작년 말 국회를 통과한 인공지능 기본법이 이제 한 달도 채 남지 않았습니다. 지난 몇 달간 여러 기업의 AI 도입 현장을 지켜보면서 느낀 점이 있습니다. "우리 서비스에 AI를 붙이면 좋겠다"는 이야기는 많이 들었지만, "법적으로 어떤 준비가 필요한가"를 먼저 묻는 곳은 거의 없었습니다.
출처 : 동아일보
하지만 2026년 1월 22일부터 상황이 달라집니다. 한국은 EU보다 앞서 포괄적인 AI 법을 실제로 적용하는 첫 번째 나라가 됩니다. EU가 AI Act를 만들긴 했지만 단계적으로 시행을 늦췄고, 우리는 그보다 빠르게 전면 시행에 들어갑니다.
왜 지금 준비해야 하나
정부에서 최소 1년간 과태료 계도 기간을 운영한다고 했습니다. 당장 벌금을 물지는 않겠다는 뜻입니다. 그렇다면 천천히 해도 되는 걸까요?
현장에서 보면 그렇지 않습니다. UX 설계, 시스템 구조, 데이터 파이프라인을 나중에 뜯어고치려면 처음부터 제대로 만드는 것보다 몇 배의 시간과 비용이 듭니다. "일단 출시하고 나중에 맞추자"는 더 이상 현실적인 선택이 아닙니다.
우리 제품과 서비스 해당사항 확인부터
고영향 AI인지 체크해야 합니다.
현재 법에서 말하는 '고영향 AI'는 사람의 생명, 안전, 기본권에 큰 영향을 주는 시스템을 뜻합니다. 의료 진단을 돕는 AI, 채용 과정에서 지원자를 걸러내는 시스템, 대출 심사를 하는 알고리즘이 여기 해당합니다.
중요한 건 "AI를 쓴다"가 아니라 "어떤 결정을 내리느냐"입니다. 같은 추천 알고리즘이라도, 유튜브 영상 추천은 고영향이 아니지만 채용 후보자 추천은 고영향으로 분류되고 있습니다.
고영향 AI로 판단되면 별도의 관리 문서를 만들어야 하고, AI가 어떤 기준으로 판단을 내리는지 설명할 수 있어야 하며, 결과 도출 과정에 사람의 검토가 반드시 반영되어야 합니다.
생성형 AI 사용 여부
ChatGPT나 Midjourney처럼 텍스트, 이미지, 영상을 만들어내는 AI를 서비스에 활용한다면 생성형 AI 사업자가 됩니다. 고객 응대 챗봇, 마케팅용 이미지 생성, 블로그 콘텐츠 작성 도구 등이 모두 해당됩니다.
생성형 AI는 반드시 결과물에 별도 표기를 해야 합니다. "해당 이미지는 AI로 만들어졌습니다." 등의 문구, 워터마크 삽입 또는 메타데이터에 기록하는 방식 중 하나를 선택해야 합니다.
실무에서 체크할 것들은 뭐가 있을까?
지금 당장 확인할 사항
서비스를 기획하는 단계부터 법적 요구사항을 같이 봐야 합니다. 다음과 같은 항목들을 체크리스트로 만들어서 검토해 보시길 바랍니다.
우리 AI가 고영향인지, 생성형인지 판단하기
이용약관이나 서비스 화면에 AI 사용 사실을 어떻게 알릴지 결정 및 구성
생성형 AI라면 결과물 표시 방법 정하기 (워터마크, 문구, 메타데이터)
고영향 AI라면 별도의 위험관리 문서 작성 시작
개인정보보호법 등 관련 법과 겹치는 부분 정리
헷갈리는 문제들
실무에서 자주 나오는 질문 몇 가지를 정리해보았습니다.
"내부 업무용으로만 쓰는데 그것도 신고해야 하나요?"
아닙니다. 법에서 말하는 '사업자'는 고객에게 제품이나 서비스를 제공하는 경우를 뜻합니다. 회사 내부에서만 쓰는 AI 도구는 범위에 해당하지 않습니다.
"추천 알고리즘은 고영향인가요?"
경우에 따라 다릅니다. 유튜브처럼 영상을 추천하는 건 고영향이 아니지만, 채용 후보자나 대출 대상자를 추천한다면 고영향입니다. AI의 결정이 사람의 권리나 기회에 직접적인 영향을 줄 수도 있기 때문에 추천의 목적에 따라 달라질 수 있습니다.
"카카오톡처럼 약관만 바꾸면 되나요?"
약관 변경은 시작일 뿐입니다. 서비스 화면에서 AI 사용을 명확히 알려야 하고, 생성형 AI라면 당연히 결과물에 표시를 해야 합니다. 약관만 고치고 끝나는 게 아닙니다.
산업별로 달라지는 영향
금융권
대출 심사, 신용평가, 보험 언더라이팅에 AI를 쓴다면 모두 고영향입니다. 금융위원회가 이미 AI 가이드라인을 내놓았지만, AI 기본법과 겹치는 부분이 있어서 두 개를 함께 확인해 보아야 합니다.
다행히 시행령에서 개인정보보호법 같은 기존 법령을 잘 지키면 AI 기본법 의무도 어느 정도 충족한 걸로 본다고 명시했습니다. 완전히 갈아 엎으라는 뜻은 아닙니다.
의료·헬스케어
AI 의료기기는 식약처의 디지털의료제품법 안에서 관리되고 있습니다. 여기에 AI 기본법이 하나 더 추가되는 형태입니다. 다만 디지털의료제품법 요구사항을 충족하면 AI 기본법도 대부분 만족하는 걸로 봅니다.
진단 보조, 영상 분석, 환자 모니터링 시스템은 당연히 고영향입니다. 위험관리 문서와 영향평가를 미리 준비하는 것이 좋습니다.
채용 및 HR 플랫폼
AI로 이력서를 거르거나 면접 점수를 스코어링한다면 고영향입니다. 채용은 사람의 경제적 기회와 직결되기 때문에 법에서 특히 주의 깊게 보고있습니다.
알고리즘이 어떤 기준으로 지원자를 평가하는지 설명할 수 있어야 하고, 최종 결정은 사람이 내려야 합니다. "AI가 1차로 필터링하며 사람이 최종 결정합니다."라는 프로세스를 명확히 만들어두어야 합니다.
콘텐츠·미디어
블로그 글 생성기, 유튜브 썸네일 제작 도구, 웹툰 배경 생성기 등 생성형 AI를 쓴다면 결과물에 표시를 해야 합니다.
특히 딥페이크나 실제 사람처럼 보이는 가상 인물을 만든다면 더욱 명확하게 표시해야 합니다. 표시는 단순히 워터마크 삽입 뿐만 아니라, 일반 이용자가 한눈에 알아볼 수 있을 정도로 명확하게 표시하라는게 시행령의 취지입니다.
EU AI Act와 다른 점
해외 진출을 준비 중이거나 글로벌 서비스를 하고 있는 팀이라면 EU AI Act도 함께 봐야 합니다. 두 법의 차이를 간단히 정리했습니다.
시행 시기
EU는 2024년에 법을 만들었지만 고위험 AI 규제는 2026년 8월부터 단계적으로 적용합니다. 한국은 2026년 1월 22일 전면 시행입니다. 실질적으로는 우리나라가 먼저 규제를 받게 됩니다.
최근 EU가 규제 시행을 더 늦출 수 있다는 이야기도 나오고 있습니다. 미국 빅테크의 압력과 준비 부족 때문이라는 분석이 있습니다.
위험 분류 방식
EU는 AI를 금지, 고위험, 제한적 위험, 최소 위험 순으로 4단계로 나눕니다. 한국은 고영향과 일반으로 구분하고, 생성형 AI를 별도로 관리합니다. EU보다 단순한 구조입니다.
벌금 수준
EU AI Act는 위반 시 글로벌 매출의 7%까지 벌금을 물릴 수 있으며, 한국은 최대 3천만원 과태료입니다. 규모 면에서 큰 차이가 있지만, 그렇다고 우리 법을 가볍게 봐서는 안됩니다. 위법 시에는 시정명령이, 명령을 어기면 추가 과태료가 붙을 수 있기 때문입니다.
스타트업은 어떻게 대응해야 하나
대기업은 법무팀과 컴플라이언스 담당자가 있지만, 스타트업은 사정이 다릅니다. 최근 조사에 따르면 국내 AI 스타트업의 98%가 준비가 부족하다고 답했습니다.
최소 비용으로 시작하기
법무법인 없이도 할 수 있는 것부터 정리했습니다.
과기정통부 통합안내지원센터 활용하기
정부가 기업 지원을 위해 만든 센터입니다. 우리 서비스가 고영향인지 확인 신청도 할 수 있고, 가이드라인도 받을 수 있으며 무료입니다.한국지능정보사회진흥원(NIA) 자료 참고
고시와 가이드라인 초안이 NIA 홈페이지에 공개되어 있습니다. 실무에 바로 쓸 수 있는 체크리스트와 예시가 들어있습니다.기본 문서 먼저 만들기
AI 사용 사실 고지 문구 (이용약관, 서비스 화면)
생성형 AI 결과물 표시 방안
고영향 AI라면 간단한 위험관리 계획서
동종 업계 사례 참고
같은 산업 내 다른 기업들이 어떻게 대응하고 있는지 보는 것도 도움이 됩니다. 카카오, 네이버 같은 큰 기업들의 약관 변경 사례를 참고할 수 있습니다.
단계별 로드맵
~2026년 1월 (시행 전)
우리 AI 서비스 분류 (고영향/생성형/일반)
이용약관 수정
UI에 AI 고지 문구 반영
생성형 AI 결과물 표시 구현
2026년 1월~12월 (계도 기간)
위험관리 문서 작성 (고영향 AI)
내부 프로세스 정비 (사람의 검토 절차 등)
정부 가이드라인 모니터링 및 조정
직원 교육
2027년 이후
정식 과태료 부과 시작
AI 영향평가 실시 (필요시)
지속적인 컴플라이언스 체계 운영
자주 묻는 질문
Q. 오픈소스 AI 모델을 가져다 쓰는 것도 규제 대상인가요?
네. 중요한 건 누가 만들었느냐가 아니라 어떤 서비스에 쓰느냐입니다. 오픈소스 모델이라도 우리 서비스에 붙여서 고객에게 제공한다면 우리가 사업자입니다.
Q. API로 ChatGPT를 호출해서 쓰는 것도 해당되나요?
네. OpenAI가 모델을 만들었지만, 그걸 활용해서 서비스를 제공하는 건 우리입니다. 생성형 AI 사업자로서 결과물 표시 의무가 있습니다.
Q. 해외 기업도 규제를 받나요?
국내에 이용자가 많은 해외 서비스는 국내 대리인을 별도로 지정해야 합니다. 기준일 직전 3개월 기준 일평균 이용자가 100만 명 이상이거나, 과기정통부가 자료 제출을 요구한 경우가 이에 해당됩니다.
Q. 계도 기간이라는 게 정확히 뭔가요?
법은 2026년 1월 22일부터 효력이 발생하지만, 최소 1년간은 위반해도 과태료를 부과하지 않겠다는 뜻입니다. 다만 시정명령은 나올 수 있고, 이를 어길 시 과태료가 붙습니다.
끝으로
AI 기본법은 단순한 규제가 아닙니다. 우리 사회가 AI 기술을 어떻게 신뢰하고 활용할 것인지에 대한 AI의 미래를 대비책과 기준을 세우는 시작점입니다.
시행령을 두려워하기 보다는 오히려 이번 계기로 제대로 된 AI 거버넌스를 만들수도 있을 듯 합니다. 이 후에는 투명하게 운영하고, 안전장치를 갖추고, 사용자에게 솔직하게 알리는 기업이 결국 시장에서 더 큰 신뢰를 얻게 될 것입니다.
지금부터 준비해입니다. 시행일까지 한 달도 남지 않았지만, 계도 기간까지 합치면 실질적으로 1년 이상의 시간이 있습니다. 이 기간을 잘 활용해서 탄탄한 컴플라이언스 체계를 만들어가시길 바랍니다.
참고 자료
오픈네트웍시스템 ㅣ 권태규