EU AI Act 고위험 AI:
2026년 8월 전면 시행 전
기업이 반드시 알아야 할 것
D-145일. 2026년 8월 2일, EU AI Act가 고위험 AI 시스템에 대한 전면 규제를 시작합니다.
위반 시 과징금은 최대 전 세계 매출의 7% 또는 3,500만 유로 중 높은 쪽.
한국 기업도 EU 이용자에게 서비스를 제공하면 예외 없이 적용됩니다.
지금 내 서비스가 ‘고위험’인지 모른다면, 이 글을 끝까지 읽어야 합니다.
💸 최대 매출 7% 과징금
🇰🇷 한국 기업 포함 적용
🔍 Annex III 8개 영역
EU AI Act란? — 지금 당장 중요한 이유
EU AI Act(인공지능법)는 2024년 8월 1일 공식 발효된 세계 최초의 포괄적 AI 규제법입니다.
단순한 지침이나 권고가 아닌, 법적 구속력을 가진 규제이며 EU 역내 시장에 AI 시스템을
출시하거나 서비스를 제공하는 모든 주체에게 적용됩니다. 중요한 것은 ‘EU 내에 설립된
기업’만의 문제가 아니라는 점입니다. 한국에 본사를 둔 기업이라도 EU 이용자를 대상으로
AI 서비스를 운영하거나, EU 기업에 AI 솔루션을 납품한다면 동일하게 규제를 받습니다.
EU AI Act는 AI 시스템을 위험도에 따라 4단계로 분류합니다. ▲허용 불가(금지) AI,
▲고위험 AI, ▲제한적 위험 AI, ▲최소 위험 AI가 그것입니다. 이 중 가장 광범위하고
엄격한 의무가 부과되는 영역이 바로 고위험(High-Risk) AI입니다.
2026년 8월 2일은 Annex III에 명시된 고위험 AI 시스템 요건이 전면 적용되는 날짜로,
지금 이 순간부터 D-145일을 남긴 상황입니다.
EU AI Act는 ‘GDPR(개인정보보호규정)의 AI 버전’으로 불립니다. GDPR이 데이터 처리의
전 과정에 의무를 부과했듯이, EU AI Act는 AI 시스템의 설계·배포·운영 전 단계에
걸쳐 동일한 방식으로 작동합니다. GDPR의 교훈을 떠올린다면, 시행 직전 준비가 아닌
지금부터 체계를 갖추는 기업이 최후의 승자가 될 것입니다.
고위험 AI 분류 기준 — 내 서비스가 해당될까?
EU AI Act는 고위험 AI를 두 가지 경로로 정의합니다. 첫 번째는 Annex I에 명시된
EU 조화 법령(의료기기, 항공기, 자동차 안전 등)의 안전 구성요소로 쓰이는 AI이고,
두 번째가 대부분의 디지털 서비스 기업과 직결되는 Annex III 8개 영역입니다.
Annex III — 고위험 AI 8개 영역 전체 목록
| # | 영역 | 주요 해당 사례 |
|---|---|---|
| 1 | 생체인식(비금지) | 원격 생체인식, 감정인식 시스템, 생체 분류 |
| 2 | 중요 인프라 | 수도·가스·전력·도로교통 관리 AI 안전 구성요소 |
| 3 | 교육·직업훈련 | 입학 결정, 학습 평가, 시험 감독 AI |
| 4 | 고용·인력 관리 | 채용·스크리닝, 성과 평가, 해고 결정 AI |
| 5 | 필수 공공·민간 서비스 | 복지 수급 자격 평가, 신용 평가, 응급 배차 AI |
| 6 | 법 집행 | 범죄 피해 위험 예측, 거짓말 탐지기, 재범 예측 AI |
| 7 | 이민·망명·국경 관리 | 망명 심사, 비자 적격 평가, 개인 식별 AI |
| 8 | 사법·민주적 절차 | 법률 사실 해석·적용 AI, 선거 투표 행동 영향 AI |
위 목록을 보면 ‘나는 해당 없겠지’라고 생각하기 쉽습니다. 그러나 실제 적용 범위는
생각보다 훨씬 넓습니다. 예를 들어 인사 담당자를 돕는 채용 AI 도구(ATS)는 명백히 4번 영역에 해당하고,
온라인 대출 심사 알고리즘은 5번 영역의 신용 평가로 분류됩니다. 의료 AI의 경우 Annex I과 Annex III이 동시에
적용될 수 있어 이중 규제를 받게 됩니다.
특히 주목해야 할 항목은 ‘개인 프로파일링’ 조항입니다. Annex III 목록에 해당하는 시스템이
개인의 업무 성과, 경제 상황, 건강, 행동, 위치 등을 자동으로 분석하는 기능이 있다면
별도의 예외 없이 고위험 AI로 간주됩니다. 이는 마케팅 개인화 AI나 HR 애널리틱스 도구에도
폭넓게 적용될 수 있습니다.
논리는 법원에서 통하지 않습니다. 2024년 미국에서 Workday v. Mobley 채용 AI 집단소송에서
법원은 AI 도구를 운용한 기업(Deployer)도 결과에 대한 법적 책임이 있다는 판결을 내렸습니다.
EU AI Act도 배포자 의무(제26조)를 별도로 규정하고 있습니다.
고위험 AI 제공자(Provider)의 7대 의무
EU AI Act에서 ‘제공자(Provider)’란 고위험 AI 시스템을 직접 개발하여 EU 시장에 출시하거나
서비스화하는 주체를 말합니다. EU 역외에 있어도 EU 이용자를 대상으로 하면 동일하게
의무를 집니다. 아래 7가지 요건을 2026년 8월 2일까지 모두 충족해야 합니다.
AI 시스템 전체 수명주기에 걸쳐 위험을 지속적으로 식별·평가·완화하는 프로세스가 필요합니다.
단발성 위험 평가가 아닌, 배포 이후에도 지속적으로 운영되는 체계여야 합니다.
학습·검증·테스트 데이터가 의도한 목적에 충분히 대표적이며, 오류가 없고, 완전해야 합니다.
데이터 편향(Bias) 검토 및 완화 조치, 출처 문서화가 포함됩니다.
시스템 설계·개발 과정, 모델 아키텍처, 성능 지표, 알려진 한계를 체계적으로 기록해야 합니다.
규제 당국이 요청 시 즉시 제출 가능한 형태로 보존해야 합니다.
시스템이 자동으로 작동 이벤트를 기록하는 기능이 필요합니다. EU AI Act는 최소 6개월
이상의 로그 보존을 요구하며, 고위험도가 높은 일부 영역은 더 긴 기간이 적용됩니다.
다운스트림 배포자가 시스템을 올바르게 사용하고 자신의 의무를 이행할 수 있도록
명확한 사용 지침을 제공해야 합니다. 이용자에게 AI 사용 사실 고지 의무도 포함됩니다.
배포자가 실질적인 인간 감독을 구현할 수 있도록 시스템 자체에 기능을 내재화해야 합니다.
AI가 자율적으로 고위험 결정을 내리는 상황을 방지하거나 개입할 수 있는 메커니즘이 필수입니다.
시스템이 의도한 목적에 적합한 정확도를 달성하고, 적대적 공격(Adversarial Attack)에
견고하며, 적절한 사이버보안 수준을 유지해야 합니다. 이는 배포 후 지속적인 테스트와
모니터링을 통해 유지해야 하는 의무입니다.
하지만 사실 이 요건들의 상당 부분은 이미 ISO 27001(정보보안)이나 GDPR 준수 체계를
갖춘 기업이라면 상당 부분 중복 적용이 가능합니다. 중요한 것은 기존 컴플라이언스
체계를 ‘AI 맥락’으로 재해석하고 문서화하는 작업입니다. 규제 당국이 원하는 것은
완벽한 AI가 아니라, ‘증거로 입증 가능한 노력’입니다.
배포자(Deployer)도 책임을 진다 — 외부 AI 도입 기업 필독
EU AI Act 제26조는 고위험 AI 시스템을 직접 개발하지 않고 도입·운용하는 배포자(Deployer)에게도
별도의 의무를 규정합니다. 이는 “우리는 솔루션을 만든 게 아니라 구매해서 쓰는 것뿐”이라는
논리가 법적으로 면책이 되지 않음을 명시한 조항입니다. 실제로 2024년 미국에서 채용 AI를
사용한 기업(Workday 사건)이 AI 개발사와 함께 집단소송 피고가 된 사례는 이미 글로벌
기업들에게 경각심을 불러일으키고 있습니다.
배포자의 핵심 의무 6가지
배포자는 첫째로 공급사가 제공한 사용 지침에 따라 적절한 기술적·조직적 조치를 이행해야 합니다.
둘째, 필요한 역량과 권한을 갖춘 담당자에게 인간 감독 역할을 배정해야 합니다.
셋째, 입력 데이터의 관련성과 대표성을 확보해야 하며, 넷째로 시스템 운영을 지속 모니터링하고
리스크 식별 시 공급사 및 감독기관에 즉시 통보해야 합니다. 다섯째로 운영 로그를 최소 6개월
보존해야 하고, 여섯째로 영향받는 개인에게 고위험 AI 사용 사실을 고지해야 합니다.
명시해야 합니다. ① 제공사가 EU AI Act 제공자 의무를 이행하는지 확인할 수 있는
감사(audit) 권한, ② AI 시스템이 고위험으로 분류될 경우 필요한 기술 문서 제공 의무,
③ 규제 변경 시 60일 이내 대응 방안을 공지하는 조항입니다. 이 세 가지가 없는 AI 벤더
계약서는 지금 당장 재검토를 권장합니다.
과징금 구조 및 시행 타임라인 한눈에 보기
위반 유형별 과징금 구조
| 위반 유형 | 최대 과징금 | 적용 기준 |
|---|---|---|
| 금지 AI 관행 위반 (사회 신용 점수, CSAM 생성 등) |
3,500만 유로 또는 전 세계 매출 7% | 둘 중 높은 쪽 |
| 고위험 AI 의무 미준수 | 1,500만 유로 또는 전 세계 매출 3% | 둘 중 높은 쪽 |
| 감독기관에 허위·오도 정보 제공 | 750만 유로 또는 전 세계 매출 1% | 둘 중 높은 쪽 |
중소기업(SME) 및 스타트업의 경우 EU AI Act Article 99(6)에 따라 정액 기준과
매출 비율 중 낮은 쪽이 적용되어 상대적으로 부담이 줄어듭니다.
그러나 매출이 작은 초기 스타트업일수록 정액 과징금이 더 치명적일 수 있다는 점은
역설적입니다.
시행 타임라인 전체 요약
| 날짜 | 적용 내용 | 상태 |
|---|---|---|
| 2024. 8. 1 | EU AI Act 공식 발효 | ✅ 완료 |
| 2025. 2. 2 | 금지 AI 관행 + AI 리터러시 의무 시행 | ✅ 시행 중 |
| 2025. 8. 2 | GPAI(범용 AI) 모델 의무 시행 | ✅ 시행 중 |
| 2026. 8. 2 | Annex III 고위험 AI 시스템 의무 전면 시행 ← 핵심 | ⏳ D-145 |
| 2027. 8. 2 | Annex I 고위험 AI(제품 안전 법령 관련) 시행 | 📅 예정 |
이미 지금 모델 평가·레드팀 테스트·사고 보고 의무를 이행해야 합니다.
OpenAI, Google, Anthropic 등 해외 GPAI 제공사의 서비스를 기업 내부에 통합해
서비스화하는 기업도 배포자 의무 측면에서 검토가 필요합니다.
한국 기업을 위한 실무 대응 로드맵
EU AI Act 대응은 법무팀만의 문제가 아닙니다. 제품 기획, 데이터 엔지니어링, ML 모델 개발,
고객 서비스 각 팀이 함께 움직여야 하는 조직 전체의 전환입니다. 아래 로드맵은
현재(2026년 3월) 기준 D-145일을 남긴 상황에서 현실적으로 실행 가능한 단계를 제시합니다.
Phase 1 — 즉시 착수 (3~4월, 4주)
가장 먼저 해야 할 일은 자사의 모든 AI 시스템을 인벤토리(목록화)하는 것입니다.
서비스 중인 AI뿐 아니라 내부 운영에 사용되는 AI 도구(채용 필터링, HR 모니터링, 신용 평가 등)를
빠짐없이 파악합니다. 이 목록을 바탕으로 Annex III 8개 영역 중 어디에 해당하는지를 판단하는
위험 분류 워크샵을 개최합니다. EU AI Act 공식 컴플라이언스 체커(artificialintelligenceact.eu)를
활용하면 자가 진단에 도움이 됩니다.
Phase 2 — 갭 분석 및 우선순위 설정 (5~6월, 8주)
고위험으로 분류된 시스템에 대해 7대 의무 이행 현황을 점검합니다.
데이터 거버넌스 문서, 기술 문서, 로그 시스템, 인간 감독 메커니즘 등이
현재 얼마나 갖춰져 있는지를 측정하고, 갭(Gap)이 큰 영역부터 우선순위를 정합니다.
외부 AI 솔루션을 사용하고 있다면 공급사에 기술 문서 제출을 요청하고,
계약서에 감사 권한 조항이 없다면 즉시 재협상을 시작해야 합니다.
Phase 3 — 구현 및 내부 테스트 (7월, 4주)
문서화 작업을 완료하고, 자동 로그 시스템을 구현하며, 인간 감독 절차를 매뉴얼화합니다.
이 단계에서 레드팀 테스트(Red Teaming)를 수행하여 시스템의 견고성을 검증하고
결과를 기술 문서에 반영합니다. 내부 직원 대상으로 AI 리터러시 교육을 실시하는 것도
이 시기에 맞춥니다.
Phase 4 — 최종 점검 및 EU 데이터베이스 등록 (8월 초)
시행일(2026년 8월 2일) 이전에 CE 마킹 또는 EU 적합성 선언서를 준비하고,
해당 고위험 AI 시스템을 EU 데이터베이스에 등록합니다. 일부 카테고리의 경우
공인 인증기관(Notified Body)의 제3자 적합성 평가가 필요하니 6월까지는
해당 여부를 확인해야 합니다.
번아웃이 옵니다. EU AI Act는 규제 샌드박스를 운영하고 있으며,
국가 경쟁력 강화 차원에서 스타트업 전용 지원도 있습니다.
또한 NIST AI RMF(AI 리스크 관리 프레임워크)나 ISO 42001(AI 관리 시스템)을
기준으로 이미 체계를 갖춘 기업은 EU AI Act 대응이 비교적 수월합니다.
ISO 42001 인증 획득 자체가 규제 준수의 강력한 증거가 될 수 있습니다.
시행된 인공지능 기본법(고영향 AI 안전성 평가, 사용자 고지 의무 등)을 동시에
준수해야 합니다. EU AI Act와 한국 AI 기본법의 의무 요건은 상당 부분 중복되지만,
고위험 분류 기준과 과징금 구조가 다르기 때문에 각각 별도로 검토가 필요합니다.
Q&A — 가장 많이 묻는 5가지
Q1. 한국에서만 서비스하는 기업도 EU AI Act의 적용을 받나요?
한국에서만 서비스하는 기업이라면 일반적으로 직접 적용을 받지 않습니다.
그러나 EU 시장 진출을 계획하거나, 유럽 기업을 B2B 고객으로 둔 경우라면
사전 대응이 필수입니다. 또한 EU AI Act는 글로벌 AI 규제의 기준점(Gold Standard)이 될
가능성이 높아, GDPR처럼 사실상 글로벌 표준이 될 수 있음에 유의해야 합니다.
Q2. ChatGPT API를 활용한 챗봇 서비스는 고위험 AI인가요?
단, 해당 챗봇이 채용 결정 지원, 신용 평가, 의료 진단 보조 등 Annex III 영역에서 활용된다면
고위험 AI로 전환됩니다. 일반 고객 응대용 챗봇은 대부분 ‘사용자에게 AI임을 고지’하는
투명성 의무만 이행하면 됩니다. ChatGPT API 자체(GPAI 모델)는 OpenAI가 제공자 의무를 지고,
이를 통합한 서비스 기업은 배포자로서의 책임을 집니다.
Q3. 채용 AI 도구(ATS)를 외부 업체에서 구매해 쓰는 경우 어떻게 해야 하나요?
외부 솔루션이라도 배포자(귀사)는 ① 공급사가 7대 의무를 이행했는지 기술 문서로 확인,
② 인간 감독 담당자 배정, ③ 지원자에게 AI 채용 도구 사용 사실 고지,
④ AI 결정에 대한 이의 제기 절차 마련을 해야 합니다. 이를 이행하지 않으면
공급사가 아닌 귀사가 과징금 대상이 될 수 있습니다.
Q4. EU AI Act와 GDPR은 어떻게 다른가요? 중복 적용되나요?
EU AI Act는 AI 시스템의 설계·배포·운용 방식을 규제하는 ‘AI 규제법’입니다.
중복 적용이 됩니다. 예를 들어, AI가 개인 데이터를 처리하는 경우 GDPR상의
처리 근거가 필요하고 동시에 EU AI Act의 데이터 거버넌스 요건도 충족해야 합니다.
다만 EU AI Act가 요구하는 기술 문서화와 감사 기록 체계는 GDPR 준수 체계와
상당 부분 시너지를 낼 수 있어, 두 규제를 통합 대응하는 것이 효율적입니다.
Q5. 준비가 아직 전혀 안 됐는데, D-145일 안에 가능한가요?
부분은 ‘기술 문서 작성’과 ‘데이터 거버넌스 체계 구축’입니다. 두 작업 모두 전담
인력 1~2명이 집중하면 6~8주 안에 초안을 완성할 수 있습니다.
또한 EU AI Act는 ‘완벽한 준수’를 처음부터 요구하지 않습니다. 시행 초기에는
‘성실한 노력의 증거’가 중요하며, 특히 스타트업과 SME에 대한 규제 당국의 초기 집행은
대형 기업 위주로 진행될 가능성이 높습니다. 지금 시작하는 것이 최선입니다.
마치며 — 규제 대응은 비용이 아니라 경쟁력이다
EU AI Act가 가져오는 변화는 단순한 규제 부담이 아닙니다. 글로벌 AI 시장에서
‘신뢰할 수 있는 AI’를 제공하는 기업이 선택받는 시대가 시작된 것입니다.
GDPR이 처음 시행됐을 때를 돌이켜 보면, 초기에 규제에 맞서거나 무시했던 기업들은
막대한 벌금과 신뢰 손상을 겪었고, 발 빠르게 대응한 기업들은 오히려 ‘개인정보
보호 브랜드’로 차별화에 성공했습니다.
EU AI Act도 동일한 구조입니다. 지금부터 D-145일 동안 고위험 AI 분류 기준을 이해하고,
7대 의무를 체계적으로 이행하며, 배포자 책임까지 계약 조항에 반영하는 기업은
2026년 하반기 이후 EU 시장에서 경쟁 우위를 갖게 됩니다. 반면 시행 직전에 급히
대응하거나, “우리는 작은 회사라 괜찮을 것”이라는 안일함으로 미루다가
규제 위반 사례가 되는 기업도 분명히 나올 것입니다.
개인적으로 가장 중요하게 생각하는 한 가지를 꼽자면, 인간 감독(Human Oversight)
메커니즘입니다. 고위험 AI가 자동으로 내리는 결정에 사람이 개입하고 검토할 수 있는
구조를 갖추는 것, 이것이 EU AI Act의 핵심 철학이자 우리 사용자가 AI를
신뢰할 수 있게 되는 근거입니다. 기술이 아무리 뛰어나더라도, 사람이 책임지는
구조가 없는 AI는 장기적으로 시장에서 살아남기 어렵습니다.
※ 본 콘텐츠는 2026년 3월 10일 기준으로 공개된 정보를 바탕으로 작성된 정보 제공용 글입니다.
EU AI Act 관련 법적 의무는 개별 기업의 상황·서비스 유형·운영 지역에 따라 다를 수 있으며,
실제 컴플라이언스 이행 여부는 반드시 법률 전문가 또는 AI 규제 전문가와 상담하시기 바랍니다.
본 글은 법률 조언을 대체하지 않습니다.
댓글 남기기