핵심 요약
EU AI Act는 2024년 발효, 2026년 Q2부터 고위험 시스템과 GPAI(General Purpose AI) 의무가 본격 적용된다. 핵심은 risk-based 분류 — 금지/고위험/제한/최소위험. 한국 회사라도 EU 사용자에게 서비스하면 적용 대상. 위반 시 최대 전세계 매출 7% 또는 3,500만 유로.
1. 4단계 분류
| 분류 | 예시 | 의무 |
|---|---|---|
| 금지 | 사회 점수, 실시간 생체인식 | 전면 금지 |
| 고위험 | 채용 스크리닝, 신용평가, 의료진단 | 적합성 평가, 등록, 모니터링 |
| 제한위험 | 챗봇, 딥페이크, 감정인식 | 투명성(AI임을 고지) |
| 최소위험 | 스팸필터, 게임 AI | 없음 |
한국 스타트업이 가장 흔히 걸리는 곳은 채용 도구와 신용평가. "AI가 점수만 매기고 사람이 결정"이라도 고위험이다.
2. GPAI 의무 — LLM 만든 회사는
파라미터 수와 학습 컴퓨트 기준으로 분류. 10^25 FLOPs 초과면 systemic risk GPAI로 추가 의무.
- 모든 GPAI: 학습 데이터 요약 공개, 저작권 정책, 기술 문서
- Systemic risk GPAI: 평가(red-team), 사고 보고, 사이버보안, 에너지 사용 공개
3. 적용 범위 — 한국 회사도
"산출물이 EU 내에서 사용되는 경우" 역외 적용. 즉:
- EU 사용자에게 챗봇 서비스 제공 → 적용
- 한국 회사가 EU 자회사에 채용 AI 제공 → 적용
- EU 회사가 한국 모델 API 호출 → 모델 제공자에게 정보 제공 의무
4. 투명성 의무 — 챗봇/생성 AI
// 사용자에게 명시
<footer>
<p>이 응답은 AI(Claude Opus 4.7)가 생성한 것입니다.</p>
</footer>
// 생성 콘텐츠 메타데이터 (C2PA 권장)
{
"content_type": "ai_generated",
"model": "claude-opus-4-7",
"timestamp": "2026-05-16T17:00:00Z"
}5. 고위험 시스템 — 실무 체크리스트
- 위험관리 시스템: 식별→평가→완화 사이클 문서화
- 데이터 거버넌스: 학습 데이터 편향 평가, 대표성 검증
- 로깅: 시스템 결정 자동 로그(최소 6개월 보관)
- 사람 감독: 인간이 중단·재정의 가능한 메커니즘
- 정확성·견고성: 사이버 공격 내성, 폴백
- EU DB 등록: 출시 전 EU 공공 DB에 등록
6. 처벌 수위
| 위반 | 벌금 |
|---|---|
| 금지 AI 제공 | 3,500만 유로 또는 매출 7% |
| 고위험 의무 위반 | 1,500만 유로 또는 매출 3% |
| 거짓 정보 제공 | 750만 유로 또는 매출 1% |
GDPR보다 더 매웁다. 매출 7%는 사실상 회사 망하라는 수준.
7. 실무 — 지금 해야 할 것
# 1. 분류 워크숍 (반나절)
- 우리 서비스의 AI 기능 목록화
- 4단계 어디 속하는지 매핑
# 2. 고위험이면 즉시
- 위험관리 문서 템플릿 작성
- 로깅 인프라 점검 (6개월 보관)
- DPIA(데이터 보호 영향평가)와 통합
# 3. GPAI 호출자라도
- 사용 모델 카드 보관
- API 응답에 모델 메타데이터 기록8. 한국 법과 비교
한국 AI 기본법(2025 통과)은 EU보다 부드럽다. 고영향 AI 사전 영향평가 의무가 있지만 벌금 규모와 적합성 평가 강도가 다르다. EU 사용자 있으면 더 강한 EU 기준에 맞추는 것이 효율적.
참고
- artificialintelligenceact.eu
- digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
댓글 0