EU AI법(AI Act) 시행이 한국 기업에 미치는 영향 총정리
EU AI Act가 2026년부터 본격 적용됩니다. 유럽에 서비스하거나 수출하는 한국 기업이 무엇을 준비해야 하는지, 어떤 AI 기능이 규제 대상인지 핵심만 정리했어요.
2024년 EU가 세계 최초로 AI 포괄 규제법인 **AI Act(AI법)**를 통과시켰어요. 2026년부터 단계적 적용이 본격화되면서, 유럽에 서비스를 제공하거나 수출하는 한국 기업도 이 법의 영향에서 자유롭지 않아요.
"EU 규제니까 우리 기업 얘기가 아니잖아요"라고 생각할 수 있는데, 사실 꽤 광범위하게 적용돼요. 어떤 기업이, 무엇을, 언제까지 준비해야 하는지 핵심만 정리해볼게요.
EU AI Act, 핵심이 뭔가
EU AI Act는 AI 시스템을 위험 수준에 따라 4단계로 분류해요. 위험이 클수록 규제가 강해지는 구조예요.
| 위험 등급 | 대표 사례 | 규제 수위 |
|---|---|---|
| 허용 불가 | 사회적 점수제, 무차별 생체인식, 감정 인식 AI | 전면 금지 |
| 고위험 | 채용·대출·의료·교육·사법 AI, 핵심 인프라 | 의무 등록, 투명성·감독 요구 |
| 제한적 위험 | 챗봇, 딥페이크 생성 AI | AI임을 고지해야 함 |
| 최소 위험 | 스팸 필터, 게임 추천 AI, 재고 최적화 | 자율 준수 |
허용 불가 AI는 법 시행과 동시에 즉각 금지예요. 대표적인 게 '사회 신용 점수' 시스템인데, 시민 행동을 점수로 매겨 혜택·불이익을 주는 방식 자체가 금지돼요. 공공장소에서의 실시간 원격 생체인식(얼굴인식 등)도 원칙적으로 금지되고 극히 제한적인 예외만 인정돼요.
고위험 AI가 사실 한국 기업에 가장 중요한 분류예요. 채용 심사, 신용평가, 의료 진단 보조, 재판 보조 AI가 여기 들어가요. 이 카테고리는 등록 의무, 설명 가능성 요구, 인간 감독 구조 설계, 편향성 방지 문서화까지 여러 의무가 쌓여요. 얼핏 보면 AI 쓰지 말라는 것처럼 느껴질 수 있는데, 사실 "제대로 쓰면 된다"는 게 법의 취지예요.
제한적 위험 AI는 의무가 비교적 가벼워요. 챗봇이 대표적인데, AI와 대화 중임을 고지하면 돼요. 최소 위험 AI는 자율 준수 영역이라 규제 의무가 거의 없어요. 경계선에 걸쳐 있는 AI 시스템이 실무에선 가장 까다롭고, 유럽 진출 기업이라면 법률 전문가 검토를 병행하는 게 안전해요.
적용 시점, 언제부터인가
AI Act는 한 번에 전부 시행되는 게 아니라 단계적으로 적용돼요. 대략적인 흐름은 이래요.
- 2024년 8월: AI Act 공식 발효 (EU 관보 게재)
- 2025년 2월: 허용 불가 AI 전면 금지 발효
- 2025년 8월: GPAI(범용 AI 모델) 의무 적용 시작
- 2026년 8월: 고위험 AI 분야 일부 의무 적용 (핵심 인프라 등)
- 2027년 8월: 고위험 AI 전체 의무 완전 시행
그래서 "아직 시간이 있다"고 미루는 기업이 많은데, 고위험 AI 인증은 준비 기간이 꽤 길어요. 위험 등급 분류 → 기술 문서 작성 → 적합성 평가 → EU 등록까지 수개월에서 1년 이상 걸리기도 해요. GDPR도 시행 전에 "우리 회사는 영향 없겠지"라던 기업들이 시행 이후 부랴부랴 처리 방침을 뜯어고쳤잖아요. AI Act도 비슷한 패턴이 반복될 가능성이 높아요.
한국 기업이 직접 영향받는 경우
다음 중 하나라도 해당하면 EU AI Act의 적용 대상이 될 수 있어요.
- EU 회원국에 제품·서비스를 판매하는 경우
- EU 기반 기업의 하청·파트너사로 AI 시스템을 납품하는 경우
- AI 기능이 포함된 소프트웨어를 유럽 기업에 수출하는 경우
- AI의 결과물(output)이 EU 내에서 사용되는 경우
- EU 에서 사용 가능한 SaaS 형태로 AI 서비스를 제공하는 경우
HR테크·채용 AI 분야는 가장 직접적으로 영향을 받는 업종 중 하나예요. 이력서 자동 분류, 면접 영상 감정 분석, 합격 가능성 예측 AI가 모두 고위험 카테고리에 속해요. 국내 HR테크 스타트업이 이런 솔루션을 유럽 기업에 납품하면, EU 데이터베이스에 시스템을 등록하고, AI가 내린 판단을 채용 담당자가 설명할 수 있어야 해요.
핀테크·신용평가 AI도 마찬가지예요. 신용등급 산정, 대출 승인 여부 판단에 AI를 쓰면 고위험 분류예요. 유럽 고객 대상 신용평가 서비스라면 "왜 대출을 거절했는지" 설명할 수 있는 알고리즘 투명성이 반드시 필요해요. 블랙박스 모델만 쓰다가는 유럽 진출 자체가 막힐 수 있어요.
의료 AI는 규제가 특히 까다로워요. 영상 진단 보조(CT·MRI 분석), 질병 위험도 예측 AI는 의료기기 규제(MDR)와 AI Act가 동시에 적용될 수 있어요. CE 인증을 받더라도 AI Act 의무를 별도로 이행해야 할 수 있어서 이중 규제 부담이 생겨요.
교육 플랫폼·에듀테크도 주목받는 분야예요. 학생 성취도 예측이나 진학 가능성 평가 AI가 고위험으로 분류될 수 있어요. 미성년자 데이터를 다루는 교육 AI는 추가적인 보호 의무가 붙어서, 유럽 학교에 B2B로 솔루션을 제공하는 기업이라면 반드시 확인해야 해요.
반대로, 국내에서만 서비스하고 유럽과 접점이 전혀 없는 AI라면 당장 직접 영향은 없어요. 다만 "지금은 없어도 나중에 진출하면?"을 생각하면 미리 알아두는 게 손해는 아니에요.
고위험 AI, 실제로 어떤 준비가 필요한가
고위험 AI로 분류되면 단순히 "신고"하는 수준이 아니라, 구체적인 기술·운영 요건을 갖춰야 해요. 주요 의무를 하나씩 짚어볼게요.
① 시스템 로그 보관 의무: AI가 내린 개별 결정에 대한 로그를 일정 기간 보관해야 해요. 언제, 어떤 입력값을 받아서 무슨 결과를 냈는지 추적 가능한 형태로 기록해야 해요. 감사(audit)나 분쟁 발생 시 이 기록이 핵심 증거가 돼요.
② 인간 감독 구조 설계: AI가 중요한 결정을 내릴 때 사람이 개입·검토할 수 있는 구조를 갖춰야 해요. AI는 보조하고 최종 결정은 사람이 하는 방식이 기본이에요. 실무적으로는 AI 판단에 사람 검토자를 필수로 거치는 워크플로우를 설계해야 해요.
③ 정확성·견고성 테스트: AI 시스템의 정확도, 오류율, 이상 입력에 대한 견고성(robustness)을 테스트하고 문서화해야 해요. 배포 이후에도 지속적으로 성능을 모니터링하고 성능 저하 시 대응 절차가 필요해요.
④ 편향성 방지 문서화: AI 학습에 사용한 데이터의 출처, 구성, 편향성 검토 결과를 문서로 남겨야 해요. 특정 성별·나이·인종에 불리한 결과를 내지 않는지 테스트하고 기록해야 해요. 솔직히 이 부분이 가장 손이 많이 가는 작업이에요.
⑤ EU 데이터베이스 등록: 고위험 AI 시스템은 EU가 운영하는 공개 데이터베이스에 등록해야 해요. 이 데이터베이스에는 AI 시스템의 목적, 사용 범위, 개발사 정보 등이 공개돼요. 등록 절차 자체가 복잡하진 않지만 등록에 필요한 기술 문서를 준비하는 게 실질적인 부담이에요.
범용 AI 모델(GPAI) 규제도 주의
챗GPT, Claude 같은 대형 언어 모델(LLM)에 해당하는 "범용 AI 모델(General Purpose AI Model, GPAI)" 규제도 있어요. 유럽에서 사용되는 대규모 LLM은 학습 데이터 요약 공개, 저작권 준수 확인, 기술 문서 제출 등의 의무가 생겨요.
연산량 기준으로 구분이 돼요. 학습에 사용된 연산량이 10²⁵ FLOPs(플롭스)를 초과하는 초대형 모델은 "시스템적 위험이 있는 GPAI"로 분류돼요. GPT-4 수준의 모델에 해당하는 기준인데, 여기 해당하면 위험 평가, 사이버보안 테스트, AI 사고 보고 의무 등이 추가로 부과돼요.
구체적으로 GPAI 개발사에게 요구되는 의무는 이래요.
- 기술 문서 작성: 모델 아키텍처, 학습 방법론, 데이터셋 개요를 담은 기술 문서를 준비해야 해요.
- 저작권 정책 공개: 학습 데이터의 저작권 준수를 확인하고 EU 저작권 지침 예외 조항 활용 여부를 명시해야 해요.
- 사용 정책 게시: 어떤 용도로 사용할 수 있고 없는지 명확한 이용 정책을 공개해야 해요.
- 시스템적 위험 평가: 초대형 모델은 사회 전반에 미칠 위험을 평가하고 완화 방안을 마련해야 해요.
- 사고 보고 체계: 유럽 내 심각한 AI 사고가 발생하면 당국에 즉시 보고하는 체계를 갖춰야 해요.
국내 기업이 자체 LLM을 개발해 유럽 시장에 내놓으려면 이 규정을 지켜야 해요. 근데 막상 준비해보면 학습 데이터 저작권 확인이 실무적으로 가장 어려운 부분이에요. 웹 크롤링 데이터를 대량으로 쓴 모델이라면 어떤 저작물이 포함됐는지 역추적하는 게 쉽지 않거든요. 네이버 HyperCLOVA X나 카카오의 자체 모델이 유럽 진출 계획이 있다면 반드시 체크해야 해요.
위반하면 어떻게 되나
AI Act의 벌칙은 가볍지 않아요. 위반 유형에 따라 과징금이 매겨지는데, GDPR과 비슷하게 전 세계 연간 매출 기준이에요.
| 위반 유형 | 과징금 |
|---|---|
| 허용 불가 AI 사용 | 전 세계 매출의 7% 또는 3,500만 유로 중 높은 금액 |
| 고위험 AI 의무 미이행 | 전 세계 매출의 3% 또는 1,500만 유로 중 높은 금액 |
| 당국에 허위 정보 제공 | 전 세계 매출의 1% 또는 750만 유로 중 높은 금액 |
| GPAI 의무 위반 | 전 세계 매출의 3% 또는 1,500만 유로 중 높은 금액 |
참고로 GDPR 시행 이후 메타는 아일랜드 당국에서 12억 유로(약 1조 7천억 원) 과징금을 맞았어요. 아마존은 7억 4,600만 유로 수준의 과징금을 받았고요. AI Act도 이와 유사한 집행 강도가 예상돼요.
이게 "유럽 매출이 작으니 무시하자"가 안 되는 이유예요. 과징금 기준이 글로벌 전체 매출이라서 유럽 사업 규모가 작아도 전체 매출이 잣대가 돼요. 솔직히 이 구조가 가장 무서운 부분이에요.
중소기업·스타트업에는 과징금 한도를 낮게 적용하는 조항이 있긴 해요. 하지만 위반 사실 자체가 브랜드 신뢰도와 유럽 사업 기회에 타격을 줄 수 있어요.
업종별 영향 전망
업종에 따라 준비해야 할 내용과 긴급도가 달라요.
| 업종 | 위험 등급 | 준비 기간 | 주요 요구사항 |
|---|---|---|---|
| HR테크(채용 AI) | 고위험 | 6~12개월 | 의사결정 설명 가능성, 편향성 테스트, EU 등록 |
| 핀테크(신용평가) | 고위험 | 6~12개월 | 알고리즘 투명성, 인간 감독, 로그 보관 |
| 의료 AI(진단 보조) | 고위험 | 12개월 이상 | MDR + AI Act 이중 준수, 정확성·견고성 문서화 |
| 에듀테크(성취 예측) | 고위험 | 6~12개월 | 미성년자 데이터 보호, 공정성 검증 |
| 로봇·자율주행 | 고위험 | 12개월 이상 | 안전 테스트, 실시간 감독 체계 |
| SaaS 챗봇 | 제한적 위험 | 1~3개월 | AI 고지 의무, 딥페이크 표시 |
| 추천 알고리즘 | 최소~제한적 | 즉시 가능 | 자율 준수 또는 투명성 고지 |
의료 AI와 자율주행·로봇 분야가 준비 기간이 가장 길어요. 기술 검증에 시간이 걸리는 데다 기존 안전 규제와 AI Act가 겹치는 부분을 정리하는 데도 시간이 필요하거든요. SaaS 챗봇 서비스라면 "AI와 대화 중입니다"라는 고지 문구 추가로 기본 의무는 빠르게 충족할 수 있어요.
한국은 AI 규제를 어떻게 하나
EU만큼 포괄적인 AI법은 아직 없어요. 국내에선 'AI 기본법'이 마련되고 있지만, EU AI Act처럼 위험 등급별로 강하게 묶는 수준은 아니에요. 한국은 상대적으로 진흥에 무게를 두면서 최소한의 안전장치를 두는 방향에 가까워요.
다만 "유럽 기준이 글로벌 표준"이 되는 사례가 많아요. GDPR(개인정보 규정)이 유럽만의 규칙으로 시작했지만, 한국 개인정보보호법 개정에 큰 영향을 줬어요. AI Act도 장기적으로 한국 AI 규제 방향에 영향을 줄 가능성이 높아요. 이른바 '브뤼셀 효과(Brussels Effect)'예요.
브뤼셀 효과는 EU 규제가 워낙 강력해서 글로벌 기업들이 EU 기준에 맞게 전 세계 제품을 통일하는 현상이에요. AI Act도 이 패턴을 따를 가능성이 높아서, 유럽 시장을 겨냥하든 아니든 업계 표준이 될 수 있어요.
국내 기업 입장에서 보면, 지금 당장 법적 의무가 없더라도 AI Act 기준에 맞춘 개발 관행을 도입해두면 나중에 훨씬 유리해요. 유럽 파트너사나 투자자를 만날 때 "우리는 EU AI Act 대응 체계가 있습니다"라고 말할 수 있는 게 실질적인 경쟁력이 돼요.
기업 준비 체크리스트
| 확인 항목 | 구체적으로 확인할 내용 |
|---|---|
| 유럽 사업 영역 파악 | 우리 AI가 EU 시장에 직·간접 노출되는가? |
| 위험 등급 자가 분류 | 우리 AI가 고위험 카테고리에 해당하는가? |
| 의사결정 설명 가능성 | AI가 내린 결정을 사람이 이해하고 설명할 수 있는가? |
| 인간 감독 체계 | AI 시스템에 사람이 개입·검토할 수 있는 구조인가? |
| 학습 데이터 문서화 | 어떤 데이터로 AI를 훈련했는지 기록이 있는가? |
| 편향성 검토 여부 | 성별·나이·인종 등에 대한 차별적 결과 테스트를 했는가? |
| 시스템 로그 보관 | AI 결정 이력을 감사 가능한 형태로 보관하는가? |
| 사고 대응 절차 | AI 오작동 시 보고·대응 체계가 마련됐는가? |
| GPAI 해당 여부 | 자체 LLM이나 대형 AI 모델을 개발·배포하는가? |
체크리스트에서 "유럽 사업 영역 파악"이 첫 번째인 이유가 있어요. 의무 이행 여부 자체가 유럽과의 접점이 있는지에서 시작하기 때문이에요. 직접 유럽에 서비스하지 않아도 B2B 파트너를 통해 간접적으로 유럽 사용자에게 닿는 경우가 많아요.
자주 묻는 질문
Q. 국내에서만 AI 서비스하면 신경 안 써도 되나요?
유럽과 접점이 전혀 없다면 당장 직접 의무는 없어요. 다만 향후 진출 가능성이 있다면 위험 등급 분류 정도는 미리 파악해두는 게 좋아요. 나중에 급하게 대응하면 인증 준비 기간이 촉박해져서 진출 시점이 늦어질 수 있어요. 브뤼셀 효과를 고려하면, 유럽 기준이 결국 글로벌 표준이 될 가능성도 있거든요.
Q. 우리 AI가 '고위험'인지 어떻게 아나요?
채용·대출·의료·교육·핵심 인프라처럼 사람의 권리·안전에 큰 영향을 주는 분야에 쓰이면 고위험일 가능성이 높아요. AI Act 부속서(Annex III)에 고위험 AI 분야 목록이 상세하게 나열돼 있으니 참고하면 돼요. 경계선에 걸리는 경우도 많기 때문에 확실하지 않다면 전문 법률 자문을 받는 게 안전해요.
Q. 챗봇만 운영하는데도 규제 대상인가요?
챗봇은 '제한적 위험'으로, 사용자에게 "AI와 대화 중"임을 고지하는 정도의 투명성 의무가 있어요. 고위험만큼 무겁진 않지만, 의무 자체가 없는 건 아니에요. 사용자가 AI인지 사람인지 혼동할 수 있는 상황에서 이를 숨기면 위반이 돼요. 딥페이크 생성 기능이 있다면 그 사실도 명확히 표시해야 해요.
Q. 작은 스타트업도 적용되나요?
규모와 무관하게 용도와 유럽 노출 여부로 판단해요. 다만 중소기업·스타트업에 대한 행정 부담 완화 조항이 일부 있어요. 과징금 상한이 낮게 적용되거나 규제당국이 지원·가이드를 우선 제공하는 방식이에요. 스타트업이라면 초기 설계 단계부터 "컴플라이언스 바이 디자인(Compliance by Design)" 방식을 채택하는 게 나중에 비용을 줄이는 길이에요.
마무리 — 지금 할 일은 '분류와 문서화'
EU AI Act는 당장 대부분의 국내 기업에 직접 영향을 주진 않아요. 하지만 유럽과 거래하거나, 유럽 진출을 고려하는 기업이라면 지금부터 우리 AI 시스템의 위험 등급을 파악하고 문서화 체계를 갖추는 게 필요해요.
당장 해야 할 일은 거창하지 않아요. ① 우리 AI가 유럽에 노출되는지 확인하고 ② 고위험 카테고리에 해당하는지 자가 분류하고 ③ 학습 데이터와 의사결정 과정을 기록으로 남기는 것. 근데 막상 ③번 단계에서 "우리 데이터 어디서 왔더라?"가 안 풀리는 경우가 많아서, 지금부터 데이터 관리 체계를 정비해두는 게 실질적으로 중요해요.
AI 규제가 글로벌 표준이 되는 흐름에서, 미리 대비한 기업이 훨씬 덜 힘들어요. GDPR을 일찍 준비한 기업이 유럽 거래에서 신뢰를 얻었듯, AI Act 대응도 경쟁력의 일부가 될 거예요.
함께 챙기면 좋은 것
이 글에는 제휴 링크가 포함되어 있으며, 구매가 발생하면 추가 비용 없이 운영자에게 일부 수수료가 지급될 수 있습니다.
함께 보면 좋은 추천
이 포스팅은 제휴 마케팅 활동의 일환으로, 링크를 통한 구매 시 소비자에게 추가 비용 없이 운영자에게 일정 수수료가 지급될 수 있습니다.