2024년 8월 1일, EU AI법(Regulation (EU) 2024/1689, 통칭 EU AI Act)이 정식 발효되어 인공지능을 포괄적으로 규제하는 세계 최초의 초국가적 법률이 되었습니다. 법률은 단계적으로 시행됩니다: 2025년 2월 금지 조항 선행 적용, 2025년 8월 범용 목적 AI(GPAI)규정 적용, 2026년 8월 모든 고위험 AI 조항 전면 적용. 전 세계 어떤 기업이든 EU 이용자에게 AI 서비스를 제공한다면 2026년 말까지 컴플라이언스를 완료해야 합니다.
1. EU AI법의 핵심 구조:위험 기반 분류
EU AI법의 가장 중요한 설계 원칙은 「위험 기반 접근법」(Risk-Based Approach)입니다. 잠재적 위해 정도에 따라 AI 시스템을 4단계로 분류합니다:
레벨 1:허용 불가 위험(완전 금지)
다음 AI 응용은 EU 역내에서 완전히 금지되며, 위반 시 전 세계 연간 매출액의 7%를 상한으로 하는 벌금이 부과됩니다:
- 사회 신용 시스템:개인 행동으로 시민을 평가하고 차별적 대우를 제공하는 시스템
- 실시간 원격 생체 인식:공공장소에서 AI로 실시간 얼굴 인식(법 집행 기관은 엄격한 조건 하에 예외)
- 잠재의식 조작:개인의 무의식적 취약점을 이용하여 행동에 영향을 주는 AI 기술
- 직장·학교에서의 감정 추론:직장이나 교육 기관에서 직원·학생의 감정을 추론하는 시스템
- 프로파일링 기반 범죄 예측:구체적 행동이 아닌 순수 프로파일링으로 범죄 성향을 예측하는 시스템
- 무단 대규모 얼굴 이미지 수집:인터넷이나 CCTV에서 얼굴 인식 데이터베이스를 대량 구축
레벨 2:고위험 AI(엄격한 규제)
사전 적합성 평가, EU 데이터베이스 등록, 지속적 모니터링, 상세한 기술 문서 유지가 필요합니다:채용·이력서 심사 AI, 학생 시험 평가 AI, 신용 평가·보험료 산정 AI, 의료 진단 보조 AI, 핵심 인프라 관리 AI, 이민·망명 심사 AI, 사법 판결 보조 AI 등.
레벨 3:제한적 위험(투명성 의무)
사용자에게 「AI와 상호작용 중」임을 반드시 공개해야 하는 시스템:챗봇, AI 생성 텍스트·이미지·영상 도구(딥페이크는 반드시 라벨링),감정 인식 시스템 등.
레벨 4:최소 위험(자유 사용)
AI 스팸 필터, 전자상거래 추천 시스템 등 대다수의 일반 AI 응용은 특별한 규제 없이 자유롭게 사용 가능. 자발적 행동 강령 참여가 권장됩니다.
2. 범용 목적 AI(GPAI):ChatGPT·Claude 는 어떻게 규제되나?
법률은 GPT-4·Claude·Gemini 같은 대규모 기반 모델을 위한 전용 챕터를 두고 있습니다. 주요 의무(2025년 8월부터 적용):
- 학습 데이터 투명성:학습 데이터 요약본 공개, 저작권 보유자가 자신의 콘텐츠 사용 여부 확인 가능
- 기술 문서:모델 능력·제한·알려진 위험에 관한 상세 문서 유지
- 시스템적 위험 평가(고능력 모델):10²⁵ FLOPs 초과 학습 모델은 적대적 테스트(Red Teaming)를 실시하고 심각한 사고를 EU AI 사무국에 보고
- 사이버보안 조치:모델 자체를 보호하는 적절한 보안 조치 구현
3. 위반 벌금:단계별 제도
| 위반 유형 | 최대 벌금(기업) | 최대 벌금(중소기업/개인) |
|---|---|---|
| 금지 AI 응용 사용 | 전 세계 연간 매출액의 7%(또는 3,500만 유로 중 높은 쪽) | 750만 유로 |
| 기타 의무 위반 | 전 세계 연간 매출액의 3%(또는 1,500만 유로 중 높은 쪽) | 375만 유로 |
| 부정확한 정보 제공 | 전 세계 연간 매출액의 1%(또는 750만 유로 중 높은 쪽) | 150만 유로 |
「전 세계 연간 매출액」 기준 벌금은 대형 빅테크에 대한 처벌 강도가 EU 역내 매출을 훨씬 초과합니다. Microsoft의 2024년 전 세계 매출 약 2,450억 달러를 기준으로 하면, 이론상 최대 벌금은 약 171억 달러에 달할 수 있습니다.
4. 기업에 대한 영향
EU AI법은 「역외 적용」 원칙을 채택:본사 위치에 관계없이 EU 이용자에게 AI를 제공하는 모든 기업이 대상입니다.
- SaaS 플랫폼 운영자:EU 이용자가 AI 기능(AI 고객 서비스, 추천)을 사용하면 고위험 시스템 해당 여부 평가 필요
- 하드웨어 제조업체:EU 수출 AI 기능 내장 기기(AI 카메라, 스마트 가전)는 내장 AI 시스템 적합성 확인 필요
- AI 모델 개발자:EU 역내 사업자가 사용하는 모델은 충분한 기술 문서 제공 필요
- 서드파티 API 통합자:주요 책임은 AI 제공자에게 있지만, 통합자도 사용하는 AI 구성 요소의 규정 준수 확인 필요
5. 컴플라이언스의 기술적 실무
설명 가능성(Explainability)
고위험 AI는 영향을 받는 개인에게 결정 이유를 설명할 수 있어야 합니다. 블랙박스 모델에는 LIME·SHAP 등 해석 가능한 방법이 보완적으로 필요합니다.
데이터 거버넌스 문서
학습 데이터에는 완전한 출처 기록, 편향 테스트 결과, 품질 평가가 필요합니다. JSON 형식의 Data Card로 구조화하는 것을 권장합니다.
지속적 모니터링과 사고 보고
심각한 사고(사망, 중상해, 또는 기본권의 중대한 침해)는 15일 이내에 담당 당국에 보고해야 합니다.
인간 감독(Human Oversight)
고위험 AI의 출력이 인간의 판단을 완전히 대체해서는 안 됩니다. 인간이 개입·무효화·시스템 중단을 할 수 있는 메커니즘 설계가 필수입니다.
요약
- EU AI법은 2026년 8월 완전 시행되는 세계 최초의 포괄적 AI 규제 법률로, EU 이용자에게 AI를 제공하는 전 세계 모든 기업에 적용
- 위험 4단계 분류:금지·고위험·제한적 위험·최소 위험
- ChatGPT·Claude·Gemini 등 기반 모델은 2025년 8월부터 학습 데이터 투명성 의무를 부담; 고능력 모델은 Red Teaming 필요
- 최대 위반 벌금은 전 세계 연간 매출액의 7%로, 빅테크에는 수십억 달러의 잠재적 위험
- EU 이용자를 보유하고 AI 기능을 사용하는 기업은 즉시 컴플라이언스 평가를 시작하고, 데이터 거버넌스·설명 가능성·인간 감독 메커니즘 구축에 집중해야 함