EU AI 법과 사업자 의무

AI가 다시 쓰는 산업 혁명, 인간에게 남은 질문들
2024년 8월 발효된 EU ｢AI 법｣은 세계 최초로 AI 전 영역을 규율하는 포괄적 법률로, AI 시대의 새로운 국제 규범을 사실상 선언한 법이다. 《EU AI 법과 사업자 의무》는 왜 EU가 위험 기반 접근법을 채택했는지, 어떤 규제가 글로벌 기업에 영향을 미치는지, 그리고 한국 기업이 무엇을 준비해야 하는지를 입체적으로 정리한다. ｢AI 법｣은 AI 시스템을 금지·고위험·제한적 위험·최소 위험으로 구분하고, 특히 고위험 AI 사업자에게는 데이터 품질 관리, 기술 문서 작성, 인간 감독 체계 구축, 로그 기록 및 최소 6년 보관 같은 엄격한 의무를 부과한다. 생성형 AI에는 워터마크, 출처 공개, 저작권 준수 등 고유의 투명성 규제가 추가된다. 나아가 규제 샌드박스, SME 지원 조항 등 ‘혁신과 규제의 균형’도 함께 설계해, 기술 발전을 막지 않으면서 기본권·민주주의를 보호하는 EU 특유의 규범적 전략을 보여 준다. 이 책은 EU와 미국의 규제 철학 비교, 한국의 ｢AI 기본법｣과의 차이, 데이터 거버넌스·영향 평가 제도 등 사업자가 실제로 직면할 규제 포인트를 폭넓게 분석하여, AI 시스템을 개발·유통·운영하는 모든 기업이 반드시 이해해야 할 실무적 기준과 위험 관리 전략을 제시한다.

2024년 발효된 EU ｢AI 법｣의 위험 기반 규제, 고위험·생성형 AI 사업자의 의무, 데이터 거버넌스, 기록·보관·감독 체계를 정리하고 한국의 ｢AI 기본법｣과의 차이를 비교한다. 글로벌 시장에서 기업이 준비해야 할 규제 대응 전략을 제시하는 실무 지침서다. AI총서. aiseries.oopy.io에서 필요한 인공지능 지식을 찾을 수 있다.

김윤명
디지털정책연구소(DPI) 소장이다. 남도의 니르바나 해남에서 태어났다. 광주 인성고등학교와 전남대학교를 졸업하고, 경희대학교에서 지식재산법으로 박사학위를 받았다. 네이버에서 정책수석으로 일했고, 소프트웨어정책연구소(SPRi)에서 SW·AI 법에 대해 연구했다. 국회에서 (박정어학원의 그) 박정 의원 보좌관으로, 이재명 경기도지사 캠프 및 인수위인 새로운경기위원회에서 전문위원으로 활동하기도 했다. 대통령소속 국가지식재산위원회 AI-IP특별위원회 위원으로 활동했다. 현재 기율특허에서 연구위원으로, 법무법인원의 전문위원으로 있다. 경희대 법무대학원에서 ‘인공지능법’을, 전남대 데이터사이언스 대학원에서 ‘데이터사이언스 법과 윤리’를 강의했다. 글쓰기를 좋아해 《생성형 AI 창작과 지식재산법》,《인공지능의 생각》, 《블랙박스를 열기위한 인공지능법》, 《게임법》, 《로보스케이프》, 《인공지능과 리걸프레임》, 《소프트웨어와 리걸프레임》, 《게임서비스와 법》,《인터넷서비스와 저작권법》 등의 책을 혼자 쓰거나 동료와 같이 썼다. 그 중 《블랙박스를 열기위한 인공지능법》은 교육부 우수 학술도서로, 《게임법》, 《게임서비스와 법》 및 《인터넷서비스와 저작권법》은 문화부 세종도서(우수 학술도서)로 선정되기도 했다. 늘상 시를 짓고 사진을 찍는다. 아이들의 강하중학교에서 발간한 시집 《나에겐 비도 맛있다》에 몇 편의 시가 실렸다. 아내와 아이들과 시고르자브종 리카와 벤, 동네 풍경, 하늘, 바람, 꽃 등이 피사체가 된다. 주변의 짠하고도 아심찬한 모습도 담는다. 집에 도서관N을 두었다. 정사서 1급 자격증이 있지만 도서관장은 아내다. N의 컨셉은 네이버와 한게임의 합병법인 NHN(Next Human Network)의 Next에서 따왔다. ‘도서관엔(N) 뭐가 있을까?’, ‘도서관엔(N) 길이 있지!’, ‘도서관 다음엔(N) 뭘 만들지?’ 따위의 장난스러운 도서관N으로 기억되길 바란다. 모든 이를 위해 더 큰 도서관N을 만들고자 한다. 2023년, AI를 포함해 디지털 관련 법제와 정책 연구를 위해 양평에 ‘디지털정책연구소’를 세웠다. 연락은 digitallaw@naver.com으로 해 주시길 바란다.

왜 EU ｢AI 법｣과 사업자 의무인가?

01 입법 취지
02 규제 범위 및 대상
03 위험 기반 접근법
04 유형별 규제 모델
05 생성형 AI 규제: 투명성 의무(제50조)
06 데이터 거버넌스
07 혁신과 오픈 소스
08 기록 및 보관 의무
09 기본권 영향 평가 제도
10 시사점

EU ｢AI 법｣은 인공지능 기술의 안전성과 기본권 보호를 핵심 가치로 삼아, 위험 기반 접근법을 구체화한 최초의 포괄적 규제 체계다. 이 법은 AI 시스템을 위험 수준에 따라 분류하고 고위험 시스템에 대해서는 데이터 품질, 편향 방지, 설명 가능성, 감사 가능성 등을 법적으로 요구함으로써, 데이터 거버넌스를 규제의 핵심 요소로 끌어올렸다. 개발자, 배포자, 사용자 등 다양한 행위자에 대한 책임을 명확히 하고, 기술적 통제와 법적 책임의 이중 프레임을 제시함으로써, 단순한 기술 규제를 넘어 사회적 신뢰 형성과 기본권 보호를 제도화하고자 한다.
－01_“입법 취지” 중에서

｢AI 법｣은 “책임 있는 혁신”과 “개방형 기술 생태계의 조성”을 명시적 목표로 삼고 있으며, 이를 위해 두 가지 핵심 장치를 규정한다. 첫째는 신기술의 실험과 조정을 허용하는 규제 샌드박스 제도(Regulatory Sandbox)이고, 둘째는 오픈 소스 AI 기술에 대한 일정 부분의 투명성 규제 완화 및 보호 장치다. 이러한 입법 설계는 규제와 기술 진보 사이의 협력적 통치를 제도화한 것으로 평가된다.
－03_“혁신과 오픈 소스” 중에서

AI 시스템의 성능과 신뢰성은 그 토대가 되는 데이터의 질과 관리 수준에 크게 의존한다. 특히 고위험 인공지능 시스템의 경우, 부정확하거나 편향된 데이터는 개인의 권리 침해, 차별, 사회적 불평등의 심화를 초래할 수 있다. 이에 따라 EU ｢AI 법｣ 제10조는 단순한 기술 관리 차원을 넘어, 인공지능의 법적 정당성과 사회적 수용성을 확보하기 위한 기반으로서 데이터 거버넌스를 규정하고 있다. 이는 인공지능 시스템이 공정하고 투명하게 작동하도록 하는 핵심 장치이며, 데이터가 알고리즘에 미치는 구조적 영향을 제어하고 책임을 분산시킬 수 있는 수단으로 기능한다.
－06_“데이터 거버넌스” 중에서

EU ｢AI 법｣ 제27조는 기본권 영향 평가(FRIA)의 개념, 절차, 이행 주체를 명확히 규정하며, AI 시스템을 배포하려는 주체가 사전에 책임 있게 기술을 운용하도록 유도한다. (…) 이러한 제도는 기술적 적합성 평가만으로는 포착하기 어려운 윤리적·사회적 위험까지 고려해, 차별, 프라이버시 침해, 표현의 자유 제한 등 기본권 침해 가능성을 최소화하고, AI 기술에 대한 사회적 신뢰와 규제 정당성을 동시에 확보하는 데 기여한다.
－09_“기본권 영향 평가 제도” 중에서