2026년 8월 2일 전면 시행
한국 기업도 100% 적용
EU AI Act 2026년 8월:
한국 기업, 모르면 과징금 7%
당신 회사 AI가 EU에 닿는 순간, 법이 적용됩니다. 지금 당장 확인해야 할 이유가 있습니다.
(더 큰 금액 부과)
(금지·고위험·제한·저위험)
남은 시간
EU AI Act란 무엇인가 — 왜 한국 기업도 피할 수 없나
EU AI Act(유럽연합 인공지능법)는 2024년 5월 유럽의회에서 공식 채택된 세계 최초의 포괄적 AI 규제 법안입니다. 핵심은 단순합니다. AI 시스템을 위험 수준에 따라 4단계로 분류하고, 높은 위험일수록 더 강한 의무를 부과하는 것입니다. 그리고 결정적으로, 법인 소재지와 무관하게 AI 시스템의 결과물이 EU 역내에 도달하면 모두 적용 대상이 됩니다. 이른바 ‘역외 적용(Extraterritorial Effect)’입니다.
한국 기업이 이 법을 남의 나라 이야기로 넘길 수 없는 이유가 여기 있습니다. 네이버 CLOVA X, LG의 EXAONE AI, 현대자동차의 자율주행 시스템, 대한항공의 AI 운항관리 솔루션 등 EU 시장에 제품·서비스를 공급하거나 그 결과물이 EU로 흘러가는 모든 기업이 사실상 ‘제공자(Provider)’로 분류될 수 있습니다. EU AI Act 제25조는 명확합니다. 기존 고위험 AI 시스템에 ‘상당한 변경’을 가한 배급자, 수입자, 배포자도 제공자로 간주됩니다.
현재 2026년 3월 13일 기준, 전면 시행까지 142일이 남았습니다. 시행 일정은 단계적으로 진행되어 왔는데, 2025년 2월 2일부터 금지 관행 조항이 발효됐고, 2025년 8월 2일부터 범용 AI 모델 의무가 시작됐습니다. 그리고 2026년 8월 2일에 고위험 AI 시스템 전 의무가 최종 적용됩니다. 이미 절반 이상의 준비 시간이 지나간 셈입니다.
💡 핵심 인사이트: EU AI Act는 단순한 유럽 내부 규제가 아닙니다. 인터넷을 통해 EU 사용자와 접점이 생기는 순간 한국 스타트업조차 적용 대상이 됩니다. “우리는 EU에 진출하지 않았다”는 말이 면죄부가 되지 않는다는 점, 반드시 기억해야 합니다.
4단계 위험 등급 분류 — 내 AI는 어느 단계?
EU AI Act의 심장부는 위험 등급 분류 체계입니다. 어느 단계로 분류되느냐에 따라 의무의 무게가 완전히 달라집니다. 아래 표를 통해 한눈에 확인해 보십시오.
| 등급 | 해당 유형 (예시) | 규제 수준 |
|---|---|---|
| 🚫 수용 불가 | 실시간 공공 생체인식, 사회 점수제, 잠재의식 조작 AI | 개발·출시 전면 금지 |
| ⚠️ 고위험 | 의료기기 AI, 자율주행 안전부품, 채용 AI, 신용평가, 이민·국경통제, 법집행 | 사전 적합성 평가 + 7가지 의무 준수 |
| 🔶 제한적 위험 | 챗봇, 딥페이크 생성, 감정 인식 시스템 | 투명성 의무 (AI임을 고지) |
| ✅ 저위험 | AI 게임 필터, 스팸 차단, 일반 추천 알고리즘 | 자율 규제 권고 |
가장 까다로운 고위험(High-risk) 등급이 핵심입니다. 이 등급은 두 가지 기준으로 판정됩니다. 첫째, AI 시스템이 EU의 기존 제품 안전 법규에서 안전 부품으로 규정된 제품에 탑재된 경우(예: 자동차 에어백 시스템 내 AI)입니다. 둘째, EU AI Act 부속서 III의 9개 분야(생체인식, 중요 인프라, 교육·채용, 공공서비스, 법집행, 이민관리, 사법행정 등)에 해당하는 경우입니다.
중요한 함정이 하나 있습니다. 부속서 III의 목록은 매년 개정될 수 있어 지금 저위험이었던 AI가 내년에 고위험으로 변경될 수 있습니다. 따라서 전문가들은 “처음부터 고위험으로 가정하고 준비하라”고 조언합니다. 이른바 ‘보수적 분류 전략’입니다. 그게 훨씬 안전하고 비용도 덜 듭니다.
💡 주관적 의견: 안면인식 기술은 특히 함정이 많습니다. CCTV 스크래핑 기반 안면인식은 1단계(금지), 불특정 다수 식별은 2단계(고위험), 사내 직원 출입 시스템은 4단계(저위험)로 분류됩니다. 동일 기술도 쓰임새에 따라 등급이 달라지므로 법률 전문가와 함께 ‘용도 기반 분류’를 반드시 진행해야 합니다.
2026년 8월 이전에 반드시 완료해야 할 의무
고위험 AI 시스템 제공자(Provider)에게 부과되는 7가지 핵심 의무를 반드시 이해해야 합니다. EU AI Act Articles 8~15에 명시된 이 의무들은 ‘시장에 출시되기 전’에 충족되어야 합니다. 즉, 2026년 8월 2일 이전에 이미 EU 시장에 있던 AI 시스템까지 소급 적용된다는 사실이 핵심입니다.
AI 시스템 전체 수명 주기에 걸쳐 위험을 식별하고 완화하는 문서화된 프로세스가 필요합니다. 단발성 검토가 아니라 지속적 운영 체계여야 합니다.
학습·검증·테스트 데이터의 관련성, 대표성, 정확성을 지속 모니터링해야 합니다. 데이터의 편향성과 오류를 식별하고 완화하는 정책도 필수입니다.
EU 규제 당국이 법 준수 여부를 검증할 수 있도록 AI 시스템의 설계, 개발 과정, 데이터 처리 방식 등을 상세히 문서화해야 합니다. 이 문서는 EU 데이터베이스에 등록됩니다.
AI 시스템의 운영 이력이 자동으로 기록되어야 합니다. 이는 사후 감사와 책임 추적을 가능하게 합니다.
배포자(Deployer)가 AI 시스템을 올바르게 사용할 수 있도록 충분한 정보를 제공해야 합니다. 챗봇 등은 사용자에게 ‘AI와 대화 중’임을 명확히 고지해야 합니다.
훈련된 담당자가 AI 시스템을 모니터링하고 필요 시 개입·중단할 수 있는 체계가 마련되어야 합니다. AI가 혼자 판단해 중요한 결정을 내리는 구조는 허용되지 않습니다.
AI 시스템이 의도한 대로 정확하게 동작하고, 오류나 해킹에 강건해야 합니다. 성능 저하나 보안 취약점이 발생할 경우 즉시 규제 당국에 보고해야 합니다.
이 모든 의무를 이행한 후에는 EU 적합성 선언(EU Declaration of Conformity)을 작성하고 CE 마킹을 부착한 뒤, EU 데이터베이스에 등록해야 합니다. 이 세 단계를 완료해야 비로소 고위험 AI 시스템을 EU 시장에 적법하게 출시할 수 있습니다.
한국 AI 기본법 vs EU AI Act — 어떻게 다른가
2026년 1월 22일, 한국은 세계 최초로 AI 기본법(인공지능 발전과 신뢰 기반 조성 등에 관한 기본법)을 전면 시행한 국가가 됐습니다. 아이러니하게도, AI 규제 법안을 먼저 발표한 EU보다도 한국이 먼저 전면 가동에 들어간 것입니다. 그러나 두 법의 결은 다릅니다.
| 구분 | 한국 AI 기본법 | EU AI Act |
|---|---|---|
| 시행 시기 | 2026년 1월 22일 (전면) | 2024년 8월 ~ 2026년 8월 (단계적) |
| 의무 주체 구분 | AI 사업자 (통합) | 제공자·배포자·수입자·유통자 (세분화) |
| AI 표시 기술 | 워터마크 또는 메타데이터 선택 가능 | 최소 2개 이상 기술 층위 의무 (워터마크 + 메타데이터 동시) |
| AI 표시 위반 과태료 | 최대 3,000만 원 | 최대 €3,500만 또는 연매출 7% |
| 외부 탐지 도구 공개 | 강제 아님 (자율) | 무료 탐지 도구 공개 의무 |
| 역외 적용 | 국내 법 집행 한계 | 역외 적용 (EU 진출 해외 기업 포함) |
2026년 3월 기준 EU 집행위원회는 ‘AI 생성 콘텐츠 표시·라벨링 실천 규범(Code of Practice)’ 2차 초안을 발표했습니다. 이 규범에서 특히 주목할 점은, AI 개발사가 서비스를 종료한 이후에도 과거 생성된 콘텐츠를 탐지할 수 있도록 관련 기술을 유지해야 한다는 조항입니다. 한국 AI 기본법은 이런 수준의 기술적 구체성이 부족하다는 국내 업계의 지적이 나오는 이유입니다.
💡 주관적 의견: 한국 AI 기본법이 기업 자율성을 존중한 것은 산업 육성 관점에서 합리적입니다. 그러나 EU는 더 구체적이고 더 강한 수준을 요구합니다. EU 시장을 겨냥하는 한국 기업이라면 한국 AI 기본법 준수만으로는 부족하며, EU AI Act 기준을 ‘상위 기준’으로 삼아 준비해야 현실적으로 의미가 있습니다.
위반 시 처벌 — 과징금부터 형사처벌까지
EU AI Act의 처벌 조항은 GDPR보다도 강합니다. 단순한 행정 과태료를 넘어, 형사처벌과 EU 시장 퇴출까지 이어질 수 있습니다. 위반 유형별로 제재 수준이 다르게 설계되어 있습니다.
| 위반 유형 | 최대 과징금 |
|---|---|
| 금지된 AI 관행 위반 (1단계) | €3,500만 또는 연간 전 세계 매출 7% |
| 고위험 AI 의무 위반 (2단계) | €1,500만 또는 연간 전 세계 매출 3% |
| 데이터·투명성 의무 위반 | 연간 전 세계 매출 2.5% |
| 허위 정보 제공 | €750만 또는 연간 전 세계 매출 1% |
여기서 끝이 아닙니다. 이탈리아는 자국 AI법(Law No. 132/2025)을 통해 딥페이크 등 AI 생성·변조 콘텐츠를 불법 유포할 경우 징역 1~5년의 형사처벌을 규정했습니다. EU 회원국들이 각자 국내 AI법으로 추가 처벌을 적용하는 구조이므로, 최악의 경우 행정 과징금과 형사처벌이 동시에 부과될 수 있습니다. 반복 위반 시에는 벌금이 2배로 증가하며, 임시 서비스 중단 명령과 제품 회수 명령도 가능합니다.
EU AI Act는 또한 GDPR과 연동됩니다. 바이오메트릭·감정 인식 AI를 사용하면서 GDPR 개인정보 처리 의무를 동시에 위반할 경우, EU AI Act 과징금에 더해 GDPR 과징금(최대 €2,000만 또는 연매출 4%)까지 이중으로 부과될 수 있습니다. 이를 합산하면 이론적으로 연매출의 10%를 훌쩍 넘는 제재가 가능합니다.
⚠️ 경고: “우리는 EU에서 사업을 안 한다”는 논리가 통하지 않습니다. AI 시스템의 결과물이 EU 사용자에게 전달되는 경우 — 예를 들어 한국에서 개발한 AI 번역 서비스를 EU 사용자가 이용하는 경우 — 역외 적용 원칙에 따라 EU AI Act 제재 대상이 됩니다.
한국 기업 실무 대응 체크리스트 7단계
2026년 8월 2일까지 142일이 남은 시점에서 실질적으로 무엇을 해야 하는지를 우선순위 순서대로 정리했습니다. 자사의 AI가 고위험 등급에 해당한다면 지금 당장 착수해야 합니다.
AI 시스템 인벤토리 작성
자사가 개발·배포·사용하는 모든 AI 시스템을 목록화하십시오. SaaS로 도입한 외부 AI 도구도 포함됩니다. EU 시장과의 접점(사용자, 데이터 흐름)을 함께 매핑해야 합니다.
위험 등급 분류 (보수적으로)
STEP 1의 목록을 4단계 위험 등급으로 분류합니다. 의심스러운 경우 고위험으로 분류하는 보수적 접근이 권장됩니다. 분류 근거를 문서화해야 규제 당국의 조사에 대응할 수 있습니다.
역할 확정 — 제공자인가 배포자인가
자사가 AI를 직접 개발해 공급하는 ‘제공자(Provider)’인지, 외부 AI를 활용해 서비스를 운영하는 ‘배포자(Deployer)’인지를 확정합니다. 두 역할에 따라 요구되는 의무가 다릅니다.
고위험 AI 7가지 의무 이행 착수
앞서 소개한 위험 관리 시스템, 데이터 거버넌스, 기술 문서, 자동 로깅, 투명성, 인간 감독, 정확성·보안 — 이 7가지를 단계별로 이행합니다. 내부적으로 AI 컴플라이언스 전담 담당자를 지정하는 것을 강력히 권장합니다.
AI 생성 콘텐츠 표시 체계 구축
딥페이크 탐지를 위한 워터마크·메타데이터 기술 도입을 검토합니다. EU는 2025년 8월부터 이미 범용 AI 모델 제공자에게 이 의무를 적용 중입니다. 2026년 3월 발표된 2차 초안 기준으로 ‘최소 2개 이상의 기술 층위’를 준비하십시오.
적합성 평가·CE 마킹·EU DB 등록
고위험 AI 시스템의 경우 2026년 8월 2일 이전에 제3자 적합성 평가를 완료하고 EU 선언서를 작성한 뒤 EU 데이터베이스에 등록해야 합니다. 이 절차에는 수개월이 소요될 수 있으므로 지금 당장 착수해야 합니다.
지속적 모니터링 체계 수립
EU AI Act는 연간 금지 목록 개정, 각 EU 회원국의 국내 AI법 추가 제정 등으로 계속 진화합니다. 2026년 8월 이후에도 규제 변화를 실시간으로 추적하고 내부 프로세스를 업데이트하는 상시 체계가 필요합니다.
💡 주관적 의견: STEP 6의 적합성 평가에서 함정이 있습니다. EU 인증 기관(Notified Body)의 수요가 급증하면서 현재 대기 시간이 6~9개월에 달한다는 보고가 있습니다. 이미 늦었다고 느끼는 분이라면 지금이라도 인증 기관 예약부터 진행하는 것이 현실적입니다. 준비 자체를 시작하지 않은 것보다, 일부라도 시작한 것이 규제 당국의 판단에서 유리하게 작용합니다.
Q&A — 자주 묻는 5가지 질문
Q1. EU에 법인이 없는 한국 스타트업도 EU AI Act 적용을 받나요?
네, 받습니다. EU AI Act는 법인 소재지가 아닌 ‘AI 시스템의 결과물이 EU 내에서 사용되는지’를 기준으로 합니다. 한국 스타트업이 개발한 AI 서비스를 EU 사용자가 이용한다면 적용 대상입니다. 특히 EU 내에 서비스를 공급하거나 EU 사용자에게 결과물을 제공하는 경우, 자사가 제공자(Provider)로 간주될 수 있다는 점을 반드시 확인해야 합니다.
Q2. ChatGPT, Claude 같은 외부 AI 서비스를 업무에 활용하는 기업도 의무가 있나요?
외부 AI를 도입해 서비스를 운영하는 기업은 ‘배포자(Deployer)’로 분류됩니다. 배포자는 AI 시스템을 제공자의 지침에 따라 올바르게 사용하고, 입력 데이터의 관련성과 대표성을 보장하며, 시스템 성능을 지속 모니터링하고 심각한 사고를 즉시 보고할 의무가 있습니다. 특히 자체 서비스를 위해 외부 AI의 기능을 ‘상당히 변경’하는 경우에는 제공자로 간주될 수 있어 더 높은 의무가 부과됩니다.
Q3. 한국 AI 기본법을 준수하면 EU AI Act도 자동으로 준수되나요?
아닙니다. 두 법은 별개입니다. 한국 AI 기본법의 기준이 EU AI Act보다 덜 구체적이고 요구 수준이 낮은 부분이 있습니다. 예를 들어 AI 콘텐츠 표시 기술 요건, 외부 탐지 도구 공개 의무, 의무 주체 세분화 등에서 EU가 더 엄격합니다. EU 시장 진출을 염두에 두고 있다면 EU AI Act 기준을 ‘상위 기준’으로 준비해야 합니다.
Q4. 2026년 8월 2일 이전에 이미 EU에 출시된 AI 제품은 어떻게 되나요?
EU AI Act는 2026년 8월 2일 이전에 EU 시장에 출시되어 가동 중인 고위험 AI 시스템에도 소급 적용됩니다. 즉, “이미 팔았으니 괜찮다”는 논리가 통하지 않습니다. 다만 과거 출시 시스템에 대해서는 일부 유예 기간이 있을 수 있으므로, 자사 시스템의 출시일과 카테고리를 확인해 법률 전문가의 조언을 구하는 것이 필요합니다.
Q5. 소규모 스타트업은 EU AI Act 의무가 면제되나요?
면제는 아니지만 중소기업과 스타트업에 대한 일부 절차 간소화 조항이 있습니다. EU 집행위원회는 소규모 기업의 부담을 고려해 기술 문서 제출 절차 일부를 간소화했습니다. 그러나 핵심 의무(위험 등급 분류, 투명성 고지, 고위험 AI 7가지 의무)는 규모와 무관하게 적용됩니다. 오히려 소규모 기업일수록 규제 대응 여력이 부족하기 때문에 조기에 법률 자문을 받는 것이 중요합니다.
마치며 — 규제가 아니라 EU 시장 진입 티켓이다
EU AI Act를 단순히 ‘준수해야 하는 규제’로만 바라보면 비용과 부담만 눈에 들어옵니다. 하지만 시각을 바꾸면 다르게 보입니다. EU 시장은 5억 명의 구매력 높은 소비자가 있는 세계 최대 단일 시장 중 하나입니다. EU AI Act를 통과한 AI 시스템이라는 것은 곧 ‘신뢰할 수 있는 AI’라는 국제 인증이 됩니다. 이는 EU뿐 아니라 EU 규제를 표준으로 채택하는 전 세계 시장에서의 경쟁력으로 직결됩니다.
한국은 이미 AI 기본법 전면 시행 국가가 됐습니다. EU도 2026년 8월 전면 시행을 앞두고 있습니다. 두 법이 동시에 작동하는 환경에서 가장 현명한 전략은 가장 높은 기준인 EU AI Act를 기준점으로 삼아 준비하는 것입니다. 그렇게 하면 한국 AI 기본법 준수는 자연스럽게 따라옵니다.
지금 남은 142일은 제법 빠듯합니다. 특히 고위험 AI 시스템에 해당하는 기업이라면 적합성 평가 기관 예약부터 시작해야 할 만큼 시간이 촉박합니다. 반면 저위험 단계의 AI만 다루는 기업이라면 투명성 고지 체계 구축과 AI 시스템 인벤토리 정도를 우선 정비하면 됩니다. 중요한 것은 아무것도 하지 않는 것이 가장 위험한 선택이라는 점입니다. 지금 시작하십시오.
※ 본 포스팅은 공개된 정보를 바탕으로 작성된 정보성 콘텐츠로, 법률 자문이 아닙니다. EU AI Act 준수 여부는 반드시 EU법 전문 변호사 또는 컴플라이언스 전문가와 함께 검토하시기 바랍니다. 규제 내용은 이후 개정될 수 있으므로 최신 공식 자료를 항상 확인하십시오.
댓글 남기기