보안·윤리

EU AI Act

AI 활용 분야에서 EU(European Union, 유럽연합)가 2024년에 세계 최초로 발효한 인공지능 규제법으로, AI 시스템을 위험 수준에 따라 분류해 금지·고위험·저위험으로 차등 규제하는 포괄적 법률입니다.

쉬운 풀이

EU AI Act는 EU가 2024년에 처음으로 만든 "AI 사용 규칙집"이에요. 모든 AI를 똑같이 규제하지 않고, 사람에게 위험한 정도에 따라 4단계로 나눠서 위험한 건 금지하고, 덜 위험한 건 조건만 지키면 쓰게 합니다. 인턴을 뽑을 때 면접 점수, 시험 점수, 출결 같은 항목을 가중치로 매기고 합산해 합격선을 정하는 채용 평가표와 비슷합니다. 한국 기업도 EU에 서비스를 제공하면 적용 대상이라, 챗봇·이력서 분석·신용평가 AI를 쓰는 회사라면 미리 알아둬야 해요.

한 줄 비유

사양서에 "이 부품은 안전등급 A, 저 부품은 자유"라고 미리 박아둔 표준 규격집입니다.

활용 예시

Case 1

EU 집행위원회 — 금지 행위 8개 조항 2025년 2월 발효

EU AI Act 제5조는 8가지 AI 활용을 전면 금지합니다.^[1][4] 정부·기업의 사회적 점수화(social scoring), 법 집행 목적의 공공장소 실시간 원격 생체 식별, 직장·학교에서의 감정 인식, 인터넷·CCTV 무차별 스크래핑을 통한 얼굴 인식 DB 구축 등이 해당합니다.^[1][4] 이 금지 조항은 2025년 2월 2일부터 적용 중이며, EU 집행위는 같은 시점에 "금지된 AI 행위 가이드라인"을 별도로 공표해 사례 해석 기준을 제공했습니다.^[1]

Case 2

채용·HR 영역 — 부속서 III 고위험 분류 적용일 2027년 12월로 연기

부속서 III(Annex III)는 고위험 AI를 8개 영역으로 열거하며, 그중 4번이 고용·노동자 관리, 3번이 교육·직업훈련입니다.^[5] 채용용 이력서 자동 선별, 표적 채용 공고, 면접 평가, 승진·해고 결정, 업무 할당, 성과 모니터링 AI가 모두 고위험으로 분류됩니다.^[5] 고위험 시스템 공급자는 적합성 평가, 고품질 데이터셋, 활동 로깅, 인적 감독, 사이버보안 수준 확보 의무를 집니다.^[1] EU 이사회·의회·집행위는 2026년 5월 7일 "AI omnibus" 정치 합의를 통해 부속서 III 적용일을 2026년 8월 2일에서 2027년 12월 2일로 16개월 연기했습니다.^[10]

Case 3

범용 AI(GPAI) 모델 — OpenAI·Anthropic 등 대상 의무 발효

범용 AI 모델 공급자는 2025년 8월 2일부터 별도 의무를 집니다.^[1] 학습 데이터 요약 공개, 저작권 준수 정책, 모델 카드 수준 기술 문서 작성이 기본이며, 학습 누적 연산량이 10²⁵ FLOPs를 넘어 "시스템적 위험을 가진 GPAI"로 분류되면 적대적 평가·모델 평가·중대사고 보고 의무가 추가됩니다.^[1] EU 집행위는 2025년 7월 10일 "GPAI Code of Practice"(자율 행동강령)를 공개했고, OpenAI·Google·Anthropic 등 주요 공급사가 서명 여부를 공개 표명했습니다.^[1]

Case 4

한국 AI 기본법 — 2026년 1월 22일 시행, "고영향 AI" 단일 범주

한국은 2024년 12월 26일 국회 본회의에서 「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」(AI 기본법)을 통과시켜 2025년 1월 21일 공포했고, 2026년 1월 22일부터 시행 중입니다.^[6][7] EU AI Act의 4단계 분류 대신 "고영향 AI" 단일 범주를 채택해 의료·에너지·교통·채용·대출심사·공공서비스·학생평가 등에 책임성을 부여합니다.^[6][7] 정부는 시행 후 최소 1년간 과태료 부과를 유예하는 계도 기간을 두기로 했습니다.^[7] 한국법제연구원·소프트웨어정책연구소 등이 EU AI Act와의 비교 보고서를 공식 발간했습니다.^[8][9]

참고사항

EU AI Act 공식 페이지(digital-strategy.ec.europa.eu)에서 "Risk-based Approach" 섹션을 읽고, 사내에서 쓰는 AI 도구를 4단계 중 어디로 분류할지 표로 정리합니다.^[1]
Regulation (EU) 2024/1689 부속서 III(EUR-Lex)를 펴서, 채용·교육·신용평가 등 고위험 영역 8개 목록과 사내 사용 현황을 매칭해 봅니다.^[2][5]
EU 집행위가 2025년 2월 공표한 "금지된 AI 행위 가이드라인"을 다운로드해, 8개 금지 항목 중 사내 도구가 저촉되는지 점검합니다.^[1]
한국 AI 기본법 원문(국가법령정보센터)을 펴서 "고영향 AI" 정의 조항을 확인하고, 사내 검토 시스템 목록과 2027년 12월 EU 고위험 적용 시점에 대비한 일정표를 만듭니다.^[6][7][10]

가장 큰 한계는 "AI 시스템" 정의 자체의 모호함과 일반 소프트웨어와의 경계입니다. EU 집행위는 2025년 2월 "AI 시스템 정의 가이드라인"을 별도로 공표해 적용 범위 해석을 보완해야 했고, 부속서 III 고위험 분류가 실무에서 어떻게 작동하는지에 대한 추가 가이드라인이 2026년 5월에야 초안 협의에 들어갔습니다.^[1] 산업계에서는 "혁신을 위축시킨다"는 비판이, 시민사회에서는 "법 집행 목적 생체 식별 예외가 지나치게 넓다"는 비판이 동시에 나옵니다.^[1] 한국 AI 기본법도 4단계 분류 없이 "고영향 AI" 단일 범주만 두어 EU보다 단순하지만, 그만큼 구체적 의무가 시행령에 위임돼 있다는 지적이 있습니다.^[7][8]

진화 방향은 "단순화"와 "표준화"입니다. EU 이사회·의회·집행위는 2026년 5월 7일 "AI omnibus" 패키지에 정치 합의해 부속서 III 고위험 AI 적용일을 2027년 12월 2일로 연기하고, 부속서 I 제품 통합형 고위험 AI는 2028년 8월 2일로 1년 연기했습니다.^[10] 동시에 비동의 성적 콘텐츠·딥페이크 누드화 앱을 금지 행위에 추가하기로 합의했습니다.^[10] 표준화 측면에서는 CEN-CENELEC가 고위험 AI 적합성 평가용 EU 조화 표준을 작성 중이며, 2027년 적용 시점에 맞춰 완성될 예정입니다.^[1] 한국·일본·영국·미국이 EU 모델을 부분 참조하면서도 자국 산업 현실에 맞춰 변형하는 흐름이 굳어지고 있습니다.^[7][8][9]