한국 AI 기본법 5월 시행, 직장인이 알아야 할 핵심 5가지

이번 달부터 한국에서도 본격적인 AI 규제법인 '인공지능 발전과 신뢰 기반 조성 등에 관한 법률'(이하 AI 기본법)이 단계적으로 시행됩니다. 사내 AI 도구 도입을 검토하시는 실무자와, 이미 운영 중인 자동화 파이프라인을 가지신 팀 모두에게 영향이 적지 않은 변화입니다. 이번 글에서는 발표 자료를 기준으로 꼭 알아두실 다섯 가지를 정리했습니다.

한 줄 정리

• 적용 대상 — 일정 규모 이상 AI 시스템을 개발·도입·운영하는 모든 사업자

• 핵심 의무 — 위험성 평가, 표시 의무, 영향 평가, 책임자 지정, 기록 보존

• 처벌 — 위반 시 과태료 및 시정명령, 반복 위반 시 가중

• 시행 단계 — 일부 조항부터 5월 적용, 나머지는 단계적 시행

• 기업 액션 — 자가진단 → 위험 분류 → 내부 정책 → 교육·기록

1. 누구에게 적용되는가

AI 기본법은 AI 시스템을 개발하거나 도입·운영하는 사업자 전반을 대상으로 합니다. 자체 모델을 학습시키는 빅테크뿐 아니라, 외부 모델을 가져다 쓰는 일반 기업도 포함됩니다. 사내에서 GPT, Claude, Gemini 같은 도구를 업무에 통합해 운영하시는 단계라면 대부분 영향권에 들어갑니다. 단, 위험 등급에 따라 의무의 범위가 달라지므로, '우리 회사가 어떤 등급에 속하는가'를 먼저 가려내시는 것이 첫걸음입니다.

법은 특히 고영향 AI(채용, 신용 평가, 의료 진단 등 사람의 권리·생활에 큰 영향을 주는 시스템)에 대해 더 무거운 의무를 부과합니다. 일반 사무 자동화 수준이라면 의무가 비교적 가볍고, 채용 스크리닝이나 대출 심사처럼 의사결정에 관여하는 시스템은 별도 절차가 필요합니다.

2. 핵심 의무 5가지

법이 부과하는 의무는 크게 다섯 갈래로 정리하실 수 있습니다.

• 위험성 평가 — 시스템이 어떤 결정을 자동으로 내리는지, 그 결정이 사람에게 어떤 영향을 주는지 사전 분석

• 표시 의무 — AI가 생성한 결과물(문서, 이미지, 음성 등)임을 이용자가 알 수 있도록 표시

• 영향 평가 — 고영향 시스템을 도입하기 전에 기본권·차별·안전 측면 점검

• 책임자 지정 — 사내에 AI 시스템을 총괄·관리할 담당자 명시

• 기록 보존 — 학습 데이터 출처, 모델 변경 이력, 오류 사례 등을 일정 기간 보존

각 의무는 회사 규모와 시스템 등급에 따라 적용 강도가 달라집니다. 외부 모델을 그대로 쓰시는 경우에도 표시 의무와 기록 보존은 거의 모든 사업자에게 적용된다는 점을 우선 기억해 두시는 것이 안전합니다.

3. 위반 시 처벌

위반 시에는 시정명령이 우선 부과되고, 이행하지 않을 경우 과태료가 부과됩니다. 반복적이거나 중대한 위반의 경우 가중 처벌 조항도 마련되어 있습니다. 처벌의 목적이 단순 징벌이 아니라 컴플라이언스 체계 정착에 있기 때문에, 자가진단과 사전 신고를 거친 경우에는 시정 기간을 부여받기 쉬운 구조입니다.

다만 고영향 AI에서 차별·인권 침해 같은 결과가 발생한 경우에는, 해당 책임이 형사 책임으로 이어질 수 있다는 점에서 일반 사무 자동화와는 결이 다릅니다. 사내 채용·인사·평가 시스템에 AI를 도입하실 계획이라면 도입 전 검토 단계에서 법무·인사 부서와 함께 영향 평가를 받아두시기를 권합니다.

4. EU AI Act와 한국법 비교

EU의 AI Act는 한국법보다 먼저 시행된 글로벌 기준입니다. 두 법의 큰 그림은 비슷합니다. 위험 등급별로 의무를 차등 부과한다는 구조 자체가 동일합니다. 다만 세부에서는 차이가 있습니다.

• EU AI Act — '금지되는 AI'를 명시(사회적 점수화, 공공장소 실시간 안면인식 등)하고, 고영향 시스템에 대해 적합성 평가·CE 마킹까지 요구

• 한국 AI 기본법 — '금지'보다는 '신뢰 기반 조성' 관점에서 표시·기록·책임자 중심으로 시작

• 벌칙 수준 — EU는 글로벌 매출의 일정 비율까지 부과 가능, 한국은 과태료 중심으로 출발

• 글로벌 영향 — EU에 상품·서비스를 제공하시는 한국 기업은 두 법 모두 따르셔야 함

요약하면 EU 기준이 더 엄격하고, 한국법은 '시작은 가볍게, 단계적 강화' 전략에 가깝습니다. EU 시장에 진출 중이거나 진출 예정이시라면, 한국법만 충족하는 것으로는 부족합니다.

5. 기업이 지금 해야 할 일

법의 세부 사항이 복잡해 보여도, 실제 사내 대응은 네 단계로 단순화하실 수 있습니다.

• 1단계 자가진단 — 사내에서 운영 중인 AI 도구 목록을 만들고, 각각의 용도와 의사결정 관여도 정리

• 2단계 위험 분류 — 고영향(채용·평가·신용 등) / 일반(문서 작성·요약·번역) / 보조(검색·아이디어) 세 단계로 분류

• 3단계 내부 정책 — 표시 문구 표준안, 기록 보존 절차, 책임자 지정, 사고 보고 라인 문서화

• 4단계 교육·기록 — 전 직원 대상 1회 교육 + 분기 1회 사용 기록 점검

이 네 단계만 해두셔도 표시·기록·책임자 의무는 충족할 수 있습니다. 고영향 시스템을 도입하실 경우에만 외부 영향 평가를 추가로 진행하시면 됩니다. 작은 회사일수록 형식적 문서보다 '무엇을 어떻게 쓰고 있는가'를 한 장으로 정리해두시는 것이 실무적으로 가장 유용합니다.

마무리

AI 규제는 앞으로 매년 강해질 가능성이 큽니다. 한국법은 비교적 점진적인 접근을 택했지만, EU·미국의 흐름을 따라 의무가 추가될 여지가 많습니다. 지금 한 번 정리해두는 자가진단표가, 1년 뒤 강화된 의무를 만났을 때 가장 큰 자산이 되어줄 것입니다. 사내 AI 도구가 늘어나는 속도만큼 관리 체계도 함께 자라야 합니다.

출처

• 과학기술정보통신부 — AI 기본법 안내

• 국가법령정보센터 — 인공지능 발전과 신뢰 기반 조성 등에 관한 법률

• European Commission — Regulatory framework on AI

• EU AI Act — Official Text

본문은 2026년 5월 9일 기준 공개 자료를 토대로 작성되었습니다. 법령의 구체 적용 범위와 세부 의무는 시행령·고시에 따라 달라질 수 있으므로, 도입 전에 공식 자료를 한 번 더 확인해주시기 바랍니다.