EU AI Act 디지털 옴니버스: 고위험 AI 준수 기한이 2027년 12월로 바뀐다
핵심 요약
2026년 6월 16일, 유럽의회가 EU AI Act 디지털 옴니버스를 가결했다. 5월 7일 EU 이사회·의회 협상단이 합의에 이른 지 40일 만의 표결이다. 이제 이사회 본회의 표결 한 번이 남았다. 표결이 통과되면 관보 게재 3일 후 발효된다.
핵심 변화는 하나다. Annex III에 해당하는 독립형 고위험 AI 시스템의 준수 기한이 2026년 8월 2일에서 2027년 12월 2일로 16개월 연장된다. 채용 시스템, 입학 심사 AI, 원격 생체인식 등이 여기 해당한다. 다만 이사회 표결 전까지 법적 구속력은 없다. 공식 관보에 실릴 때까지 원래 8월 2일 기한은 그대로다.
디지털 옴니버스가 바꾼 세 가지
1. 기한 연장: Annex III와 Annex I
고위험 AI는 크게 두 갈래로 나뉜다.
| 분류 | 대상 | 기존 기한 | 새 기한 | 연장 |
|---|---|---|---|---|
| Annex III | 독립형 고위험 AI (채용, 교육, 공공서비스 등) | 2026년 8월 2일 | 2027년 12월 2일 | +16개월 |
| Annex I | 제품 내장형 고위험 AI (의료기기, 엘리베이터 등) | 2027년 8월 2일 | 2028년 8월 2일 | +12개월 |
Annex III가 받은 16개월 유예는 단순한 배려가 아니다. 독립형 AI 시스템은 제품 안전 인증 체계 밖에 있어 준수 의무를 어떻게 이행할지 지침 자체가 불분명했다. 유럽위원회가 올해 5월 Annex III 분류 가이드라인 초안을 공개했고, 이에 대한 업계 의견 수렴이 진행 중이다. 지침도 확정되지 않은 상황에서 8월을 그대로 밀어붙이기는 어려웠다.
2. 새로운 금지 행위 두 가지
기한 연장과 함께 금지 행위 목록이 늘었다.
- 비동의 성적 이미지 생성 AI: AI를 이용한 딥페이크 포르노 생성·배포 도구 금지
- 아동 성착취물(CSAM) 생성 AI: AI 기반 CSAM 생성 전면 금지
두 금지 행위는 2026년 12월 2일까지 유예 기간이 있다. 기존 금지 행위 목록(2025년 2월 발효)에 추가되는 형태다.
3. 단순화와 중복 제거
EU 입법자들은 옴니버스를 통해 조문 간 중복을 줄이고 중소기업의 준수 부담을 낮추는 조항도 넣었다. 구체적인 조문 수준 변화는 공식 관보 게재 이후 확인 가능하다.
Annex III 고위험 AI: 어떤 시스템이 해당하나
Annex III의 범위는 넓다. 여덟 개 영역에 걸쳐 구체적인 시스템 유형을 나열한다.
| 영역 | 해당 시스템 예시 |
|---|---|
| 생체인식 | 원격 생체인식 시스템, 감정 인식 AI, 생체 분류 AI |
| 핵심 인프라 | 전력망·수도·교통 관리 AI |
| 교육 | 입학 심사 AI, 학생 평가·성적 부여 AI |
| 채용·고용 | 채용 공고 게시, 이력서 스크리닝, 인터뷰 평가, 근무 모니터링, 해고 AI |
| 공공서비스 | 공공급여·신용 심사 AI, 긴급서비스 우선순위 배정 |
| 법집행 | 거짓말 탐지기, 범죄 예측 AI, 딥페이크 탐지 |
| 출입국·국경 | 망명 신청 심사 AI, 국경 체크 AI |
| 사법·민주주의 | 사법 판결 지원 AI, 선거 관련 AI |
채용 분야가 특히 중요하다. HR 담당자를 돕는 이력서 스크리닝 도구, 채용 인터뷰 분석 플랫폼, 직원 생산성 모니터링 시스템이 모두 여기 해당한다. EU에서 직원을 고용하거나 서비스를 제공하는 기업이라면 반드시 확인해야 한다.
단, AI 교과서나 문법 교정 도구처럼 접근 자체를 결정하지 않는 보조 수단은 Annex III에 해당하지 않는다고 유럽위원회는 명시했다.
바뀌지 않은 것들: 이미 시행 중인 규정
옴니버스가 연장한 건 Annex III 기한뿐이다. 나머지 두 층은 이미 살아있다.
1. 금지 행위 (2025년 2월 2일 발효)
소셜 스코어링 AI, 서브리미널 기법을 쓰는 조작 AI, 감정 상태를 악용하는 AI 등은 작년부터 이미 금지다. 이미 시행 중이므로 옴니버스에서 따로 논의되지 않는다.
2. GPAI 모델 규정 (2025년 8월 2일 발효)
범용 AI(GPAI) 모델 제공업체는 이미 작년 8월부터 투명성 의무, 저작권 준수, 시스템적 위험 평가 의무를 진다. GPT-5, Gemini, Claude 같은 프론티어 모델이 해당하며, 이 의무는 이번 옴니버스로 바뀌지 않는다. GPAI 자율 준수 코드(Code of Practice)는 2025년 7월 공개된 자발적 프레임워크다.
지금 이 순간의 현실
유럽의회 가결(6월 16일) 이후 남은 절차는 이사회 본회의 표결이다. 이사회는 6월에서 7월 사이 표결을 예상하고 있다. 원래 8월 2일 기한 전까지 관보에 게재해야 일정이 맞기 때문이다.
문제는 공식 발효 전까지 법적 의무는 여전히 원래 기한(2026년 8월 2일)을 따른다는 점이다. 이사회 표결이 늦어지거나 예상치 못한 차질이 생기면 기업들은 8월 2일 기준으로 준수를 평가받을 수 있다.
위반 시 제재 수준은 높다. 고위험 AI 시스템 의무 위반은 €3,500만 또는 전 세계 연 매출의 6% 중 높은 쪽이 부과된다. EU 시장에서 운영되는 비EU 기업도 적용 대상이다.
전망
이번 연장이 반가운 기업이 있고 그렇지 않은 기업이 있다.
반긴다: HR 테크, 에듀테크, 채용 플랫폼처럼 이미 EU 시장을 겨냥하고 있지만 아직 준수 인프라가 부족한 기업들이다. 특히 규정 준수 팀이 작은 스케일업에게 16개월은 상당한 여유다.
반기지 않는다: 기업 거버넌스, 인권 단체, 규제를 무기화하고 싶었던 EU 시장의 일부 기존 사업자들이다. Liberties.eu 같은 시민자유단체는 옴니버스가 "기본권을 짓밟는다"고 비판하며 기한 연장 자체에 반대했다.
장기적으로 이번 옴니버스는 EU AI Act가 계속 진화하는 법체계임을 보여준다. 2024년 제정된 지 2년 만에 첫 개정이 이루어졌다. 이후에도 GPAI 코드 개정, Annex III 분류 가이드라인 확정, 이행 기관 구성 등 추가 변화가 예상된다. EU에서 AI를 운영하는 기업이라면 단기 기한 준수보다 지속적으로 업데이트되는 규제 트랙킹 체계를 갖추는 게 더 중요해진다.
참고
