IT/법률
세계 최초 AI 기본법
AI 기본법 고영향 AI: EU는 연기했는데
왜 한국 기업은 지금 당장 움직여야 할까?
2026년 1월 22일, 한국은 세계에서 두 번째로 포괄적인 AI 규제법을 전면 시행했습니다. EU AI Act가 고위험 AI 규제를 2026년 8월 → 2027년 12월로 16개월 연기한 것과 정반대의 행보입니다. 지금 당장 준비하지 않으면 최대 3,000만 원 과태료는 물론, 2027년 글로벌 AI 시장에서 뒤처질 수 있습니다.
EU는 연기, 한국은 시행 — 이 역설이 주는 기회
2025년 11월, EU 집행위원회는 전 세계를 놀라게 했습니다. 그토록 강하게 밀어붙이던 AI 기본법(EU AI Act)의 고위험 AI 규제 적용 시점을 2026년 8월에서 2027년 12월로 무려 16개월이나 연기하겠다고 발표한 것입니다. 이유는 명확했습니다. 기업들이 준비가 안 돼 있었고, 세부 가이드라인조차 완성되지 않았기 때문입니다.
그런데 이와 거의 동시에, 한국은 완전히 반대 방향으로 걸어갔습니다. 2026년 1월 22일, 세계에서 두 번째로 포괄적인 AI 규제 체계인 「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」을 전면 시행한 것입니다. 재석 264명 중 260명 찬성이라는 압도적인 지지를 받아 2024년 12월 국회를 통과한 이 법은, 이제 현실이 됐습니다.
💡 핵심 인사이트
EU가 속도를 늦춘 지금이 오히려 한국 기업에게는 글로벌 ‘AI 컴플라이언스 선도 기업’으로 포지셔닝할 수 있는 황금 기회입니다. EU 규제를 선제적으로 준비한 기업은 2027년 유럽 시장 진출 시 경쟁사 대비 최소 6개월의 시간을 벌 수 있습니다.
많은 기업이 “계도 기간이 있으니 아직 괜찮다”고 생각합니다. 하지만 이는 위험한 오판입니다. 고영향 AI 사업자의 6가지 책무 중 ‘5년간 기록 보관’ 의무는 지금 당장 시스템을 구축해야 합니다. 나중에 서류를 소급해서 만들 수는 없기 때문입니다.
AI 기본법, 도대체 누가 적용 대상인가
이 법의 핵심 규제 대상은 「인공지능사업자」입니다. 여기서 많은 분들이 오해합니다. “나는 ChatGPT를 그냥 쓰는 것뿐인데 해당될까?” — 정답은, 내부 사용만이라면 해당되지 않지만, AI를 활용한 제품이나 서비스를 외부에 제공한다면 해당됩니다.
| 유형 | 정의 | 대표 예시 |
|---|---|---|
| 인공지능개발사업자 | AI를 개발하여 제공하는 자 | 네이버(하이퍼클로바X), 카카오, LG(엑사원), 스타트업 AI 개발사 |
| 인공지능이용사업자 | AI를 활용해 제품·서비스를 제공하는 자 | ChatGPT API 기반 챗봇 서비스, AI 채용 플랫폼, AI 의료 진단 앱 |
개인이 ChatGPT를 업무에 활용하는 것은 무관합니다. 그러나 스타트업이 OpenAI API를 연동해 고객에게 AI 기반 서비스를 판매한다면, 그 스타트업은 즉시 인공지능이용사업자가 되며 법적 의무가 발생합니다. 이 판단 기준은 명확합니다. “내가 AI를 활용한 제품/서비스를 외부에 제공하는가?” — 이것입니다.
특히 주목해야 할 점은, 해외 기업도 예외가 아닙니다. 국내 이용자에게 서비스를 제공하는 해외 AI 기업은 국내 대리인을 지정해야 합니다. 다만 현실적으로 오픈AI, 구글 같은 빅테크에 대한 국내법 집행은 쉽지 않아, 실질적으로는 국내 기업들이 먼저 영향을 받습니다.
고영향 AI 기본법 11개 영역 완전 해부
AI 기본법의 핵심 중의 핵심이 바로 ‘고영향 AI(High-Impact AI)’입니다. EU의 ‘고위험 AI(High-Risk AI)’와 유사하지만, 한국은 독자적 기준으로 11개 영역을 지정했습니다. “사람의 생명, 신체의 안전 및 기본권에 중대한 영향을 미치거나 위험을 초래할 우려가 있는 AI 시스템”이 기준입니다.
⚠️ 스타트업 필독: 채용 AI와 교육평가 AI는 많은 스타트업이 개발 중인 영역입니다. HR테크, 에듀테크 스타트업이라면 고영향 AI 해당 여부를 즉시 법률 전문가와 검토해야 합니다.
지금 당장 해야 할 6가지 의무사항
고영향 AI를 운영하는 사업자라면 법 제34조에 따라 다음 6가지 조치를 이행해야 합니다. 단순히 서류 한 장 준비하는 것이 아니라, 사업 프로세스 자체를 재설계해야 하는 수준의 의무들입니다.
EU AI Act vs 한국 AI 기본법 — 무엇이 같고 다른가
두 법을 단순히 비교하면 “EU가 더 강력하고 한국은 느슨하다”는 인상을 받습니다. 하지만 실상은 더 복잡합니다. EU는 사전 규제 중심이고 한국은 자율 규제 중심이라는 철학적 차이가 있을 뿐, 방향은 결국 같습니다. 그리고 EU 시장을 노리는 한국 기업은 두 법을 모두 준수해야 합니다.
| 항목 | 🇰🇷 한국 AI 기본법 | 🇪🇺 EU AI Act |
|---|---|---|
| 시행일 | 2026.1.22 | 단계적 (2024.8~) |
| 고위험/고영향 AI 적용 | 즉시 | 2027.12 (연기) |
| 최대 제재 | 3천만원 과태료 | 매출의 7% 또는 3,500만 유로 |
| 사전 적합성 평가 | 권고 (의무 아님) | 고위험 AI 필수 |
| 생성형 AI 표시 | 의무 (과태료 대상) | 의무 |
| 해외 기업 적용 | 국내 대리인 지정 필요 | CE 마킹 + DB 등록 필요 |
| 계도 기간 | 1년 이상 (예정) | 단계별 적용 |
💡 전략적 관점: 한국 AI 기본법은 제재 수준이 낮아 보이지만, 이는 “자율적 준수를 기대한다”는 의미입니다. EU 시장을 포함한 글로벌 진출을 목표로 한다면, 한국법 준수 체계가 EU Act 준비의 기반이 됩니다. 지금 만드는 문서 하나가 2027년에 그대로 활용됩니다.
위반하면 어떻게 되나 — 과태료와 계도 기간의 진실
“어차피 계도 기간이 있으니까”라는 안일한 생각은 버려야 합니다. 계도 기간은 ‘과태료를 안 내도 되는 기간’이 아니라 ‘준비를 마쳐야 하는 기간’입니다. 정부가 1년 이상의 계도 기간을 운영하겠다고 밝혔지만, 이 기간에도 법적 의무는 이미 발생하고 있습니다.
| 위반 사항 | 과태료 | 근거 조항 |
|---|---|---|
| 투명성 확보(AI 사용 사전 고지) 미이행 | 3천만원 이하 | 제31조 제1항 |
| 해외 사업자 국내대리인 미지정 | 3천만원 이하 | 제36조 제1항 |
| 시정명령 불이행 | 3천만원 이하 | 제40조 제3항 |
| 직무상 비밀 누설·도용 | 3년 이하 징역 또는 3천만원 이하 벌금 | 제42조 |
개인적으로 이 법에서 가장 주목해야 할 부분은 ‘시정명령 불이행’ 규정입니다. 처음 위반을 하더라도 시정명령을 받고 이행하지 않으면 3,000만 원 과태료가 추가 부과됩니다. 즉, 한 번의 위반이 연쇄적으로 수천만 원의 부담으로 이어질 수 있는 구조입니다.
실전 체크리스트 — 내 서비스는 지금 어디쯤인가
아래 질문에 “예”가 하나라도 있다면, 즉시 법무팀 또는 AI 컴플라이언스 전문가와 상담을 시작해야 합니다. “아직 잘 모르겠다”는 답변도 즉시 전문가 상담이 필요하다는 신호입니다.
우리 회사는 AI를 활용한 제품이나 서비스를 외부 고객에게 제공하고 있다
우리 서비스는 채용, 대출 심사, 의료 진단, 교육 평가 중 하나에 AI를 활용한다
AI가 사용자에게 결과를 제공할 때 “AI가 만든 것”이라고 고지하고 있지 않다
AI의 의사결정 과정이나 판단 근거를 이용자에게 설명하는 절차가 없다
AI 관련 위험관리 문서나 내부 정책이 작성되어 있지 않다
EU 시장 진출을 계획 중이며 EU AI Act 준비 현황을 파악하지 못하고 있다
📌 현실적 조언: 지금 당장 완벽한 체계를 갖출 필요는 없습니다. 하지만 최소한 “우리 서비스가 고영향 AI에 해당하는지”에 대한 내부 검토 문서는 오늘 만들기 시작해야 합니다. 이 문서 하나가 향후 시정명령 시 방어 근거가 됩니다.
자주 묻는 질문 Q&A
마치며 — “EU도 연기했는데”가 가장 위험한 생각입니다
EU가 고위험 AI 규제를 16개월 연기했다는 소식을 들었을 때, 많은 기업들이 안도의 한숨을 내쉬었습니다. 하지만 저는 이 순간이 오히려 위험하다고 생각합니다. 규제 완화에 대한 기대가 높아질수록, 실제로 해야 할 준비를 미루게 됩니다.
한국 AI 기본법은 이미 시행됐습니다. 계도 기간이 있지만, 이 기간에 5년치 기록 보관 의무의 출발점이 이미 시작됐습니다. EU 규제도 연기됐을 뿐 취소되지 않았고, 2027년 12월에는 반드시 적용됩니다.
지금 이 시간이 AI 컴플라이언스 체계를 차분히 구축할 수 있는 마지막 황금 기간입니다. 과거 GDPR이 전 세계 데이터 보호 규제의 기준이 된 것처럼, AI 기본법도 그렇게 될 것입니다. 지금 움직이는 기업이 2년 후 웃게 됩니다.
핵심 요약: AI 기본법 고영향 AI 의무는 지금 시행 중입니다. 생성형 AI 표시 의무(과태료 대상)를 먼저 확인하고, 내 서비스가 11개 고영향 AI 영역에 해당하는지 즉시 점검하세요. EU의 연기는 우리가 준비할 시간을 더 준 것이지, 준비 안 해도 된다는 신호가 아닙니다.
본 포스팅은 공개된 법령 및 정책 정보를 바탕으로 작성된 일반적인 안내입니다. 구체적인 법적 판단이 필요한 경우 반드시 변호사 등 법률 전문가와 상담하시기 바랍니다. 법령은 개정될 수 있으며, 최신 정보는 국가법령정보센터(law.go.kr)에서 확인하시기 바랍니다.
댓글 남기기