AI 기본법 완전 정리! 2026년 시행, 고영향 AI·생성형 AI 의무사항과 대비 전략
2024년 12월 26일, 국회 본회의는 재석 264명 중 찬성 260명으로 「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」(이하 AI 기본법)을 통과시켰어요. 이 법은 2026년 1월 22일부터 본격 시행되며, 우리나라가 유럽연합(EU)에 이어 세계에서 두 번째로 포괄적인 AI 규제 체계를 갖추게 되는 역사적 순간이었죠.
챗GPT를 필두로 한 생성형 AI의 등장은 우리 사회에 엄청난 혁신을 가져왔지만, 동시에 딥페이크, 개인정보 침해, 알고리즘 편향성 등 새로운 위험도 함께 드러났어요. AI 기본법은 바로 이러한 기술 발전의 양면성 속에서 '혁신'과 '신뢰'라는 두 마리 토끼를 모두 잡기 위해 탄생했습니다.
특히 주목할 점은 이 법이 단순한 규제가 아닌 '진흥 중심' 접근을 택했다는 거예요. 정부는 과태료 부과에 최소 1년 이상의 계도 기간을 두고, 통합안내지원센터를 운영하여 기업들이 새로운 규제 환경에 안착할 수 있도록 적극 지원할 계획입니다. 이는 규제로 인한 산업 위축을 최소화하면서도, 글로벌 AI 규범과의 조화를 이루려는 정부의 신중한 전략이라고 볼 수 있죠.
1. AI 기본법, 누가 대상인가? (핵심 용어 3가지)
법을 이해하는 첫 단추는 '용어의 정의'입니다. 이 법은 모든 AI를 규제하지 않습니다. 여러분의 서비스가 아래 3가지 키워드에 속하는지 확인해 보세요.
① 고영향 인공지능 (High-Impact AI)
'고영향 인공지능'은 사람의 생명, 신체의 안전, 기본권에 중대한 영향을 미치거나 위험을 초래할 우려가 있는 AI 시스템을 말해요. 법에서는 11개 분야를 구체적으로 명시하고 있는데요.
11개 고영향 AI 적용 분야:
에너지 공급
먹는 물의 생산·공급
보건의료
원자력 안전
철도·도로·항공·해운 교통
금융(신용평가, 대출 심사)
교육(입학·채용 평가)
고용(채용 심사, 인사 평가)
공공 안전(범죄 예방, 수사)
출입국 관리
사회 보험 및 복지
여기서 중요한 점은 단순히 분야만으로 고영향 AI가 결정되는 게 아니라는 거예요. 사용 영역, 기본권에 대한 위험의 영향·중대성·빈도를 종합적으로 고려해 판단하죠. 예를 들어, 같은 의료 분야라도 단순 건강 정보 제공 앱과 암 진단 AI 시스템은 위험도가 전혀 다르잖아요.
판단 기준: 해당 AI가 오작동했을 때 사람을 다치게 하거나, 채용/대출 등에서 불공정한 차별을 할 가능성이 있는가?
② 생성형 인공지능 (Generative AI)
입력된 데이터를 학습하여 텍스트, 이미지, 영상, 음향 등 새로운 결과물을 만들어내는 AI입니다.
예시: 챗GPT(ChatGPT), 클로드(Claude) 같은 LLM(대형언어모델), 미드저니(Midjourney) 등
단순 분류나 예측 모델은 여기에 포함되지 않습니다.
③ 인공지능사업자
'인공지능사업자'는 AI 시스템을 개발·제공하는 사업자뿐만 아니라, AI를 활용한 제품이나 서비스를 제공하는 사업자까지 모두 포함해요. 이는 EU AI Act가 공급자, 배포자, 수입자, 유통자를 각각 구분하여 차등적 의무를 부과하는 것과 대조적이죠.
예를 들어볼까요?
AI 모델을 개발하는 오픈AI → 인공지능사업자
ChatGPT를 활용해 고객 상담 서비스를 제공하는 이커머스 기업 → 인공지능사업자
AI 기반 신용평가 시스템을 도입한 은행 → 인공지능사업자
이처럼 AI 생태계의 모든 참여자가 책임을 공유한다는 것이 AI 기본법의 핵심 철학입니다.
2. 피할 수 없는 5가지 의무사항
여러분이 'AI 사업자'에 해당한다면, 다음 5가지 의무는 선택이 아닌 필수입니다.
1) 투명성 확보 의무 (Transparency)
"이 서비스는 AI가 만들었습니다"라고 이용자에게 솔직하게 알려야 합니다.
고영향 AI 또는 생성형 AI를 활용한 제품·서비스를 제공할 때는 AI 기반 운영 사실을 이용자에게 사전에 명확히 알려야 해요. 구체적인 고지 방법은 다음과 같습니다:
제품·서비스에 직접 기재하거나 이용약관에 명시
이용자 화면이나 단말기에 표시
서비스 제공 장소에 인식하기 쉽게 게시
생성형 AI의 경우 더 엄격한 기준이 적용돼요:
생성된 결과물에 워터마크 표시 (사람 또는 기계가 판독 가능한 형식)
딥페이크 등 실제와 구분 어려운 결과물은 이용자가 명확히 인식할 수 있도록 고지
투명성 의무 면제 대상:
1. 제품·서비스명, 화면 표시 등으로 AI 사용이 명백한 경우
2. 인공지능 사업자의 내부 업무용으로만 사용되는 경우
(주의: "내부 업무용"은 사업자 자신의 내부 용도를 의미하며, 고객에게 제공하는 제품은 해당하지 않음)
위반 시 제재: 고지 의무를 이행하지 않으면 3천만원 이하의 과태료가 부과됩니다.
2) 안전성 확보 의무 (Safety)
학습에 사용된 누적 연산량이 10²⁶ 부동소수점 연산(FLOP) 이상인 대규모 AI 시스템을 운영하는 사업자는 안전성 확보 의무를 이행해야 해요. 이는 초거대 AI 모델을 대상으로 하는 규제로, GPT-4 같은 최신 LLM들이 해당될 가능성이 높죠.
안전성 확보를 위한 필수 조치:
AI 시스템의 개발부터 폐기까지 전 생애주기에 걸친 위험 식별·평가·완화 체계 마련
AI 관련 안전사고 모니터링 및 대응 체계 구축
이행 결과를 과학기술정보통신부장관에게 정기적으로 제출
이 의무는 AI 시스템이 예상치 못한 방식으로 작동하거나, 사회에 해를 끼치는 것을 사전에 방지하기 위한 안전장치예요.
3) 고영향 AI 사업자의 특별 책무
여러분의 AI가 '고영향 AI'로 분류된다면, 책임은 더 무거워집니다. 고영향 AI를 활용한 제품·서비스를 제공하는 사업자는 이용자의 기본권을 보호하기 위한 구체적 조치를 마련해야 해요.
필수 이행 사항:
위험 관리 방안 수립 및 운영 (정책, 조직 체계 포함)
이용자 보호 방안 수립 및 운영 (설명 가능성, 투명성 확보)
위 내용을 자사 홈페이지 등에 공개
예를 들어, AI 기반 신용평가 시스템을 운영하는 금융기관이라면 "이 AI가 어떤 기준으로 신용등급을 매기는지", "불공정한 차별은 없는지"를 명확히 설명할 수 있어야 한다는 뜻이죠.
4) AI 영향 평가
고영향 AI를 제공하는 사업자는 서비스 출시 전에 AI 영향 평가를 수행하도록 권고받아요. AI 영향 평가는 법적으로 "노력 의무"로 규정되어 있습니다 (AI 기본법 제35조 제3항). 국가기관이 고영향 AI 제품·서비스를 구매할 때 영향 평가를 완료한 제품을 우선 고려하도록 규정되어 있어 사실상 필수나 다름없죠.
AI 영향 평가에 포함되어야 할 내용:
해당 AI로 인해 기본권에 영향받을 가능성이 있는 대상 식별 (특정 집단 포함)
영향받을 수 있는 기본권 유형 식별 (평등권, 프라이버시권 등)
AI로 인한 사회적·경제적 영향의 범위 평가
이는 EU AI Act의 '적합성 평가(Conformity Assessment)'와 유사한 개념으로, AI의 잠재적 위험을 사전에 파악하고 완화하는 핵심 도구입니다.
5) 국내 대리인 지정 (해외 빅테크 대상)
국내에 주소나 영업소가 없는 해외 AI 사업자라도 다음 기준을 충족하면 국내 대리인을 지정해야 해요:
국내 대리인 지정 대상 기준 (모두 충족 시):
전년도 매출액 1조원 이상
서비스 부문 매출액 100억원 이상
일평균 국내 이용자 수 100만명 이상
이 기준을 적용하면 OpenAI, Google, Anthropic 같은 글로벌 AI 기업들이 대상이 될 가능성이 높아요. 국내 대리인은 과기정통부와의 소통 창구 역할을 하며, 대리인이 법을 위반하면 해당 사업자가 위반한 것으로 간주됩니다.
위반 시 제재: 국내 대리인을 지정하지 않으면 3천만원 이하의 과태료가 부과돼요.
3. 시행 일정과 타임라인: 지금 무엇을 해야 할까?
법은 통과되었지만 당장 내일부터 과태료를 내는 것은 아닙니다. 하지만 준비 기간은 생각보다 짧습니다.
주요 일정 | 날짜 | 내용 |
|---|---|---|
국회 본회의 통과 | 2024년 12월 26일 | 재석 264명 중 찬성 260명으로 가결 |
대통령 공포 | 2025년 1월 | 국무회의 의결 후 공포 절차 |
법 시행 | 2026년 1월 22일 | 공포 후 1년 경과 시점 |
시행령 입법예고 | 2025년 11월 12일~ | 40일간 의견 수렴 (완료) |
가이드라인 공개 | 2025년 12월 예정 | 투명성, 안전성 등 세부 실행 가이드 |
과태료 계도 기간 시작 | 2026년 1월 22일~ | 최소 1년 이상 운영 (실질적 규제 유예) |
통합안내지원센터 운영 | 2026년 1월 22일~ | 기업 애로사항 해소 및 컨설팅 지원 |
💡 Tip: 2026년 1월 법 시행 전까지, 기업은 내부 AI 시스템이 '고영향 AI'에 해당하는지 법률 검토를 마치고, 필요한 기술적 조치(워터마킹, 로그 기록 등)를 완료해야 합니다.
여기서 가장 중요한 포인트는 '과태료 계도 기간'이에요. 정부는 법 시행 초기 기업들의 혼란을 최소화하기 위해 1년 이상 과태료를 부과하지 않고 계도만 하는 기간을 운영할 계획이라고 밝혔어요. 다만, 계도 기간의 구체적 운영 방식 및 정확한 기간은 2025년 말까지 최종 확정될 예정입니다.
즉, 법적으로는 2026년 1월부터 의무가 발생하지만, 실제 과태료가 부과되는 시점은 빨라도 2027년 이후가 될 가능성이 높습니다. 이 기간 동안 기업들은 통합안내지원센터의 지원을 받아 차근차근 대비할 수 있어요.
기업이 지금 해야 할 일:
자사 AI 시스템이 고영향 AI 또는 생성형 AI에 해당하는지 검토
2025년 12월 공개될 가이드라인을 면밀히 분석
내부 컴플라이언스 체계 구축 시작 (투명성 고지, 위험관리 방안 등)
통합안내지원센터 활용 계획 수립
4. 한국 AI 기본법 vs EU AI Act: 무엇이 다른가?
글로벌 비즈니스를 하는 기업이라면 유럽의 AI 법(EU AI Act)과 혼동될 수 있습니다. 한국 법은 유럽보다 '산업 진흥'에 조금 더 무게를 두고 있습니다.
비교 항목 | 한국 AI 기본법 | EU AI Act |
|---|---|---|
규제 대상 | • 고영향 AI (11개 분야) • 생성형 AI | • 4단계 위험 분류 • 허용불가 위험 • 고위험 AI • 제한된 위험 • 저위험(최소 규제) |
핵심 용어 | '고영향(High-Impact)' → 사회적 영향력까지 고려 | '고위험(High-Risk)' → 위험성에 초점 |
규제 범위<br>(적용 제외) | • 국방·국가안보 목적만 제외 | • 국방·안보 • 연구·시험·개발 단계 • 과학 연구 목적 • 개인적·비직업적 활동 |
사업자 구분 | '인공지능사업자'로 통합 → 개발자·이용자 모두 동일 의무 | 공급자·배포자·수입자·유통자 구분 → 역할별 차등 의무 부과 |
제재 수준 | • 최대 3천만원 과태료 • 기업 규모 무관 | • 전 세계 매출의 최대 7% 또는 • 3,500만 유로 과징금 • 기업 규모 비례 |
접근 방식 | 진흥 중심 (Innovation First) • 계도 기간 1년 이상 • 통합지원센터 운영 • 자율 영향평가 권장 | 안전 중심 (Safety First) • 엄격한 사전 규제 • 의무적 적합성 평가 • 높은 과징금으로 강제 |
핵심 차이: 한국 법은 위반 시 과태료가 상대적으로 적지만, 시정명령을 이행하지 않을 경우 영업 정지 등의 행정 처분으로 이어질 수 있으므로 가볍게 여겨선 안 됩니다.
왜 이런 차이가 생겼을까요?
EU는 이미 성숙한 규제 체계와 막강한 시장 지배력(GDPR 사례)을 바탕으로 '안전 최우선' 전략을 택할 수 있었어요. 반면 한국은 AI 산업 경쟁력을 키워야 하는 단계이기 때문에, 과도한 규제로 인한 산업 위축을 경계하면서도 최소한의 안전장치를 마련하는 균형점을 찾은 거죠.
글로벌 기업이 주목해야 할 점: 만약 여러분이 한국과 EU 모두에서 AI 서비스를 제공한다면, 더 엄격한 EU AI Act 기준에 맞춰 컴플라이언스 체계를 구축하는 것이 효율적이에요. EU 기준을 충족하면 한국 기준은 자동으로 만족하게 되니까요.
산업별 영향: 우리 회사도 해당될까?
AI 기본법은 산업 전반에 걸쳐 영향을 미치지만, 특히 고영향 AI가 집중된 분야는 더 큰 영향을 받을 거예요. 주요 산업별로 어떤 준비가 필요한지 살펴볼게요.
모빌리티 - 자율주행 AI 시스템
자율주행 기술은 대표적인 고영향 AI 분야예요. 사람의 생명과 직결되기 때문이죠.
해당 가능성:
레벨 3 이상 자율주행 시스템 → 고영향 AI 해당
주행 보조 시스템(어댑티브 크루즈 컨트롤 등) → 상황에 따라 판단 필요
대비 방안:
AI 기반 의사결정 과정의 투명성 확보 (블랙박스 데이터 기록 강화)
안전성 테스트 결과 및 위험 관리 체계를 홈페이지에 공개
사고 발생 시 대응 매뉴얼 정비
현대자동차, 기아 같은 완성차 업체뿐만 아니라 웨이모(Waymo), 테슬라(Tesla) 같은 해외 기업이 국내 진출 시 국내 대리인 지정도 검토해야 해요.
의료기기 - 진단·치료 AI
AI 기반 의료기기는 이미 식약처의 「디지털의료제품법」 규제를 받고 있어요. AI 기본법은 여기에 추가적인 층위의 규제를 더하는 형태죠.
해당 가능성:
AI 기반 질병 진단 시스템 (영상 판독, 병리 분석) → 고영향 AI 해당
건강 관리 앱, 단순 정보 제공 → 저영향으로 규제 대상 아닐 가능성
대비 방안:
디지털의료제품법 요구사항 충족 시 AI 기본법 고영향 AI 책무 이행으로 간주되므로, 기존 컴플라이언스 체계 점검
AI 영향 평가 자발적 실시 (국가기관 납품 대비)
의료 데이터 보호 및 AI 투명성 강화
금융 - 신용평가·대출 AI
금융권은 이미 금융위원회의 「AI 가이드라인」을 따르고 있지만, AI 기본법의 추가 의무를 검토해야 해요.
해당 가능성:
AI 기반 신용평가, 대출 심사 시스템 → 고영향 AI 해당 (개인 권리·의무에 중대 영향)
챗봇 상담, 단순 정보 제공 → 규제 대상 아닐 가능성
대비 방안:
AI 의사결정의 설명 가능성(Explainability) 확보 - "왜 이 고객이 대출 거부되었는지" 명확히 설명할 수 있어야 함
알고리즘 편향성 테스트 강화 (특정 성별, 연령, 지역 차별 방지)
AI 시스템 운영 현황 홈페이지 공개
그 외 산업
HR 테크: AI 기반 채용 솔루션 → 고영향 AI 가능성 (채용 차별 이슈)
교육: AI 기반 입시 평가, 학습 관리 시스템 → 고영향 AI 가능성
에너지: 스마트 그리드, 전력망 관리 AI → 고영향 AI 해당
마치며: 신뢰받는 AI 기업으로 거듭나는 기회
AI 기본법은 단순한 규제가 아니라, 우리 사회가 AI 기술을 어떻게 신뢰하고 활용할 것인가에 대한 사회적 합의예요. 유럽의 엄격한 규제와 미국의 자율 규제 사이에서 균형점을 찾으려는 한국만의 접근이기도 하고요.
2026년은 이제 1년 남짓 남았어요. 하지만 계도 기간을 고려하면 실제로는 2~3년의 준비 시간이 있는 셈이죠. 이 기간 동안 투명성과 안전성을 갖춘 AI 시스템을 구축한다면, 여러분의 조직은 단순히 규제를 피하는 수준을 넘어 고객과 사회로부터 신뢰받는 AI 기업으로 자리매김할 수 있을 거예요.
법 시행을 두려워하기보다는 이를 계기로 우리 조직의 AI 거버넌스를 한 단계 업그레이드하는 기회로 삼으면 어떨까요? 정부도 통합안내지원센터와 다양한 지원 프로그램으로 기업들의 안착을 돕겠다고 약속했으니, 이를 적극 활용하시길 바랍니다.
여러분의 필요에 맞는 현명한 AI 전략 수립과 컴플라이언스 체계 구축으로, 안전하고 혁신적인 AI 시대를 함께 열어가시길 응원합니다.