2024년 2월 초 유럽연합(EU) 회원국들은 만장일치로 인공지능(AI) 법안에 찬성표를 던지며 올해 3월 또는 4월에 공식 통과될 수 있는 길을 열었다.[1] 이 법은 2016년에 통과된 유럽의 개인정보보 규정GDPR•General Data Protection Regulation과 유사하지만 AI 규제를 위한 법이다. 이 규정은 유럽연합에서 AI를 설계 및 사용하는 기업에 요구 사항을 부과하고 위반할 경우 엄격한 처벌이 뒤따르도록 하고 있다. 대부분의 경우 법규 위반 시 기업은 1500만 유로 또는 글로벌 연 매출의 3%를 벌금으로 내야 한다. AI를 이용해 조작한 기술을 사용하거나 생체 인식 데이터를 사용해 개인정보를 유추하는 등 법에서 금지하는 AI 시스템과 관련된 위반 행위에는 최대 3500만 유로 또는 글로벌 연 매출의 7%의 벌금이 부과될 수 있다.
EU에서 비즈니스를 하는 모든 기업은 이 규정을 준수하기 위해 최선을 다할 것이다.
규정을 준수하고자 하는 대부분의 조직은 기존 거버넌스 구조, 정책, 프로세스, 위험 분류, 지표 등 보강해야 할 사항들을 결정해야 한다. 이와 같은 과정을 통해 법규를 준수하고, 규제 당국의 질의에 정확하고 효율적으로 답변하고 승인을 받을 수 있다. 여기까진 비교적 쉬운 부분이다. 어려운 부분은 내부 조율을 반영해 필요한 단계를 운영하거나 구현함으로써 갭을 줄이는 것이다. 이 아티클은 이를 실행하는 방법에 대해 설명하려고 한다.