AI Act : 유럽 인공지능 규정

AI Act 적용 일정

AI Act의 시행은 2025년 2월 2일부터 2027년 말까지 단계적으로 진행된다. 이러한 점진적 도입은 경제 주체들에게 준수할 시간을 제공하는 동시에, 가장 시급한 보호 조치를 신속히 가동하는 데 목적이 있다.

• 2025년 2월 2일: 금지 조항(제5조)과 AI 리터러시 의무(제4조) 적용 시작. 금지된 AI 관행(잠재의식 조작, 취약성 악용, 사회적 평가, 공공장소 실시간 원격 생체인식 식별)은 EU 전역에서 불법이 된다.
• 2025년 8월 2일: 범용 AI 모델(GPAI) 공급자에 대한 특정 의무 적용 개시. 이는 생성형 AI 생태계에 가장 구조적인 변화를 가져오는 단계다.
• 2026년 8월 2일: 별첨 III에 명시된 고위험 AI 시스템(채용, 점수 평가, 사법, 교육 등)에 관한 규칙 적용 및 국가 감독기관 설립.
• 2027년 8월 2일: New Legislative Framework에 따라 이미 규제되는 제품(의료기기, 차량, 장난감 등)에 통합된 고위험 AI 시스템에 대한 규칙 적용.

범용 AI 모델(GPAI)의 의무

규정 제5장에 명시된 GPAI 의무는 foundation models 규제의 핵심을 이룬다. 유럽 시장에 출시되는 모든 범용 AI 모델 공급자는(오픈 소스 포함, 일부 예외 적용) 다음을 준수해야 한다:

• 모델의 아키텍처, 학습 과정, 사용된 연산 자원, 평가 지표를 설명하는 기술 문서를 최신 상태로 유지;
• 특히 저작권 보호 데이터를 중심으로 학습에 사용된 콘텐츠에 대한 충분히 상세한 요약을 공개;
• 저작권자의 opt-out를 존중하는 정책 등 저작권 보호 정책을 수립(2019/790호 EU 지침, 인접권 및 text and data mining 예외에 근거);
• 유럽 AI 사무국 및 각국 감독기관과 협력.

시스템 리스크 모델로 분류된 경우(학습 연산량 10²⁵ FLOPS 초과 또는 위원회 지정), 추가로 지속적 리스크 평가, 표준화된 adversarial test(red-teaming), 사이버 보안 조치, 중대한 사고의 AI 사무국 신고, 에너지 성능 보고서 공개가 요구된다. 2025년 8월 적용 시점에는 GPT-4, Gemini Ultra, Claude 3 Opus, Llama 3.1 405B가 해당 범위에 포함됐다. 이 기준은 기술 발전에 따라 위원회가 조정할 수 있다.

GPAI 모범 규범(Code of Conduct)

제53조 및 55조의 조화 표준 도입 전 준수를 돕기 위해, 유럽연합 집행위원회는 2024년 7월 범용 AI 모델 모범 규범 제정 작업을 시작했다. AI 사무국이 주도하고 13명의 독립 전문가와 100여 개 기관이 자문에 참여했으며, 2025년 7월 10일 최종본이 공개되기 전까지 여러 차례 중간 버전이 발표됐다.

모범 규범은 투명성(배포자 및 대중을 위한 기술 정보 공개), 저작권(저작권자의 opt-out 준수 절차), 시스템 리스크 모델의 안전/보안 등 세 가지 축을 중심으로 한다. 채택은 자율적이지만, 이를 이행하는 공급자는 해당 요구사항을 준수한 것으로 간주된다. 미국과 유럽의 주요 연구소들은 이에 동의했으나, Meta는 2025년 7월 Llama 관련 관행과의 불일치를 이유로 서명을 거부했다. Google과 Anthropic은 일부 유보 조건으로 서명했으며, OpenAI, Mistral AI, Microsoft는 전폭적인 지지를 표명했다.

제53조와 저작권 쟁점

제53조는 생성형 AI와 창작 산업의 공존에 관한 논쟁의 중심이 되었다. 1항 (c)는 GPAI 공급자에게 저작권 보호 정책 시행을, 1항 (d)는 AI 사무국이 제시한 양식에 따라 학습 데이터에 대한 충분히 상세한 요약 공개를 의무화한다.

실제 운영은 exception TDM(2019/790호 지침 제4조)과 opt-out machine-readable 방식에 기반한다. 저작권자가 자신의 작품이 AI 학습에 사용되는 것을 원치 않을 경우, robots.txt 파일, HTTP 헤더, 또는 메타데이터 등 기계 판독 가능한 형식으로 의사를 표시해야 한다. W3C의 TDM Reservation Protocol, ai.txt, C2PA 등 여러 표준이 경쟁 중이나, 2026년 현재까지 단일 표준이 확립되지는 않았다.

프랑스 저작권자 단체들은 이 제도의 실효성에 의문을 제기하고 있다. SACEM, SCAM, SACD, SDRM 등은 정보 비대칭과 opt-out 미준수 시 실질적 제재 부재를 비판한다. 2026년 5월, 투명성 부재 시 사용을 추정하는 역전된 입증 책임(지적재산권법 L.331-4-1조 도입)을 도입하려던 Darcos 법안이 국회에서 폐기되어, 권리자들은 국내 입법적 지원 없이 유럽 집행위원회의 제53조 엄격 적용에 의존하게 됐다.

거버넌스: AI 사무국 및 유럽 AI 위원회

AI Act는 두 개의 핵심 유럽 기관을 신설했다. 유럽 AI 사무국(European AI Office)은 2024년 5월 집행위원회 결정으로 DG CONNECT 산하에 설립되어, GPAI 및 시스템 리스크 모델의 규정 이행을 감독한다. 모범 규범 제정, 공급자 감독, 민원 조사, 제재 부과 권한을 가진다. 설립 당시 100여 명의 인력과 Lucilla Sioli 국장이 이끌었다.

유럽 인공지능 위원회(European AI Board)는 27개 회원국의 국가 감독기관 대표로 구성된다. 첫 공식 회의는 2024년 9월 개최됐다. 회원국 간 조정, 규정 해석 통일, 집행위원회 자문이 주요 역할이다. 산업계, 시민사회, 학계, 중소기업이 참여하는 자문 포럼도 함께 운영된다.

국가별로는 각 회원국이 하나 이상의 감독기관을 지정한다. 프랑스에서는 CNIL이 개인정보 관련 규정 이행을, DGCCRF와 DGE가 제품 및 내수시장 부문을 담당한다. 2025년 범부처 조정 그룹 설립이 발표됐으나, GPAI 규칙 적용 시점까지 공식화되지는 않았다.

제재와 집행

AI Act는 위반 정도에 따라 차등화된 제재 체계를 도입했다:

• 3,500만 유로 또는 전 세계 연매출의 7%(둘 중 더 큰 금액)까지: 금지 관행 위반(제5조);
• 1,500만 유로 또는 3%까지: 고위험 시스템, GPAI, 투명성 의무 위반;
• 750만 유로 또는 1%까지: 당국에 잘못된 정보 제공 시.

중소기업과 스타트업에는 두 금액 중 더 낮은 금액이 적용되는 비례적 상한이 있다. 첫 공식 절차는 2026년 말 AI 사무국에서 개시될 전망이다(점진적 준수 기간 이후).

생태계 영향: 산업계, 오픈 소스, 연구

AI Act는 유럽 AI 생태계를 근본적으로 변화시켰다. 대형 사용자 기업(은행, 보험, 헬스케어, 인사 등)은 이제 시스템 설계 단계부터 준수를 내재화(compliance by design)해야 하며, 이는 AI 활용 맵 작성, 영향 분석, 기술 문서화, 내부 거버넌스를 포함한다. Wavestone, France Digitale, Gide 등은 2024년 2월부터 실무 가이드를 발간해 역량 강화에 기여했다.

오픈 소스 모델 공급자의 경우, 파라미터·아키텍처·사용정보가 공개되는 조건에서 GPAI 의무 일부가 면제된다(시스템 리스크 모델 제외). Hugging Face, GitHub, Mistral, La Quadrature du Net 등 유럽 오픈 소스 진영은 2023년 7월 혁신 보호를 위한 유연한 규제 프레임을 요구했다. 최종 타협안은 이러한 예외를 유지하되, 학습 데이터 요약 및 저작권 정책 공개 의무는 부과해, 초대규모 모델의 확장에 난관이 남아 있다.

유럽 챔피언(Mistral AI, LightOn, Aleph Alpha, Black Forest Labs)에게 AI Act는 짧은 시간 내 준수와 글로벌 경쟁력 유지를 동시에 요구하는 이중 과제다. Arthur Mensch(Mistral AI) 등은 유럽 외 지역 대비 과도한 규제 부담이 탈산업화로 이어질 수 있다고 경고했다. 반면 Yoshua Bengio, Raja Chatila, Nicolas Miailhe 등은 강력한 규제가 유럽 전략적 자율성과 공공 신뢰 확보에 필수적이라고 평가한다.

국제적 맥락 속 AI Act

AI Act는 분절된 국제 규제 환경 속에서 추진되고 있다. 미국에서는 2023년 10월 바이든 Executive Order가 2025년 1월 트럼프 행정부에 의해 대부분 폐기되어, 연방 기관과 주(특히 캘리포니아 SB 1047)가 각자 부문별·지역별 접근법을 모색 중이다. 중국은 2023년 8월부터 범용 생성형 AI 모델에 사전 인가제를 도입해, 190개 이상의 LLM을 승인하는 대신 생성 콘텐츠에 대한 정치적 통제를 강화했다.

영국은 별도의 법률이 없는 상태에서 기존 부문별 규제기관이 원칙 중심 접근을 시행하고 있다. 브라질, 캐나다, 일본, 한국 등도 각국 상황에 맞는 규제 프레임을 추진 중이며, 유럽식 위험 기반 접근을 참고하는 경우가 많다. Bruxelles 효과(국제 공급자가 여러 규제 체계 대신 EU 규정에 글로벌 일괄 준수하는 현상)는 RGPD와 마찬가지로 AI Act에서도 영향을 미칠 전망이나, 2026년 현재 그 효과는 아직 뚜렷하게 측정되지 않는다.

여러 국제 정상회의가 이러한 논의에 이정표를 남겼다: Bletchley Park AI Safety Summit(2023년 11월), Séoul AI Safety Summit(2024년 5월), 파리 AI Action Summit(2025년 2월) 등이 대표적이다. 모두 글로벌 규제 합의 부재를 확인하는 한편, EU가 최초의 구속력 있는 법률을 도입한 선도적 규제자로서의 책임을 강조했다.

2026-2027년 전망

향후 18개월의 핵심 이슈는 다음과 같다:

• AI 사무국이 공개할 학습 데이터 요약 양식의 공식화(초기 시안은 저작권자 측에서 세분화 부족으로 비판);
• 2026년 말로 예상되는 GPAI 공급자 대상 첫 공식 조사 절차 개시;
• 모든 회원국에서 국가 감독기관의 실질적 지정(2026년 5월 현재 일부 국가 미완료);
• 고위험 시스템 공급자에게 법적 안전성을 제공할 CEN-CENELEC JTC 21의 조화 표준 제정;
• Meta-Llama, Stable Diffusion-Getty, OpenAI-NYT 등 주요 사건을 중심으로 AI Act, RGPD, 저작권 간 관계에 대한 신흥 판례.

AI Act는 완결된 법이 아니라 살아있는 프레임워크다. 4년마다 개정이 예정되어 있으며, 첫 검토는 2028년으로 예상된다. 이 법의 성공은 조문 자체보다도 기본권 보호, 산업 혁신, 유럽 기술 주권을 어떻게 조화시키는지에 달려 있다.