EU AI Act 전면 시행
EU AI Act 전면 시행 — AI 산업의 게임 체인저가 현실이 되다
2024년 8월 1일, 유럽연합의 AI 규제법(EU AI Act)이 공식 발효되었습니다. 그리고 단계적 시행을 거쳐, 2025년 8월부터 범용 AI(GPAI) 규정이 적용되기 시작했고, 2026년 8월 2일이면 고위험 AI 시스템을 포함한 대부분의 규정이 전면 시행됩니다. 세계 최초의 포괄적 AI 규제 법안이 이제 '이론'이 아닌 '현실'이 된 셈입니다.
이 글에서는 EU AI Act가 왜 중요한지, 어떤 내용을 담고 있는지, 그리고 개발자와 기업이 지금 당장 알아야 할 것은 무엇인지 꼼꼼하게 살펴보겠습니다.
EU AI Act, 왜 지금 주목해야 하나요
EU AI Act는 단순한 유럽 내부 규정이 아닙니다. GDPR이 전 세계 개인정보 보호의 기준이 된 것처럼, AI Act 역시 글로벌 AI 규제의 사실상 표준(de facto standard)으로 자리 잡아가고 있습니다.
이 법의 핵심 철학은 명확합니다. "AI가 가져오는 혜택은 극대화하되, 인간의 기본권과 안전은 반드시 지킨다." 이를 위해 EU는 AI 시스템을 위험도에 따라 분류하고, 위험 수준에 비례하는 의무를 부과하는 '위험 기반 접근법(risk-based approach)'을 채택했습니다.
시행 일정을 정리하면 다음과 같습니다.
- 2025년 2월 2일: 금지된 AI 관행 및 AI 리터러시 의무 적용 시작
- 2025년 8월 2일: 범용 AI(GPAI) 모델 관련 거버넌스 규정 및 의무 적용
- 2026년 8월 2일: 고위험 AI 시스템 요건, 투명성 의무(Article 50) 등 대부분의 규정 전면 시행
- 2027년 8월 2일: 2025년 8월 이전 출시된 GPAI 모델도 규정 준수 필요
즉, 지금 이 시점에서 이미 금지 AI 관행과 GPAI 규정은 효력을 발휘하고 있으며, 올여름이면 나머지 규정까지 전면 적용됩니다.
4단계 위험 분류 체계 — 규제의 핵심 뼈대
EU AI Act의 가장 독창적인 설계가 바로 4단계 위험 분류 체계입니다. 모든 AI 시스템은 위험도에 따라 네 가지 등급으로 나뉘며, 등급이 높을수록 강력한 규제를 받습니다.
금지 위험(Unacceptable Risk) — 사용 자체가 불법
가장 높은 수준의 위험으로 분류된 AI 시스템은 EU 시장에서 사용 자체가 금지됩니다. 구체적으로 다음과 같은 사례가 해당합니다.
- 인지적 조작: 취약 계층(아동, 장애인 등)의 인지적 약점을 악용하는 AI
- 사회적 점수 매기기(Social Scoring): 공공기관이 시민의 사회적 행동을 평가해 점수를 매기는 시스템
- 실시간 원격 생체 인식: 법 집행 목적으로 공개 장소에서 실시간으로 생체 정보를 수집하는 시스템(극히 제한적 예외 존재)
- 감정 추론 AI: 직장이나 교육 기관에서 감정 상태를 추론하는 시스템
- 무차별 안면 인식 DB 구축: 인터넷이나 CCTV 영상을 무차별적으로 수집해 안면 인식 데이터베이스를 구축하는 행위
이 조항은 이미 2025년 2월부터 적용되고 있습니다. 위반 시 최대 3,500만 유로 또는 전 세계 연간 매출의 7% 중 높은 금액의 벌금이 부과됩니다.
고위험(High Risk) — 허용되지만 엄격한 조건 부과
EU 시장에서 사용할 수 있지만, 가장 강도 높은 규제를 받는 카테고리입니다. 다음과 같은 분야에서 사용되는 AI 시스템이 해당합니다.
- 필수 인프라 안전 관리: 교통, 에너지, 수도 등 핵심 인프라의 안전 구성 요소
- 교육 및 직업 훈련: 시험 채점, 학생 평가, 입학 심사 등
- 고용 및 인사 관리: 채용 공고 필터링, 이력서 심사, 면접 평가, 승진 결정
- 필수 서비스 접근: 신용 평가, 보험 심사, 공공 서비스 수급 자격 판단
- 법 집행: 증거 신뢰도 평가, 범죄 예측, 위험 평가
- 이민 관리: 비자 신청서 심사, 입국 심사 보조
- 사법 및 민주적 절차: 법률 해석 보조, 선거 관련 의사 결정 지원
고위험 AI 시스템 제공자는 사전 적합성 평가(conformity assessment), 기술 문서화, 사후 시장 모니터링, 사고 보고 체계를 갖춰야 합니다. 이 의무는 2026년 8월 2일부터 전면 적용됩니다.
제한적 위험(Limited Risk) — 투명성 의무
챗봇, 딥페이크 생성기 등 사용자와 직접 상호작용하거나 합성 콘텐츠를 생성하는 AI 시스템에 해당합니다. 핵심 의무는 투명성입니다. 사용자가 AI와 대화하고 있다는 사실, 또는 보고 있는 콘텐츠가 AI로 생성되었다는 사실을 반드시 알려야 합니다.
최소 위험(Minimal Risk) — 별도 규제 없음
스팸 필터, AI 기반 게임, 추천 알고리즘 등 대부분의 AI 시스템이 여기에 해당합니다. 별도의 법적 의무가 부과되지 않지만, 자발적인 행동 강령(code of conduct) 준수가 권장됩니다.
GPAI 규정 — 대규모 AI 모델을 겨냥한 특별 조항
EU AI Act에서 가장 뜨거운 주제 중 하나는 바로 범용 AI(General Purpose AI, GPAI) 모델에 대한 규정입니다. GPT-4, Claude, Gemini처럼 다양한 목적으로 활용될 수 있는 대규모 언어 모델(LLM)을 정면으로 겨냥한 조항이지요.
모든 GPAI 모델에 적용되는 기본 의무
GPAI 모델 제공자라면 규모와 관계없이 다음 의무를 준수해야 합니다.
- 기술 문서 작성 및 유지: 모델의 학습 과정, 평가 결과, 알려진 한계 등을 문서화
- 다운스트림 제공자를 위한 사용 설명서 제공: 모델을 활용해 서비스를 만드는 사업자에게 충분한 정보 제공
- 저작권 지침(Copyright Directive) 준수: EU 저작권법을 존중하는 학습 데이터 사용
- 학습 데이터 요약 공개: 모델 학습에 사용된 데이터의 충분히 상세한 요약을 공개
오픈소스(무료 및 오픈 라이선스) 모델의 경우 저작권 준수와 학습 데이터 요약 공개만 의무화되어 상대적으로 부담이 가볍습니다. 다만, 시스템적 위험이 있다고 판단되면 오픈소스라도 추가 의무를 적용받습니다.
시스템적 위험을 가진 GPAI 모델의 추가 의무
학습에 사용된 누적 연산량이 10^25 FLOPs를 초과하는 모델은 '시스템적 위험(systemic risk)'이 있는 것으로 분류됩니다. 현재 이 기준을 충족하는 모델에는 OpenAI의 o3, Anthropic의 Claude 4 Opus, Google의 Gemini 2.5 Pro 등이 포함됩니다.
이들 모델의 제공자는 기본 의무에 더해 다음을 수행해야 합니다.
- 모델 평가(Model Evaluation): 표준화된 프로토콜에 따른 체계적 평가
- 적대적 테스트(Adversarial Testing): 레드 팀 테스트 등을 통한 취약점 발굴
- 심각한 사고 추적 및 보고: 모델로 인한 심각한 사고 발생 시 유럽 AI 사무국에 보고
- 사이버 보안 보호: 모델과 물리적 인프라에 대한 적절한 사이버 보안 수준 확보
GPAI 행동 강령(Code of Practice)
2025년 7월 10일, 유럽 집행위원회는 GPAI 행동 강령 최종본을 발표했습니다. 이 문서는 투명성(Transparency), 저작권(Copyright), 안전 및 보안(Safety & Security) 세 챕터로 구성되어 있으며, GPAI 제공자들이 AI Act 의무를 실질적으로 준수할 수 있도록 돕는 자발적 가이드라인 역할을 합니다.
중요한 것은 "자발적"이라고 해서 무시할 수 있는 게 아니라는 점입니다. 2026년 8월 2일부터 유럽 집행위원회는 AI Act의 집행 권한을 본격적으로 행사하며, 행동 강령을 준수하지 않는 GPAI 제공자에게 벌금을 부과할 수 있습니다.
빅테크의 대응 — 누가 서명하고, 누가 거부했나
GPAI 행동 강령에 대한 빅테크 기업들의 대응은 업계의 온도를 잘 보여줍니다.
서명 기업: - OpenAI: 2025년 7월 행동 강령 서명. 투명성 보고서 및 모델 카드를 통해 기술 문서 의무를 이행하고 있습니다. - Anthropic: 2025년 7월 21일 서명 의사를 공식 발표. 자사의 Responsible Scaling Policy(RSP)를 EU 요구사항에 맞춰 조정하고 있습니다. - Google: DeepMind를 포함해 행동 강령에 서명. Gemini 모델 시리즈의 안전성 평가 결과를 공개하고 있습니다. - Microsoft: OpenAI와의 파트너십을 기반으로 행동 강령에 참여.
주요 미서명 기업: - Meta: 현재까지 유일한 주요 AI 기업 중 행동 강령 서명을 거부한 사례입니다. Llama 시리즈를 오픈소스로 공개하고 있어 오픈소스 예외 조항을 활용할 가능성이 있지만, 시스템적 위험 기준을 충족할 경우 추가 의무를 피할 수 없습니다.
이 상황은 흥미로운 역학을 만들어냅니다. 행동 강령 서명 기업들은 규제 준수 비용을 감수하는 대신 EU 시장에서의 신뢰와 정당성을 확보합니다. 반면 미서명 기업은 2026년 8월 이후 집행 조치에 직면할 수 있는 리스크를 안게 됩니다.
투명성 — "이것은 AI가 만든 것입니다"
EU AI Act의 투명성 요구사항(Article 50)은 특히 생성형 AI 시대에 중요한 의미를 갖습니다. 2026년 8월부터 적용되는 핵심 요구사항은 다음과 같습니다.
AI 생성 콘텐츠 표시 의무
생성형 AI 시스템의 출력물(텍스트, 이미지, 오디오, 비디오)은 AI가 생성한 것임을 식별할 수 있어야 합니다. 구체적으로:
- 딥페이크: AI로 생성되거나 조작된 이미지, 오디오, 비디오는 딥페이크임을 명확히 공개해야 합니다.
- AI 생성 텍스트: 공공의 이익과 관련된 사안에 대해 AI가 생성한 텍스트가 공개될 경우, AI 생성물임을 밝혀야 합니다.
- 챗봇 고지: AI 챗봇과 상호작용하는 사용자에게 AI와 대화하고 있다는 사실을 알려야 합니다.
공통 아이콘 시스템
유럽 집행위원회는 AI 생성 콘텐츠를 표시하기 위한 공통 아이콘 시스템을 개발하고 있습니다. 최종 EU 공통 아이콘이 확정될 때까지, "AI", "KI"(독일어), "IA"(프랑스어/스페인어) 등 두 글자 약어 아이콘을 임시로 사용하도록 권고하고 있습니다.
기술적 표준: 워터마킹과 메타데이터
콘텐츠에 보이지 않는 워터마크나 메타데이터를 삽입하여 기계적으로도 AI 생성 여부를 판별할 수 있도록 하는 기술적 표준도 논의 중입니다. 투명성 행동 강령(Code of Practice on Transparency of AI-Generated Content) 최종본은 2026년 5~6월 발표 예정입니다.
위반하면 얼마나 아플까 — 3단계 벌금 체계
EU AI Act의 제재 수준은 GDPR보다 훨씬 강력합니다. 위반 유형에 따라 3단계 벌금이 부과됩니다.
위반 유형 |
최대 벌금(고정) |
최대 벌금(매출 비례) |
|---|---|---|
금지된 AI 관행 위반 |
3,500만 유로 |
전 세계 연간 매출의 7% |
고위험 AI 시스템 요건 위반 |
1,500만 유로 |
전 세계 연간 매출의 3% |
기타 의무 위반(허위 정보 제공 등) |
750만 유로 |
전 세계 연간 매출의 1% |
고정 금액과 매출 비례 금액 중 높은 쪽이 적용됩니다. 예를 들어, 연간 매출이 10억 유로인 기업이 금지 관행을 위반했다면, 3,500만 유로가 아닌 매출의 7%인 7,000만 유로가 벌금으로 부과됩니다.
중소기업과 스타트업에는 비례적 상한이 적용되어 부담을 줄여주지만, 그래도 상당한 금액입니다. GPAI 모델 제공자의 경우, 별도로 최대 1,500만 유로 또는 전 세계 연간 매출의 3%에 해당하는 벌금이 부과될 수 있습니다.
핵심은 이겁니다. "몰랐다"는 변명이 통하지 않는다는 것. EU 시장에서 서비스를 제공하거나 EU 시민에게 영향을 미치는 AI 시스템이라면, 본사가 미국이든 한국이든 중국이든 관계없이 AI Act의 적용을 받습니다.
한국과 미국, 그리고 글로벌 AI 규제 지형의 변화
EU AI Act는 브뤼셀 효과(Brussels Effect)를 통해 전 세계 AI 규제 지형을 재편하고 있습니다.
한국: AI 기본법 시행
한국은 2026년 1월 **AI 기본법(AI Basic Act)**을 시행했습니다. EU AI Act와 유사하게 위험 기반 접근법을 채택했지만, 몇 가지 중요한 차이가 있습니다.
- 규제 철학의 차이: EU가 '위험 관리' 관점에서 접근하는 반면, 한국은 'AI 산업 진흥'을 함께 고려합니다. 규제의 강도가 상대적으로 낮습니다.
- GPAI 기준 차이: 한국의 초대규모 AI 모델 연산량 기준은 EU보다 10배 높게 설정되어, 사실상 국내 기업들은 이 규정에서 제외됩니다. 이는 국내 AI 산업 보호를 위한 의도적 설계로 해석됩니다.
- 제재 수준 차이: 한국의 벌금 수준은 EU보다 현저히 낮습니다.
- 역외 적용: EU AI Act처럼 한국 사용자에게 영향을 미치는 해외 AI 시스템에도 적용됩니다.
미국: 여전히 파편화된 규제
미국은 연방 차원의 포괄적 AI 규제법이 아직 없습니다. 대신 주(州) 단위로 규제가 진행되고 있습니다.
- 캘리포니아 AI 투명성법: 2026년 1월 1일 시행. 미국에서 가장 포괄적인 AI 워터마킹 법률로, AI 생성 콘텐츠 표시 의무를 부과합니다.
- 그 외 콜로라도, 일리노이 등 여러 주에서 AI 관련 법안이 통과되었거나 논의 중입니다.
- 연방 수준에서는 AI 리더십 체계를 규정하는 법률이 존재하지만, EU AI Act와 같은 포괄적 규제는 아닙니다.
글로벌 트렌드
EU AI Act가 중요한 이유는 전 세계 정책 입안자들이 이 법을 자국 정책의 기반(foundation)으로 활용하고 있기 때문입니다. 캐나다, 브라질, 일본, 싱가포르 등도 EU AI Act를 참고하여 자체 AI 규제 프레임워크를 발전시키고 있습니다. EU 시장에서 활동하는 글로벌 기업이라면, 결국 이 기준에 맞춰야 합니다.
개발자와 기업이 지금 당장 해야 할 일
2026년 8월 전면 시행까지 4개월도 채 남지 않았습니다. 다음은 개발자와 기업이 당장 점검해야 할 체크리스트입니다.
1. AI 시스템 인벤토리 작성
자사가 개발하거나 배포하는 모든 AI 시스템의 목록을 만드세요. 각 시스템이 EU AI Act의 어떤 위험 등급에 해당하는지 분류하는 것이 첫 번째 단계입니다. 유럽 집행위원회는 고위험/비고위험 분류 지침을 발표해 놓았으니 반드시 참고하세요.
2. GPAI 모델 의무 확인
대규모 언어 모델이나 기반 모델을 개발하거나 배포하고 있다면, GPAI 의무 사항을 점검해야 합니다. 특히 학습 데이터 요약 공개, 기술 문서화, 저작권 준수 여부를 확인하세요.
3. 투명성 조치 구현
AI 챗봇에는 AI 고지 문구를, 생성형 AI 출력물에는 AI 생성 표시를, 딥페이크 관련 서비스에는 공개 메커니즘을 구현해야 합니다. 워터마킹 기술 도입도 검토하세요.
4. 고위험 AI 시스템 적합성 체계 구축
고위험으로 분류된 AI 시스템이 있다면, 적합성 평가 절차, 품질 관리 시스템, 사후 시장 모니터링 체계, 사고 보고 프로세스를 반드시 마련해야 합니다.
5. 조직 내 AI 리터러시 교육
AI Act는 AI 시스템을 운용하는 모든 인력에게 충분한 수준의 AI 리터러시를 갖출 것을 요구합니다. 이 의무는 이미 2025년 2월부터 적용되고 있으므로, 아직 교육 체계가 없다면 즉시 도입해야 합니다.
6. 법률 자문 확보
EU AI Act의 적용 범위와 의무 사항은 복잡합니다. AI 규제 전문 법률 자문을 확보하여 자사 상황에 맞는 준수 전략을 수립하는 것이 현명합니다.
EU AI Act는 AI 산업에 부담을 주기 위한 법이 아닙니다. AI가 인간의 삶에 깊숙이 들어온 시대에, 그 기술이 안전하고 투명하게 작동하도록 보장하기 위한 사회적 합의의 산물입니다. 규제를 "비용"이 아닌 "신뢰 구축의 기회"로 바라보는 기업이 결국 시장에서 살아남을 것입니다.
2026년 8월은 생각보다 빨리 올 것입니다. 지금 준비를 시작하세요.
참고 자료: - EU AI Act 공식 시행 타임라인 - 유럽 집행위원회 AI Act 정책 페이지 - GPAI 행동 강령 최종본 - EU AI Act Article 50 — 투명성 의무 - EU AI Act Article 99 — 제재 - 한국 AI 기본법 개요 (Cooley) - 2026년 글로벌 AI 규제 전망 (OneTrust)