5 분 소요

— 기술은 18개월마다 바뀌고, 법은 수년이 걸린다

Series C. 한국 vs EU: 어느 쪽이 더 똑똑한 규제인가 | C-2 이전 글: [C-1-1] KC와 CE를 동시에 받아야 하는가 다음 글: [C-3] 제조사 책임과 국가 책임: 누가 더 많이 지는가

규제의 속도는 그 설계 방식에서 결정된다. 조화표준 위임 체계와 법령 직접 규정 방식의 속도 차이를 추적한다.

2022년 11월, OpenAI가 ChatGPT를 공개했다.

출시 5일 만에 100만 사용자. 2개월 만에 1억 명. 역사상 가장 빠른 기술 확산이었다.

그리고 전 세계 규제 당국이 같은 질문을 받았다.

“이 기술을 어떻게 규율할 것인가?”

EU의 답: AI Act는 2021년에 이미 초안이 나왔다. ChatGPT 출시 후 GPAI 챕터를 추가했지만, 법의 기본 골격은 바꾸지 않았다. 2024년 공포.

한국의 답: 2023년부터 입법 논의. 2025년 1월 법률 제정. 2026년 7월 시행. ChatGPT 출시 후 법 시행까지 3년 8개월.

어느 쪽이 더 빨리 대응했는가.

이 질문은 생각보다 복잡하다.

“빠름”의 두 가지 의미

규제 속도를 이야기할 때, 두 가지 다른 “빠름”이 섞여서 혼란이 생긴다.

첫째, 새 기술에 새 법을 만드는 속도. 신기술이 등장하면 얼마나 빨리 법을 제정하는가.

둘째, 기존 체계 안에서 신기술을 흡수하는 속도. 법 개정 없이 신기술을 기존 규제 틀 안으로 편입할 수 있는가.

한국은 첫 번째 속도에 더 집중한다. AI 기본법을 새로 만들었다. 새 기술에 새 법으로 대응한다.

EU는 두 번째 속도에 더 집중한다. 기존 NLF 체계 안으로 AI를 편입시켰다. 법의 기본 구조를 바꾸지 않고, 표준이 기술을 따라가게 했다.

어느 방식이 빠른가. 단기로 보면 새 법 제정이 빠를 수 있다. 장기로 보면 달라진다.

EU의 속도 비결: 법이 아닌 표준이 변한다

A-1에서 우리가 확인한 NLF의 핵심 설계 원리를 기억하자.

“법령에는 목표만 쓴다. 구체적 방법은 조화표준에 위임한다.”

EU AI Act도 같은 방식이다. “고위험 AI는 정확하고 견고하며 사이버보안을 갖춰야 한다”고 법에 쓴다. “파라미터는 몇 억 개, 훈련 데이터는 몇 테라바이트”라고 쓰지 않는다.

구체적 수치와 방법론은 CEN-CENELEC JTC 21이 개발하는 조화표준이 담당한다.[^1]

이 구조의 속도 효과를 보자.

기술이 발전해서 새로운 AI 공격 유형이 등장했다고 가정하자. 2년 뒤에는 지금과 완전히 다른 적대적 공격(adversarial attack) 기법이 나온다.

EU 방식: AI Act 본문은 “사이버보안을 갖춰야 한다”고만 되어 있다. 새 공격 유형이 등장하면, CEN-CENELEC JTC 21이 조화표준을 개정한다. 법 개정 없이도 새 기술 요건이 시장에 적용된다. 표준 개정 프로세스는 법 개정보다 훨씬 빠르다.

한국 방식: 법령 또는 고시에 구체적 내용을 담았다면, 법 개정 또는 고시 개정이 필요하다. 행정 입법이라도 입법 예고, 규제 심사, 부처 협의 등을 거친다. 수개월에서 수년.

이것이 EU가 AI 기술 변화에 구조적으로 유연한 이유다.

사례: GPAI 규제의 속도 비교

2023년 ChatGPT 충격 이후, 양측이 GPAI 규제에 어떻게 대응했는지 보자.

EU의 대응:

2021년 초안에는 GPAI 챕터가 없었다. 2023년 협상 과정에서 GPAI 챕터(Art.51-55)를 추가했다. 그러나 AI Act 전체 구조는 바꾸지 않았다. 기술 중립적 필수 요구사항 → 비례성 원칙 → 조화표준 위임의 뼈대는 그대로 유지.

GPAI 의무 시행일: 2025년 8월 2일. ChatGPT 공개 2년 9개월 만에 법적 의무가 발효되었다.

한국의 대응:

2026년 7월 21일 AI 기본법 시행. 프론티어 AI(한국어로는 “최첨단 AI”)에 관한 제32조 포함. ChatGPT 공개 3년 8개월 만이다.

그리고 한국 법의 기준은 10^26 FLOPs — EU의 10^25 FLOPs보다 10배 관대하다.[^2] ChatGPT/GPT-4급 모델(약 2×10^25 FLOPs 추정)은 EU 규제 대상이지만 한국에서는 아니다.

속도와 엄격성 모두에서 EU가 앞서 있다.

Omnibus VII가 보여주는 것

Omnibus VII(2026.05.07 잠정 합의)를 생각해보자. EU는 이미 발효된 AI Act의 일부 조항 시행 시기를 법 개정 없이 조정했다.[^3]

  • Annex III 고위험 AI: 2026.08.02 → 2027.12.02 (+16개월)
  • Art.50(2) 워터마크: 2026.08.02 → 2026.12.02 (+4개월)
  • 제품내장형 고위험 AI: 2027.08.02 → 2028.08.02 (+12개월)

이것이 가능한 이유: EU는 단일 규제 패키지(Omnibus) 형식으로 여러 법령을 동시에 조정하는 입법 관행이 있다. 법 개정이지만, “빅뱅 개정”이 아니라 핀셋 조정 방식으로 빠르게 처리된다.

한국에서 같은 일이 일어나려면? AI 기본법 개정안을 국회에 제출하고, 법사위·본회의를 통과해야 한다. 빠르면 6개월, 보통 1년 이상이 걸린다.

이것이 두 체계의 민첩성 차이다.

규제 샌드박스: 두 나라의 실험장

신기술 규제 속도의 또 다른 측면으로 규제 샌드박스가 있다.

규제 샌드박스는 “이 기술은 아직 법에 맞지 않지만, 일단 실험해봐도 된다”는 면제 제도다. 기존 규제 체계가 신기술을 가로막을 때, 임시로 규제를 풀어주는 안전판.

EU AI Act(Art.57-63):

  • 각 회원국 시장감시기관이 운영
  • 고위험 AI를 대상으로 실제 환경 테스트 허용
  • 참여 기업은 책임 면제 아닌 감독 하 이행
  • EU 차원 공동 샌드박스: Omnibus VII에서 도입 확정 (2028년부터)[^4]

한국 AI 기본법(제14-15조):

  • 과기정통부 주관
  • AI 규제 샌드박스: 실증 특례 부여 가능
  • AI 기본법 외에도 ICT 융합 실증 특례(정보통신 진흥법)와 규제 자유특구(규제자유특구 및 지역특화발전특구에 관한 규제특례법)가 병행 운영

비교:

                EU AI Act 샌드박스      한국 AI 샌드박스
──────────────────────────────────────────────────────
주체            27개국 MSA             과기정통부
법적 근거       Art.57-63              AI 기본법 제14-15조
대상 AI         고위험 AI 중심         AI 전반
책임 처리       감독 하 이행           실증 특례 (제한적 면제)
글로벌 조정     EU 공동 샌드박스(2028)  없음
피드백→법개정   표준·가이드라인으로 반영  고시·가이드라인으로 반영
──────────────────────────────────────────────────────

두 체계 모두 샌드박스가 있다. 그러나 EU는 샌드박스 경험이 법적 기반(조화표준, 가이드라인)으로 빠르게 환류되는 구조가 더 체계화되어 있다. 한국은 샌드박스 결과가 법 개정으로 이어지는 경로가 아직 명확하지 않다.

[필자 분석] 두 가지 속도의 역설

여기서 흥미로운 역설이 있다.

EU는 AI 규제 체계를 새로 “설계”하는 데 시간이 걸렸다. AI Act 초안 제출(2021)부터 공포(2024)까지 3년. 협상 과정은 복잡했다. 그러나 설계가 완성된 후에는 빠르다. 표준이 기술을 따라가고, 가이드라인이 해석을 채우고, Omnibus로 세부 사항을 조정한다. “한 번 잘 만든 틀” 덕분에 매번 새 법이 필요 없다.

한국은 AI 기본법 제정 자체는 빨랐다. 그러나 내용이 두껍지 않다. 기술 중립적 필수 요구사항, 조화표준 체계, 비례성에 따른 적합성 평가 모듈 — 이런 기반 구조 없이, 법만 나왔다. 다음 기술 변화가 오면 다시 새 법이나 개정이 필요해진다.

가구를 비유로 들자면: EU는 튼튼한 선반 시스템을 설치했다. 물건이 바뀌어도 선반은 그대로다. 물건만 바꾸면 된다. 한국은 물건들을 빠르게 쌓아놓았는데, 선반이 없다. 새 물건이 오면 쌓는 방식을 다시 생각해야 한다.

단기 속도 vs 장기 적응력의 차이다.

중기적으로 AI 기술이 계속 빠르게 변한다면 — 그리고 모든 지표가 그렇게 가리키지만 — 한국의 단기 입법 속도 이점은 빠르게 소진되고, EU의 장기 적응력 이점이 드러날 것이다.

그렇다면 한국이 선택할 수 있는 경로는?

AI 기본법 후속 체계를 EU식으로 설계하는 것이다. 조화표준 개발 체계 구축, 분야별 적합성 평가 모듈 도입, 시장감시 피드백 체계 강화. 이것은 “EU를 따라하는 것”이 아니라, “동일한 문제(기술 변화 속도)에 대한 검증된 해법을 채택하는 것”이다.

마무리 — 다음 질문

속도를 이야기했다. 그런데 속도만이 전부가 아니다.

규제가 아무리 빠르게 만들어져도, 사고가 났을 때 누가 책임지는가가 명확하지 않으면 규제의 실효성은 없다. AI가 의료 오진을 내렸다. AI가 대출을 부당하게 거절했다. AI가 선거 결과에 영향을 미쳤다. 이럴 때 누구에게 책임을 물어야 하는가.

그 이야기를 다음 글에서 한다.

이전 글: [C-1-1] KC와 CE를 동시에 받아야 하는가 다음 글: [C-3] 제조사 책임과 국가 책임: 누가 더 많이 지는가

주석 : [^1]: CEN-CENELEC JTC 21 (Joint Technical Committee 21 on Artificial Intelligence). AI Act 조화표준 개발 전담 위원회. 최초 공개심의 표준 prEN 18286 (AI QMS, 2025.10). 위키 [[조화표준]] 참조. [^2]: 한국 AI 기본법 시행령 제24조: 프론티어 AI 기준 10^26 FLOPs. EU AI Act Article 51(2): 시스템적 리스크 GPAI 기준 10^25 FLOPs. 위키 [[한국AI기본법-EU-AI-Act-조문대응]] §5 참조. [^3]: Digital Omnibus (Omnibus VII, COM(2025) 836), 2026.05.07 잠정 합의. 위키 [[Digital-Omnibus-Omnibus-VII]] 참조. [^4]: EU AI Act Article 57-63 (AI regulatory sandboxes). Digital Omnibus (Omnibus VII)에서 EU 차원 공동 샌드박스 2028년 도입 결정.

참고