규제 프레임워크 — EU, US, UK, Korea
2026년 AI 거버넌스(governance) 환경은 네 가지 주요 규제 체제로 정의됩니다. EU AI Act(2024년 8월 1일 발효)는 2025년 2월 2일부터 금지 관행과 AI 리터러시(AI literacy) 의무를 적용하고, 2025년 8월 2일부터 범용 AI(General-Purpose AI; GPAI) 의무를, 2026년 8월 2일부터 전체 적용과 Article 50 투명성 의무를 적용합니다. 레거시 GPAI와 내장형 고위험 시스템(embedded high-risk systems)에 대한 적용은 2027년 8월 2일부터 시작됩니다. 벌금은 최대 1,500만 유로 또는 전 세계 매출의 3%까지 부과될 수 있습니다. GPAI Code of Practice(2025년 7월 10일)는 투명성(Transparency), 저작권(Copyright), 안전과 보안(Safety and Security)이라는 세 장과 12개 약속으로 구성되며, 집행은 2026년 8월에 시작됩니다. 영국의 UK AISI는 2025년 2월 AI Security Institute로 이름이 바뀌었고, 이 변경은 기관이 다루는 범위를 더 좁게 잡겠다는 신호로 해석됩니다. 미국의 US AISI는 2025년 6월 NIST 산하 Center for AI Standards and Innovation(CAISI)로 개편되었으며, 성장 친화적(pro-growth) 방향으로 이동했습니다. 한국 AI 기본법(Korean AI Framework Act, 2024년 12월 국회 통과, 2026년 1월 시행)은 제12조에서 과학기술정보통신부(Ministry of Science and ICT; MSIT) 산하 AISI 설립을 규정하며, 해외 AI 기업의 국내 대리인 지정, 고영향(high-impact) AI 및 생성형 AI에 대한 위험 평가와 안전 조치를 요구합니다.
유형: Learn
언어: 없음
선수 지식: Phase 18 · 18 (프런티어 프레임워크), Phase 18 · 27 (데이터 거버넌스)
소요 시간: 약 75분
학습 목표
- EU AI Act의 위험 등급(risk tier), 즉 금지(prohibited), 고위험(high-risk), 범용(general-purpose), 제한 위험(limited-risk)을 구분해 설명하고, 2025년 8월 / 2026년 8월 / 2027년 8월의 단계별 일정을 설명할 수 있다.
- GPAI Code of Practice의 세 장과 각 장이 어떤 제공자(provider)를 구속하는지 설명할 수 있다.
- 2025년의 이름 변경(UK AISI → AI Security Institute, US AISI → CAISI)이 각각 어떤 정책 방향을 의미하는지 설명할 수 있다.
- 한국 AI 기본법의 핵심 조항을 설명할 수 있다.
문제
연구소(lab) 차원의 자발적 프레임워크(18강)와 달리, 규제 프레임워크는 법적 의무입니다. 2024-2026년에는 포괄적인 AI 규제의 첫 물결이 실제로 효력을 갖기 시작했습니다. 배포자(deployer)는 기술적 통제를 규제상 의무에 매핑해야 하며, 이 매핑은 관할권(jurisdiction)마다 달라집니다.
개념
EU AI Act
2024년 8월 1일 발효. 위험 등급 구조는 다음과 같습니다.
- 금지 관행(Prohibited practices) (Article 5). 사회적 점수화(social scoring), 공공장소에서의 실시간 원격 생체 식별(real-time remote biometric identification, 법 집행 예외 있음), 취약 집단을 악용하는 조작입니다. 2025년 2월 2일부터 적용되었습니다.
- 고위험 시스템(High-risk systems) (Annex III). 고용, 교육, 신용, 법 집행, 사법, 이민 영역이 포함됩니다. 적합성 평가(conformity assessment), 위험 관리, 로깅(logging), 투명성이 요구됩니다.
- 범용 AI(GPAI) 모델. 2025년 8월 2일부터 적용됩니다. 모든 GPAI 제공자는 의무를 갖고, 시스템 위험 GPAI(systemic-risk GPAI, 훈련 계산량 >1e25 FLOP)는 추가 의무를 갖습니다.
- 제한 위험 시스템(Limited-risk systems). Article 50에 따른 투명성 의무, 즉 AI 생성 콘텐츠 라벨링이 적용됩니다. 2026년 8월 2일부터 적용됩니다.
일정은 다음과 같습니다.
- 2025년 2월 2일: 금지 관행 + AI 리터러시.
- 2025년 8월 2일: GPAI + 거버넌스.
- 2026년 8월 2일: 전체 적용 + Article 50 투명성 + 최대 1,500만 유로 / 전 세계 매출 3% 벌금.
- 2027년 8월 2일: 레거시 GPAI + 내장형 고위험 시스템.
유럽 위원회(European Commission)는 2025년 말 고위험 일정(high-risk timeline)을 16개월로 조정하는 방안을 제안했습니다.
GPAI Code of Practice
2025년 7월 10일 공개되었습니다. 세 장으로 구성됩니다.
- 투명성. 모든 GPAI 제공자.
- 저작권. 모든 GPAI 제공자.
- 안전과 보안. 시스템 위험 GPAI 제공자(대략 5-15개 기업으로 추정).
총 12개의 약속(commitment)으로 구성되어 있습니다. EU AI 사무국(AI Office)이 의장을 맡은 서명자 태스크포스(Signatory Taskforce)가 이행을 관리합니다. 집행은 2026년 8월 2일에 시작되며, 그 전까지는 선의의 준수(good-faith compliance)가 인정됩니다.
Article 50을 위한 투명성 코드(Transparency Code)
첫 초안은 2025년 12월 17일에 나왔습니다. 두 번째 초안은 2026년 3월, 최종본은 2026년 6월에 공개될 예정입니다. 딥페이크(deepfake)를 포함한 AI 생성 콘텐츠 라벨링을 다루며, 23강에서 다룬 워터마킹(watermarking) 기술을 요구하는 규제 계층입니다.
영국 AI Security Institute(2025년 2월)
AI Safety Institute에서 이름이 바뀐 기관입니다. 이 이름 변경은 기관의 범위를 좁히는 신호입니다. 알고리즘 편향(algorithmic bias)과 표현의 자유(free-speech) 프레이밍을 내려놓고, 프런티어 역량 보안(frontier capability security)에 집중합니다. Inspect 평가 도구는 2024년 5월에 오픈소스로 공개되었습니다. 제어 안전 사례(control safety case)에서는 Redwood(10강)와 협력합니다.
미국 CAISI(2025년 6월)
트럼프(Trump) 행정부는 NIST의 AI Safety Institute를 Center for AI Standards and Innovation으로 전환했습니다. 밴스(Vance) 부통령이 파리 AI 행동 정상회의(Paris AI Action Summit)에서 한 발언에 따르면, "성장 친화적(pro-growth) AI 정책" 방향으로 이동한 것입니다. 사전 배포 평가(pre-deployment evaluation)에 대한 강조는 줄고, 표준 수립과 혁신 지원에 대한 강조는 커졌습니다. EU AI Act의 규제적 태도에 대응하는 미국 내 대응축의 역할을 합니다.
한국 AI 기본법
2024년 12월 통과되었습니다. 2025년 1월 제정되었고 2026년 1월 시행됩니다. 19개의 개별 AI 법안을 통합합니다.
제12조는 과학기술정보통신부(MSIT) 산하 AISI 설립을 규정합니다. 주요 의무는 다음과 같습니다.
- 한국에서 사업을 운영하는 해외 AI 기업의 국내 대리인 지정.
- 고영향(high-impact) AI 시스템에 대한 위험 평가.
- 생성형 AI(generative AI)와 고영향 AI에 대한 안전 조치.
아시아 최초의 포괄적 수평(horizontal) AI 규제입니다.
관할권 간 역학
- EU: 엄격하고, 위험 등급 기반이며, 벌금이 큽니다. 프라이버시 인접(privacy-adjacent) 규제의 기준점이 됩니다.
- 미국(US): 혁신 친화적이고, 분산되어 있으며, 주(state) 단위 규칙(예: California AB 2013 — 27강)이 연방의 공백을 채웁니다.
- 영국(UK): 좁은 보안 초점과 강력한 평가 인프라(evaluation infrastructure)를 갖춥니다.
- 한국(Korea): MSIT가 주도하며, 해외 제공자(foreign provider)에 초점을 둡니다.
규제 철학들이 서로 경쟁합니다. 여러 관할권에서 배포하는 조직은 가장 엄격한 규정을 준수해야 하며, 2026년에는 일반적으로 EU AI Act가 그 기준이 됩니다.
Phase 18에서의 위치
18강은 연구소의 자발적 거버넌스(lab-voluntary governance)를 다룹니다. 24강은 규제 차원의 거버넌스를 다룹니다. 25강은 AI 시스템을 대상으로 한 새로운 CVE(Common Vulnerabilities and Exposures) 부류를 다룹니다. 26강과 27강은 문서화 카드(card)와 훈련 데이터 거버넌스(training-data governance)를 다룹니다.
사용해보기
코드는 없습니다. EU AI Act의 1차 자료를 직접 읽어봅니다. 규정 본문, GPAI Code of Practice, UK AISI의 Inspect 프레임워크를 확인합니다. 그런 다음 자신의 배포가 각 관할권에서 어떤 의무에 해당하는지 매핑해봅니다.
만들어보기
이 레슨은 outputs/skill-regulatory-map.md를 산출물로 만듭니다. 배포 설명이 주어지면, 이 스킬은 적용 가능한 관할권, 각 관할권에서의 등급 분류, 관할권별 의무, 마감 일정 구조를 매핑해 줍니다.
연습문제
-
(쉬움) EU AI Act(regulation 2024/1689)와 GPAI Code of Practice(2025년 7월 10일)를 읽습니다. 모든 GPAI 제공자에게 적용되는 의무 세 가지와, 시스템 위험 GPAI에만 적용되는 의무 세 가지를 각각 식별해봅니다.
-
(중간) 어떤 배포가 미국 기업에 의해 만들어졌고, EU 인프라에서 실행되며, 한국 사용자를 대상으로 서비스됩니다. 어떤 세 관할권의 규칙이 적용됩니까? 각 실질적 질문에서 어떤 규칙이 구속력을 갖습니까?
-
(중간) UK AI Security Institute의 이름 변경은 범위를 좁히는 결정입니다. 더 좁은 프레이밍(framing)에 찬성하는 주장과 반대하는 주장을 각각 제시하고, 각 입장이 의존하는 정책 가정을 식별합니다.
-
(어려움) CAISI의 "성장 친화적(pro-growth)" 프레이밍은 2022-2024년의 AI safety institute 모델에서 벗어난 흐름입니다. 이 프레이밍에서 따라올 수 있는, 측정 가능한 정책 변화 두 가지를 식별합니다.
-
(어려움) 한국 AI 기본법은 해외 제공자에게 국내 대리인을 요구합니다. 한국 사용자에게 서비스하는 베이 에어리어(Bay Area) 기업에 어떤 운영상 함의가 있는지 설명합니다.
핵심 용어
| 용어 | 흔한 설명 | 실제 의미 |
|---|
| EU AI Act | "그 규제" | 2024년 8월 발효된 위험 등급 기반 수평(horizontal) AI 규제 |
| GPAI | "범용 AI" | 대형 기반 모델(foundation model)이며, 시스템 위험 하위 집합에는 추가 의무가 부과됨 |
| Article 50 | "투명성 의무" | AI 생성 콘텐츠 라벨링이 2026년 8월부터 적용됨 |
| UK AISI | "AI Security Institute" | 2025년 2월 이름이 변경되었으며, 프런티어 보안에 좁게 초점을 둠 |
| CAISI | "미국 AI 표준 센터" | 2025년 6월 AI Safety Institute에서 이름 변경, 성장 친화적 태도를 취함 |
| Korean AI Framework Act | "MSIT 수평 규제" | 2026년 1월 시행되는 아시아 최초의 포괄적 AI 법 |
| Systemic-risk GPAI | "1e25 FLOP 임계값" | 추가 의무 등급으로, 5-15개 기업이 구속될 것으로 추정됨 |
더 읽을거리