EU AI Act 협상이 4월 28일 또 결렬됐다. 이번이 두 번째다. 다음 협상은 5월 13일인데, 거기서도 합의 못 하면 8월 2일부터 고위험 AI 시스템 의무가 그냥 시행된다. 연장 없이. 준비 안 돼도.
솔직히 나도 "어차피 연장되겠지"라고 안일하게 생각했는데, 4월 협상이 12시간 마라톤 끝에 결렬됐다는 뉴스 보고 생각이 좀 바뀌었다. EU에서 뭔가 제품을 팔거나 서비스를 운영하는 분들이라면 지금 확인해야 할 게 있다.
결론부터 말하면, 8월 2일이 진짜 데드라인이다
EU AI Act는 2024년 8월에 발효됐고, 고위험 AI 시스템에 대한 의무는 발효 2년 후인 2026년 8월 2일부터 적용된다는 게 원래 계획이었다.
유럽위원회가 작년 11월에 디지털 옴니버스를 내놨다. 고위험 AI 의무를 2027년 12월로 미루자는 내용이었는데, 이걸 채택하려면 유럽의회·EU이사회·집행위 3자가 합의해야 한다. 4월 28일에 2차 협상을 했고 12시간이 흘렀는데 결국 빈손으로 끝났다. 뭐가 막혔냐면, 기계 규정이나 의료기기 규정 같은 기존 안전 법률이랑 AI Act가 겹치는 부분을 어떻게 처리하냐는 거였다. 거기다 범용 AI 모델 규제를 얼마나 완화할지도 걸렸다. 프랑스, 독일은 자국 스타트업 경쟁력 때문에 좀 풀어주자고 했고, 의회는 거기에 동의 안 했다. 개인적으로는 의회 입장이 이해는 가는데, 기업들 입장에선 답답할 것 같긴 하다.
다음 3자 협상은 5월 13일. 거기서도 합의 못 하면 8월 2일부터 원래 법 조항이 그대로 시행된다. 3개월도 안 남았다.
고위험 AI 시스템, 생각보다 내 제품이 해당될 수 있다
EU AI Act Annex III는 고위험 AI를 8개 분야로 분류한다. 막연하게 "위험한 AI"가 아니라 꽤 구체적이다.
- 생체 인식: 원격 생체 인식, 감정 인식 시스템
- 중요 인프라: 전력망·교통·수도 관리 AI
- 교육·직업 훈련: 입학 심사, 학습 성과 평가, 부정 행위 감지 AI
- 고용·노동 관리: 채용 스크리닝, 성과 평가, 승진 결정 AI
- 필수 서비스 접근: 신용 평가, 보험 위험 산정 AI
- 법 집행: 범죄 피해 위험 평가 AI
- 이민·국경: 망명 신청 심사, 비자 위험 평가 AI
- 사법 행정: 사건 결과 예측, 분쟁 해결 지원 AI
채용 AI·HR AI는 거의 다 해당된다
이 중에서 IT 기업들이 가장 신경 써야 할 건 고용·노동 관리 카테고리다. 이력서 자동 필터링, 면접 점수화, 성과 평가 자동화 — 이게 다 해당된다. "AI가 추천만 하고 최종 결정은 사람이 한다"고 생각할 수 있는데, AI가 의사결정 과정에 실질적으로 영향을 미치면 고위험으로 분류된다.
교육 SaaS도 마찬가지다. 학습 결과를 평가하거나 수강 자격을 판단하는 로직이 들어 있으면 검토가 필요하다.
비해당 예외 조건도 있다
다행히 예외 조항도 있다. AI 시스템이 ① 단순 절차적 작업만 수행하거나, ② 이미 완료된 사람의 활동 결과를 개선하거나, ③ 사람의 판단을 대체하지 않고 보조하는 용도라면 고위험으로 보지 않는다. 단, 이 판단은 기업이 직접 문서화해서 근거를 남겨야 한다. "해당 없다고 판단했다"는 말만으론 안 된다.
준수 의무 7가지, 실제로 해야 할 작업은 이거다
내 제품이 고위험으로 분류된다면, provider(개발·배포 기업) 기준으로 7가지 의무가 생긴다.
- 위험 관리 시스템(Article 9): 제품 전 생애주기에 걸쳐 위험을 식별하고 완화하는 지속적인 프로세스. 문서화 필수.
- 데이터 거버넌스(Article 10): 학습·검증·테스트 데이터가 충분히 대표성 있고 편향 없는지 증명해야 한다.
- 기술 문서(Article 11): 시스템 전반 설명, 학습 데이터, 성능 평가 결과, 한계점까지 담은 문서를 발행 전에 준비.
- 로깅(Article 12): AI 시스템의 작동 이력을 자동으로 기록하는 체계. 특히 기본권 영향 상황 추적용.
- 투명성·사용 안내(Article 13): 운영자에게 시스템 능력·한계·아웃풋 해석법·필요한 인간 감독 수준 안내.
- 인간 감독 체계(Article 14): 사람이 AI를 모니터링·중단·무력화할 수 있는 인터페이스 설계.
- 정확성·견고성(Article 15): 오류·조작·적대적 공격에 대한 안정성 확보.
여기다 발행 전에 EU AI 데이터베이스에 시스템을 등록해야 한다. 유럽 집행위원회가 관리하는 데이터베이스인데, 이 등록 자체가 판매·서비스 전제 조건이다.
7가지 모두 처음부터 세팅하려면 솔직히 3개월은 빠듯하다. 특히 기술 문서와 위험 관리 시스템 구축은 생각보다 공수가 크다. 기존 GDPR 대응 문서가 있는 기업이라면 일부를 재활용할 수 있지만, 없다면 거의 제로에서 시작해야 한다.
5월 13일 협상 결과별 시나리오, 뭘 기다리고 뭘 지금 해야 하나
5월 13일 협상 결과는 크게 두 가지로 나뉜다.
시나리오 A — 합의 성공: 디지털 옴니버스가 채택되면 고위험 AI 의무 시작일이 2027년 12월로 밀린다. 16개월 여유가 생긴다. 하지만 법이 공식 채택되려면 유럽의회·이사회 전체 투표까지 수개월이 더 필요하다. "합의됐다"는 뉴스 뜬다고 당장 다 해결되는 건 아니다.
시나리오 B — 또 결렬: 8월 2일부터 그냥 시행된다. EU에서 사업하는 기업들은 8월 전까지 최소 기술 문서와 데이터 거버넌스 체계는 갖춰야 한다.
그래서 지금 당장 해야 할 건 두 가지다. 첫째, 내 제품·서비스가 Annex III에 해당하는지 자가 진단. 해당 없다고 판단해도 그 근거를 문서화해둬야 한다. 규제 당국이 나중에 물어볼 때 구두로 답변하는 건 인정 안 한다.
둘째, 고위험으로 분류된다면 기술 문서부터 시작하는 게 순서다. 7가지 의무 중 기술 문서는 다른 의무들의 기반이 되기 때문에 여기서 시작하면 전체 준비가 더 수월해진다.
5월 13일 협상 결과를 기다리면서 아무것도 안 하는 건, 솔직히 좀 위험한 베팅이다. 준비를 시작했다가 연장 확정되면 그건 그냥 미리 한 일이 되는 거고, 반대로 아무것도 안 했는데 시행되면 8월이 꽤 바빠진다.
📎 참고 자료
- EU AI Act 디지털 옴니버스 3자 협상 12시간 만에 결렬 (AI매터스, 2026-04-30)
- EU AI Act 고위험 시스템 규제 연기 협상 결렬 — 8월 시행 가능성 (이비즈타임즈, 2026-04-30)
- EU AI Act High-Risk Systems: Annex III Checklist (bm.consulting, 2026-03-18)
- Article 6: Classification Rules for High-Risk AI Systems (artificialintelligenceact.eu)
📌 함께 보면 좋은 글
'AI.IT' 카테고리의 다른 글
| Claude Code SEO 월 5만 클릭 전략 — 영상이 빠뜨린 2026년 함정 6가지 (0) | 2026.05.11 |
|---|---|
| HyperFrames V2 — Claude로 영상을 'vibe-coding'하는 시대가 왔다 (0) | 2026.05.11 |
| Figma AI 기능 팁 모음, 3개월 쓰고 살아남은 것만 정리했다 (0) | 2026.05.11 |
| Hermes Agent, 7주 만에 95.6K 스타 — OpenClaw와 다른 길을 잡았다 (0) | 2026.05.11 |
| Perplexity Sonar API 모델 선택, 비용이 40배 차이 나는 이유가 있었다 (0) | 2026.05.11 |
