이충수 개인정보 보호책임자의 디지털 시대의 새로운 에티켓, 개인정보 보호
위반 시 최대 연매출 7% 과징금 — 실무 대응 로드맵
EU AI법은 일부 조항이 이미 적용 단계에 들어선 현재진행형 규범이다. 고위험 AI 시스템 관련 규정은 2027년 12월까지 적용이 유예되었지만, 기업들이 그때까지 기다렸다가 준비를 시작하는 것은 위험한 선택이다. GDPR 시행 초기를 돌이켜보면, 대응 준비를 미룬 기업들이 얼마나 큰 혼란을 겪었는지 분명히 알 수 있다.
법이 완전히 시행되기까지의 유예 기간은 기업들에게 처벌을 피할 시간이 아니라, 체계를 갖출 시간이다. 지금 준비를 시작하는 기업과 그렇지 않은 기업 사이의 간극은 시간이 지날수록 벌어질 수밖에 없다.
먼저 나를 파악해야 한다
기업이 가장 먼저 해야 할 일은 AI법상 자신의 역할이 무엇인지 명확히 파악하는 것이다. AI법은 크게 세 가지 역할을 구분한다. AI 모델이나 시스템을 개발•제공하는 ‘제공자(Provider)’, 이를 자신의 사업에 직접 활용하는 ‘운영자(Deployer)’, 그리고 AI 제품을 시장에 유통하는 ‘유통업자(Distributor)’가 그것이다. 어느 역할에 해당하느냐에 따라 부담해야 할 의무의 범위와 내용이 달라진다.
실무적으로는 한 기업이 동시에 여러 역할을 맡는 경우가 흔하다. 외부 AI 도구를 도입해 사용하면서 동시에 자체 AI 시스템을 개발하는 기업이라면 운영자이자 제공자로서 이중의 의무를 부담할 수 있다. 이 경우 각 역할에 따른 의무를 별도로 검토해야 하며, 역할 간 경계가 불분명할수록 법적 리스크는 커진다. 따라서 사내에서 어떤 AI 활동이 어떤 역할에 해당하는지를 명확히 정리하는 작업이 선행되어야 한다.
적용 범위도 중요하다. EU AI법은 역외 기업에도 적용된다. AI 시스템이 EU 시장에 출시되거나, 그 산출물이 EU 내에서 사용되는 경우 해당 기업의 소재지가 어디든 이 법의 적용을 받는다. AI 시스템이 탑재된 전자기기나 자동차를 제조하는 한국 기업도 예외가 아니다. EU에 제품을 수출하거나 유럽 소비자를 대상으로 서비스를 제공하는 모든 기업이 잠재적 적용 대상이라는 점을 반드시 염두에 두어야 한다.
사내 AI 현황 파악이 출발점이다
구체적인 대응의 첫 단계는 사내에서 사용 중인 AI 시스템의 전수조사다. 직원들이 업무에 어떤 AI 도구를 사용하고 있는지, 그 AI가 어떤 목적으로 어느 부서에서 쓰이는지를 파악해야 한다. 이 작업이 선행되지 않으면 이후의 모든 대응 작업이 공허해진다.
현실적으로 이 작업은 생각보다 쉽지 않다. 많은 기업에서 직원들이 IT 부서의 승인 없이 개인적으로 ChatGPT나 Copilot 같은 AI 서비스를 업무에 활용하는 이른바 ‘섀도우 AI(Shadow AI)’ 현상이 광범위하게 퍼져 있다.
공식 승인된 시스템 외에 직원들이 비공식적으로 사용하는 도구까지 파악하지 못하면, 의도치 않게 법적 의무를 위반하는 상황이 발생할 수 있다. 설문 조사, 부서 인터뷰, SaaS 사용 로그 분석, 네트워크 트래픽 점검 등 다양한 방법을 동원해 실제 사용 현황을 최대한 정확하게 파악하는 것이 중요하다.
현황 파악이 끝나면 각 AI 시스템이 AI법상 어느 위험 등급에 해당하는지 평가해야 한다. 특히 고위험 시스템의 식별이 핵심이다. 채용 지원 소프트웨어, 신용평가 도구, 의료 진단 보조 시스템 등이 대표적인 고위험 AI에 해당한다.
유럽혁신기술원(EIT)의 Conformity Tool 등 다양한 가이드라인과 도구를 활용하면 위험 등급을 빠르게 파악하는 데 도움이 된다. 위험 등급 평가는 일회성으로 끝낼 것이 아니라, 새로운 AI 시스템을 도입할 때마다, 그리고 기존 시스템의 기능이 변경될 때마다 반복적으로 수행해야 한다.
고위험 AI라면 — 체계적 컴플라이언스가 필수
고위험 AI 시스템을 사용하거나 개발하는 기업은 포괄적인 컴플라이언스 체계를 갖춰야 한다. 위험관리 시스템을 구축하고 기술 문서를 작성해야 하며, 정기적인 안전성 검증과 보안 점검도 의무화된다. 인간이 AI의 결정을 감독하고 필요한 경우 번복할 수 있는 체계, 즉 ‘인간 감독(Human Oversight)’ 구조도 필수적으로 갖춰야 한다. 사고 발생 시 감독기관에 신속히 보고하는 절차도 사전에 마련해 두어야 한다.
인간 감독 체계는 말처럼 단순하지 않다. AI가 내린 결정을 사람이 단순히 최종 승인하는 구조만으로는 충분하지 않을 수 있다. AI의 판단 근거를 이해하고 이를 비판적으로 검토할 수 있는 역량을 갖춘 담당자가 실질적으로 개입하는 구조여야 한다. 특히 채용이나 대출 심사처럼 개인의 삶에 중대한 영향을 미치는 결정에서 AI가 주도권을 쥐는 구조는 법적 위험을 내포한다.
공급망 관리도 빠뜨릴 수 없다. 기업이 외부 AI 서비스를 이용하는 경우, 해당 서비스 제공업체가 AI법을 준수하고 있는지 검증하는 절차가 필요하다. GDPR에서 개인정보 처리 위탁 계약이 의무화된 것처럼, AI 서비스 계약에서도 AI법 준수 조항을 명시적으로 포함시켜야 한다.
제공업체가 AI법 요건을 충족하지 못할 경우 최종 운영자인 기업이 책임을 져야 할 수 있기 때문에, 계약 단계에서의 검토가 특히 중요하다. 기존 계약서를 전면 재검토하고, 필요하다면 계약 조건 재협상에 나서야 할 수도 있다.
AI 리터러시 — 의무이자 경쟁력
AI법 제4조는 AI를 사용하는 기업이 직원들에게 충분한 AI 역량(AI Literacy)을 갖추도록 할 의무를 명시하고 있다. 이 역량은 단순한 기술적 지식을 넘어 AI 시스템의 작동 원리를 이해하고 관련 위험을 인식하며 윤리적•법적 측면에 대한 감수성을 갖추는 것을 포함한다.
교육의 대상과 내용은 직무에 따라 달라져야 한다. 경영진에게는 AI법이 사업에 미치는 전략적 함의와 거버넌스 책임에 대한 이해가 필요하고, 개발자에게는 기술적 요건과 문서화 의무에 대한 구체적 지식이 요구된다.
인사, 법무, 마케팅 등 AI를 실무에 활용하는 부서 직원들에게는 해당 업무 맥락에서의 AI 활용 기준과 위험 인식 능력을 키우는 교육이 적합하다. 일회성 교육으로 끝내지 않고, 규제 변화와 기술 발전에 맞춰 지속적으로 갱신되는 교육 체계를 구축하는 것이 중요하다.
이 의무는 단순한 부담이 아니라 기업 경쟁력과 직결된다. AI를 이해하는 직원들은 자동화를 통한 효율 향상, 기술 혁신, 책임 있는 AI 활용을 이끌어내는 원동력이 된다. 명확한 AI 활용 지침, 사내 AI 정책 문서, AI 시스템 도입을 위한 승인 절차를 지금 당장 마련해두는 것이 중요하다.
저작권과 개인정보 — 기존 법률과의 충돌도 점검해야
AI법은 기존 법률과 병렬적으로 적용된다. AI 시스템이 개인정보를 처리하는 경우 GDPR 역시 동시에 적용되며, 두 법률의 의무를 함께 이행해야 한다. 두 법률이 요구하는 바가 상충되는 지점도 존재한다. 예를 들어 AI법이 요구하는 로그 기록 보존 의무는 GDPR의 데이터 최소화 원칙과 충돌할 수 있다. 이 균형점을 어떻게 설정할 것인지는 개별 기업이 전문가와 함께 신중하게 검토해야 할 사안이다.
AI 생성 콘텐츠의 저작권 문제도 주의해야 한다. AI가 만든 결과물은 원칙적으로 저작권 보호를 받지 못하지만, 저작권이 있는 데이터를 학습에 사용했을 경우 그 결과물의 활용도 제한될 수 있다. EU AI법은 범용 AI 모델 개발업체에게 학습에 사용한 저작권 보호 콘텐츠를 명시할 의무를 부과한다.
외부 AI 서비스를 이용하는 기업 역시 해당 서비스의 학습 데이터 출처와 저작권 준수 여부를 파악해두는 것이 안전하다. 특히 공들여 작성한 프롬프트는 경우에 따라 저작권법상 언어적 저작물로 보호 대상이 될 가능성에 대한 논의도 존재한다.
위반 시 제재는 GDPR보다 강하다
AI법 위반에 대한 제재는 위반의 성격에 따라 세 단계로 나뉜다. 금지된 AI 시스템을 사용할 경우 최대 3,500만 유로 또는 전 세계 연간 매출의 7% 중 더 큰 금액이 부과된다. 고위험 AI 관련 의무를 위반하면 최대 1,500만 유로 또는 연매출의 3%, 감독기관에 허위 정보를 제공하면 최대 750만 유로 또는 연매출의 1.5%까지 제재를 받는다. GDPR의 최대 과징금이 연매출의 4% 또는 2천만 유로인 점을 감안하면 AI법의 제재 수위는 이를 뛰어넘는 수준이다.
과징금 외에도 AI법 위반이 초래하는 간접 비용을 간과해서는 안 된다. GDPR 제재 사례에서 확인된 것처럼, 규제 당국의 조사 자체만으로도 기업 이미지에 타격을 입고 고객 신뢰를 잃는 경우가 적지 않다. AI 시스템이 개인의 취업, 대출, 의료 접근성에 영향을 미치는 상황에서 불법적이거나 불투명한 AI 사용이 드러날 경우 그 사회적 파장은 금전적 제재를 훨씬 웃돌 수 있다.
중소기업을 위한 완화 조치와 지원
EU는 중소기업과 스타트업의 부담을 고려한 완화 조치도 마련했다. 직원 10명 미만, 연매출 200만 유로 미만의 소기업에는 AI법 제63조에 따른 간소화 규정이 적용된다. EU 디지털 옴니버스 패키지에 따라 직원 750명 미만 기업으로 확대하는 방안도 현재 논의 중이다. 또한 스타트업과 중소기업이 규제 감독 아래 안전하게 AI 시스템을 개발하고 테스트할 수 있는 이른바 ‘AI 규제 실험실(KI-Reallabore)’도 운영될 예정이다.
다만 완화 조치의 혜택을 받을 수 있는지 여부 자체를 기업이 스스로 판단해야 한다는 점은 여전히 부담으로 작용한다. 고위험 처리 여부를 자체적으로 판단하려면 AI법에 대한 상당한 이해가 전제되어야 하기 때문이다. 전문성이 부족한 상태에서 잘못된 판단을 내렸다가 나중에 제재를 받는 상황을 피하려면, 초기 단계부터 외부 전문가의 조력을 받는 것이 현명한 선택이다.
지금 시작해야 할 체크리스트
기업이 지금 착수해야 할 실무 과제를 정리하면 다음과 같다. 사내 AI 시스템 전수 파악 및 목록 작성, 각 시스템의 위험 등급 평가, 고위험 AI에 대한 컴플라이언스 체계 구축, AI 활용 내부 지침 및 정책 문서화, 직원 대상 AI 리터러시 교육 실시, AI 공급업체 계약서에 법 준수 조항 포함, 고위험 처리 여부에 대한 정기적 재검토가 그것이다.
이 체크리스트를 단순히 법적 의무를 충족하기 위한 행정 절차로 바라보아서는 안 된다. AI 활용 전략을 재점검하고 내부 거버넌스를 정비하는 기회로 삼아야 한다. AI 시스템이 어떻게 작동하는지, 어떤 데이터를 사용하는지, 누가 책임을 지는지를 조직 전체가 명확히 이해하는 문화를 만드는 것, 그것이 AI법 대응의 궁극적인 목표다.
AI법 대응은 단순한 법적 의무 이행이 아니다. AI를 책임감 있게 활용하는 조직이라는 신뢰를 시장에서 쌓는 과정이기도 하다. GDPR을 선제적으로 준수한 기업이 결과적으로 고객 신뢰와 경쟁 우위를 얻었듯, AI법에 대한 준비도 이제는 선택이 아니라 기업 경쟁력을 좌우하는 전략 변수다.
1461호 16면, 2026년 6월 5일