8월 2일이 117일 앞으로 다가왔다. EU AI Act의 고위험 AI 시스템 규제가 전면 시행되는 날이다. 국내에서는 AI 기본법 시행령 논의에 관심이 쏠려 있지만, 유럽에 서비스를 제공하거나 제공할 계획이 있는 한국 기업이라면 지금 당장 신경 써야 할 건 브뤼셀이지 세종시가 아니다.
8월 2일에 뭐가 바뀌나
2024년 8월 1일 발효된 EU AI Act는 단계별로 시행되고 있다. 2025년 2월에 금지 AI 목록이 확정됐고, 같은 해 8월에 범용 AI(GPAI) 모델 규정이 적용됐다. 그리고 올해 8월 2일, 핵심 본체가 작동한다 — Annex III에 열거된 고위험 AI 시스템에 대한 전면 규제다.
고위험으로 분류되는 영역은 생각보다 넓다. 채용·인사 관리 AI, 신용 평가, 교육 평가, 법 집행 보조, 핵심 인프라 관리, 그리고 의료기기로 분류되는 AI까지. 한국 스타트업 중에서 HR테크, 핀테크, 에듀테크, 헬스테크 쪽에 있다면 거의 확실히 해당된다.
"우리는 유럽에 안 팔아요"가 통하지 않는 이유
GDPR 때도 같은 말을 했던 기업이 많다. 결과는 알다시피. EU AI Act도 역외 적용(extraterritorial application)을 명시하고 있다. EU 내에서 AI 시스템이 사용되거나, AI의 출력이 EU 거주자에게 영향을 미치면 적용 대상이다.
SaaS를 글로벌로 제공하는 순간 유럽 고객이 섞인다. B2B라도 EU에 본사를 둔 클라이언트가 있으면 마찬가지. "유럽에 직접 영업 안 한다"가 면제 사유가 되지 않는다는 점을 빨리 인식해야 한다. 특히 API 기반으로 AI 기능을 제공하는 경우, 최종 사용자가 어디에 있는지 추적하기 어렵기 때문에 리스크가 더 크다.
적합성 평가라는 벽
고위험 AI 시스템 공급자가 8월 2일까지 완료해야 할 목록은 이렇다:
리스크 관리 시스템 구축 및 문서화
데이터 거버넌스 — 학습 데이터의 품질, 편향 검증 절차
기술 문서(Technical Documentation) 작성
로깅 및 기록 보관 체계
투명성 의무 — 사용자에게 AI임을 고지
인간 감독(Human Oversight) 메커니즘
정확성·견고성·사이버보안 기준 충족
적합성 평가(Conformity Assessment) 완료 후 CE 마킹
EU 데이터베이스 등록
이 중에서 한국 기업이 가장 당황하는 건 적합성 평가와 CE 마킹이다. 한국의 AI 기본법에는 이런 개념이 없다. EU 쪽은 제품 안전 규제의 전통이 깊어서 AI도 공산품처럼 인증을 받아야 시장에 내놓을 수 있다는 발상인데, 소프트웨어만 만들어온 팀에게는 생소할 수밖에 없다.
대부분의 Annex III 고위험 AI는 자체 적합성 평가(self-assessment)가 가능하다. 다만 "자체"라는 말에 속으면 안 된다. 기술 문서 수십 페이지, 리스크 관리 절차서, 데이터 거버넌스 기록, 사후 모니터링 계획까지 전부 갖춰놓고 자체 선언을 하는 거다. 의료기기나 생체인식 분류에 해당하면 제3자 기관(Notified Body) 평가를 받아야 하는데, 유럽 내 인증기관의 대기 줄이 이미 길다.
한국 AI 기본법이랑 뭐가 다른가
| 항목 | 한국 AI 기본법 | EU AI Act |
|---|---|---|
| 분류 체계 | 고영향 AI (자율 분류) | 금지 / 고위험 / 제한위험 / 최소위험 4단계 |
| 인증 | 없음 (자율 점검) | CE 마킹 + 적합성 평가 의무 |
| 위반 시 제재 | 과태료 (상한 미확정) | 최대 3,500만 유로 또는 전 세계 매출 7% |
| 역외 적용 | 명시 없음 | 명시적 역외 적용 |
| 규제 유예 | 1년 이상 유예 발표 | 단계별 시행, 유예 없음 |
한국은 유예 기간을 넉넉히 줬지만 EU는 그런 거 없다. 그리고 과징금 스케일이 다르다. 전 세계 매출의 7%면 중견 기업도 존폐 위기에 빠질 수 있는 금액이다.
지금 당장 할 수 있는 세 가지
첫째, AI 인벤토리부터 만든다. 우리 회사가 운영하거나 제공하는 AI 시스템을 전부 목록화하고, 각각이 Annex III 고위험 분류에 해당하는지 판단한다. EU AI Act의 Article 6과 Annex III 원문을 직접 읽어볼 것을 권한다 — 번역본에 의존하면 뉘앙스를 놓친다.
둘째, EU 역내 대리인(Authorised Representative)을 지정한다. EU 밖에 소재한 공급자는 의무적으로 EU 내 대리인을 두어야 한다. 법무법인에 위탁하든 현지 파트너를 활용하든, 지금 알아봐야 8월에 맞출 수 있다.
셋째, 기술 문서 작성을 시작한다. 적합성 평가의 핵심은 문서다. 리스크 관리 절차, 학습 데이터 출처와 전처리 방법, 성능 지표, 편향 테스트 결과 — 이것들을 처음부터 만드는 데 최소 2~3개월이 걸린다. 117일은 여유 있는 시간이 아니다.
국내 AI 기본법 대응에만 매몰되어 있다가 유럽 시장 진입 자체가 막히는 시나리오는 충분히 현실적이다. 두 규제를 동시에 트래킹하는 게 부담스럽겠지만, 어차피 글로벌 서비스를 지향한다면 피할 수 없는 숙제다.