[비바100] 양면의 AI… 자산 보호 프레임워크 최우선

2023년부터 대규모 언어 모델(LLM) 및 자연어 처리(NLP) 모델과 같은 생성형 인공지능(AI) 기술 개발에 커다란 진전을 지켜보고 있다.

 

다양한 사용자가 AI 플랫폼에 접근할 수 있게 되면서, 금융산업을 비롯한 많은 산업에서 AI 기술의 활용 가능성이 주목받고 있다. 

 

생성형 AI는 금융산업에서 디지털화의 진전과 효율성에 기여할 수 있다. 그러나 우리는 이러한 기술의 사용과 관련된 위험을 간과해서는 안 된다. AI 기술을 둘러싼 규제 환경이 계속 진화함에 따라, AI 기술의 채택을 고려하는 금융 회사는 AI의 위험을 이해하고 식별 및 관리하기 위한 조치를 취해야만 한다.

 

딜로이트는 아시아 태평양 지역 기술 및 규제 관련 딜로이트 글로벌 전문가 12명과의 인터뷰를 통해 정책 및 규제 당국이 기존 AI 프레임워크를 기술발전에 따라 어떻게 재평가하는지 분석하고 금융기업들이 규제변화에 따라 미래 환경에 선제적으로 대비할 방법을 제시한다.

 

 

◇생성형 AI로 인해 발생하는 위험들

규제 당국은 AI와 관련한 일반적인 위험을 제거하기 위해 ‘높은 수준의 원칙들’을 수립하고 있다. 그것은 바로 투명성, 책임성, 공정성, 강건성, 개인정보보호 및 데이터보안 등이다. 하지만 생성형 AI의 부상은 금융시장에서 다음과 같은 뚜렷한 차별적인 위험을 제기한다.

먼저 투명성 부족이다. 생성형 AI 모델의 복잡성과 독점적인 정보로 인해 투명성이 부족하다는 인식이 존재할 수 있다. 또한 생성형 AI 모델의 투명성을 측정하거나 평가할 수 있는 표준화된 도구와 방법이 부족하여, 서로 다른 모델을 비교하고 시간 경과에 따른 진행 상황을 추적하기가 어렵다.

차별과 편견도 경계해야 한다. 생성형 AI는 훈련한 데이터의 패턴과 편견을 연관시키는 방법을 학습하여 차별적이거나 오해의 소지가 있는 콘텐츠를 생성할 수 있다.

정확성 부족 및 환각도 마찬가지다. 생성형 AI는 불완전하거나 부정확하거나 편향된 데이터를 바탕으로 부정확하거나 오해의 소지가 있는 콘텐츠를 생성하거나 단순히 조작된 사실을 생성할 수 있다.

마찬가지로 사기 위험성도 간과해서는 안된다. 생성형 AI는 딥페이크와 합성 데이터를 창출하는 데 사용될 수 있으며, 이는 사기를 저지르거나 잘못된 정보를 퍼뜨리거나 시스템의 취약점을 악용하는 데 활용될 수 있다.

 

(사진출처=게티이미지뱅크)

 

◇생성형 AI에 대한 규제 접근 방식

생성형 AI의 등장으로 인해 정책 입안자와 규제 당국은 이전에 시행한 AI 프레임워크가 새로운 기술적 위험을 완화하는 데 여전히 적합한지 여부를 재평가할 수밖에 없게 됐다.

몇몇 규제 당국은 개별 조직과 업계 전반을 위한 모범 사례를 권고하기 위해 AI 가이드라인 및 이니셔티브를 시행하고 있다. 이는 AI 원칙 수립, 지침 및 도구, 법률 도입, 국가 전략의 일부로서 AI 활용 포함 등의 접근 방식으로 분류할 수 있다.

△AI 원칙: AI 원칙은 여러 부문에서 AI 사용과 관련된 위험을 효과적으로 관리하기 위한 높은 수준의 가이드라인을 제공한다. AI 위험에 대해 입법화하거나 규제하기로 결정한 상당수 국가들이 AI 원칙을 도입했다는 점에 주목할 필요가 있다. 중국이 ‘차세대AI 거버넌스 원칙’과 호주의 ‘인공 지능 윤리 프레임워크’, 홍콩 금융관리국의 ‘AI 사용에 관한 상위 원칙’과 홍콩 증권선물위원회의 ‘온라인 유통 및 자문 플랫폼에 대한 7가지 주요 지침’ 등이 주요 사례들이다.

△지침 및 도구: 일반적으로 지침과 도구는 AI 원칙의 이행을 지원하기 위해 활용된다.

대표적인 사례로 싱가포르 통화청(MAS)이 주도하는 베리타스 컨소시엄이 공정성, 윤리성, 책임성, 투명성 원칙에 대한 평가 방법론을 제시하는 5가지 백서를 발간했다. 이후 2022년 5월 정보통신미디어개발청과 개인정보보호위원회는 객관적이고 검증 가능한 방식으로 책임감 있는 AI를 입증하고자 하는 기업을 위한 세계 최초의 AI 거버넌스 진단 프레임워크 및 툴킷인 ‘에이아이 베리파이’(A.I. Verify)를 론칭했다.

△입법: 한국, 중국, 필리핀, 베트남과 같은 관할권에서는 보험 부문에 대해 AI에 특화된 입법 접근 방식을 취하고 있으며, 중국 본토와 베트남에서는 AI 관련 법안이 통과되었다. 중국은 ‘인터넷 정보 서비스 알고리즘 추천 관리 규정법’이 있다. 필리핀은 ‘인공지능개발청’(AIDA)의 설립을 허용하는 법안을 통과시키고자 노력 중이다. 한국은 ‘인공지능 산업 육성 및 신뢰 기반 조성에 관한 법률안’이 국회에서 통과된다면 인공지능 사용을 포괄적으로 규율하는 세계 최초의 인공지능법이 된다. 베트남은 2022년 6월에 새로운 ‘보험업법’이 통과되어 보험업 활동에 기술을 적용할 수 있게 되었다.

△국가 전략: 많은 국가들이 AI를 전략적 우선순위로 규정하고, ‘신뢰할 수 있는 AI’의 사용을 촉진하기 위한 국가 전략을 수립했다. 여기에는 태국, 인도네시아, 일본, 중국 본토, 말레이시아가 포함된다.

인도네시아의 ‘AI 국가 전략’은 인도네시아 사회의 다양한 부문에 걸쳐 자동화를 추진하는 것을 목표로 하는 정부 지원 이니셔티브인 ‘인도네시아 4.0 만들기’를 기반으로 한다. 말레이시아 과학기술혁신부는 ‘2021-2025 국가AI 로드맵’을 발표하여 AI 개발을 촉진하기 위한 6가지 전략과 함께 7가지 책임감 있는 AI 원칙을 제시했다.

유럽연합(EU)과 미국을 비롯한 전 세계 여러 국가들도 생성형 AI의 급속한 발전에 대응하기 위한 조치를 시행하고 있다. ‘EU 인공지능법’(AI 법)은 EU 내의 AI 시스템을 규제하기 위해 유럽위원회(EC)가 제안한 법안으로, 책임감 있는 기술 개발과 사용을 보장하기 위한 EU의 광범위한 전략의 일환이다. 이에 비해 미국은 AI 규제에 대해 보다 분절화된 접근 방식을 취하고 있다. 미국은 주 단위의 법률 및 규제 구조로 인해 연방 차원에서 생성형 AI를 규율하는 법률이 아직 제정되거나 제안된 바 없다. 캘리포니아와 콜로라도를 비롯한 일부 주에서는 AI 법안을 추진 중이지만, 다른 주들은 앞으로 등장할 위험을 모니터링하는 정도다.

 

◇규제 당국의 고려 사항

생성형 AI의 빠른 발전 속도로 인해 새로운 규제 시행이 금방 비효율적인 구식의 규제로 치부될 위험에 처해 있다. 또한 AI가 금융산업에 불러올 도전과 위험에 대처할 역량을 갖추는 것이 규제 당국의 새로운 과제이다.

AI 기술에 적합한 기술과 역량을 갖춘 충분한 인재 및 자원을 확보하기 위한 공공 및 민간 부문 간의 치열한 경쟁으로 인해 일부 규제 당국은 AI 기술로 인해 발생하는 위험에 빠르게 대응하기 어려운 상황이다. 입법 기관과 규제 당국도 이로 인해 규제의 감독 및 집행에 어려움을 겪고 있다.

각각의 이해관계자마다 AI 활용 방식이 다를 수 있지만, 보안, 공정성, 소비자 보호 등의 가치를 훼손하지 않으면서 금융서비스를 개선하기 위해 AI를 활용하려면 AI 원칙에 대한 상호 이해가 필수적이다. 궁극적으로 효과적인 규제는 혁신을 촉진하는 동시에 금융 생태계의 모든 관련 당사자의 이익을 보호해야 한다.

규제의 표준화를 위한 국경을 초월한 관리 프레임워크, 모범 사례를 구축하기 위한 업계와 규제 당국 간의 협력이 필요하다. 이러한 협력을 통해 규제 접근 방식이 실질적인 인사이트에 기반할 수 있고, 또한 글로벌 과제를 해결하고 산업 성장과 사회적 안전장치 사이의 균형을 유지하는 데 기여할 수 있다.

생성형 AI는 기존 AI에 비해 AI 애플리케이션을 활용하는 금융 회사에 더욱 까다로운 위험 관리 요건을 요구할 수 있다. 대부분의 국가에서 AI 규제 및 법률이 아직 개발 또는 시행 초기 단계에 있으므로, 금융 회사는 글로벌·지역별 AI 원칙을 고려하여 가능한 한 빨리 자체 AI 거버넌스 프레임워크를 구축하는 것이 중요하다.

◇금융회사가 취해야 할 조치들
 

장형수 딜로이트안진회계법인 금융산업통합서비스그룹 성장전략부문 리더

아직 AP 지역 전체에서 AI 규제 또는 법률 개발이 초기 단계에 있지만, AI 애플리케이션을 채택했거나 채택을 고려 중인 금융 회사는 향후 규제 준수뿐만 아니라 위험 관리 향상을 위해 AI 거버넌스 프레임워크 개발을 시작해야 한다. 금융 회사는 생성형 AI 애플리케이션이 생산하는 결과에 대해 책임을 져야 한다.

생성형 AI 애플리케이션을 채택하는 금융 회사는 AI 관련 위험과 AI 거버넌스 프레임워크가 기존 위험 선호도 및 전반적인 위험 관리 프레임워크에 어떻게 부합하는지 고려해야 한다.

특히 생성형 AI의 목적과 사용범위를 명확히 하고 고객의 안전, 건강 및 기본권을 침해할 가능성을 평가해야 한다. 특정 애플리케이션 위험이 더 높은 경우 더 많은 인간의 감독이 필요하다는 점을 고려해야 한다.

금융서비스 취약 고객 계층에 영향을 미치는 요인(예: 학력, 소득 또는 연령)을 파악하고, 생성형 AI 애플리케이션을 채택한 의도 또는 의도하지 않은 결과로 인해 생길 수 있는 고객 편향 및 차별을 피해야 한다.

고객 데이터의 수집·처리하는 내부 부서와 외부 업체에 대한 데이터 보호 가이드라인을 확립 및 준수 여부에 대한 관리감독을 해야 한다.

생성형 AI의 입출력물에 대해 저작권에 대한 부분이 불분명하기 때문에, 금융 회사는 해당 애플리케이션에 입력된 모든 데이터 또는 쿼리가 공개될 수 있다고 가정해야 하며, 따라서 지적 재산의 부주의한 노출 또는 저작권 침해를 방지하기 위한 통제 방안을 수립해야 한다.

관련 AI 인재 확보와 함께 AI 기술의 기본 개념, 비즈니스 배치 방식, 관련 주요 위험, 각각의 책임 소재에 대해 이사회와 고위 경영진을 포함한 기존 직원을 대상으로 한 교육에 투자해야 한다. 특히 민간 부문은 규제 및 입법 기관과 적극적인 대화를 통해 업계의 지식과 경험을 공유하여 규칙 제정을 촉진하는 한편 AI의 미래 경로에 대한 공감대를 이끌어내야 한다.

  

장형수 딜로이트안진회계법인 금융산업통합서비스그룹 성장전략부문 리더