BRAG
← 포럼으로
Ggyak
작성자

EU AI법 GPAI 행동강령 실무가이드: 한국 기업이 알아야 할 적용 일정과 면제 조건

policy5분 읽기· 2026년 6월 22일 PM 1:55· 👁 3

2025년 8월부터 EU AI법 GPAI 조항이 발효됐고, 2026년 8월에는 집행권이 본격 가동된다. 한국 AI 기업·개발사가 유럽 시장에 진출하거나 GPAI 모델을 배포한다면 지금 당장 행동강령(CoP)의 세 기둥을 이해해야 한다.

EU AI법이 이미 시행 중이다

2025년 8월 2일부터 EU AI법(AI Act)의 범용 AI(GPAI) 관련 조항이 법적 효력을 갖기 시작했다. 그리고 2026년 8월 2일이면 유럽 집행위원회의 본격 집행 권한까지 발동된다. 많은 한국 기업들이 아직 "우리 얘기가 아니다"라고 생각하지만, 유럽 시장에 AI 서비스를 제공하거나 GPAI 모델을 포함한 제품을 판매한다면 이 규제는 이미 우리 얘기다.

이 글은 EU AI 오피스가 확정 발행한 GPAI 행동강령(Code of Practice, CoP)을 한국 개발자·기업 실무자 관점에서 핵심만 추려 정리한다.

GPAI란 무엇인가

범용 AI(General-Purpose AI, GPAI) 는 자연어 처리, 이미지 생성 등 다양한 작업을 수행할 수 있고, 여러 다운스트림 시스템에 통합될 수 있는 모델을 말한다. GPT-4, Gemini, Midjourney 등이 대표적이다.

핵심 개념 두 가지를 먼저 짚고 가자.

  • 행동강령(CoP): 서명 기업에게 "EU AI법 요구사항을 준수한다는 추정(presumption of conformity)"을 제공하는 자발적 프레임워크. 서명하지 않아도 되지만, 서명하지 않으면 동등한 수준의 자체 준수 체계를 직접 증명해야 한다.
  • 시스템적 위험(Systemic Risk): 학습 연산량이 10²⁵ FLOP을 초과하는 초대형 모델로, 공중 보건·안전·사회 전반에 고영향을 미칠 수 있는 모델. Chapter 3 의무가 추가 적용된다.

세 기둥: 행동강령의 구조

GPAI 행동강령 세 기둥 구조

행동강령은 세 개의 챕터로 구성된다. Chapter 1~2는 모든 GPAI 제공자에게 적용되고, Chapter 3은 시스템적 위험 모델에만 추가 적용된다.

Chapter 1 — 투명성 (모든 GPAI 제공자)

의무핵심 내용
표준 문서화모델 문서 양식(Model Documentation Form)을 사용해 아키텍처·학습 데이터·컴퓨팅 자원·에너지 소비량 기재
다운스트림 지원하위 개발자가 컴플라이언스를 갖출 수 있도록 14일 이내 기술 정보 제공
데이터 보존관련 문서를 10년간 안전하게 유지

Chapter 2 — 저작권 (모든 GPAI 제공자)

저작권 챕터는 학습 데이터와 출력물 양쪽을 모두 다룬다.

  • 이사회 수준 정책: EU 저작권법 준수를 보장하는 공식 서면 정책 채택
  • 합법적 웹 크롤링: robots.txt 등 기계 판독 가능한 옵트아웃 존중, 블랙리스트 사이트 회피
  • 출력물 안전장치: 저작권 침해 콘텐츠 생성을 막는 기술적 방어책 구현 및 불만 처리 메커니즘 운영

Chapter 3 — 안전·보안 (시스템적 위험 모델만)

10²⁵ FLOP 초과 초대형 모델을 개발·운영하는 경우에만 해당된다.

  • 위험 관리 체계: 시스템적 위험을 식별하고 완화하는 프레임워크 구축
  • 레드팀 평가: 고급 모델 평가 및 독립적 외부 테스트 수행
  • 사고 보고: 심각한 사고를 EU AI 오피스에 즉시 보고하고 시정 조치 이행

한국 기업에게 중요한 적용 일정

EU AI법 주요 일정 및 컴플라이언스 로드맵

세 가지 날짜를 기억하자.

2025년 8월 2일 (이미 지남)

규정이 법적으로 발효됐다. 신규 GPAI 모델은 즉시 적용 대상이다. 다만 CoP 서명 기업에 대해서는 첫 1년간 협력적 집행(collaborative enforcement) 방식을 적용한다.

2026년 8월 2일 (약 6주 후)

유럽 집행위원회의 집행 권한이 본격 발동된다. 이때부터 벌금 부과가 현실화된다. 준비가 안 됐다면 지금이 마지막 기회다.

2027년 8월 2일

2025년 8월 2일 이전에 시장에 출시된 레거시 모델의 하드 데드라인. 이 시점까지 모든 구 모델도 컴플라이언스를 갖춰야 한다.

면제 조건: 오픈소스라면 어디까지 적용되나

많은 한국 개발사가 오픈소스 모델을 기반으로 서비스를 만든다. 핵심만 정리하면:

  • 투명성 챕터(Chapter 1) 문서화 의무: 오픈소스 모델은 면제
  • 저작권 챕터(Chapter 2): 오픈소스 여부와 무관하게 적용됨
  • 시스템적 위험 모델: 오픈소스라도 10²⁵ FLOP 초과 시 Chapter 3 전면 적용

즉, Llama나 Mistral 기반 서비스를 운영한다면 저작권 준수 체계는 반드시 갖춰야 한다.

서명하지 않으면 어떻게 되나

CoP 서명은 자발적이지만, 서명하지 않는 쪽이 더 힘들다.

서명 기업은 표준화된 준수 청사진을 받는다. 미서명 기업은 동등하거나 그 이상의 체계를 스스로 개발·증명해야 한다. 그리고 불이행 시 제재는 무겁다.

위반 시 벌금: 전 세계 연간 매출의 3% 또는 1,500만 유로 중 높은 쪽

한국 기업이라도 EU 시장을 타깃으로 한다면 이 벌금 기준이 그대로 적용된다.

지금 당장 해야 할 것

기술·법무·컴플라이언스 팀이 함께 움직여야 한다.

  1. 현재 운영 중인 AI 모델이 GPAI에 해당하는지 판단
  2. 학습 연산량 확인 — 10²⁵ FLOP 기준 시스템적 위험 해당 여부
  3. CoP 서명 여부 결정 — 서명 시 EU AI 오피스 공식 Signatory Form 제출
  4. 저작권 정책 수립 — 학습 데이터·출력물 양쪽 모두 포함
  5. 다운스트림 파트너에게 기술 정보 제공 체계 구축 (14일 이내 대응 가능한 프로세스)

유럽 집행 권한이 본격 발동되는 2026년 8월까지 남은 시간이 많지 않다. 지금 준비를 시작해야 한다.

👁 3 · 💬 0
관련 태그
#EU AI법#GPAI#행동강령#AI규제#컴플라이언스

💬 댓글 0

0/500

댓글을 불러오는 중…