EU AI Act 2단계 의무 발효, 5월 중순부터 무엇이 달라지는가
5월 중순부터 EU AI Act의 두 번째 의무 단계가 본격 발효됩니다. 작년 8월 1단계(금지된 AI 사용 사례)에 이어, 이번에는 범용 AI 모델 공급자(GPAI)에 대한 투명성·문서화 의무가 적용되는 단계입니다. 유럽 시장에 모델을 제공하는 모든 공급자가 영향을 받기 때문에, 글로벌 AI 기업이 일제히 대응 자료를 공개하고 있습니다.
한눈에 보기
무엇 — EU AI Act 범용 AI 모델(GPAI) 의무 본격 적용
언제 — 2026년 5월(법 발효 후 12개월 시점)
대상 — EU 시장에 진입한 모든 범용 AI 모델 공급자
핵심 — 학습 데이터 요약 공개, 기술 문서 보존, 저작권 정책 명시
1. 무엇이 바뀌었나
GPAI 공급자에 직접 적용되는 핵심 의무를 정리하면 다음과 같습니다.
학습 데이터 요약 공개 — 어떤 종류의 데이터를 사용했는지 일반 공개 문서 작성
기술 문서 보존 — 모델 아키텍처·학습 절차·평가 결과를 당국에 제출할 수 있도록 보관
저작권 정책 명시 — EU 저작권법 준수 방침을 공개
시스템 리스크 분류 — 일정 컴퓨트 임계값(10^25 FLOPs)을 넘는 모델은 추가 의무 적용
특히 시스템 리스크 GPAI로 분류되는 대형 모델(예: GPT-5.5, Claude Opus 4.7, Gemini Ultra, LLaMA 5 400B 등)은 사이버보안 평가·심각한 사고 보고 의무까지 더해집니다.
2. 왜 중요한가
이번 단계는 단순 가이드라인이 아니라 강제력이 있는 의무라는 점이 가장 큰 차이입니다. 위반 시 최대 연 매출의 7%까지 과징금이 부과될 수 있습니다. 즉, EU 시장에 모델·서비스를 제공하시는 한국 기업도 직간접적으로 의무가 적용됩니다.
또한 다른 지역 규제의 기준선이 된다는 점도 기억해둘 필요가 있습니다. 한국 AI 기본법, 미국 행정명령, 영국 AISI 가이드라인 등도 EU AI Act의 일부 개념(학습 데이터 요약, 시스템 리스크)을 차용하는 흐름입니다. EU 의무를 정리해두면 다른 지역 규제 대응이 한층 수월해집니다.
3. 누가 영향을 받는가
EU에 모델을 공급하는 기업 — 학습 데이터 요약·기술 문서 의무가 직접 적용
EU에 서비스를 제공하는 기업 — 사용 중인 모델의 컴플라이언스 자료를 자체 보관
연구 목적 모델 — 일정 조건의 연구 목적 모델은 일부 의무 면제
오픈소스 모델 배포자 — 별도 면제 조항이 있으나, 시스템 리스크 GPAI 기준에 걸리면 적용
4. 한국 시장 관점
한국 기업 입장에서 가장 먼저 짚을 부분은 자사가 직접 모델을 공급하는가, 아니면 사용만 하는가입니다. 직접 모델 제공자라면 EU 측 문서화 의무를 별도 트랙으로 준비해야 합니다. 사용자 입장이라면, 사용 중인 모델 공급자가 EU 의무를 어떻게 충족하는지 자료를 받아 보관하시는 것이 안전합니다.
도입 우선순위로는 다음 세 가지를 권합니다.
학습 데이터 요약 자료 확보 — 사용 모델별 데이터 요약 문서 다운로드
사용자 알림 — 자사 서비스가 AI 결과를 포함한다는 사실을 사용자에게 명시
사고 보고 채널 — EU 사용자가 심각한 결과를 신고할 수 있는 창구 마련
또한 한국 AI 기본법(5월 시행)과 EU AI Act 의무가 어떻게 중첩되는지를 미리 매핑해두시면, 양쪽 보고 양식을 함께 충족할 수 있습니다.
마무리
EU AI Act 2단계는 AI 규제가 가이드라인에서 의무로 넘어가는 변곡점입니다. 글로벌 모델 공급자가 모두 자료를 정비하고 있는 5월은 한국 기업 입장에서도 사내 컴플라이언스 자료를 한 번 정리하기에 좋은 시점입니다. 처음에는 부담스럽지만, 한번 양식을 갖춰두면 다른 지역 규제 대응에도 그대로 재활용할 수 있는 자산이 됩니다.
출처
본문은 2026년 5월 12일 기준 공개 자료를 토대로 작성되었습니다. 규제 세부 사항은 자주 갱신되므로, 도입 전에 공식 문서를 한 번 더 확인해주시기 바랍니다.
댓글 0
- 첫 댓글을 남겨보세요