메타가 유럽연합(EU)의 일반 목적 인공지능(GPAI) 실천 규범(Code of Practice)에 서명하지 않기로 공식화하면서, 빅테크의 규제 전략이 다시 갈림길에 섰다. 해당 규범은 8월 2일부터 본격 적용되는 EU AI법(AI Act)을 앞두고 기업들이 자발적으로 준비하도록 설계된 가이드라인 성격의 장치다. 메타는 “법적 불확실성”과 “과도한 부담”을 이유로 들었지만, 오픈AI는 서명 의사를 밝히며 정반대 행보를 택했다.

이 같은 입장차는 단순한 찬반이 아니라, 국제 규제의 속도와 범위가 커지는 국면에서 각 기업이 컴플라이언스와 제품 확장 사이의 균형을 어디에 두는지 보여준다. 특히 EU가 ‘소프트 로우’로 불리는 실천 규범을 통해 사실상 시장 표준을 만들려는 가운데, 메타는 내부 메커니즘을 조정해 변화 대응에 나서면서도 서명 자체는 거부하는 방식을 선택했다. AI가 국경을 넘는 서비스인 만큼, 이번 결정은 유럽을 넘어 미국·아시아 기업들의 규정 준수 체계와 기업 정책에도 파급을 낳을 가능성이 크다.

메타, EU GPAI 실천 규범 서명 거부로 드러난 규제 변화 대응 전략

메타는 EU가 제시한 GPAI 실천 규범에 참여하지 않겠다고 밝히며, 규범이 AI Act의 취지를 넘어설 수 있다는 논리를 폈다. 메타 글로벌 정책 총괄 조엘 카플란(Joel Kaplan)은 공개 발언을 통해 해당 문서가 기업들에 법적 불확실성을 남기고, 결과적으로 최첨단 모델의 유럽 내 배포를 위축시킬 수 있다고 주장했다.

이번 실천 규범은 법적 구속력은 없지만, EU가 “서명 기업은 향후 적합성 평가에서 유리한 해석 가이던스를 받을 수 있다”는 취지로 설계한 것으로 전해졌다. 규범이 ‘자율’이라는 외피를 두르더라도, 실무에서는 국제법 및 역내 규제의 해석과 집행 흐름을 좌우할 수 있다는 점에서 업계의 긴장감은 커졌다.

메타의 선택은 AI뿐 아니라 플랫폼 산업 전반에 걸친 규제 변화의 현실을 떠올리게 한다. 디지털 기업들이 국가별로 다른 감독 프레임에 맞춰 내부 통제를 재설계하는 흐름은 가상자산 업계에서도 반복됐다. 예컨대 각국의 감독 강화 국면에서 거래소들이 운영·내부통제 구조를 바꾸는 사례는 거래소 규제 조정 흐름에서도 확인된다. AI 기업들도 결국 비슷한 방식으로 리스크 관리 체계를 촘촘히 재구축해야 하는 국면에 들어섰다는 해석이 나온다.

실천 규범의 핵심 조항과 ‘소프트 로우’의 압력

보도에 따르면 실천 규범은 독립 전문가들이 작성한 형태로, 학습 데이터 투명성, 저작권 준수 방침, 시스템 리스크 평가, 레드팀 훈련, 중대 인시던트 보고, 사이버 방호 등 운영 전반을 포괄한다. AI Act가 시행되면 위반 시 전 세계 연매출의 최대 7% 또는 3,500만 유로의 벌금이 가능하다는 점도 기업들이 민감하게 보는 대목이다.

메타는 특히 오픈 모델 생태계와의 충돌 가능성을 강조해 왔다. 예컨대 학습 데이터 요약 공개가 제3자의 오해를 낳거나, 저작권 관련 요구가 미국의 공정 이용(fair use) 논리와 긴장관계를 만들 수 있다는 취지다. 규범이 법적 의무가 아니라는 점을 들어 서명을 미루면서도, 내부적으로는 감사·리스크 평가 절차를 강화하는 식의 메커니즘 조정을 진행하는 것으로 알려졌다.

오픈AI와 마이크로소프트가 택한 ‘규정 준수’ 노선, 그리고 시장의 계산

메타와 달리 오픈AI는 실천 규범에 서명 의사를 밝히며 규제 친화적 경로를 택했다. 오픈AI는 유럽에서 챗GPT의 데이터 활용 및 보안 이슈로 조사를 받은 전력이 있고, 이후 투명성 강화와 안전 체계 고도화에 무게를 둔 것으로 전해진다. 규제기관과의 마찰 비용이 커질수록, 제도권 안에서 운영 리스크를 낮추려는 선택이 합리적이라는 판단이 깔려 있다는 분석이다.

로이터는 2025년 7월 19일 “마이크로소프트는 서명 의향, 메타는 거부”라고 보도한 바 있다. 마이크로소프트는 브래드 스미스(Brad Smith) 사장이 ‘책임 있는 AI’와 국제 표준 참여를 강조해왔고, 유럽 시장에서 Azure OpenAI Service와 Copilot을 전개하는 데 있어 규정 준수가 사업의 전제 조건이 될 수 있다는 점이 배경으로 거론된다.

이 구도는 다른 규제 산업에서도 반복되는 전략 차이를 떠올리게 한다. 가상자산 시장에서도 규제 불확실성이 커질 때 기업이 “협조”와 “재편” 중 무엇을 선택하느냐가 성패를 좌우해왔다. 예컨대 내부 통제 이슈가 경영 리스크로 번진 사례는 바이낸스 내부 컴플라이언스 갈등 보도에서도 언급돼 왔다. AI에서도 ‘준비 비용’이 단기 부담이 되더라도, 장기적으로는 시장 접근권을 지키는 보험이 될 수 있다는 시각이 힘을 얻는다.

EU AI법 시행이 만드는 산업 재편의 현실

EU AI법은 모델 학습 데이터에 대한 투명성, 보안 위험 공개, 저작권 준수 의무를 축으로 ‘고위험’ 영역을 엄격히 관리하려는 방향성을 분명히 했다. 이 체계가 안착하면, 유럽 내 AI 서비스는 제품 개발만이 아니라 문서화·감사 대응·사고 보고 체계를 포함한 컴플라이언스 운영 능력이 경쟁력의 일부가 된다.

그 과정에서 역내 기업과 글로벌 빅테크의 이해가 충돌하는 장면도 이미 나타났다. 에어버스, 메르세데스-벤츠, 필립스, ASML 등을 포함한 45개 기업이 EU에 AI법 시행의 2년 유예를 요구하는 공동서한을 보낸 사실은, 행정 부담이 혁신 속도를 떨어뜨릴 수 있다는 업계의 우려를 보여준다. 규제의 목표가 ‘안전’이라 하더라도, 실행 비용은 기업 규모와 사업모델에 따라 다르게 작동한다는 점이 이번 논쟁의 핵심이다.

국제 규제 경쟁 속 ‘스플린터넷’ 리스크와 메타의 기업 정책 재설계

EU의 프레임은 미국, 중국, G7 논의와 맞물리며 글로벌 규범 경쟁으로 번지고 있다. 미국은 NIST의 리스크 관리 프레임워크(RMF) 등 원칙 중심 접근이 이어지는 가운데, 국가·행정부별 기조 변화에 따라 규제 강도가 흔들릴 수 있다는 점이 변수로 꼽힌다. 중국은 생성형 AI에 대한 규칙을 별도로 정비해 일부 의무를 부과해 왔다.

문제는 세부 요건이 지역마다 맞지 않을 때다. 기업이 동일 모델을 여러 버전으로 운영하고, 배포 범위와 기능을 지역별로 잘라 관리해야 하는 ‘스플린터넷’ 위험이 현실화되면 개발·운영 비용은 급격히 늘어난다. 메타가 “유럽 내 배포와 성장 위축”을 거론한 것도 이 비용 구조를 의식한 발언으로 읽힌다.

메타는 서명 거부라는 메시지를 내면서도, 실제로는 국제 규제 환경에 맞춰 내부 컴플라이언스 메커니즘을 손질해야 한다. 리스크 평가, 외부 감사 대응, 인시던트 보고 체계는 물론이고, 오픈 모델 전략을 유지하는 범위에서 저작권·데이터 출처와 관련한 문서화 수준을 끌어올리는 과제가 뒤따른다. 결국 핵심은 ‘서명 여부’ 자체보다, 변화한 집행 환경에서 변화 대응을 어떻게 제도화하느냐로 옮겨가고 있다.

EU가 임시 가이드라인과 포맷을 구체화한 뒤에는, 서명하지 않은 기업에 대한 실무 심사가 더 엄격해질 가능성도 거론된다. 메타가 선택한 기업 정책의 방향이 유럽 시장에서 어떤 형태의 제품 출시, 파트너십, 투자 속도로 나타날지에 따라 빅테크 전반의 규제 전략도 다시 조정될 전망이다.