유럽연합(EU) 이사회, 유럽의회, 집행위원회가 ‘AI Omnibus’로 불리는 EU AI법(AI Act) 개정안에 잠정 합의했다. 이번 합의의 핵심은 고위험 AI 시스템(Annex III) 의무 준수 기한의 연장이다. 기존 기한인 2026년 8월 2일에서 2027년 12월 2일로 16개월이 늦춰졌다. 기업들이 방대한 컴플라이언스 요건을 충족할 준비 시간이 부족하다는 산업계의 요청이 반영된 결과다.
이번 개정안에는 기한 연장 외에도 여러 실질적 변화가 담겼다. 범용 AI(GPAI·General Purpose AI) 모델에 대한 감독 권한이 EU AI 오피스(AI Office)에 명확히 귀속됐다. 이는 GPT, 제미나이, 클로드와 같은 대형 언어 모델의 규제 주체가 어디인지 모호했던 부분을 정리한 것으로, AI 오피스가 GPAI 모델의 투명성·안전성 평가를 실질적으로 담당하게 된다.
한편 사용자 동의 없이 기존 이미지를 합성해 노출 사진을 만드는 ‘누디파이어’ 앱과 아동 성착취물(CSAM) 생성 AI 도구는 명시적 금지 대상으로 포함됐다. 이를 위반할 경우 최대 3500만 유로 또는 연간 매출의 7% 중 높은 금액이 제재로 부과된다. 최종 공식 채택은 7월로 예정됐다.
EU AI Act 개정은 AI 산업 전반에 중요한 신호를 보낸다. 의무 기한 연장은 기업 부담을 줄여주는 동시에, 법적 준비 기간을 더 줌으로써 컴플라이언스 회피가 아닌 내실 있는 준비를 유도한다는 취지다. AI 오피스의 GPAI 감독 권한 명확화는 대형 언어 모델 기업들이 EU 시장에서 준수해야 할 규제의 집행 주체가 분명해졌다는 의미로, 글로벌 AI 기업의 유럽 전략에 직접적인 영향을 미친다.
국내 AI 정책 당국도 EU AI Act의 진행 상황을 면밀히 주시하고 있다. 한국 기업 중 EU에 AI 서비스를 제공하거나 EU 고객사를 보유한 곳은 개정된 기한과 의무 사항을 재점검해야 한다. 국내 AI 기본법 논의에서도 고위험 AI 분류 기준과 의무 항목은 EU 체계와 상당 부분 연동되는 방향으로 설계될 가능성이 높아, EU 개정안의 세부 내용은 국내 입법에도 기준점이 될 것이다.
