EU AI Act 8월 전면 시행:
한국 기업·크리에이터 지금 당장 해야 할 것
시행까지 D-142일 남았습니다. 준비 안 된 기업엔 연 매출의 최대 7% 과징금이 부과됩니다.
🌍 EU 시장 진출 기업 전부 해당
⚠️ 고위험 AI 의무 본격 적용
EU AI Act 전면 시행이 2026년 8월 2일로 확정됩니다. 고용·채용 AI, 신용평가 AI, 의료 AI, 바이오메트릭 시스템을 사용하는 기업은 물론, EU 시장에 결과물이 유입되는 한국 기업도 예외 없이 적용 대상입니다. 딥페이크·AI 생성 콘텐츠에는 이미 투명성 의무가 시행 중이며, 8월부터는 본격적인 고위험 AI 규정 위반 시 연간 전 세계 매출의 최대 7%에 달하는 과징금을 물게 됩니다. EU가 ‘디지털 옴니버스’ 패키지로 일부 조항 연기를 제안했지만, 심의가 마무리되지 않은 현재 시점에서 8월 시행을 기준으로 대응하는 것이 유일하게 안전한 선택입니다.
EU AI Act란 무엇인가 — 한국인이 반드시 알아야 할 핵심 구조
EU AI Act(규정 EU 2024/1689)는 2024년 8월 1일 발효된 세계 최초의 포괄적 AI 규제법입니다. 단순히 EU 기업만을 대상으로 하지 않습니다. 비EU 국가에서 개발된 AI 시스템이라도, 그 제품·서비스·결과물이 EU 시장에 유입되면 모두 적용됩니다. 즉, 한국에 법인을 둔 기업이더라도 EU 고객에게 서비스를 제공하거나 EU 유통망에 제품을 납품한다면 EU AI Act의 규제를 받습니다.
법의 핵심 구조는 4단계 위험 분류 체계입니다. △수용 불가 위험(금지) △고위험(엄격 규제) △제한적 위험(투명성 의무) △최소 위험(자율 규정)으로 나뉩니다. 이 중 일반 기업과 크리에이터에게 가장 직접적인 영향을 미치는 것은 ‘제한적 위험’에 해당하는 딥페이크·챗봇 투명성 의무이며, 이는 이미 2025년 2월부터 시행 중입니다.
💡 핵심 인사이트: GDPR과 유사한 역외 적용 원칙 때문에, 한국 스타트업이 EU에서 단 1명의 유료 고객을 보유하더라도 EU AI Act의 관할권 아래 놓입니다. “우리는 EU 기업이 아니니까”라는 판단은 위험한 착각입니다.
2026년 8월 2일, 무엇이 달라지나 — 단계별 시행 타임라인
EU AI Act는 한 번에 적용되는 법이 아닙니다. 4단계에 걸쳐 단계적으로 시행됩니다. 지금 시점에서 가장 중요한 것은, 현재(2026년 3월 기준) 이미 두 번째 단계가 적용 중이라는 사실입니다.
| 시행일 | 적용 내용 | 상태 |
|---|---|---|
| 2024.08.01 | 법 발효 (실질 의무 아직 없음) | ✅ 완료 |
| 2025.02.02 | 수용 불가 위험 AI 전면 금지 + AI 리터러시 의무 + 챗봇·딥페이크 고지 의무 | ✅ 시행 중 |
| 2025.08.02 | 범용 AI 모델(GPT급) 의무사항 + 거버넌스 구조 + 제재 프레임워크 적용 | ✅ 시행 중 |
| 2026.08.02 ⚡ | 고위험 AI 시스템 전 의무사항 — 적합성 평가, CE 마킹, EU 데이터베이스 등록 등 | ⚠️ D-142 |
| 2027.08.02 | 규제 제품(의료기기, 기계류) 내 고위험 AI 의무 | 🔜 예정 |
| 2030.08.02 | 2026년 이전 출시된 공공부문 고위험 AI | 🔜 예정 |
주목해야 할 것은 2025년 8월 이후 범용 AI 모델(GPAI) 의무가 이미 시행 중이라는 점입니다. ChatGPT API, Claude API, Gemini API 등을 활용해 서비스를 만든 기업은 자신이 GPAI 규정의 ‘배포자(deployer)’에 해당하는지 지금 당장 확인해야 합니다.
고위험 AI 시스템이란 — 내 서비스가 해당되는지 확인하는 법
“고위험 AI”라고 하면 자율주행 자동차나 핵발전소 제어 시스템을 떠올리기 쉽습니다. 하지만 EU AI Act의 Annex III 목록은 훨씬 넓습니다. 채용·HR 소프트웨어, 신용평가 시스템, 교육 평가 도구, 이민·비자 심사 AI가 모두 포함됩니다. 스타트업이 만든 HR 솔루션이나 핀테크 앱도 해당될 수 있습니다.
고위험 AI 8대 분야 (Annex III)
🏗️ 핵심 인프라 관리
🎓 교육·직업훈련 평가
💼 고용·채용·성과 평가
💳 신용·보험 서비스
🚔 법 집행·증거 분석
🛂 이민·국경 통제
⚖️ 사법·민주적 절차
고위험 AI를 제공(Provider)하는 기업은 시장 출시 전에 적합성 평가 수행, 기술 문서화(10년 보존), 자동 로그 기록, CE 마킹 취득, EU 데이터베이스 등록 등 8가지 의무를 이행해야 합니다. 사용(Deployer)하는 기업도 책임에서 자유롭지 않습니다. 6개월 이상 로그 파일을 보관하고, 인간 감독 체계를 구축하며, 이상 발생 시 당국에 보고해야 합니다.
💡 주목할 점: 기존에 구축된 AI 시스템에 ‘상당한 변경’을 가하면, 배포자도 제공자로 간주될 수 있습니다(법 제25조). 즉, 외부 AI를 커스터마이징해서 서비스로 내놓는 기업도 제공자 의무를 져야 할 수 있습니다.
디지털 옴니버스의 진실 — “연기됐다”는 말, 믿어도 될까?
2025년 11월, EU 집행위원회는 ‘디지털 옴니버스(Digital Omnibus)’ 패키지를 발표했습니다. 이 제안에 따르면, 고위험 AI 의무 시행 시점을 당초 2026년 8월에서 2027년 12월로 16개월 연기한다는 내용이 포함되어 있습니다. 빅테크 기업들의 강력한 로비와 EU 회원국들의 “AI 경쟁에서 뒤처질 수 있다”는 우려가 반영된 결과입니다.
그런데 여기서 반드시 짚고 넘어가야 할 점이 있습니다. 디지털 옴니버스는 집행위원회의 ‘제안’일 뿐, 아직 EU 의회의 최종 승인을 받지 못했습니다. 2026년 3월 현재 심의가 진행 중이며, 최종 결정이 나지 않은 상태입니다. EU 입법 절차상 의회 승인까지는 수개월이 더 걸릴 수 있고, 수정·부결될 가능성도 존재합니다.
⚠️ 중요한 경고: “연기됐다”는 소문만 믿고 아무 준비도 안 하다가 8월에 기존 일정대로 시행이 확정되면 되돌릴 방법이 없습니다. 적합성 평가와 기술 문서화는 단기간에 완료할 수 없는 절차입니다. 지금 당장 준비를 시작해야 합니다.
필자의 판단으로는, 연기 여부와 무관하게 EU AI Act 컴플라이언스 준비는 곧 기업의 경쟁력입니다. EU 고객사나 투자자를 만날 때 “우리는 AI Act 준수 체계를 갖췄습니다”라고 말할 수 있는 기업과 그렇지 못한 기업의 차이는 규제와 상관없이 점점 커질 것입니다.
크리에이터·블로거가 지금 당장 해야 할 것
“나는 개인 블로거인데 EU AI Act가 나랑 무슨 상관?”이라고 생각했다면, 지금 바로 생각을 바꿔야 합니다. EU AI Act는 딥페이크, AI 생성 이미지·영상·텍스트에 대한 투명성 의무를 2025년 2월부터 이미 시행 중입니다(제50조). 한국의 AI 기본법(2026년 1월 22일 시행)도 같은 방향입니다.
크리에이터가 지금 당장 해야 할 3가지
AI 생성 콘텐츠 표시 의무 즉시 이행
AI로 생성된 이미지, 영상, 글에는 ‘AI 생성물임을 고지’해야 합니다. 한국 AI 기본법 위반 시 최대 3,000만 원 과태료, EU AI Act 위반 시 최대 750만 유로(약 110억 원) 이상의 제재가 부과됩니다.
딥페이크 생성 콘텐츠에 기계 판독 형식 표시 추가
EU AI Act는 AI 생성 콘텐츠에 시각적 표시 외에도 ‘기계 판독 가능한 형식’의 메타데이터를 포함할 것을 요구합니다. 이미지에 C2PA(Content Credentials) 메타데이터를 삽입하는 방식이 현재 표준으로 부상하고 있습니다.
챗봇·AI 어시스턴트 서비스 운영 시 AI임을 고지
카카오채널, 네이버 스마트스토어 채팅, 개인 웹사이트에 AI 챗봇을 운영 중이라면, 사용자가 AI와 대화 중임을 반드시 고지해야 합니다. 이미 2025년 2월부터 시행된 의무입니다.
개인 크리에이터가 EU AI Act 위반으로 직접 제재를 받는 경우는 드물지만, 한국 AI 기본법은 개인 블로거도 적용 대상에 포함됩니다. 두 법의 방향이 완전히 동일하기 때문에, 하나의 기준으로 준비하면 양쪽 모두 커버됩니다.
한국 기업 실전 대응 6단계 체크리스트
EU AI Act 전문 기관들이 공통적으로 권고하는 6단계 대응 절차입니다. 8월 2일까지 남은 5개월, 지금 시작해야 간신히 완료할 수 있는 일정입니다.
과징금 구조와 실제 리스크 시뮬레이션
EU AI Act의 제재 구조는 GDPR과 동일한 방식, 즉 전 세계 연매출 기준 비율 과징금입니다. 한국 법인이라도 EU 시장 매출이 있다면 전 세계 매출을 기준으로 계산됩니다. 이를 간과한 기업이 가장 큰 위험에 노출됩니다.
| 위반 유형 | 최대 과징금 (금액) | 최대 과징금 (매출) |
|---|---|---|
| 수용 불가 위험 AI 운영 (사회적 점수제 등) | 3,500만 유로 | 전 세계 매출 7% |
| 고위험 AI 의무 위반 (적합성 평가 미이행 등) | 1,500만 유로 | 전 세계 매출 3% |
| 당국에 부정확한 정보 제공 | 750만 유로 | 전 세계 매출 1% |
실제 리스크 시뮬레이션
연매출 100억 원 한국 스타트업
고위험 AI 의무 위반 시
최대 3억 원 과징금
(매출 3% 기준)
연매출 1,000억 원 중견 기업
고위험 AI 의무 위반 시
최대 30억 원 과징금
(매출 3% 기준)
중소기업(SME) 특례
금액과 비율 중 낮은 쪽 적용
스타트업·중소기업은 금액 상한이 낮게 적용됨
개인적으로 가장 주목하는 부분은 GDPR 시행 초기와 유사한 패턴이 반복될 가능성입니다. GDPR도 처음에는 집행이 느렸지만, 2020년대부터 수천억 원 규모의 과징금이 잇따랐습니다. EU AI Act 역시 첫 1~2년은 계도 성격이 강할 수 있지만, 한 번 집행 사례가 쌓이기 시작하면 속도가 가속화됩니다. 초기에 컴플라이언스를 구축한 기업이 훨씬 낮은 비용으로 대응할 수 있습니다.
자주 묻는 5가지 질문 (Q&A)
마치며 — 규제가 아니라 기회로 읽어야 하는 이유
EU AI Act를 바라보는 두 가지 시각이 있습니다. 하나는 “번거로운 규제 리스크”이고, 다른 하나는 “신뢰 기반 AI 시장의 선점 기회”입니다. EU AI Act 컴플라이언스를 완료한 기업은 EU 기업 고객이나 EU 공공조달 시장에서 경쟁 우위를 갖게 됩니다. 실제로 GDPR 컴플라이언스가 유럽 B2B 시장의 ‘진입 티켓’이 된 것처럼, EU AI Act 준수 여부가 글로벌 AI 기업의 신뢰도 지표로 자리잡을 것입니다.
지금 당장 시작하기 가장 좋은 것은 AI 인벤토리 작성입니다. 거창한 준비가 아니라, 스프레드시트 하나에 사내 AI 시스템을 나열하는 것부터 시작하면 됩니다. 그 목록이 완성되는 순간, 무엇을 해야 할지가 명확해집니다. 2026년 8월 2일은 생각보다 빠르게 옵니다.
• EU AI Act 고위험 AI 전면 시행: 2026년 8월 2일 (D-142)
• 딥페이크·챗봇 투명성 의무: 이미 시행 중 (2025년 2월~)
• 최대 과징금: 연 전 세계 매출의 7% (금지 AI 위반 시)
• 디지털 옴니버스 연기 제안: EU 의회 심의 중, 확정 미완료
• 한국 기업 대응 시작 시점: 지금 당장
본 포스팅은 정보 제공을 목적으로 작성되었으며, 법률 자문이 아닙니다. EU AI Act 컴플라이언스에 관한 구체적인 결정은 법률·규제 전문가의 조언을 구하시기 바랍니다. 규정 내용은 디지털 옴니버스 심의 등에 따라 변경될 수 있으며, 항상 최신 공식 문서를 확인하세요.
댓글 남기기