AI기본법 시행 1년, 이용자 보호 책임 공백과 현장 가이드라인 혼선 과제로

핵심 요약

- 2026년 이재명 정부 1년 평가 토론회에서 AI기본법 시행에 대한 성과와 과제 논의 - AI기본법 시행을 긍정 평가하면서도 이용자 보호 책임의 공백 문제 지적 - 현장 가이드라인 혼선으로 인한 실무 적용의 어려움이 주요 개선과제로 제기

주요 내용

2026년 6월 현재, 이재명 정부 출범 1년을 평가하는 토론회에서 AI기본법 시행에 대한 종합적인 평가가 이루어졌다. 참석자들은 AI기본법이 국내 AI 거버넌스의 법적 기반을 마련했다는 점에서 긍정적으로 평가했으나, 실효성 측면에서 여러 과제를 제시했다.

특히 이용자 보호 책임의 공백 문제가 핵심 쟁점으로 부각됐다. AI 서비스 제공자와 개발자 간 책임 소재가 명확하지 않아 피해 발생 시 이용자가 구제받기 어려운 구조적 문제가 지적됐다. 이는 AI 시스템의 복잡한 공급망 구조와 다층적 책임 관계에서 비롯된 것으로 분석된다.

현장 가이드라인의 혼선도 주요 과제로 제기됐다. AI기본법 시행 이후 각 부처와 기관에서 발표한 다양한 가이드라인이 상충되거나 중복되면서 기업과 기관의 실무 적용에 혼란을 야기하고 있다는 지적이다. 특히 개인정보 보호, 알고리즘 투명성, 데이터 거버넌스 등 핵심 영역에서 통합적 지침의 필요성이 강조됐다.

한편 여성과총은 미래 인재 육성을 위해 '2026년 제17회 미래인재상' 수상후보자를 8월 31일까지 모집한다고 밝혔다. 연구 및 산업 분야에서 우수한 성과를 낸 인재를 발굴하여 AI 시대의 인재 양성을 지원한다는 계획이다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, AI기본법 시행 초기 단계에서 나타나는 이용자 보호 책임 공백은 예견된 문제였다. AI 서비스는 데이터 제공자, 알고리즘 개발자, 플랫폼 운영자, 최종 서비스 제공자 등 다층적 구조로 이루어져 있어, 기존 개인정보보호법 체계의 '개인정보처리자' 개념만으로는 책임 소재를 명확히 하기 어렵다. 기업들은 AI 서비스 기획 단계부터 책임 소재를 계약서에 명시하고, 이용자 피해 구제 절차를 사전에 설계하는 'Privacy by Design' 접근이 필요하다.

현장 가이드라인 혼선 문제는 조직의 컴플라이언스 부담을 가중시키고 있다. 개인정보보호위원회, 과학기술정보통신부, 산업통상자원부 등에서 발표한 AI 관련 가이드라인이 상이한 용어와 기준을 사용하면서 실무자들이 어떤 기준을 우선 적용해야 할지 혼란을 겪고 있다. 기업은 당분간 가장 엄격한 기준(highest standard)을 적용하는 보수적 접근을 취하되, 산업별 협회를 통해 통합 가이드라인 마련을 정부에 건의하는 것이 바람직하다.

CPPG·ISMS-P 연계 포인트

AI 서비스 책임 소재 및 개인정보처리자 판단: AI기본법과 개인정보보호법의 교차 영역에서 개인정보처리자를 판단할 때는 ①개인정보 처리 목적과 수단의 결정 권한 ②실질적 관리·통제 권한 ③이용자와의 법률관계를 종합적으로 고려해야 한다. AI 학습 데이터 제공자와 AI 서비스 제공자가 다를 경우 공동 개인정보처리자 관계 성립 여부를 계약서상 명확히 해야 한다.

AI 거버넌스와 통합 관리체계: ISMS-P 인증 시 AI 시스템을 활용하는 조직은 기존 정보보호 및 개인정보보호 관리체계에 AI 거버넌스 요소를 통합해야 한다. 알고리즘 영향평가, AI 학습데이터의 개인정보 최소화, 자동화된 의사결정의 투명성 확보 등을 기존 관리체계 프로세스에 반영하고, 다양한 부처 가이드라인을 통합 검토한 내부 정책 문서화가 필요하다.