트럼프 대통령은 2021. 1. 19. 행정명령(Executive Order, 이하 “EO”) 13984를 통해 미국 상무부에게 미국의 소위 “클라우드 업체”, 즉 서비스형 인프라(Infrastructure as a Service, 이하 “IaaS”) 제공업체가 해외 고객의 신원을 확인하고 미국 정부에 보고하도록 요구하는 규칙을 제정하도록 지시하였습니다.
나아가 바이든 대통령은 2023. 10. 30. EO 14410을 발표하여 위 신원 확인 및 보고 의무를 미국 IaaS의 해외 리셀러에게도 확대하였습니다. 또한 EO 14410는 미국 상무부가 해외 기업이 대형 AI 모델(large AI model) 훈련을 위해 미국 IaaS 이용 시 해당 미국 IaaS 제공업체가 이를 미국 상무부에게 보고하도록 하는 의무를 부과하는 규칙을 마련하도록 하였습니다.
이에 대응하여 미국 상무부는 2024. 1. 29. 미국 IaaS 제공업체와 그 해외 리셀러가 해외 고객의 신원을 확인하고, 해외 고객이 대형 AI 모델 훈련에 자사 IaaS를 사용하는 경우 이 사실을 미국 정부에게 보고하도록 하는 규칙안(Proposed Rule, 이하 “규칙안”)을 발표하였습니다. 즉, 규칙안은 미국 IaaS 업체가 KYC 의무를 이행하여 직접 고객뿐만 아니라 최종 고객까지도 파악하여 미국 정부에게 보고하도록 하고 있습니다.
미국 상무부는 규칙안 발표 시 그 목적이 외국인이 IaaS를 이용하여 악의적인 사이버 활동에 사용될 수 있는 대형 AI 모델을 훈련시켜 미국 안보를 위협하는 것을 방지하기 위함이라고 밝혔습니다. 하지만 러몬도 미국 상무부 장관은 지속적으로 중국을 미국 정보 보안에 대한 위협으로 발표해 왔으며, 동 규칙안을 발표하면서도 중국을 구체적인 타겟으로 언급하였습니다. 따라서 전문가들은 규칙안의 실제 제정 목적은 중국이 미국의 AI용 첨단 반도체 수출에 대응하여 AI용 첨단 반도체를 활용한 클라우드 컴퓨팅 서비스를 통해 AI 개발에 필요한 연산력을 우회적으로 확보하는 것을 방지하기 위함인 것으로 보고 있습니다.
규칙안의 주요 내용
1. 고객 식별 프로그램(Customer Identification Program) 도입 의무화
규칙안에 의하면, 미국 IaaS 제공업체는 고객 식별 프로그램(Customer Identification Program, 이하 “CIP”), 즉 고객의 신원을 확인하는 절차를 도입해야 합니다.
CIP에는 잠재적 고객과 그 실소유자(beneficial owners)의 신원을 확인하는 절차가 포함되어야 합니다. 위 절차를 거쳐 잠재적 고객 또는 그 실소유자가 미국인임이 확인되면 추가 추적이 필요하지 않습니다. 그러나 잠재적 고객 또는 그 실소유자가 외국인임이 밝혀지는 경우, IaaS 제공업체는 해당 고객의 이름, 주소, 결제 수단 및 출처, 이메일 주소, 전화번호, IP 주소를 수집해야 합니다. 위 정보를 검증한 결과 고객 또는 그 실소유자의 실제 신원이 불분명하다고 판단되는 경우, 미국 IaaS 제공업체는 (1) 계좌를 개설해주지 않거나, (2) 추가 검증을 시도하는 동안 제한적인 권한만 부여된 계정만을 제공하거나, (3) 관련 계정을 폐쇄하거나 추가 모니터링을 진행하거나, (4) 시정조치 기간을 정해야 합니다. 또한 CIP는 고객이 실소유자에 대한 정보를 업데이트하고, 자신이 제공한 정보의 정확성을 주기적으로 확인하도록 하는 절차를 포함해야 합니다.
CIP 도입 의무는 미국 IaaS 공급업체에게만 부과되나, 규칙안에 의하면 미국 IaaS 제공업체는 (1) 미국 IaaS 제품의 해외 리셀러가 CIP를 도입하고 유지하도록 보장하고, (2) 미국 상무부의 요청이 있는 경우 10일 내에 해외 리셀러의 CIP를 미국 상무부에 전송해야 하므로, 해외 리셀러에게도 CIP 도입 의무가 간접적으로 부과될 것으로 보입니다. 한편, 미국 상무부는 일정한 경우 일부 미국 IaaS 제공업체의 CIP 도입 및 유지 의무를 면제할 수 있습니다.
미국 IaaS 공급업체는 매년 미국 상무부에 해당 업체가 적합한 CIP를 유지하고 있음을 증명하는 CIP 인증서를 제출해야 합니다. 또한 미국 IaaS 공급업체는 미국 상무부에 해외 고객 또는 실소유자 신원 확인에 사용되는 소프트웨어, 고객 식별 정보의 지속적인 확인을 위한 프로세스, 대형 AI 모델 훈련을 위해 IaaS를 사용하는 해외 고객을 식별하는 절차 등의 정보를 보고해야 하며, 비즈니스 운영, 기업 구조, CIP 구현 등과 관련된 중대한 변경 사항이 있으면 지속적으로 정보를 업데이트해야 합니다.
2. 해외 고객의 대형 AI 모델 학습에 대한 보고 의무 부과
규칙안에 따르면, 미국 IaaS 제공업체는 외국인 고객이 “악의적인 사이버 활동에 사용될 수 있는 잠재적 기능을 갖춘 대형 AI 모델(large AI models with potential capabilities that could be used in malicious cyber-enabled activity)”을 훈련하기 위해 해당 업체와 “대상 거래(covered transaction)”를 할 때마다 해당 고객의 이름, 연락처, 결제 정보, 작업 횟수, 작업 기간, AI 모델 이름 등의 정보를 포함한 보고서를 미국 상무부에 제출해야 합니다.
보고 대상인 “대상 거래”는 외국인이, 외국인을 위하여, 또는 외국인을 대신하여 악의적인 사이버 활동에 사용될 수 있는 잠재적 기능을 갖춘 대형 AI 모델을 훈련시키는 결과를 초래하거나 초래할 수 있는 모든 거래, 또는 원래는 그러한 훈련을 초래하지 않았지만 훈련 절차 및 모델 기능의 개발 또는 업데이트로 인해 그러한 훈련을 초래할 수 있는 모든 거래로 매우 폭 넓게 정의됩니다.
미국 IaaS 제공업체는 대상 거래가 발생한 날 또는 그 사실을 안 날로부터 15일 이내에 위 보고서를 제출해야 합니다. 해외 리셀러가 대상 거래를 한 경우, 미국 IaaS 제공업체는 대상 거래가 발생한 날 또는 그 발생 사실을 안 날로부터 15일 이내에 해외 리셀러로부터 보고서를 제공받아야 하고, 거래 발생일로부터 30일 이내에 미국 상무부에 위 보고서를 제출해야 합니다.
규칙안의 영향 및 시사점
의견제출기간(90일)이 도과하고 규칙안이 확정된다면, 미국 IaaS 제공업체는 CIP를 도입하고 인증서를 제출해야 하며, 해외 고객이 IaaS를 활용하여 대형 AI 모델을 학습하는 경우 미국 상무부에 보고해야 합니다. 또한 미국 IaaS 제공업체들은 해외 리셀러들도 CIP를 도입하고 보고 의무를 이행할 수 있도록 관리ㆍ감독하는 프로세스를 마련해야 합니다. 따라서 일부 미국 IaaS 제공업체들은 위 규칙 도입으로 인하여 추가 비용이 과다하게 발생하여 해외 유사 서비스 제공업체에 대비하여 경쟁력이 감소할 것을 우려하고 있습니다.
특히 이번 규칙 제정으로 중국 시장에서 미국 IaaS 제공업체들의 영향력은 더욱 줄어들 가능성이 클 것으로 보입니다. 한국지능정보사회진흥원(NIA) 디지털서비스 이슈리포트 ‘2022년 중국의 클라우드 산업 현황’ 보고서에 따르면, 이미 중국의 클라우드 인프라 시장점유율의 80%를 알리바바클라우드(37%), 화웨이클라우드(18%), 텐센트클라우드(16%), 바이두AI클라우드(9%) 등 중국 기업들이 차지하고 있는데, 이번 규칙 제정으로 중국의 IaaS 제공업체들은 중국 시장 내 지배력을 더욱 강화할 수 있을 것으로 보입니다.
또한, 미국이 이미 중국에 대한 AI용 첨단 반도체의 수출을 통제하고 있는 상황에서 이번 규칙 제정을 계기로 중국이 자체 AI 반도체 강화에 더욱 총력을 기울일 가능성이 큽니다. 실제로 대중국 수출이 금지된 엔비디아 AI칩 ‘A100’의 대체제로 화웨이가 개발한 ‘910B 어센드AI칩’ 등이 이미 출시되었고, 중국 기업들도 점차 AI칩의 주문처를 중국 기업으로 옮기고 있어 이번 상무부의 규칙안이 어떠한 영향이 미칠지 그 이목이 집중되고 있습니다.
대륙아주 코멘트
규칙안이 중국을 타켓팅하여 제정된 것이라 하더라도, 미국 IaaS를 직접 활용하거나 중국 등 외국 기업과 협업하여 활용할 예정인 국내 AI 스타트업은 이번 규칙 제정으로 회사의 작업 횟수, 작업 기간 등 상세한 정보가 미국 정부에 제공될 것을 염두에 두어야 합니다.
반대로 미국 IaaS 제공업체와 협업하려는 국내 기업 역시 규칙을 이해하고 그 동향을 지속적으로 살펴야 할 것으로 보입니다. 규칙에 따라 보고 의무 등이 부여된 대상은 미국 IaaS 제공업체 및 그 해외 리셀러들이고, 미국 상무부는 이들의 협력업체 또는 자회사는 대상이 아니라고 밝히기는 하였으나, 미국의 AI 반도체 수출통제의 강도가 심화되고 있는 현 상황에서 규칙 적용 대상이 확대될 가능성도 존재하기 때문입니다.
미국 상무부의 규칙안 제정은 미국 정부의 강력한 대중국 수출통제 기조가 장기화될 것임을 시사합니다. 따라서 이번 규칙안 시행으로 직접적인 영향을 받지 않는 국내 기업들도 미국과 중국의 무역 정책 변화에 주의를 기울이면서 현 국제통상 질서에 대한 장기적인 관점의 대비책을 마련하여야 할 것으로 보입니다.
대륙아주의 GCG, 워싱턴 D.C. 연락사무소 및 D&A Advisory Inc.는 국내 기업들에게 미국과 중국의 무역 정책 변화에 즉각적으로 대응하기 위해 필요한 정확한 정보를 전달하고, 내부통제제도(컴플라이언스)와 관련하여 적절한 전략을 수립하기 위하여 제반 서비스를 제공하고 있습니다.
앞으로도 대륙아주는 필요한 경우 기업과 상호 긴밀한 협조를 통해 신속 대응할 수 있도록 국제 무역 정책을 면밀히 모니터링하고 주시하겠습니다.
출처: 미국 상무부, 대한무역투자진흥공사(KOTRA), 로이터 통신, 한국지능정보사회진흥원(NIA)