
2026년 1월 22일, 한국은 「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」(이하 AI 기본법)을 세계 최초로 전면 시행한 국가가 되었습니다. EU가 AI법(AI Act)을 먼저 제정했지만 고위험 AI 규제 적용을 2026년 8월로 미루고 있는 상황에서, 한국이 실질적 규제를 먼저 가동한 셈입니다. 기업과 개인 모두에게 이 법이 의미하는 바는 단순한 규제 하나가 아닙니다. AI를 만드는 방식, 쓰는 방식, 그리고 책임지는 방식 전체가 달라지는 전환점입니다.
AI 기본법은 왜 지금 시행되었나
AI 기본법의 정식 명칭은 「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」입니다. 2024년 12월 26일 국회 본회의에서 재석 264명 중 260명이 찬성하여 압도적 동의를 얻었고, 1년의 준비 기간을 거쳐 2026년 1월 22일부터 시행에 들어갔습니다.
배경에는 생성형 AI의 폭발적 확산이 있습니다. ChatGPT 등장 이후 불과 2년 만에 AI는 텍스트, 이미지, 영상까지 생성하는 단계에 이르렀고, 딥페이크 범죄, AI 편향성 문제, 개인정보 무단 학습 논란이 잇따랐습니다. 각국이 저마다 규제 프레임워크를 내놓는 가운데, 한국은 진흥과 규제를 한 법에 담는 '기본법' 형식을 택했습니다. 기존 개별법으로는 AI라는 범용 기술을 포괄하기 어렵다는 판단이었습니다.
이 법이 단순한 규제법이 아닌 '기본법'으로 제정된 데는 이유가 있습니다. AI 산업 육성, 인력 양성, 국가전략 수립 등 진흥 조항과 함께 안전 관리 의무를 병행 규정함으로써, 혁신의 속도를 늦추지 않으면서도 사회적 위험에 대응하겠다는 정책 의지가 반영되어 있습니다.
고영향 AI란 무엇인가, 그 분류 기준
AI 기본법의 규제 핵심은 '고영향 인공지능'(High-Impact AI)이라는 개념입니다. 사람의 생명, 신체의 안전, 기본권에 중대한 영향을 미치거나 위험을 초래할 우려가 있는 AI 시스템을 지칭합니다.
시행령은 고영향 AI 여부를 판단할 때 사용 영역, 기본권에 대한 위험의 영향·중대성·빈도, 활용 영역별 특수성 등을 종합적으로 고려하도록 규정하고 있습니다. 구체적으로 의료 진단, 금융 신용평가, 자율주행, 범죄 수사, 생체 인식 등 국민의 권익과 직결된 분야가 대표적 대상입니다.
여기서 주목할 점은 한국법이 EU의 '고위험 AI'(High-Risk AI)와 접근 방식이 다르다는 것입니다. EU는 의료·채용·법집행 등 특정 적용 분야를 나열하는 방식을 택한 반면, 한국은 기본권 침해의 중대성이라는 추상적 기준을 중심에 놓았습니다. 과학기술정보통신부(이하 과기정통부) 장관이 사안별로 판단하는 구조이기 때문에, 기업 입장에서는 자사 AI 시스템이 고영향에 해당하는지 여부가 불확실할 수 있습니다.
과기정통부가 수행하는 고영향 AI 확인 절차는 기본 30일이며, 1회에 한해 30일 연장이 가능합니다. 기업이 선제적으로 자가 점검할 수 있는 체크리스트를 과기정통부가 별도로 마련할 예정이지만, 아직 구체적 내용은 공개되지 않았습니다.
생성형 AI 워터마크 의무, 실효성은 있는가
이 법에서 일반인이 가장 체감할 변화는 생성형 AI 결과물에 대한 표시 의무입니다. AI로 만든 텍스트, 이미지, 영상, 음성 등을 제공할 때 이용자가 해당 사실을 인식할 수 있도록 고지하고, 다운로드·공유 시에는 워터마크를 부착해야 합니다.
시행령은 표시 방법을 두 가지로 나누고 있습니다. 첫째, 사람이 인식할 수 있는 가시·가청적 워터마크입니다. 이미지 구석에 'AI 생성' 문구를 넣거나, 영상에 안내 음성을 삽입하는 식입니다. 둘째, 기계가 판독할 수 있는 디지털 워터마크(메타데이터 삽입)입니다. 딥페이크가 아닌 애니메이션, 웹툰 등 창작물에는 후자만으로도 충분합니다.
그런데 법 시행 보름 만에 SNS에서는 이미 워터마크 제거법이 공유되기 시작했습니다. 기술적으로 메타데이터 제거는 어렵지 않고, 가시적 워터마크도 후처리로 지울 수 있습니다. 이 상황은 규제의 실효성에 의문을 던집니다. 다만 법의 취지는 '원본 생성 단계'에서의 투명성 확보에 있으며, 워터마크를 고의로 제거하는 행위는 별도의 법적 책임이 따를 수 있다는 점도 유의해야 합니다.
기업이 당장 준비해야 할 5가지 의무
AI 기본법은 AI 사업자에게 크게 다섯 가지 의무를 부과합니다.
첫째, 투명성 확보입니다. 고영향 AI 또는 생성형 AI를 활용한 제품·서비스를 제공할 때 AI 기반이라는 사실을 이용자에게 사전 고지해야 합니다. 알림창, UI 안내 등 방법은 기업이 자율 선택할 수 있습니다.
둘째, 안전성 확보입니다. 학습에 사용된 누적 연산량(컴퓨트)이 10의 26제곱 부동소수점 연산(FLOP) 이상인 AI 시스템은 위험 식별·평가·완화 체계를 갖추고, 안전사고 모니터링 및 대응 시스템을 구축해야 합니다. 현재 이 기준을 충족하는 국내 AI 모델은 없다는 것이 정부의 판단이지만, 해외 빅테크의 대규모 언어모델은 해당될 수 있습니다.
셋째, 고영향 AI 사업자의 특별 책무입니다. 영향 평가, 사전 검토, 위험 관리 체계 등 추가적인 안전 조치가 요구됩니다.
넷째, AI 영향 평가입니다. 공공 부문에서 AI를 활용할 경우, 국민의 기본권에 미치는 영향을 사전에 평가해야 합니다.
다섯째, 해외 AI 기업의 국내 대리인 지정입니다. 국내에 사무소 없이 AI 서비스를 제공하는 해외 기업은 반드시 국내 대리인을 지정해야 하며, 위반 시 3,000만 원 이하의 과태료가 부과됩니다.
과태료 3,000만 원과 1년 계도 기간의 의미
과태료 상한이 3,000만 원이라는 수치를 두고 '솜방망이'라는 비판이 나옵니다. EU AI법이 금지된 AI 관행 위반에 대해 최대 3,500만 유로(약 500억 원) 또는 전 세계 연 매출액의 7%라는 천문학적 과징금을 규정한 것과 비교하면, 규제의 강도 차이는 분명합니다. EU는 고위험 AI 의무 위반에도 최대 1,500만 유로 또는 매출의 3%를 부과할 수 있습니다.
한국 정부가 과태료를 낮게 설정한 배경에는 AI 산업 육성이라는 목표가 있습니다. 아직 글로벌 AI 경쟁에서 한국 기업이 확고한 위치를 잡지 못한 상황에서, 초기부터 강력한 벌칙으로 혁신을 위축시킬 수 없다는 판단입니다.
여기에 더해 과기정통부는 최소 1년 이상의 계도 기간을 운영합니다. 이 기간 동안에는 인명사고나 인권 침해 등 중대한 사회적 문제가 발생한 경우를 제외하면 사실 조사나 과태료 부과를 하지 않겠다는 방침입니다. 실질적으로 기업에 과태료가 부과되는 시점은 빨라야 2027년 이후가 됩니다.
그러나 계도 기간을 '유예'로 해석해 아무 준비도 하지 않는 것은 위험합니다. 이 기간은 기업이 자가 진단을 마치고 컴플라이언스 체계를 갖추라는 뜻이지, 규제가 적용되지 않는다는 뜻이 아닙니다.
한국 vs EU, AI 규제 철학은 어떻게 다른가
한국의 AI 기본법과 EU AI법은 같은 목표를 향하지만 경로가 다릅니다.
규제 대상부터 차이가 납니다. EU는 AI 시스템의 개발자, 배포자, 그리고 사용자(deployer)까지 포괄합니다. 반면 한국법은 AI 제품·서비스를 제공하는 사업자에게만 적용됩니다. 사내에서 AI를 활용하는 일반 기업 사용자는 직접적 규제 대상이 아닙니다.
위험 분류 체계도 다릅니다. EU는 의료, 채용, 법집행 등 특정 적용 분야를 열거하는 '리스트 방식'을 사용합니다. 한국은 기본권 침해의 중대성이라는 원칙 기반 접근을 택했습니다. 유연성은 높지만, 예측 가능성은 낮아질 수 있습니다.
벌칙 수준의 격차는 앞서 언급한 대로입니다. EU의 최대 과징금이 연 매출의 7%인 반면, 한국은 건당 3,000만 원입니다. 이 차이는 규제의 억지력에 직접 영향을 미칩니다.
흥미로운 점은 EU마저 실제 집행에서는 속도 조절을 하고 있다는 것입니다. 유럽위원회는 2025년 말 '디지털 옴니버스' 패키지를 통해 고위험 AI 의무를 2027년 12월로 연기하는 방안을 제안한 바 있습니다. 법을 만드는 것과 현장에서 집행하는 것 사이의 간극은 어느 나라나 마찬가지입니다.
통신·IT 업계는 어떻게 움직이고 있나
법 시행 직후 가장 빠르게 대응한 것은 이동통신 3사입니다. AI를 차세대 핵심 사업으로 삼고 있는 만큼, 규제 리스크를 선제적으로 관리할 유인이 큽니다.
SK텔레콤은 'Good AI' 전사 캠페인을 가동하고, AI 거버넌스 포털을 고도화했습니다. ISO/IEC 42001(AI 관리체계 국제표준) 인증도 취득했습니다. KT는 전담 조직인 'Responsible AI Center(RAIC)'를 신설하고 최고책임자(CRAIO)를 임명했습니다. 자체 윤리 원칙 'ASTRI'를 전 과정에 적용하며, 매년 책임 있는 AI 리포트를 발간합니다.
대형 플랫폼 기업도 예외는 아닙니다. 네이버, 카카오 등은 이미 자체 AI 윤리 가이드라인을 운영해왔지만, 법적 의무가 부과됨에 따라 내부 체계를 법적 기준에 맞춰 재정비하는 과정에 있습니다.
반면 중소 AI 스타트업에게는 이 모든 것이 부담입니다. 전담 법무팀이 없는 상황에서 고영향 AI 해당 여부를 자체 판단하고, 워터마크 시스템을 구축하며, 투명성 고지 체계를 갖추는 것은 적지 않은 비용입니다. 정부가 중소기업을 위한 지원 프로그램을 얼마나 실질적으로 운영하느냐가 이 법의 현장 안착을 좌우할 것입니다.
AI 기본법 이후, 무엇이 달라지나
AI 기본법의 시행은 시작일 뿐입니다. 시행령의 세부 기준이 아직 완전히 확정되지 않은 부분이 있고, 고영향 AI의 구체적 범위도 사안별로 판단되는 구조이기 때문에 앞으로 상당 기간 해석 논란과 가이드라인 보완이 이어질 전망입니다.
기업 입장에서는 세 가지를 주시해야 합니다. 첫째, 과기정통부의 가이드라인 업데이트입니다. 계도 기간이 끝나기 전에 자사 AI 서비스의 규제 해당 여부를 확인하고 대응 체계를 갖춰야 합니다. 둘째, EU AI법과의 정합성입니다. 글로벌 시장에 진출하는 기업이라면 한국법과 EU법을 동시에 충족하는 통합 컴플라이언스 전략이 필요합니다. 셋째, 개인정보보호법·저작권법 등 인접 법률과의 충돌 지점입니다. AI 학습 데이터의 적법성, 생성물의 저작권 귀속 등은 AI 기본법만으로 해결되지 않는 영역입니다.
개인에게도 변화가 찾아옵니다. AI가 만든 콘텐츠에는 표시가 따라붙고, 나의 신용을 평가하는 AI에는 설명 의무가 생깁니다. AI를 쓰되, 그 AI가 어떤 원리로 판단하는지 물을 권리가 법적으로 보장되기 시작한 것입니다. AI 기본법은 기술의 편리함 이면에 숨겨진 위험을 드러내고, 그 위험을 관리할 책임을 명확히 했다는 점에서 의의가 있습니다.
참고자료
- ·AI 기본법 완전 정리! 2026년 시행, 고영향 AI·생성형 AI 의무사항과 대비 전략 - 피카부랩스
- ·인공지능 발전과 신뢰 기반 조성 등에 관한 기본법 - 국가법령정보센터
- ·AI 기본법 시행과 그 시사점 - 세종
- ·'인공지능기본법' 22일 시행…생성형 AI 결과물 '워터마크' 표시 의무 - 대한민국 정책브리핑
- ·인공지능기본법 시행과 사업자의 의무 - 법률신문
- ·AI 기본법 시행, 기업은 무엇을 준비해야 하는가 - PwC컨설팅
- ·규제 불확실성 속 통신 3사 달랐다···AI 기본법 대응 '속도전' - 스마트에프엔
- ·EU AI Act Implementation Timeline - EU Artificial Intelligence Act
댓글