EU AI법, 왜 지금 다시 주목받는가

EU AI법(EU AI Act)은 인공지능을 위험 수준에 따라 규율하는 세계 최초의 포괄적 법률입니다. 유럽연합은 AI 기술의 혁신을 장려하면서도 기본권과 안전을 보호하기 위해 이 법을 마련했습니다. 법안은 2024년 정식 채택된 이후 조항별로 시행 시점이 다르게 설정되어 단계적으로 효력이 발생하고 있습니다.

한국 기업 입장에서 이 법이 중요한 이유는 명확합니다. EU 역내에 AI 제품·서비스를 출시하거나, EU 사용자에게 AI 시스템의 결과물을 제공하는 경우 한국에 본사를 둔 기업도 규제 대상이 될 수 있기 때문입니다. 이는 과거 EU 개인정보보호규정(GDPR)이 글로벌 기업에 미친 영향과 유사한 구조입니다.

구체적인 조항 번호, 정확한 시행 날짜, 과징금 상한 비율 등은 시점에 따라 세부 시행 규칙이 보완될 수 있으므로, 본문에서는 큰 틀을 설명하고 정확한 수치는 유럽연합 집행위원회(European Commission) 등 공식 출처를 통해 확인할 것을 권장합니다.

> 참고: 본 글은 일반적인 정보 제공을 목적으로 하며 법률 자문이 아닙니다. 실제 적용은 반드시 전문가 및 공식 자료로 검증하시기 바랍니다.

EU AI법의 기본 구조 이해하기

위험 기반(Risk-based) 접근

EU AI법의 가장 큰 특징은 모든 AI를 동일하게 규제하지 않고 위험 수준에 따라 차등 적용한다는 점입니다. 통상 다음 네 가지 범주로 설명됩니다.

  • 허용 불가 위험(Unacceptable Risk): 사회적 점수 매기기, 특정 형태의 실시간 원격 생체 인식 등 기본권을 심각하게 침해할 수 있는 활용은 원칙적으로 금지됩니다.
  • 고위험(High Risk): 채용, 신용 평가, 의료기기, 핵심 인프라 등 사람의 권리·안전에 큰 영향을 줄 수 있는 영역의 AI는 엄격한 의무가 부과됩니다.
  • 제한적 위험(Limited Risk): 챗봇, 딥페이크 등은 이용자에게 AI와 상호작용하고 있음을 알리는 투명성 의무가 적용됩니다.
  • 최소 위험(Minimal Risk): 대부분의 일반 AI 활용으로, 추가 의무가 거의 없습니다.

이러한 분류 체계와 세부 기준은 유럽연합 공식 법령 포털(EUR-Lex)에서 원문을 확인할 수 있습니다.

단계적 시행 일정

EU AI법은 발효 후 일정 기간을 두고 조항별로 효력이 단계적으로 적용되도록 설계되었습니다. 일반적으로 알려진 흐름은 다음과 같습니다.

  • 금지 대상(허용 불가 위험) 조항이 비교적 이른 시점에 먼저 적용
  • 범용 AI(GPAI) 모델 관련 의무가 그 다음 단계로 적용
  • 고위험 시스템에 대한 전면적 의무가 가장 마지막 단계로 적용

다만 "2026년 전면 시행"이라는 표현은 구체적 조항마다 시점 차이가 있을 수 있으므로, 어떤 의무가 정확히 언제부터 적용되는지는 반드시 공식 발표 기준으로 확인해야 합니다. 일정 관련 최신 정보는 유럽연합 집행위원회 AI 정책 페이지를 참고하시기 바랍니다.

한국 기업이 주목해야 할 5가지 포인트

포인트 1. 역외 적용 — "한국 기업도 대상이 될 수 있다"

가장 먼저 짚어야 할 점은 역외 적용 가능성입니다. EU AI법은 EU 역내에 AI 시스템을 출시·제공하는 사업자뿐 아니라, AI 시스템의 산출물이 EU 내에서 사용되는 경우 EU 외부 사업자에게도 적용될 수 있는 구조로 설계되어 있습니다.

따라서 한국에 본사를 둔 SaaS 기업, AI 모델 제공사, 채용·금융·헬스케어 솔루션 기업 등은 "우리는 한국 회사니까 무관하다"고 단정해서는 안 됩니다. EU 고객·사용자가 있는지, 제품의 산출물이 EU에서 활용되는지 먼저 점검해야 합니다.

포인트 2. 우리 제품이 "고위험"인지 분류 확인

두 번째는 자사 AI의 위험 등급 분류입니다. 채용 자동화, 신용·보험 심사, 교육 평가, 의료·안전 관련 시스템 등은 고위험으로 분류될 가능성이 큽니다. 고위험으로 분류되면 다음과 같은 의무가 따릅니다.

  • 위험관리 체계 구축 및 문서화
  • 데이터 품질·거버넌스 관리
  • 기술 문서와 로그 기록 보관
  • 인적 감독(Human Oversight) 설계
  • 적합성 평가 및 시장 출시 전 점검

자사 제품이 어느 등급에 해당하는지 모호하다면, 단정하지 말고 법률·컴플라이언스 전문가의 검토를 받는 것이 안전합니다.

포인트 3. 범용 AI(GPAI) 모델 의무

세 번째는 범용 AI 모델 관련 의무입니다. 대규모 언어모델이나 파운데이션 모델을 개발·제공하는 기업에는 기술 문서화, 학습 데이터에 관한 일정한 투명성, 저작권 관련 정책 등 추가 의무가 논의되어 왔습니다. 특히 시스템적 위험을 가진 것으로 평가되는 모델에는 더 강화된 의무가 부과될 수 있습니다.

자체 파운데이션 모델을 보유했거나 이를 기반으로 서비스를 제공하는 한국 기업이라면 이 부분을 별도로 점검해야 합니다. 세부 기준은 계속 보완되고 있으므로 유럽 데이터 보호·디지털 규제 관련 공식 자료를 정기적으로 확인하는 것이 좋습니다.

포인트 4. 투명성·표시 의무

네 번째는 투명성 의무입니다. 이용자가 AI와 상호작용하고 있다는 사실을 인지할 수 있도록 챗봇 등에는 고지 의무가, 딥페이크나 AI 생성 콘텐츠에는 인공적으로 생성·조작되었음을 표시할 의무가 논의되고 있습니다.

생성형 AI 서비스를 운영하는 기업이라면 콘텐츠 라벨링, 워터마킹, 이용자 고지 문구 등을 미리 설계해 두는 것이 향후 규제 대응 비용을 줄이는 데 도움이 됩니다.

포인트 5. 위반 시 과징금 리스크

다섯 번째는 제재 리스크입니다. EU AI법은 위반 유형에 따라 글로벌 연간 매출액 또는 일정 금액 중 높은 쪽을 기준으로 한 고액 과징금을 부과할 수 있도록 설계된 것으로 알려져 있습니다. GDPR과 마찬가지로 매출 규모가 큰 글로벌 기업일수록 절대 금액이 커질 수 있습니다.

구체적인 과징금 비율과 상한은 위반 조항과 시점에 따라 달라질 수 있으므로, 정확한 수치는 반드시 EUR-Lex 법령 원문에서 확인해야 합니다. 본문의 설명은 "공식 발표 기준"에 따른 일반적 방향성임을 다시 강조합니다.

실무 대응 체크리스트 (예시)

다음은 한국 기업이 내부 점검 시 활용할 수 있는 일반적 체크리스트 예시입니다. 실제 적용은 자사 상황과 법률 자문에 따라 조정해야 합니다.

  1. EU 노출 여부 진단: EU 고객·사용자·산출물 사용이 있는지 매핑
  2. AI 자산 인벤토리: 사내에서 사용·개발·판매 중인 AI 시스템 목록화
  3. 위험 등급 가분류: 고위험 가능성이 있는 시스템 우선 식별
  4. 문서화 체계 정비: 데이터 출처, 모델 설명, 로그 기록 절차 마련
  5. 인적 감독 설계: 자동 의사결정에 사람이 개입할 수 있는 구조 확인
  6. 투명성 문구 준비: 챗봇 고지, AI 생성 콘텐츠 표시 정책 수립
  7. 거버넌스 책임자 지정: AI 컴플라이언스 담당 조직·역할 정의
  8. 공식 일정 추적: 조항별 시행 시점을 공식 채널로 지속 모니터링

이러한 준비는 단순히 규제 회피 목적이 아니라, 신뢰할 수 있는 AI 제품을 만드는 과정으로도 의미가 있습니다.

한국 기업에게 주는 시사점

EU AI법은 사실상 글로벌 표준 논의를 주도하고 있습니다. EU에서 통용되는 기준에 맞춰 제품을 설계해 두면, 다른 지역의 규제 변화에도 비교적 유연하게 대응할 수 있습니다. 반대로 준비가 늦으면 시장 진입 지연, 재설계 비용, 제재 리스크가 동시에 발생할 수 있습니다.

오늘 시점(2026년 6월 기준)에서 가장 현실적인 권고는 다음과 같습니다. 첫째, 자사가 규제 대상인지 빠르게 진단할 것. 둘째, 고위험 가능성이 있는 시스템부터 우선 점검할 것. 셋째, 구체적 일정·수치·의무는 반드시 공식 출처로 검증할 것입니다.

한국 정부와 산업계도 관련 동향을 모니터링하고 있으므로, 국내 정책 정보는 과학기술정보통신부와 같은 공식 부처 채널을 함께 참고하면 도움이 됩니다.

마무리

EU AI법은 한 번의 발효로 끝나는 법이 아니라, 조항별로 단계적으로 효력이 확장되는 살아있는 규제 체계입니다. "전면 시행"이라는 표현에 매몰되기보다, 어떤 의무가 언제 자사에 적용되는지를 정확히 파악하는 것이 핵심입니다.

본 글은 이슈 해설을 목적으로 한 일반 정보이며, 법적 효력을 가진 자문이 아닙니다. 실제 의무 적용 여부, 시행 일정, 과징금 기준 등은 반드시 위에 안내한 공식 출처와 전문가의 검토를 통해 최종 확인하시기 바랍니다.

자주 묻는 질문(FAQ)

한국에만 사업장이 있어도 EU AI법 적용을 받나요?

받을 수 있습니다. EU AI법은 EU 역내에 AI 시스템을 제공하거나 그 산출물이 EU 내에서 사용되는 경우 EU 외부 기업에도 적용될 수 있는 역외 적용 구조를 갖고 있습니다. EU 고객·사용자 존재 여부와 산출물 활용 지역을 먼저 점검해야 하며, 구체적 적용 여부는 공식 자료와 전문가 검토로 확인하는 것이 안전합니다.

EU AI법이 정확히 2026년에 모두 시행되나요?

조항마다 시행 시점이 다릅니다. 금지 조항이 먼저, 범용 AI 관련 의무가 그 다음, 고위험 시스템 의무가 마지막 단계로 적용되는 흐름으로 알려져 있습니다. 따라서 '2026년 전면 시행'을 단일 시점으로 단정하기보다 어떤 의무가 언제부터 적용되는지를 공식 발표 기준으로 개별 확인해야 합니다.

우리 회사 AI가 고위험인지 어떻게 알 수 있나요?

채용, 신용·보험 심사, 교육 평가, 의료·안전 관련 시스템 등은 고위험으로 분류될 가능성이 큽니다. 다만 분류 기준은 세부 요건에 따라 달라질 수 있으므로, 모호한 경우 단정하지 말고 EUR-Lex 법령 원문과 컴플라이언스 전문가의 검토를 받는 것이 바람직합니다.

위반하면 과징금이 어느 정도인가요?

위반 유형에 따라 글로벌 연간 매출액 또는 정액 기준 중 높은 쪽을 적용하는 고액 과징금이 가능한 것으로 알려져 있습니다. 다만 구체적 비율과 상한은 조항·시점에 따라 달라질 수 있으므로 정확한 수치는 EUR-Lex 등 공식 법령 원문으로 확인해야 합니다.

지금 당장 무엇부터 준비해야 하나요?

먼저 EU 노출 여부를 진단하고, 사내 AI 자산을 목록화한 뒤 고위험 가능성이 있는 시스템을 우선 식별하는 것이 현실적입니다. 이후 문서화 체계, 인적 감독 설계, 투명성 문구, 거버넌스 책임자 지정 등을 단계적으로 정비하고 공식 시행 일정을 지속 모니터링하면 됩니다.