유럽 연합의 AI 법안 시행! 구글 클라우드는 고객을 위해 어떤 지원을 하는가?
Jeanette Manfra
Senior Director, Global Risk & Compliance, Google Cloud
* 해당 블로그의 원문은 2024년 7월 16일 Google Cloud 블로그(영문)에 게재되었습니다.
유럽 연합의 AI 법안(AI Act)이 8월 1일부터 시행됩니다. 이 법안은 AI 시스템의 잠재적 위험과 영향 수준에 따라 의무를 규정하는 법적 프레임워크입니다. 이 법은 앞으로 36개월 동안 단계적으로 시행되며 특정 행위 금지, 일반적인 AI 규칙 및 고위험 시스템에 대한 의무를 포함하고 있습니다. 그리고 아직 구체적인 내용은 확정되지 않았지만 'AI 실천 강령(AI Code of Practice)'은 일반적인 AI의 일부 하위 집합에 대한 규범 준수 요구 사항이 포함된다는 것입니다.
구글은 AI가 사회에 가져올 기회를 믿습니다. 더불어 위험 완화의 중요성도 인지하고 있습니다. 이번 EU의 AI 법 시행 관련해 구글이 고객에게 어떤 지원을 준비하고 있는지 알아보겠습니다. 주요 내용은 다음과 같습니다.
- 현재 구글은 어떻게 AI 고객을 지원하고 있는가?
-
새로운 법을 준수하기 위해 어떤 준비를 하고 있는가?
-
고객이 새로운 법에 대응할 수 있도록 어떻게 지원할 것인가?
구글 클라우드가 AI 고객을 지원하는 방법
데이터 보호
구글 클라우드는 클라우드 아키텍처에 프라이버시 보호 기능을 구축하는 데 전념하고 있습니다. 구글 클라우드는 데이터 사용에 대한 명확한 공개와 약속을 통해 고객 데이터에 대한 접근을 투명하게 제공합니다. 또한, 오랫동안 GDPR 규제를 준수하고 있으며, 생성형 AI에서도 이 약속을 지키고 있습니다. 구글 클라우드는 고객 허락 없이 제공된 데이터를 모델 학습에 사용하지 않습니다.
Importantly, organizations control how their data is accessed, used, and processed, as articulated in the Google Cloud Platform Terms of Service and Cloud Data Processing Addendum. We also give customers visibility into who can access their data and why.
데이터 관리와 접근 제어
구글 클라우드가 제공하는 생성형 AI 관련 기능과 서비스는 기업 고객의 데이터를 고객 클라우드 환경에 안전하게 보관합니다. 고객은 구글 클라우드 플랫폼의 서비스 약관과 데이터 처리 부록에 명시된 대로 데이터 접근, 사용, 처리 방식을 제어할 수 있습니다. 또한, 구글 클라우드는 고객에게 데이터에 누가 접근할 수 있는지와 그 이유를 명확하게 보여줍니다.
파운데이션 모델 조정
고객은 특정 작업을 위해 파운데이션 모델을 조정할 수 있습니다. 이 과정에서 전체 파운데이션 모델을 다시 구축할 필요 없이 '어댑터 가중치(adapter weights)'라는 추가 파라미터가 생성됩니다. 이 어댑터 가중치는 특정 고객만 사용할 수 있습니다. 추론 과정에서 파운데이션 모델은 어댑터 가중치를 받아 요청을 처리하고 결과를 반환합니다. 고객은 훈련 중 생성된 어댑터 가중치를 고객이 관리하는 암호화 키(CMEK)를 사용해 관리할 수 있고, 언제든지 어댑터 가중치를 삭제할 수 있습니다.
포괄적인 위험 관리에 대한 투자
성공적으로 AI를 구축하려면 보안, 프라이버시 및 안전 기준을 준수하기 위한 철저한 평가가 필요합니다. 최근 Coalfire에서 실시한 AI 준비도 평가(AI Readiness Assessment)를 통해 구글 클라우드의 위험 관리 노력이 입증되었습니다.
구글 클라우드는 지속해서 포괄적인 AI 위험 평가에 투자하고 있으며, 진화하고 있는 AI 위험 연구, 사용자 피드백 및 레드팀 텍스트 결과를 통해 자주 위험 프로세스와 분류 체계를 자주 개선합니다. AI 사용의 기술적 세부 사항과 맥락은 제품마다 고유하여 별도의 평가가 필요합니다. 구글 클라우드와 고객은 AI를 안전하고 안정적으로 배포하기 위해 각자의 역할을 하며 협력해야 합니다. 구글 클라우드는 보안 기반 인프라를 제공하고, 규정 준수를 지원하고, 모델 교육 및 평가 도구를 제공하고, AI 보안 전문가 지원 등의 역할을 해야 합니다. 고객은 적절한 보안 제어 설정, 데이터 관리 및 개인정보 보호 구현, AI 모델 학습 및 평가, 구글 클라우드의 보안 권장 사항 준수 등의 역할을 해야 합니다.
AI 안전 및 책임 선도
구글 클라우드는 책임 있는 AI 개발을 위해 선도적인 역할을 하겠다는 의지가 확고합니다. 구글 클라우드는 오랜 역사를 가진 AI 원칙에 따라 지속해서 거버넌스 프로세스를 감독하고 있습니다. 또한, 해악을 야기하거나, 국제법과 인권을 위배하거나, 허용된 기준을 침해하는 감시를 가능하게 하는 기술은 개발하지 않기로 했습니다. 구글 클라우드는 이러한 가치를 구글 클라우드 플랫폼의 사용 정책과 생성형 AI 금지 사용 정책에 반영되어 있어 고객에게 투명하게 전달하고 있습니다.
투명성 지원
구글 클라우드는 AI의 장기적인 성공을 위해 신뢰 구축이 필수이며, 이는 투명성에 대한 헌신에서 시작된다고 굳게 믿고 있습니다. 또한, 구글 클라우드는 모델 카드 개념을 지원하는 선두 기업입니다. 이는 모델의 기능과 한계에 대한 이해를 제공하고, 고객과 연구원들이 생성형 AI 모델이 어떻게 훈련되고 테스트 되는지를 이해하는 데 도움이 됩니다.
이외에도 구글 클라우드는 'Approach to Trust in Artificial Intelligence' 논문을 통해 잠재적인 유해 영향을 식별, 평가, 완화하는 방법도 안내합니다. 구글 클라우드는 책임 있는 AI, 프라이버시, 악용 방지 같은 주제에 대한 최신 연구를 앞으로도 계속 공유할 것을 약속합니다.
보안, 저작권, 이동성 지원
구글 클라우드는 고객과 운명을 함께 한다는 믿음을 가지고 있으며, 책임 있는 AI 개발은 생태계 전체의 노력이 필요하다고 보고 있습니다. 구글 클라우드는 고객이 직면할 수 있는 보안, 저작권, 다른 서비스로 전환 관련 문제 해결을 지원합니다. 먼저 구글 클라우드는 고객이 생성형 AI를 사용할 때 저작권 문제없이 안심하고 사용할 수 있도록 지원합니다. 그리고 고객이 다른 클라우드 서비스로 쉽게 이전할 수 있도록 egress 요금을 부과하지 않습니다. 또한, 고객이 각 사용 사례와 배포에 맞게 자신의 위협 및 안전 태세를 조정할 수 있도록 책임 있는 AI 도구, 활성화 및 지원을 제공합니다.
한편, SAIF는 구글 클라우드 고객이 기존 보안 위험 및 제어의 관련성을 평가하고 이를 AI 시스템에 적용 또는 확장하는 방법을 탐색할 수 있도록 돕는 안전한 AI 프레임워크입니다. 이외에도 구글 클라우드는 AI 보안과 AI 거버넌스 같은 주제에 대한 지침과 모범 사례를 공유하여 AI 전략을 수립하려는 고객을 지원하고자 합니다.
구글 클라우드는 유럽 연합의 AI 법안을 위해 어떤 준비를 하고 있나?
구글 클라우드는 AI 법안 준수를 위해 고객에게 혁신적인 솔루션을 제공하면서 동시에 AI 법안의 요건을 충족하는 제품과 서비스를 제공하기 위해 노력하고 있습니다. 구글 클라우드의 이러한 노력은 다음과 같은 고객 내 여러 팀 간 협업을 통해 실질적인 법안 준수 활동으로 이어질 수 있습니다.
- 법률 및 정책팀: AI 법안의 요건을 철저히 분석하고 이를 기존 정책, 관행, 계약에 통합합니다.
-
위험 관리 및 준수팀: AI 법안 준수와 관련된 잠재적 위험을 평가하고 완화하여 견고한 프로세스를 보장합니다.
-
제품 및 엔지니어링팀: 투명성, 책임성, 공정성 원칙을 바탕으로 AI 시스템을 설계 및 구축하고 테스트, 모니터링, 문서화에 대한 AI 법안의 요건을 따르는 가운데 사용자 경험을 지속해서 개선합니다.
-
고객 참여팀: 고객의 AI 법안 관련 요구 사항과 우려 사항을 이해하고 필요에 따라 지침과 지원을 제공합니다.
구글 클라우드 고객이 AI 법안을 준수하는 방법
유럽 연합의 AI 법안은 복잡한 법률로 유럽 연합 위원회와 AI 사무국에서 시행 방안에 대한 논의가 아직 진행 중입니다. AI 사무국이 지속해서 활동하고 있고, 시행 지침도 계속 발전하고 있습니다. 따라서 AI 법안 요건과 해당 요건이 현재나 미래 AI 활동에 어떻게 적용될 것인지 미리 숙지하는 것이 중요합니다.
AI 법안 준수를 위해 구글 클라우드가 고객에게 권장하는 사항은 다음과 같습니다.
- 실천 강령 및 AI 사무국 포럼의 발전 상황을 따르세요: 향후 몇 달 동안 일반 목적 AI(GPAI) 모델의 준수 기준을 결정하기 위한 논의가 계속될 것입니다. 조직이 GPAI를 어떻게 사용하고 있는지 그리고 준수 의무가 어디에 있는지 이해해야 합니다.
-
유럽 규제 당국 및 업계 협회와 소통하세요: AI 법안이 국제적인 모범 사례와 실제 사용 사례를 염두에 두고 시행된다면 유럽의 경쟁력, 생산성, 혁신 기회를 촉진하는 데 도움이 될 수 있습니다. 조직이 AI를 어떻게 사용하고 있는지 그리고 미래 비즈니스에 AI가 가져올 가치와 이익에 대한 아이디어를 업계 협회 및 유럽 연합 규제 기관과 공유하십시오.
-
AI 거버넌스 관행을 검토하세요: AI 법안은 AI 감독에 대한 여러 가지 요건을 설정합니다. 조직의 거버넌스 관행을 검토하여 법안의 요구 사항을 충족하는지 확인해야 합니다. AI 시스템과 데이터 거버넌스 프로그램 전반의 위험 수준을 평가하는 것이 유용할 수 있습니다. 이를 통해 설명 가능한 투명성 노력을 지원할 수 있습니다.
유럽 연합의 AI 법안은 AI 규제를 위한 프레임워크를 제공하자면, 여전히 지속적인 주의와 명확화가 필요한 영역이 있습니다. 구글 클라우드는 우려를 해결하고 AI의 혜택을 모두가 누릴 수 있도록 하면서 잠재적 위험을 줄이기 위해 열린 대화와 협력에 전념하고 있습니다.
구글 클라우드는 규제를 충족하는 첨단 AI 솔루션을 제공하기 위해 최선을 다할 것입니다. 구글 클라우드는 필요한 역량과 경험이 있습니다. 그리고 정책 기관 및 고객과 계속 협력하여 새로운 규제나 프레임워크, 표준의 등장에 대비할 것입니다.
