EU AI Act 고위험 AI 의무 조항 발효—한국 개발자 대응 체크리스트
EU AI Act의 고위험 AI 시스템 관련 의무 조항이 2026년 6월 28일부로 공식 적용되기 시작하며, EU 시장에 서비스를 출시하는 한국 기업·개발자도 적합성 평가와 기술 문서화 의무를 즉시 이행해야 한다. 특히 채용·신용평가·의료 보조 등 8개 분야 AI 기능을 포함한 SaaS 제품은 CE 마킹에 준하는 AI 적합성 선언서를 갖춰야 규제 리스크를 피할 수 있다.
EU AI Act 고위험 조항, 무엇이 언제 적용되나
EU AI Act는 2024년 8월 발효 후 단계적 유예 기간을 두었으며, 고위험 AI 시스템(Annex III) 의무 조항은 2026년 6월 28일을 기점으로 EU 역내 배포·판매 제품 전체에 적용된다. 고위험 AI로 분류되는 8개 분야는 ▲생체 인식 ▲중요 인프라 관리 ▲교육·직업훈련 평가 ▲채용·HR 의사결정 ▲필수 공공 서비스 접근 ▲법 집행 ▲이민·망명 심사 ▲사법 행정이다. EU 법인이 없는 한국 기업도 EU 소비자를 대상으로 서비스를 제공하는 경우 역외 적용 원칙에 따라 동일 의무를 진다.
개발자가 즉시 확인해야 할 3가지 의무
1. 기술 문서화(Technical Documentation) — 모델 아키텍처, 학습 데이터 출처, 성능 지표, 편향 평가 결과를 포함한 문서를 영문으로 작성·보관해야 한다. 규제 기관 요청 시 72시간 이내 제출 의무가 있으며, 문서 보관 기간은 서비스 종료 후 최소 10년이다.
2. 로그 자동 기록(Automatic Logging) — 고위험 AI 시스템은 운영 중 발생하는 의사결정 이벤트를 자동으로 로그화해야 한다. 로그에는 입력 데이터 해시, 모델 버전, 출력 신뢰도 점수, 타임스탬프가 포함돼야 하며 무결성 보장을 위해 변경 불가 스토리지(예: 블록체인 기반 또는 WORM 스토리지)가 권고된다.
3. 인간 감독 인터페이스(Human Oversight) — 최종 의사결정이 인간에 의해 검토·취소될 수 있는 UI/UX 흐름을 제품에 내재화해야 한다. 채용 보조 AI가 후보자를 자동 탈락시키는 구조는 이 요건을 위반할 소지가 크다.
한국 크리에이터·인디 개발자를 위한 실용 가이드
개인 또는 소규모 팀이 EU 사용자를 대상으로 AI 기반 SaaS를 운영한다면 다음 순서로 대응을 시작하는 것이 현실적이다. ① EU AI Act Annex III 체크리스트로 자사 제품의 고위험 해당 여부를 먼저 판단한다. ② 해당하지 않더라도 범용 목적 AI(GPAI) 모델을 래핑해 서비스할 경우 투명성 의무(사용자에게 AI임을 고지)는 별도로 적용된다. ③ 컴플라이언스 부담이 큰 경우 EU 공인 적합성 평가 기관(Notified Body)을 통한 사전 심사를 받으면 규제 기관과의 분쟁 시 입증 책임이 경감된다. 과태료는 고위험 AI 의무 위반 시 전 세계 연간 매출의 최대 3% 또는 1,500만 유로 중 높은 금액이 부과된다.