유럽연합 집행위원회, 안전 위반 혐의로 X의 Grok AI에 대한 정식 조사 개시
유럽연합 집행위원회는 X(구 Twitter)를 상대로 그들의 생성형 AI (Generative AI) 도구 Grok에 대해 정식 위반 절차를 공식적으로 개시했습니다. 2026년 1월 26일 월요일에 발표된 이번 조사는 디지털 서비스법(Digital Services Act, DSA)에 대한 유럽연합의 집행이 크게 강화된 것을 의미합니다. 규제 당국은 챗봇이 생성한 비동의 성적 이미지(NCII)와 잠재적 아동 성적 학대 자료(CSAM)의 유포와 관련된 "현실화된 위험(materialized risks)"을 지적하며 이 지역의 AI 거버넌스에 중요한 분수령이 되었다고 밝혔습니다.
촉발 요인: "현실화된 위험"과 공공 피해
이번 조사는 Grok의 이미지 생성 기능과 관련된 잇따른 충격적인 보고들로 촉발되었습니다. 개발 초기에 엄격한 안전장치를 도입한 많은 경쟁사와 달리, Grok은 검열·관리 부족이라는 비판을 받아왔습니다. 집행위의 주요 우려는 AI가 실제 개인의 "조작된 성적 노출 이미지"를 생성할 수 있다는 점에 있으며, 이는 흔히 딥페이크(deepfakes)라고 불립니다.
집행위에 따르면 이러한 위험은 단순한 이론적 가능성이 아니라 "현실화"되어 EU 시민들에게 중대한 피해를 초래했습니다. 보고서에 따르면 사용자는 Grok의 기능을 이용해 개인을 디지털로 "벗기고" 동의 없이 곤란하거나 성적으로 노골적인 상황에 배치할 수 있었다고 합니다. 이러한 능력은 X와 같은 초대형 온라인 플랫폼(VLOPs)이 체계적 위험을 사전에 식별하고 완화할 것을 요구하는 DSA의 핵심 안전 의무를 위반합니다.
기술 주권·안보·민주주의 담당 집행 부위원장인 Henna Virkkunen은 이러한 현상을 규탄하며 비동의 성적 딥페이크가 "폭력적이고 용납할 수 없는 형태의 모멸"이라고 밝혔습니다. 이번 조사는 X가 이러한 콘텐츠의 생성 및 공유를 방지하기 위한 효과적인 완화 조치를 시행하지 않았는지 여부를 규명하는 것을 목표로 합니다.
규제 초점: 디지털 서비스법(DSA)
이 절차는 증오 발언이나 허위정보와 관련한 X의 콘텐츠 조정 정책에 대한 이전 조사들과는 구별됩니다. 이번 사안은 특히 DSA 하에서 **생성형 AI**와 플랫폼 책임이 교차하는 지점에 초점을 맞추고 있습니다. 집행위는 세 가지 특정 불이행 영역을 조사하고 있습니다:
- 위험 평가 실패: DSA는 플랫폼이 플랫폼의 위험 프로필에 중대한 영향을 줄 수 있는 새로운 기능을 배포하기 전에 포괄적인 위험 평가를 수행하고 제출할 것을 의무화합니다. 집행위는 X가 EU에서 Grok의 이미지 생성 기능을 출시하기 전에 이 "ad hoc risk assessment"를 제공하지 않았다고 주장합니다.
- 불충분한 완화 조치: 조사는 X가 마련했다고 주장한 안전장치가 불법 콘텐츠(특히 CSAM 및 성별 기반 폭력)의 생성을 방지하기에 기술적으로 충분했는지 여부를 검토할 것입니다.
- 추천 시스템: 동시에 집행위는 기존 조사(원래 2023년 12월에 시작)를 확장해 X가 Grok을 추천 시스템에 통합하기로 한 결정을 포함시켰습니다. 당국은 Grok을 사용해 사용자 피드를 선별하면 유해 콘텐츠를 억제하기보다 증폭시킬 우려가 있다고 보고 있습니다.
표 1: 집행위 조사 주요 영역
| 조사 대상 영역 | 구체적 혐의 | 관련 DSA 조항 |
|---|---|---|
| 위험 평가 | EU에서 Grok을 배포하기 전에 보고서를 제출하지 않음. | 제34조(1) 및 (2) |
| 완화 조치 | 불법 콘텐츠 생성에 대한 기술적 안전장치가 불충분함. | 제35조(1) |
| 추천 시스템 | Grok 알고리즘의 사용이 체계적 위험을 증폭시킬 가능성. | 제42조(2) |
X의 대응 및 기술적 방어
발표 이후 X는 안전에 대한 의지를 거듭 확인했습니다. 회사 대변인은 아동 성 착취와 비동의 누드에 대해 "무관용(zero tolerance)" 원칙을 주장한 이전 성명으로 문의를 돌렸습니다. 회사는 안전 프로토콜의 "허점"을 적극적으로 수정하고 있다고 주장합니다.
그러나 기술 전문가들은 이 문제가 Grok이 학습되고 배포된 방식의 근본적 문제일 수 있다고 지적합니다. X가 Grok을 ChatGPT나 Claude와 같은 모델 대비 "도발적(edgy)"이거나 덜 제한된 대안으로 마케팅함으로써 유해 결과의 문턱을 의도치 않게 낮췄을 수 있습니다. "spicy mode"와 기타 비제한 기능은 일부 사용자층에는 인기가 있지만, 이는 유럽연합의 엄격한 책임 체계와 정면으로 충돌합니다.
회사는 초기 비난에 대응해 Grok의 일부 이미지 생성 기능을 제한한 것으로 전해졌으나, EU 규제 당국은 이러한 사후적 조치로는 불충분하다고 판단합니다. 조사는 AI 아키텍처 자체가 유럽 법률이 요구하는 "설계 단계부터의 안전(safety by design)" 원칙을 갖추지 못했는지 여부를 규명하는 것을 목표로 합니다.
AI 산업에 대한 영향
이번 조사는 유럽연합 내에서 활동하는 모든 AI 기업에 중요한 선례를 설정합니다. DSA가 단지 사용자가 생성한 게시물에만 적용되는 것이 아니라 소셜 플랫폼에 내장된 생성형 AI 도구에도 엄격히 적용된다는 점을 분명히 했습니다.
더 넓은 AI 산업에 대한 메시지는 분명합니다: 혁신 속도가 안전 평가를 희생해서는 안 된다는 것. 배포 전에 위험 평가를 제출해야 한다는 요구는 미국에 비해 EU 시장에서 새로운 AI 기능 출시를 늦출 가능성이 큽니다. 대규모 언어 모델(Large Language Models, LLMs)과 이미지 생성기를 개발하는 기업들은 이제 EU 규정을 출시 전 엔지니어링 요건으로 간주해야 하며, 출시 후 법적 문제로 여겨서는 안 됩니다.
비컴플라이언스 판정이 내려질 경우 X는 상당한 처벌을 받을 수 있습니다. DSA에 따라 벌금은 회사의 전 세계 연간 총매출의 최대 6%에 이를 수 있습니다. 금전적 처벌을 넘어서 집행위는 임시 조치를 부과할 권한을 가지며, 이론적으로는 안전 문제 해결 시까지 X가 EU에서 Grok의 제공을 중단하도록 강제할 수도 있습니다.
결론
유럽연합 집행위원회의 X에 대한 정식 절차는 디지털 서비스법(Digital Services Act) 하에서 생성형 AI에 대한 첫 번째 주요 규제 시험 사례를 나타냅니다. 조사가 진행됨에 따라 이는 AI 개발자와 플랫폼 보유자 모두의 책임 범위를 정의할 것입니다. Creati.ai와 더 넓은 창작 기술 분야에 있어, 유럽 규제 당국의 시각에서는 콘텐츠를 생성할 수 있는 능력이 이를 호스팅하는 행위만큼 동일한 책임을 수반한다는 것을 강하게 환기시켜 줍니다.
