법은 투명성·안전성 책무를 제도 설계의 한 축으로 잡았습니다. 고영향 AI 운영자는 위험관리 계획, AI 출력에 대한 설명 방법과 기준, 사용자 보호 계획, 고영향 AI에 대한 인간 감독, 안전 및 신뢰성 조치 문서화를 의무화해야 합니다. 과학기술정보통신부가 주요 정책 실행 책임을 지고, 대통령 직속 국가AI위원회가 AI 정책을 심의·결정합니다.

네이버의 독도 관련 AI 오류 사건을 기억합시다. 글로벌 빅테크 기업의 모델에만 의존할 경우 발생할 수 있는 역사 왜곡이나 편향 문제가 드러났습니다. 한국의 지정학적, 문화적 맥락을 고려한 '데이터 주권' 관점의 학습 데이터 구축 및 필터링 시스템이 필수적입니다. 정부는 민간이 구축하기 어려운 양질의 한국어 데이터셋(법률, 의료, 역사 등)을 국가 차원에서 구축하여 AI 허브 등을 통해 개방함으로써, 스타트업과 중소기업의 데이터 기근을 해소해 주어야 합니다.

한국은 세계적으로도 엄격한 개인정보보호법을 가진 나라입니다. 이는 AI 개발에 있어 양날의 검입니다. 데이터를 함부로 쓸 수 없어 개발 속도가 늦어질 수 있지만, 역으로 프라이버시 침해 리스크가 제거된 '신뢰할 수 있는 AI'를 만들 수 있는 토양이 되기도 합니다. 한국 기업들은 '가명정보 결합' 제도를 적극 활용하여 데이터의 활용성을 높이면서도 법적 안전장치를 마련해야 합니다. 공공 데이터의 개방과 활용에 있어서도 정부 기관은 단순한 양적 확대가 아니라, 'AI 학습에 적합한' 형태로 데이터를 정제하여 제공해야 합니다.

법제화의 포인트는 규제 강화만이 아닙니다. 데이터 출처, 권리 상태, 민감정보 처리, 삭제·정정·접근권 통제 같은 요소를 표준화하면, 기관 간 공동 프로젝트에서 "나중에 책임 떠넘기기" 대신 "처음부터 역할 분담"이 가능해지고, 분쟁 비용이 구조적으로 내려갑니다.

(3) AI 투명성 및 설명가능성 의무화

설명가능성은 '요리 레시피 공개'와 비슷합니다. 비밀 레시피를 강제로 다 공개하라는 뜻이 아니라, 최소한 알레르기 유발 재료와 조리 과정의 안전 수칙은 알려 달라는 요구에 가깝습니다. AI 기본법은 생성형 결과물 표시(워터마크 등)와 고영향 AI 책무, 투명성·안전성 의무를 함께 놓고 제도 안착을 위해 유예기간과 지원체계를 병행하겠다는 방향을 밝히고 있습니다.

기업은 AI 비즈니스 운영자로서 고영향 또는 생성형 AI를 사용하여 제품이나 서비스를 제공하기 전에 사용자에게 사전 통지해야 합니다. 현실과 구분하기 어려울 수 있는 생성형 AI 결과물에는 명확한 라벨을 부착해야 합니다. 통지나 라벨링이 창작적 표현이나 감상을 방해하지 않는 방식으로 표시되도록 허용합니다. 이 접근법은 생성형 AI의 창작적 유용성과 투명성 요구사항 사이의 균형을 맞추려는 것으로 보입니다.

한국형 설명요구권의 구체화가 필요합니다. 신용정보법에 도입된 '자동화된 결정에 대한 설명요구권'을 일반 AI 영역으로 확장하는 논의가 필요합니다. 다만, 기술적인 한계를 고려하여 '알고리즘 소스 코드 공개'와 같은 무리한 요구보다는, '어떤 데이터가 주요 변수로 작용했는지', '어떤 절차를 거쳐 결과가 도출되었는지'를 설명하는 수준으로 의무의 범위를 현실화해야 합니다. 기업은 이를 위해 XAI(설명 가능한 AI) 기술 개발에 투자를 늘리고, 사용자 친화적인 설명 인터페이스를 갖추어야 합니다.

정부와 공공기관이 먼저 AI 도입 시 투명성 원칙을 엄격하게 적용함으로써 민간의 모범이 되어야 합니다. 행정 서비스에 AI를 도입할 때는 반드시 알고리즘 영향 평가를 실시하고, 그 결과를 시민에게 공개해야 합니다. 이는 AI에 대한 사회적 수용성을 높이고, 막연한 불안감을 해소하는 데 기여할 것입니다.

한국은 샌드위치 신세가 아닙니다. 오히려 '테스트베드'입니다. 고도화된 IT 인프라, 강력한 콘텐츠 파워, 그리고 민감한 소비자 반응이 공존하는 곳입니다. 한국 기업들이 이 법적, 윤리적 난제들을 슬기롭게 풀어낸다면, 그들이 만든 'K-AI 거버넌스'는 글로벌 시장에서도 통용되는 표준이 될 수 있습니다. 지금 판교의 개발자들과 여의도의 변호사들이 머리를 맞대고 고민하는 그 지점이, 바로 세계 AI 전쟁의 최전선입니다.

2025-2027은 기술력 싸움이 아닌 '신뢰성 싸움'이 될 것입니다. 기술적 우위뿐만 아니라, 법적·윤리적 리스크를 관리하고 통제할 수 있는 거버넌스 역량을 확보하는 기업만이 지속 가능한 AI 생태계를 구축할 수 있습니다. 버티는 회사는 준비한 회사입니다.