유럽의회와 EU 이사회가 2026년 5월 7일 ‘AI법 옴니버스(AI Act Omnibus)’ 잠정 합의에 도달했다. 고위험 AI 시스템(High-Risk AI Systems)의 주요 준수 기한을 당초 2026년 8월 2일에서 2027년 12월 2일로 최대 16개월가량 미루는 한편, 딥페이크(deepfake) 기반 비동의 친밀물 생성 도구와 아동 성착취물(CSAM) 생성 AI를 신규 금지 목록에 올린 것이 핵심이다. EU AI법이 2024년 8월 발효된 지 약 2년 만에 나온 첫 실질적 수정이다.
개정 배경에는 표준 미비와 경쟁 압력이 동시에 작용했다. 당초 고위험 AI 의무는 2026년 8월부터 발효될 예정이었으나, 유럽 표준화기구(CEN-CENELEC)의 적합성 평가 표준이 완성되지 않아 기업들은 기준 없이 의무만 지는 처지였다. 미국 트럼프 행정부의 규제 완화 기조 속에 유럽 기업이 과도한 부담으로 뒤처질 수 있다는 우려도 더해졌다. 독일 프리드리히 메르츠 총리가 기계 산업 면제를 강하게 요구했고 프랑스·이탈리아가 동조하면서, 이번 합의는 산업계의 부담 완화 요구와 시민사회의 규제 강화 요구 사이 정치적 타협으로 귀결됐다.
준수 기한은 유형별로 차등 적용된다. 기본권 관련 고위험 AI는 2027년 12월 2일로, 기계류·의료기기·완구 등 기존 제품안전 규정 대상 AI는 2028년 8월 2일까지 늦춰졌고, 투명성·워터마킹 요건은 유통 중인 시스템에 한해 2026년 12월 2일까지 유예된다. 신설된 ‘누디파이어(nudifier) 도구’ 금지 조항은 당사자 동의 없이 실제 인물을 나체로 변환하거나 성적 허위 영상을 만드는 AI의 역내 제공을 막으며, CSAM 생성 도구와 함께 2026년 12월부터 효력이 생긴다. 테크폴리시프레스(TechPolicy.Press) 보도에 따르면 2025~2026년 겨울 엑스AI(xAI)의 그로크(Grok)가 수백만 건의 성적 딥페이크에 활용된 사건이 의회 개입을 촉발했고, 좌파 의원들이 기계 산업 면제에서 물러서는 대신 이 조항을 관철하는 정치적 교환이 이뤄졌다.
이 밖에 소규모 기업에 한정됐던 특례가 ‘중형 중견기업(small mid-cap)’까지 확대됐고, 규제 12개 제품군 중 기계 산업만 부분 분리됐으나 완전 면제는 아니다. 편향 탐지를 위한 민감 개인정보 처리 허용 범위도 AI 제공자(provider)에서 배포자(deployer)까지 넓어졌는데, 입법자들은 “편향 완화는 개인정보 보호에 버금가는 정당한 공익”이라며 정당화했다. 다만 시민사회는 기본권 침해 가능성을, 산업계는 의료기기·완구 등이 여전히 규제에 묶인 점을 들어 양측 모두 불만을 나타냈다.
이번 합의는 EU 시장 진출을 준비하는 한국 기업에 직접적 의미가 있다. 기한 연장은 준비 기간을 벌어주지만, 표준화 완성 시점에 맞춘 체계적 대응이 필요하다는 신호로 읽어야 한다. 특히 딥페이크 친밀물 금지 조항은 연예인·인플루언서 이미지를 쓰는 K-콘텐츠 서비스의 EU 사업성 검토에 변수가 될 수 있으며, 산업 경쟁력을 고려한 기한 조정과 유해 사례 명시적 금지를 병기한 이번 구조는 한국 AI 기본법 논의의 참고 사례가 될 수 있다. 본 기사는 잠정 단계 보도로, 정책 전문매체 TechPolicy.Press 보도에 기반했으며 EU 이사회 공식 보도자료 공개 시 세부 내용이 확정된다.
