국가의 역할을 재구성하는 ‘규제 샌드박스’

샌드박스(Sandbox)는 원래 어린이들이 자유롭게 놀 수 있도록 만든 모래 상자를 의미하지만, 다양한 분야에서 제한된 환경에서 실험하거나 테스트할 수 있도록 허용된 공간 또는 제도를 뜻한다. 특히 혁신을 촉진하기 위해 규제의 틀을 완화하는 목적으로 설계된 ‘규제 샌드박스(regulatory sandboxes)’는 기술 기업에 일반 법규에서 벗어난 예외적 조건을 부여하며, 특히 개인정보 보호 측면에서 법적 규제를 완화한다. 이는 시장 참여자에게 유리한 방식으로 국가의 역할을 재구성하는 논리에 기반하고 있으며, 그 대가로 공공의 자유가 침해될 우려가 있다.

약 젊은 기술 기업가들이 법적 규제를 벗어나 자유롭게 제품을 실험할 수 있다면? 바로 이것이 ‘규제 샌드박스’의 개념이다. 이는 최근 경제 규제 분야에서 확산되고 있는 새로운 흐름으로, 기업들이 법적 책임을 지지 않고 혁신적인 기술과 서비스를 실험할 수 있도록 허용하는 제도다. 이러한 시스템을 국제적으로 확산시키고 있는 주요 기관 중 하나인 데이터스피어 이니셔티브(Datasphere Initiative, 구글과 마이크로소프트 등으로부터 자금 지원을 받는 재단)는, 규제 샌드박스를 ‘통제된 협력적 환경’으로 정의하며, 기존 규제 틀 속에서 혁신적인 기술과 실험적 관행을 테스트할 수 있도록 설계된 것이라고 설명한다.(1)

규제 샌드박스, 혁신인가? 탈규제인가?

실제로 규제 샌드박스는 국가와 공적 기관이 특정 기업 지원을 위해 일부 규제 요건을 유예하여 해당 기업의 시장 점유를 ‘가속화’하는 것을 목표로 한다. 처음으로 영국과 스위스에서 핀테크(금융 기술) 산업을 대상으로 도입된 이후, 규제 샌드박스는 점점 확산했으며, 특히 2018년 인공지능이 정부의 전략적 우선순위로 지정되면서 더욱 주목받기 시작했다. 이후 전 세계적으로 적용 사례가 증가하고 있으며, 특히 보건 및 교통 부문에서 두드러진다. 예를 들어, 브라질 리우데자네이루 주정부는 2023년 여름부터 드론을 이용한 냉음료 배달 실험을 진행하고 있다.

산업계가 연구 정책을 주도하고 외주화가 확산하는 가운데, 규제 샌드박스는 공공정책이 특정 기업의 사적 이익을 위해 재구성되는 모습을 보여준다. 이 제도를 지지하는 이들의 관점에서 보면, 규제 샌드박스는 ‘혁신적 돌파구’를 개발하는 기업들이 법적 안정성을 확보할 수 있도록 돕는 역할을 한다.

또한 이는 공적 기관이 기업을 지원하는 방식이자, 준법의 보증 수단으로 변모하여 경쟁 우위를 제공하는 도구로 작용할 수 있다. 한편, 국가는 기업의 전략적 파트너의 역할을 강화하는 동시에, 시장 기반 규제를 도입하여 이를 주도할 수 있는 역량을 점차 확보해 가고 있다.

이러한 국가 개입 방식의 변화는 점진적으로 진행되고 있으며, ‘스타트업 국가(start-up nation)’를 지향하는 이들이 강조하는 ‘파괴적 혁신’을 촉진하는 방향으로 나아가고 있다. 그러나 이러한 ‘윈-윈(Win-Win)’ 논리가 실제로 시민들에게도 이익이 되는가? 유럽에서는 2018년 도입된 개인정보 보호 규정이 혁신을 저해한다는 비판을 받는 가운데, 규제 샌드박스가 시민 감시 분야에서 확산하고 있다.

대표적인 사례가 알고리즘 기반 영상 감시로, 이는 인공지능과 거리 감시 카메라를 결합하여 개인을 식별하고, 특정한 의심스러운 상황을 감지하면 자동으로 경보를 발령하는 기술을 의미한다.(2) 프랑스 국립정보과학기술연구소(Inria Sophia-Antipolis)의 프랑수아 브레몽은 “유럽은 크게 뒤처져 있다”라고 한탄하며, 유럽연합 일반 개인정보 보호 규정(RGPD)으로 인해 “데이터를 수집하는 것이 사실상 불가능하다”라고 지적했다.(3)

이미 2019년, 안면 인식 기술에 관한 보고서에서 프랑스 정보 보호 위원회(CNIL) 법률 담당 이사 플로랑스 푸레가 부의장을 맡은 변호사, 연구자, 산업계 전문가 패널 역시 같은 우려를 표했다. 이들은 “엄격한 규제 환경이 다양한 출처에서 수집된 방대한 얼굴 이미지 데이터베이스를 기반으로 알고리즘을 훈련해야 하는 안면 인식 기술의 발전을 저해하고 있다”라고 주장했다.(4)

AI 실험의 자유, 공공의 자유는 어디로?

이처럼 규제 샌드박스는 이러한 ‘장애물’을 제거하기 위한 해결책으로 등장했으며, 실험적 접근 방식이 법으로 공식화되는 결과를 초래하고 있다. 이미 2018년, 수학자이자 당시 마크롱 정부 소속 국회의원이었던 세드릭 빌라니가 이끄는 위원회가 프랑스에서 인공지능 정책 지원을 다룬 최초의 주요 보고서 중 하나를 작성했으며, 여기에는 ‘국방 및 안보를 위한 AI’라는 구체적인 논의가 포함되었다. 해당 보고서는 ‘규제 샌드박스 방식에 따라 기존 법규에서 예외를 적용하며 AI 기술을 실험할 것’을 권고했다.(5)

특히 국가 안보와 국방처럼 전략적으로 중요한 분야에서, 이 제도는 정부 기관들이 더욱 자유롭게 활동할 수 있도록 하는 장점이 있다. 빌라니 보고서 이후, 프랑스 의회는 군대와 정보기관이 AI를 더 효과적으로 훈련할 수 있도록 데이터를 축적하는 과정에서 기존 법규를 예외적으로 적용할 수 있도록 허용했다. 같은 논리는 2023년 파리 올림픽 관련 법안에서 AI 기반 영상 감시 실험이 승인되는 과정에도 적용되었다.

이를 통해 윈틱스(Wintics), 챕스비전(ChapsVision)과 같은 스타트업과 기술 기업들이 경찰 및 법 집행 기관과 협력하며 실제 환경에서 제품을 테스트할 수 있도록 공공조달 계약을 체결할 수 있는 길이 열렸다. 이러한 접근 방식은 2024년 봄 채택된 유럽연합(EU) 인공지능 규정(AI Act)에서도 공식화되었다. 특히 이 규정의 제57조를 통해 모든 회원국이 국가 규제 기관의 감독 아래 AI 실험을 수행하도록 의무화하면서, 규제 샌드박스를 제도적으로 자리 잡게 했다.

규제에서 동행으로, CNIL의 역할 변화와 법적 전환

프랑스 정보 보호 위원회(CNIL)의 마리로르 드니 위원장, 국무회의(Conseil d’État) 위원은 이 조치가 자신이 이끄는 기관의 역할을 강화하는 수단이 될 것이라 보고 있으며, 동시에 “AI와 혁신을 권리 보호와 조화시키겠다”라고 약속했다.(6) 그러나 실험적 성격으로 도입된 특정 규제 완화 조치들이 결국 일반 법률을 대체하며, 공공 자유를 보장하는 법적 틀을 잠식하게 되는 것은 아닐까? 기존의 규제가 사전 승인, 감시, 처벌을 통해 개입하는 방식이었다면, 규제 샌드박스는 이를 대체하는 새로운 규제 접근법을 보여준다.

법학자 파스칼 이두에 따르면, 이러한 접근 방식은 공공기관이 규제 대상 기업과 ‘지속적인 동행’을 제공하며, 즉각적이고 광범위한 영향을 미칠 수 있도록 하는 ‘유연한’ 규제 모델을 반영한다. 이는 정책 결정자가 더욱 적응적이고 원활한 흐름을 가진 방식으로 평가하는 신자유주의적 규제 방식의 특징이다. 

반면, 연구자 뱅자맹 르무안과 앙투안 보쉐즈는 이를 ‘정부의 대항 문화(contre-culture de gouvernement)’라고 해석하며, 국가의 공식적이고 전통적인 규제 방식이 걸림돌로 인식되고, 공법과 형법의 기존 원칙들이 점차 전복되는 흐름이라고 지적했다.(7)

디지털 감시 산업에서는 이러한 변화가 이미 상당 부분 진행되었다. 1980년대 CNIL이 규제 기관으로서 법적 통제를 수행했던 모델이, 2010년대 들어 ‘준수(compliance)’ 모델로 전환되었다. 이에 따라 CNIL은 점점 법적 합법성을 심사하는 역할을 축소하고, 시장 참여자들을 ‘지원’하는 방향으로 변화하고 있다. 즉, ‘개인정보 보호의 감시자’에서 ‘혁신 촉진 기관’으로 자리 잡아 가고 있는 것이다.

규제 샌드박스와 비상사태 법령, 경계를 허물어

기술 혁신을 명분으로 도입된 규제 샌드박스는 비상사태 법체계와 유사한 논리를 따른다. 비상사태에서는 국가의 긴급 대응을 이유로 억압적 권력이 강화되고, 절차적 제약이 완화되는 것처럼, 규제 샌드박스 역시 법적 장애물이 ‘불필요하게’ 혁신을 지연시켜서는 안 된다는 논리를 내세운다.

여기서 요구되는 필요성은 경찰이 기존 절차를 우회할 수 있도록 정당화하는 비상사태와는 달리, 기술 혁신이 빠르게 시장에 출시되어야 한다는 경제적 경쟁 논리에 의해 결정된다. 그러나 규제 샌드박스나 비상사태 권력 강화 모두 궁극적으로 공공의 자유를 희생시키는 결과를 초래한다. ‘기술-안보 긴급성(urgence techno-sécuritaire)’이라는 개념이 점차 기존의 자유주의 법체계를 무력화하는 방향으로 작동하고 있기 때문이다.

‘일반적이고 보편적인 법’의 후퇴는 전례 없는 일이 아니다. 1930년대 독일에서 프랑크푸르트 학파의 마르크스주의 법학자들은, 보수적 법학자 칼 슈미트가 제시한 ‘결정주의 법이론’을 비판했다. 칼 슈미트는 법의 ‘합리성과 추상성’을 거부하며, 필요에 따라 개별적 조치와 명령을 내리는 것이 더 적절하다고 주장했다.

당시 독일 보수 정치인들은 이러한 논리를 이용해 국가가 대기업의 이익을 보장하는 방식으로 법을 운영해야 한다고 주장하면서, 민주적 요구와 노동운동을 탄압하는 데 활용했다.(8) 1932년, 프란츠 폰 파펜 총리는 경제의 ‘이동성’을 보장하기 위해 새로운 법적 규제를 도입하는 것은 경제를 불필요하게 구속하는 인위적인 조치라며, 오히려 시장의 자유를 확대해야 한다고 강조했다.(9)

칼 슈미트는 국가는 ‘공공의 이익’을 이유로 특정 기업들이 더욱 자유롭게 운영될 수 있도록 보호해야 한다는 논리를 제공했다.(10) 이는 결국 바이마르 공화국을 해체하고, 보수 세력과 나치 정권이 새로운 법질서를 구축하는 데 중요한 법적 토대를 제공했다.

이에 반대했던 법학자 프란츠 노이만과 오토 키르히하이머는 법의 추상성과 일반성이야말로 국가 권력을 견제하고, 공공의 자유를 보장하는 핵심 원칙임을 강조했다. 물론 역사는 반복되지 않지만, 오늘날 역시 법이 점점 대기업의 이해관계에 종속되고, 국가 권력이 더욱 권위주의적으로 변모하는 흐름이 강화되고 있다.

글·펠릭스 트레게 Felix Treguer
프랑스 국립과학연구센터 산하 인터넷 사회 연구소의 연구원, 「La Quadrature du Net」 멤버. 본문은 『Technopolice 인공지능 시대의 경찰 감시』(Divergences, 파리, 2024)에서 발췌.

번역·박명수

(1) 「5분 만에 이해하는 샌드박스」, The Datasphere Initiative, www.thedatasphere.org.
(2) Thomas Jusquiame, 「자동 감시 시스템의 무대 뒤」, <르몽드 디플로마티크> 프랑스어판, 2023년 2월.
(3) Thomas Allard 인용, 「감시: 미래의 시스템은?」, <Science & Vie>, 몽루주(Montrouge), 2023년 9월.
(4) “안면 인식: 통제의 필요성과 개인정보 보호 사이 – 도구, 과제, 보장책”, 국립 보안·사법 고등연구소(INHESJ), 제30회 국가 세션 “보안과 사법”, 2018~2019, La Quadrature du Net 웹사이트에서 확인 가능, www.laquadrature.net.
(5) Cédric Villani, “인공지능에 의미를 부여하다: 국가 및 유럽 전략을 위한 제안”, 국회 임무 보고서, 파리, 2018년 3월.
(6) Alexandre Piquard, 「개인정보 보호가 AI 발전의 조정 변수로 전락해서는 안 된다」, <르몽드>, 2024년 11월 24일.
(7) Pascale Idoux, 『규제의 시대, 행정법에서의 시간 개념』 , Dalloz, 파리, 2022년.
(8) Benjamin Lemoine & Antoine Vauchez, 「법적 주권의 거래」, <Actes de la recherche en sciences sociales>, 제251호, 파리, 2024년.
(9) Franz L. Neumann, 「현대 사회에서 법의 기능 변화」, William E. Scheuerman 편집, 『포위된 법치주의: 프란츠 L. 노이만과 오토 키르히하이머의 선집』, University of California Press, 버클리, 1996년.
(10) Hermann Heller 인용, 「권위주의적 자유주의?」, Grégoire Chamayou 편집, 『권위주의적 자유주의에 대하여』, La Découverte, 파리, 2020년.