베를린, 파리 또는 암스테르담의 고객에게 소프트웨어를 제공하고 있으며 해당 제품이 어떤 방식으로든 AI와 관련이 있다면, 2026년 8월 2일은 준수 일정표에 반드시 표시해 두어야 할 날짜입니다. 이 날은 EU AI 법으로 더 잘 알려진 규정(EU) 2024/1689가 투명성 의무에 대해 전면적으로 시행되고, 범용 AI 모델에 대한 위원회의 집행 권한이 활성화되는 날입니다. 벌금은 전 세계 연간 매출액의 최대 7%에 달할 수 있습니다. 그리고 본사가 샌프란시스코에 있고, 서버가 버지니아에 있으며, 팀이 브뤼셀에 발을 들여놓은 적이 없다는 사실은 중요하지 않습니다.
저희가 상담하는 대부분의 미국 창업자들은 GDPR에서 차용한 EU AI 법에 대한 멘탈 모델을 가지고 있습니다. 몇 개의 쿠키 배너, 개인정보 처리방침 업데이트, 아마도 데이터 처리 부속서(DPA) 정도를 생각하곤 합니다. 하지만 AI 법은 다릅니다. 이 법은 데이터뿐만 아니라 제품 자체를 규제합니다. 제공자(provider), 배포자(deployer), 유통업자(distributor), 수입업자(importer), 공인 대리인(authorized representative) 등 역할에 따라 의무를 할당하며, 고위험 시스템이 유럽 사용자에게 합법적으로 도달하기 전에 사전 시장 적합성 평가, 기술 문서화, 사후 시장 모니터링 및 EU 전역 데이터베이스 등록을 요구합니다. 처벌 수위는 GDPR보다 높으며, 조달 설문 조사의 파급 범위는 더 넓습니다. 또한 이 법은 제2조에 역외 적용 범위를 명시하고 있습니다.
이 가이드는 미국 SaaS 기업, 기반 모델 제공자 및 AI 에이전트 개발자가 지금부터 다음 마감일까지 실제로 수행해야 할 작업을 대략적인 순서대로 안내합니다.
1단계: 법 적용 여부 파악
법의 범위는 대부분의 미국 창업자들이 예상하는 것보다 넓습니다. 제2조는 다음을 포함합니다:
- 제공자의 설립 위치에 관계없이, EU 시장에 AI 시스템을 출시하거나 EU 내에서 서비스를 제공하는 제공자
- EU 내에 위치한 배포자(귀사의 고객)
- AI 시스템의 결과물이 EU 내에서 사용되는 경우, EU 외부에 위치한 제공자 및 배포자
마지막 항목이 바로 함정입니다. 미국에 기반을 둔 AI 시스템이 대화 기록을 처리하거나, 마케팅 이메일을 생성하거나, 이력서를 평가하거나, 계약서를 요약하고, 그 결과물이 EU 내의 수신자에 의해 사용된다면, 유럽 사용자가 귀사의 API를 직접 만지지 않더라도 적용 범위에 포함됩니다. 요약본이 네덜란드 로펌의 사건 파일에 들어가는 미국 리걸테크 벤처, 후보자 순위가 뮌헨의 채용 담당자에 의해 검토되는 미국 채용 도구, 프랑스 고객에게 판매된 SaaS 애플리케이션에 내장된 미국 챗봇은 모두 적용 대상입니다.
대부분의 B2B SaaS 기업을 위한 실질적인 필터는 간단합니다. 유료 고객이나 고객의 최종 사용자 중 한 명이라도 EU에 있다면 법이 적용된다고 가정하고 거기서부터 거꾸로 작업을 시작하십시오.
2단계: 역할 및 시스템 위험 등급 분류
AI 법은 귀사가 스스로를 무엇이라 부르는지가 아니라, 무엇을 하는지에 따라 의무를 부여합니다. 대부분의 SaaS 기업은 다음 중 하나 이상의 범주에 동시에 해당합니다:
- 제공자(Provider) — 자신의 이름이나 상표로 AI 시스템을 시장에 출시합니다. AI 기능을 탑재한 거의 모든 SaaS 벤더가 여기에 해당합니다.
- 배포자(Deployer) — 자신의 권한 하에 AI 시스템을 사용합니다(예: 제품 내부에 제3자 모델 사용). 배포자는 제공자보다 의무가 가볍지만 실질적인 의무가 존재합니다.
- 범용 AI(GPAI) 모델 제공자 — 다양한 작업에 걸쳐 사용될 수 있는 기반 모델을 개발하거나 미세 조정합니다. 대부분의 미국 SaaS 기업은 GPAI 제공자가 아니며, 다른 누군가의 GPAI 모델을 소비합니다. 하지만 Llama를 미세 조정하거나 자체 기반 모델을 구축한다면 이 선을 넘었을 수 있습니다.
- 공인 대리인(Authorized representative) — 고위험 시스템 및 GPAI 모델의 비EU 제공자에게 요구됩니다(자세한 내용은 아래 참조).
위험 분류는 두 번째 축입니다. AI 법은 네 가지 등급을 생성합니다:
| 등급 | 예시 | 의미 |
|---|---|---|
| 허용되지 않는 위험 (제5조) | 사회적 점수 매기기, 직장 내 감정 인식, 무차별적 얼굴 스크래핑 | 2025년 2월 2일부터 전면 금지 |
| 고위험 (부속서 III) | 채용, 신용 점수 산정, 교육 입학, 생체 인식, 핵심 인프라, 법 집행에 사용되는 AI | 전체 적합성 평가, CE 마크 획득, EU 데이터베이스 등록 |
| 제한적 위험 (제50조) | 챗봇, 딥페이크 생성기, 감정 인식 (직장 외부) | 투명성 공개 의무만 존재 |
| 최소 위험 | 스팸 필터, 비디오 게임 내 AI, AI 강화 검색 순위 | 특정 의무 없음 |
기존 워크플로우에 AI 기능을 계층화한 대부분의 미국 B2B SaaS 제품은 제한적 위험 범주에 속하며 제50조 투명성 의무를 집니다. 예외 사항이 중요합니다. 고용 결정, 교육 입학, 신용도, 생체 인식 또는 필수 공공 서비스와 관련된 모든 것은 고위험으로 분류되며 실질적으로 훨씬 더 많은 노력이 필요합니다.
3단계: 귀하에게 적용되는 마감 기한을 일정에 기록하십시오
법령의 의무는 3년에 걸쳐 단계적으로 시행됩니다. 현재 시점의 타임라인을 정리하면 다음과 같습니다:
- 2025년 2월 2일 — 금지된 AI 관행(제5조) 및 AI 리터러시 의무(제4조)의 집행이 시작되었습니다. 귀하의 제품이 제5조에서 금지한 관행을 구현하고 있다면, 오늘 즉시 중단하십시오.
- 2025년 8월 2일 — 거버넌스 규정 및 GPAI 모델 의무가 발효되었습니다. 이 날짜 이후에 출시된 새로운 GPAI 모델은 즉시 규정을 준수해야 합니다. 이 날짜 이전에 존재했던 모델은 2027년 8월 2일까지 유예 기간이 주어집니다.
- 2026년 8월 2일 — 가장 중요한 시점입니다. 제50조 투명성 의무가 시행됩니다. 부속서 III에 따른 고위험 의무도 시행됩니다. 벌금 부과 권한을 포함하여 GPAI 모델에 대한 위원회의 집행 권한이 활성화됩니다. 비EU 지역의 고위험 AI 제공업체를 위한 제22조 공인 대리인 요건이 발효됩니다.
- 2027년 8월 2일 — 기존 GPAI 모델은 완전한 준수 상태를 갖춰야 합니다. 이미 규제 대상인 제품(완구, 의료 기기, 기계류)에 내장된 고위험 시스템이 법령의 체계 아래 놓이게 됩니다.
- 2027년 12월 2일 — 특정 부속서 III 카테고리(생체 인식, 중요 인프라, 교육, 고용, 이민, 망명, 국경 통제)에서 이미 서비스 중인 고위험 시스템은 규정을 준수해야 합니다.
- 2028년 8월 2일 — 규제 대상 제품(승강기, 완구 등)에 내장된 고위험 시스템의 전면적인 집행이 시작됩니다.
EU 고객에게 챗봇이나 AI 어시스턴트를 제공하는 일반적인 미국 SaaS 기업의 경우, 단기적인 실질적 마감 기한은 제50조 투명성 의무가 적용되는 2026년 8월 2일입니다. 파운데이션 모델 제공업체 및 AI 에이전트 플랫폼의 경우, GPAI 집행 창구도 같은 날 열립니다.
4단계: 제50조 투명성 작업 수행
귀하의 제품이 제한적 위험(limited-risk) 등급에 해당한다면, 이 섹션이 가장 중요합니다. 제50조는 네 가지 특정 고지 사항을 요구합니다:
- 챗봇 고지: 사람이 AI 시스템과 상호 작용하는 경우, 문맥상 명백하지 않은 한 AI와 상호 작용하고 있음을 알려야 합니다. 이 문장에서 "명백하다"라는 표현은 많은 해석의 여지를 남깁니다. 보수적으로 해석하자면 첫 상호 작용 시 명시적인 고지를 추가하는 것이 좋습니다.
- 합성 콘텐츠 표시: AI가 생성하거나 조작한 이미지, 오디오, 비디오 또는 텍스트 콘텐츠는 인공물임을 감지할 수 있도록 기계 판독이 가능한 형식으로 표시되어야 합니다. 이는 사실상 워터마킹이나 출처 메타데이터(C2PA 등)를 의미합니다.
- 딥페이크 라벨링: 딥페이크에 해당하는 콘텐츠는 인공적으로 생성되거나 조작되었음을 라벨로 표시해야 합니다.
- 공익 텍스트 라벨링: 공익 사항에 대해 대중에게 정보를 제공하기 위해 게시되는 AI 생성 텍스트는, 편집상의 책임을 지는 인간의 검토를 거치지 않은 경우 AI 생성물임을 밝혀야 합니다.
이러한 고지 레이어를 구축하는 것이 기술적으로 어렵지는 않지만, 제품, 디자인, 법무 팀 간의 협업이 필요합니다. 우리가 확인한 몇 가지 효과적인 패턴은 다음과 같습니다:
- 채팅 인터페이스에 작은 "AI 보조" 배지를 배치하고, 자세한 고지 페이지로 연결되는 툴팁 제공
- 미디어 출력물에 대해 C2PA 표준을 통해 생성 시점에 출처 메타데이터 내장
- 제품이 서비스되는 모든 EU 언어로 현지화된 승인된 고지 문구 라이브러리 구축
- 모든 "공익" 콘텐츠(뉴스 요약, 정치적 주제, 건강 정보)는 인간의 편집 검토를 거치고 기록을 남긴다는 내부 정책 수립
5단계: EU 공인 대리인 임명 (필요한 경우)
제22조는 미국을 포함한 제3국에 설립된 제공업체가 고위험 AI 시스템을 연합 시장에 출시하기 전에 EU 내에 서면 위임 공인 대리인을 임명할 것을 요구합니다. 제54조는 GPAI 모델 제공업체에 대해서도 유사한 의무를 부과합니다.
제50조 투명성 의무만 있는 제한적 위험 시스템만 제공한다면 제22조 대리인이 필요하지 않습니다. 고위험 시스템이나 GPAI 모델을 제공한다면 대리인이 필요하며, 적합한 대리인을 찾는 데 시간이 걸립니다. 대리인의 임무는 다음과 같습니다:
- EU 적합성 선언 및 기술 문서가 구비되어 있는지 확인
- 국가 관할 당국이 10년 동안 문서를 열람할 수 있도록 보관
- 시정 조치, 철회 또는 회수에 대해 당국과 협력
- 불만 사항, 사고 보고서 및 중대 사고 통지를 귀하에게 전달
- 귀하가 의무를 이행하지 않을 경우 위임 계약 종료(및 당국에 통지)
대리인은 제9조에서 제17조에 따른 귀하의 핵심 제공업체 의무를 대신할 수 없습니다. 그 책임은 귀하에게 남아 있습니다. 대리인은 본질적으로 귀하의 책임 있는 EU 내 대리인이자 AI 사무국 및 국가 시장 감시 당국과의 연락 창구 역할을 합니다.
소규모 제공업체를 위한 공인 대리인 서비스 비용은 시스템의 복잡성, 서비스되는 EU 회원국 수, 문서 검토 범위에 따라 연간 5,000유로에서 25,000유로 사이로 안정화되었습니다. 델라웨어주의 등록 대리인(registered agent) 비용을 책정하는 것과 같은 방식으로 예산을 편성하십시오.
6단계: 문서 스택 구축
고위험 시스템을 제공하든 GPAI 모델을 제공하든, 문서 기록(paper trail)을 남겨야 합니다. 법령은 작성 및 최신 유지가 필요한 몇 가지 문서를 명시하고 있습니다:
- 기술 문서 (고위험 시스템의 경우 부속서 IV, GPAI 모델의 경우 부속서 XI) — 시스템 아키텍처, 데이터 거버넌스 관행, 학습 방법론, 평가 결과, 알려진 한계점
- 위험 관리 시스템 문서 (제9조) — 예측 가능한 위험 식별, 완화 조치, 잔류 위험 수용 기준
- 데이터 거버넌스 문서 (제10조) — 학습, 검증 및 테스트 데이터 소스, 데이터 품질 기준, 편향성 조사
- 로깅 기록 (제12조) — 사후 시장 모니터링이 가능하도록 충분히 상세한 자동 이벤트 로그
- 인간의 감독 설계 (제14조) — 운영자가 출력을 해석하고, 개입하고, 무효화하거나 시스템을 종료할 수 있는 방법
- 사후 시장 모니터링 계획 (제72조) — 실제 성능 데이터와 사고를 수집, 분석 및 대응하는 방법
- EU 적합성 선언 (제47조) — 시스템이 법령의 요건을 충족한다는 법적 증명
- CE 마킹 — 적합성을 나타내기 위해 제품에 부착
GPAI 제공업체의 경우, 2025년 7월 AI 사무국에서 발표한 실무 규범(Code of Practice)이 사실상의 준수 기준이 되었습니다. 이는 자발적인 것이지만, 참여하는 것은 선의의 준수 의지를 보여주며 이후의 집행 평가에서 유리한 대우를 받을 수 있게 합니다. 투명성, 저작권, 안전 및 보안이라는 실무 규범의 세 장은 2026년 8월 AI 사무국이 집행 권한을 행사하기 시작할 때 중점적으로 살펴볼 내용과 밀접하게 연계되어 있습니다.
제7단계: 조달 설문조사(Procurement-Questionnaire) 물결에 대비하기
미국 내 대부분의 SaaS 기업에게 있어 EU AI법의 첫 번째 실질적인 징후는 AI 사무국(AI Office)의 방문이 아닐 것입니다. 대신, 어떤 모델을 사용하는지, 어떤 학습 데이터를 기반으로 구축되었는지, 금지된 사용을 방지하기 위해 어떤 통제 조치를 갖추고 있는지, 데이터 거주성(data-residency) 배치는 어떠한지, 그리고 제22조에 따른 대리인을 보유하고 있는지 등을 묻는 EU 고객사 법무팀의 조달 설문조사가 될 것입니다.
이러한 설문조사는 이미 도착하고 있습니다. 2026년 8월의 시행일보다 훨씬 앞선 시점입니다. EU 구매자들이 마감 기한이 임박해 서두르기 전에 컴플라이언스를 준수하는 벤더를 확보하고 싶어 하기 때문입니다. 규제 산업(금융, 의료, 정부, 교육)의 영업 주기는 구매자들이 AI법 관련 실사를 추가함에 따라 점점 더 길어지고 있습니다. 영업 주기 첫 주에 이러한 설문조사에 자신 있게 답변할 수 있는 창업자는 준비가 덜 된 경쟁사들이 놓칠 거래를 성사시킬 것입니다.
지금 바로 상시 활용 가능한 AI법 팩트 팩(fact pack)을 구축하십시오. 여기에는 다음 사항이 포함되어야 합니다:
- 귀하의 역할(제공자/배포자/둘 다), 위험 등급 및 해당 의무사항에 대한 한 페이지 요약본
- 하위 처리자(sub-processor) 및 DPA 스타일의 정보가 포함된 사용 중인 기본 모델 목록
- 투명성 공개 사항 (제50조)
- 데이터 거버넌스 및 학습 데이터 문서 (필요에 따라 익명화 처리)
- 사고 대응 및 중대 사고 보고 절차
- 해당하는 경우, 공인 대리인 위임장 사본
GDPR, 데이터법(Data Act), DSA의 관계
AI법은 기존 EU 법률을 대체하지 않습니다. 그 위에 덧씌워집니다. 개인정보를 처리하는 고위험 시스템은 AI법과 GDPR의 규제를 모두 받으며, 의무사항은 중첩됩니다. AI법 제26조 제8항은 고위험 배포자에 대한 GDPR의 개인정보 영향평가(DPIA) 요구사항을 명시적으로 유지합니다. 데이터법의 데이터 공유 및 전환 의무는 AI법 적합성과 함께 적용됩니다. 디지털 서비스법(DSA)의 추천 시스템 투명성 규칙은 제50조 위에 추가로 적용됩니다.
실질적으로 이는 귀하의 컴플라이언스 프로그램에 통합된 기록이 필요함을 의미합니다. 단일 AI 기능이 GDPR DPIA, AI법 위험 평가, 제50조 공개, DSA 추천 시스템 투명성 보고서, 데이터법 포터빌리티 약속을 동시에 트리거할 수 있습니다. 이를 별개의 워크스트림으로 취급하는 것이 바로 실수가 발생하는 지점입니다. 이를 공유된 문서를 갖춘 하나의 프로그램으로 관리하는 것이 효율적인 운영의 핵심입니다.
실제 과징금 수준
제99조에 따른 본 법의 처벌 구조는 세 단계로 나뉩니다:
- 금지된 관행 (제5조 위반): 최대 3,500만 유로 또는 전 세계 연간 매출액의 7% 중 높은 금액
- 기타 대부분의 의무 (제8-15조, 제50조, 제101조에 따른 GPAI 의무): 최대 1,500만 유로 또는 전 세계 연간 매출액의 3% 중 높은 금액
- 당국에 오해의 소지가 있는 정보 제공: 최대 750만 유로 또는 연간 매출액의 1% 중 높은 금액
스타트업을 포함한 중소기업(SME)의 경우, 과징금은 두 수치 중 높은 쪽이 아닌 낮은 쪽으로 제한됩니다. 이는 실질적인 배려이지만, 매출의 1%는 시리즈 B 단계의 SaaS 기업에게 여전히 유의미한 숫자입니다. 또한 EU 정의에 따른 "SME"의 상한선은 매출액 5,000만 유로이며, 대부분의 미국 성장 단계 SaaS 기업은 이 기준을 초과합니다.
2026년 말과 2027년에 있을 첫 번째 집행 조치는 파운데이션 모델 연구소나 대규모 소비자용 AI 제품과 같이 가장 눈에 띄는 거대 제공업체를 겨냥할 가능성이 높습니다. 그러나 국가 시장 감시 당국은 광범위한 재량권을 가지고 있으며, 불만 사항에 기반한 조사는 모든 제공업체를 대상으로 할 수 있습니다. 최악의 상황이 아닌 평균적인 상황에 대비하십시오. 귀하가 첫 번째 과징금 대상이 되지는 않겠지만, 시정 조치 계획이 나올 때까지 회사의 EU 매출이 차단된 이유를 이사회에 설명하는 창업자가 되고 싶지는 않을 것입니다.
엔지니어링 "주변"이 아닌 "안에" 컴플라이언스 구축하기
AI법으로 인해 가장 어려움을 겪는 컴플라이언스 팀은 이를 완성된 제품에 덧붙이는 법적 과제로 취급하는 팀입니다. 이를 깔끔하게 처리하는 팀은 이를 시스템 설계 제약 조건으로 취급합니다. 즉, 데이터 레이어에 내장된 데이터 거버넌스, 추론 레이어에 내장된 로깅, UX에 내장된 인간의 감독, 컴포넌트 라이브러리에 내장된 투명성 공시와 같습니다. 본 법의 요구사항은 대부분 잘 설계된 AI 제품이 이미 수행해야 하는 작업들입니다(강력한 평가, 명확한 문서화, 구조화된 사고 대응, 투명한 UX). AI법은 단지 이를 법적 의무로 만들었을 뿐입니다.
특히 미국 창업자들에게 있어 인식의 전환은 EU가 "나중에"로 미룰 수 있는 선택적인 시장이 아니라는 점을 깨닫는 것입니다. 결과물이 EU 내에서 사용되는 경우에 적용되는 본 법의 역외 적용 범위는 소규모 B2B 계약만으로도 귀하를 규제 대상에 포함시킬 수 있음을 의미합니다. 또한 조달 설문조사의 역학 관계는 준비성이 단순한 컴플라이언스 항목이 아니라 현재 바로 활용 가능한 경쟁 우위임을 시사합니다.
재무 기록도 감사 준비 상태로 유지하기
SaaS 기업을 EU로 확장하는 경우, AI법 준수는 더 큰 문서화 과제의 일부일 뿐입니다. 깨끗한 재무 기록, 다국가 구독에 대한 방어 가능한 수익 인식, 이전 가격 문서화, VAT-MOSS 신고도 필요합니다. 깨끗하고 버전 관리되는 컴플라이언스 문서를 지향하는 엔지니어링 본능을 재무 회계에도 적용해야 합니다. 즉, 평문(plain-text) 기반으로, 감사가 가능하며, 사람이나 AI 감사인이 검토할 수 있어야 합니다.
당신의 AI만큼 투명하게 재정을 관리하세요
AI 법(AI Act)이 주는 더 깊은 교훈, 즉 문서화, 감사 가능성 및 투명성이 이제 경쟁력 있는 해자(moats)라는 점은 여러분의 회계 장부에도 그대로 적용됩니다. Beancount.io는 재정 기록에 대한 완전한 투명성과 버전 관리를 제공하는 플레인 텍스트 회계(plain-text accounting) 시스템을 지원합니다. 이는 현대의 컴플라이언스가 요구하는 인간이 읽기 쉽고 기계가 파싱할 수 있는 구조를 갖추고 있습니다. 블랙박스나 벤더 종속(vendor lock-in)이 없으며, 감사인(또는 사용자의 AI 에이전트)이 직접 읽을 수 있는 저널을 제공합니다. 무료로 시작하기를 통해 AI 우선(AI-first) 기업을 구축하는 개발자와 재무 전문가들이 왜 플레인 텍스트 회계로 전환하고 있는지 확인해 보세요.