EU AI법 완전 가이드: 기업이 알아야 할 규제 핵심
2024년 발효된 EU AI법(AI Act)이 2026년부터 본격 적용된다. 한국 기업이 EU 시장에서 AI를 활용하거나 수출하려면 반드시 알아야 할 규제 핵심을 정리했다.
EU AI법이란?
EU AI법(Artificial Intelligence Act)은 세계 최초의 포괄적 AI 규제 법안이다. 2024년 8월 발효되어 2026년부터 주요 조항이 단계적으로 적용된다.
EU 시장에서 AI를 판매·사용하는 모든 기업이 적용 대상이다. 한국 기업도 EU 시장에 AI 제품·서비스를 수출하거나 EU 고객사가 있다면 의무 준수 대상이 될 수 있다.
4단계 위험 등급 체계
EU AI법의 핵심은 AI 시스템을 위험 수준에 따라 4단계로 분류하는 것이다.
1. 수용 불가 위험 (금지)
즉시 금지된 AI 활용 사례:
- 사람의 행동을 무의식적으로 조종하는 AI
- 취약 계층(아동, 장애인)을 착취하는 AI
- 공공장소에서 실시간 원격 생체인식 감시
- 사회 신용 점수 시스템 (중국식)
2. 고위험 AI (엄격한 규제)
의료, 채용, 신용 평가, 교육, 법집행 등 핵심 영역의 AI가 해당한다.
의무 사항:
- 위험 관리 시스템 구축 및 문서화
- 고품질 훈련 데이터 검증
- 기술 문서 작성 및 보관
- 인간 감독(Human-in-the-Loop) 체계 구축
- EU 대리인 지정 (EU 외 기업의 경우)
3. 제한적 위험 (투명성 의무)
챗봇, 딥페이크 생성 AI 등이 해당한다. 사용자에게 AI와 상호작용하고 있음을 명확히 알려야 한다.
4. 최소 위험 (자유 사용)
AI 기반 스팸 필터, 추천 알고리즘 등 대부분의 AI가 해당한다. 별도 의무 없이 자유롭게 사용 가능하다.
범용 AI(GPAI) 모델 규제
ChatGPT, Claude 같은 범용 AI 모델에도 별도 규정이 적용된다.
- 기술 문서 작성 및 EU AI 오피스 제출
- 저작권 정책 공개 및 준수
- 고시스템 위험 모델 (학습 비용 기준): 추가 안전 평가 의무
한국 기업 체크리스트
EU 시장과 접점이 있는 한국 기업이라면 다음 사항을 점검해야 한다.
- 우리 AI가 고위험 카테고리에 해당하는가? — 의료·채용·금융 AI 우선 확인
- EU 대리인을 지정했는가? — EU 내 법인이 없는 경우 필수
- 기술 문서 작성 체계를 갖췄는가? — 데이터 출처, 모델 성능, 제한 사항 포함
- 인간 감독 프로세스가 있는가? — 고위험 AI의 자동화 의사결정 재검토 절차
- 사용자 공지 체계를 갖췄는가? — 챗봇 AI 표시 의무
제재와 타임라인
위반 시 제재:
- 수용 불가 위험 위반: 최대 3,500만 유로 또는 전 세계 매출의 7%
- 고위험 의무 위반: 최대 1,500만 유로 또는 전 세계 매출의 3%
- 잘못된 정보 제공: 최대 750만 유로 또는 전 세계 매출의 1%
| 시점 | 적용 내용 |
|---|---|
| 2025년 2월 | 금지 조항 시행 |
| 2025년 8월 | GPAI 규정 시행 |
| 2026년 8월 | 고위험 AI 전면 시행 |
| 2027년 8월 | 고위험 제품 EU 적합성 시행 |
결론
EU AI법은 글로벌 AI 규제의 표준이 될 가능성이 높다. 한국도 유사한 AI 규제 입법을 준비 중이어서, EU AI법에 맞춰 컴플라이언스 체계를 구축해두면 향후 국내 규제 대응에도 유리하다.
당장 EU 시장과 무관하더라도, 선제적으로 위험 등급을 파악하고 문서화 체계를 갖추는 것이 현명한 준비다.
