Gen AI로 법적 행동 비용이 저렴해지다 — 기업들이 대비해야 할 이유

작년, 미국 재무부는 암호화폐 관련 공시를 늘리기 위해 새로운 규칙을 제안했습니다. 암호화폐 업계는 이 의무가 지나치게 광범위하다고 생각했고 강하게 반발했습니다. 그 과정에서 예상치 못한 동맹이 나타났습니다.

"LexPunk Army"라는 이름의 커뮤니티가 있는데, 이들은 탈중앙화 금융 산업을 위해 오픈 소스 법률 지원을 제공하는 변호사와 개발자들로 구성되어 있습니다. 이들은 누구나 제안된 규칙에 대해 의견을 제출할 수 있도록 AI 봇을 출시했습니다. 이 AI 봇은 세 가지 주요 효과를 낳았습니다. 첫째, 누구든지 올바른 형식으로 쉽게 의견을 제출할 수 있게 되었습니다. 둘째, 엄청난 양의 의견이 재무부의 행동을 지연시키거나 규칙을 위험에 빠뜨릴 가능성을 높였습니다. 셋째, 향후 법적 도전을 위한 기반이 마련되었습니다.

대부분의 새로운 규제는 평균적으로 세 개의 의견을 받는데, 이번 규칙은 12만 개의 의견을 받았습니다. 최종적으로 제안이 확정되었을 때, 이는 Blockchain Association이 "우리 산업과 커뮤니티의 강력한 목소리의 증거"라고 표현할 정도로 완화된 형태로 나타났습니다.

이것이 단순히 기술과 법에 능숙한 틈새 집단의 일회성 승리일까요? 아니면 개인과 기업이 법률과 소통하는 방식에서 더 큰 변화의 전조일까요?

우리는 후자라고 믿습니다. 이는 기술이 법률 서비스와 프로세스를 새로운 방식으로 증폭시켜 정부와 기업에 엄청난 가능성과 도전을 동시에 제기하는 전형적인 사례입니다.

불타는 세상

법률의 디지털화만이 변화하는 것은 아닙니다.

현재 세계는 지정학적 불안정성과 법치주의의 쇠퇴 속에 있습니다. 이는 법적 노출을 더욱 증가시키고 있습니다. 기업의 행동을 규제하는 전통적인 법적 안전장치들이 무너지고 있습니다. WTO의 판결 절차는 무력화되었고, 새로운 전쟁은 새로운 제재를 의미합니다. 각국이 자체 규제를 추구하면서 준수해야 할 규칙의 복잡성은 스파게티처럼 얽히고 있습니다. 정치인들은 경쟁자를 기소하고, 전통적으로 공정한 지역에서도 선거에 도전할 것이라고 위협하고 있습니다.

이 모든 혼란은 글로벌 기업들에게 새로운 법적 노출을 제공합니다. 2022년 조사에 따르면, 사내 변호사들 중 99%가 "상당히" 더 많은 수의 법적 문제를 다루고 있으며, 이들 문제 또한 더 복잡하다고 답했습니다. 법적 행동은 경쟁사, 직원, 고객, 혹은 경제적 또는 정치적 이익을 노리는 정부 규제 기관 등 다양한 주체로부터 발생할 수 있습니다.

법적 비용의 붕괴

기업들은 매년 수억 달러를 법률 서비스에 지출할 수 있습니다. 이러한 기업들의 변호사 비용이 시간당 수천 달러에 달하는 상황에서 법적 비용이 감소하는 것처럼 보이지 않을 수 있습니다. 하지만 이는 근본적으로 바뀔 것입니다.

재무부의 암호화폐 규칙을 예로 들어 보겠습니다. 이 규칙은 약 10만 단어로 구성되어 있었습니다. 평균적으로 분당 225단어를 읽는다면, 이를 읽는 데만 거의 8시간이 소요됩니다. 그리고 답변을 작성하는 데 추가로 두 시간이 걸릴 수 있습니다. 이는 분석 시간은 제외하고, 단순히 소화하고 응답을 작성하는 데 걸리는 시간입니다. 평균 기업의 시간당 요금이 500달러인 상황에서, 이 10시간의 작업은 5,000달러에 달할 것입니다. 더 비싼 변호사들이 더 광범위한 작업을 한다면, 비용은 더욱 높아질 수 있습니다.

우리는 이 제안된 암호화폐 규칙을 여러 소비자 대상 대형 언어 모델(LLM)과 공유했으며, 이 모델들은 몇 분 만에 간결하고 이해하기 쉬운 개요를 생성했습니다. 또한 LLM에게 비트코인 브로커나 비트코인 구매자와 같은 다른 역할을 맡도록 요청했을 때, 왜 관심을 가져야 하는지 설명하고 제출할 수 있는 의견 초안을 작성했습니다. 이는 시간과 비용이 거의 들지 않았습니다.

이 도구들이 당신의 회사에 대해 무기로 사용된다면 어떨까요? 예를 들어, 새로운 시장에 진출했는데 경쟁사가 위협을 느껴 법적 공세를 시작하기로 결정했다고 가정해 보겠습니다. 그들은 AI 도구를 사용해 회사의 공개 정보를 뒤져 수백 건의 저작권 침해, IP, 영업 비밀 도용 사건을 제기할 수 있습니다. 규모가 너무 커서 무시하거나 소액으로 합의하기 어렵게 될 것입니다.

혹은 레스토랑이나 커피숍을 운영한다고 가정해 보세요. 식당에 들어오는 모든 스마트폰이 직원들의 행동을 촬영하고 차별 소송을 제기하는 몇 번의 클릭으로 가능해진다면 어떻게 될까요? 법적 노출 위험이 크게 높아지게 됩니다.

마지막으로, 고객 중 한 명이 당신의 회사에 대해 소송을 제기했다고 가정해 봅시다. 전통적으로 그들은 소송 비용이 높기 때문에 고객 서비스 절차를 따를 것입니다. 그러나 몇 번의 클릭으로 불만을 제기해 더 높은 보상을 받고, 방어하는 데 더 많은 법적 비용이 들도록 하는 플랫폼을 사용할 수 있다면, 그 버튼을 누르지 않을까요?

오늘날 많은 기업들은 법적 집행 비용이 비싸기 때문에 부적절한 행동을 저질러도 큰 문제 없이 넘어갈 수 있습니다. 직원이나 고객, 혹은 경쟁사들이 법적 싸움이 시간과 비용이 많이 들고 주의가 산만해질 수 있기 때문에 공격적으로 나서기 전에 많은 고민을 해야 합니다. 법적 행동이 훨씬 쉬워진다면, 많은 사람들이 행동을 취하게 될 것입니다. 이는 기업들이 보유한 더 많은 법적 자원과 전문 지식으로 인해 생기는 비대칭적 이점을 제거함으로써 공평한 경쟁의 장을 제공합니다.

일부 경우에는 정의에 도움이 되지만, 다른 경우에는 부당한 공격자에게 힘을 실어줍니다. 어쨌든 이는 기업들에게 새로운 법적 위험 세상을 만듭니다.

새로운 사이버 리스크

이러한 세상은 법적 위험에 있어 새롭지만, 수십 년 동안 대량 위험에 대처해 온 사이버 보안에는 익숙합니다. 다가오는 대규모 법적 행동의 물결에 대처하기 위해 사이버 보안으로부터 교훈을 얻을 수 있습니다.

수백 개의 기업이 자신들이 직면한 법적 행동의 유형과 이를 발생시키는 기술 엔진에 대한 데이터를 공유한다고 상상해 보세요. 또는 이를 공동으로 공유하고 취약성을 줄이기 위해 기술에 투자한다고 생각해 보세요. 이는 사이버 보안에서 흔히 볼 수 있는 일입니다. Common Vulnerabilities and Exposures (CVE) 시스템부터 국가 취약성 데이터베이스까지, 정부, 기업, 학계, 버그 바운티 헌터들은 데이터를 공유하는 법을 배웠습니다.

많은 CEO와 법률 고문들이 회사의 법적 취약성과 노출을 공유하는 것이 좋은 생각이라고 생각하기 어려울 것입니다. 이들은 특권과 기밀성, 그리고 반독점에 대한 우려로 인해 즉각적으로 반대할 것입니다. 이는 명확한 행위자가 특정 법적 행동을 취하는 기존 법적 위험의 형태에 기반한 위험 계산에서 비롯된 것입니다.

미래의 법적 위험은 인터넷 "피싱" 공격과 유사한 법적 사냥 탐사와 같을 것입니다. 덜 개인적이고 대량으로 생산된 행동들이 다수의 행위자에 의해 시작될 것입니다. 일단 조정이 되면, 이는 서비스를 다운시키기 위해 엄청난 트래픽으로 표적을 압도하는 분산 서비스 거부(DDoS) 공격과 매우 유사해질 것입니다. 이는 재무부가 규칙 제안을 늦추기 위해 엄청난 의견으로 압도되었던 상황과 유사합니다.

DDoS 공격은 사소한 골칫거리일 수 있지만, 그렇지 않을 때도 있습니다. 서버에 대한 요청은 인터넷의 일부이며, 규칙 제안에 대한 의견 제출은 행정법의 일부이며, 고객 불만 접수는 단순히 소비자 권리의 실행에 불과합니다. 그러나 너무 많은 요청이 한 번에 들어오면 시스템이 무너집니다.

사이버 보안에서 기본 입장은 사이버 불안정성이 범죄자와 적대자 외에는 모두에게 나쁘다는 것입니다. 기업이 공격에 대비하여 스스로를 — 그리고 민감한 고객 데이터를 — 보호하기 위해 조치를 취하지 않은 경우 책임을 물을 수 있지만, 대부분의 경우 기업은 피해자로 간주됩니다.

예를 들어, Petya (2016)와 NotPetya (2017)는 유사한 취약성을 이용해 동일한 방식으로 사용자의 파일을 암호화하는 공격이었지만, 목적은 달랐습니다. Petya는 몸값을 요구하는 랜섬웨어로 범죄자들에 의해 배포되었습니다. 비용을 지불하면 데이터를 되찾을 수 있었습니다. 반면 NotPetya는 러시아가 단순히 데이터를 파괴하기 위해 배포한 것으로 추정됩니다. Maersk와 같은 공격을 당한 기업들은 피해자로 간주되었습니다.

러시아 또는 다른 국가 행위자가 기업이나 그들이 의존하는 이미 과중한 법적 시스템을 통해 법적 시스템에 유사한 공격을 가하지 않을 이유가 있을까요? 예를 들어, 북한, 러시아, 이란은 모두 미국의 인종 차별과 불평등한 정의 접근을 비난했습니다. 그들은 AI를 활용한 소송 서비스를 불만을 가진 고객이나 경쟁자들에게 제공하여 미국과 그 성공적인 기업들을 난처하게 만들고자 할까요?

많은 잠재적 범죄자들이 자신의 행동에 대한 징역형 위협에 의해 제지되지만, 공격적인 법적 전략을 추구하는 것은 매우 합법적입니다. 사실, 공세로 나서는 것이 정의를 얻고 권력의 역학을 재조정하는 더 효율적인 방법이라고 스스로를 설득하는 것은 어렵지 않습니다.

법적 위협의 홍수가 증가함에 따라 누가 단순히 보상을 원하고 누가 기업을 고통스럽고 당황스럽게 만드는 공개 단계로 몰아넣으려는 것인지를 구별하는 것이 점점 더 어려워질 것입니다. 홍수 속에서 신호와 잡음을 구별하는 것은 어렵고, 기업들은 법적 위험을 필터링하기 위한 새로운 기술이 필요할 것입니다. AI로 AI와 싸우는 것이 자연스러운 결과가 될 것입니다.

새로운 법적 방어막

현재, 기업들은 중요한 법적 위험을 이사회 회의에서 가장 자주 다루며, 법적 행동이나 소송이 재무상 중요한 수준에 도달할 때 비로소 기업 리스크 레이더에 포착됩니다. 하지만 이는 미래의 법적 위험을 위한 적절한 필터링 메커니즘이 아닙니다.

이 새로운 현실에 대비하기 위해 기업들은 사이버 보안 대비책에서 배울 필요가 있습니다. 구체적으로, 기업들은 취약성, 새로 떠오르는 위협과 잠재적 영향, 리스크 완화 조치, 내부 및 외부 이해관계자에 대한 커뮤니케이션 전략을 더 잘 이해하기 위해 빠르게 조치를 취해야 합니다. 예를 들어, 법률 회사 DLA Piper는 기업들과 함께 취약성을 식별하기 위한 "법적 레드 팀" 연습을 진행합니다.

우선 기본적인 접근 방식과 전략을 수립하세요. 증가하는 법적 리스크를 관리하기 위해 기술에 투자하기로 결정할 수도 있습니다. 물론 문제 해결에 사람을 투입하는 것은 오랜 방법이기도 합니다. 사내 변호사를 늘리거나 외부 로펌에 아웃소싱하는 것도 당분간은 효과가 있을 수 있습니다.

다음으로, 기업 전략과 법률 팀을 연결해 현재 기업의 활동 범위를 생각해 보세요. 주요 시장은 어디인가요? 시장 점유율을 위해 어떤 일이든 할 경쟁자가 있는 곳은 어디인가요? AI 기반 법적 공격이 증가할 경우 노출될 법적 시스템은 어디에 있으며, 이러한 시스템은 어떻게 대응할까요? 떠나는 것이 더 이익이 되는 지역이 있는가요? 지금 취약성을 줄이기 위해 취할 수 있는 완화 조치는 무엇인가요?

또한, 세상이 어떻게 돌아가는지 모니터링하는 것이 중요합니다. 법적 위험에 대한 CVE 시스템은 없지만, 법적 작업을 디지털화하고 법적 시스템의 투명성을 높이려는 노력 덕분에 일부 국가에서는 사용할 수 있는 데이터가 부족하지 않습니다. 기존 법적 위험에 대한 데이터를 추가하면, 꽤 괜찮은 출발점을 얻을 수 있을 것입니다.

리스크가 식별되면 대응 팀을 구성하고 리스크에 대응할 시스템과 프로세스를 설계할 수 있습니다. NIST CSF 2.0과 같은 사이버 보안의 모범 사례 프레임워크를 검토하고 내부 사이버 보안 팀과 이야기해 보세요. 법률 고문들은 CISO가 보안 운영 센터(SOC)를 운영하는 방식에서 많은 것을 배울 수 있을 것입니다.

협력을 환영하는 외부 파트너를 찾아보세요. 업계 단체, 파트너 기업, 일부 정부 기관은 특정 유형의 공격에 대한 더 포괄적인 대응 방안을 개발하는 데 도움을 줄 수 있습니다. 예를 들어, 지적 재산권에 대한 경솔한 소송이 몰려들 경우, 규제 또는 입법 지원을 요청할 근거가 될 수 있습니다.

마지막으로 주의해야 할 점은 이 위험을 과소평가하지 않는 것입니다. 기술이 이를 가능하게 했기 때문에 재무부는 12만 개의 의견을 검토해야 했습니다. 법적 홍수가 도래하기 전에 대비하십시오.