2026년 8월 2일, EU AI Act 전면 시행
EU가 세계 최초의 포괄적 AI 규제법인 EU AI Act을 2026년 8월 2일부터 전면 적용합니다. 2024년 8월 발효 이후 단계적으로 시행되어 왔고, 올해 8월이 본격적인 전면 적용 시점입니다. 일부 고위험 제품 관련 조항은 2027년까지 유예 기간이 있지만, 대부분의 규정은 8월 2일부터 즉시 효력을 갖습니다.
GDPR이 개인정보를 규제하는 법이라면, AI Act은 AI 시스템 자체를 규제하는 법입니다. GDPR이 데이터의 교통법규라면, AI Act은 AI의 교통법규라고 생각하면 됩니다. 데이터를 어떻게 수집하고 처리하느냐가 아니라, AI가 어떤 방식으로 작동하고, 어떤 결정을 내리며, 그 과정이 얼마나 투명한지를 규제합니다.
EU 시민에게 서비스를 제공하는 기업이라면 본사 위치와 관계없이 적용 대상이 됩니다. GDPR과 동일한 역외 적용 원칙입니다.
벌금 구조 — 3단계
AI Act의 벌금 체계는 위반의 심각도에 따라 3단계로 나뉩니다.
| 위반 유형 | 최대 벌금 | |---------|----------| | 금지 AI 관행 위반 | 3,500만 유로 또는 글로벌 연간 매출의 7% 중 큰 금액 | | 고위험 AI 의무 위반 | 1,500만 유로 또는 글로벌 연간 매출의 3% 중 큰 금액 | | 허위 정보 제공 | 750만 유로 또는 글로벌 연간 매출의 1.5% 중 큰 금액 |
주목할 점은 GDPR의 최대 벌금이 매출의 4%인 반면, AI Act은 **7%**까지 올라간다는 것입니다. EU가 AI 규제를 GDPR보다 더 강하게 가져가겠다는 의지를 보여주는 수치입니다. 중소기업과 스타트업에는 비례적으로 감경된 벌금이 적용되지만, 면제되는 것은 아닙니다.
무엇이 금지되고, 무엇이 규제되는가
AI Act은 AI 시스템을 위험 등급별로 분류합니다. 등급에 따라 금지, 규제, 또는 자율에 맡겨집니다.
금지되는 AI 관행
다음 AI 시스템은 EU 내에서 전면 금지됩니다.
- 사회 신용 점수 시스템: 공공기관이 시민의 사회적 행동을 점수화하여 불이익을 주는 시스템
- 감정 인식 AI (직장/학교): 직장이나 학교에서 직원이나 학생의 감정을 인식하는 AI. 의료나 안전 목적은 예외
- 무차별 얼굴 인식: 인터넷이나 CCTV 영상을 무차별적으로 수집하여 얼굴 인식 DB를 구축하는 행위
- 취약 계층 착취: 연령, 장애 등 취약성을 이용하여 행동을 조작하는 AI
이 금지 조항은 이미 2025년 2월부터 시행 중입니다. 위반 시 최대 3,500만 유로의 벌금이 부과됩니다.
고위험 AI — 엄격한 규제 대상
다음 분야에 사용되는 AI는 고위험으로 분류되어 투명성, 기술 문서화, 인간 감독이 의무화됩니다.
- 채용 AI: 이력서 스크리닝, 면접 평가 등
- 신용 평가 AI: 대출 심사, 보험 산정 등
- 법 집행 AI: 범죄 예측, 증거 분석 등
- 교육 AI: 입학 심사, 시험 채점 등
고위험 AI 제공자는 적합성 평가를 통과하고, EU 데이터베이스에 등록하며, 시판 후에도 지속적으로 모니터링해야 합니다.
범용 AI(GPAI) — 새로운 규제 영역
ChatGPT, Gemini 같은 범용 AI 모델도 규제 대상입니다. 모든 GPAI 제공자는 다음 의무를 갖습니다.
- 학습 데이터에 대한 정보 공개
- EU 저작권법 준수 정책 수립
- 기술 문서 작성 및 공개
시스템 리스크가 있는 대규모 GPAI(학습에 10^25 FLOP 이상 사용)에는 레드팀 테스트, 사이버보안 평가 등 추가 의무가 부과됩니다.
또한 유럽 데이터보호위원회(EDPB)는 최근 보고서에서 LLM이 익명화 기준을 충족하기 어렵다고 판단했습니다. 이는 AI 모델이 학습 데이터에서 개인정보를 완전히 분리했다고 주장하기 어렵다는 의미이며, GDPR과 AI Act의 이중 규제를 받을 가능성이 높다는 것을 뜻합니다.
개발자와 기업이 지금 준비할 것
8월까지 약 5개월 남았습니다. 다음 5가지를 우선적으로 점검해야 합니다.
1. AI 시스템 인벤토리 작성
조직 내에서 어떤 AI를 어디에 사용하고 있는지 목록화합니다. 직접 개발한 AI뿐 아니라, 외부 API로 사용 중인 AI 서비스도 포함됩니다. 채용 플랫폼의 AI 스크리닝, 고객 서비스 챗봇, 마케팅 자동화 도구 등 모두 해당됩니다.
2. 위험 등급 분류
각 AI 시스템이 금지, 고위험, 제한적 위험, 최소 위험 중 어디에 해당하는지 판단합니다. AI Act 부속서(Annex) III에 고위험 AI 목록이 구체적으로 명시되어 있습니다.
3. 기술 문서화 + 로그 보관 체계 구축
고위험 AI는 설계, 개발, 테스트 과정을 문서화하고, 운영 로그를 보관해야 합니다. 자동 로깅 시스템이 없다면 지금 구축을 시작해야 합니다.
4. 인간 감독 메커니즘 설계
고위험 AI의 결정에 인간이 개입할 수 있는 구조를 만들어야 합니다. AI가 최종 결정을 내리는 것이 아니라, 인간이 검토하고 거부할 수 있는 프로세스가 필요합니다.
5. GDPR 컴플라이언스와 통합 관리
AI Act과 GDPR은 별개의 법이지만, 실무에서는 겹치는 영역이 많습니다. 개인정보 처리와 AI 투명성 의무를 통합적으로 관리하는 체계를 갖추면 이중 규제에 효율적으로 대응할 수 있습니다. 이미 GDPR DPO(데이터보호책임자)가 있다면, AI 거버넌스 역할을 추가하는 것도 방법입니다.
참고