EU AI Act 시행 2025: 8가지 금지 AI 관행, €3,500만 과징금, 그리고 Meta의 거부

€3,500만 유로. 또는 글로벌 매출의 7%. 유럽연합이 금지된 AI 시스템을 운영하다 적발된 기업에 부과하는 벌금입니다. Google 같은 기업에게는 수십조 원 규모의 제재가 될 수 있습니다. 2025년 7월, EU AI Act 시행 2025의 톱니바퀴가 본격 작동하기 시작했습니다.

EU AI Act 시행 2025: 7월이 전환점이된 이유

2025년 7월 10일, 유럽위원회는 최종 범용 AI(GPAI) 행동강령을 발표했습니다. 거의 1,000명의 참여자가 수개월에 걸쳐 작성한 문서입니다. 그로부터 3주 후인 8월 2일부터는 실제 벌금이 부과됩니다. 더 이상 선언적 규제가 아닙니다.

행동강령은 3개 챕터로 구성되어 있습니다: 투명성(Transparency), 저작권(Copyright), 그리고 안전 및 보안(Safety & Security). 이 세 가지를 충족하면 EU AI Act 의무를 준수하고 있다는 추정을 받을 수 있습니다. 유럽위원회와 AI 이사회는 8월 1일 이 행동강령이 적절한 자발적 준수 도구라고 공식 확인했습니다.

서명한 기업, 거부한 기업—그 의미

GPAI 행동강령은 아직 강제는 아닙니다. 하지만 서명하면 규정 준수 추정이라는 보호막을 얻습니다. 빅테크 기업들의 대응은 매우 흥미로웠습니다.

전체 서명(3개 챕터 모두): Google, Microsoft, OpenAI, Anthropic, Amazon이 서명했습니다. 지금 자발적으로 준수하는 것이 나중에 규제와 싸우는 것보다 저렴하고 현명하다는 판단입니다.

부분 서명: 일론 머스크의 xAI는 안전 및 보안 챕터만 서명하고 투명성과 저작권 섹션은 거부했습니다. Grok의 학습 데이터가 X(구 트위터)에서 수집된다는 점을 고려하면, 저작권 관련 조항을 피하려는 전략적 선택으로 볼 수 있습니다.

전면 거부: Meta는 어떤 챕터에도 서명하지 않았습니다. Llama 모델의 글로벌 배포와 오픈소스 접근방식을 고려하면, 대안적 수단으로 준수를 입증하겠다는 배팅입니다. 하지만 준수 추정 없이는 EU AI 사무국의 더 엄격한 감독을 받게 됩니다.

8가지 금지 AI 관행: 이제 불법인 것들

2025년 8월 2일부터 EU AI Act의 금지 AI 관행 목록이 실제 법적 효력을 갖습니다. 위반 시 최대 €3,500만 또는 글로벌 매출의 7%가 부과됩니다. 8가지 금지 항목은 다음과 같습니다:

• 정부의 사회적 점수 매기기 — 시민의 사회적 행동을 기반으로 평가하는 AI 시스템
• 직장/학교에서의 감정 인식 — 의료나 안전 목적 외 직원/학생의 감정을 추론하는 AI
• 무차별 얼굴 이미지 수집 — 동의 없이 인터넷/CCTV에서 얼굴 인식 DB를 구축하는 행위
• 잘재적 조작 — 의식 밖의 기술로 행동을 왔곡하는 AI
• 취약성 악용 — 나이, 장애, 사회경제적 상황을 이용해 의사결정을 왕곡하는 AI
• 민감 속성 기반 생체인식 분류 — 인종, 정치성향, 성적 지향, 종교 등으로 분류하는 AI
• 프로파일링 기반 예측적 범죄 단속 — 성격 특성만으로 범죄 위험을 평가하는 AI
• 공공장소 실시간 원격 생체인식 — 실종 아동, 긴박한 위협 등 제한된 예외만 허용

Clearview AI의 얼굴 인식 스크래핑, 채용 과정의 감정 분석 도구 등이 모두 이 금지 대상에 해당합니다. EU에서 사업하는 기업은 8월 2일 전에 AI 시스템 감사를 완료해야 합니다.

3단계 과징금 구조

EU는 단일 벌금이 아닌 위반 심각도에 따른 3단계 과징금 체계를 마련했습니다:

• 1단계 — 금지 관행 위반: 최대 €3,500만 또는 글로벌 매출의 7%. 위의 8가지 금지 항목 위반에 적용
• 2단계 — 기타 AI Act 위반: 최대 €1,500만 또는 글로벌 매출의 3%. 고위험 AI 시스템 요건, 투명성 의무, GPAI 모델 규칙 위반
• 3단계 — 허위 정보 제공: 최대 €750만 또는 글로벌 매출의 1%. 규제 기관에 부정확하거나 불완전한 정보를 제공한 경우

참고로 Alphabet의 2024년 매출 기준 7%는 약 240억 달러, 즉 약 32조 원에 해당합니다. 가장 큰 테크 기업도 무시할 수 없는 규모입니다.

GPAI 모델 의무: AI 제공업체에 뭔가 달라지나

금지 관행 외에도 2025년 8월부터 범용 AI 모델 제공업체에 대한 의무가 활성화됩니다. EU 시장에서 GPAI 모델을 개발하거나 배포하는 기업은 다음을 준수해야 합니다:

• 모델 학습 과정에 대한 기술 문서 유지 및 제공
• EU 저작권법 준수 정책 수립 (텍스트·데이터 마이닝 옵트아웃 메커니즘 포함)
• 학습 데이터 콘텐츠의 충분히 상세한 요약 공개
• 시스템적 위험이 있는 모델: 적대적 테스트 수행, 심각한 사고 추적·보고, 사이버보안 보호 보장

AI 리터러시 의무는 이미 2025년 2월부터 시행 중입니다. AI 시스템을 배포하는 조직은 직원들이 해당 도구의 능력과 한계를 충분히 이해할 수 있도록 AI 리터러시 교육을 제공해야 합니다. SD Worx의 조사에 따르면 2025년 중반 기준 많은 유럽 기업이 여전히 이 요건 충족에 어려움을 겪고 있었습니다.

테크 기업이 지금 해야 할 일

AI 생태계에서의 위치에 따라 실무적 영향이 다릅니다:

GPAI 모델 제공업체(OpenAI, Google, Anthropic 등): 아직 행동강령에 서명하지 않았다면 서명을 고려해야 합니다. Meta처럼 서명하지 않는 길을 선택했다면, 대안적 준수 전략을 문서화해 두어야 합니다.

AI 시스템 도입 기업: 현재 사용 중인 모든 AI 도구를 감사해야 합니다. HR 소프트웨어의 감정 분석, 고객 세분화의 생체인식 분류, 사회적 점수로 분류될 수 있는 예측 도구 등을 즉시 검토해야 합니다.

스타트업과 소규모 AI 기업: 과징금이 비례적으로 적용되지만 €750만도 대부분의 스타트업에는 치명적입니다. 다행히 행동강령은 비례성을 고려해 설계되었지만, 금지 시스템 운영은 규모와 무관하게 절대 불가입니다.

EU 외부 기업: AI 제품이나 서비스가 EU 사용자에게 도달한다면 규제 대상입니다. GDPR과 마찬가지로 회사 소재지가 아닌 영향이 미치는 곳을 기준으로 적용됩니다.

더 큰 그림: 유럽의 AI 규제 실험

EU AI Act가 GDPR처럼 글로벌 표준이 될지, 아니면 AI 개발을 다른 곳으로 내몰는 ‘혁신 세금’이 될지는 아직 알 수 없습니다. 하지만 대부분의 주요 AI 기업이 자발적으로 행동강령에 서명했다는 점은 고무적입니다. 업계가 준수를 관리 가능하고 전략적으로 현명한 선택으로 보고 있다는 의미입니다.

한 가지 확실한 것은 있습니다. 유럽에서 AI 시스템을 먼저 만들고 규제 질문은 나중에 하는 시대는 끝났습니다. EU AI Act 시행 2025의 데드라인은 실제이고, 벌금은 막대하며, 금지 관행 목록은 모호함이 없습니다. 모델 제작사부터 챗봇을 도입하는 기업까지, AI에 관련된 모든 기업에게 준수 전략이 필요합니다. 다음 분기가 아니라, 지금 당장.

---