IT / AI · 2026.03.07
EU AI Act 고위험 AI 규제 연기:
한국 기업, 준비 없으면 과징금 폭탄
EU는 2025년 11월, 고위험 AI 규제 전면 적용 시점을 2026년 8월 → 2027년 12월로 16개월 연기했습니다.
하지만 연기가 ‘면제’는 아닙니다. 준비 중단은 곧 최대 세계 매출액의 3~7% 과징금으로 돌아올 수 있습니다.
EU에 제품·서비스·AI 결과물을 내보내는 모든 한국 기업에 해당하는 이야기입니다.
📋 투명성 의무: 2026.08 시행
💸 위반 과징금: 연매출 최대 7%
🇰🇷 한국 AI 기본법: 2026.01 시행
EU AI Act란? 세계 최초 포괄적 AI 규제의 탄생
EU AI Act(유럽연합 인공지능법)는 2024년 3월 유럽의회를 통과하고 같은 해 8월 1일 공식 발효된 세계 최초의 포괄적 AI 규제 법안입니다. 단순히 EU 27개 회원국의 규칙이 아니라, EU 시장에 AI 제품·서비스·결과물을 제공하는 전 세계 모든 기업에 적용되는 역외 효력(Extra-territorial Effect)이 핵심입니다. 쉽게 말해 서울에 본사가 있어도, EU 소비자가 내 앱을 한 번이라도 사용하면 이 법의 적용 대상이 될 수 있습니다.
이 법의 근본 철학은 AI를 위험도에 따라 차등 규제하는 위험 기반 접근법(Risk-based Approach)입니다. 모든 AI를 일괄 규제하면 혁신이 죽고, 아무것도 규제하지 않으면 인권이 침해된다는 현실적 타협의 산물입니다. EU 집행위는 이 법을 통해 미국·중국 빅테크 기업의 역내 시장 잠식 속도를 늦추면서 유럽 기업을 보호하는 전략적 포석을 깔았다는 해석도 유력합니다.
💡 핵심 인사이트
EU AI Act는 지금 당장 모든 조항이 시행 중인 법이 아닙니다. 단계별 시행이므로 “어떤 조항이 언제 적용되는지”를 정확히 파악하는 것이 대응의 출발점입니다. 금지 조항(2025.02 발효), GPAI 모델 의무(2025.08 발효)는 이미 살아 있습니다.
고위험 AI 규제 16개월 연기: 왜, 그래서 어떻게 달라지나
2025년 11월 19일, EU 집행위원회는 ‘디지털 간소화 방안(Digital Omnibus)’을 발표하면서 고위험 AI 시스템 규제의 전면 적용 시점을 2026년 8월 → 2027년 12월로 16개월 연기하겠다고 제안했습니다. 이미 EU 공식 웹사이트에도 “규제된 제품에 내장된 고위험 AI 시스템은 2027년 8월까지 확장된 전환 기간을 갖는다”는 문구가 명시되어 있습니다. 이 제안은 EU 의회와 이사회의 협상을 거쳐 최종 확정 절차에 있습니다.
연기의 배경은 크게 두 가지입니다. 첫째, 메타·구글·오픈AI·앤트로픽 등 미국 빅테크의 강력한 반발입니다. “과도한 규제가 AI 혁신을 저해한다”는 논리가 에어버스, 메르세데스-벤츠 같은 유럽 대기업의 목소리와 합쳐져 EU 집행위를 움직였습니다. 둘째, 트럼프 미국 행정부의 AI 규제 완화 흐름입니다. 미국이 규제를 풀면서 AI 산업을 전속력으로 밀어붙이는데, EU만 홀로 강한 규제로 나아가면 경쟁에서 뒤처진다는 현실적 우려가 컸습니다.
연기가 ‘면제’가 아닌 이유
많은 기업이 “연기됐으니 내년까지 준비 안 해도 되겠다”고 오해합니다. 이건 굉장히 위험한 착각입니다. 금지 조항(8가지 수용 불가능한 위험)은 2025년 2월부터 이미 살아 있고, 범용 AI(GPAI) 모델 의무는 2025년 8월부터 발효됐습니다. 투명성 의무는 2026년 8월에 시행됩니다. 고위험 AI만 연기된 것이고, 나머지 조항은 예정대로 진행 중입니다. 더 중요한 건, 2027년 12월까지 적합성 평가·문서화·위험 관리 시스템을 완성해 놔야 한다는 점입니다. 그 준비에 최소 12~18개월이 걸린다는 게 실무 전문가들의 공통된 의견입니다.
📅 EU AI Act 주요 시행 타임라인
| 시행 시점 | 적용 조항 | 현재 상태 |
|---|---|---|
| 2025.02 | 8가지 AI 금지 조항 | ✅ 시행 중 |
| 2025.08 | GPAI 모델 의무 (투명성·저작권·안전) | ✅ 시행 중 |
| 2026.08 | 투명성 의무 (챗봇·딥페이크 등) | ⏳ 5개월 후 |
| 2027.08~12 | 고위험 AI 시스템 전면 규제 | 🗓️ 준비 기간 |
4단계 위험 분류 완전정복: 내 제품은 어디에 해당하나
EU AI Act의 핵심 구조는 AI를 위험 수준에 따라 4단계로 나누는 것입니다. 어느 단계에 해당하느냐에 따라 부담해야 할 의무가 극적으로 달라집니다. 내 서비스가 어디에 속하는지 모르면 의도치 않게 법을 어기는 상황이 발생합니다. 아래 분류를 꼼꼼히 확인하세요.
수용 불가능한 위험 — 완전 금지 (2025.02 발효)
잠재의식 조작, 취약계층 착취, 사회 신용 시스템, 공개 장소 실시간 원격 생체인식 등 8가지 유형이 완전 금지됩니다. CCTV 스크래핑을 이용한 안면인식 데이터베이스 구축도 포함됩니다. 이 단계의 AI를 EU에서 개발하거나 배포하면 즉시 법 위반입니다. 한국의 일부 공공 안전 솔루션 기업은 자사 기술이 여기에 해당하지 않는지 반드시 법률 검토를 받아야 합니다.
고위험 AI — 엄격한 의무 (2027.08~12 전면 적용)
의료 AI 진단, 채용·인사 AI, 신용 평가, 법 집행, 이민·비자 심사, 교육 평가, 자율주행 안전 부품 등 9개 분야가 포함됩니다. 제공자는 위험 관리 시스템 구축, 데이터 거버넌스, 기술 문서 작성, 로그 기록 관리, 인간 감독 장치, 사이버보안 확보 등 7가지 엄격한 의무를 이행해야 합니다. 연기됐다고 방심하면 안 됩니다. 준비에 평균 18개월이 소요됩니다.
제한적 위험 — 투명성 의무 (2026.08 시행)
챗봇, 생성형 AI, 딥페이크, 감정 인식 AI 등이 해당합니다. “이 서비스는 AI와 대화 중입니다”를 사용자에게 명확히 알려야 하고, AI 생성 콘텐츠임을 표시해야 합니다. 딥페이크는 인간이 명확히 인식할 수 있도록 반드시 워터마킹이 필요합니다. 2026년 8월까지 5개월밖에 남지 않았습니다. 지금 당장 점검해야 합니다.
최소·무위험 — 사실상 자유 (규제 없음)
게임 AI, 스팸 필터, 자동 번역처럼 위험성이 거의 없는 AI입니다. EU AI Act의 규제 대상에서 제외되며, 현재 EU에서 유통되는 대부분의 AI가 이 범주에 해당합니다. 다만 4단계 AI라도 향후 부속서 개정으로 상위 단계로 재분류될 수 있다는 점은 유의해야 합니다.
⚠️ 실무 함정: 배포자도 공급자가 될 수 있습니다
EU AI Act 제25조는 배포자(Deployer)가 기존 고위험 AI에 ‘상당한 변경’을 가할 경우 제공자(Provider)로 간주됩니다. 외국에서 만든 AI 솔루션을 도입해 커스터마이징하는 한국 기업도 공급자 의무 전체를 져야 할 수 있습니다.
한국 수출기업이 모르면 맞는 과징금 함정 3가지
동아시아재단 분석에 따르면, 한국 기업이 EU AI Act에서 가장 많이 놓치는 함정이 뚜렷하게 세 가지로 압축됩니다. 위반 시 과징금은 금지 조항 위반의 경우 최대 3,500만 유로(약 520억 원) 또는 연간 세계 매출액의 7% 중 큰 금액, 고위험 의무 위반은 최대 1,500만 유로(약 225억 원) 또는 세계 매출액의 3% 중 큰 금액입니다. ‘세계 매출액’이라는 점을 주목해야 합니다. EU 매출이 아닙니다.
🚨 함정 ① 치외법권 효과를 모른다
EU AI Act는 EU 밖에서 개발된 AI라도 결과물(Output)이 EU 시장에 유입되면 적용됩니다. 한국 기업이 개발한 영상 분석 AI가 EU에서 유통되는 CCTV 시스템에 탑재된다면, 그 기업은 공급자 의무를 부담합니다. “우리는 EU에 직접 수출 안 한다”는 인식 자체가 위험합니다. AI 결과물의 최종 목적지를 추적해야 합니다.
🚨 함정 ② GPAI 모델 의무를 간과한다
범용 AI(GPAI) 모델은 2025년 8월부터 이미 의무가 발효됐습니다. 네이버 HyperCLOVA X, LG EXAONE, 스타트업의 AI 모델 등 한국산 AI가 EU에서 배포된다면 기술 문서 작성, EU 저작권법 준수 정책 마련, 학습 데이터 요약 공개가 지금 당장 의무입니다. 시스템적 위험이 있는 대형 모델(연산량 10²⁵ FLOPs 이상)은 추가 안전 평가도 받아야 합니다.
🚨 함정 ③ 분류의 불확실성을 과소평가한다
고위험 AI의 분류는 부속서(Annex) 개정만으로 바뀔 수 있습니다. 지금은 저위험 AI라도 내일 고위험으로 재분류될 수 있습니다. EU 전문가들은 “EU 시장 진출을 원하는 기업은 처음부터 고위험 2단계 기준으로 보수적으로 준비하라”고 권고합니다. 나중에 재분류되어 소급 의무를 지는 것보다 선제 대응이 비용 효율적입니다.
한국 AI 기본법 vs EU AI Act: 교차점과 충돌 지점
2026년 1월 22일, 한국도 ‘인공지능 발전과 신뢰 기반 조성 등에 관한 기본법(AI 기본법)’을 세계 최초로 전면 시행했습니다. EU가 규제 속도를 늦추는 사이, 한국이 세계 첫 시행국이 된 아이러니한 상황입니다. 두 법은 공통점도 있지만 중요한 차이점도 존재합니다.
공통점: 위험 기반 규제 + 고위험 AI 집중 관리
두 법 모두 위험 기반 접근법을 채택합니다. 한국 AI 기본법도 EU와 유사하게 의료·채용·금융·교통·범죄수사 등 10대 영역을 ‘고영향 AI’로 지정하고, 이 분야의 AI 사업자에게 위험 관리, 설명 가능성, 이용자 보호, 기록 보관 의무를 부과합니다. 또한 고성능 AI(연산량 10²⁶ FLOPs 이상)에 대한 별도 안전 기준을 마련한다는 점도 유사합니다.
충돌 지점: 사업자 정의와 계도기간
가장 큰 차이는 사업자 정의 방식입니다. EU는 공급자(Provider)·배포자(Deployer)·수입자 등 역할을 세분화하지만, 한국 AI 기본법은 ‘인공지능사업자’로 광범위하게 정의해 규제 불확실성을 높입니다. 또한 한국은 최소 1년 이상 계도기간을 운영 중이라 과태료 부과가 2027년 이후로 미뤄졌지만, EU는 GPAI 의무와 금지 조항에 대해선 지금 당장 집행이 가능한 상태입니다. EU에 수출하는 한국 기업은 국내법 계도기간에 안주했다간 EU 과징금 먼저 맞는 아이러니에 빠질 수 있습니다.
🔍 주목할 스타트업 조사 결과
스타트업얼라이언스가 국내 AI 기업 101곳을 조사한 결과, AI 기본법에 대한 실질적 대응 체계를 갖춘 기업은 단 2%에 불과했습니다. 법령 미인지 48.5%, 인지했지만 미준비 48.5%로 사실상 국내 AI 스타트업 전체가 무방비 상태입니다. EU AI Act 대응은 더더욱 요원한 현실입니다.
지금 당장 해야 할 실무 대응 5단계 로드맵
연기 발표 이후 많은 기업이 대응을 멈췄습니다. 저는 이 선택이 가장 위험하다고 봅니다. EU AI Act 컴플라이언스는 IT 부서 혼자 처리할 수 있는 수준이 아닙니다. 법무·개발·데이터·경영진이 함께 움직여야 하는 전사적 프로젝트입니다. 아래 5단계를 지금부터 시작하면 2027년 12월 전면 시행 전에 충분히 준비할 수 있습니다.
AI 인벤토리 구축 — 우리 회사의 모든 AI를 목록화하라
현재 개발·운영 중인 모든 AI 시스템을 목록화하고, EU AI Act 4단계 위험 분류 기준에 따라 어디에 속하는지 예비 판정합니다. EU 시장에 직간접적으로 유입되는 AI를 식별하는 것이 1순위입니다. EU AI Act 서비스 데스크의 자가 진단 도구를 활용하면 도움이 됩니다.
2026년 8월 투명성 의무 즉시 대응
챗봇, 생성형 AI 서비스를 EU에 제공하고 있다면 지금 당장 “AI와 대화 중”임을 고지하는 UI를 준비하세요. AI 생성 콘텐츠 워터마킹 기술 도입도 5개월 안에 완성해야 합니다. 이 조항은 연기된 고위험 AI 규제와 무관하게 2026년 8월 시행됩니다.
고위험 AI 적합성 평가(Conformity Assessment) 착수
의료·채용·금융 AI를 EU에 공급할 계획이라면 적합성 평가 문서화를 지금 시작해야 합니다. 위험 관리 시스템 구축, 데이터 거버넌스 문서, 기술 명세서 작성에 최소 12개월이 소요됩니다. 2027년 12월에 맞추려면 2026년 1분기가 마지노선입니다.
계약서·약관에 EU 사용 제한 조항 추가
EU AI Act에서 금지된 기능(실시간 원격 생체인식, 감정 분석 등)이 포함된 제품이라면 계약서에 “EU 역내 사용 금지” 조항을 명시하세요. 결과물이 EU로 흘러 들어가는 상황을 계약으로 차단하는 것이 현실적인 방어 전략입니다.
EU AI Act 모니터링 체계 상시 운영
EU는 부속서 개정으로 고위험 AI 분류를 수시로 변경할 수 있습니다. ‘디지털 간소화 방안’의 입법 절차도 계속 진행 중입니다. 분기 1회 이상 EU 집행위 공식 채널과 OECD AI 실사 가이드를 점검하는 내부 모니터링 체계를 갖추세요. 변화에 늦게 반응하는 비용이 가장 비쌉니다.
Q&A — 가장 많이 묻는 5가지 질문
마치며 — 연기는 기회, 방심은 위기
EU AI Act 고위험 AI 규제의 16개월 연기 소식은 표면적으로 한국 기업에게 시간을 선물한 것처럼 보입니다. 하지만 개인적으로 이 연기를 ‘기회의 창’이 아닌 ‘함정의 입구’로 보는 기업이 더 많을까 봐 우려됩니다. 금지 조항은 이미 살아 있고, GPAI 의무는 7개월 전 발효됐으며, 투명성 의무는 5개월 뒤 다가옵니다.
미국은 규제를 없애고, 중국은 규제를 강화하고, EU는 속도를 늦추는 이 세 가지 전혀 다른 흐름 속에서, 한국은 세계 최초 AI 기본법을 시행하면서도 “우리가 제일 강한 규제는 하지 않겠다”는 역설적 전략을 취하고 있습니다. 이것이 영리한 포지셔닝인지, 아니면 어정쩡한 타협인지는 앞으로 2~3년이 증명할 것입니다.
한 가지 분명한 것은 있습니다. EU는 ‘정보 비대칭’을 활용해 준비되지 않은 기업을 압박합니다. 법을 모른다고 과징금이 면제되지 않습니다. 연기 발표를 경보 해제 신호가 아니라 준비 가속 신호로 받아들이는 기업만이 유럽 시장에서 생존할 수 있습니다.
본 콘텐츠는 2026년 3월 7일 기준 공개된 정보를 토대로 작성된 정보 제공용 자료입니다. EU AI Act 및 한국 AI 기본법의 구체적 적용 여부는 반드시 자격을 갖춘 법률 전문가의 개별 검토를 받으시기 바랍니다. 법령 내용은 입법 진행 상황에 따라 변경될 수 있습니다.
댓글 남기기