BEACON 가이드

EU AI법(AI Act), 해설합니다.

EU AI법(AI Act, 규정 (EU) 2024/1689)은 세계 최초의 포괄적 AI 법률입니다. 2024년 8월 1일에 발효되었고 단계적으로 적용됩니다 — 일부 AI 관행은 전면 금지하고, 「고위험」 시스템에는 엄격한 의무를 부과하며, 사람들이 AI와 상호작용하거나 AI 생성 콘텐츠를 볼 때마다 투명성을 요구합니다. 2026년에는 「AI에 관한 Digital Omnibus(디지털 옴니버스)」가 여러 기한을 조정했습니다. 여기 최신 그림이 있습니다: 이 법이 무엇을 다루는지, 누가 언제까지 준수해야 하는지, 처벌, 그리고 평범한 웹사이트에 어떤 의미인지.

무료로 시작 무료 검사 실행
일괄이 아닌 위험 기반네 가지 등급: 금지된 관행, 고위험 시스템, 제한적 위험(투명성 의무), 최소 위험 — 대부분의 AI는 마지막 등급에 속하며 새로운 의무가 없습니다.
단계적 타임라인금지와 AI 리터러시 의무는 2025년 2월부터; 범용 AI(GPAI) 규칙은 2025년 8월부터; 투명성 의무는 2026년 8월부터; 고위험 의무는 이제 2027년 12월 / 2028년 8월로 연기되었습니다.
역외 적용AI 시스템의 출력이 EU에서 사용되면 EU 밖의 공급자와 배포자에게도 적용됩니다 — GDPR처럼, EU 사무소가 없어도 적용 대상이 될 수 있습니다.
강력한 금지소셜 스코어링, 조작적 기법, 무차별 얼굴 이미지 스크래핑, 직장과 학교에서의 감정 인식(좁은 예외 있음) — 2025년 2월부터 금지되었습니다.
웹사이트를 위한 투명성챗봇은 AI임을 공개해야 하고, AI가 생성·조작한 콘텐츠(딥페이크)는 라벨링해야 하며, 합성 미디어에는 기계가 읽을 수 있는 마킹이 필요합니다.
GDPR급 벌금금지된 관행에는 최대 3,500만 유로 또는 전 세계 매출의 7%; 대부분의 다른 위반에는 최대 1,500만 유로 또는 3%; 오해를 부르는 정보 제공에는 최대 750만 유로 또는 1%.
4가지 위험 등급 한눈에 보기
허용 불가 위험
전면 금지
고위험
엄격한 의무+등록
제한적 위험
투명성 의무
최소 위험
새 의무 없음
최대 과징금
금지된 관행€35M / 7%
기타 대부분의 위반€15M / 3%
당국에 대한 허위 정보€7.5M / 1%
(전 세계 연 매출 대비, 더 높은 금액)
타임라인 — 2026 디지털 옴니버스 반영
2024.8.1발효
2025.2.2금지 조항+AI 리터러시 적용
2025.8.2GPAI 모델 규정 적용
2026.8.2투명성 의무+제재현재
2026.12.2새로운 콘텐츠 금지
2027.12.2고위험 의무 — 부속서 III
2028.8.2고위험 의무 — 부속서 I

AI법이 무엇인지 (그리고 무엇이 아닌지)

AI법은 EU 시장에 출시되거나 출력이 EU에서 사용되는 AI 시스템을 위한 제품 안전 스타일의 규정입니다. 「AI」라는 기술 자체를 규제하는 것이 아니라 — 위험에 따라 특정 용도를 규제합니다. 건강, 안전, 기본권에 대한 위험이 높을수록 의무가 무거워집니다. 대부분의 일상 AI(스팸 필터, 추천 위젯, 맞춤법 검사기, 생산성 도구의 AI 기능)는 최소 위험이며 새로운 의무가 전혀 생기지 않습니다.

네 가지 위험 등급

이 법의 모든 것이 이 분류에 달려 있습니다:

  • 허용 불가 위험 — 2025년 2월 2일부터 전면 금지: 소셜 스코어링, 착취적이거나 조작적인 기법, 무차별 얼굴 이미지 스크래핑, 직장과 학교에서의 감정 인식(좁은 안전 예외), 민감한 속성을 추론하기 위한 생체 분류, 그리고 법 집행을 위한 공공장소 실시간 원격 생체 식별(제한적 예외). 2026년 12월 2일부터는 2026년 개정에 따라 비동의 친밀 이미지나 CSAM을 생성하는 AI 시스템도 명시적으로 금지됩니다.
  • 고위험 — 허용되지만 엄격히 규제: 규제 대상 제품의 안전 구성요소로 사용되는 AI(부속서 I — 기계, 의료기기, 엘리베이터 등) 또는 민감한 사용 사례의 AI(부속서 III — 채용 및 인력 관리, 교육 평가, 신용 평가, 필수 서비스, 법 집행, 이민, 사법). 의무에는 위험 관리, 데이터 거버넌스, 기술 문서, 로깅, 인간 감독, 정확성·견고성 테스트, EU 데이터베이스 등록이 포함됩니다.
  • 제한적 위험 — 투명성 의무(제50조): AI 시스템과 상호작용할 때 사람들에게 알리기(챗봇), AI가 생성하거나 조작한 이미지·오디오·비디오 콘텐츠(딥페이크) 라벨링, 합성 콘텐츠를 기계가 읽을 수 있는 방식으로 마킹, 공익 사안에 대해 대중에게 알리기 위해 게시된 AI 생성 텍스트 공개.
  • 최소 위험 — 그 외 전부: 새로운 의무 없음, 자발적 행동 강령 권장.

2026년의 타임라인 — Digital Omnibus 반영 업데이트

이 법은 2024년 8월 1일에 발효되었고 2026년 8월 2일에 거의 전면 적용될 예정이었습니다. 2025년 11월, 집행위원회는 이를 단순화하고 단계화하기 위한 「AI에 관한 Digital Omnibus」를 제안했고, 의회는 2026년 6월 16일에 승인했으며 이사회는 2026년 6월 29일에 최종 승인했습니다. 이제 핵심 날짜는 다음과 같습니다:

  • 2025년 2월 2일 — 허용 불가 위험 관행에 대한 금지와 AI 리터러시 의무 적용.
  • 2025년 8월 2일 — 범용 AI(GPAI) 모델 공급자의 의무(기술 문서, 저작권 정책, 학습 데이터 요약; 시스템적 위험 모델에 대한 추가 의무)와 함께 EU AI Office 및 거버넌스 구조 출범.
  • 2026년 8월 2일 — 법이 일반적으로 적용: 투명성 의무(제50조), 처벌, 그리고 대부분의 나머지 조항. 합성 콘텐츠의 기계 판독 가능 마킹은 2026년 8월 2일 이전에 이미 시장에 출시된 시스템에 대해 2026년 12월 2일까지 유예 기간이 있습니다.
  • 2026년 12월 2일 — 비동의 친밀 이미지와 CSAM을 생성하는 AI에 대한 새로운 금지 적용.
  • 2027년 12월 2일 — 부속서 III 사용 사례(채용, 신용 평가, 교육 등)에 대한 고위험 의무 — 원래의 2026년 8월에서 16개월 연기.
  • 2028년 8월 2일 — 부속서 I 제품 내장 AI(의료기기, 기계 등)에 대한 고위험 의무 — 2027년 8월에서 1년 연기. 각국의 규제 샌드박스는 2027년 8월 2일까지 마련될 예정입니다.

누가 준수해야 하는가

의무는 가치 사슬의 역할에 따라 부여됩니다: 공급자(자신의 이름으로 AI 시스템을 개발하거나 EU 시장에 출시하는 자), 배포자(AI 시스템을 업무상 사용하는 자), 그리고 수입업자와 유통업자. 적용 범위는 역외까지 미칩니다 — AI 출력이 EU 안에서 사용되는 미국이나 영국 SaaS도 적용 대상입니다. 중소기업에는 일부 완화가 있습니다: 간소화된 문서, 샌드박스 우선 접근, 그리고 벌금 상한은 두 금액 중 높은 쪽이 아니라 낮은 쪽으로 제한됩니다.

AI법이 당신의 웹사이트에 의미하는 것

대부분의 회사에게 첫 번째 실질적 접점은 2026년 8월부터 적용되는 투명성 규칙입니다 — 방문자가 당신의 사이트에서 보는 것에 관한 규칙입니다:

  • 사이트의 AI 챗봇과 어시스턴트는 방문자가 기계와 대화하고 있음을 분명히 해야 합니다(맥락상 명백한 경우 제외).
  • 당신이 게시하는 AI 생성 또는 AI 조작 이미지, 오디오, 비디오(딥페이크)는 인공적으로 생성·조작되었음을 눈에 보이게 라벨링해야 합니다.
  • 합성 미디어에는 기계가 읽을 수 있는 마킹(예: 메타데이터/워터마킹)이 있어야 합니다 — 2026년 8월 이전 시스템에 대한 마킹 의무는 2026년 12월 2일부터 적용됩니다.
  • 공익 사안에 대해 대중에게 알리기 위해 게시된 AI 작성 텍스트는, 책임을 지는 인간의 편집 검토를 거치지 않았다면 AI 생성임을 공개해야 합니다.
  • 채용, 신용 또는 기타 부속서 III 사용 사례에 AI를 쓴다면, 2027년 12월 2일부터 적용되는 고위험 체제에 대비하세요.
  • AI 리터러시: AI를 업무상 사용하는 조직은 직원이 운영하는 시스템을 이해하도록 조치를 취해야 합니다.

처벌

벌금 구조는 의도적으로 GDPR과 유사합니다: 금지된 관행에는 최대 3,500만 유로 또는 전 세계 연간 매출의 7%(둘 중 높은 쪽); 고위험 및 GPAI 의무를 포함한 대부분의 다른 위반에는 최대 1,500만 유로 또는 3%; 당국에 부정확하거나 오해를 부르는 정보를 제공하면 최대 750만 유로 또는 1%. 중소기업의 경우 각 상한은 두 금액 중 낮은 쪽입니다. 집행은 각국 시장 감시 당국과, GPAI 모델의 경우 EU AI Office가 분담합니다.

Beacon은 어떻게 관련되는가

Beacon은 이미 검색 엔진과 AI 크롤러가 당신의 웹사이트에서 실제로 무엇을 보는지 스캔합니다 — robots.txt 정책, 렌더링된 콘텐츠, 구조화 데이터, 공개 표시. 우리는 그 기반 위에 AI법 준비도 스캔을 구축하고 있습니다: 웹사이트의 방문자 대면 투명성 신호(챗봇 공개, AI 콘텐츠 라벨링, 기계 판독 가능 마킹 및 관련 메타데이터)를 자동으로 점검하고 우선순위가 매겨진 수정 목록을 제공합니다. 법률 자문은 아니지만 — 당신의 사이트가 오늘 무엇을 노출하고 있고 무엇을 먼저 고쳐야 하는지 구체적으로 보여줄 것입니다.

FAQ

EU AI법은 EU 밖의 회사에도 적용되나요?

네. GDPR처럼 역외 적용됩니다: AI 시스템을 EU 시장에 출시하거나 시스템의 출력이 EU에서 사용되면, 회사가 어디에 설립되어 있든 적용 대상입니다.

주요 의무는 실제로 언제부터 적용되나요?

금지와 AI 리터러시는 2025년 2월 2일부터; GPAI 모델 의무는 2025년 8월 2일부터; 투명성 의무와 처벌은 2026년 8월 2일부터. 2026년 Digital Omnibus 이후 고위험 의무는 2027년 12월 2일(부속서 III 사용 사례)과 2028년 8월 2일(부속서 I 제품 내장 AI)로 연기되었습니다.

내 웹사이트의 AI 생성 콘텐츠에 라벨을 붙여야 하나요?

AI가 생성하거나 조작한 이미지, 오디오, 비디오(딥페이크)를 게시한다면 네 — 라벨링해야 하고, 합성 미디어에는 기계가 읽을 수 있는 마킹이 있어야 합니다. AI 챗봇은 AI임을 공개해야 합니다. 공익 사안에 대한 AI 작성 텍스트는 인간 편집자가 책임을 지지 않는 한 공개해야 합니다.

제가 아니라 ChatGPT나 AI 벤더가 책임지는 것 아닌가요?

책임은 역할에 따라 나뉩니다. 모델 공급자(예: OpenAI)는 GPAI 공급자 의무를 지고; 사이트에 챗봇을 두거나 AI 콘텐츠를 게시하는 배포자인 당신은 방문자에 대한 배포자 측 투명성 의무를 집니다.

SEO나 콘텐츠 마케팅에 AI를 쓰는 것이 금지되나요?

아니요. AI로 마케팅 카피를 생성하는 것은 최소/제한적 위험이며 — 완전히 합법입니다. 이 법은 특정 경우(딥페이크, 공익 텍스트, 챗봇)에만 투명성을 요구하고, 일반 마케팅과 무관한 소수의 유해한 관행만 금지합니다.

웹사이트 소유자는 지금 당장 무엇을 해야 하나요?

AI가 사이트에 닿는 지점(챗봇, 생성된 이미지/텍스트)을 목록화하고, 명확한 AI 공개와 라벨을 추가하고, 합성 미디어 마킹을 점검하고, 팀에 공유하세요. 그리고 채용이나 다른 부속서 III 영역에 AI를 쓴다면 2027년 12월 2일을 계속 주시하세요.

빠른 자가 점검: 현재 위치는?

6가지 문항에 솔직하게 답하세요. 답변은 브라우저에만 저장됩니다.

사이트의 AI 챗봇이 AI임을 방문자에게 알립니다(또는 AI 챗이 없음).
AI 생성 이미지·오디오·영상에 눈에 보이는 라벨이 있습니다(또는 게시하지 않음).
공익 관련 AI 작성 기사는 공개하거나 사람이 검토합니다.
어떤 AI 사용도 금지된 관행(제5조)이 아님을 확인했습니다.
AI 사용이 부속서 III 고위험에 해당하는지 알고 있습니다.
팀이 기본 AI 리터러시 교육을 받았습니다.
0/6 답변 완료무료 AI법 준비도 스캔 받기무료 Beacon 계정에는 웹사이트 시그널 스캔과 인터랙티브 체크리스트가 포함됩니다 — 카드 불필요.

당신의 사이트가 오늘 무엇을 노출하는지 확인하세요 — 무료

지금 Beacon의 무료 가시성 스캔을 실행하세요. AI법 준비도 체크가 곧 Beacon에 추가됩니다.

무료로 시작 무료 검사 실행