6 분 소요

— 규제 지도가 있어야 길이 보인다

Series C. 한국 vs EU: 어느 쪽이 더 똑똑한 규제인가 | C-4 (C 시리즈 최종편) 이전 글: [C-3-1] AI가 잘못 판단했을 때 누가 책임지는가

C 시리즈 최종편. 지금까지 이론으로 본 두 체계의 차이를 실무로 번역한다. 그리고 C 시리즈 전체의 질문 — “어느 쪽이 더 똑똑한 규제인가” — 에 답한다.

한국 AI 스타트업이 사무실에서 회의 중이다.

“우리 AI가 유럽에서도 팔릴 수 있을 것 같아요. 어디서부터 시작해야 하나요?”

이 질문에 답하는 것이 C-4의 목표다.

답은 “우리 AI가 무엇인가”에 따라 완전히 달라진다.

첫 번째 질문: 내 AI는 어떤 분류인가

EU AI Act의 모든 의무는 리스크 분류에서 시작한다. B-2에서 해부한 4단계 피라미드.

내 AI는...
       │
       ├── 잠재의식 조작 / CSAM 생성 / NCII 생성 / 사회적 평점 등?
       │   → [금지] EU에서 판매 불가. 끝.
       │
       ├── 제품 안전 부품(Annex I)?
       │   의료기기·자동차·기계류에 내장된 AI?
       │   → [고위험 경로 1] 해당 제품법 + AI Act 동시 적용
       │
       ├── 독립 AI 시스템으로 Annex III 8개 카테고리에 해당?
       │   (채용·대출·교육·생체인식·공공서비스·법집행·이민·사법)
       │   → [고위험 경로 2] AI Act 고위험 의무 전면 적용
       │
       ├── 챗봇·음성봇·딥페이크 생성 등?
       │   → [제한적 리스크] 투명성 의무만 (Art.50, 2026.08.02~)
       │
       ├── 누적 10^25 FLOPs 이상 훈련된 범용 모델?
       │   → [GPAI] Art.53-55 의무 (2025.08.02~, 이미 시행 중!)
       │
       └── 위 어디에도 해당 없음
           → [최소 리스크] 아무 의무 없음. 자유롭게 판매 가능

가장 먼저 할 일: 내 AI가 어디에 속하는지 파악한다.

많은 한국 기업이 “우리 AI는 고위험이 아니다”라고 가정하고 출발했다가, 나중에 Annex III를 확인하고 당황한다. Annex III는 의외로 넓다. 채용 판단을 보조하는 AI, 신용 점수에 영향을 미치는 AI, 공공기관이 사용하는 AI는 상당수가 해당된다.

경로별 실무 체크리스트

경로 A: 최소 리스크 AI

규제 의무가 없다. 그러나 EU 수권대리인은 필요할 수 있다.[^1]

EU에서 사업을 하는 법인이 없는 한국 기업이 EU 소비자에게 AI 서비스를 제공한다면, 법적 연락 창구로 수권대리인을 지정하는 것이 실무적으로 권장된다. (GDPR 대표자 지정과 유사한 논리.)

경로 B: 제한적 리스크 AI (챗봇·투명성 의무)

적용 시작: 2026년 8월 2일 (이미 진행 중)

핵심 의무:

  • Art.50(1): 챗봇·AI 상호작용 → 사용자에게 AI임을 고지
  • Art.50(2): AI 생성 합성 콘텐츠 → 기계판독 표시 (2026.12.02, Omnibus VII 유예)
  • Art.50(3): 감정인식·생체분류 AI → 당사자에게 고지
  • Art.50(4): 딥페이크 → AI 생성 사실 명시
  • Art.50(5): 공익 관련 AI 생성 텍스트 → AI 생성 사실 고지[^2]

실무 준비:

  1. 서비스 UI에 AI 고지 문구 삽입 (“저는 AI 어시스턴트입니다”)
  2. AI 생성 콘텐츠에 C2PA 또는 메타데이터 워터마킹 적용 준비 (12월 전)
  3. 딥페이크 기능에 라벨링 의무 이행

비용: 상대적으로 낮다. 기술 구현이 핵심.

경로 C: GPAI 모델 (현재 가장 시급)

적용 시작: 2025년 8월 2일 — 이미 시행 중!

많은 한국 기업이 이것을 인지하지 못하고 있다. 범용 AI 모델을 EU에 제공하는 기업은 지금 이미 의무 이행 중이어야 한다.

모든 GPAI 모델 의무:

  • Art.53: 기술문서 작성 + 저작권 정보 제공 + 훈련 데이터 요약 공개

시스템적 리스크 GPAI (10^25 FLOPs 이상) 추가 의무:

  • Art.55: 모델 평가 + 적대적 테스트 + 중대 사고 보고 + 사이버보안

GPAI Code of Practice: AI Office가 주도하는 자율 행동 규범. 준수 시 Art.53-55 이행으로 추정. 한국 기업도 참여 가능.[^3]

경로 D: 고위험 AI (핵심 체크리스트)

적용 시작: 2027년 12월 2일 (Omnibus VII 반영 기준)

원래 2026년 8월 2일이었으나 Omnibus VII로 16개월 연기되었다.[^4] 그러나 이 시간을 그냥 쓰면 안 된다. 준비에 최소 1년~1.5년이 걸린다.

고위험 AI EU 진출 체크리스트

[ ] 1. 적용 법령 확인
       어떤 EU 법령이 적용되는가? (AI Act + 제품법 교차 여부)

[ ] 2. Article 9 리스크 관리 시스템(RMS) 수립
       전체 라이프사이클에 걸친 반복 순환 프로세스 문서화

[ ] 3. Article 10 데이터 거버넌스
       훈련 데이터 품질·대표성·편향 관리 체계

[ ] 4. Article 11 + Annex IV 기술문서
       10개 항목 전체 작성 (AI 설명, 설계, 훈련, 테스트, 성능 등)

[ ] 5. Article 12 자동 로그 시스템
       AI 결정 과정 추적 가능한 로그 구현

[ ] 6. Article 13 사용 설명서
       배치자(Deployer)에게 제공할 사용 정보 문서화

[ ] 7. Article 14 인간 감독 메커니즘
       사람이 AI 중단·무시할 수 있는 기능 구현

[ ] 8. Article 15 정확성·견고성·사이버보안
       성능 기준 수립 + 사이버보안 테스트

[ ] 9. Article 17 품질 관리 시스템(QMS)
       위 모든 요건을 관리하는 조직 체계 구축

[ ] 10. Article 43 적합성 평가
        내부 평가 vs NB 개입 결정 (생체인식 AI 등은 NB 필수)

[ ] 11. Article 47 EU 적합성 선언(DoC) 작성

[ ] 12. Article 49 CE 마킹 부착

[ ] 13. Article 22 수권대리인 지정
        EU 내 법인 없는 경우 필수

이 13단계가 완료되어야 EU 고위험 AI 시장 진입이 가능하다.

타임라인: 지금부터 2028년까지

지금 (2026.06)
 │
 ├── 즉시 시작
 │   - GPAI 의무 이행 상태 확인 (이미 시행 중!)
 │   - 챗봇·AI 고지 의무 이행 (2026.08.02~)
 │   - EU 수권대리인 지정
 │
 ├── 2026.08.02 (Art.50 일반 투명성 의무 적용)
 │   - 챗봇 고지 실제 적용
 │
 ├── 2026.12.02 (Omnibus VII: 워터마킹 + CSAM/NCII 금지)
 │   - AI 생성 콘텐츠 기계판독 표시 의무
 │   - CSAM·NCII 생성 AI 금지 확정
 │
 ├── 2027.08.02 (Omnibus VII: EU 규제 샌드박스 시작)
 │
 ├── 2027.12.02 (Annex III 고위험 AI 적용)
 │   - 채용·대출·교육·공공서비스 AI 전면 의무
 │   → 지금부터 준비 시작해야 간신히 맞춤
 │
 └── 2028.08.02 (제품 내장형 고위험 AI 적용)
     - 의료기기·자율주행 등 제품 안전법 연계 AI

[필자 분석] C 시리즈 전체의 답

B-4에서 B 시리즈를 마치며 물었다. “C 시리즈에서 우리는 EU의 이 체계를 한국과 나란히 놓으면 무엇이 보이는가. 어느 쪽이 더 ‘똑똑한’ 규제인가.”

C 시리즈 네 편을 통해 확인한 것들:

C-1에서: 한국 KC인증은 국가 신뢰 기반, CE 마킹은 제조사 책임 기반. AI 시대에 사전 허가 방식은 국가 역량의 한계에 부딪힌다.

C-1-1에서: 이중 인증 부담은 기업 현실이다. 한국과 EU 규제의 구조적 차이가 클수록, 한국 기업의 EU 진출 비용이 높아진다.

C-2에서: EU는 법이 아닌 표준이 기술을 따라가는 구조다. 한국은 법이 기술을 쫓아가야 하는 구조다. 장기 적응력에서 차이가 난다.

C-3에서: 제재 실효성이 규제의 무게를 결정한다. 3,000만원 vs 매출 7%. 억지력의 크기가 다르다.

C-3-1에서: 피해자 관점에서 한국 체계는 권리 행사가 어렵다. 설명 요구권과 인과관계 추정이 없다.

C-4에서: 실무 경로를 보면, EU AI Act는 복잡하지만 경로가 명확하다. 내 AI가 어디에 속하는지 알면, 무엇을 해야 하는지도 안다. 한국 법은 단순해 보이지만, 실제로 무엇을 해야 하는지가 덜 명확하다.

그렇다면 어느 쪽이 더 똑똑한 규제인가.

이 질문에 단순한 답은 없다. 그러나 한 가지 기준을 제시할 수 있다.

“40년 후에도 작동할 규제인가?”

EU NLF는 40년간 작동했다. AI Act는 NLF 위에 올라섰다. 기술이 바뀌어도 법의 기본 골격은 유지된다. 조화표준이 기술을 따라가고, 시장감시가 사후를 담당하고, 비례성 원칙이 규제 강도를 조절한다.

한국 AI 기본법은 아직 시행 첫해다. 이 법이 40년간 작동할 구조인지는 아직 알 수 없다. 그러나 현재 구조로는 기술 변화마다 법을 개정해야 할 가능성이 높다. 조화표준 체계가 없고, 비례성에 따른 모듈 구조가 없고, 사후 모니터링 체계가 없다.

“빠르게 만들어진 법”이 “오래 작동하는 법”보다 항상 좋지는 않다.

다만 C 시리즈를 통해 하나의 희망을 본다. 한국 AI 기본법이 설계 단계에서 EU AI Act를 상당히 참조했다. 일부 구조는 유사하다. 문제는 깊이다. 표면의 유사성 뒤에, EU 체계가 40년에 걸쳐 쌓아온 두께가 없다.

그 두께를 쌓는 것 — 조화표준 체계, 비례성 있는 적합성 평가, 실효적 제재, 피해자 구제 메커니즘 — 이 AI 기본법 이후의 과제다.

A 시리즈에서 B 시리즈를 거쳐 C 시리즈까지. 우리는 유럽의 40년, 한국의 현재, 그리고 AI의 미래를 함께 읽었다. 규제는 기술을 제약하는 것이 아니다. 신뢰를 설계하는 것이다.

신뢰가 없으면 시장이 없다. 시장이 없으면 기술도 없다.

CE 마크 두 글자, KC 마크 두 글자. 그 안에는 수십 년의 질문과 수많은 사람의 답이 담겨 있다.

이전 글: [C-3-1] AI가 잘못 판단했을 때 누가 책임지는가 시리즈 처음으로: [A-1] 법이 침묵할 때, 기업은 무엇을 하는가

주석 : [^1]: EU AI Act Article 22. 수권대리인(Authorised Representative). EU 내 주소 또는 영업소가 없는 AI 시스템 공급자가 고위험 AI를 EU에 출시하는 경우 지정 의무. 최소 리스크 AI는 법적 의무는 없으나 실무 권장. [^2]: EU AI Act Article 50. 투명성 의무 5개 세부 조항. 위키 [[EU-AI-Act-Article-50]] 참조. 워터마크 기술 의무 2026.12.02 (Omnibus VII 4개월 유예). 위키 [[Digital-Omnibus-Omnibus-VII]] 참조. [^3]: GPAI Code of Practice. AI Office 주도. 2025.07.10 최종본 발행. GPAI 공급자의 Art.53-55 자율 이행 수단. 한국 기업도 서명 및 이행 가능. 위키 [[GPAI-Code-of-Practice]] 참조. [^4]: Digital Omnibus (Omnibus VII, COM(2025) 836, 2026.05.07 잠정 합의). Annex III 고위험 AI 2026.08.02 → 2027.12.02. 위키 [[Digital-Omnibus-Omnibus-VII]] 및 [[한국AI기본법-EU-AI-Act-조문대응]] §10 참조.

참고