EU AI 법: 2026년 8월 2일 마감 기한 전 취해야 할 6단계 [정책]

EU AI 법의 본격적인 시행과 글로벌 비즈니스의 새로운 규제 기준

유럽연합(EU)의 AI 법(AI Act)이 단순한 가이드라인을 넘어 실질적인 법적 구속력을 갖춘 규제로 작동하기 시작했습니다. 현재 금지된 AI 시스템 및 범용 AI 모델(GPAIM)과 관련된 규정들이 우선적으로 적용되고 있으며, 이는 글로벌 AI 생태계에 거대한 변화를 예고하고 있습니다.

가장 주목해야 할 시점은 2026년 8월 2일입니다. 이 날짜를 기점으로 나머지 대부분의 의무 사항이 발효되며, EU 당국은 해당 시점부터 기업들의 준수 여부를 엄격하게 집행할 수 있는 권한을 갖게 됩니다. 이는 단순히 유럽 내 기업뿐만 아니라, 유럽 시장을 타겟으로 하는 전 세계 모든 AI 관련 기업에 해당되는 문제입니다.

이른바 '브뤼셀 효과(Brussels Effect)'에 따라 EU의 규제는 글로벌 표준으로 자리 잡을 가능성이 매우 높습니다. 따라서 기업들은 규제를 단순한 비용이나 장애물로 인식하기보다, 글로벌 시장 진출을 위한 필수적인 제품 요건(Product Requirement)으로 받아들이고 선제적인 거버넌스 전략을 수립해야 합니다.

첫 번째 단계: 전사적 AI 매핑을 통한 시스템 및 GPAIM 식별

그림자 AI(Shadow AI)를 포함한 전수 조사

가장 먼저 수행해야 할 작업은 기업이 사용, 개발, 수입 또는 유통하는 모든 AI 시스템과 범용 AI 모델(GPAIM)을 식별하는 'AI 매핑'입니다. 많은 기업이 공식적인 IT 부서의 승인을 거치지 않고 현업 부서에서 개별적으로 사용하는 '그림자 AI'를 간과하곤 합니다.

API나 모바일 앱을 통해 접근 가능한 무료 AI 시스템을 업무에 활용하는 사례가 급증하고 있습니다. 이러한 시스템을 전문적인 목적으로 사용할 경우, 법에 따른 투명성 의무가 발생할 수 있으므로 부서별 접근 방식을 통해 숨겨진 사용 사례까지 철저히 파악해야 합니다.

AI의 정의와 GPAIM의 기술적 임계값 이해

매핑 과정에서는 제품의 기능이 법적 정의에 부합하는지 면밀히 검토해야 합니다. EU 법은 AI 시스템을 '다양한 수준의 자율성을 가지고 작동하도록 설계된 기계 기반 시스템'으로 정의하며, 핵심은 출력을 생성하기 위한 '추론 능력'에 있습니다.

특히 자체 모델을 개발하는 기업이라면 해당 모델이 GPAIM(범용 AI 모델)에 해당하는지 판단해야 합니다. GPAIM은 대규모 데이터를 사용한 자가 지도 학습을 통해 광범위한 작업을 수행할 수 있는 모델을 의미합니다. EU 집행위원회는 모델이 10^23 FLOPs(부동 소수점 연산) 임계값을 초과하는 컴퓨팅을 사용하여 훈련되었는지, 그리고 텍스트, 이미지, 오디오 등 다양한 형태의 콘텐츠를 생성할 수 있는지를 기준으로 이를 판단합니다.

두 번째 단계: 가치 사슬 내 기업의 법적 역할(Role) 명확화

AI 법은 단순히 개발자에게만 책임을 묻지 않습니다. AI 가치 사슬 전반에 걸쳐 제공자(Provider), 배포자(Deployer), 수입업자(Importer), 유통업자(Distributor), 그리고 제품 제조업체(Manufacturer) 등 다양한 운영자에게 각기 다른 의무를 부과합니다.

일반적으로 고위험 AI 시스템을 직접 개발하여 시장에 내놓는 '제공자'가 가장 무거운 법적 의무를 집니다. 그 뒤를 이어 시스템을 실제 업무에 적용하는 '배포자'가 상당한 책임을 지며, 수입업자와 유통업자는 상대적으로 제한적인 책임을 부여받습니다. GPAIM의 경우, 모델 자체를 개발하는 제공자만이 직접적인 의무를 직면하게 됩니다.

현업에서는 역할 구분이 모호한 경우가 많습니다. 예를 들어, 기존 AI 제품에 추가적인 미세 조정(Fine-tuning)을 수행하거나 공동 개발에 참여하는 경우, 조직이 수행하는 역할이 무엇인지에 따라 법적 책임의 무게가 완전히 달라질 수 있습니다. 따라서 각 프로젝트의 성격을 정의하고 역할에 따른 준수 체크리스트를 마련하는 것이 필수적입니다.

세 번째 단계: 역외 적용 범위와 법적 적용 예외 사항 검토

글로벌 기업을 겨냥한 역외 적용 원칙

EU AI 법의 무서운 점은 '역외 적용' 원칙에 있습니다. 제공자가 EU 시장에 AI 시스템을 '출시'하거나 '서비스에 투입'하는 경우, 혹은 제공자가 EU 외부에 있더라도 생성된 결과물이 EU 내에서 사용된다면 이 법의 적용을 받게 됩니다. 이는 한국에 본사를 둔 스타트업이라도 유럽 사용자를 대상으로 서비스를 제공한다면 반드시 준수해야 함을 의미합니다.

법적 적용이 제외되는 예외 케이스

물론 모든 AI가 규제 대상은 아닙니다. 군사, 국방, 국가 안보 목적으로만 사용되는 시스템, 또는 순수하게 과학적 연구 및 개발을 위해서만 개발된 경우에는 법 적용에서 제외됩니다. 또한, 금지되거나 고위험군으로 분류되지 않는 범위 내에서 자유 및 오픈 소스 라이선스 하에 출시되는 경우에도 예외가 인정될 수 있습니다.

기존 제품에 대한 경과 규정도 확인해야 합니다. 2026년 8월 2일 이전에 이미 유럽 시장에 출시된 AI 시스템과 2025년 8월 2일 이전에 출시된 GPAIM에 대해서는 준수 기간을 연장해 주는 규정이 존재하므로, 자사 제품의 출시 시점을 기준으로 대응 우선순위를 설정해야 합니다.

네 번째 단계: 위험 수준에 따른 차등적 의무 사항 분류

EU AI 법의 핵심 철학은 '위험 기반 접근 방식(Risk-based approach)'입니다. 모든 AI에 동일한 규제를 적용하는 대신, 위험의 정도에 따라 의무의 수준을 차등화합니다. 기업은 자사가 다루는 AI 시스템이 '금지된 AI', '고위험 AI', '제한적 위험 AI', '최소 위험 AI' 중 어디에 해당하는지 신속히 분류해야 합니다.

특히 고위험 AI로 분류될 경우 데이터 거버넌스, 기술 문서화, 투명성 확보 등 매우 까다로운 요건을 충족해야 합니다. 위험도가 낮은 시스템이라 하더라도 특정 투명성 의무가 부과될 수 있으므로 방심은 금물입니다.

GPAIM의 경우 모델의 위험 수준에 따라 추가적인 의무가 발생합니다. 만약 모델이 '시스템적 위험(Systemic Risk)'을 가진 것으로 판단된다면, 사고 보고 의무는 물론 더욱 강력한 위험 식별 및 완화 조치를 수행해야 합니다. 이는 모델의 규모와 영향력이 커질수록 규제의 강도가 기하급수적으로 높아짐을 시사합니다.

다섯 번째 단계: 계약 및 M&A 실사 프로세스에 규제 요구사항 반영

규제 변화는 기업의 비즈니스 계약과 자본 시장의 움직임에도 직접적인 영향을 미칩니다. 현재 진행 중인 모든 AI 관련 계약이나 인수 합병(M&A) 프로세스에는 반드시 EU AI 법의 요구사항이 반영되어야 합니다. 이는 단순히 계약서의 문구를 수정하는 것을 넘어, 실사(Due Diligence) 과정과 조달 프로세스 전반의 변화를 의미합니다.

특히 투자자와 인수 기업 입장에서는 피인수 기업의 AI 시스템이 법적 규제를 준수하고 있는지, 향후 막대한 벌금이나 서비스 중단 리스크를 안고 있지는 않은지 검증하는 것이 핵심 과제가 될 것입니다.

제공자와 배포자 사이의 책임 전가 문제도 중요합니다. 라이선스된 AI 시스템이나 GPAIM을 가져와 사용할 때, 어느 정도 수준의 수정이나 미세 조정(Fine-tuning)이 허용되는지에 따라 준수 책임이 제공자에서 배포자로 전환될 수 있습니다. 이 경계선을 명확히 정의하지 못하면 예상치 못한 법적 책임을 떠안을 수 있습니다.

여섯 번째 단계: 지속 가능한 AI 거버넌스 프레임워크 구축

전사적 AI 거버넌스의 정의와 구성

AI 거버넌스란 AI의 개발과 사용이 기업의 미션, 위험 프로필, 법적 의무 및 윤리적 우선순위와 일치하도록 보장하는 내부 정책과 프로세스를 의미합니다. 이는 단순한 법무팀의 업무가 아니라, 경영진의 강력한 지원 아래 전사적으로 추진되어야 하는 전략적 과제입니다.

효과적인 프레임워크를 위해서는 부서 간 경계를 허무는 'AI 워킹 그룹' 구성이 권장됩니다. 개발자, 제품 매니저(PM), 법무 담당자, 그리고 데이터 과학자 등 다양한 직군이 참여하여 다각도에서 위험을 분석하고 대응책을 마련해야 합니다.

AI 리터러시 확보와 통합적 준수 체계

EU AI 법은 2025년 2월부터 AI 시스템을 운영하는 직원 및 계약업체 간의 적절한 'AI 리터러시(AI 이해력)' 확보를 의무화했습니다. 구성원들이 AI의 작동 원리와 잠재적 위험을 이해하지 못한다면, 아무리 훌륭한 정책이 있어도 실질적인 준수는 불가능하기 때문입니다.

마지막으로, AI 거버넌스는 기존의 데이터 보호(GDPR), 제품 안전, 사이버 보안 규정들과 유기적으로 통합되어야 합니다. 중복되는 준수 의무를 하나로 묶어 관리하는 통합 거버넌스 체계를 구축함으로써, 규제 대응 비용을 최적화하고 운영 효율성을 높일 수 있습니다.

한국 스타트업과 투자자가 직면할 EU AI 법의 시사점

EU AI 법은 한국의 테크 기업들에게 양날의 검입니다. 규제 준수를 위한 비용 부담은 늘어나겠지만, 역설적으로 이 기준을 선제적으로 충족하는 기업은 유럽을 포함한 글로벌 시장에서 강력한 '신뢰 자산'을 확보하게 됩니다. 규제를 기술적 진입 장벽으로 활용할 수 있는 역량이 필요합니다.

스타트업 창업자들은 제품 설계 단계부터 'Compliance by Design(설계에 의한 준수)' 원칙을 도입해야 합니다. 사후에 규제에 맞추어 시스템을 뜯어고치는 것은 막대한 비용과 시간을 소모하며, 최악의 경우 제품의 핵심 로직을 포기해야 할 수도 있습니다.

투자자들 또한 포트폴리오 기업의 AI 기술력을 평가할 때, 기술적 성능뿐만 아니라 규제 대응 역량을 핵심 지표로 삼아야 합니다. 글로벌 확장을 꿈꾸는 기업이라면 EU AI 법은 더 이상 '남의 나라 이야기'가 아닌, 기업의 생존과 직결된 가장 중요한 비즈니스 변수임을 명심해야 합니다.