news

EU AI법 완전 가이드: 기업이 알아야 할 규제 핵심

2024년 발효된 EU AI법(AI Act)이 2026년부터 본격 적용된다. 한국 기업이 EU 시장에서 AI를 활용하거나 수출하려면 반드시 알아야 할 규제 핵심을 정리했다.

TL;DR
EU AI법은 AI를 위험 수준에 따라 4등급으로 분류하고, 고위험 AI 시스템에 엄격한 의무를 부과한다. 2026년 8월부터 고위험 AI 규정이 적용되며, 위반 시 최대 3,500만 유로 또는 전 세계 매출의 7% 제재가 가능하다.

EU AI법이란?

EU AI법(Artificial Intelligence Act)은 세계 최초의 포괄적 AI 규제 법안이다. 2024년 8월 발효되어 2026년부터 주요 조항이 단계적으로 적용된다.

EU 시장에서 AI를 판매·사용하는 모든 기업이 적용 대상이다. 한국 기업도 EU 시장에 AI 제품·서비스를 수출하거나 EU 고객사가 있다면 의무 준수 대상이 될 수 있다.

4단계 위험 등급 체계

EU AI법의 핵심은 AI 시스템을 위험 수준에 따라 4단계로 분류하는 것이다.

1. 수용 불가 위험 (금지)

즉시 금지된 AI 활용 사례:

  • 사람의 행동을 무의식적으로 조종하는 AI
  • 취약 계층(아동, 장애인)을 착취하는 AI
  • 공공장소에서 실시간 원격 생체인식 감시
  • 사회 신용 점수 시스템 (중국식)
2025년 2월부터 즉시 적용
금지 조항은 이미 2025년 2월부터 적용 중이다. 해당 기능을 사용하는 서비스는 즉시 중단해야 한다.

2. 고위험 AI (엄격한 규제)

의료, 채용, 신용 평가, 교육, 법집행 등 핵심 영역의 AI가 해당한다.

의무 사항:

  • 위험 관리 시스템 구축 및 문서화
  • 고품질 훈련 데이터 검증
  • 기술 문서 작성 및 보관
  • 인간 감독(Human-in-the-Loop) 체계 구축
  • EU 대리인 지정 (EU 외 기업의 경우)

3. 제한적 위험 (투명성 의무)

챗봇, 딥페이크 생성 AI 등이 해당한다. 사용자에게 AI와 상호작용하고 있음을 명확히 알려야 한다.

4. 최소 위험 (자유 사용)

AI 기반 스팸 필터, 추천 알고리즘 등 대부분의 AI가 해당한다. 별도 의무 없이 자유롭게 사용 가능하다.

범용 AI(GPAI) 모델 규제

ChatGPT, Claude 같은 범용 AI 모델에도 별도 규정이 적용된다.

  • 기술 문서 작성 및 EU AI 오피스 제출
  • 저작권 정책 공개 및 준수
  • 고시스템 위험 모델 (학습 비용 기준): 추가 안전 평가 의무
GPAI 규정 적용 시점
범용 AI 규정은 2025년 8월부터 적용됐다. GPT-4, Claude, Gemini 등 주요 모델을 서비스에 통합하는 경우 해당 모델 제공자의 컴플라이언스 여부를 확인해야 한다.

한국 기업 체크리스트

EU 시장과 접점이 있는 한국 기업이라면 다음 사항을 점검해야 한다.

  1. 우리 AI가 고위험 카테고리에 해당하는가? — 의료·채용·금융 AI 우선 확인
  2. EU 대리인을 지정했는가? — EU 내 법인이 없는 경우 필수
  3. 기술 문서 작성 체계를 갖췄는가? — 데이터 출처, 모델 성능, 제한 사항 포함
  4. 인간 감독 프로세스가 있는가? — 고위험 AI의 자동화 의사결정 재검토 절차
  5. 사용자 공지 체계를 갖췄는가? — 챗봇 AI 표시 의무

제재와 타임라인

위반 시 제재:

  • 수용 불가 위험 위반: 최대 3,500만 유로 또는 전 세계 매출의 7%
  • 고위험 의무 위반: 최대 1,500만 유로 또는 전 세계 매출의 3%
  • 잘못된 정보 제공: 최대 750만 유로 또는 전 세계 매출의 1%
시점 적용 내용
2025년 2월 금지 조항 시행
2025년 8월 GPAI 규정 시행
2026년 8월 고위험 AI 전면 시행
2027년 8월 고위험 제품 EU 적합성 시행

결론

EU AI법은 글로벌 AI 규제의 표준이 될 가능성이 높다. 한국도 유사한 AI 규제 입법을 준비 중이어서, EU AI법에 맞춰 컴플라이언스 체계를 구축해두면 향후 국내 규제 대응에도 유리하다.

당장 EU 시장과 무관하더라도, 선제적으로 위험 등급을 파악하고 문서화 체계를 갖추는 것이 현명한 준비다.