한눈에 보는 결론

유럽연합의 AI Act는 2026년 8월 2일부터 생성형 AI 콘텐츠의 표시·라벨링과 일부 투명성 의무가 본격 적용되는 단계에 들어간다. 유럽위원회는 2026년 6월 10일 AI 생성 콘텐츠의 표시와 라벨링에 관한 실행규범을 발표했으며, 이는 기업이 법적 의무를 실제 제품·서비스 운영에 옮길 때 참고할 수 있는 실무 기준으로 기능한다.

이 글은 법률 자문이 아니라 컴플라이언스 점검용 지식 자료다. 실제 적용 여부는 서비스 구조, 이용자 위치, 모델 제공 방식, 계약상 역할, 현지 감독기관의 해석에 따라 달라질 수 있다.

핵심 일정과 적용 포인트

항목 주요 내용 기업이 확인할 점
2026년 6월 10일 유럽위원회가 AI 생성 콘텐츠 표시·라벨링 실행규범을 발표 제품 UI, 메타데이터, 워터마크, 공개 고지 방식이 실행규범과 맞는지 검토
2026년 8월 2일 AI Act의 관련 투명성 의무 적용 텍스트·이미지·오디오·영상별 라벨링 정책과 로그를 준비
2026년 8월 2일 GPAI 모델 제공자에 대한 집행 권한이 본격화되는 시점으로 제시됨 기술문서, 저작권 정책, 학습 데이터 요약, 위험관리 체계 점검
계속 적용 EU 시장 또는 EU 이용자와 연결된 역외 사업자도 적용 가능 한국·미국 법인이라도 EU 서비스 제공 여부를 기준으로 범위 검토

용어 정리

AI 생성 콘텐츠

AI 시스템이 만든 텍스트, 이미지, 오디오, 영상 또는 이를 조합한 콘텐츠를 말한다. AI Act의 투명성 의무는 특히 사람이 실제로 만든 것처럼 보이거나, 현실 인물·사건·발언을 사실처럼 오인하게 만들 수 있는 콘텐츠에 중요하게 작동한다.

생성형 AI 라벨링

생성형 AI 라벨링은 이용자나 수신자가 콘텐츠의 AI 생성·조작 여부를 알 수 있도록 표시하는 절차다. 표시 방식은 다음 두 층으로 나누어 생각하는 것이 실무적으로 안전하다.

  1. 사람이 볼 수 있는 표시: 화면 문구, 아이콘, 자막, 설명란, 게시물 고지 등.
  2. 기계가 읽을 수 있는 표시: 메타데이터, 콘텐츠 출처 정보, 워터마크, 콘텐츠 인증·프로비넌스 정보 등.

GPAI 모델

GPAI는 general-purpose AI의 약자로, 다양한 하위 작업과 응용 서비스에 폭넓게 사용될 수 있는 일반목적 AI 모델을 뜻한다. 대규모 언어모델, 멀티모달 모델, 이미지 생성 모델 등이 해당될 수 있다. 단순히 AI 기능을 사용하는 기업과 GPAI 모델 자체를 제공하는 기업은 의무 수준이 다르다.

2026년 8월부터 달라지는 생성형 AI 표시 의무

AI Act의 투명성 체계는 이용자가 AI와 상호작용하고 있는지, 또는 접하는 콘텐츠가 AI로 생성·조작되었는지 알 수 있게 하는 데 목적이 있다. 특히 AI가 만든 콘텐츠가 공익적 정보, 뉴스, 선거, 보건, 금융, 안전, 법률 판단과 연결되는 경우 표시의 명확성이 중요하다.

매체별 라벨링 체크리스트

콘텐츠 유형 실무 표시 방식 주의할 점
텍스트 게시물 상단·하단 고지, 편집자 주, 서비스 약관·도움말의 생성 방식 설명 공익 사안에 관한 정보 제공 목적의 텍스트는 인간 검토와 편집 책임 여부를 명확히 기록
이미지 이미지 주변 고지, 다운로드 파일의 메타데이터, 워터마크 또는 출처 정보 단순 편집과 현실 왜곡이 큰 합성 이미지를 구분해 정책화
오디오 재생 전·후 음성 고지, 설명란, 파일 메타데이터 실제 인물의 목소리처럼 들리는 합성 음성은 오인 가능성을 별도로 평가
영상 화면 자막, 설명란, 시작·종료 고지, 메타데이터·워터마크 딥페이크, 정치·사회적 발언 재현, 인물 합성 영상은 더 높은 투명성 기준 필요
멀티모달 콘텐츠 텍스트·이미지·오디오·영상 각각에 맞춘 복합 표시 하나의 표시만으로 충분한지, 각 매체별 오인 가능성이 남는지 확인

자발적 실행규범과 법적 의무의 관계

유럽위원회의 실행규범은 기업이 법적 의무를 어떻게 이행할 수 있는지 구체화하는 실무 도구다. 이름은 자발적 실행규범이지만, 그 의미를 과소평가해서는 안 된다.

실행규범 서명의 의미

  • 실행규범은 AI Act 자체를 대체하지 않는다.
  • 서명 기업은 규제기관에 준수 체계를 갖추었다는 점을 설명하기 쉬워질 수 있다.
  • 비서명 기업도 AI Act의 법적 의무에서 면제되지 않는다.
  • 실행규범은 감독기관·AI Office와의 소통에서 준수 기준을 설명하는 참고자료가 될 수 있다.

기업 내부 문서에 반영할 항목

  • AI 생성 콘텐츠의 정의와 범위
  • 콘텐츠 유형별 표시 기준
  • 표시가 생략될 수 있는 예외와 그 승인 절차
  • 메타데이터·워터마크 등 기술적 표시 방식
  • 외부 플랫폼 게시 시 표시가 유지되는지 확인하는 절차
  • 이용자 신고와 라벨 오류 수정 절차
  • 로그 보관 기간과 책임 부서

GPAI 관련 역할 구분: 제공자, 배포자, 파인튜닝 사업자

GPAI 의무를 점검할 때 가장 먼저 해야 할 일은 자신이 어떤 역할인지 분류하는 것이다. 같은 기업도 한 제품에서는 단순 이용자이고, 다른 제품에서는 모델 제공자일 수 있다.

역할 일반적 의미 주요 책임 포인트
GPAI 모델 제공자 GPAI 모델을 개발하거나, 자기 이름으로 EU 시장에 제공하는 주체 기술문서, 하위 제공자용 정보, 저작권 정책, 학습 데이터 요약
AI 시스템 제공자 특정 기능을 수행하는 AI 시스템을 시장에 출시하거나 서비스하는 주체 AI 시스템의 위험 등급, 투명성, 사용자 안내, 적합성 평가 여부
배포자·유통 주체 공급망에서 AI 시스템이나 모델을 제공·유통하는 주체 제품 정보 전달, 변경 여부 확인, 공급망 문서 보존
배치자 또는 이용 사업자 업무 목적으로 AI 시스템을 사용하는 주체 이용자 고지, 출력물 사용 책임, 내부 통제, 인적 감독
파인튜닝 사업자 기존 모델을 추가 학습·조정해 특정 목적이나 브랜드로 제공하는 주체 변경 수준에 따라 제공자 또는 하위 제공자 의무가 발생할 수 있음

파인튜닝 사업자가 특히 봐야 할 질문

  • 단순 내부 사용인지, 외부 고객에게 제공하는지?
  • 원모델의 기능·위험·사용 목적을 실질적으로 바꾸었는지?
  • 자기 브랜드로 모델 또는 서비스를 제공하는지?
  • 원모델 제공자로부터 받은 문서와 제한사항을 유지하고 있는지?
  • 파인튜닝 데이터의 출처, 권리, 개인정보, 저작권 검토 기록이 있는지?

GPAI 제공자 의무 체크리스트

GPAI 모델 제공자는 일반 AI 애플리케이션 운영자보다 더 무거운 문서화·투명성 의무를 부담할 수 있다. 다음 항목은 2026년 8월 전후로 우선 점검해야 할 실무 목록이다.

1. 기술문서

  • 모델의 일반적 기능과 한계
  • 학습·검증·테스트에 관한 개략적 정보
  • 모델 아키텍처와 설계상 주요 선택
  • 하위 제공자가 안전하게 통합할 수 있도록 필요한 정보
  • 모델 업데이트와 버전 관리 기록

2. 하위 제공자용 정보

GPAI 모델을 API, 오픈웨이트, 라이선스, 클라우드 서비스 형태로 제공하는 경우 하위 제공자가 자체 AI 시스템을 설계·평가할 수 있도록 충분한 정보를 제공해야 한다. 여기에는 성능 한계, 금지 사용, 권장 안전장치, 알려진 위험, 통합 지침 등이 포함될 수 있다.

3. 저작권 정책

AI Act는 GPAI 제공자에게 저작권 관련 정책을 요구한다. 기업은 최소한 다음을 문서화해야 한다.

  • 학습 데이터 수집·사용 정책
  • 저작권 보호 콘텐츠 처리 절차
  • 권리 보유자의 옵트아웃 또는 이용 제한 신호 확인 절차
  • 데이터셋 출처와 라이선스 검토 방식
  • 침해 신고 접수와 대응 절차

4. 학습 데이터 요약

GPAI 제공자는 학습에 사용된 콘텐츠에 관해 충분히 상세한 요약을 제공해야 한다. 이는 전체 원천 데이터를 공개하라는 의미와 동일하지는 않지만, 어떤 유형의 데이터가 어떤 범위에서 사용되었는지 이해할 수 있어야 한다.

5. 시스템 위험 평가

일부 강력한 GPAI 모델은 시스템 위험이 있는 모델로 분류될 수 있다. 이 경우 기업은 다음과 같은 강화 의무를 검토해야 한다.

  • 모델 평가와 적대적 테스트
  • 시스템 위험 식별·분석·완화
  • 중대 사고 모니터링과 보고 절차
  • 사이버보안 보호 조치
  • 출시 후 모니터링과 반복 개선

한국·미국 기업의 EU 적용 범위 점검

EU AI Act는 EU 기업에만 적용되는 규정이 아니다. EU 시장에 AI 시스템이나 GPAI 모델을 제공하거나, EU 내 이용자를 대상으로 서비스하거나, AI 시스템의 산출물이 EU에서 사용되는 구조라면 역외 기업도 적용 가능성을 검토해야 한다.

역외 기업 체크 질문

  1. EU 이용자가 가입·결제·사용할 수 있는가?
  2. 서비스 언어, 가격, 고객지원, 마케팅이 EU 시장을 겨냥하는가?
  3. API 고객이나 B2B 고객이 EU에서 해당 모델을 사용하는가?
  4. AI가 만든 산출물이 EU의 소비자, 근로자, 시민, 유권자에게 영향을 주는가?
  5. EU 법인, 대리인, 리셀러, 클라우드 파트너를 통해 공급되는가?
  6. 서비스 약관에서 EU 이용자를 명시적으로 제외하더라도 실제 접근·사용이 통제되는가?

2026년 8월 전 준비할 내부 실행계획

제품·기술팀

  • 생성형 AI 출력물에 기본 라벨을 붙일 수 있는 UI 컴포넌트 설계
  • 이미지·오디오·영상 파일의 메타데이터 보존 테스트
  • 워터마크나 콘텐츠 출처 정보가 압축·재업로드 후에도 유지되는지 확인
  • AI 출력물과 인간 편집 콘텐츠의 구분 로직 구현

법무·정책팀

  • AI Act 적용 범위와 역할 분류 메모 작성
  • 실행규범 서명 여부와 준수 전략 검토
  • 저작권 정책, 데이터 사용 정책, 신고 대응 절차 정비
  • EU 고객·파트너 계약서에 AI 역할과 책임 조항 반영

보안·리스크팀

  • 모델 오남용 시나리오 작성
  • 합성 신원, 사기, 허위정보, 선거·공익 정보 위험 평가
  • 사고 보고 라인과 책임자 지정
  • 로그 보존, 접근권한, 감사 추적 체계 구축

경영진

  • 2026년 8월 이전까지 예산과 책임조직 확정
  • 고위험 제품군과 GPAI 관련 제품군 우선순위 결정
  • 규제기관 문의, 고객 실사, 투자자 질의에 대비한 설명자료 승인

빠른 자가진단표

질문 아니오 다음 조치
EU 이용자가 서비스에 접근할 수 있는가? EU 적용 범위 검토
텍스트·이미지·오디오·영상 출력물이 AI 생성임을 표시하는가? 표시 UI와 메타데이터 설계
공익 사안 관련 AI 생성 텍스트를 별도 관리하는가? 인간 검토·편집 책임 기록
GPAI 모델을 자체 브랜드로 제공하는가? GPAI 제공자 의무 검토
파인튜닝 모델을 외부 고객에게 제공하는가? 역할 재분류와 문서화
학습 데이터와 저작권 정책이 문서화되어 있는가? 데이터·권리 검토 체계 수립
시스템 위험 평가와 사고 보고 절차가 있는가? 리스크 관리 체계 구축

실무상 자주 생기는 오해

오해 1: 실행규범은 자발적이므로 무시해도 된다

실행규범 자체는 자발적 성격을 갖지만, AI Act의 법적 의무는 별도로 존재한다. 실행규범은 그 의무를 어떻게 충족할지 보여주는 기준점으로 활용될 수 있다.

오해 2: 라벨은 화면에 한 번만 쓰면 충분하다

콘텐츠가 다운로드, 공유, 재업로드, 편집되는 과정에서 표시가 사라질 수 있다. 사람이 볼 수 있는 표시와 기계가 읽을 수 있는 표시를 함께 설계하는 것이 안전하다.

오해 3: 한국이나 미국 회사는 EU AI Act와 무관하다

EU 시장 또는 EU 이용자와 연결된 서비스라면 역외 기업도 적용될 수 있다. 특히 API, SaaS, 앱스토어, 오픈소스 모델, 클라우드 배포 구조에서는 실제 이용 위치를 확인해야 한다.

오해 4: 파인튜닝은 항상 단순 이용에 불과하다

파인튜닝 결과물을 외부에 제공하거나 자기 브랜드로 서비스하면, 변경 정도와 제공 방식에 따라 더 높은 책임을 질 수 있다.

결론

2026년 8월의 EU AI Act 적용 단계에서 기업이 가장 먼저 해야 할 일은 AI 생성 콘텐츠 표시 체계와 GPAI 역할 분류를 명확히 하는 것이다. 라벨링은 단순 문구 삽입이 아니라 UI, 메타데이터, 워터마크, 편집 책임, 로그 보존이 결합된 운영 체계다. GPAI 모델을 제공하거나 파인튜닝해 배포하는 기업은 기술문서, 저작권 정책, 학습 데이터 요약, 시스템 위험 평가를 2026년 8월 이전에 점검해야 한다.