EU AI Act, 과징금 601억인데
한국만 다릅니다

2026년 8월 2일, EU AI Act가 본격 집행됩니다. 과징금은 최대 €3,500만(약 601억 원) 또는 전 세계 연매출의 7%. GDPR보다 높습니다. 그런데 지금 많은 한국 기업이 “Digital Omnibus로 연장됐다”며 준비를 미루고 있습니다. 이 판단, 공식 문서로 직접 확인해봤습니다.

EU AI Act가 뭔지, 한 줄로 정리하면

2024년 5월 21일 공식 채택된 EU AI Act(Regulation EU 2024/1689)는 세계 최초의 포괄적 AI 법률 체계입니다. (출처: European Commission 공식 페이지, digital-strategy.ec.europa.eu) 특정 기술을 규제하는 게 아니라, AI가 사람에게 미칠 수 있는 피해 수준에 따라 4단계로 분류하고 각각 다른 의무를 부과합니다. 쉽게 말하면, 유럽에서 AI를 개발하거나 유통하거나 사용하는 모든 주체가 대상이고, EU 밖에 있어도 EU 시장에서 AI 결과물이 사용된다면 예외가 없습니다.

4가지 위험 등급은 ▲용납 불가(Unacceptable) ▲고위험(High-risk) ▲제한적 위험(Limited) ▲최소 위험(Minimal)으로 나뉩니다. 현재 금지(Unacceptable) 카테고리 규정은 이미 2025년 2월 2일부터 시행 중이고, 소셜 스코어링 시스템, 실시간 원격 생체인식, 감정 인식 AI(직장·교육 환경) 등 8가지 행위가 이미 금지됩니다. 범용 AI(GPAI) 의무는 2025년 8월 2일부터 발효됐습니다.

2026년 8월 2일, 뭐가 달라지나

2026년 8월 2일이 핵심 기준일입니다. EU AI Act 공식 서비스 데스크(ai-act-service-desk.ec.europa.eu)에 정확히 이렇게 나와 있습니다. “2026년 8월 2일, AI Act의 대다수 규정이 발효되고 집행이 시작된다.”

고위험 AI로 분류되면 시장 출시 전 적합성 평가, 기술 문서화, CE 마킹, EU 데이터베이스 등록을 마쳐야 합니다. 인사채용 AI, 교육 접근성 결정 AI, 신용 평가 AI, 의료 AI 등이 Annex III 고위험 범주에 해당합니다. 유럽 시장을 노리는 한국 기업이라면 서비스 분류부터 지금 시작해야 합니다.

“연장됐다”고 안심하면 8월에 걸립니다

2025년 11월 19일, 유럽 집행위원회가 Digital Omnibus라는 법안을 발표했습니다. 핵심 내용은 Annex III 고위험 AI 시스템의 의무 집행 시점을 2026년 8월에서 2027년 12월 2일까지 연장한다는 제안입니다. 이 소식이 국내에도 퍼지며 “EU AI Act 연장됐다”는 인식이 퍼졌습니다. 그런데 공식 AiActo 페이지(aiacto.eu)에 이렇게 적혀 있습니다.

Digital Omnibus는 아직 유럽의회와 이사회의 논의 중인 제안이고, 2026년 3월 18일 IMCO·LIBE 위원회 투표를 거쳤지만 최종 채택은 빨라야 2026년 중반입니다. 만약 트릴로그(3자 협상)가 늦어져서 8월 2일 이전에 채택되지 않으면, 원래 기한이 자동 적용됩니다. 기다리는 기업에겐 아무런 보호막이 없습니다.

과징금 601억, GDPR보다 센 이유

EU AI Act Article 99에 따라 과징금 체계는 3단계로 구성됩니다. (출처: artificialintelligenceact.eu/article/99/)

GDPR 최대 과징금은 €2,000만 또는 연매출 4%인데, EU AI Act는 그걸 뛰어넘습니다. 601억이라는 숫자가 실감이 안 날 수 있는데, 2025년 기준 META가 GDPR로 부과받은 €1.2억(약 2,000억) 제재 규모를 기준점으로 놓으면, AI Act 기준 금지 AI 위반은 META 규모 기업도 최대 전매출 7%가 뜯겨나갑니다. 특히 이탈리아는 이미 2025년 10월에 자국 AI법(Law 132/2025)을 별도로 도입해 최대 €774,685의 벌금과 최대 1~5년 형사 징역까지 규정해뒀습니다. EU 회원국이 국내법으로 추가 제재를 쌓는 구조입니다.

한국 AI 기본법이랑 같은 줄 알았는데 다릅니다

2026년 1월 22일부터 한국 AI 기본법이 전면 시행됐습니다. EU보다 6개월 먼저 시행했다는 점에서 “한국이 앞서 나간다”는 평가가 있었습니다. 그런데 과기정통부 공식 발표(2026.01.22)를 직접 확인하면 구조가 완전히 다릅니다.

놀라운 지점이 있습니다. 한국이 6개월 먼저 시행했지만, 실질적 규제 집행은 1년 이상 유예됩니다. 반면 EU는 Digital Omnibus 미채택 시 8월 2일부터 바로 집행됩니다. 선제 시행이 반드시 선제 집행을 의미하지 않습니다. 또한 한국 AI 기본법의 안전성 의무 대상 기준은 10²⁶ FLOPs인데, EU는 10²⁵ FLOPs입니다. 한국 기준이 10배 더 엄격한 연산량을 요구하는데, 현재 이 기준에 해당하는 AI 시스템은 사실상 없는 상태라고 과기정통부가 밝혔습니다. (출처: 미민트닷컴 보도, 과기정통부 발표 기반, 2026.01.22)

공식 발표문과 실제 흐름을 같이 놓고 보니

SME(중소기업) 이슈도 짚어야 합니다. Digital Omnibus는 기존 SME 기준(직원 250명 이하, 연매출 €5,000만 이하) 외에 “소규모 중견기업(Small Mid-caps)”이라는 새 카테고리를 신설했습니다. 직원 750명 이하, 연매출 €1억5,000만 이하 기업이 여기 해당하는데, 이들에게는 기술 문서화 요건 완화, QMS(품질관리시스템) 경량화, 과징금 산정 방식 완화가 적용됩니다. 한국 스타트업 중에서도 유럽 진출 기업은 이 카테고리 해당 여부를 먼저 확인해야 합니다.

그래서 aiacto.eu가 제시한 전략이 설득력 있습니다. “8월 2026을 실제 기준으로 준비하되, 12월 2027을 예상 집행일로 계획하라.” 두 기준을 동시에 잡아야 손해가 없는 구조입니다.

지금 당장 해야 할 3가지

준비 순서가 있습니다. 먼저 분류가 되어야 이후 단계가 의미 있습니다.

Q&A

마치며

솔직히 말하면, EU AI Act는 “알고리즘 투명성” 이야기처럼 멀게 느껴지는 주제입니다. 그런데 이번에 공식 타임라인과 Digital Omnibus 입법 현황을 같이 들여다보고 나니 생각이 달라졌습니다. “연장됐다”는 소식이 퍼지면서 준비를 미루는 기업들이 많아졌는데, 그 법안은 아직 미채택이고 8월 기한은 그대로입니다.

한국 기업 입장에서 가장 중요한 포인트는 두 가지입니다. 첫째, EU 시장에 AI 서비스를 제공한다면 지금 당장 내 서비스가 Annex III에 해당하는지 확인해야 합니다. 분류 자체는 어떤 표준이 나오든 달라지지 않습니다. 둘째, 한국 AI 기본법과 EU AI Act는 형식은 비슷하지만 제재 강도는 2,000배 이상 차이가 납니다. 두 법을 같은 선상에서 비교하면 곤란합니다.

이 부분이 좀 아쉬웠습니다. 국내에 EU AI Act를 다루는 글이 많지만, Digital Omnibus가 아직 미채택이라는 점과 한·EU 제재 수준 비교를 정확히 짚은 글은 거의 없었습니다. 준비를 미루는 게 전략이 되려면, 최소한 원문 기준을 확인하고 미뤄야 합니다.

1. EU AI Act 공식 타임라인 — artificialintelligenceact.eu/implementation-timeline/
2. European Commission AI 규제 프레임워크 공식 페이지 — digital-strategy.ec.europa.eu
3. EU AI Act 서비스 데스크 (공식 집행위 운영) — ai-act-service-desk.ec.europa.eu
4. Digital Omnibus / AI Act 연장 분석 — aiacto.eu, 2026.03.16
5. 한국 AI 기본법 전면 시행 보도 (과기정통부 발표 기반) — mimint.co.kr, 2026.01.22
6. EU AI Act 과징금 체계 Article 99 — artificialintelligenceact.eu/article/99/