인공지능기본법 시행령 기준 (2026.01.22 시행)
AI 기본법 고영향 AI,
우리 서비스는 해당 안 될까요?
“우리는 에너지·의료 분야 아니니까 상관없겠지” — 막상 시행령을 펼쳐보면 이 판단이 틀릴 수 있습니다. 고영향 AI 지정 기준을 공식 문서 기준으로 하나씩 따져봤습니다.
“10대 영역 아니면 무조건 아니다” — 이 생각부터 점검해야 합니다
AI 기본법 고영향 AI 얘기가 나오면 “어차피 의료·에너지·원자력 분야 얘기잖아요”라는 반응이 가장 많습니다. 맞는 말이기도 하고, 틀린 말이기도 합니다.
인공지능기본법 제2조 제4호와 시행령 별표 1은 고영향 AI의 영역을 에너지, 먹는물, 원자력, 교통, 보건의료, 교육, 공공서비스, 채용·인사, 금융·대출, 범죄수사·치안, 이렇게 10개로 명시합니다. (출처: 과학기술정보통신부 보도자료, 2026.01.21)
문제는 이 10개 영역이 우리가 흔히 생각하는 것보다 훨씬 넓다는 데 있습니다. 채용 면접 스크리닝 도구, 대출 심사 자동화 시스템, 학교 성적 분류 알고리즘 — 이것들은 모두 10대 영역 안에 들어갑니다. “우리는 핀테크지, 금융은 아니에요”가 통하지 않는 구조입니다.
💡 공식 시행령 별표와 실제 서비스 목록을 나란히 놓고 보면, 생각보다 많은 B2B SaaS가 10대 영역에 걸쳐 있는 걸 확인할 수 있습니다.
그러나 10대 영역에 해당한다고 해서 자동으로 고영향 AI가 되는 건 아닙니다. 거기서 끝이 아니라, 시작입니다.
고영향 AI의 실제 판단 기준 — 시행령이 말하는 3가지 조건
시행령 제24조는 고영향 AI 해당 여부를 판단할 때 반드시 고려해야 하는 항목을 나열합니다. 크게 3개입니다.
활용 영역이 법령에 명시된 10개에 해당하는지
생명·신체·기본권에 미치는 위험의 중대성·빈도·영향 범위
최종 의사결정에 사람이 실질적으로 개입하는지 여부
세 가지를 모두 고려합니다. 즉 10대 영역에 해당해도, 위험의 중대성이 낮거나 사람이 충분히 개입한다면 고영향에서 벗어날 수 있습니다. 반대로 10대 영역이 아니어도 실질적 위험이 크면 “고영향 전문위원회”의 자문을 거쳐 지정될 수 있는 여지도 있습니다.
사업자가 스스로 판단하기 어려운 경우, 과기정통부 장관에게 확인을 요청할 수 있습니다. 시행령 제24조에 따르면 기본 30일 이내 회신, 복잡한 경우 한 차례 30일 연장이 가능합니다. (출처: 인공지능기본법 시행령 제24조, 2026.01.22 시행) 최대 60일이지만, 현장에서는 재확인 요구로 3개월 이상 걸릴 수 있다는 우려도 나옵니다.
💡 공식 확인 절차와 실제 사업 일정표를 같이 놓고 보면, 서비스 출시 전에 여유 있게 신청해두지 않으면 대응이 꼬일 수 있습니다.
여기서 핵심은 조건 3 — “사람이 개입하면 제외된다”는 부분입니다. 이 조건이 생각보다 훨씬 까다롭게 적용됩니다.
“사람이 최종 결정하면 제외된다” — 이 예외가 생각보다 좁습니다
가장 많이 오해하는 부분이 여기입니다. 과기정통부 공식 보도자료에는 이렇게 나옵니다.
“최종 의사결정 과정에 사람이 개입하는 경우는 통제 가능한 것으로 판단해 고영향AI 대상에서 제외된다.”
(출처: 과학기술정보통신부 보도자료, 2026.01.21, korea.kr)
읽기에 따라서는 “담당자가 최종 클릭 하나만 해도 된다”처럼 들립니다. 그런데 같은 시행령을 만든 과정에서 정부는 분명하게 한 가지를 못 박았습니다. 로보어드바이저처럼 겉으로는 사람이 확인하는 척하지만 실제로는 AI 알고리즘 결과를 그대로 수행하는 구조라면 예외를 인정하지 않겠다고 합니다.
“사람의 개입”이 예외가 되려면, 사람이 AI 결과를 실질적으로 검토하고 거부하거나 수정할 수 있는 권한과 절차가 실제로 작동해야 합니다. 화면에 “담당자 확인” 버튼 하나 달아두는 것으로는 부족합니다.
⚠️ 이 구분이 중요한 이유: 금융·채용·공공서비스 분야에서 AI 추천 결과를 사람이 “검토”한다고 명시하더라도, 실제 거부 비율이 0%에 가깝거나 검토 시간이 형식적이라면 정부는 이를 실질적 개입으로 보지 않을 수 있습니다.
실제로 스타트업얼라이언스 이슈페이퍼(2025.09)에서 현장 전문가들이 지적한 내용도 같은 방향입니다. “사람 개입” 예외 기준이 모호해서 기업들이 방어적으로 고영향 의무를 과도하게 떠안는 쪽으로 흐를 가능성이 높다는 것입니다.
범용 모델·오픈소스 서비스도 피해 갈 수 없는 조건이 있습니다
“우리는 OpenAI API 가져다 쓰는 거지, AI 개발사가 아닌데요?” — 이 논리도 현행 법 해석에서는 그대로 통하지 않습니다.
인공지능기본법은 AI 사업자를 개발사업자와 이용사업자로 나누지만, 시행령은 이 구분이 불명확한 채로 의무를 부과합니다. API를 가져다 서비스를 만든 회사도 이용사업자로서 투명성 의무의 적용 대상입니다. (출처: 김·장 법률사무소 분석, 인공지능기본법 시행령 초안 해설)
💡 공식 발표 문건과 스타트업얼라이언스 현장 의견을 같이 읽으니 이 부분이 특히 눈에 들어왔습니다. 개발사와 이용사 중 누가 워터마크 의무를 지는지가 여전히 불명확합니다.
더 복잡한 경우가 있습니다. 범용 모델(GPAI)을 만드는 회사라면, 그 모델의 활용 사례 중 단 하나라도 10대 고영향 영역에 해당하면, 전체 모델 개발사에게 고영향 AI 의무가 발생할 수 있다는 해석이 나옵니다. 산업 안전 매뉴얼 챗봇 용도처럼 사용 맥락 하나가 전체를 끌어당기는 구조입니다. (출처: 바이라인네트워크, 스타트업얼라이언스 이슈페이퍼 분석, 2025.09.24)
오픈소스 모델도 마찬가지입니다. 배포한 모델을 누군가 고영향 영역에 쓰면, 원 개발자가 책임에서 자유롭지 않을 수 있다는 것이 현장 전문가들의 공통된 우려입니다. 이 부분에 대해 과기정통부는 공식 답변을 내놓지 않은 상황입니다.
| 상황 | 고영향 의무 발생? | 핵심 판단 기준 |
|---|---|---|
| 채용 면접 스크리닝 SaaS | 거의 확실 | 채용 영역 + 사람 개입 여부 |
| 대출 자동 심사 API | 거의 확실 | 금융 영역 + 사람 실질 검토 부재 |
| 마케팅 카피 생성 도구 | 낮음 (투명성만) | 10대 영역 미해당 |
| 오픈소스 범용 LLM 배포 | 불명확 | 활용 맥락에 따라 달라짐 |
| 자율주행 레벨4 소프트웨어 | 거의 확실 | 교통 영역 + 사람 개입 불가 구조 |
※ 위 표는 시행령·가이드라인 기준 추정 판단이며, 개별 서비스는 과기정통부 확인 절차를 통해 명확히 해야 합니다.
고영향 AI로 지정되면 실제로 무엇을 해야 하나요
시행령 제26조는 고영향 AI 사업자의 의무를 구체화합니다. 크게 6가지이고, 이 중 4가지는 홈페이지에 직접 공개해야 합니다.
공개 의무 4가지는 위험관리방안의 주요 내용, AI 학습데이터와 결과 도출 기준에 대한 설명 방안, 이용자 보호 방안, 담당 관리·감독자의 성명과 연락처입니다. 영업비밀에 해당하는 내용은 제외할 수 있지만, 어디까지가 영업비밀인지 기준이 모호하다는 지적이 현장에서 나옵니다. (출처: 김·장 법률사무소, 인공지능기본법 시행령 초안 분석, 2025.09.08)
💡 시행령 원문 제26조와 실제 기업 담당자 인터뷰를 교차해서 읽으니, “학습데이터 개요 설명”이 가장 현실적으로 이행하기 어려운 항목으로 꼽히고 있었습니다. 공개 데이터 기반 학습의 경우 데이터 전체 목록 공개가 사실상 불가능한 규모입니다.
추가로 안전성·신뢰성 확보 의무를 이행했다는 근거 문서를 5년간 보관해야 합니다. 서비스 운영 중에도 지속 업데이트가 필요한 문서입니다. 5년이라는 보관 기간은 서비스 종료 후에도 이어집니다.
이용사업자(API 이용)는 개발사업자에게 의무 이행에 필요한 자료를 요청할 수 있고, 개발사업자는 이에 협력하도록 노력해야 합니다. 그러나 “노력 의무”이므로 강제성은 낮습니다. 글로벌 AI API를 이용하는 경우, 실제 자료를 받지 못할 가능성이 있습니다.
계도기간은 과태료 면제이지, 조사 면제가 아닙니다
“어차피 1년은 과태료 안 내도 되잖아요” — 이 말은 반은 맞고, 반은 틀립니다.
과기정통부가 공식 발표한 계도기간의 핵심은 이렇습니다. 2026년 1월 22일부터 최소 1년 동안, 과태료 부과와 관련된 사실조사는 원칙적으로 하지 않겠다는 것입니다. 단, 인명 사고, 인권 훼손 등 중대한 사회적 문제가 발생하는 극히 예외적인 경우에는 계도기간 중에도 사실조사를 실시합니다. (출처: 과학기술정보통신부 보도자료, 2026.01.21)
그러나 스타트업얼라이언스 전문위원이 지적한 대로, 계도기간 중 사실조사가 시작되는 순간 기업은 “문제가 있는 기업”이라는 낙인 효과를 감수해야 합니다. 조사 과정에서 자료를 제출하다 보면 핵심 기밀이 외부로 노출될 위험도 있습니다. 과태료가 없다고 해서 리스크가 없는 건 아닙니다.
⚠️ 계도기간 중 사실조사 프로세스: 위반 사항 인지 → 사실조사 → 위반사실 확인 → 시정명령 → 미이행 시 과태료 (계도기간 중 이 마지막 단계에서만 면제)
결국 계도기간을 “아무것도 안 해도 되는 1년”으로 쓰면 안 됩니다. 오히려 지금이 서비스를 점검하고, 필요하면 지원 데스크 무료 컨설팅을 받을 수 있는 시간입니다. 계도기간이 끝나는 시점, 즉 2027년 1월 이후부터는 구체적인 적용 기준이 훨씬 좁아질 수 있습니다.
고성능 AI (연산량 10의 26승 FLOPs 이상) 사업자에 대한 안전성 확보 의무도 있는데, 현재 국내 기업 모델 중 이 기준에 도달한 케이스는 없는 것으로 파악됩니다. 그러나 글로벌 빅테크 모델을 국내에 도입·서비스하는 경우에는 해당 여부를 별도로 확인할 필요가 있습니다.
Q&A — 자주 나오는 5가지 질문
Q1. 우리 서비스가 고영향 AI인지 확실히 모르겠습니다. 어떻게 확인하나요?
과기정통부에 고영향 AI 해당 여부 확인 신청을 할 수 있습니다 (시행령 제24조). 한국인공지능·소프트웨어산업협회(sw.or.kr)가 운영하는 AI 기본법 지원 데스크를 통해 먼저 무료 전문가 컨설팅을 받아보는 게 현실적입니다. 상담 내용은 비밀 보장되며 익명으로도 신청 가능합니다.
Q2. 챗GPT API를 쓰는 서비스도 고영향 AI 의무를 지나요?
서비스의 활용 맥락이 10대 영역에 해당하고 사람 개입이 실질적이지 않다면, API를 외부에서 가져왔다는 사실은 의무 면제 근거가 되지 않습니다. 이용사업자도 투명성 의무를 지며, 고영향 여부는 어떤 모델을 쓰는지가 아니라 무엇에 쓰는지로 판단합니다.
Q3. 워터마크 의무화는 개인 블로거에게도 적용되나요?
현재 시행 중인 법 기준으로는 ‘인공지능사업자’에게 부과된 의무입니다. 개인이 일상적으로 AI 도구를 쓰는 것은 직접 적용 대상이 아닙니다. 다만 법 개정을 통해 개인 이용자에게도 표시 의무를 부과하는 방향이 논의 중이며, 빠르면 2026년 하반기에 관련 개정안이 논의될 수 있습니다.
Q4. 고영향 AI 문서 보관 기간 5년은 어떻게 계산하나요?
시행령 제26조 기준으로, 해당 문서를 작성한 시점부터 5년입니다. 서비스를 종료한 후에도 그 기간이 이어집니다. 구체적인 기산점에 대한 가이드라인이 아직 완전히 정비되지 않은 상황이므로, 지원 데스크를 통해 개별 확인하는 것을 권장합니다.
Q5. EU AI Act와 한국 AI 기본법, 두 개를 동시에 준수해야 하나요?
EU 시장을 대상으로 하는 서비스라면 EU AI Act가 별도로 적용됩니다. EU AI Act의 고위험 AI 기준은 한국 기본법의 고영향 AI 기준과 영역이 비슷하지만 구체적인 의무 내용과 절차가 다릅니다. 두 법의 공통 요소(위험 관리 문서화, 투명성 고지, 사람 감독)를 먼저 정비하면 중복 대응 부담을 줄일 수 있습니다.
마치며
AI 기본법 고영향 AI 규제를 한 줄로 정리하면 이렇습니다. “무엇을 만들었냐가 아니라, 무엇에 쓰이냐”가 기준입니다.
에너지나 의료 회사가 아니더라도, 채용·금융·교육 영역에 AI를 쓴다면 고영향 의무를 검토해야 합니다. “사람이 최종 결정한다”는 말은 실질적 거부 권한이 있을 때만 유효합니다. 오픈소스 모델을 배포한다면, 그 모델이 어떻게 쓰이는지까지 살펴야 합니다.
계도기간 1년이 지나면 지금처럼 여유 있는 환경이 아닙니다. 지금 지원 데스크에 상담 신청을 넣어두는 것이, 나중에 사실조사를 피하는 가장 현실적인 방법입니다. 솔직히 말해서 법이 완벽하지 않고, 아직 해석이 확정되지 않은 부분도 많습니다. 그렇기 때문에 오히려 지금 공식 채널을 통해 먼저 확인해두는 게 유리합니다.
📚 본 포스팅 참고 자료
- 과학기술정보통신부, 「인공지능기본법 시행 보도자료」, 2026.01.21 — korea.kr
- 김·장 법률사무소, 「인공지능기본법 시행령 초안 분석」, 2025.09.08 — kimchang.com
- 바이라인네트워크, 「AI 기본법, 업계는 여전히 ‘모호함’을 지적한다」, 2025.09.24 — byline.network
- 한국인공지능·소프트웨어산업협회, AI 기본법 지원 데스크 — sw.or.kr
본 포스팅은 2026.04.02 기준 인공지능기본법 시행령(2026.01.22 시행) 및 공개된 가이드라인을 바탕으로 작성됐습니다. 본 포스팅 작성 이후 서비스 정책·UI·기능이 변경될 수 있으며, 법령 해석은 개별 상황에 따라 다를 수 있으므로 구체적인 사안은 전문가에게 별도로 확인하시기 바랍니다. 본 포스팅은 법률 자문이 아닙니다.
댓글 남기기