AI 기본법 생성형 AI 워터마크 표시 의무 — 어떤 결과물에 어떻게 표시해야 하나
AUCTORITAS LAB.
공간 분쟁 연구소. 조국환변호사팀.
AI 기본법상 생성형 AI 표시 의무는 "워터마크를 넣을지 말지"만의 문제가 아니다. 생성형 AI 결과물과 사회적 부작용이 우려되는 딥페이크 결과물은 이용자가 AI 생성 또는 조작 사실을 명확하게 인식할 수 있는 방식으로 표시해야 한다. 실무에서는 보이는 문구, 워터마크, 메타데이터, 서비스 화면 고지, 재유포 방지 조치를 함께 설계해야 한다.
표시 의무 대상은 생성형 AI 결과물과 딥페이크 결과물이다
표시 의무가 먼저 문제 되는 상황은 이용자가 AI가 만든 결과물인지 알기 어려운 경우다. 텍스트, 이미지, 음성, 영상, 합성 광고, 챗봇 답변, AI 프로필, 가상 인물 콘텐츠가 모두 문제 될 수 있다. 특히 실제 사람, 실제 사건, 실제 장소처럼 보이도록 만든 결과물은 표시 필요성이 커진다.
딥페이크는 별도로 봐야 한다. 사회적 부작용이 우려되는 딥페이크는 단순 생성물보다 더 강한 표시와 관리가 필요하다. 이용자가 실제 영상이나 실제 음성으로 오인할 수 있다면 표시가 작거나 숨겨져 있어서는 부족하다.
따라서 사업자는 결과물의 형식보다 이용자 오인 가능성을 먼저 봐야 한다. "이미지라서 표시", "텍스트라서 제외"처럼 나누면 위험하다. 실제와 구별하기 어려운지, 제3자 권리나 사회적 신뢰에 영향을 줄 수 있는지가 기준이 된다.
표시 방법은 이용자가 쉽게 알아볼 수 있어야 한다
표시 방법에서 가장 중요한 건 이용자가 쉽게 알아볼 수 있는지다. 단순히 약관 하단에 "AI가 사용될 수 있음"이라고 적는 방식은 결과물 표시로 보기 어렵다. 결과물 자체 또는 결과물에 접근하는 화면에서 AI 생성 사실이 드러나야 한다.
이미지와 영상은 보이는 라벨, 워터마크, 메타데이터를 함께 검토해야 한다. 음성은 시작 안내, 음성 중 안내, 파일명·설명란 표시를 검토할 수 있다. 텍스트는 게시물 상단, 챗봇 응답 영역, 문서 제목 또는 설명란 표시가 필요할 수 있다.
이용자 연령도 중요하다. 청소년이나 고령자 대상 서비스에서는 작은 아이콘이나 전문 용어만으로는 부족할 수 있다. "AI로 생성된 이미지입니다", "AI가 합성한 음성입니다"처럼 바로 이해되는 문구가 더 안전하다.
비공개 사용과 공개 배포는 다르게 설계해야 한다
내부 초안 작성처럼 외부 이용자에게 노출되지 않는 생성형 AI 사용은 공개 배포와 같은 방식으로 볼 수 없다. 그러나 내부에서 만든 결과물이 광고, 보도자료, 채용 안내, 금융 상담, 의료 안내처럼 외부로 나가면 표시 의무가 문제 될 수 있다.
문제는 재유포다. 최초 게시자는 표시를 했지만 제3자가 캡처하거나 편집해 표시를 지우는 경우가 생긴다. 이 때문에 사업자는 표시를 화면 문구 하나로만 두지 말고, 결과물 파일 자체에도 식별 정보를 남기는 방식을 검토해야 한다.
플랫폼 사업자라면 업로드·수정·공유 단계에서 표시가 유지되는지도 점검해야 한다. 이용자가 워터마크를 제거하거나 AI 표시를 숨기도록 기능을 설계하면 위반 리스크가 커질 수 있다.
위반 시 시정명령과 과태료 라인으로 이어질 수 있다
표시 의무 위반은 AI 기본법상 시정명령 대상이 될 수 있다. 제40조 제3항 라인은 표시·고지 의무가 제대로 이행되지 않았을 때 행정청이 시정을 요구하는 절차로 이해해야 한다.
과태료는 별도의 리스크다. 시정명령을 이행하지 않거나 사전 고지 의무를 위반하면 제43조에 따른 3천만 원 이하 과태료 문제가 생길 수 있다. 즉 표시 의무는 단순한 디자인 문제가 아니라 행정제재와 연결되는 컴플라이언스 항목이다.
실무적으로는 표시 기준표를 만들어야 한다. 결과물 유형, 공개 범위, 실제와의 유사성, 피해 가능성, 이용자 연령, 표시 위치, 표시 문구, 보관 로그를 정리하면 조사 대응도 쉬워진다.
EU AI Act와 비교하면 기술 표시와 이용자 고지가 함께 중요하다
EU AI Act도 특정 AI 시스템의 투명성 의무를 두고 있다. AI와 직접 상호작용하는 사람에게 AI 시스템과 상호작용 중임을 알리고, 합성 음성·이미지·영상·텍스트 결과물을 탐지 가능한 방식으로 표시하며, 딥페이크의 경우 인위적으로 생성·조작됐다는 사실을 공개하도록 한다.
이 비교에서 얻을 수 있는 실무 기준은 분명하다. 한국 AI 기본법 대응에서도 보이는 표시와 기술적 식별 조치를 분리하지 말아야 한다. 이용자에게는 알아보기 쉬운 표시가 필요하고, 플랫폼·사업자에게는 추적 가능한 식별 조치가 필요하다.
결국 생성형 AI 워터마크 의무는 "어떤 글자를 붙일 것인가"가 아니라 "오인 가능성을 줄일 수 있는 표시 체계를 만들었는가"의 문제다.
자주 묻는 질문
글이나 음성도 워터마크 표시 대상이 될 수 있나요?
그렇다. 표시 의무는 이미지에만 한정해 이해하면 안 된다. 텍스트와 음성도 실제 사람의 작성물이나 발언처럼 오인될 수 있다면 표시 방식을 검토해야 한다.
비공개 내부 사용 결과물도 표시해야 하나요?
외부 이용자에게 제공되지 않는 내부 사용은 공개 배포와 다르게 볼 수 있다. 그러나 내부 결과물이 광고, 안내문, 보도자료, 상담 자료로 외부에 나가면 표시 의무가 문제 될 수 있다.
워터마크를 넣었는데 제3자가 지우면 누가 책임지나요?
처음부터 제거가 쉽게 되도록 설계했는지, 표시 유지 조치를 했는지, 플랫폼이 제거를 방치했는지가 문제 된다. 표시했다는 사실만으로 모든 책임이 사라지는 것은 아니다.
딥페이크는 표시만 하면 문제가 없나요?
아니다. 표시 의무는 행정상 투명성 문제이고, 딥페이크 내용이 성착취물, 명예훼손, 사기성 광고에 해당하면 별도 형사·민사 책임이 생길 수 있다.
표시 문구는 어떻게 쓰는 것이 안전한가요?
이용자가 바로 이해할 수 있는 문구가 안전하다. "AI 합성 이미지", "AI가 생성한 음성", "AI로 조작된 영상"처럼 결과물 성격을 직접 드러내는 방식이 좋다.
작성: 조국환 변호사팀 | AUCTORITAS LAB