고위험 시스템에 대한 일부 의무 유예가 기업을 안심시켜서는 안 된다. AI Act는 이미 단계적으로 적용되고 있다. 2026년 8월 2일부터는 특히 투명성 의무를 중심으로 새로운 주요 기한이 시작된다. 챗봇, AI 생성 콘텐츠, 딥페이크, HR 도구, AI가 탑재된 SaaS, 대화형 에이전트 등: IntelligenceArtificielle.com은 참고 노트에서 기업이 이제 규제 모니터링에서 운영적 인벤토리로 전환해야 한다고 강조한다.
많은 기업에서 AI Act는 여전히 “법무”, “컴플라이언스” 또는 “나중에 처리할 과제”로 분류돼 있다. 이는 잘못된 판단이다.
유럽연합의 인공지능 규정은 더 이상 먼 미래의 문서가 아니다. 이 규정은 2024년 8월 1일 발효됐으며 단계적으로 적용되고 있다. 특정 AI 관행을 금지하는 조항과 AI 리터러시 의무는 2025년 2월 2일부터 적용됐다. 거버넌스 규칙과 범용 AI 모델 관련 의무는 2025년 8월 2일부터 적용되고 있다. 다음 주요 단계는 2026년 8월 2일에 도래하며, 이때 많은 조항이 일반 적용 단계에 들어가고 특히 제50조에 따른 투명성 의무가 본격 시행된다.
즉, 이제 핵심 질문은 “AI Act가 무엇을 규정하는가?”가 아니다. “우리는 이미 기업 내 어디에서, 어떻게, 왜 AI를 사용하고 있는가?”이다.
고위험 규정의 유예는 AI Act 전체의 유예가 아니다
Digital Omnibus는 일시적인 유예처럼 보였을 수 있다. 고위험 AI 시스템에 적용되는 규칙은 재조정되며, 부속서 III에 해당하는 자율 시스템은 2027년 12월 2일, 부문별 규제를 받는 제품에 통합된 시스템은 2028년 8월 2일 적용이 예정돼 있다. 유럽의회는 2026년 6월 16일 이 간소화 조치를 승인했지만, 시행되기 전에는 이사회가 공식 채택해야 한다.
그러나 이 유예가 규정 전체를 멈추는 것은 아니다.
이미 적용 중인 금지된 관행은 유예되지 않는다. AI 리터러시 의무도 유예되지 않는다. 범용 AI 모델 관련 의무도 유예되지 않는다. 그리고 기업은 2026년 8월 2일의 기한을 무시해서는 안 된다.
바로 여기에 함정이 있다. AI Act가 고위험 시스템에서만 시작된다고 믿는 것이다. 실제로 첫 번째 운영 단계는 훨씬 더 일상적인 많은 사용 사례를 포함한다. 대화형 어시스턴트, 고객용 챗봇, AI 생성 콘텐츠, AI의 도움을 받아 작성된 텍스트, 합성 이미지, 인공 음성, 딥페이크, 업무용 소프트웨어에 내장된 생성 기능 등이 그 예다.
2026년 8월 2일에 무엇이 달라지나
2026년 8월 2일부터는 투명성 의무가 핵심이 된다. 이는 특히 사용자가 자신도 모르게 AI와 상호작용하는 상황을 방지하고, 합성 콘텐츠가 적절한 표시 없이 유통되거나, 딥페이크 및 일부 공익 관련 AI 생성 콘텐츠가 완전히 인간이 만든 것처럼 제시되는 일을 막기 위한 것이다.
유럽연합 집행위원회는 2026년 6월 10일 AI 생성 콘텐츠 투명성에 관한 모범 실천 강령을 발표했다. 이 강령은 제공자와 배포자가 제50조에 규정된 표시, 라벨링, 탐지 의무를 준수하도록 돕기 위한 것이다. 이 강령의 가입은 자율적이지만, 제50조의 투명성 의무는 법적 의무다.
기업 입장에서는 다음과 같은 매우 구체적인 질문으로 이어질 수 있다.
- 고객은 자신이 챗봇과 대화하고 있다는 사실을 알고 있는가?
- 공익 관련 주제에 대한 게시물은 AI가 생성했거나 크게 수정했는가?
- 이미지, 영상, 합성 음성은 그 사실이 명확히 표시되는가?
- 내부 도구가 인간의 의사결정에 영향을 미치는 텍스트, 추천, 분석을 생성하는가?
- 마케팅, HR, 고객 서비스, 제품 팀은 무엇을 고지하고, 보관하고, 검증해야 하는지 알고 있는가?
Digital Omnibus는 또한 2026년 8월 2일 이전에 이미 시장에 출시된 시스템과 관련해, AI 생성 콘텐츠의 일부 마킹 의무에 대해 2026년 12월 2일까지의 유예 기간을 규정하고 있다. 그러나 이 과도기 조항은 투명성 전반의 연기를 의미하는 것이 아니라 특정 범위에만 적용된다.
진짜 위험은 ‘보이지 않는 AI’다
기업에 가장 큰 위험은 항상 이사회에 보고되는 대형 AI 프로젝트가 아니다. 오히려 이미 조직 안에 들어와 있는 AI인 경우가 많다.
CRM에 활성화된 AI 기능. 마케팅 도구에 추가된 스코어링 모듈. 채용팀이 시험 중인 HR 어시스턴트. 커뮤니케이션 부서가 사용하는 콘텐츠 생성기. 문서 데이터베이스에 연결된 대화형 에이전트. 정확한 사용 현황 파악 없이 배포된 오피스 코파일럿. 공급업체가 납품물에 AI를 사용하지만 이를 명시하지 않는 경우.
Hub France IA는 조직 내 AI 시스템을 체계적으로 식별할 필요성을 강조한다. 여기에는 시장 솔루션에 통합된 시스템, 개발 중인 시스템, 운영 중인 시스템, 그리고 아이디어 구상 단계에서 등장하는 시스템까지 포함된다. 해당 기관의 가이드 “Premiers pas vers l’IA de Confiance”는 데이터 소스, 기술 아키텍처, 비즈니스 사용 사례, 영향 받는 대상, 배포 맥락, 사전 위험 분석을 포함한 AI 시스템 레지스트리를 구축할 것을 권고한다.
같은 문서는 공급업체가 제공하는 시스템—에디터, 서비스 제공업체, 통합업체 등—이 최종 사용자가 보지 못하는 AI 컴포넌트를 점점 더 많이 내장하고 있다는 점도 경고한다. 또한 “Shadow AI” 현상, 즉 일반 목적 도구의 비공식 사용, 공급업체가 추가한 AI 옵션, 구매 절차를 거치지 않고 도입된 소규모 SaaS 계약, IT의 통제 범위를 벗어난 내부 실험도 지적한다.
바로 이 지점에서 AI Act 준수는 단순한 법무 이슈가 아니라 거버넌스 이슈가 된다.
준수의 출발점은 레지스트리다
많은 조직에서 가장 먼저 해야 할 일은 큰 법무 프로젝트를 시작하는 것이 아니다. 간단한 AI 사용 레지스트리를 만드는 것이다.
이 레지스트리는 첫날부터 완벽할 필요는 없다. 다만 다음과 같은 핵심 질문에 답할 수 있어야 한다.
- 어떤 AI 도구 또는 시스템을 사용하는가?
- 어느 부서가 사용하는가?
- 어떤 업무 목적을 위해 사용하는가?
- 어떤 데이터를 사용하는가?
- 어떤 사람 또는 사람 집단에 영향을 미칠 수 있는가?
- 기업은 단순 사용자, 배포자, 통합자, 제공자 중 어떤 역할을 하는가?
- 이 사용 사례는 투명성 의무에 해당하는가?
- 이 사용 사례가 고위험 범주에 해당할 수 있는가?
- 어떤 증거가 보관되는가?
- 어떤 공급업체가 무엇에 책임을 지는가?
목표는 혁신을 막는 것이 아니다. 통제권을 되찾는 것이다.
어디에서 AI를 사용하는지 모르는 기업은 이를 통제하고 있다고 입증할 수 없다. 그리고 누가 무엇을 어떤 데이터로 어떤 목적에 따라 사용하는지 모르는 기업은 고객, 감사인, 보험사, 파트너, 공공 조달 기관 또는 감독 당국의 요청에 대응하기 어렵다.
지금 바로 시작해야 할 체크리스트
2026년 8월 2일 기한이 몇 주 앞으로 다가온 지금, 기업은 실용적인 방법으로 이미 움직일 수 있다.
1. AI Act 책임자를 지정한다.
반드시 새로운 직책을 만들 필요는 없다. 다만 IT, 법무, 구매, 사업부, HR, 컴플라이언스, 보안, 커뮤니케이션을 조율할 수 있는 명확한 책임자가 필요하다.
2. AI 사용 인벤토리를 시작한다.
챗봇, 콘텐츠 생성기, 코파일럿, 내부 에이전트, 모델 API, HR 솔루션, 마케팅 도구, 스코어링 도구, 문서 분석 도구 등 눈에 보이는 도구부터 시작한다.
3. 보이지 않는 AI를 찾아낸다.
사업부, 구매, 공급업체에 질문해야 한다. 중요한 사용 사례는 공식 프로젝트에만 있는 것이 아니다. SaaS 옵션, 개인 계정, 로컬 실험에 숨어 있을 수 있다.
4. 최소한의 레지스트리를 만든다.
각 사용 사례별로 도구, 공급업체, 목적, 사용자 부서, 처리 데이터, 영향받는 대상, 예상 위험 수준, 가능한 투명성 의무, 인간의 감독, 보관 가능한 증거를 기록한다.
5. 민감한 사용 사례를 식별한다.
HR, 채용, 직원 평가, 교육, 신용, 보험, 헬스케어, 생체인식, 보안, 필수 서비스 접근은 우선적으로 분석해야 한다.
6. 투명성 조치를 준비한다.
챗봇, 대화형 에이전트, 생성 콘텐츠, 합성 이미지, 인공 음성, 딥페이크, 공익성 텍스트에 대해 무엇을 어디에 어떤 문구로 어떤 인터페이스에서 고지할지, 그리고 어떤 증거를 남길지 결정해야 한다.
7. 공급업체 계약을 검토한다.
구매 담당자는 에디터와 서비스 제공업체로부터 가치사슬 내 역할, 제공 문서, 사용 모델, 사용 데이터, 학습 조건, 로그, 보안, 버전 변경, 서비스 종료, 하위 처리업체 등 필요한 정보를 요청해야 한다.
8. 팀을 교육한다.
AI 리터러시는 일반 교육만으로는 충분하지 않다. 채용 담당자, 마케터, 법무, 개발자, 구매 책임자, 관리자마다 위험과 필요가 다르다.
9. 감독 체계를 구축한다.
중요한 사용 사례에는 누가, 언제, 어떤 경보 기준으로, 어떤 시정 조치를 취할지 정의해야 한다. Hub France IA는 지속적 감독, 인간 검토, 로그, 알림, 편향 모니터링, 사고 신고 절차, 문서 업데이트를 권고한다.
10. 증빙 자료를 축적한다.
준수는 단순히 실행하는 데서 끝나지 않는다. 무엇을 했는지 보여줄 수 있어야 한다. 레지스트리, 의사결정 기록, 위험 분석, 교육 기록, 공급업체 조항, 사용자 안내 화면 캡처, 내부 절차, 로그, 검토 회의록 등이 이에 해당한다.
압축된 형식으로 공유할 수 있는 체크리스트:
제재는 이야기의 일부일 뿐이다
AI Act는 강력한 제재를 규정한다. 금지된 관행에는 최대 3,500만 유로 또는 전 세계 연매출의 7%까지, 투명성 의무를 포함한 많은 다른 위반에는 최대 1,500만 유로 또는 3%까지, 그리고 당국에 부정확하거나 불완전하거나 오해의 소지가 있는 정보를 제공한 경우에는 최대 750만 유로 또는 1%까지 부과될 수 있다.
그러나 많은 기업에게 더 즉각적인 위험은 덜 극적일 수 있다. 입찰에서 탈락하거나, 공급업체 설문에 답하지 못하거나, HR 도구가 적절히 분류되지 않았음을 뒤늦게 발견하거나, 고객용 챗봇이 표시되지 않았음을 확인하거나, AI가 보조한 의사결정이 실제로 인간의 감독을 받고 있음을 입증하지 못하는 상황이 그 예다.
따라서 AI 컴플라이언스는 상업적 신뢰의 문제이기도 하다.
향후 몇 달 동안 대기업, 공공 조달 기관, 보험사, 투자자, 기술 파트너는 점점 더 자주 다음을 요구할 것이다. 어떤 AI 시스템을 사용하는가? 어떤 데이터를 사용하는가? 어떤 용도인가? 어떤 감독이 있는가? 어떤 공급업체 보장이 있는가? 어떤 증거를 제시할 수 있는가?
완벽한 준수를 기다리지 말아야 한다
모든 가이드, 모든 표준, 모든 시장 관행이 최종 확정될 때까지 기다리는 것이 함정이 될 수 있다. 지금 필요한 것은 완벽한 체계가 아니다. 첫 번째 맵, 첫 번째 레지스트리, 민감한 사용 사례에 대한 첫 번째 분석, 그리고 첫 번째 대응 능력이다.
AI Act 준수는 법률 파일에서 시작되지 않는다. 운영 질문에서 시작된다. 우리는 무엇을 어디에서, 어떤 목적으로, 어떤 데이터로, 어떤 책임 아래, 어떤 증거와 함께 운영하고 있는가?
이에 답할 수 있는 기업은 경쟁 우위를 갖게 된다. 그렇지 못한 기업은, 맵 없이 배포된 AI가 얼마나 빠르게 통제 불가능해지는지 깨닫게 될 것이다.
이 글은 기업 내 AI Act 운영 카운트다운에 관한 참고 노트를 바탕으로 작성됐으며, 통합 일정, 이미 적용 중인 의무, 범용 AI 모델, 투명성, 고위험, 공급업체, AI 레지스트리에 대한 주요 포인트를 포함한다.
이 글은 일반 정보 제공을 목적으로 하며, 각 조직의 상황에 맞는 법률 자문을 대체하지 않는다.