영국 '성장을 위한 규제법' — AI 규제 샌드박스 법제화·AI 성장연구소 출범·분산 거버넌스 모델의 전모

배경: 2023 백서의 한계와 3년간의 공백

영국은 2023년 3월 'AI 규제: 친혁신적 접근법(AI Regulation: A Pro-Innovation Approach)'이라는 백서를 발간하며 유럽연합(EU)의 포괄적 AI 법(AI Act)과 다른 길을 선택했습니다. EU가 AI 위험도를 등급별로 분류해 의무와 제재를 부과하는 규범적(prescriptive) 접근을 택한 반면, 영국은 기존 부문별 규제기관들이 자신의 영역 내에서 AI를 감독하는 유연한 원칙 기반(principles-based) 모델을 표방했습니다. 이 백서는 비법정 지침 수준이었기에 법적 구속력이 없었고, Ofcom은 통신 분야 AI를 감독하면서도 AI 자체를 규율할 법적 근거가 취약했으며, ICO는 AI 기반 개인정보 처리에 대한 해석 지침을 발행하는 데 그쳐야 했습니다. 한편 기업들은 AI 제품을 실제 환경에서 시험하기 위해 규제기관의 개별 '해석 공간(interpretive space)'을 협상해야 했고, 이 과정에서 발생하는 불확실성이 투자 결정을 지연시킨다는 산업계의 불만이 누적됐습니다.

2024년 총선으로 집권한 노동당은 애초 독립적인 AI 대형 언어모델(LLM) 개발사 규제법을 도입하겠다는 방침을 밝혔지만, 이후 산업계의 반발과 규제 설계의 복잡성으로 인해 이 계획을 철회했습니다. 대신 2025년 10월 발표한 'AI 기회 행동 계획(AI Opportunities Action Plan)'을 통해 경제 성장 수단으로서의 AI를 전면에 내세웠습니다. 이 행동 계획의 핵심 제도적 장치가 바로 2026년 킹스 스피치에서 입법화된 'Regulating for Growth Bill'입니다. 영국 정부가 추산한 바에 따르면 AI는 2025년 GDP에만 118억 파운드를 기여했으며, 전통 산업 분야의 AI 도입률은 70%이지만 일상적·광범위한 배포는 7%에 불과해 '배포 격차(deployment gap)'가 현실적 과제임을 입증합니다. 이 격차를 좁히는 것이 곧 Regulating for Growth Bill의 정책적 목표입니다.

핵심 조항 ①: 규제 샌드박스의 법제화와 AI 성장연구소(AI Growth Lab)

Regulating for Growth Bill의 가장 혁신적인 조항은 규제 샌드박스에 의회법 수준의 법적 근거를 부여하는 것입니다. 그동안 일부 규제기관이 비공식적으로 운영해온 샌드박스(예: FCA의 핀테크 샌드박스, CMA의 디지털 시장 실험)는 개별 기관의 정책 판단에 의존했습니다. 이 법안은 정부에 '교차 경제적 샌드박스 권한(cross-economy sandboxing powers)'을 부여해, AI를 포함한 신기술 제품이 여러 부문의 규제를 동시에 적용받는 경우에도 하나의 통합 샌드박스 틀 안에서 실험할 수 있도록 합니다. 기존에는 A라는 AI 의료 서비스가 MHRA(의료기기), ICO(개인정보), CMA(경쟁)의 규제를 동시에 받을 경우 세 기관과 각각 협상해야 했지만, 새 제도 하에서는 단일 신청 창구에서 통합 허가를 받을 수 있게 됩니다.

이 제도의 중심에 'AI 성장연구소(AI Growth Lab)'가 있습니다. 2025년 10월 AI 기회 행동 계획에서 처음 발표된 AI 성장연구소는 '분야별 규제 문제를 국가 차원에서 해결하는 규제 샌드박스 국가 프로그램'으로 정의됩니다. 의료·금융·교통·제조업 등 AI 도입이 활발한 산업 분야에서 발생하는 구체적인 규제 장벽을 선정해, 해당 규제를 일정 기간 일시 유예(temporary relaxation)하고 데이터를 수집하는 방식으로 운영됩니다. 샌드박스 실험에서 긍정적 결과가 확인되면, 정부는 2차 입법(statutory instrument)을 통해 기존 규제를 영구적으로 개정하거나 폐지할 수 있는 권한도 갖게 됩니다. 비평가들은 의회의 충분한 감시 없이 행정부가 규제를 변경할 수 있는 권한이 남용될 우려를 제기하지만, 정부는 소비자 보호·안전·기본권 관련 규제는 '금지선(red lines)'으로 정해 샌드박스 대상에서 제외한다고 밝혔습니다.

핵심 조항 ②: 성장 의무 강화와 규제기관 전략 지도권

Regulating for Growth Bill의 두 번째 중요 조항은 규제기관의 '성장 의무(growth duty)' 강화입니다. 영국은 이미 2015년 소기업·기업·고용법(Small Business, Enterprise and Employment Act 2015)을 통해 규제기관이 경제 성장에 미치는 영향을 고려할 의무를 부과했습니다. 그러나 이 기존 의무는 권고적(advisory) 수준이었고 구체적 이행 메커니즘이 없어 규제기관들이 실질적으로 무시하는 경향이 있었습니다. 새 법안은 성장 의무를 '불필요한 위험 기피를 줄이고 투자·인프라·시장 창출을 지원하는 규제 결정을 내릴 법적 의무'로 격상시킵니다. 이를 보완하기 위해 정부 장관이 각 규제기관에 '전략적 지도(strategic steer)'를 공식 발령할 수 있는 새로운 법정 권한도 신설됩니다.

그러나 이 조항은 정치적 논쟁의 중심에 있습니다. 장관이 독립 규제기관에 공식 지침을 내릴 수 있게 되면, 예컨대 ICO가 AI 기업의 개인정보 침해에 대해 높은 과징금을 부과하려 할 때 정부가 '성장 방해'를 이유로 개입할 수 있다는 우려가 제기됩니다. 이에 대해 정부는 전략적 지도가 의회에 공개되는 공식 문서이며, 개별 집행 결정에 개입할 수 없다고 선을 그었습니다. 또한 규제기관은 받은 전략적 지도에 어떻게 대응했는지를 연간 보고서에 공개적으로 기술할 의무를 집니다. 실제 운영에서 이 투명성 장치가 독립성을 충분히 보호할 수 있을지는 법 시행 후의 실증이 필요합니다. 기술법 전문가들은 규제 기관의 최고경영자(CEO)나 의장이 의회 청문회에서 장관의 지도 내용과 기관의 대응 방식을 직접 보고해야 하는 조항 추가를 촉구하고 있습니다.

분산형 AI 거버넌스 구조 — 5개 규제기관 역할과 AI 안전연구소 법적 지위

Regulating for Growth Bill은 단일 AI 전담 감독기관 설립을 명시적으로 배제합니다. 대신 기존 5개 부문별 기관이 각자의 AI 감독 권한을 유지하며 공통 정의와 조율 메커니즘을 통해 협력하는 모델을 채택합니다. Ofcom은 미디어·통신 분야의 AI 콘텐츠 규제를 담당하며, Online Safety Act 2023 집행 수단을 AI 챗봇·생성 콘텐츠에 적용합니다. CMA(경쟁·시장청)는 AI 기반 기업의 독과점 행위, AI 시장 집중도, 알고리즘 담합 등을 감시합니다. ICO(정보위원회)는 AI 학습 데이터에 포함된 개인정보 처리, 자동화된 의사결정, 프로파일링을 영국 GDPR 프레임워크 하에서 규율합니다. FCA(금융행위청)는 AI 기반 금융 서비스·투자 알고리즘·AI 보험 심사 등을 감독하며, MHRA(의약품의료기기청)는 AI 의료기기·진단 도구의 안전성과 효능을 검토합니다.

AI 안전연구소(AI Safety Institute, AISI)는 이 분산 구조 안에서 특수한 위치를 차지합니다. 기존에는 과학혁신기술부(DSIT) 산하 조직으로 행정적 위치에 불과했지만, Regulating for Growth Bill은 AISI에 법적 조정 권한을 부여합니다. AISI는 5개 규제기관의 AI 감독 활동을 조율하는 '허브(hub)' 역할을 맡고, 부문 간 AI 위험 평가를 수행하며, 규제기관들이 공통으로 사용할 AI 용어 정의·위험 분류 기준·평가 방법론을 개발합니다. 또한 국제 AI 안전 파트너십(IASP)을 통해 미국 AISI, 일본 AI 안전연구소 등과 공동 평가를 수행하는 국제 조율 역할도 맡습니다. 이 구조는 AI 안전 기술 연구는 AISI가, 부문별 규제 집행은 해당 기관이 담당하는 '연구-집행 분리' 모델입니다.

보완 입법 — Crime and Policing Act와 경찰 개혁법의 AI 조항

Regulating for Growth Bill이 AI 산업의 성장을 지원하는 친혁신 입법이라면, 2026년 4월 29일 국왕 재가를 받은 Crime and Policing Act 2026은 AI 악용을 범죄화하는 보완적 쌍을 이룹니다. 이 법은 두 가지 새로운 AI 관련 범죄를 창설합니다. 첫째, 아동 성착취물(CSAM)을 생성하도록 최적화된 AI 모델을 만들거나 공급하는 행위를 형사범죄로 규정합니다. 둘째, 비동의 성적 이미지를 생성하는 딥페이크 도구를 제조하거나 공급하는 행위를 범죄화합니다. 특히 이 법은 이 범죄들을 '기업 법인에도 개인과 동일하게 적용'한다고 명시해, 딥페이크 도구를 공급한 기업 자체가 형사책임을 질 수 있는 기업 형사책임(corporate liability) 체계를 확립했습니다. 이는 도구를 만들어 공급한 기업이 '사용자의 선택에 책임이 없다'는 논리를 원천 차단합니다.

킹스 스피치 패키지의 또 다른 축은 '경찰 개혁법(Police Reform Bill)'입니다. 이 법안은 경찰의 안면 인식 기술(facial recognition technology, FRT) 사용에 대한 새로운 법적 틀을 마련합니다. 기존에 경찰은 법적 근거 없이 행정 지침만으로 실시간 안면 인식 카메라를 공공장소에 배치해왔으며, 이는 민권 단체들의 지속적인 소송 대상이 됐습니다. 경찰 개혁법은 안면 인식 기술 사용의 법적 요건·감독 체계·독립 규제기관 설치를 규정합니다. 독립 안면 인식 규제기관은 경찰이 제출한 FRT 배치 계획을 사전 심사하고, 배치 후 결과를 연간 공개 보고서로 발간할 의무를 집니다. 이 법안은 영국이 EU의 AI 법처럼 '공공장소 실시간 생체인식 감시'를 원칙적으로 금지하지 않으면서도 독립적 사전 심사와 투명성 보고를 통해 비교적 균형 잡힌 접근을 취한다는 점에서 주목됩니다.

글로벌 비교와 한국에 대한 시사점

• EU AI Act (2024년 발효, 단계적 시행): 위험 등급별 의무 부과·금지 AI·고위험 AI·범용 AI 모델 규제. 2026년 8월 Article 50(딥페이크 라벨링) 전면 시행, 12월 누디파이 앱 금지. 단일 규제 프레임워크이나 회원국별 집행 편차 발생 중.
• 미국 (연방 없음, 주법 병렬): 연방 AI 통일법 부재. 콜로라도 SB 189(고영향 AI, 2026년 6월 30일 전면 시행), 뉴욕 RAISE Act, 일리노이 AI 고용법 등 주법이 지형 형성. 행정명령 기반 연방 규제 한계 노출.
• 영국 (Regulating for Growth Bill 2026): 단일 수퍼 규제기관 없이 기존 5개 기관 분산 감독. AI 샌드박스 법제화·AI 성장연구소·장관 전략 지도권으로 혁신 친화. Crime and Policing Act로 딥페이크 공급자 기업 형사책임 병행.
• 한국 AI 기본법 (2026년 1월 시행): 고영향 AI 등록 의무·생성형 AI 투명성 요건·AI 영향평가 도입. 별도 AI 위원회 설치. 영국 모델과 달리 전담 법과 위원회 존재하나 규제 샌드박스 조항의 실효성 검증이 과제.