PDF Download
PubReader
Export Citation
Share Facebook
Share Twitter
Cited by 0 Article
Metrics (View:9)
I. 서 론
인공지능 기술은 자율적 의사결정, 대규모 데이터 처리, 특정 산업 영역에 국한되지 않는 범용적 성격을 가지고 있어, 종래의 분야별·부처별 규제 접근으로는 기술의 발전 속도에 규제가 적시에 대응하지 못하는 현상을 야기한다. 이와 같이, 입법 당시 예상하지 못했던 기술 발전으로 인해 기존 규제의 일방적인 적용이 불합리한 결과를 가져올 경우, 해당 사안에 한정하여 규제를 조정할 필요가 있다는 논의가 전개되어 왔다.1) 한국의 규제샌드박스 제도는 이러한 규범적 취지를 입법적으로 구현한 것으로 평가되나, 그 적용 대상과 운영 방식에는 한계가 있음이 지적되었다.2) 유례없는 속도로 진화하는 AI 기술은 전형적인 규제지체의 대상이므로, AI에 특화된 규제샌드박스의 도입은 시급한 입법적 과제라고 할 수 있다.
EU는 2024년 세계 최초의 포괄적인 “인공지능법(Regulation (EU) 2024/1689)”(이하 ‘EU 인공지능법’)3)을 제정하면서 AI에 특화된 규제샌드박스를 독립된 장(Chapter)으로 편제하여 가장 먼저 입법적으로 대응하였다. 우리나라는 2025년 1월, EU에 이어 세계에서 두 번째로 포괄적인 인공지능법인 “인공지능 발전과 신뢰 기반 조성 등에 관한 기본법 (법률 제20676호)”(이하 ‘인공지능기본법’)을 제정하였다. 동 법은 인공지능 산업 진흥·육성에 무게를 두면서도, 고영향 AI·생성형 AI·고성능 AI 등에 대해 규제 의무를 부과하였는데, 이는 EU 인공지능법의 규제 체계를 상당 부분 참조한 것으로 평가된다.4) 그러나 정작 법률상 규제 준수를 지원하는 ‘AI 규제샌드박스’에 관하여는 인공지능기본법 내에 독립된 조항을 두지 않고, 기존 “정보통신 진흥 및 융합 활성화 등에 관한 특별법”(이하 ‘정보통신융합법’)상 ‘실증을 위한 규제특례’(이하 ‘실증특례’)를 준용하도록 규정하는 데 그쳤다. 다시 말해, 우리나라는 EU 인공지능법상 규제 체계의 외형은 수용하면서도, 규제 준수 지원 메커니즘은 온전히 수용하지 않은 ‘선택적 이식’의 양상을 보인다.5)
본 연구는 이러한 문제의식에 기초하여, 제II장에서 EU 인공지능법상 AI 규제샌드박스의 법적 근거·규범적 성격·운영 절차 등을 분석하고, 나아가 2025년 말 발표된 “AI 규제샌드박스 시행법(implementing acts) 초안”(이하 ‘시행법 초안’)6), “Digital Omnibus on AI”7)의 샌드박스 개정 사항, 스페인 등 EU 회원국의 AI 규제샌드박스 이행 현황까지 통합적으로 검토한다. 제III장에서는 이를 비교 준거로 삼아 한국 현행 규제샌드박스 제도 및 인공지능기본법상 규제샌드박스 관련 조항의 구조적 한계를 진단한 뒤, 한국형 AI 규제샌드박스 도입을 위한 법제 정비 방향을 제시한다.
본 연구가 기존 선행연구와 구별되는 점은 다음과 같다. 첫째, EU 인공지능법뿐만 아니라, 시행법 초안, Digital Omnibus on AI 개정 동향, EU 회원국의 운영 사례 등을 통합적으로 분석한 국내 최초의 연구이다. 둘째, EU와 한국은 포괄적 AI 규제 입법 국가로서 미국·싱가포르와는 상이한 규제철학과 모델을 가진다는 점에서, 규제자와 피규제자의 상호학습이라는 규제대화에 초점을 맞추어 비교·분석한다. 셋째, 이러한 비교법적 고찰을 통해 한국의 규제상황에 적합한 한국형 AI 규제샌드박스 제도 도입과 정착을 위한 구체적인 법제 정비 방향을 제안한다.
II. EU 인공지능법상 AI 규제샌드박스 제도 검토
‘규제샌드박스(Regulatory Sandbox)’의 정의는 학계·기관·국제기구에 따라 다양하다. 2015년 세계 최초로 규제샌드박스를 도입한 영국 FCA(Financial Conduct Authority)는 규제샌드박스를 일반적인 규제가 적용되지 않는 통제된 환경에서 혁신적 제품·서비스를 시험할 수 있는 제도적 공간으로 정의하였다. 학계에서는 혁신 기업을 지원하기 위하여 한시적·제한적 범위 내에서 특정 사업자에 대한 규제를 완화·조정하거나 맞춤형 지침을 부여하는 실험적인 법제도로 정의한다. OECD는 국가 당국이 혁신적인 제품·서비스에 대한 실험의 기회를 부여하되, 참여 기업에게는 특정 법적 요건이나 규제 의무를 한시적으로 면제하는 제도로 설명한다. 이를 종합하면, 규제샌드박스란 국가가 기업의 혁신 활동을 지원하기 위해 ‘한시적으로 규제가 격리된 환경을 제공’하는 것이라 할 수 있겠다.8)
EU 인공지능법상 AI 규제샌드박스는 기술 혁신을 도모하면서 일시적 규제면제(exemption)보다는 복잡한 법규 준수를 지원하기 위한 ‘규제대화(dialogue)’의 장치로 설계되어 있다.9) 이하에서는 EU 인공지능법상 AI 규제샌드박스의 법적 근거와 규범적 의의를 검토하되, 제III장에서 한국 제도와의 비교 기준을 도출하기 위한 준거를 확보하는 데 그 분석의 초점을 맞춘다.
EU 집행위원회는 회원국들이 혁신 친화적인 AI 시스템을 시장 출시 또는 서비스 개시하기 전에 엄격한 규제 감독하에 개발하고 테스트할 수 있도록 AI에 특화된 규제샌드박스를 구축해야 한다고 인식하였다. 이에 EU 인공지능법은 시민의 건강, 안전 및 기본권에 위협이 되는 위험을 규제하는 동시에, EU 내 AI 생태계 번영을 지원하기 위한 혁신조치로서 AI 규제샌드박스 조항을 명문화하였다.
EU 인공지능법은 제57조에서 제63조에 걸쳐 ‘AI Regulatory Sandboxes’를 독립된 제6장(Chapter Ⅵ, Measures in Support of Innovation)으로 편제하고, 전문(Recital) 제138항부터 제146항에 걸쳐 AI 규제샌드박스(실제환경에서의 테스트 포함)에 대한 입법 취지를 상세히 설명하고 있다.10) AI 규제샌드박스를 법률 내 독립적으로 편제한 점은 종래의 핀테크 샌드박스와 근본적으로 구별되는 지점이다. 기존 핀테크 규제샌드박스가 대부분 법적 근거나 투명한 운영 규칙 없이 규제 공백을 메우기 위해 관련 규제기관의 재량에 크게 의존했다면, AI 규제샌드박스는 법률 내에 그 법적 근거를 명시함으로써, 임시적 실험 도구가 아니라 기술 변화에 능동적으로 대응하기 위한 상시적 제도로서 설계하였다는 점에 큰 의미가 있다.11) 즉, 2015년 영국 FCA의 핀테크 샌드박스가 명시적 입법이기보다는 금융 규제기관의 재량에 따른 행정적 조치로서 최초였다면, EU 인공지능법은 AI 전용 규제샌드박스를 포괄적인 AI 법률 차원에서 편제한 최초의 법률이다.12) 또한, EU 인공지능법은 회원국으로 하여금 규제샌드박스 설립에 관한 강행적인 의무를 부과한다는 점에서도 본질적으로 구별된다.
EU 인공지능법 제3조제55호는 AI 규제샌드박스를 AI 시스템 제공자 또는 예비 제공자가 규제 감독 하에 제한된 기간 동안 샌드박스 계획에 따라 혁신적인 AI 시스템을 개발·학습·검증·테스트할 수 있는 기회를 제공하는 관할당국의 통제된 프레임워크(controlled framework)로 정의한다. 이 정의는 ‘통제된 프레임워크’, ‘감독 권한을 가진 국가기관의 적극적 역할’, ‘제한된 기간’이라는 샌드박스의 공통 요소를 포함한다. 또한 동 조 제57호에서는 AI 시스템을 실험실이나 시뮬레이션 환경이 아닌 실제환경에서의 의도된 목적에 따라 임시적으로 테스트하는 ‘실제 환경 조건에서의 테스트(testing in real-world conditions, TRWC)’도 추가적으로 정의하고 있는데, 이는 해당 AI 시스템이 인공지능법의 의무 요건을 충족하는지 시장 진입 전에 평가 및 검증하기 위한 데 그 목적이 있다.13) 실제 환경에서의 실험은 보다 정확한 테스트 결과를 담보하고 법률 준수 여부 판단의 모호성을 줄여준다는 장점을 제공한다는 점에서 의미가 있다.
EU 인공지능법은 AI 규제샌드박스의 목적을 아래의 다섯 가지로 명시하고 있다(제57조제9항). 첫째, 인공지능법 및 기타 적용 가능한 EU 및 국내법 준수에 관한 법적 확실성 제고, 둘째, 샌드박스 참여 당국 간 협력을 통한 모범사례 공유, 셋째, 혁신·경쟁력의 증진 및 AI 생태계 발전 촉진, 넷째, 증거에 기반한 규제학습에 기여, 다섯째, 스타트업을 포함한 중소기업이 제공하는 AI 시스템의 EU 시장 접근 촉진 및 가속화이다.
한편, EU 학계에서는 규제샌드박스의 목적을 기존 규제의 적합성이나 해석을 테스트하여 입법자 등에게 규제적 시사점을 주기 위한 ‘규제 테스트(regulatory testing)’와 규제당국의 감독 아래 규제 요건의 충족 여부를 확인하면서 혁신 제품·서비스의 시장 진입을 도모하는 ‘제품 테스트(product testing)’로 유형화한다. 이 구분에 따르면 EU 인공지능법상 AI 규제샌드박스는 양자의 중간 지대에 위치한다.14) 법적 확실성 제고(첫째)와 규제학습(넷째)은 규제 테스트의 요소를, 혁신 촉진(셋째)과 시장 접근 가속화(다섯째)는 제품 테스트의 요소를 각각 포함하고 있기 때문이다.
이 가운데, 네 번째의 ‘규제학습 목적’이 AI 규제샌드박스의 성격을 규정하는 핵심 요소이다. 영국 FCA는 핀테크 샌드박스의 참여 자격 요건으로 기존 서비스에 대한 점진적 개선이 아닌 ‘파괴적 혁신’을 요구하였다. 그러나, AI 기술의 가치는 급진적 재창조보다는 기존 프로세스의 점진적 고도화를 통해 발현되는 경우가 많기 때문에, 핀테크의 ‘파괴적 혁신성’ 기준을 AI 규제샌드박스에 그대로 적용하는 것은 곤란하다. 이러한 관점에서 EU 인공지능법은 AI 규제샌드박스를 제6장(혁신 지원 조치)에 배치하여, 혁신성이 제도적 기저에 있음을 시사하면서도, 선정기준으로 급진적인 혁신성의 입증을 요구하지 않는다. 오히려, 핵심 참여 요건으로 ‘법적 불확실성의 해소’를 반복적으로 강조하고 있다(전문 제139항). 즉, 혁신성 자체보다는 해당 프로젝트가 기존 규제로는 해결하기 어려운 새로운 규제적 쟁점을 내포하고 있는지, 규제당국과 사업자가 규제 준수 방안을 함께 모색하는 학습의 계기가 되는지가 더 본질적인 기준이 된다.15) 이러한 측면에서 EU 인공지능법상 AI 규제샌드박스의 핵심 목적은 ‘규제학습(Regulatory learning)’에 있다고 보는 것이 타당하다.
나아가 규제학습이 유효하게 작동하려면, 샌드박스 실험의 성과와 한계를 평가할 수 있는 체계적 기준이 마련되어야 하고, 그 결과가 법령 정비나 가이드라인 개선 등 구체적인 규제환류로 이어지는 경로가 마련되어야 한다. 이러한 규제학습 환류 메커니즘이 결여될 경우, 샌드박스는 제도적 파급력 없는 개별적·일회적 실험에 머물 수밖에 없다.16)
EU 인공지능법상 AI 규제샌드박스의 규범적 성격은 ‘규제면제’가 아닌 규제당국과 샌드박스 참가자 간의 ‘규제대화’에 있다. 이는 아래 두 개의 조문을 통해 확인할 수 있다. 동 법 제57조제11항은 샌드박스 참여가 ‘관할당국(competent authorities)’의 감독 권한에 영향을 미치지 않음’을 명시하면서도, 관할당국이 ‘관련 법률의 범위 내에서(within the limits of the relevant law)’ 재량권을 유연하게 행사하도록 규정하고 있다.17) 같은 조 제12항은 참가자가 샌드박스 계획을 준수하고 관할당국의 지침을 성실히 이행할 경우, ‘샌드박스 참여 기간 중 발생한 동 법 위반에 대하여 과징금을 부과하지 아니한다’고 규정한다.18) 이는 법의 적용 자체를 배제하는 것이 아니라, 성실한 참여를 전제로 제재를 유예하는 것으로서, ‘규제면제’와 ‘집행 면제’를 구별하는 EU 입법자의 의도가 반영된 것이다.
이는 EU 인공지능법의 입법 과정에서 일관되게 견지된 기조이다. EU 집행위원회는 초안 단계에서 AI 규제샌드박스 관련, 적용 법령에 대한 완화나 면제는 부여되지 않되, 관할당국이 개별 샌드박스 프로젝트에 법적 요건 적용 시 관련 법률 범위 내에서 일정한 유연성, 즉 재량권을 갖는다는 입장을 명확히 하였다.19) 이후 EU 이사회(안)과 EU 의회(안)에서는 재량권에서 한 단계 더 나아가 과징금 면제 조항이 신설되었고, 이것이 최종적으로 제57조제12항으로 채택되었다. 그러나 세 기관 모두 적용 법령의 예외를 인정하는 규제면제 방식은 채택하지 않았다.
이러한 ‘규제대화’라는 규범적 본질은 ‘참여-운영-종료’라는 샌드박스 전 과정에 제도적으로 내재되어 있다. 각 단계에서 이루어지는 규제당국과 참가자 간의 규제대화는, 인공지능법상 규제 의무의 해석과 적용 방식을 개별 사안에 맞추어 선제적으로 구체화하는 ‘규제학습’의 토대가 된다.
‘규제대화형’ 모델 설계에는 다음과 같은 한계가 존재한다. 첫째, 샌드박스 참여 유인의 부족이다. EU 인공지능법의 ‘위험기반 차등적 규제 체계’의 핵심은 고위험 AI 시스템 제공자에 대한 엄격한 의무 부과에 있다. 고위험 AI 시스템 제공자는 동 법 제3장제2절이 규정하는 의무 준수 여부를 입증하는 ‘적합성 평가(conformity assessment)’를 수행하고 인증을 받은 후에야 시장에 진입(제품 출시·서비스 개시) 할 수 있다(제43조).20) 그러나, EU는 고위험 AI 시스템 제공자가 ‘조화표준(harmonised standards)’의 일부 또는 전부를 준수할 경우, 그 범위 내에서 해당 법적 요건을 준수한 것으로 간주되는 ‘적합성 추정(presumption of conformity)’의 혜택을 제공한다(제40조제1항).21) 따라서, 고위험 AI (예비) 시스템 제공자가 샌드박스 테스트를 성공적으로 종료하더라도, 그 성과가 적합성 추정이나 최소한 일시적인 규제 완화의 혜택으로 이어지지 않는다면, 사업자가 행정적 부담을 감수하면서 자발적으로 참여할 유인이 부족하다. 물론, 과징금 면제와 서면증명의 적합성 평가 연계22)와 같은 간접적 혜택이 존재한다. 그러나, 조화표준 등 샌드박스 밖에서의 시장 진입 경로에 비해 확실한 이점을 제공하지 못할 경우, 자발적 참여에 대한 동기가 저하될 수밖에 없다.
둘째, 규제 준수 절벽(compliance cliff edge)의 문제이다. 이는 샌드박스 기간 중 규제기관과의 대화·협력하에 규제 준수 지원을 받아온 참가자가, 샌드박스 종료와 동시에 이러한 제도적 지원 없이 독자적·전면적으로 규제 의무를 이행하여야 하는 급격한 전환에 직면하는 문제를 의미한다. 따라서, 샌드박스 종료 시 수반되는 독자적인 규제 준수 비용과 절차를 사전에 충분히 예측·계획하지 못한 참가자에게는, 샌드박스 종료가 오히려 시장 진입의 장벽으로 작용할 수도 있다. 또한, 샌드박스 실험을 통해 법령이나 정책의 개선 필요성이 도출되더라도, 그 입법적 반영이 지연될 경우, 참가자는 기존 규제 환경에 묶인 채 사업 확장이 지체되는 문제에 부딪힌다. 이는 특히 규제 대응 역량과 자원이 제한적인 스타트업·중소기업에게 불리하게 작용하는데, 이들은 샌드박스 참여 단계에서는 간소화된 자격 요건 등의 혜택을 누리지만, 종료 후에는 이에 상응하는 제도적 지원을 사실상 받을 수 없기 때문이다.23)
EU 인공지능법은 AI 규제샌드박스의 원칙을 회원국 모두에게 구속력 있는 ‘Regulation’24)의 형식을 통해 규정하되, 샌드박스 설립·개발·이행·운영·감독에 관한 요건과 절차를 EU 집행위원회가 ‘시행법(implementing act)’25)을 통해 규정하도록 위임하고 있다. 이는 EU 전역에 걸친 AI 규제샌드박스의 일관된 이행을 담보하기 위한 것이다.
이하에서는, 2025년 12월 EU 집행위원회가 공개한 시행법 초안을 중심으로, AI 규제샌드박스를 ‘참여-운영-종료’의 3단계로 구분하여 검토한다. 이 분석은 III장에서 한국 규제샌드박스 제도와 비교 및 시사점을 도출하기 위함이므로, 모든 세부 절차를 망라하기보다는 한국 제도와의 비교법적 검토 실익이 있는 요소에 집중하여 검토하겠다.
EU 인공지능법은 각 회원국에 대하여 2026년 8월 2일까지, 국가·지방 및 지역 차원에서 최소 하나 이상의 AI 규제샌드박스를 설립·운영할 의무를 부과한다(제57조제1항·2항).26) 샌드박스의 참여 대상은 고위험 AI 시스템에 한정되지 않고 AI 시스템 전반을 포괄하되, 동 법 전문 제139항이 ‘혁신가들에 대한 법적 확실성 제공’과 ‘향후 법 개정을 포함한 관할당국과 기업의 규제학습 촉진’을 강조한다는 점에서, 규제학습의 필요성이 높은 AI 시스템이 우선적으로 고려되는 구조라고 해석할 수 있다. 시행법 초안은 참여 단계에서 ‘누가, 어떤 기준에 의하여, 어떤 계획 아래 참여하는가’ 등 샌드박스 참여의 ‘적격성 요건’과 ‘선정 기준’을 규정하고 있다.
적격성 요건으로는 ① 공공 또는 민간 제공자(또는 EU 역외 제공자의 공인 대리인)일 것, ② 신청 대상 AI 시스템이 시장 출시 전이거나, 이미 출시된 경우 실질적 변경이 예정되어 있을 것이라는 두 가지 조건이 누적적으로 충족되어야 한다(시행법 초안 제3조제2항). 스타트업을 포함한 중소기업(SME)에게는 우선적 접근과 무상 참여가 보장된다(시행법 초안 제2조제2항).27)
선정 기준은 ① 특정 규제적·실무적 어려움으로 인한 샌드박스 참여의 필요성, ② 규제학습의 잠재력 및 확장성(scalability of regulatory learning), ③ 공익 또는 EU 정책 목표에 대한 기여도, ④ 샌드박스 제안의 성숙도 및 경제적 타당성, ⑤ AI 시스템의 혁신성이다(시행법 초안 제3조제3항, 전문 제13항).28)
이 중 특히 주목되는 것은 ‘규제학습의 확장성’ 기준이다. 이는 개별 샌드박스 프로젝트의 실험 성과가 해당 참가자에게 국한되지 않고, 동종·유사 AI 시스템의 규제 기준 형성에까지 기여할 수 있는지를 선정 단계에서부터 심사하도록 요구한다. 규제학습의 장기적 확장성이 확보되지 않으면 샌드박스는 제도적 파급력 없는 일회성 실험에 그칠 우려가 있기 때문이다.29)
AI 시스템 제공자(또는 예비 제공자)가 샌드박스에 선정되면 지체없이 관할당국과 ‘샌드박스 계획(sandbox plan)’에 합의하여야 한다. 이 합의문서는 실험의 목표·조건·일정·방법론을 사전에 설정(제3조제1항제54호)하는 동시에, 제공자의 잠재적 책임 범위를 규정하는 이중적 기능을 수행한다(제57조제12항).
시행법 초안은 이 계획의 필수 기재 사항을 규정하는데(제5조제2항), 한국과의 비교 관점에서 특히 주목되는 요소는 다음의 세 가지이다. 첫째, 해당 AI 시스템에 적용되는 EU 인공지능법 및 기타 법령상 요건을 사전 확인(같은 항 (d))으로, 이를 통해 샌드박스 진입 시점에 관할당국과 함께 규제 적합성을 검증할 수 있다. 둘째, 개인정보 처리 여부 및 개인정보 감독기구의 관여 필요성(같은 항 (e))으로, 복수 규제기관 간 협력을 계획 수립 단계에서부터 포함한다. 셋째, 중대한 사고의 모니터링·관리·보고를 위한 위험 관리 절차(같은 항 (f))로, 샌드박스 실험의 안전장치를 사전에 설계하도록 요구한다. 이밖에 참가 신청자 및 AI 시스템에 관한 정보, 프로젝트 일정, 참여 목적 및 활동 범위, 실제 환경 조건 테스트 계획도 포함되며, 참여 기간 중 당사자 간 합의로 업데이트할 수 있다(같은 조 제4항).
샌드박스 참여 기간은 특정 기간으로 고정되지 않고, 관할당국의 가용 자원·우선순위와 프로젝트의 복잡성·규모 등을 고려하여 비례적으로 설정하며(시행법 초안 제4조제3항), 관할당국은 이 기간을 연장할 수 있는 재량권을 가진다(제58조제2항(h)). 아울러, 관할당국은 TEF(테스트·실험 시설), EDIH(EU 디지털혁신허브), AI Factory 등 기존 EU AI 인프라와 샌드박스를 연계하여 활용하여야 한다(시행법 초안 제4조제5항). 이는 관할당국이 기술 테스트를 독자적으로 수행하는 것이 아니라, 기존 인프라와 체계적 협력을 통해 샌드박스를 운영하도록 하는 ‘허브 모델’을 의도한 것이다.30)
샌드박스 내에서 AI 시스템(예비) 제공자는 시장 출시 전 적용되는 모든 의무를 즉시 이행하지 않고도, 관할당국의 감독 하에 AI 시스템을 학습·테스트·검증할 수 있다. 여기에서 ‘학습’이란 관련 데이터세트를 AI 모델에 적용하여 개발·개선하는 것을 의미하며, ‘테스트’란 상용화 前 시스템의 성능·신뢰성·안전성을 검증하는 것을 말한다. 또한, ‘모니터링’은 시스템이 EU 시민의 기본권·건강·안전에 관한 기준을 지속적으로 충족하는지 추적하는 것을 의미한다(전문 제139항).
참가자는 활동 전반에 걸쳐 관할당국에게 EU 인공지능법 및 관련 법령의 준수에 관한 맞춤형 지침을 제공받으며(제57조제6항 및 제7항), 위험 관리(제9조), 데이터 거버넌스(제10조) 등 구체적 의무의 해석과 준수 방안을 함께 검토한다.
따라서, 샌드박스 기간 중 참가자는 샌드박스 계획의 성실한 준수와 관할당국의 지침 이행만을 조건으로 AI 시스템을 개발·테스트할 수 있다. 이를 통해 특히 중소기업·스타트업은 전면적인 규제 준수에 따른 행정적 부담 없이도 개발 초기 단계에서부터 규제기관의 지원과 피드백을 확보할 수 있다. 다만, 샌드박스를 종료하고 AI 시스템을 시장에 출시하는 시점부터는 동 법상 모든 의무가 즉시 적용된다는 점에 유의하여야 한다.31)
나아가, EU 인공지능법은 ‘실제 환경 조건에서의 테스트(TRWC)’를 허용하고 있다. 시뮬레이션 환경만으로는 테스트의 한계가 있으므로, 샌드박스 계획에 명시된 경우 샌드박스 내부에서도 TRWC를 수행할 수 있다(제57조제5항, 제76조제2항). 샌드박스 내 TRWC는 AI 시스템의 제품 출시 또는 서비스 개시한 것으로 간주되지 않으므로, 참가자는 샌드박스 계획에서 합의된 조건만을 준수하면 된다. 다만, 테스트 중 심각한 위험이 발생할 경우 관할당국은 해당 활동을 중단 또는 종료할 수 있다(제57조제11항).32)
한편, 샌드박스 참여 기간은 종료 예정일 30일 전까지 관할당국과 참가자가 합의하고 정당한 사유가 있는 경우 연장할 수 있다(시행법 초안 제8조제1항). 그러나, 관할당국은 ① 샌드박스 계획상 참여 조건의 위반, ② AI 시스템 개발 및 테스트 과정에서 건강·안전·기본권에 대한 완화 불가능한 중대한 위험 확인, ③ 참가자의 정당한 요청이 있는 경우 샌드박스 참여를 일시적 또는 영구적으로 정지할 수 있고, 그 정지 사실과 사유를 인공지능청(AI Office)에 지체없이 통보하여야 한다(같은 조 제2항).
EU 인공지능법은 공익을 위한 특정 AI 시스템 개발을 위하여 규제샌드박스 내에서 개인정보를 추가처리(further processing)할 수 있도록 하는 특례 규정을 두고 있다(제59조). 동 조항은 EU GDPR(General Data Protection Regulation)에 따라 이미 적법하게 수집된 개인정보를 AI 시스템의 개발·학습·테스트라는 당초와는 다른 목적으로 추가 처리하는 경우에 한하여 적용된다. 이는 GDPR의 ‘양립성 원칙’을 AI 규제샌드박스의 상황에 적용한 것으로 이해할 수 있다. GDPR 제6조제4항은 목적 제한 원칙에 대한 예외로서, 최초 수집한 개인정보의 처리 목적을 변경하고자 할 때 ‘양립성 테스트(compatibility test)’를 거쳐 당초 수집 목적과 양립 가능하다고 판단되는 경우에 한하여 그 재사용을 허용하고 있는 바, EU 인공지능법 제59조는 바로 이 원칙을 AI 규제샌드박스 영역에 적용한 것이다. 또한, 동 조항은 GDPR 제9조제2항제g호가 정한 ‘상당한 공익상의 이유(reasons of substantial public interest)’에 따른 민감정보의 적법 처리 사유 또한 그 법적 근거로 삼고 있다.33)
이는 EU가 AI 학습 데이터의 재사용이라는 현실적 수요를 ‘샌드박스 개인정보 추가처리 특례 조항’을 신설함으로써 입법적으로 대응한 것이라는 점에서 유의미하다. 다만, 이 특례조항은 개인정보 보호와의 균형 도모를 위하여, ‘개인정보 처리 목적이 AI 시스템의 개발·학습·테스트에 한정되고 실질적 공익을 추구’하며, 공익 달성을 위하여 ‘엄격하게 필요한(strictly necessary)한 경우’ 등으로 한정하고 있다. 이에 대해서는 위와 같은 엄격한 요건이 특례의 실효성을 저해할 수 있다는 비판도 제기된다.34) 한편, 인공지능법은 샌드박스 내에서 AI 시스템이 개인정보를 처리하는 경우 개인정보 감독당국(DPA)의 샌드박스 운영에 참여하도록 의무화하고 있다(제57조제10항). 따라서, 덴마크와 같이 샌드박스 관할당국으로 개인정보 규제기관을 지정한 국가에서는, 동일 기관이 인공지능법과 개인정보 보호법(EU GDPR)을 동시에 감독함으로써 거버넌스가 간소화되는 효과를 가져올 수 있다.35)
종료단계에서는 그 간의 샌드박스 테스트에 대한 평가와 문서 발급 절차를 규정한다(시행법 초안 제6조). ‘서면증명(written proof)’은 참가자의 요청에 따라 발급되며, 성공적으로 수행된 활동 유형, 평가된 법적 요건, 프로젝트 완료 여부를 기재한다. 다만, 이는 적합성 선언과 동일한 법적 효력을 갖지 않는다(같은 조 제2항). ‘종료보고서(exit report)’는 관할당국이 의무적으로 작성해야 하는 문서로서, 서면증명의 기재 사항에 더하여 ① 테스트에서 검토된 핵심 규제 쟁점과 해결 방안, ② 중대한 사고 기록, ③ 유사 사례로 확장 가능한 교훈과 모범사례가 포함된다. 두 문서 모두 적합성 선언과 동일한 법적 효력은 없으나 적합성 평가 과정에서 법적 요건의 충족을 뒷받침하는 자료로 활용할 수 있다. 즉, 적합성 평가 기관(시장감시당국 및 인증기관)은 서면증명과 종료보고서를 적합성 평가에 유리하게 반영하여 해당 평가의 절차를 신속히 진행하여야 한다. 따라서, 이러한 제도적 연계가 샌드박스 참여 유인의 문제를 부분적으로 보완하는 역할을 수행한다는 평가가 있다.36)
시행법 초안은 종료보고서를 기점으로 하는 규제학습 환류 경로를 설계하고 있다. 관할당국은 참여 완료 후 2개월 이내에 종료보고서를 작성하고(제6조제4항), 참가자 동의시 단일 전용 인터페이스에 공개하며(같은 조 제5항), 연차보고서를 작성하여 인공지능청(AI Office)에 제출 및 온라인에 공개하여야 한다(제9조). 이러한 ‘종료보고서 → 연차보고서 → 공개’의 프로세스를 통하여 개별 샌드박스 프로젝트의 학습 성과가 제도 전체로 확산될 수 있다. 요컨대, EU는 ‘샌드박스 계획’과 ‘종료보고서’를 규제학습 환류의 핵심 기제로 두고, 참여 단계의 ‘규제대화’가 운영 단계의 ‘규제학습’으로, 규제학습이 다시 종료 단계의 ‘규제환류’로 연결되는 제도의 선순환을 지향하고 있다.
2025년 11월, EU 집행위원회는 “Digital Omnibus on AI”를 통해 규제 간소화와 혁신 촉진을 위한 개정을 제안하였는데, AI 규제샌드박스 관련 주요 개정 사항은 다음과 같다.
첫째, 소형 중견기업(Small Mid-Cap, SMC)에 대한 지원 확대이다. 기존에 직원 수 250인 미만의 스타트업·중소기업(Small and Medium-sized Enterprise, SME)에만 적용되었던 샌드박스 우선 접근권, 수수료 면제 등의 혜택이 직원 수 750인 미만의 소형 중견기업으로 확대되었다. 이는 기존 중소기업(SME)의 규모는 넘어서되 대기업에는 이르지 않는 규모의 소형 중견기업(SMC)을 포괄하기 위한 것으로, 이러한 혜택 확대는 유망한 혁신 기업이 스타트업·중소기업 규모를 벗어나 성장하는 순간 겪게 되는 막대한 규제 준수 비용 증가(규제 절벽)를 타개하고, 사업 규모의 확장(scale-up)을 도모하기 위해 취한 조치이다.37)
둘째, 샌드박스 계획과 실제 환경 조건 테스트(TRWC) 계획의 단일화이다(법 제57조제5항 개정). EU 집행위원회는 샌드박스 내에서 실제 환경 조건 테스트가 수반되는 경우 별도의 승인 절차 없이 샌드박스와 TRWC 계획을 단일 문서로 통합하여 샌드박스 참가자의 행정적 부담을 줄여주고38) 참여 유인의 문제를 해소하고자 하였다.39)
이상의 개정 사항은 혜택을 지원 받는 중소기업의 범위를 확대하고, 샌드박스 제도의 현실적 제약 등을 해소하려는 입법적 방향성을 분명히 하고 있다. 그러나 샌드박스의 성공적 종료가 적합성 추정으로 이어지지 않는 기존 구조는 유지되고 있어, 참여 유인과 종료 혜택 부재의 문제는 동 패키지에 의하여도 근본적으로 해소되지 않는다는 비판이 있다.40)
EU 인공지능법에 따라 모든 회원국은 2026년 8월 2일까지 최소 하나 이상의 AI 규제샌드박스를 설립·운영하여야 하나 회원국 간 이행의 편차는 상당하다. 2026년 4월 현재, 전체 회원국 중 AI 규제샌드박스가 실제로 가동되고 종료된 국가는 스페인 1개국에 불과하다. 리투아니아 등 5개 회원국이 적극적으로 이행 중이고, 독일 등 4개국이 이행 의사를 표명하였으며, 나머지 16개국은 구체적인 계획을 공표하지 않은 것으로 파악된다.41)
스페인은 EU 회원국 중 유일하게 AI 규제샌드박스 프로세스를 완료하고 규제학습 성과를 공식적으로 환류시킨 국가이다. 스페인은 2023년 왕령(Royal Decree 817/2023)을 통해 AI 규제샌드박스의 법적 기반을 마련하고,42) 신설된 AI 감독청(AESIA)과 개인정보 감독당국(AEPD)의 협력하에 12개 고위험 AI 프로젝트(의료·고용·생체인식·핵심인프라 등 6개 분야)를 대상으로 파일럿 프로그램43)을 운영하였다.44) 그 결과물로 2025년 12월 위험관리·데이터 거버넌스·투명성·사이버보안 등 16개 실무 가이드라인(Guide 1∼16)이 발간되었다.45)
스페인 사례가 다른 회원국 또는 관할권에 주는 시사점은 다음의 세 가지이다. 첫째, 샌드박스 파일럿을 EU 인공지능법의 입법 과정이 완료되기 전(2022년)부터 선제적으로 운영하여, 법 시행 시점에 이미 실무적 집행 기준을 확보하였다는 점이다. 둘째, 다양한 고위험 AI 분야를 의도적으로 포함하여 규제당국의 학습 효과를 극대화하였다는 점이다. 셋째, 스페인 인공지능 감독청(AESIA)과 개인정보 감독당국(AEPD)의 협력 모델을 통하여 다수의 규제기관 간 성공적인 거버넌스 모델을 보여주었다는 점이다.
리투아니아, 라트비아, 폴란드, 크로아티아, 핀란드와 같은 회원국은 AI 및 디지털화 분야에서 강점을 보이며 AI 규제샌드박스 지침 마련에 적극적으로 대응해 왔다. 핀테크, AI 및 디지털 분야에서 강점을 보인 리투아니아는 2024년 10월 인공지능법 시행을 앞당기기 위한 AI 규제샌드박스 구축 계획을 발표하고, 2025년 초 관련 규정을 개정하였다. 라트비아는 국가 AI 센터 산하에 샌드박스를 설치하기 위한 국내법을 2025년 통과시켰다. 폴란드는 2025년 2월 AI 규제샌드박스 설립 근거를 포함한 인공지능법 초안을 마련하였고, 크로아티아와 핀란드 AI 규제샌드박스 시행을 위한 인공지능법안을 마련중이다.46)
헝가리는 AI 규제샌드박스를 운영할 전담 AI 기구 설립 계획을 밝혔고, 룩셈부르크·네덜란드·체코도 AI 규제샌드박스 도입을 위한 구체적 계획을 수립하였다. 한편, 오스트리아·벨기에·덴마크·프랑스·독일·이탈리아 등 16개 회원국은 아직 구체적인 도입 계획을 공표하지 않은 상태로, AI 이사회(AI Board) 산하 AI 규제샌드박스 실무그룹의 모범 사례 지침을 기다리며 자국의 규제 체계를 검토하는 단계에 있는 것으로 파악된다.47)
이상을 종합하면, AI 규제샌드박스 도입에 적극적인 9개국 중 7개국이 핀테크 샌드박스 운영 경험을 보유하고 있어, 기존 샌드박스 운영에서 축적된 설계 노하우가 AI 규제샌드박스 도입을 가속화하는 요인으로 작용하고 있다고 분석할 수 있다. 반면, 구체적인 계획을 발표하지 않은 16개국은 핀테크 샌드박스 운영 경험이 있는 국가(오스트리아, 키프로스, 덴마크, 아일랜드, 이탈리아, 몰타, 포르투갈, 슬로바키아)와 그렇지 않은 국가(벨기에, 불가리아, 에스토니아, 프랑스, 독일, 루마니아, 슬로베니아, 스웨덴)로 균등하게 나뉜다. 이는 또한, 핀테크 경험만으로는 AI 규제샌드박스 도입이 담보되지 않으며, 규제 설계·전문 인력·예산 확보 등 다차원적인 과제가 수반된다는 것을 보여준다.48)
현재 EU 내 AI 규제샌드박스가 초기 단계에 머물러 있어, AI 규제샌드박스 설계 선택에 대한 의미 있는 비교 분석을 수행하기에는 아직 이르다. 따라서, 향후 시행법 최종안이 마련되고, 이를 토대로 EU 회원국의 샌드박스 운영이 본격화되면 추가적인 분석이 필요하다.
Datasphere Initiative(2025)의 조사에 따르면, 2025년 1월 기준 전 세계적으로 66개의 개인정보보호·AI 기술 관련 샌드박스가 운영·개발 중이며, 이 중 31개가 AI 혁신 촉진을 위해 설계된 것이다. 또한, 최소 44개국이 국가 차원의 샌드박스를 시행·개발 중이고, 23개국이 AI 전용 샌드박스를 운영하거나 계획하고 있어, AI 규제샌드박스의 도입이 글로벌 추세로 자리잡고 있음을 알 수 있다.49)
그러나, AI 규제샌드박스는 해당 국가의 AI 규제법 존재 유무 및 규제 철학에 따라 제도 설계가 근본적으로 달라진다. 이하에서는 EU의 대화형 모델과 비교할 수 있는 싱가포르와 미국 모델을 중심으로 살펴보도록 하겠다.
싱가포르는 AI 규제법이 없는 상황에서, 정보통신미디어개발청(IMDA)이 AI 거버넌스의 주요 기관으로, 2019년 ‘생성형 AI를 위한 모델 AI 거버넌스 프레임워크’를 발표한 이래 데이터·프라이버시 등 분야에서 샌드박스를 운영해 왔다. 이 중, 2024년 출범시킨 ‘생성형 AI 평가 샌드박스(Gen AI Evaluation Sandbox)’는 IMDA와 산하 AI Verify Foundation이 공동 기획한 것으로, 생성형 AI 제품의 안전성·신뢰성에 관한 표준화된 평가 기준을 마련하기 위한 실험이다.50) 이와 같이 AI 규제법이 없는 싱가포르에서의 샌드박스 모델은 규제 준수 지원보다는, 혁신적인 AI 기술 테스트 인프라의 성격(기술 테스트형)을 가진다는 점에서 EU 모델과 구별된다.51)
미국은 연방 차원의 포괄적인 AI 법이 부재한 가운데, 주(州) 차원에서 유타주가 2025년 “Artificial Intelligence Policy Act”를 통과시켜, 미국 최초의 AI 규제샌드박스를 도입하였다. 한편, 연방 차원에서는 2025년 9월, 백악관 과학기술정책실(OSTP) 산하에 연방 차원의 AI 샌드박스를 신설하도록 하는 “샌드박스 법안(SANDBOX Act)”이 발의되었는데, 이는 최장 10년간 연방 규정의 면제를 허용하고 불필요한 규정의 개정·폐지를 의회에 권고52)하도록 하고 있어 ‘규제면제형’ 모델로 분류할 수 있다.
III. 한국의 AI 규제샌드박스 제도의 문제점과 법제 정비 방향
한국의 규제샌드박스 제도는 2018년 “행정규제기본법”의 개정을 통해 일반적인 근거를 마련하고, ‘정보통신융합법·산업융합촉진법·금융혁신법·지역특구법 등’ 4개 분야의 개별법이 분야별 운영을 구체화하도록 정비되면서 제도적 틀을 갖추었다. 이들을 통칭하여 ‘규제혁신 5법’이라 하며, 2019년 1월부터 순차적으로 시행되었다. 이후 ‘스마트도시법·연구개발특구법·모빌리티혁신법·순환경제사회법’ 추가되어 현재 8개의 규제샌드박스 트랙으로 확대·운영되고 있다.53)
한국의 규제샌드박스는 규제 완화 방식에 따라 크게 두 가지 유형으로 구분할 수 있다. 하나는 행정기관이 혁신적 사업에 적용되는 규제를 직접 면제하는 ‘규제특례제도(임시허가·실증특례)’이고, 다른 하나는 규제의 적용 여부가 불분명한 경우 행정기관에 신속한 확인 의무를 부과하여, 기한 내 확인이 없으면 규제가 존재하지 않는 것으로 간주하는 ‘비규제의제제도(규제신속확인)’이다.54)
이 중 한국형 규제샌드박스라 할 수 있는 것이 ‘실증특례’이다.55) 실증특례는 새로운 기술·서비스 기반 사업에 대하여, ① 허가의 근거 법령에 기준·규격·요건이 부재하거나, ② 기존 기준의 적용이 부적합하거나, ③ 다른 법령에 의하여 허가 신청 자체가 곤란한 경우에 관련 규제를 한시적으로 면제하는 제도이다.56) 임시허가가 해당 허가 근거 법령 내 규제만을 대상으로 하는 것과 달리, 실증특례는 타 법령 등에 의해 허가 등이 불가능한 경우까지 해소할 수 있어 보다 포괄적인 특례의 역할을 한다.57) 따라서, 실증특례를 통해 사업자는 新사업의 시장성을 검증하고 제품·서비스를 개선해 나갈 수 있으며, 정부는 실증 과정에서 확보된 데이터에 기초하여 해당 사업에 적합한 규제를 마련할 수 있다. 이에 따라, 실증특례는 사업자에게 실증 결과의 보고 의무를, 관계 행정기관에게는 그 결과에 기초한 법령 정비 의무를 각각 부과하여 양자를 제도적으로 연동하고 있다.58)
그러나 상기 ‘사업자의 보고 의무와 행정기관의 법령 정비 의무의 연동’이라는 실증특례의 제도적 설계가 현실에서 실제로 작동하고 있는지에는 의문이 든다. 2024년 말 기준 전체 규제샌드박스 누적 승인 과제 중, 법령 개정이나 유권해석 등을 통해 실질적인 규제 개선으로 이어진 사례는 22%에 불과하고, 법령 개정에까지 도달한 건수는 17%에 불과하다.59) 특히 실증특례의 경우 테스트 종료 후 그 결과에 대한 체계적 평가가 수반되지 않아, 실증 성과가 제도 정비로 환류되는 비율이 낮다는 점이 지속적으로 지적되고 있다.60) 실증특례와 임시허가가 전체 규제샌드박스의 약 95%를 차지하면서도 규제환류 실적이 미흡하다는 사실은, 한국 규제샌드박스가 ‘규제면제’에는 편중되어 있으나 ‘규제학습’의 기능은 구조적으로 결여되어 있음을 보여준다.
우리나라는 2025년 인공지능기본법을 제정하여 고영향 AI 등에 대한 규제 의무를 부과하였으나, AI에 특화된 샌드박스 규정은 마련하지 않았다. 동 법 제19조제3항은 정보통신융합법상 임시허가(제37조) 및 실증특례(제38조의2)가 AI 융합 제품·서비스에 대하여 원활히 시행될 수 있도록 정부가 적극 지원하여야 한다고 규정하는 데 그치고 있다.61)
이 조항은 다음의 다섯 가지 측면에서 AI 규제샌드박스로서의 한계를 내포하고 있다.
첫째, AI 규제샌드박스 관련 독립된 법적 근거나 정의 규정이 부재하다. 현행법이 독자적인 AI 규제샌드박스 규정을 두고 있지 아니하고, 기존 실증특례제도를 준용하는 ‘간접위임 구조’ 하에서는 AI 고유의 특수성을 반영한 샌드박스제도의 설계가 곤란하다.62) 이는 EU가 AI 규제샌드박스를 독립된 장(chapter)으로 두고 법적 정의까지 부여한 것과 근본적으로 대비된다. 또한, 독립된 법적 근거가 부재한 결과, EU의 샌드박스 계획이나 종료보고서에 상응하는 체계적인 운영 절차 역시 마련되어 있지 않다.
둘째, AI에 특화된 규제 의무를 기존 실증특례의 틀로 수용하기 어렵다는 제도적 부정합의 문제이다. 정보통신융합법상 실증특례는 인허가 규제의 한시적 면제를 본질로 한다. 그러나 인공지능기본법이 새로이 부과하는 고영향 AI 확인·사업자 책무, 투명성·안전성 의무 등은 인허가가 아닌 피규제자인 사업자의 일반적 행위 의무에 해당하므로, 기존 실증특례의 틀로는 이러한 의무에 관한 규제 준수 지원 수요를 포섭할 수 없다. 또한, 현행 임시허가 및 실증특례의 신청 요건은 ‘허가등의 근거가 되는 법령’을 전제한다. 예를 들어, AI 학습 데이터 내에 존재하는 개인정보를 처리하기 위해서는, 개인정보 보호법에 따른 동의와 같은 적법한 처리 근거를 확보하여야 한다(제15조). 그러나 이러한 개인정보의 적법처리 근거 규정은 ‘허가’가 아닌 ‘의무’에 해당한다. 따라서 이러한 경우에는 해석상 실증특례의 적용이 곤란하다.63)
셋째, 아직 규제 집행의 선례가 축적되어 있지 않은 상황에서, 이를 보완할 규제학습의 제도적 기반이 마련되어 있지 않다. 우리나라의 인공지능기본법은 2026년 1월 시행되었고, 하위법령·가이드라인도 공표되어 규범적 틀은 마련되었으나, 법 시행 초기임을 고려할 때 현재까지 규제당국이 규제를 구체적 사안에 적용·집행한 사례는 없다. 또한 정부는 인공지능기본법이 규제보다는 진흥에 더 방점을 두고 있다고 강조하며, 향후 1년 이상은 규제를 유예할 것임을 시사했다.64) 따라서 규제기관은 앞으로도 상당기간 인공지능기본법상 실무적 집행 경험을 축적하기 어려울 것으로 예상된다. 한편, 사업자는 고영향 AI·생성형 AI 등 한 번도 이행해 본 적 없는 새로운 규제의무를 해석하고, 내부적으로 준수를 준비하는 데 어려움을 겪고 있다.65) 이러한 상황에서 필요한 것은 피규제자인 사업자와 규제자인 관할당국이 AI 시스템에 특화된 고유의 위험을 고려하여, 규제 준수 방법을 같이 모색하는 상호 학습의 과정이다. 그러나, 인허가 면제를 본질로 하는 현행 실증특례에는 이러한 규제학습을 수행할 수 있는 제도적 장치가 마련되어 있지 않다.
넷째, 샌드박스 내 개인정보 처리를 위한 특례 규정의 부재이다. AI시스템이 학습하는 데이터의 편향성을 식별·제거·완화하기 위해서는, AI 시스템에 편향성을 심어주는 성별·인종·정치적 성향과 같은 민감정보를 처리할 수 있도록 하여야 한다. 그러나, 인공지능기본법 및 개인정보 보호법 어디에도 AI 시스템의 편향성 식별·제거·완화 조치를 위한 민감정보 처리 특례 규정이 마련되어 있지 않다. 우리나라의 혁신적인 AI 제품 또는 서비스가 상용화 이후, 개인정보 보호법이나 기타 다른 법령의 규제에 직면할 수 있다는 점을 감안할 때, 시장 진입 전에 규제 충족 여부를 선제적으로 테스트할 필요가 있다. 이 과정에서 민감정보가 포함된 실제 학습 데이터가 활용되지 않는다면, 샌드박스는 그 본질적인 목적을 상실할 수밖에 없다. 제II장에서 검토한 바와 같이, EU는 인공지능법 제59조를 통해 샌드박스 내 개인정보 추가처리 특례를 명문화하는 방식으로 이 문제를 풀어나가고 있다.66)
다섯째, AI 규제샌드박스 관련 규제기관 간 거버넌스를 조정할 컨트롤타워가 부재하다. 인공지능과 개인정보는 불가분의 관계에 있음에도, 이들 각각의 소관부처인 과학기술정보통신부와 개인정보보호위원회 간의 역할 분담이 법률로써 정립되어 있지 않다. 또한, 금융위원회·방송미디어통신위원회·보건복지부 등 분야별 소관부처 간 권한을 조정하고 협력을 도모할 컨트롤타워가 확립되어 있지 않다.67) 예컨대, 동일한 여객자동차 플랫폼 서비스가 과학기술정보통신부 소관인 ‘ICT융합 샌드박스’와 산업통상자원부 소관인 ‘산업융합 샌드박스’에서 각각 승인받은 사례는 규제샌드박스가 부처별로 분산되어 중복 심사가 이루어진 대표적인 경우이다.68) 더욱이 AI 기술은 특정 산업에 국한되지 않는 범용적 기술이므로, 이러한 파편화된 거버넌스의 문제는 AI 규제샌드박스에서 한층 심화될 수밖에 없다.
앞서 살펴본 바와 같이, 세계 각국에서 다양한 형태의 AI 규제샌드박스가 도입되고 있는 상황에서, 우리나라가 어떤 모델을 택할 것인지에 대한 검토가 선행되어야 한다. AI 규제샌드박스의 설계방향은 해당 국가의 기존 AI 규제 체계 및 환경에 따라 달라지기 때문이다.
미국이 연방 차원에서 규제면제형 모델을 제안할 수 있는 것은, 포괄적인 AI 연방 규제법이 없기 때문이다. EU나 한국처럼 법률로써 AI 사업자에게 투명성·안전성·영향평가 등의 의무를 부과하는 규제 체계가 없는 상황에서, 미국의 AI 규제샌드박스는 기존 연방 규정의 면제를 통해 혁신을 촉진하는 데 초점을 맞출 수밖에 없다. 싱가포르 역시 법적 구속력이 있는 AI 규제법을 제정하지 않고 있으므로, 규제 준수 지원의 목적으로 샌드박스를 설계할 실익이 크지 않다. 따라서 싱가포르는 규제 혁신 기술 테스트를 지원하고 국제 표준을 선도하고자 하는 접근법을 취한다. 반면, EU와 한국은 포괄적인 AI 규제법에 따라 위험도별 차등적인 규제 의무를 부과하고 있으므로, 규제면제형(미국) 또는 기술 테스트형(싱가포르) 모델을 차용하기보다는, EU처럼 규제학습과 규제대화를 본질로 하는 ‘규제대화형 모델’을 기본 프레임워크로 삼는 것이 바람직하다고 생각한다.
다만, EU의 제도를 그대로 이식할 필요는 없고, 한국 고유의 제도적 환경에 맞게 적용하여야 한다. 한국은 이미 실증특례 운영 경험을 보유하고 있으므로, 기존의 실증특례제도와 AI에 특화된 규제샌드박스제도를 병행하여 운영하는 것이 필요하다.
요컨대, 한국형 AI 규제샌드박스 도입을 위한 법제 정비 방향은, 인공지능기본법 개정을 통하여 규제 준수 지원을 위한 ‘규제대화형’ 샌드박스 규정을 신설하되, 기존의 혁신적인 AI 사업들의 인허가 면제를 본질로 하는 실증특례와 병행할 수 있도록 ‘이원적 구조’를 취하는 것을 제안한다.
앞서 검토한 기존 규제특례의 한계와 인공지능기본법 시행 초기 단계의 규제 경험 및 역량 부족 문제를 해결하기 위하여, 인공지능기본법 내에 독립된 AI 규제샌드박스 조항을 신설할 필요가 있다.69) 인공지능기본법이 AI 분야의 입법 목적과 정책 방향, 제도적 기본 골격을 설정하는 위상을 가지는 이상 AI 규제샌드박스의 목적, 정의, 적용 범위, 운영 절차70) 등 핵심 사항은 기본법 차원에서 규정되어야 한다.
이를 통해 ‘허가등의 근거가 되는 법령’이 전제가 되는 AI 제품·서비스에 대해서는 기존의 실증특례를 유지함으로써 인허가 규제의 한시적 면제를 제공하고, 인공지능기본법상 규제가 부과되는 AI 시스템에 대해서는 AI 규제샌드박스를 통하여 사업자의 법규 이행을 지원하며, 그 운영 결과를 토대로 실무적인 가이드라인 등을 마련하여야 한다. 이를 통해, 불합리한 법제도를 개선하는 규제환류 경로를 동시에 확보할 수 있다. 나아가 이러한 한국형 AI 규제샌드박스 제도는 ‘규제면제’에 중점을 둔 EU 모델과 달리 ‘규제면제’와 ‘규제학습’을 동시에 도모한다는 점에서 EU와 차별적인 효과를 기대할 수 있다.
AI 3대 강국 진입을 목표로 하는 한국의 상황에서는, 혁신적인 AI 기업이 우선적으로 기존 규제와의 충돌 여부를 사전에 검증할 수 있도록 고려되어야 한다. 이를 위해서, 혁신 AI 기술과 기존 기술·서비스와의 차별성 및 산업적 파급력, 기존 규제 체계로는 포섭하기 어려운 새로운 유형의 위험성 수반 여부, 인공지능기본법상 의무의 이행에 관하여 규제당국과의 상호 학습이 필요한 정도 등을 검토하여야 한다. 또한, 혁신 AI 기술을 보유하고 있는 기업의 규모(중소기업·스타트업 우선 선정), 사회적 안전 등 공익에 대한 기여도도 추가적으로 고려되어야 할 것이다.
AI 규제샌드박스를 통한 규제학습의 결과가 법령·가이드라인 등의 규제 정비로 연계되는 강제적 환류 경로를 마련하여야 한다. 구체적으로는, EU처럼 샌드박스 참여 전 사업자와 규제기관 간에 합의된 샌드박스 계획 문서와 종료보고서의 기재 사항·공개 범위 등을 법령을 통해 의무화하여야 한다. 이러한 문서화 의무는 샌드박스 운영의 투명성을 담보하는 동시에, 규제환류로의 선순환을 위한 제도적 전제가 된다.
나아가, 규제당국의 법령 정비 의무 이행을 촉구하는 장치가 병행되어야 한다. 현행 규제샌드박스체계에서는 실증 결과에 대한 규제환류 조치가 법적으로 의무화되어 있지 않아, 실증 종료 후 법제도 개선이 규제당국의 의지와 재량에 좌우된다는 문제가 있다. 따라서, 미국 연방 SANDBOX Act(안)이 제안하는 것처럼 샌드박스 운영 결과와 법령 정비 필요 사항을 국회에 매년 정기적으로 보고하거나, 소관부처가 규제개혁위원회에 심사를 요청하여 관계부처의 법령 정비를 촉구할 수 있는 절차적 경로를 법률에 명시하는 방안71)을 검토할 필요가 있다.
샌드박스 선정에 있어서는 고영향 AI, 생성형 AI 등 인공지능기본법상 규제 의무 대상자를 우선적으로 고려하되, 스타트업과 중소기업에 대한 ‘우선 접근권’을 제도적으로 보장하여야 한다. 전술한 바와 같이, EU는 Digital Omnibus on AI를 통해 샌드박스 혜택의 범위를 소형 중견기업으로까지 확대하였는데, 이는 AI 규제샌드박스가 규제 대응 역량과 자원을 갖춘 대기업 중심으로 편중되지 않고, 중소규모의 혁신기업들에게 혜택이 돌아가도록 하기 위한 조치이다. 인공지능기본법상 의무 이행에 관한 규제 불확실성이 대기업보다는 중소기업·스타트업에 더 큰 부담으로 작용한다는 점을 고려하면, 이들 기업에 대한 샌드박스 참여 접근성의 보장은 제도 설계의 필수적 요소라고 생각한다.
EU가 참가자의 성실한 샌드박스 계획 준수를 전제로, 샌드박스 기간 중 인지된 법 위반에 대하여 과징금을 부과하지 않고 있다는 점을 참조하여, 우리나라도 샌드박스 기간 중 ‘사실조사의 유예’ 또는 ‘과태료·과징금의 감면 등’을 검토할 필요가 있다. 나아가, 인공지능기본법상 검·인증 제도(제30조)와의 연계도 고려할 만하다. 특히, 고영향 AI에 대하여 샌드박스 결과를 검·인증등에 활용할 수 있도록 제도적 경로를 마련하면, 고영향 AI 사업자는 ‘샌드박스 참여 → 검·인증등 취득 용이(제30조제3항) → 공공조달에서의 시장 접근 이점(제30조제4항)’이라는 간접적 실익을 확보할 수 있다.
샌드박스 내에서 안전하고 신뢰할 수 있는 AI 시스템의 개발·구축을 테스트하기 위해서는 개인정보의 처리가 필수적이다. 그러나 현행 인공지능기본법 및 개인정보보호법은 AI 규제샌드박스에 특화된 개인정보 처리 특례 규정을 두고 있지 아니하므로, 이러한 입법적 공백을 해소하기 위하여 인공지능기본법상 ‘AI 규제샌드박스 개인정보 처리 특례조항’을 신설하여야 한다.
EU 역시 샌드박스 내 개인정보 특례 규정을 두고 이 문제를 해결하고 있으나, EU는 그 적용 대상을 ‘범죄 예방·공중보건·환경보호 등 공익 목적’으로 제한하고 있어, 상업적 혁신 목적의 AI 개발에까지 활용되기 어렵다는 한계가 있다. 또한 특례 요건을 엄격하게 두고 있어 특례 자체가 개인정보 재사용의 실질적 장벽으로 기능할 수 있다는 비판도 있다.
한국은 이러한 우려를 고려하여, 사업자가 실질적으로 샌드박스 내에서 개인정보를 처리할 수 있도록 설계하여야 한다. 이와 관련해서는 개인정보보호법의 ‘양립성 테스트(compatibility test)’라는 기존 법리를 활용할 것을 제안한다. 구체적으로는, 동 법 제15조제3항72) 및 제17조제4항73)이 규정하는 ‘당초 개인정보 수집 목적과의 양립성 판단 기준’을 샌드박스 맥락에서 구체화하는 방안이다. 이를 위해, 개인정보 규제당국인 개인정보보호위원회는 AI 학습 데이터 활용을 목적으로 한 개인정보의 재사용에 관하여, 구체적인 양립성 테스트 기준을 마련하고 적극적으로 운용하여야 한다.74) 구체적으로는, 샌드박스 테스트 과정에서 AI 시스템의 편향 검출·안전성 검증 등 학습 데이터 품질 관리를 목적으로 개인정보를 재사용하는 경우, 이를 당초 수집 목적과 양립 가능한 것으로 해석할 수 있는 판단 기준을 정립하여야 한다. 즉, 개인정보 보호법상 ‘양립성 원칙’이 추상적 법문의 해석 가능성에 머무르지 않도록, 개인정보 규제기관의 적극적 개입을 통해 샌드박스라는 통제된 환경에서 개인정보를 합법적으로 활용할 수 있도록 판단 기준을 실질화하여야 한다. 또한, 이러한 기준이 기업 현장에서 실질적으로 적용될 수 있도록 가이드라인·템플릿(양식) 등의 형태로 구체화되어야 한다.
이 경우, 반드시 EU와 같이 공익 목적의 AI 시스템에 한정하여 개인정보 재사용을 허용할 필요는 없다. EU가 공익 목적에 중점을 둔 것은 기본권 보호를 최우선시하는 EU 고유의 규제 철학에 기인하는 것으로, 우리나라는 샌드박스 제도의 실효성 확보를 위해서 보다 포괄적인 기준으로 샌드박스에서의 개인정보 재사용을 허용하는 특례 규정을 마련할 필요가 있다.
AI 규제샌드박스가 효율적으로 기능하기 위해서는, 이를 운영·조정할 거버넌스 체계의 정밀한 설계가 수반되어야 한다. AI 시스템은 그 특성상 복수의 규제 영역에 걸쳐 작동하므로, 단일 부처의 소관만으로는 샌드박스 제도를 효과적으로 운영하기 어렵다.75)
한국의 경우, 과학기술정보통신부가 인공지능기본법의 소관부처로서 샌드박스의 주관기관이 되는 것이 자연스러우나 이것만으로는 충분하지 않다. AI 시스템은 개인정보 처리, 안전 규제, 소비자 보호 등 다수의 규제 영역이 관련되므로, 관계 당국의 참여와 감독이 수반된다. 따라서, 복수의 규제기관 간 입장을 조율하고 샌드박스의 일관된 운영 및 성과 축적을 위해서는 이를 총괄하는 컨트롤타워가 필요하다. 이와 관련, 현행 규제샌드박스 체계에서 총괄·조정 기능을 수행하고 있는 국무조정실이 이 역할을 담당하는 것이 기존 거버넌스와의 정합성 측면에서 가장 합리적인 선택지라고 생각한다.76)
이 컨트롤타워에는 기존 실증특례와 새로이 도입될 AI 규제샌드박스 간의 정합성을 조율하는 기능이 핵심적으로 부여되어야 한다. 이러한 이원적 운영 구조가 효과적으로 작동하려면, 특정 AI 사업이 실증특례와 AI 규제샌드박스 중 어느 트랙에 적합한지를 사전에 분류하는 기준과, 양 트랙 간 중복 심사를 방지하기 위한 기준이 함께 마련되어야 한다. 또한, 샌드박스 컨트롤타워는 양 트랙의 운영 성과를 통합 관리하고, 이를 법령 정비와 가이드라인 개선 등으로 환류하는 허브 기능을 수행하여야 한다.
AI 규제샌드박스의 효율적인 운영을 위해서는 법적·기술적 전문성을 갖춘 인력의 확충과 안정적 예산의 확보가 필수적이다. AI 규제샌드박스는 기술적 역량뿐 아니라 기본권·윤리·법적 판단 역량을 동시에 요구하므로, 이러한 규제 자원의 적정한 배분이 제도 설계의 핵심 과제가 된다.77) 따라서, 기존 과학기술정보통신부의 AI 담당 공무원 일부를 활용하거나 제한된 예산만으로는 AI 규제샌드박스의 목적을 달성하기가 사실상 불가능하다.
나아가, 규제당국이 모든 기술적 역량을 자체적으로 확보할 수는 없으므로, 이러한 관점에서는 EU가 샌드박스 관할당국이 직접 기술 테스트를 수행하기보다는 외부 기관(TEF, EDIH 등)과 협력하는 모델을 검토할 필요가 있다. 우리나라에서도 한국지능정보사회진흥원(NIA), AI안전연구소(AISI), 한국인터넷진흥원(KISA) 등 분야별 전문기관과의 협력 체계를 구축하고, 규제자유특구, AI 실증 테스트베드, 데이터센터 등 이미 구축된 물리적 인프라와 연계하는 방안이 검토되어야 한다.78) 이를 통해, 기존 AI 생태계에 이미 투입된 예산·인프라·전문성을 중복 투자 없이 활용할 수 있다는 실익도 기대할 수 있다.
IV. 결 론
본 연구는 EU 인공지능법과 시행법 초안을 통해 EU AI 규제샌드박스의 법적 근거, 규범적 성격, 운영 절차를 검토하고, Digital Omnibus on AI의 샌드박스 조항 개정안과 EU 회원국의 운영 현황을 분석하였다. 이를 비교 준거로 삼아 한국의 기존 규제샌드박스 제도의 구조적 한계를 검토하고, 한국형 AI 규제샌드박스 도입을 위한 법제 정비 방향을 제시하였다. 본 연구의 주요 논의를 종합하면 다음과 같다.
첫째, EU 인공지능법상 AI 규제샌드박스의 규범적 본질은 ‘규제면제’가 아닌 ‘규제대화’에 있다. EU는 위험도에 따른 차등적 규제 의무를 부과하면서, 그 복잡한 법규의 준수를 지원하기 위한 제도적 장치로서 AI 규제샌드박스를 설계하였다. 동 제도는 법의 적용 자체를 면제하지 않으면서 성실한 참가자에 대해 과징금을 면제하고, 샌드박스 계획과 종료보고서를 통한 규제학습 환류의 선순환을 지향한다. 이러한 ‘규제대화형’ 설계는 포괄적 AI 규제법을 보유한 법제에서 비로소 의미를 가지며, AI 규제법이 부재한 미국의 규제면제형 모델이나 싱가포르의 기술 테스트형 모델과 구별된다.
둘째, 한국은 EU 인공지능법의 위험기반 규제 모델을 수용한 포괄적인 AI법을 제정하였음에도, 그 규제 의무의 이행을 지원하는 핵심 장치인 AI 규제샌드박스에 대해서는 독립된 법적 근거를 마련하지 않았다. 현행 실증특례는 인허가 규제의 한시적 면제를 본질적 기능으로 하는바, 인공지능기본법이 고영향 AI·생성형 AI 등에 대하여 새로이 부과하는 규제 의무의 이행까지 포섭할 수 없다는 한계가 있다. 또한, 법 시행 초기 단계에서는 규제당국과 사업자 모두 규제의 구체적 이행 방법에 관한 실무적 경험이 부족한 상황임에도, 이를 보완할 규제학습의 제도적 기반이 갖추어져 있지 않다. 아울러, 샌드박스 내 개인정보 처리를 위한 특례 규정의 부재, 부처별로 분산된 거버넌스 체계, 실증 성과가 법제도 개선으로 환류되지 못하는 구조적 한계를 확인하였다.
셋째, 이상의 검토에 기초하여, 본 연구는 인공지능기본법 내에 독립된 AI 규제샌드박스 조항을 신설하되, EU AI 샌드박스가 목표로 하는 규제대화 및 규제학습의 입법 취지를 반영하고, 세부적인 운영 요건과 절차를 참고하면서도 한국의 규제환경에 맞추어 변용할 것을 주장하였다.
구체적인 입법 방안으로 다음의 여섯 가지를 제안한다. ① 기존 실증특례는 유지하되 인공지능기본법상 AI 규제샌드박스 조항을 신설하여, 양 제도가 상호 보완하는 ‘이원적 운영 구조’를 정립한다. ② 샌드박스 선정에 있어 AI 기술의 혁신성을 우선적으로 고려하되 공익성·규제학습 필요성·규제환류 확장 가능성 등을 복합적으로 반영하는 한국형 기준을 마련한다. ③ 개인정보 보호법상 양립성 원칙을 샌드박스 맥락에서 실질화하여 공익 목적에 한정하는 EU와 달리 상업적 혁신 목적의 AI 개발까지 포괄하는 개인정보 처리 특례 규정을 신설한다. ④ 샌드박스 계획 및 종료보고서를 법률로 의무화하고, 이를 국회 정례 보고 및 규제심사와의 연계 등을 통해 강행적 규제환류 경로를 확보한다. ⑤ 실증특례와 AI 규제샌드박스 양 트랙의 정합성을 조율하는 컨트롤타워를 지정한다. ⑥ 기존 AI 인프라 생태계와의 연계를 통해 규제기관의 역량 한계를 보완한다.
우리나라와 같이 포괄적 AI 규제법을 보유한 국가에서 규제 의무만 부과하고 그 준수를 지원하는 제도적 장치를 갖추지 않는다면, 사업자는 복잡한 규제의 해석과 이행에 독자적으로 직면할 수밖에 없고, 규제당국 역시 구체적 사안에의 적용 경험을 축적하기 어렵다. 따라서 인공지능기본법의 개정과 전담기구의 지정이라는 법제도적 개선을 통해 ‘한국형 AI 규제샌드박스제도’를 시급히 도입하고 안착시키는 것이 중요하다.
다만, 본 연구의 한계와 향후 과제도 남아 있다. 첫째, Digital Omnibus on AI는 현재 EU 의회와 이사회 간 3자 협상(trilogue)이 진행 중이며, 시행법 최종안 역시 미발표 상태이므로, 이들 입법이 확정된 이후 후속 검토가 필요하다. 둘째, 본 연구는 EU 회원국의 운영사례를 검토하였으나, 실질적으로 샌드박스 운영을 종료한 국가는 스페인 하나에 불과하여, 향후 타 회원국들의 샌드박스 운영 실적이 본격적으로 축적되는 시점에서 보다 체계적인 비교 연구가 요청된다.
