![[독일 진출] 유럽 AI 규제, 위험 등급 분류 기준 총정리](https://image.inblog.dev?url=https%3A%2F%2Fsource.inblog.dev%2Ffeatured_image%2F2026-06-05T09%3A00%3A05.027Z-66d984f8-8d86-4edc-b711-e3ef236c6730&w=3840&q=75)
[EU AI Act, 지금 바로 확인해야 하는 이유]
안녕하세요, 디센트 법률사무소 장지원 파트너변호사입니다.
최근 한국 스타트업과 중견기업 사이에서 AI 솔루션을 유럽 시장에 출시하거나 독일·프랑스 등 EU 기업과 AI 관련 협업을 추진하는 사례가 급증하고 있습니다.
B2B SaaS, 의료 AI, 채용 자동화, 금융 분석 툴까지 업종을 가리지 않고 유럽 진출을 모색하는 한국 기업들을 자문 현장에서 자주 만나고 있습니다.
그러나 EU AI Act(유럽연합 인공지능법)에 대한 정확한 정보는 의외로 많지 않습니다. 우리 제품이 어떤 등급에 해당하는지, 어떤 의무를 이행해야 하는지, 언제까지 준비해야 하는지 관련하여
4단계 위험 등급 분류 기준, 단계별 시행 일정, 한국 기업에의 적용 여부, 위반 시 제재 수준까지 정리합니다.
🕒 바쁜 분들을 위한 3줄 요약
- 위험 등급: EU AI Act는 AI 시스템을 4단계(금지·고위험·제한적 위험·최소 위험)로 분류하며, 등급에 따라 요구되는 의무 수준이 완전히 달라집니다.
- 시행 일정: 금지 AI는 2025년 2월 시행 완료, 현행 법상 고위험 AI 기한은 2026년 8월 2일입니다. 디지털 간소화 방안(Digital Omnibus) 잠정 합의로 연기가 논의 중이나 정식 채택 전까지는 현행 기한이 유효합니다.
- 한국 기업 적용: EU 내 사용자에게 AI 서비스를 제공하거나 EU 기업과 계약하는 경우, 한국 기업도 EU AI Act 의무 대상이 됩니다. 지금 바로 준비가 필요합니다.
1. 유럽 AI 규제란 무엇인가
EU AI Act(Regulation (EU) 2024/1689)는 2024년 8월 1일 공식 발효된 세계 최초의 포괄적 AI 규제법입니다. 유럽연합 내에서 AI 시스템을 개발·배포·사용하는 모든 주체를 대상으로 하며, AI 시스템의 위험도에 따라 차등화된 의무를 부과하는 구조입니다.
핵심 원칙은 "위험 기반 접근법(Risk-Based Approach)"입니다. 모든 AI를 일률적으로 규제하는 대신, 사회적 피해 가능성이 높은 AI일수록 더 엄격한 기준을 적용합니다. 이는 혁신을 저해하지 않으면서도 기본권과 안전을 보호하려는 EU의 균형적 접근을 반영합니다.
🔹 규제 적용 대상: EU 시장에 AI 시스템을 출시하거나, EU 내에서 AI 시스템의 출력 결과가 활용되는 경우라면 사업자의 소재지가 EU 밖이라도 적용됩니다.
🔹 주요 규제 대상자 구분
구분 | 정의 | 주요 의무 |
공급자(Provider) | AI 시스템을 개발하여 시장에 출시하는 자 | 적합성 평가, 기술 문서화, CE 마킹 |
배포자(Deployer) | AI 시스템을 업무 목적으로 사용하는 자 | 사용 목적 준수, 모니터링, 직원 교육 |
수입업자(Importer) | EU 외 공급자의 AI 시스템을 EU에 도입하는 자 | 공급자 의무 이행 확인 |
유통업자(Distributor) | AI 시스템을 EU 시장에 공급하는 자 | 표시 사항 확인, 규정 준수 검토 |
💡 한국 스타트업이 EU 기업에 AI SaaS를 납품하는 경우, '공급자(Provider)' 의무가 그대로 적용됩니다. "우리는 한국 회사라 상관없다"는 생각은 위험합니다.
2. 위험 등급 분류 기준의 4단계
EU AI Act의 핵심은 AI 시스템을 위험도에 따라 4개 등급으로 분류하는 체계입니다. 어떤 등급에 속하느냐에 따라 요구되는 준비 수준이 완전히 달라집니다.
🔸 1등급 — 금지 AI (Unacceptable Risk)
사회적으로 용납할 수 없는 수준의 위험을 가진 AI 시스템으로, EU 내에서의 사용이 전면 금지됩니다. 2025년 2월 2일부터 시행 중입니다.
금지 유형 | 구체 사례 |
잠재의식 조작 | 사용자가 인식하지 못하는 방식으로 행동을 유도하는 AI |
취약계층 착취 | 어린이·노인 등 취약계층의 판단력을 이용한 AI |
사회적 스코어링 | 공공·민간 영역에서 개인의 사회적 행동이나 특성을 장기 평가·분류하고, 그 결과 부당한 불이익을 주는 AI |
실시간 원격 생체인식 | 공공장소에서의 실시간 얼굴인식(예외적 경우만 허용) |
감정 인식 | 직장·교육기관에서 개인의 감정을 추론하는 AI (다만 의료 또는 안전 목적의 사용은 예외적으로 허용될 수 있음) |
범죄 예측 | 개인 특성 기반의 범죄 위험성 사전 예측 AI |
얼굴 이미지 무차별 수집 | 인터넷 또는 CCTV 영상에서 얼굴 이미지를 무차별 수집해 얼굴인식 데이터베이스를 구축·확장하는 AI |
비동의 성적 이미지·CSAM 생성 | 비동의 성적·친밀 이미지("딥페이크 누디파이어") 또는 아동 성착취물(CSAM)을 생성하는 AI — 디지털 간소화 방안(Digital Omnibus) 합의로 신규 추가, 2026년 12월 2일부터 시행 예정 |
- 리스크: 금지 AI에 해당하는 시스템을 운영 중이라면, 현재 이미 위반 상태입니다. 즉각적인 점검이 필요합니다.
🔸 2등급 — 고위험 AI (High-Risk)
사람의 안전, 기본권, 중요한 이익에 직접적인 영향을 미칠 수 있는 AI 시스템입니다. 2026년 8월 2일부터 전면 의무화됩니다.
고위험 AI에 해당하는 주요 분야는 다음과 같습니다.
🔹 Annex I — 안전 부품으로 사용되는 AI
- 기계, 의료기기, 항공기, 자동차 등의 안전 관련 구성 요소
🔹 Annex III — 독립 고위험 AI 시스템
- 생체인식·분류 시스템
- 주요 인프라(수도, 전력, 교통) 관리
- 교육·직업훈련 관련 AI (입학 심사, 성취도 평가)
- 채용·인사 관련 AI (이력서 필터링, 면접 평가)
- 필수 민간 서비스 접근 AI (신용 평가, 보험 심사)
- 법 집행 관련 AI
- 이민·망명 심사 AI
- 사법 행정·민주주의 관련 AI
고위험 AI 공급자가 이행해야 할 주요 의무는 다음과 같습니다.
의무 사항 | 내용 |
위험 관리 시스템 | 전 생애주기에 걸친 위험 식별·평가·관리 체계 구축 |
데이터 거버넌스 | 훈련 데이터의 품질, 편향, 대표성 확보 |
기술 문서화 | 시스템 설계·개발·성능에 관한 상세 문서 작성 |
로그 기록 보관 | 시스템 운영 이력 자동 기록 및 보존 |
투명성 | 배포자에게 시스템 사용법·한계·위험 고지 |
인간 감독 | 인간이 개입·중단·수정할 수 있는 구조 설계 |
정확성·견고성 | 충분한 정확도 및 사이버보안 수준 유지 |
적합성 평가 | EU 기술 표준 준수 여부 확인, CE 마킹 취득 |
💡 채용 AI, 대출 심사 AI, 교육 평가 AI를 EU 고객사에 납품하고 있다면 현행 법상 기한인 2026년 8월 2일을 기준으로 적합성 평가 준비를 시작해야 합니다. 디지털 간소화 방안(Digital Omnibus) 정식 채택 여부에 따라 실제 적용 시점이 달라질 수 있으나, 준비 기간은 통상 6~12개월이 필요한 만큼 지금부터 병행해 두는 것이 안전합니다.
🔸 3등급 — 제한적 위험 AI (Limited Risk)
주로 투명성 의무만 부과되는 등급입니다. 사용자가 자신이 AI와 상호작용하고 있다는 사실을 인지할 수 있도록 고지해야 합니다.
- 챗봇·가상 어시스턴트: 사용자에게 AI임을 명확히 고지
- 딥페이크·합성 콘텐츠: AI 생성 콘텐츠임을 표시
- 감정 인식 AI (고위험 외 영역): 작동 사실을 사용자에게 고지
🔸 4등급 — 최소 위험 AI (Minimal Risk)
별도의 법적 의무가 부과되지 않는 등급입니다. 스팸 필터, 게임 AI, AI 기반 인벤토리 관리 등 대부분의 B2B·B2C AI 서비스가 여기에 해당합니다.
다만, EU는 이 등급에도 자발적 행동 강령(Code of Conduct) 채택을 권장하고 있습니다.
3. 단계별 시행 일정
EU AI Act는 한꺼번에 시행되지 않고 4단계로 순차 적용됩니다.
시행 시점 | 적용 내용 | 준비 상태 |
2025년 2월 2일 | 금지 AI 조항 시행 | ✅ 시행 완료 |
2025년 8월 2일 | GPAI(범용 AI) 의무 및 거버넌스 규정 시행 | ✅ 시행 완료 |
2026년 8월 2일 | 고위험 AI(Annex III) 의무 — 원래 기한 | ⚠️ 정식 채택 전까지 유효한 법적 기준 |
2027년 12월 2일 | 독립형 고위험 AI(Annex III) 의무 — 디지털 간소화 방안(Digital Omnibus) 합의 기한 | 🔜 잠정 합의, 정식 채택 절차 진행 중 |
2028년 8월 2일 | 제품 내장형 고위험 AI(Annex I) 의무 — 디지털 간소화 방안(Digital Omnibus) 합의 기한 | 🔜 잠정 합의, 정식 채택 절차 진행 중 |
🔹 2026년 5월, 중요한 변수가 생겼습니다 — 디지털 간소화 방안(Digital Omnibus)
2025년 11월, 유럽 집행위원회는 고위험 AI 의무 기한을 연기하는 '디지털 간소화 방안(Digital Omnibus on AI)'을 제안했습니다. 이후 수개월간의 협상 끝에 2026년 5월 7일 유럽의회와 이사회가 잠정 합의에 도달했습니다. 합의 내용의 핵심은 다음과 같습니다.
- Annex III 독립형 고위험 AI: 2026년 8월 → 2027년 12월 2일로 연기
- Annex I 제품 내장형 고위험 AI: 2027년 8월 → 2028년 8월 2일로 연기
- 비동의 성적 이미지·CSAM 생성 AI 신규 금지 조항(Article 5): 2026년 12월 2일부터 시행 예정
- 생성형 AI 워터마킹 의무(Article 50): 2026년 8월 2일 시행 원칙 — 단, 2026년 8월 2일 이전 출시 제품은 2026년 12월 2일까지 유예
단, 이 합의는 아직 정식 채택(Formal Adoption) 절차가 완료되지 않은 상태입니다. 2026년 8월 2일 이전에 공식 발효되지 않으면 원래 기한인 2026년 8월 2일이 법적으로 유효합니다.
현재로서는 정식 채택이 2026년 8월 이전에 이루어질 것으로 예상되고 있으나, 불확실성이 완전히 해소된 것은 아닙니다.
- 리스크: 연기 합의를 믿고 준비를 늦추는 것은 위험합니다. 원래 기한인 2026년 8월 2일을 기준으로 준비를 진행하되, 연기 확정 여부를 계속 모니터링하는 것이 현명한 접근입니다.
💡 일정이 연기되더라도 의무의 내용 자체는 바뀌지 않습니다. 어차피 해야 할 준비라면 지금 시작하는 것이 가장 유리합니다.
4. 한국 기업에게도 적용되나
결론부터 말씀드리면, 적용됩니다.
EU AI Act는 '역외 적용(Extra-territorial Application)' 원칙을 채택하고 있습니다. EU 사용자에게 AI 시스템의 출력 결과가 활용되면 공급자의 소재지가 EU 밖이라도 규제 대상이 됩니다.
GDPR의 역외 적용 방식과 동일한 구조입니다.
🔹 한국 기업에게 적용되는 구체적 상황
- EU 기업 고객에게 AI SaaS를 납품하는 경우
- EU 자회사 또는 지사에서 한국 본사 개발 AI를 사용하는 경우
- EU 내 소비자를 대상으로 AI 서비스를 직접 제공하는 경우
- EU 기업과 AI 공동개발 계약을 체결하는 경우
하지만 실제 현장에서는 다음과 같은 사례가 늘고 있습니다.
🔽
"계약서에 EU AI Act 준수 의무를 명시해 달라는 요청을 받았는데, 우리가 뭘 해야 하는지 모르겠습니다."
EU 기업들은 이미 공급망 전체에 EU AI Act 준수를 요구하기 시작했습니다. 실제로 한국 기업이 EU 고객사와 계약을 체결하는 과정에서 EU AI Act 적합성 여부가 계약의 선결 조건으로 요구되는 사례가 나타나고 있습니다.
5. 위반 시 제재 수준
EU AI Act는 위반 유형에 따라 3단계 과징금 체계를 적용합니다.
위반 유형 | 과징금 상한 |
금지 AI 조항 위반 | 전 세계 연간 매출의 7% 또는 3,500만 유로 중 높은 금액 |
고위험 AI 의무 위반 | 전 세계 연간 매출의 3% 또는 1,500만 유로 중 높은 금액 |
감독기관에 허위 정보 제공 | 전 세계 연간 매출의 1% 또는 750만 유로 중 높은 금액 |
- 리스크: 과징금 산정의 기준이 '한국 매출'이 아닌 '전 세계 연간 매출'이라는 점에 주의해야 합니다. 다만 Article 99는 SME 및 스타트업에 대해 정액 기준과 매출 비율 기준 중 낮은 금액을 적용하도록 별도 규정을 두고 있습니다. 그럼에도 과징금 기준 자체가 전 세계 매출과 연결되는 구조인 만큼, 한국 기업도 리스크를 가볍게 볼 수 없습니다.
🔹 과징금 외 추가 제재
- EU 시장 내 해당 AI 시스템 판매·사용 금지 명령
- 계약 무효화 가능성 (EU 고객사와의 계약에 준수 조항이 포함된 경우)
- EU 내 브랜드 평판 손상 및 입찰 자격 박탈
💡 매출 7%는 GDPR 최고 과징금 수준(4%)보다 높습니다. EU가 AI 규제를 얼마나 중요하게 다루는지를 보여주는 수치입니다.
6. 자주 묻는 질문 (FAQ)
Q. 우리 제품이 고위험 AI인지 어떻게 판단하나요?
A. EU AI Act Annex III에 열거된 8개 분야(생체인식, 핵심 인프라, 교육, 채용, 필수 서비스, 법 집행, 이민, 사법)에 해당하는지 먼저 확인하는 것이 출발점입니다.
단, 분류 기준이 기술이 아닌 '사용 목적과 맥락'에 따라 결정되기 때문에 동일한 AI 시스템도 사용 방식에 따라 등급이 달라질 수 있습니다. 법률 전문가의 검토가 필요한 이유입니다.
Q. 현재 우리 제품을 EU 고객사에 납품 중인데, 당장 무엇부터 해야 하나요?
A. 우선 해당 제품이 금지 AI 또는 고위험 AI에 해당하는지 분류 작업부터 시작하세요. 금지 AI는 이미 시행 중이므로 즉시 점검이 필요합니다.
고위험 AI에 해당한다면 현행 법상 2026년 8월 2일 적용 가능성을 기준으로 준비하되, 디지털 간소화 방안(Digital Omnibus)의 정식 채택 여부에 따라 실제 적용 시점이 변경될 수 있습니다.
분류 검토, 기술 문서화, 위험 관리 체계 구축은 지금부터 병행해 두는 것이 안전합니다.
Q. GPAI(범용 AI)는 무엇이고, 우리에게도 해당되나요?
A. GPT와 같이 다양한 목적으로 사용 가능한 범용 AI 모델을 의미합니다. 2025년 8월부터 투명성 의무와 기술 문서화 의무가 시행 중입니다. 특히 학습에 사용된 연산량이 10²⁵ FLOP 이상인 모델은 '고영향(Systemic Risk) GPAI 모델'로 추정되어 추가 의무가 부과됩니다.
이 기준은 절대적 분류가 아닌 '추정(presumption)' 구조로, 해당 임계값을 넘더라도 시스템적 위험이 없음을 증명하면 분류에 이의를 제기할 수 있습니다. 한국 기업이 자체 LLM을 개발해 EU에 제공하는 경우 해당될 수 있습니다.
Q. EU 고객사가 EU AI Act 준수 조항을 계약서에 요구하면 어떻게 해야 하나요?
A. 계약 조항의 구체적 내용을 꼼꼼히 검토해야 합니다. 특히 준수 의무의 범위, 감사 권한, 위반 시 계약 해지 조건 등이 핵심입니다. 무조건 서명하기 전에 실제로 이행 가능한 조건인지 법률 검토를 거치는 것이 중요합니다.
Q. 독일 법인을 설립하면 EU AI Act 대응이 더 유리한가요?
A. 독일 법인을 설립하면 EU 내 '설립된 사업자'로서 법적 지위가 명확해지고 EU 감독기관과의 소통 창구 역할을 할 수 있다는 장점이 있습니다.
다만 법인 설립 자체가 AI 규제 의무를 면제해주지는 않습니다. 오히려 EU 법인으로서 더 직접적인 규제 적용을 받을 수 있으므로, 진출 형태와 규제 대응을 함께 설계하는 것이 중요합니다.
7. 디센트 인사이트: 규제 준비는 리스크 관리가 아니라 시장 진입 전략입니다
EU AI Act를 단순히 '지켜야 할 규제'로만 바라보면 중요한 기회를 놓치게 됩니다. 실제로 자문 현장에서 EU 고객사들과 대화해 보면 그들이 공급업체에 AI 규제 준수를 요구하는 이유는 단순한 의무 이행이 아닙니다. AI 시스템의 신뢰성, 설명 가능성, 안전성을 검증하고 싶은 것입니다.
다시 말해, EU AI Act를 먼저 준비한 한국 기업은 유럽 시장에서 경쟁 우위를 가져갈 수 있습니다. 반대로 준비하지 않은 기업은 계약 체결 단계에서부터 걸러질 가능성이 높아지고 있습니다. 이미 일부 독일·네덜란드 대기업들은 AI 공급업체 온보딩 절차에 EU AI Act 자기 평가서를 필수 제출 서류로 요구하기 시작했습니다.
원래 기한인 2026년 8월 2일까지 2개월도 채 남지 않았습니다. 2026년 5월 디지털 간소화 방안(Digital Omnibus) 잠정 합의로 고위험 AI 기한이 2027년 12월로 연기될 가능성이 높아졌지만, 아직 정식 채택이 완료되지 않은 상태입니다.
그리고 더 중요한 점은, 일정이 연기되더라도 의무의 내용 자체는 달라지지 않는다는 것입니다. 어차피 이행해야 할 준비라면, 지금 시작하는 것이 가장 유리합니다.
💡 EU AI Act 준수는 규제 리스크를 피하는 일이기도 하지만, 유럽 시장에서 신뢰받는 AI 기업으로 자리매김하는 전략이기도 합니다.
[디센트 법률사무소 독일데스크 원스톱 자문]
디센트 법률사무소 장지원 파트너변호사는 EU AI 법안 대응과 독일·유럽 진출 법률 자문을 함께 제공합니다.
🔹 주요 지원 서비스
- AI 시스템 위험 등급 분류 검토 및 법적 의견 제공
- 고위험 AI 적합성 평가 준비 지원 (기술 문서화, 위험 관리 체계 설계)
- EU 고객사와의 계약서 내 EU AI Act 조항 검토 및 협상 지원
- GPAI 모델 의무 사항 검토
- 독일 법인 설립 후 EU AI Act 현지 대응 구조 설계
Share article