ASAPEU AI Act란
EU AI Act는 인공지능을 위험 수준에 따라 규제하는 세계 최초의 포괄적 AI 법으로, 2024년 유럽연합(EU)에서 통과됐습니다. 이 법은 AI 시스템을 위험도에 따라 네 등급으로 나누고, 위험이 클수록 더 엄격한 의무를 부과하는 위험 기반(risk-based) 접근을 핵심으로 삼습니다. 적용 대상은 EU 내에서 AI를 출시하거나 사용하는 모든 사업자이며, EU 밖 기업이라도 EU 시장에 AI 제품·서비스를 제공하면 규제를 받습니다. 2026년 현재 EU AI Act는 등급별로 의무가 단계적으로 발효되고 있어, 한국을 포함한 글로벌 기업의 대응 과제로 떠올랐습니다.
EU AI Act의 핵심 내용
EU AI Act의 핵심은 AI를 위험 수준으로 분류해 차등 규제하는 위험 기반 접근입니다. 2024년 통과된 이 법은 AI 자체를 금지하지 않고, AI가 사람의 안전과 기본권에 미치는 위험의 크기에 비례해 의무를 부과합니다. 위험이 가장 큰 시스템은 아예 금지하고, 위험이 큰 시스템에는 엄격한 사전·사후 의무를 지우며, 위험이 낮은 시스템에는 최소한의 투명성만 요구하는 구조입니다.
법의 주요 기둥은 다음과 같습니다.
- 위험 기반 4단계 분류: 허용 불가(unacceptable)·고위험(high)·제한적(limited)·최소(minimal)
- 고위험 AI에 대한 위험 관리, 데이터 품질, 문서화, 인간 감독 등 엄격한 의무
- 제한적 위험 AI(예: 챗봇)에 대한 투명성 의무, 즉 사용자에게 AI와 상호작용 중임을 알릴 것
- EU 시장에 제품을 내놓는 역외 기업에도 적용되는 광범위한 적용 범위
AI 위험 등급 분류
EU AI Act는 AI 시스템을 위험도에 따라 네 개 등급으로 분류합니다. 분류 기준은 해당 AI가 사람의 안전·권리에 미치는 잠재적 해악의 크기이며, 등급이 높을수록 규제 강도가 강해집니다. 2024년 확정된 이 분류 체계는 같은 기술이라도 어디에 어떻게 쓰이느냐에 따라 등급이 달라진다는 점이 특징입니다.
| 위험 등급 | 의미 | 규제 강도 |
|---|---|---|
| 허용 불가(Unacceptable) | 기본권을 심각하게 침해하는 용도 | 원칙적 금지 |
| 고위험(High) | 채용·교육·의료 등 중요 영역에 쓰이는 AI | 엄격한 사전·사후 의무 |
| 제한적(Limited) | 챗봇 등 사용자와 직접 상호작용 | 투명성 고지 의무 |
| 최소(Minimal) | 스팸 필터·게임 등 대부분의 AI | 별도 의무 거의 없음 |
이 표에서 보듯 규제 부담은 고위험 등급 이상에 집중되며, 실제 시중 AI의 다수는 최소 위험에 해당합니다.
기업이 준비해야 할 것
기업이 가장 먼저 준비해야 할 것은 자사 AI가 어느 위험 등급에 속하는지 파악하는 일입니다. 2026년 현재 EU AI Act 의무가 단계적으로 발효되는 만큼, EU 시장과 접점이 있는 기업은 등급 진단과 문서화부터 착수해야 합니다. 준비 순서는 다음과 같습니다.
- 자사 AI 시스템을 목록화하고 각각의 위험 등급을 분류합니다.
- 고위험에 해당하면 위험 관리 체계, 데이터 거버넌스, 기술 문서를 구축합니다.
- 챗봇 등 제한적 위험 AI에는 AI 사용 사실을 알리는 투명성 고지를 적용합니다.
- 인간 감독 절차와 사고·오류 대응 프로세스를 마련합니다.
- 시행 일정에 맞춰 내부 컴플라이언스 담당과 점검 주기를 정합니다.
EU AI Act 시행 일정
EU AI Act는 한 번에 전면 시행되지 않고 의무별로 단계적으로 시행됩니다. 2024년 법이 발효된 뒤, 금지 대상 AI에 대한 규정이 먼저 적용되고 고위험 시스템 의무 등 나머지 규정이 순차적으로 효력을 갖는 방식입니다. 2026년 시점에도 일부 의무는 이미 적용 중이고 일부는 이후 단계에서 발효를 앞두고 있어, 기업은 자사에 적용되는 조항의 발효 시기를 개별적으로 확인해야 합니다.
단계적 시행의 일반적 흐름은 다음과 같습니다.
- 법 발효 직후: 허용 불가(금지) 등급에 대한 규정 우선 적용
- 중간 단계: 범용 AI 모델 등에 대한 투명성·문서화 의무 적용
- 후속 단계: 고위험 시스템에 대한 엄격한 의무가 본격 시행
한국 기업에 미치는 영향
한국 기업도 EU 시장에 AI 제품·서비스를 제공하면 EU AI Act의 규제를 받습니다. EU AI Act는 사업자의 소재지가 아니라 AI가 EU 시장에서 쓰이는지를 기준으로 적용되므로, 한국에 본사를 둔 기업이라도 EU 고객을 대상으로 하면 의무 대상이 됩니다. 2026년 현재 EU에 진출했거나 진출을 계획하는 한국 IT·제조·플랫폼 기업은 자사 AI의 위험 등급과 그에 따른 의무를 미리 점검하는 것이 안전합니다.
특히 다음과 같은 영향이 예상됩니다.
- EU 수출 AI 제품의 등급 분류와 기술 문서 준비 부담 증가
- 고위험으로 분류될 경우 인증·문서화 등 추가 컴플라이언스 비용 발생
- GDPR에 이어 EU AI 규제가 글로벌 표준으로 확산되며 국내 규제 정비에도 영향