브라질·싱가포르·ASEAN AI 입법 레이스 2026 — 딥페이크 여성폭력 가중처벌법·세계 최초 에이전틱 AI 거버넌스·구속력 로드맵, 글로벌 사우스가 서방을 앞서는가

브라질 Law 15.123/2025 시행 1년 — 젠더 특화 AI 범죄 가중처벌법의 현주소

2025년 4월 24일, 루이스 이나시우 룰라 다 시우바 브라질 대통령이 서명한 Lei 15.123/2025는 브라질 형법 제147조B(여성에 대한 심리적 폭력)를 개정해 AI 기술이 범죄에 동원됐을 경우 가중 처벌 조항을 신설했습니다. 기존 형량은 징역 6개월~2년에 벌금형이었으나, 딥페이크 등 AI로 피해자의 얼굴이나 목소리를 조작한 경우 해당 형량의 최대 50%까지 추가로 부과할 수 있습니다. 즉 최대 3년의 징역형이 가능합니다. 이 법은 브라질에서 AI 딥페이크 피해 신고가 폭증하던 시기에 탄생했습니다. 2023년 리우데자네이루에서 10대들이 AI 생성 누드 이미지로 여학생들을 괴롭힌 사건, 2024년 바이아 주에서 같은 유형의 범죄가 반복된 사건이 사회적 공분을 일으켰고, 이를 계기로 법안 심의가 급물살을 탔습니다. 시행 1년이 지난 2026년 5월 현재, 브라질 경찰청(Polícia Federal)과 각 주 민사경찰은 Lei 15.123/2025 적용 사건을 별도 집계하기 시작했습니다. 초기 집계에 따르면 법 시행 후 딥페이크 관련 여성 폭력 신고는 전년 동기 대비 약 3.2배 증가했습니다. 신고 건수의 급증은 법 시행에 따른 범죄 억제 효과보다 피해 인식 제고와 신고 의욕 향상에 기인하는 측면이 크다는 분석이 지배적입니다. 가해자 처벌 사례도 나왔습니다. 2025년 하반기 이후 상파울루 지방법원은 전 파트너의 딥페이크 영상을 제작·유포한 피고인에게 Lei 15.123 적용 가중 처벌을 선고한 첫 사례들을 기록했습니다. 법학계는 이 법이 기존 가정폭력 처벌 체계('마리아 다 페냐 법')와의 정합성, AI 기술 정의의 모호성, 가해자 입증 기준의 현실적 어려움 등 해결해야 할 과제가 여전히 많다고 지적합니다. 특히 오픈소스 AI 도구 사용 여부를 수사 단계에서 어떻게 입증할 것인가가 실무적 장벽으로 부상하고 있습니다.

브라질 AI 입법의 또 다른 축은 종합 AI 규제법안인 PL 2338/2023입니다. 이 법안은 2023년 상원에 제출됐고 2024년 12월 10일 상원을 통과해 2025년 3월 17일 하원으로 이송됐습니다. EU AI Act를 모델로 한 위험 기반(risk-based) 접근법을 채택해, AI 시스템을 위험 등급별로 분류하고 '과도한 위험(excessive risk)' 시스템은 전면 금지하는 구조입니다. 법안의 딥페이크 관련 핵심 조항은 두 가지입니다. 첫째, AI 생성 또는 조작 콘텐츠에는 반드시 명시적 표시(labeling) 의무를 부과합니다. 둘째, 비동의 성적 딥페이크 제작·유포 시스템은 '과도한 위험' 범주로 분류해 원천 금지합니다. 2026년 4월 28일 공개된 Global Voices 분석 보고서는 AI 딥페이크가 브라질 여성과 소녀에게 '과도한 위험'이 되고 있음을 경고하며, 법안 2338의 조속한 하원 통과를 촉구했습니다. 그러나 법안은 2025년 한 해 동안 기업들의 로비와 규제 완화 압력으로 사실상 표류했으며, 2026년 5월 현재도 확정적 표결 일정은 잡히지 않은 상태입니다. 2026년 10월 브라질 선거가 예정된 상황에서, 선거용 딥페이크 규제를 담당하는 최고선거법원(TSE)의 기존 선거 딥페이크 금지 규정과의 조율도 숙제로 남아 있습니다. 브라질의 AI 입법은 Lei 15.123이라는 '선(先) 피해 구제' 법과 PL 2338이라는 '종합 거버넌스' 법의 이중 구조로 진행되고 있으며, 이는 피해가 현실화된 이후 사후적으로 규제가 뒤따르는 전형적인 글로벌 사우스 입법 패턴을 보여줍니다.

싱가포르의 '세계 최초' — 에이전틱 AI 거버넌스 프레임워크가 의미하는 것

2026년 1월 22일, 조세핀 테오 싱가포르 디지털개발정보부 장관은 스위스 다보스 세계경제포럼(WEF)에서 '에이전틱 AI 모델 거버넌스 프레임워크(Model AI Governance Framework for Agentic AI)'를 공식 발표했습니다. 정보통신미디어개발청(IMDA)이 개발한 이 프레임워크는 스스로 계획을 세우고, 데이터베이스를 업데이트하며, 자율적으로 행동을 실행하는 'AI 에이전트' 전용 거버넌스 표준으로는 세계 최초입니다. EU가 AI Act 전반을 완성하는 데만 수 년이 걸렸고, 미국은 에이전틱 AI 전용 연방 기준을 아직 제정하지 못한 상황에서, 싱가포르는 단기간에 이 공백을 채운 것입니다. 프레임워크는 4개 핵심 차원으로 구성됩니다. 첫째, '위험 사전 평가 및 범위 설정'으로 에이전트의 자율성 범위와 데이터·도구 접근 권한을 사전에 제한합니다. 둘째, '인간 책임 명확화'로 에이전트가 중요한 행동을 취하기 전 반드시 인간의 승인을 거쳐야 하는 체크포인트를 설정합니다. 셋째, '기술 통제 및 프로세스 구현'으로 에이전트 생애 주기 전반에 걸친 기준 테스트와 접근 통제를 실시합니다. 넷째, '최종 사용자 책임 지원'으로 투명성 확보와 교육·훈련을 통해 일반 사용자도 에이전트를 안전하게 이용할 수 있도록 합니다. 딥페이크와 합성 콘텐츠 문제에 대해 싱가포르 프레임워크는 생성형 AI 에이전트가 만들어내는 딥페이크의 추적, 저작권 문제, 가짜 정보 생성 위험을 명시적으로 다루고 있습니다. 싱가포르는 이미 온라인 허위정보 조작방지법(POFMA)을 통해 선거 관련 딥페이크 표시·삭제 권한을 보유하고 있으며, 새 프레임워크는 이를 에이전틱 AI 영역까지 확장하는 역할을 합니다.

싱가포르 프레임워크의 전략적 의미는 '자발적 준수'를 기반으로 한 선도적 기준 제시에 있습니다. EU AI Act나 한국 AI 기본법과 달리 법적 구속력이 없는 자발적 프레임워크이지만, 아태 지역 기업들에게 에이전틱 AI 거버넌스의 국제 표준으로 기능할 잠재력이 있습니다. 이미 2026년 4월 싱가포르 IMDA와 사이버보안청(CSA)은 에이전틱 AI 보안 가이드라인을 추가로 발표해 프레임워크를 보강했습니다. 딥페이크 탐지 및 방어 기술과의 연계도 중요합니다. 싱가포르가 2023년 4월 설립한 '온라인 안전 첨단기술 센터(CATOS)'는 딥페이크 탐지, 허위정보 관리, 디지털 콘텐츠 워터마킹, 기원 추적 기술을 연구하고 있으며, 새 에이전틱 AI 프레임워크와 연계해 AI 에이전트가 생성하는 합성 콘텐츠에 대한 기술적 대응 역량을 강화하고 있습니다. 싱가포르의 접근법은 강제적 규제보다 기술과 거버넌스의 공진화(co-evolution)를 통한 '혁신 친화적 규제(pro-innovation regulation)'를 지향한다는 점에서, 무거운 법적 의무를 부과하는 EU 모델과 명확히 차별화됩니다. 이는 법적 확실성은 다소 낮더라도 빠르게 변하는 AI 기술 환경에 유연하게 대응할 수 있다는 장점이 있습니다.

ASEAN 'DEFA' — 소프트 로에서 하드 룰로, 구속력 있는 AI 거버넌스를 향한 10개국의 합의

ASEAN 10개국은 2026년 말 최종화를 목표로 협상 중인 '디지털경제프레임워크협약(DEFA, Digital Economy Framework Agreement)'에 AI 거버넌스 구속력 조항을 포함시키기로 합의했습니다. ASEAN은 2024년 2월 '생성형 AI를 포함한 AI 윤리 및 거버넌스 가이드'를 발표하고, 2025년 1월에는 이를 확장한 '생성형 AI 확장 가이드', 2025년 3월에는 '책임형 AI 로드맵 2025-2030'을 잇달아 채택했습니다. 그러나 이 모든 문서는 구속력이 없는 자발적 가이드라인에 머물렀습니다. DEFA는 이를 근본적으로 바꾸는 전기가 될 전망입니다. DEFA의 AI 조항이 합의될 경우 회원국들은 디지털 경제 협정의 틀 안에서 AI 거버넌스 기준을 상호 인정하고, 역내 데이터 이동 및 AI 시스템 운용에 관한 공통 규범을 적용해야 합니다. 딥페이크 규제 측면에서도 ASEAN은 2026년 1월 인도네시아·말레이시아·필리핀이 'AI 디지털 누드화(digital undressing)' 기능을 이유로 Grok 서비스를 일시 차단하거나 금지한 사건을 계기로 역내 공통 대응의 필요성을 절감하게 됐습니다. 각국이 개별적으로 서비스를 금지하는 방식은 법적 근거와 절차가 제각각이어서 플랫폼 기업들에 혼란을 야기하고, 피해자 보호 효과도 일관적이지 않습니다. DEFA 내 AI 조항은 딥페이크 피해 신고·삭제 절차의 역내 표준화, 플랫폼의 최소 기술 조건, 국경을 초월한 피해자 구제 경로 등을 포함할 것으로 기대됩니다. 다만 ASEAN의 의사결정 원칙인 '비개입주의(non-interference)'와 '합의(consensus)'는 협상의 속도를 제약하는 요인이기도 합니다. 각 회원국의 AI 발전 수준과 규제 역량에 격차가 크기 때문에, 싱가포르나 말레이시아 같은 기술 선진국과 내륙 국가들 사이의 조율이 협상의 핵심 과제로 부상하고 있습니다.

글로벌 AI 입법 레이스의 시사점 — 브라질·싱가포르·ASEAN이 보여주는 세 가지 교훈

브라질·싱가포르·ASEAN의 사례는 AI 규제를 분석하는 기존의 EU-미국 중심적 시각을 재고하게 만듭니다. 세 가지 주요 시사점을 도출할 수 있습니다. 첫 번째는 '피해 선행, 규제 후행(harm-first, regulation-second)' 패턴의 한계입니다. 브라질 Lei 15.123은 실제 피해(2023~2024년 학교 딥페이크 사건들)가 발생한 이후에야 입법이 이루어진 반응적 규제입니다. 종합 AI법인 PL 2338은 피해가 더 광범위해지기 전에 사전적으로 규율하려는 시도이지만, 기업 로비로 인해 여전히 지연되고 있습니다. 이는 글로벌 사우스 국가들이 겪는 공통 딜레마입니다. AI 산업 발전의 기회를 놓치지 않으면서도 취약 계층(특히 여성과 아동)을 보호하기 위한 규제를 균형 있게 마련하기가 어렵습니다. 두 번째는 '혁신 친화적 선제 거버넌스'의 유효성입니다. 싱가포르는 법적 구속력 없이도 세계 최초라는 상징성과 실용적인 지침을 결합해, 기업들에게 '의무 이행'이 아닌 '모범 실천'을 동기 부여하는 방식을 택했습니다. 이 방식은 특히 빠르게 진화하는 에이전틱 AI 분야에서 규제의 유연성을 유지하는 데 효과적입니다. 세 번째는 '지역 협력의 구속력 전환' 필요성입니다. ASEAN의 사례는 자발적 가이드라인만으로는 플랫폼들의 행동을 실질적으로 변화시키는 데 한계가 있음을 보여줍니다. 10개국이 동의한 DEFA AI 조항은 개별 국가가 독자적으로 달성하기 어려운 역내 플랫폼 규제의 공통 기준선을 만들어낼 수 있습니다. 한국의 관점에서 이 세 사례는 중요한 참고점이 됩니다. 한국은 2026년 1월부터 AI 기본법이 시행되고 있으며, 딥페이크 피해 구제를 위한 개별 법령(성폭력처벌법 등)도 정비했습니다. 그러나 국제 협력 측면에서 ASEAN DEFA와 같은 다자 AI 거버넌스 협력에 어떻게 참여하고 영향력을 행사할지에 대한 전략이 필요합니다. 특히 딥페이크 피해의 초국경적 특성상, 한 국가의 법만으로는 해외 서버에서 유포되는 피해 콘텐츠에 효과적으로 대응하기 어렵습니다. 글로벌 AI 입법 레이스는 EU와 미국만의 경기가 아닙니다. 브라질의 젠더 정의, 싱가포르의 실용적 혁신 거버넌스, ASEAN의 집단적 구속력 추구는 각기 다른 맥락에서 AI 규제의 새로운 경로를 개척하고 있으며, 이 다양성 자체가 글로벌 AI 거버넌스의 미래를 형성하는 힘이 될 것입니다.