블로그로 돌아가기
EU AI ActAI 규제한국 AI 기본법GDPR컴플라이언스
EU AI Act 완전 가이드: 세계 최초 AI 규제, 한국 기업이 알아야 할 모든 것
2026년 8월, EU AI Act가 전면 시행된다. 한국 기업도 EU에 AI 제품을 판매하면 적용 대상이다. 리스크 기반 4단계 분류, 금지 관행 8가지, 최대 매출의 7% 벌금 — 그리고 한국 AI 기본법과의 비교까지.
코어닷투데이2026-03-1111분
들어가며: 2026년 8월 2일, 그 날이 온다
EU AI Act의 대부분 조항이 2026년 8월 2일 발효된다. 이것은 인류 역사상 최초의 포괄적 AI 규제다.
왜 한국 기업이 신경 써야 하는가? EU 시장에 AI 제품을 판매하거나, EU 내에서 AI 시스템을 배포하거나, EU에서 사용되는 AI 출력을 제공하는 모든 기업**이 적용 대상이기 때문이다. 회사가 어디에 있든 상관없다 — **역외 적용(extraterritorial scope)이다.
GDPR이 데이터 보호의 글로벌 표준이 되었듯, EU AI Act가 AI 규제의 글로벌 표준이 될 가능성이 높다.
제1장: 리스크 기반 4단계 분류
EU AI Act의 핵심 구조: AI 시스템을 리스크 수준에 따라 4단계로 분류하고, 리스크가 높을수록 엄격한 규제를 적용한다.
EU AI Act 리스크 4단계
수용 불가 리스크 — 금지
8가지 금지 관행. 2025년 2월부터 이미 시행. 위반 시 매출의 7% 벌금.
고위험 — 허용하되 엄격 규제
2026년 8월 시행. 적합성 평가, 기술 문서, EU DB 등록, 사후 모니터링 필수.
제한적 리스크 — 투명성 의무
AI 상호작용 고지, 딥페이크 표시 의무.
최소 리스크 — 규제 없음
스팸 필터 등 대부분의 AI. 별도 의무 없음.
수용 불가 리스크: 8가지 금지 관행 (이미 시행 중)
2025년 2월 2일부터 이미 금지된 8가지:
- 잠재의식 조작: 인지하지 못하는 방식으로 행동을 변경하는 AI
- 취약계층 악용: 나이·장애·사회경제적 상황을 이용해 행동 왜곡
- 사회적 점수화: 사회적 행동에 기반한 개인 평가·분류
- 범죄 예측 프로파일링: 성격 특성만으로 범죄 위험 예측
- 무차별 얼굴 인식 DB 구축: 인터넷/CCTV에서 무차별 수집
- 직장/학교 감정 인식: 근무·학습 환경에서의 감정 추론
- 민감 속성 기반 생체 분류: 인종, 정치 성향, 종교, 성적 지향 추론
- 실시간 원격 생체 인식: 공공장소 실시간 얼굴 인식 (예외 있음)
위반 시: 최대 3,500만 유로 또는 글로벌 매출의 7% (높은 쪽 적용)
고위험 AI: 2026년 8월 핵심
다음 분야의 AI 시스템이 "고위험"으로 분류된다:
| 분야 | 예시 |
|---|---|
| 생체 인식 | 원격 신원 확인 |
| 핵심 인프라 | 전력·수도·교통 관리 |
| 교육 | 입학 심사, 시험 채점 |
| 고용 | 채용 스크리닝, 해고 결정 |
| 공공 서비스 | 사회 복지 수급 결정, 신용 평가 |
| 사법 | 양형 보조, 범죄 수사 |
| 이민 | 비자·망명 심사, 국경 통제 |
고위험 AI 의무사항:
- 품질 관리 시스템
- 리스크 관리 프레임워크
- 기술 문서 (시스템 구조, 알고리즘, 리스크 평가, 테스트 결과)
- 적합성 평가 (CE 마킹)
- EU 데이터베이스 등록
- 사후 시장 모니터링
- 인간 감독 조항
위반 시: 최대 1,500만 유로 또는 매출의 3%
제2장: 타임라인 — 무엇이 언제 시행되는가
2025.02.02 — 금지 관행 8가지 시행 (완료)
↓
2025.08.02 — 거버넌스 기반 조항 시행 (완료)
↓
2026.08.02 — 대부분 조항 시행 (예정)
↓
2027.08.02 — 규제 제품 내장 고위험 AI 시행
2026년 8월 2일에 시행되는 것: 고위험 AI 시스템 규제, 투명성 규칙, GPAI 모델 의무, 집행 권한
제3장: 한국 AI 기본법과의 비교
한국은 EU에 이어 세계 두 번째로 포괄적 AI 규제를 시행했다 (2026년 1월 22일).
| 비교 항목 | EU AI Act | 한국 AI 기본법 |
|---|---|---|
| 시행일 | 2024.08 (단계적) | 2026.01.22 |
| 접근법 | 집행 중심, 제재 위주 | 균형 — 진흥 + 규제 |
| 리스크 분류 | 4단계 (수용불가/고/제한/최소) | 고영향 AI, 생성형 AI, 고성능 AI |
| 금지 관행 | 8가지 명시적 금지 | 금지 사항 없음 |
| 벌금 | 최대 3,500만 유로 / 매출 7% | 최대 3,000만 원 (~$22,000) |
| 유예 기간 | 단계적 시행 | 1년 유예 |
| 적용 범위 | 역외 적용 | 보다 넓은 개인 범위 정의 |
| 철학 | 권리 보호 우선 | 혁신 장려 + 거버넌스 |
핵심 차이**: EU는 벌금이 매출의 **7%까지 올라가지만, 한국은 최대 3,000만 원이다. EU는 8가지를 명시적으로 금지하지만, 한국은 금지 사항이 없다. 한국법은 EU보다 훨씬 기업 친화적이지만, EU 시장 진출 시에는 EU 기준에 맞춰야 한다.
제4장: 지금 해야 할 것
한국 기업을 위한 체크리스트
- AI 시스템을 리스크 카테고리로 분류하라
- 갭 분석 실시 — 현재 시스템이 요구사항을 얼마나 충족하는지
- 기술 문서 구축 (Annex IV 요구사항)
- 리스크 관리 시스템 구현
- 적합성 평가 절차 준비
- 고위험 시스템을 EU 데이터베이스에 등록
- 사후 시장 모니터링 체계 구축
- AI 리터러시 교육 (2025년 2월부터 이미 의무)
가장 중요한 것
2026년 8월이 데드라인이 아니다 — 준비 기간이다. 적합성 평가, 기술 문서, 리스크 관리 시스템 구축에는 수개월이 걸린다. 지금 시작해야 8월에 준비가 된다.
맺으며: AI GDPR의 시대
GDPR이 2018년 시행 이후 글로벌 데이터 보호의 사실상 표준이 되었듯, EU AI Act도 AI 규제의 글로벌 표준이 될 가능성이 높다.
2026년 초 기준, 72개 이상의 국가가 1,000개 이상의 AI 정책 이니셔티브를 추진 중이다. EU AI Act는 그 중 가장 포괄적이고, 가장 먼저 시행되며, 가장 영향력이 큰 규제다.
준비하는 것이 비용이 아니라 투자인 이유: EU 시장 접근성, 소비자 신뢰, 기업 평판, 그리고 한국법이 점차 EU 방향으로 수렴할 가능성.