본문으로 건너뛰기
← 인사이트 전체/정책·규제

EU AI Act, 8월 2일부터 GPAI 집행 권한 발동 — 의무는 이미 1년째

2025년 8월부터 적용 중인 GPAI 의무에 더해, 2026년 8월 2일부터 EU 집행위의 감독·벌금 권한이 본격 가동된다.

출처 · European Commission — AI Act·업데이트 2026.06.04
에디터 노트

국내 AI 기본법도 비슷한 방향. 6~7월 사이 시행령 가닥이 잡힐 거라는 관측이 우세하다. EU 일정과 발맞춰 가는 분위기.

EU AI Act의 "범용 AI 모델(General-purpose AI)" 조항을 두고 국내 보도가 자주 헷갈리는 지점이 있다. 의무가 적용되는 시점과 집행 권한이 켜지는 시점은 별개다. GPAI 사업자의 투명성 의무, 그러니까 학습 데이터 요약 공개, 시스템 카드 게시, 저작권 침해 방지, 안전성 사전 평가 같은 항목은 이미 2025년 8월 2일부터 시행 중이다. 2026년 8월부터 새로 발동되는 건 이 의무가 아니라 EU 집행위의 감독·집행 권한이다.

이 구분이 왜 중요할까. 법이 "오늘부터 지켜라"라고 적어 두는 것과, 규제 당국이 "안 지켰으니 손을 쓰겠다"며 실제로 움직일 수 있는 것은 전혀 다른 단계다. 지난 1년은 사실상 적응기였다. 사업자들은 의무가 있다는 걸 알면서도, EU 집행위가 자료를 직접 요구하거나 제재를 꺼낼 무기는 아직 장전되지 않은 상태였다. 그 빈칸을 채우는 게 이번 일정이다.

8월부터 무엇이 달라지나

2026년 8월 2일부터 EU 집행위는 GPAI 사업자에게 네 가지 권한을 행사할 수 있다. (1) 기술 문서·정보 요구, (2) 자체 평가 실시, (3) 시정·리콜·시장 회수 명령, (4) 벌금 부과다. 시스템 리스크가 큰 모델, 즉 성능이 높고 광범위하게 쓰이는 모델에는 적대적 테스트·중대 사고 보고·에너지 사용량 공개 같은 추가 의무가 따로 붙는다.

네 가지 권한을 풀어 보면 결이 선명하다. 정보 요구는 "모델을 어떻게 만들었는지 보여 달라"는 단계, 자체 평가 실시는 위험 점검을 강제하는 단계, 시정·회수 명령은 "문제가 있으면 시장에서 빼라"는 단계, 벌금은 최후의 수단이다. 눈여겨볼 건 시스템 리스크 모델에 얹히는 추가 짐이다. 적대적 테스트는 모델이 위험한 출력을 내도록 일부러 공격해 보는 절차이고, 에너지 사용량 공개는 그동안 빅테크가 가장 입을 닫아 온 영역이라 업계가 특히 예민하다. 어떤 모델을 시스템 리스크 대상으로 볼지 가르는 기준선 자체도 여전히 논쟁거리다.

업계의 반발과 현실적 타협

OpenAI·Anthropic·Google·Meta는 일부 조항에 대해 "영업 기밀 보호"를 내세워 이미 이의를 제기했다. 그래도 EU 시장 접근을 포기할 수는 없으니, 압축된 형태로라도 공개 자료는 늘어날 전망이다. 학습 데이터의 전체 목록이 아니라 "요약" 수준을 요구한다는 점이 이 타협의 한 축이다. 규제와 산업이 정면으로 부딪치기보다, 빠져나갈 구멍을 일부 남겨 둔 채 서로 간을 보는 모양새다.

한국 사용자에게는 어떤 의미인가

직접적인 변화는 크지 않다. EU 규제는 EU 시장에 모델을 공급하는 사업자에게 적용되는 것이지, 서울에서 ChatGPT나 Gemini를 쓰는 개인에게 무언가를 요구하지 않는다. 결제·언어·기능이 EU 일정 탓에 갑자기 막히거나 비싸질 일도 거의 없다. 글로벌 회사들은 대개 가장 까다로운 규제 시장에 맞춰 제품을 통일하기 때문이다.

오히려 간접 효과가 쏠쏠하다. 글로벌 AI 회사가 EU 기준에 맞춰 학습 데이터·평가 자료를 더 풀면, 우리가 도구를 비교할 때 참고할 정보도 그만큼 늘어난다. 모델 카드의 평가 점수, 안전성 테스트 결과, 학습 데이터 요약은 "어떤 도구를 업무에 쓸까"를 정할 때 실제로 쓸모 있는 재료다. 그동안은 마케팅 문구와 벤치마크 숫자에 기댈 수밖에 없었는데, 규제가 강제하는 공시가 그 빈틈을 조금씩 메워 줄 것이다.

실무에서 당장 챙길 포인트는 이렇다.

  • 업무용 AI 도구를 도입할 때 해당 모델의 시스템 카드나 모델 카드를 한 번은 들여다보자. EU 의무 덕에 점점 충실해지는 추세다.
  • 저작권이 민감한 업종(출판·디자인·법무)이라면, 사업자가 공개하는 학습 데이터 요약과 저작권 처리 방침을 계약·내부 검토의 근거로 쓸 수 있다.
  • 전력·탄소 보고가 필요한 기업이라면, 향후 공개될 에너지 사용량 수치가 ESG 보고의 참고치가 될 여지가 있다.

국내 사정도 멀지 않다. 국내 AI 기본법 역시 투명성과 위험 관리를 강조한다는 점에서 EU와 방향이 닮았고, 시행령의 세부 가닥은 여름 사이 윤곽이 잡힐 거라는 관측이 우세하다. 다만 한 가지는 경계해 두자. 8월에 권한이 켜진다고 그날부터 무더기 벌금이 떨어지는 식의 극적인 장면이 펼쳐질 가능성은 낮다. 규제 당국도 첫 집행은 협의와 시정 요구를 먼저 거치는 경우가 많다. 제도의 무게는 분명하되 체감 속도는 생각보다 더딜 수 있다는 얘기다. 자세한 일정과 조항 원문은 European Commission — AI Act 페이지에서 확인할 수 있다.

#AI Act#규제#EU#정책#GPAI
원문·출처
European Commission — AI Acthttps://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai

본 글은 원문을 토대로 ToolFit AI 에디터가 한국 사용자 관점에서 다시 정리한 것입니다. 인용된 수치·일정·가격은 발행 시점 기준이며, 정확한 최신 정보는 위 출처에서 확인해 주세요.