G7 '프라이버시 보호 협약' 2026 — 프랑스 의장국 6월 정상회의·EU AI 표시 행동강령 최종화·61개국 규제기관 공동선언, 딥페이크 플랫폼 자율규제의 시대는 끝났는가

G7 프라이버시 보호 협약: 24개 조항과 6월 파리 정상회의

G7 프라이버시 보호 협약은 비동의 딥페이크, 특히 비동의 친밀 이미지(NCII) 문제를 국제 조약 수준에서 다루는 최초의 시도입니다. 현재 24개 초안 조항이 준비됐으며, 이는 전년도 초안의 2배에 달합니다. 협상가들은 세 가지 핵심 영역에서 논의를 진행 중입니다. 첫째, 플랫폼 의무: 모든 주요 플랫폼에 무료·원클릭 신고 버튼 설치 의무화, 검증된 NCII 신고 접수 후 2시간 이내 삭제 조치, 공통 분류 체계(taxonomy) 도입. 둘째, 기술 표준: G7 각국이 딥페이크 탐지 시스템의 상호운용성(interoperability)을 보장하고 증거 이전을 위한 공동 포털 구축. 셋째, 피해자 지원: G7 보건부가 NCII 피해자를 위한 상담 비용 환급 제도를 도입하고, 일본은 2026년 법률 지원에 12억 엔을 별도로 배정했습니다.

프랑스 측 협상가들은 12월 예산 승인 이후 서명이 이루어질 것으로 예상하고 있습니다. 그러나 6월 정상회의 자체도 중요한 이정표입니다. 여기서 기술 벤치마크와 공유 증거 포털에 대한 구체적 합의가 이루어질 것으로 예상되기 때문입니다. 비교해 보면, 2023년 히로시마 G7 프로세스의 AI 원칙은 자발적 서약 수준에 그쳤습니다. 프라이버시 보호 협약은 처음으로 '조약 형태의 구속력 있는 의무(treaty-level binding obligations)'를 목표로 하고 있습니다. 2월에는 전 세계 61개 프라이버시 규제기관이 공동선언을 통해 딥페이크 NCII에 대한 협력 집행을 약속했습니다. 이 선언문은 플랫폼이 국내법에서 '기술적으로' 준수하면서도 실질적으로 피해자 보호 의무를 회피하는 관행에 대한 공동 대응을 명시했습니다.

EU AI 생성 콘텐츠 표시 행동강령: 2025년 11월 초안에서 2026년 6월 최종본까지

EU AI Act 제50조는 2026년 8월 2일부터 AI 생성·조작 콘텐츠에 대한 투명성 의무를 발효시킵니다. 이 의무의 실질적 이행을 위한 자발적 도구가 'AI 생성 콘텐츠 표시·라벨링 행동강령(Code of Practice on Marking and Labelling of AI-Generated Content)'입니다. 일정을 보면: 2025년 11월 킥오프 플레너리 개최, 2025년 12월 17일 1차 초안 공개, 2026년 3월 3일 2차 초안 공개, 2026년 5~6월 최종본 공표, 2026년 8월 2일 의무 시행. 이 행동강령은 두 집단에게 서로 다른 의무를 부여합니다. AI 시스템 제공자(Providers)에게는 텍스트·오디오·이미지·영상 출력물이 '기계 판독 가능한 형식(machine-readable format)'으로 표시되고, AI 생성 또는 AI 조작 여부가 탐지 가능하도록 보장할 의무가 있습니다. 플랫폼 등 배포자(Deployers)에게는 딥페이크(실제 인물처럼 보이는 합성 미디어)와 공공 이익 관련 AI 생성 텍스트에 가시적 라벨을 표시할 의무가 있습니다.

행동강령이 특히 주목받는 부분은 불법 딥페이크와 합법 딥페이크 간의 명확한 구분입니다. 불법 딥페이크(비동의 포르노, 명예훼손, 혐오 발언 등)는 라벨링이 아니라 '삭제' 대상입니다. 행동강령은 오직 합법 딥페이크(창작·풍자·예술 목적 등)의 투명한 표시를 규율합니다. 라벨 형식도 미디어 유형별로 구체화됐습니다: 영상은 '영구적 아이콘 + 시작부 고지문', 이미지는 '명확히 보이는 고정 아이콘', 오디오는 '청각적 고지문(장시간 포맷은 반복)', 멀티모달은 '사용자 상호작용 없이도 보이는 아이콘'. 2차 초안에는 EU 전역에서 통일적으로 사용할 공통 아이콘의 예시가 추가됐습니다. 독일에서는 'KI', 프랑스에서는 'IA' 약어가 임시 대안으로 제안됐습니다.

기술 표준의 진전: 탐지 정확도 72%에서 86%로, 200밀리초 이하 실시간 처리

G7 프라이버시 보호 협약의 기술 표준 논의에서 가장 주목할 성과는 영국이 2026년 2월 마이크로소프트·학술 파트너들과 함께 출범시킨 '글로벌 평가 샌드박스(Global Evaluation Sandbox)'에서 도출됐습니다. 초기 샌드박스 테스트에서 딥페이크 탐지 정확도는 72%에서 86%로 향상됐습니다. 프레임당 처리 시간은 200밀리초 이하로 내려왔으며, 멀티모달 신호를 활용해 위양성률(false positive rate)도 18% 감소했습니다. 이 기술적 진전은 협약의 '2시간 이내 삭제' 의무가 현실적으로 이행 가능한 기술 기반 위에 서 있음을 의미합니다. 단순한 선언적 약속이 아니라 측정 가능한 기술 벤치마크로 뒷받침된다는 점에서, 기존의 자발적 플랫폼 정책과 근본적으로 다릅니다. G7은 이 샌드박스를 모든 회원국의 법 집행 기관이 공동 활용하는 '상호운용성 허브(interoperability hub)'로 발전시킬 계획입니다.

한국 AI 기본법(2026년 1월 22일 시행)과 딥페이크 표시 의무

G7·EU의 국제 규범 형성과 맞물려, 한국에서는 2026년 1월 22일 AI 기본법(인공지능 발전과 신뢰 기반 조성 등에 관한 법률)이 전면 시행됐습니다. EU AI Act에 이어 종합적 AI 규제 체계를 도입한 국가 중 하나입니다. 딥페이크 관련 핵심 의무를 보면: AI로 생성하거나 실질적으로 편집한 사진·영상·음성은 반드시 가시적 라벨을 표시해야 합니다. 표시 방법은 시각·청각 또는 소프트웨어를 통해 사용자가 쉽게 확인할 수 있어야 하며, 주요 사용자층의 연령·신체 조건·사회적 상황을 고려해 '명확히 인식 가능한' 방식이어야 합니다. 또한 고영향 AI 시스템에 대한 위험 평가, 이용자 고지, 사후 모니터링 의무도 함께 시행됩니다. 이 시행과 동시에, DeepBrain AI는 과학기술정보통신부 국제 R&D 프로그램에 참여해 성균관대·싱가포르경영대·엔사인인포시큐리티와 함께 2028년까지 글로벌 딥페이크 탐지 SaaS 플랫폼을 구축할 계획입니다.

자율규제는 이미 실패하고 있다: Stanford HAI 2026 AI Index가 말하는 현실

G7 협약과 EU 행동강령이 '구속력 있는 의무' 방향으로 나아가는 배경에는 자율규제의 명백한 실패가 있습니다. Stanford HAI의 2026 AI Index 보고서는 이를 수치로 보여줍니다. 2025년 AI 인시던트 데이터베이스에 등록된 AI 관련 사고 건수는 362건으로, 2024년 233건 대비 56% 급증했습니다. 이 중 딥페이크 사칭, 비동의 친밀 이미지, AI 생성 금융 사기가 상위 유해 범주에 포함됐습니다. AI 거버넌스 역할은 전 세계적으로 17% 증가했지만, 기업들이 책임 있는 AI 관행을 측정하고 관리하는 능력은 AI의 빠른 발전 속도를 따라가지 못하고 있다는 것이 보고서의 핵심 진단입니다. 자율규제의 한계는 구조적입니다. '투명성 보고서'를 발표하는 기업이 늘어도, 보고서에 기재된 내용이 실제 피해를 예방했는지는 외부 감사 없이 검증이 불가능합니다. 61개 규제기관 공동선언은 정확히 이 점을 지목합니다: '자발적 준수(voluntary compliance)'가 아니라 '검증 가능한 준수(verifiable compliance)'가 요구된다는 것입니다.

딥페이크 피해자 관점에서 이 세 가지 흐름 — G7 협약·EU 행동강령·61개국 규제기관 선언 — 이 교차하는 지점에서 무엇이 달라지는지 주목해야 합니다. 지금까지 피해자가 삭제를 요청하면 플랫폼은 자체 기준과 자체 일정에 따라 대응했습니다. 법적 구속력이 없는 자발적 정책이기 때문에, 이행 여부와 속도는 플랫폼의 재량에 달려 있었습니다. 프라이버시 보호 협약의 '2시간 이내 삭제', EU AI Act 제50조의 '의무적 표시', 한국 AI 기본법의 '명확히 인식 가능한 라벨' 의무는 이 재량의 공간을 좁힙니다. 물론 조약 서명과 법 시행 이후에도 집행의 실효성 문제는 남습니다. 61개 규제기관의 공동선언이 실질적인 집행 협력으로 이어질지, G7 기술 표준이 실제로 각 국가에서 의무화될지는 6월 파리 정상회의 이후에야 더 명확해질 것입니다.