29일 보안업계에 따르면, 일부 국내 관제사는 고객사와의 계약(SLA 등)에 ‘오토플레이북(자동 대응) 옵션 사용 시 서비스 중단 등 부수 피해는 고객사 책임’이라는 취지의 문구를 검토하거나 반영하는 흐름을 보이고 있다.
업계에선 이를 두고 향후 문제가 발생하더라도 ‘고객이 자동화에 동의했으니 책임은 고객 측’이라는 논리를 확보하기 위한 사전 방어 장치라고 본다.
한 보안업체 관계자는 “AI가 실시간으로 차단 결정을 내리다 보니, 만약 정상 트래픽을 잘못 막아 서비스가 멈추면 책임 논란이 생길 수밖에 없다”며 “일부 관제 계약에서는 이런 상황을 대비해 ‘자동 차단으로 인한 부수 피해는 고객이 감수한다’는 취지의 조항을 검토하거나 반영하는 사례가 있다”고 말했다.
이러한 현상이 발생하는 이유는 관련 법·제도의 공백이다. AI 기반 관제에서는 야간·주말 시간대에 AI가 1차 판정과 차단을 자동 처리하는 경우가 늘고 있다. 그럼에도 AI가 잘못된 판단을 내렸을 때 책임이 관제사·AI 솔루션 개발사·서비스 이용 기업 중 누구에게 있는지 규정할 법률이나 지침은 사실상 없는 상태다.
정부 역시 관련 기준을 마련하지 못했다. 대형 해킹 사고 이후 민간 통신사 등 사업자에 대한 제재 방침은 잇달아 발표했지만, AI 오판으로 인한 서비스 중단·매출 피해 등에는 별도 규정이 없다. AI 판단 근거를 기록·보존하거나, 사고 발생 시 설명 책임을 부여하는 제도도 비어 있다. AI가 어떤 근거로 ‘위협’이라고 판단했는지 공개하도록 강제하는 조항도 현재로선 마련돼 있지 않다.
해외는 이미 계약 단계에서 책임 구분선을 명문화하고 있다. 미국은 주요 MDR·MXDR(관리형 보안관제) 서비스 약관에 “자동 대응으로 고객 서비스가 중단될 수 있으며, 그로 인한 운영 중단·매출 손실은 고객이 감수한다”는 문구를 포함시켰다.
유럽연합(EU)은 법적 책임 주체를 규정했다. NIS2(네트워크·정보보안지침)와 개정 제품책임지침(PLD)은 관리형 보안서비스 제공자와 AI·소프트웨어 공급자까지 규제·배상 범위에 포함했다. AI 오판으로 인한 피해가 발생하면 관제사나 솔루션 업체도 감독·배상 책임 당사자로 지목될 수 있는 구조다.
싱가포르는 보안관제서비스 자체를 정부 인허가 사업(라이선스)으로 지정했다. 라이선스를 받은 관제사가 사고를 일으키면 정부가 직접 조사와 제재를 진행한다.
전문가들은 AI 보안관제 확산 속도에 맞춰 ‘책임의 투명성’을 법제화해야 한다고 강조한다. AI가 어디까지 직접 개입할 수 있는지, 어떤 시스템에는 반드시 사람(온콜 엔지니어)의 확인 절차를 거쳐야 하는지를 명확히 해야 한다는 것이다.
정보통신정책연구원(KISDI)도 최근 보고서에서 “AI 보안관제의 오탐 문제는 향후 법적 분쟁의 핵심이 될 것”이라며“AI 의사결정의 설명 가능성과 책임 추적성을 확보하지 못하면 산업 전체의 신뢰가 흔들릴 수 있다”고 지적했다.
정부도 이러한 상황을 인지하고 대응책 마련에 나선 상태다. 과학기술정보통신부 관계자는 “AI 오판으로 인한 법적 분쟁이 발생할 경우 책임 주체를 명확히 할 제도를 큰 틀에서 마련 중”이라며 “연내 우선안을 선보인 뒤, 현장 의견을 반영해 세부 내용을 보완할 계획”이라고 말했다.
한영훈 기자han@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
