미국 기업들이 직면한 EU AI 법의 2026년 8월 준수 마감 시한 [정책]

EU AI 법의 단계적 시행과 2026년 8월의 불확실성

유럽연합(EU)의 인공지능 규제 체계인 'EU AI 법(EU AI Act)'이 본격적인 카운트다운에 들어갔습니다. 2025년 2월부터 단계적인 시행이 시작된 이 법안은, 제6조 제1항의 특례 조항을 제외한 대부분의 핵심 규정이 2026년 8월 2일에 발효될 예정입니다. 이는 AI 기술을 상용화하려는 글로벌 기업들에게 매우 촉박한 타임라인을 제시하고 있습니다.

최근 유럽 의회에서는 기술 기업들의 부담을 완화하기 위해 주요 준수 마감 시한을 연기하는 안건이 통과되었습니다. 연기안에 따르면 고위험 AI 시스템에 대한 요구 사항은 2027년 12월로, 부문별 의무 사항은 2028년 8월로 미뤄질 수 있습니다. 이러한 움직임은 기술 혁신의 속도를 저해하지 않으려는 의도와 더불어, 트럼프 행정부의 압력 등 정치적 역학 관계가 작용한 결과로 분석됩니다.

하지만 기업들이 안심하기에는 이릅니다. 연기안이 법적 효력을 갖기 위해서는 향후 몇 달 내, 늦어도 6월 이전에는 유럽연합 이사회의 정치적 합의가 완료되어야 하기 때문입니다. 기업들은 '연기 확정을 기다리며 출시를 늦출 것인가' 아니면 '원래의 2026년 8월을 대비해 제품 출시를 서두를 것인가'라는 중대한 전략적 선택의 기로에 서 있습니다.

여기서 주목해야 할 점은 EU AI 법의 '비소급 적용' 원칙입니다. 법이 공식적으로 발효되기 전에 이미 시장에 출시되어 운영 중인 AI 시스템은 기존 권한을 인정받는 '그랜드파더링(Grandfathered in)' 원칙에 따라 특정 의무에서 면제될 가능성이 있습니다. 따라서 기업들은 제품 출시 시점을 규제 대응력과 맞물려 매우 정교하게 설계해야 합니다.

규제 대상이 되는 '고위험 AI 시스템'의 정의와 범위

고위험 범주로 분류되는 주요 사용 사례

EU AI 법은 모든 AI를 규제하는 것이 아니라, 위험도에 따라 차등적인 접근 방식을 취합니다. 그중에서도 '고위험 AI 시스템'은 부속서 I에 기술된 제품 안전 조치 대상이거나, 부속서 III에 나열된 특정 사용 사례에 해당하는 시스템을 의미합니다. 이들은 인간의 기본권이나 안전에 직접적인 영향을 미칠 수 있는 영역을 포괄합니다.

구체적인 고위험 범주로는 생체 인식 식별 시스템, 핵심 인프라 운영, 교육 및 직업 훈련, 고용 및 인사 관리 시스템이 포함됩니다. 또한 신용 점수 산정, 보험 가입 및 서비스 접근성 결정, 법 집행, 이주 및 사법 행정 분야에서 사용되는 AI 역시 엄격한 규제 대상입니다. 이러한 분야의 AI는 사회적 불평등을 심화하거나 개인의 권리를 침해할 가능성이 높다고 판단됩니다.

EU 거점 없이도 적용되는 '영향력 기반' 관할권 모델

EU AI 법의 가장 강력한 특징 중 하나는 GDPR(개인정보보호법)과 유사한 '영향력 기반' 관할권 모델을 채택하고 있다는 점입니다. 이는 기업이 반드시 EU 내에 물리적인 사무실을 두거나 현지 직원을 고용해야만 규제를 받는 것이 아님을 의미합니다. 규제의 핵심 기준은 'AI 시스템의 영향이 어디에서 발생하는가'에 있습니다.

비EU 기업이라 할지라도 EU 고객에게 AI 제품을 판매, 라이선스 부여 또는 제공한다면 해당 모델은 EU 시장에 출시된 것으로 간주됩니다. 예를 들어, 적응형 학습 기능을 제공하는 SaaS 플랫폼이 리셀러를 통해서든 직접 판매를 통해서든 EU 내 사용자를 보유하고 있다면 규제 대상에 포함됩니다. 이는 글로벌 서비스를 지향하는 테크 기업들에게 매우 높은 진입 장벽이 될 수 있습니다.

또한, AI 시스템이 생성한 '결과물'이 EU 내에서 사용되는 경우에도 규제 범위에 포함됩니다. 기업의 서버가 미국이나 한국에 있더라도, 그 AI 모델이 EU 거주자의 신용 정보를 처리하거나 EU 기반 후보자의 채용 스크리닝을 수행한다면 해당 기업은 EU AI 법의 통제를 받게 됩니다. 즉, 데이터의 흐름과 결과물의 도달 범위가 규제의 트리거가 됩니다.

제공자(Provider)와 배포자(Deployer)의 법적 책임 구분

시스템 개발자와 사용자 간의 의무 차이

EU AI 법은 AI 시스템의 역할에 따라 '제공자(Provider)'와 '배포자(Deployer)'를 엄격히 구분하여 서로 다른 의무를 부과합니다. '제공자'는 AI 시스템을 직접 개발하거나 자신의 이름으로 시장에 내놓는 주체를 말하며, 시스템이 EU AI 법의 적합성 평가, 문서화, 등록 및 데이터 거버넌스 요구 사항을 모두 충족하도록 보장할 포괄적인 책임을 집니다.

반면 '배포자'는 전문적인 업무 범위 내에서 AI 시스템을 실제로 사용하는 주체를 의미합니다. 배포자는 제공자가 제공한 지침에 따라 시스템을 올바르게 사용해야 할 의무가 있으며, 시스템 운영 과정에서 인간의 감독(Human Oversight)을 할당해야 합니다. 또한, 시스템이 생성한 로그를 최소 6개월 동안 보관해야 하며, AI의 결정으로 영향을 받는 개인에게 관련 내용을 통지해야 하는 의무를 가집니다.

적합성 평가와 기술 문서화: 실무적 준수 프로세스

고위험 AI 시스템을 시장에 출시하려는 제공자는 반드시 '적합성 평가(Conformity Assessment)' 프로세스를 완료해야 합니다. 이는 시스템이 EU가 요구하는 안전성, 투명성 및 거버넌스 기준을 충족하는지 검증하는 단계입니다. 핵심 인프라, 교육, 고용 등 주요 분야의 제공자는 자가 인증(Self-assessment)을 통해 이를 수행할 수 있습니다.

다만, 생체 인식 식별과 같이 민감도가 매우 높은 시스템의 경우 규제 강도가 훨씬 높습니다. 이러한 시스템은 단순 자가 인증을 넘어, 공인된 기관(Notified Body)으로부터 엄격한 제3자 평가를 받아야만 시장 진입이 가능합니다. 이는 기술적 완성도뿐만 아니라 윤리적 가이드라인 준수 여부까지 철저히 검증받아야 함을 의미합니다.

행정적 절차 또한 만만치 않습니다. 고위험 AI 시스템은 시장 출시 전 반드시 EU 데이터베이스에 등록되어야 하며, 시스템의 목적, 기능, 설계 사양, 성능 지표 등을 상세히 기술한 기술 문서를 구비해야 합니다. 특히 비EU 기업은 법적 책임을 대행할 'EU 내 권한 있는 대리인(Authorized Representative)'을 반드시 임명해야 하는 의무가 있습니다.

위반 시 발생하는 막대한 과징금과 시장 퇴출 리스크

EU AI 법의 위반에 따른 처벌 수위는 기업의 존립을 위협할 수 있을 만큼 강력합니다. 고위험 AI 시스템의 규정을 준수하지 않은 제공자나 배포자에게는 최대 1,500만 유로(한화 약 220억 원) 또는 기업의 전 세계 연간 매출액의 3% 중 높은 금액이 과징금으로 부과될 수 있습니다. 이는 단순한 벌금을 넘어 기업의 재무 구조에 치명적인 타격을 줄 수 있는 수준입니다.

또한, 당국에 부정확하거나 오해의 소지가 있는 정보를 제공했을 경우에도 엄중한 처벌이 따릅니다. 이 경우 최대 750만 유로 또는 전 세계 연간 매출액의 1%에 달하는 벌금이 부과될 수 있습니다. 금전적 손실보다 더 무서운 것은 운영상의 제약입니다. EU 국가 당국은 규정을 준수하지 않는 AI 시스템에 대해 EU 시장에서의 완전한 철수를 명령할 권한을 보유하고 있습니다.

글로벌 확장을 준비하는 한국 기업의 전략적 대응

EU AI 법은 단순히 유럽만의 문제가 아니라, 글로벌 표준을 선점하려는 유럽의 전략적 움직임으로 해석해야 합니다. 한국의 스타트업과 테크 기업들이 유럽 시장 진출을 고려하고 있다면, 제품 개발 초기 단계부터 'Compliance by Design(설계에 의한 준수)' 원칙을 도입해야 합니다. 사후에 규제에 맞춰 시스템을 수정하는 것은 막대한 비용과 시간을 소모하기 때문입니다.

특히 고위험 범주에 속할 가능성이 있는 AI 모델을 개발 중이라면, 2026년 8월이라는 마감 시한을 기준으로 제품 출시 로드맵을 재점검해야 합니다. 앞서 언급한 '그랜드파더링' 혜택을 받을 수 있는 시점과, 향후 확정될 수 있는 규제 연기 가능성을 면밀히 비교 분석하여 최적의 출시 타이밍을 결정하는 지혜가 필요합니다.

결론적으로, 한국 기업들은 EU의 입법 동향을 단순한 뉴스가 아닌 핵심 리스크 관리 요소로 다루어야 합니다. 기술적 우위만큼이나 규제 대응 역량이 글로벌 시장에서의 경쟁력을 결정짓는 핵심 지표가 될 것입니다. EU 데이터베이스 등록, 기술 문서 준비, 그리고 EU 대리인 선임 등 실무적인 준비를 선제적으로 검토할 것을 권고합니다.