EU AI법 시행 일정이 다시 바뀌었어요: 생성형 AI 라벨링과 고위험 AI 규제의 새 기준 =================================================== EU 이사회가 2026년 6월 29일 AI 규칙 간소화 규정을 최종 승인하면서 생성형 AI 투명성 의무와 고위험 AI 적용 일정에 대한 기업의 준비 기준이 다시 조정됐다. 핵심은 2026년 8월 2일부터 적용되는 라벨링·고지 의무와, 독립형·제품 내장형 고위험 AI의 적용 시점 차이를 구분하는 것이다. - 2026년 8월 2일부터 챗봇 고지, AI 생성 콘텐츠 표시, 딥페이크 공개 등 AI 투명성 의무가 본격 적용된다. - 고위험 AI 적용 시점은 독립형 시스템의 경우 2027년 12월 2일, 제품 내장형 시스템의 경우 2028년 8월 2일로 조정됐다. - 비동의 성적 딥페이크와 아동 성착취물 생성 AI는 단순 표시 의무의 대상이 아니라 금지·중대 위법 영역으로 다뤄야 한다. - EU의 자율 코드와 실무 지침은 준수를 돕는 도구이지만, 실제 법적 책임은 AI Act의 조문과 적용 일정에 따라 판단된다. 개요 EU AI Act는 위험 기반으로 인공지능을 규율하는 EU의 포괄적 AI 법제다. 2026년 6월 29일 EU 이사회가 AI 규칙을 간소화·정비하는 규정을 최종 승인하면서, 기업이 실제로 준비해야 할 적용 일정과 의무 구분이 다시 중요해졌다. 이번 변화에서 특히 주목할 부분은 두 가지다. 2026년 8월 2일부터 적용되는 생성형 AI·챗봇·딥페이크 투명성 의무 고위험 AI 시스템의 적용 시점 조정: 독립형은 2027년 12월 2일, 제품 내장형은 2028년 8월 2일 즉, 모든 AI 의무가 같은 날 시작되는 것이 아니다. 기업은 “AI를 쓴다”는 사실만으로 동일한 의무를 적용받는 것이 아니라, 해당 시스템이 사용자와 상호작용하는지, 콘텐츠를 생성하는지, 딥페이크를 만드는지, 고위험 영역에 쓰이는지, 제품 안전 규제와 연결되는지를 기준으로 나누어 봐야 한다. 핵심 일정 한눈에 보기 구분 주요 내용 적용 시점 생성형 AI·챗봇·딥페이크 투명성 의무 AI와의 상호작용 고지, AI 생성 콘텐츠 표시, 딥페이크 공개 등 2026년 8월 2일 독립형 고위험 AI 시스템 채용, 교육, 필수서비스, 법집행 등 특정 고위험 영역의 독립형 시스템 2027년 12월 2일 제품 내장형 고위험 AI 시스템 기계, 장비, 제품 안전 규제와 결합된 AI 구성요소 2028년 8월 2일 자율 코드·가이드라인 표시·라벨링 실무를 돕는 자율적 기준 법적 의무 자체를 대체하지 않음 2026년 8월 2일부터 적용되는 생성형 AI 투명성 의무 2026년 8월 2일부터 기업이 특히 확인해야 할 부분은 AI Act의 투명성 의무다. 이 의무는 “AI가 생성한 모든 결과물을 무조건 금지한다”는 뜻이 아니라, 이용자와 사회가 AI가 개입했는지 알 수 있도록 표시·고지·공개하라는 취지다. 1. 챗봇과 대화형 AI: 사람과 대화 중이라고 오인하지 않도록 고지 사용자가 AI 시스템과 직접 상호작용하는 경우, 제공자 또는 배포자는 사용자가 자신이 AI와 상호작용하고 있음을 알 수 있게 해야 한다. 예를 들어 다음과 같은 서비스가 대상이 될 수 있다. 고객센터 챗봇 AI 상담·예약 시스템 웹사이트 내 대화형 AI 비서 음성 기반 자동응답 AI 이용자에게 사람 상담원처럼 응답하는 생성형 AI 인터페이스 실무적으로는 첫 화면, 대화 시작 메시지, 음성 안내, 서비스 설명, UI 라벨 등을 통해 “이 응답은 AI 시스템이 생성한다”는 점을 명확히 알리는 방식이 검토될 수 있다. 2. AI 생성 콘텐츠: 기계가 읽을 수 있는 표시와 탐지 가능성 AI가 이미지, 오디오, 영상, 텍스트 등 합성 콘텐츠를 생성하거나 조작하는 경우에는, 해당 콘텐츠가 인공적으로 생성·조작되었다는 사실을 표시할 필요가 있다. 중요한 점은 단순한 문구 표시만이 아니라, 기술적으로 가능한 범위에서 기계가 읽을 수 있는 방식 또는 탐지 가능한 방식의 표시가 요구될 수 있다는 점이다. 이는 검색엔진, 플랫폼, 검증 도구, AI 시스템이 해당 콘텐츠의 출처와 성격을 인식하도록 하기 위한 장치다. 가능한 구현 방식은 콘텐츠 유형에 따라 달라질 수 있다. 콘텐츠 유형 가능한 표시 방식의 예 이미지 메타데이터, 워터마크, 캡션, 게시 화면 라벨 영상 화면 라벨, 메타데이터, 합성 여부 표시, 설명란 고지 음성 음성 안내, 파일 메타데이터, 게시 페이지 고지 텍스트 작성·게시 화면의 AI 생성 고지, 메타데이터, 편집 책임 표시 다만 법적 판단에서는 예외와 범위가 중요하다. 예컨대 단순 보정, 문법 교정, 표준적 편집 보조처럼 입력의 의미를 실질적으로 바꾸지 않는 기능은 딥페이크나 합성 콘텐츠 공개 의무와 다르게 취급될 수 있다. 3. 딥페이크: 조작 사실을 명확히 공개해야 함 딥페이크는 실제 인물, 사물, 장소, 사건을 사실처럼 보이게 만드는 합성·조작 콘텐츠를 말한다. AI Act의 투명성 의무는 딥페이크를 이용자가 실제 기록물로 오인하지 않도록 공개하는 데 초점을 둔다. 예를 들어 다음 콘텐츠는 주의가 필요하다. 실제 인물이 말하지 않은 내용을 말한 것처럼 만든 영상 실제 사진처럼 보이는 합성 인물 이미지 정치인·기업인·연예인 등의 음성 복제 콘텐츠 실제 사건 영상처럼 보이도록 만든 생성형 영상 공개 방식은 콘텐츠의 맥락에 맞아야 한다. 짧은 영상 플랫폼에서는 화면 라벨과 설명란 고지가 필요할 수 있고, 뉴스·정보성 콘텐츠에서는 편집 책임자 검토와 생성·조작 사실의 명확한 표시가 중요하다. 비동의 성적 딥페이크와 아동 성착취물 생성 AI의 의미 이번 논의에서 별도로 구분해야 할 영역은 비동의 성적 딥페이크와 아동 성착취물 생성 AI다. 이는 단순히 “AI로 만들었으니 표시하면 된다”는 문제가 아니다. 비동의 성적 딥페이크 비동의 성적 딥페이크는 당사자의 동의 없이 성적 이미지·영상·음성을 합성하거나 조작하는 행위를 말한다. 이 영역은 피해자의 인격권, 성적 자기결정권, 사생활, 명예, 안전과 직접 연결된다. 따라서 기업은 이를 일반적인 생성형 콘텐츠 라벨링 대상으로만 취급해서는 안 된다. 플랫폼, 생성 도구, API, 모델 배포자는 다음과 같은 통제를 검토해야 한다. 성적 딥페이크 생성 요청 차단 유명인·일반인 얼굴 합성 악용 방지 신고·삭제·차단 절차 마련 반복 위반 계정 제재 생성물 저장·공유 경로에 대한 안전장치 미성년자 또는 동의 확인이 불가능한 인물 관련 요청 차단 아동 성착취물 생성 AI 아동 성착취물은 실제 아동을 대상으로 하든, AI로 합성·생성되었든 극히 중대한 불법·위해 영역이다. AI가 실제 피해자를 직접 촬영하지 않았다는 이유로 위험이 사라지는 것이 아니다. 생성형 AI는 아동 성착취 이미지를 대량 생성하거나 확산시키는 도구로 악용될 수 있기 때문이다. 따라서 이 영역은 투명성 표시보다 생성 방지, 접근 차단, 신고 체계, 법 집행 협력이 핵심이다. 기업은 콘텐츠 정책뿐 아니라 모델 안전성, 프롬프트 필터링, 출력 검수, 학습데이터 관리, API 남용 방지까지 포함해 통제해야 한다. 고위험 AI 적용 시점은 어떻게 바뀌었나 고위험 AI는 사람의 권리, 안전, 기회, 필수 서비스 접근에 중대한 영향을 줄 수 있는 AI를 말한다. AI Act는 이러한 시스템에 대해 위험관리, 데이터 거버넌스, 기술문서, 기록보존, 투명성, 인간 감독, 정확성·견고성·사이버보안 등 강한 의무를 부과한다. 이번 일정 조정의 핵심은 고위험 AI를 독립형 시스템과 제품 내장형 시스템으로 나누어 적용 시점을 달리 본다는 점이다. 독립형 고위험 AI: 2027년 12월 2일 독립형 고위험 AI는 제품 안전 인증과 직접 결합되어 있지 않더라도, 특정 고위험 용도에 사용되는 AI 시스템을 말한다. 예를 들어 다음 영역이 문제될 수 있다. 채용·승진·해고 등 고용 관련 의사결정 지원 교육기관의 입학, 평가, 학습 성과 판단 신용평가, 대출, 보험 등 필수 민간서비스 접근 공공급여, 사회보장, 필수 공공서비스 접근 법집행, 이민·국경관리, 사법·민주 절차 관련 지원 생체정보 기반 식별·분류 등 민감한 사용 영역 이러한 시스템은 2027년 12월 2일부터 적용되는 고위험 AI 의무에 맞춰 준비해야 한다. 단순히 모델 성능이 좋다는 설명만으로는 부족하며, 사용 목적, 데이터, 위험관리, 인간 감독, 로그, 책임 주체를 문서화해야 한다. 제품 내장형 고위험 AI: 2028년 8월 2일 제품 내장형 고위험 AI는 기계, 장비, 의료·산업·안전 관련 제품 등 물리적 제품 또는 규제 대상 제품의 안전 기능에 통합된 AI를 의미할 수 있다. 이 경우 AI Act 의무는 기존 EU 제품 안전 규제, 적합성 평가, CE 표시, 품질관리 시스템과 맞물린다. 적용 시점이 2028년 8월 2일로 조정된 이유는 단순한 소프트웨어 서비스보다 준비할 요소가 많기 때문이다. 제품 설계, 공급망, 하드웨어 통합, 시험, 인증기관 절차, 출시 주기와 연결되기 때문에 더 긴 전환 기간이 필요하다. 왜 일정이 조정되었나 EU의 일정 조정은 AI 규제를 완화해 무력화하려는 조치라기보다, 실제 집행 가능성과 기업의 준비 가능성을 맞추려는 성격이 강하다. 특히 고위험 AI 의무는 단순 공지문 하나로 이행할 수 있는 수준이 아니다. 기업은 다음을 준비해야 한다. 고위험 해당 여부 판단 AI 시스템 목록화와 사용 목적 정리 데이터셋 출처와 품질 관리 위험관리 체계 수립 인간 감독 절차 설계 로그 기록과 추적성 확보 정확성·견고성·사이버보안 검증 공급자, 배포자, 수입자, 사용자 간 책임 구분 기술문서와 적합성 평가 준비 이러한 요소가 충분히 정리되지 않은 상태에서 의무가 시작되면, 기업뿐 아니라 감독기관도 해석과 집행에 어려움을 겪을 수 있다. 따라서 일정 조정은 규제 대상자에게 준비 기간을 부여하고, 동시에 실효성 있는 집행을 가능하게 하는 조치로 이해할 수 있다. 자율 코드와 실제 법적 의무를 구분해야 하는 이유 EU 집행위원회는 AI 생성 콘텐츠 표시와 라벨링을 위한 실무 코드와 정책 자료를 제시하고 있다. 이러한 코드는 기업이 어떤 방식으로 라벨을 붙이고, 콘텐츠 출처 정보를 남기며, 이용자에게 고지할 수 있는지 참고하는 데 유용하다. 그러나 자율 코드와 법적 의무는 같지 않다. 구분 자율 코드 법적 의무 성격 실무 지침·모범관행 법률상 요구사항 가입 여부 원칙적으로 자율적 적용 대상이면 의무적 효과 준수 노력 입증에 도움 위반 시 제재 가능 판단 기준 코드의 세부 약속 AI Act 조문, 적용 일정, 감독기관 해석 기업 대응 내부 정책·기술 구현 참고 법무·컴플라이언스 기준으로 관리 따라서 기업은 “자율 코드에 참여했다”는 사실만으로 법적 의무를 모두 이행했다고 보아서는 안 된다. 반대로 자율 코드에 참여하지 않았더라도, 법이 요구하는 투명성, 문서화, 위험관리 의무는 별도로 이행해야 한다. 기업용 체크리스트: 지금 무엇을 확인해야 하나 1. 우리 서비스가 AI와의 상호작용을 포함하는가 이용자가 챗봇, 음성봇, 상담 AI와 직접 대화하는가? 사용자가 사람 상담원과 AI를 혼동할 수 있는가? 첫 화면 또는 대화 시작 시 AI 고지가 제공되는가? 자동화된 응답과 인간 상담 전환 기준이 명확한가? 2. AI 생성 콘텐츠를 만들거나 배포하는가 이미지, 영상, 음성, 텍스트를 AI로 생성하는가? 생성물이 외부에 게시·공유·판매되는가? AI 생성 또는 조작 사실을 이용자가 쉽게 알 수 있는가? 메타데이터, 워터마크, 라벨 등 기계 판독 가능한 표시를 검토했는가? 3. 딥페이크 또는 합성 인물 기능이 있는가 실제 인물의 얼굴·음성·행동을 합성하는 기능이 있는가? 정치, 금융, 보건, 재난 등 공익 정보 영역에서 오인 가능성이 있는가? 비동의 성적 합성, 명예훼손, 사기, 사칭에 악용될 수 있는가? 신고·삭제·차단·계정 제재 절차가 있는가? 4. 고위험 AI에 해당할 수 있는가 채용, 교육, 신용, 보험, 공공서비스, 법집행, 이민, 사법 영역에 쓰이는가? AI 출력이 사람의 권리나 기회에 실질적 영향을 주는가? 독립형 소프트웨어인가, 제품에 내장된 안전 기능인가? 적용 시점이 2027년 12월 2일인지, 2028년 8월 2일인지 구분했는가? 5. 자율 코드와 법적 의무를 혼동하고 있지 않은가 자율 코드 참여 여부와 별개로 법적 의무 목록을 작성했는가? 내부 정책, 제품 설계, 법무 검토가 같은 기준을 사용하고 있는가? EU 이용자 또는 EU 시장 제공 여부를 확인했는가? 공급자, 배포자, API 제공자, 고객사의 책임 범위를 계약에 반영했는가? 실무상 오해하기 쉬운 점 “AI 생성 콘텐츠는 모두 금지된다”는 뜻이 아니다 AI 생성 콘텐츠 자체가 금지되는 것은 아니다. 핵심은 이용자가 AI 생성 또는 조작 사실을 알 수 있어야 한다는 점이다. 다만 비동의 성적 딥페이크, 아동 성착취물, 사기·사칭·권리침해 목적의 콘텐츠는 별도의 중대 위험 영역으로 관리해야 한다. “라벨만 붙이면 모든 문제가 해결된다”는 뜻도 아니다 라벨링은 투명성 의무의 일부일 뿐이다. 콘텐츠가 불법이거나, 타인의 권리를 침해하거나, 안전에 위해를 주거나, 고위험 의사결정에 사용된다면 표시와 별개로 추가 의무 또는 금지 문제가 발생할 수 있다. “고위험 AI 일정이 늦춰졌으니 준비를 미뤄도 된다”는 뜻이 아니다 고위험 AI 의무는 준비 시간이 오래 걸린다. 데이터 거버넌스, 위험관리, 기술문서, 인간 감독 체계는 제품 출시 직전에 붙일 수 있는 부가 기능이 아니다. 일정이 조정되었더라도 2026년부터 시스템 목록화와 위험분류를 시작하는 것이 안전하다. 결론 EU AI법의 새 일정에서 가장 중요한 실무 메시지는 명확하다. 2026년 8월 2일부터 생성형 AI와 챗봇, 딥페이크 투명성 의무가 적용되고, 고위험 AI 의무는 독립형과 제품 내장형을 나누어 2027년 12월 2일 및 2028년 8월 2일로 준비해야 한다. 기업은 자율 코드, 기술 가이드, 내부 윤리 원칙만으로는 충분하지 않다. 실제 법적 의무가 언제, 어떤 시스템에, 어떤 역할의 사업자에게 적용되는지를 기준으로 AI 인벤토리, 라벨링 체계, 위험관리, 문서화, 금지 콘텐츠 차단 절차를 함께 정비해야 한다. FAQ Q. 2026년 8월 2일부터 모든 생성형 AI가 금지되나요? A. 아닙니다. 핵심은 금지가 아니라 투명성 의무입니다. 챗봇과의 상호작용 고지, AI 생성 콘텐츠 표시, 딥페이크 공개 등이 요구됩니다. 다만 비동의 성적 딥페이크나 아동 성착취물 생성처럼 중대한 위해 영역은 단순 라벨링으로 해결되지 않는 금지·위법 영역으로 보아야 합니다. Q. 챗봇에는 어떤 고지가 필요하나요? A. 사용자가 사람과 대화한다고 오인하지 않도록 AI 시스템과 상호작용하고 있음을 명확히 알려야 합니다. 예를 들어 대화 시작 화면, 첫 응답, 음성 안내, 서비스 설명, UI 라벨 등을 통해 AI 응답임을 표시할 수 있습니다. Q. AI 생성 콘텐츠 라벨링은 사람에게 보이는 문구만 있으면 충분한가요? A. 항상 그렇지는 않습니다. AI Act의 취지는 사람이 이해할 수 있는 표시뿐 아니라 기술적으로 가능한 범위에서 기계가 읽거나 탐지할 수 있는 표시도 포함합니다. 메타데이터, 워터마크, 콘텐츠 출처 정보, 게시 화면 라벨 등을 함께 검토하는 것이 좋습니다. Q. 딥페이크는 모두 불법인가요? A. 딥페이크 자체가 모든 경우에 불법인 것은 아닙니다. 풍자, 창작, 합법적 영상 제작 등 정당한 맥락이 있을 수 있습니다. 그러나 실제 인물·사건으로 오인될 수 있는 경우에는 조작 사실을 공개해야 하며, 비동의 성적 딥페이크나 아동 성착취물 생성은 별도의 중대 위법 영역입니다. Q. 고위험 AI 적용 시점은 어떻게 달라졌나요? A. 이번 일정 기준으로 독립형 고위험 AI 시스템은 2027년 12월 2일, 제품 내장형 고위험 AI 시스템은 2028년 8월 2일이 주요 적용 시점입니다. 독립형은 채용·교육·신용·공공서비스 등 특정 용도에 쓰이는 소프트웨어형 AI가 중심이고, 제품 내장형은 제품 안전 규제와 결합된 AI 구성요소가 중심입니다. Q. 독립형 고위험 AI와 제품 내장형 고위험 AI의 차이는 무엇인가요? A. 독립형 고위험 AI는 특정 고위험 영역에서 의사결정이나 평가를 지원하는 소프트웨어형 시스템을 말합니다. 제품 내장형 고위험 AI는 기계, 장비, 안전 관련 제품 등 물리적 제품이나 규제 대상 제품의 기능에 통합된 AI를 말합니다. 후자는 제품 안전 인증과 적합성 평가 절차가 함께 문제될 수 있습니다. Q. 자율 코드에 참여하면 AI Act 의무를 모두 이행한 것으로 보나요? A. 그렇지 않습니다. 자율 코드는 표시·라벨링 등 실무 구현을 돕는 도구일 수 있지만, 법적 의무 자체를 대체하지 않습니다. 기업은 자율 코드 참여 여부와 별개로 AI Act의 조문, 적용 일정, 감독기관 해석에 따라 의무를 이행해야 합니다. Q. EU 밖의 기업도 이 일정에 영향을 받나요? A. EU 시장에 AI 시스템을 제공하거나, EU 내 이용자에게 서비스를 제공하거나, AI 출력이 EU에서 사용되는 경우에는 EU 밖 기업도 영향을 받을 수 있습니다. 실제 적용 여부는 서비스 제공 구조, 이용자 위치, 계약 관계, 시스템 역할에 따라 검토해야 합니다. Q. 기업은 가장 먼저 무엇을 해야 하나요? A. AI 인벤토리를 작성하는 것이 우선입니다. 어떤 AI 시스템을 운영하는지, 생성형 AI인지, 사용자와 직접 상호작용하는지, 딥페이크 기능이 있는지, 고위험 영역에 쓰이는지, 독립형인지 제품 내장형인지 분류해야 합니다. 그다음 라벨링, 고지, 위험관리, 문서화, 금지 콘텐츠 차단 절차를 정비해야 합니다. Sources - Council of the EU press release: Artificial intelligence — Council gives final green light to simplify and streamline rules: https://www.consilium.europa.eu/en/press/press-releases/2026/06/29/artificial-intelligence-council-gives-final-green-light-to-simplify-and-streamline-rules/pdf/ - Council of the EU: Timeline — Artificial Intelligence Act: https://www.consilium.europa.eu/en/policies/artificial-intelligence-act/timeline-artificial-intelligence/ - European Commission: Code of Practice for marking and labelling AI-generated content: https://digital-strategy.ec.europa.eu/en/news/commission-publishes-code-practice-marking-and-labelling-ai-generated-content - European Commission policy page: Code of practice on AI-generated content: https://digital-strategy.ec.europa.eu/en/policies/code-practice-ai-generated-content Images - 유럽 지도와 EU 별, 일정표, 저울, 방패, AI 아이콘이 있는 AI 규제 일러스트: https://injoys.com/rails/active_storage/blobs/redirect/eyJfcmFpbHMiOnsiZGF0YSI6NjA5LCJwdXIiOiJibG9iX2lkIn19--8e16e4963edd51ee36a6858032a5df94de0fe542/ai-c8ae09ee.webp - 텍스트·이미지·영상·음성·코드가 대시보드와 AI 장비의 검증 흐름으로 연결된 인포그래픽: https://injoys.com/rails/active_storage/blobs/redirect/eyJfcmFpbHMiOnsiZGF0YSI6NjE1LCJwdXIiOiJibG9iX2lkIn19--9cf4862ca7f5c6ad7f0c4ae109d881fccfb4a3fe/ai-5220d203.webp - EU AI법 새 시행 일정과 투명성 의무, 금지 항목을 정리한 인포그래픽: https://injoys.com/rails/active_storage/blobs/redirect/eyJfcmFpbHMiOnsiZGF0YSI6NjIxLCJwdXIiOiJibG9iX2lkIn19--b3d35c8b5cd3dd25cfae0a6df8a4c2aed6237689/ai-4d7dcd9a.webp --- Category: AI 데이터 Source: https://injoys.com/ko/articles/eu-ai-act-timeline-generative-ai-transparency-high-risk-ai License: cc_by Translation-Status: original