EU AI Act 범용 AI 의무 조항 시행—한국 API 사용자 영향 총정리

GPAI 의무 조항 핵심 내용

EU AI Act Article 53~55에 규정된 GPAI 의무는 크게 세 가지다. 첫째, 기술 문서(Technical Documentation) 작성 및 보관 의무—모델 학습 데이터 출처, 성능 벤치마크, 알려진 한계를 명시해야 한다. 둘째, 저작권 준수 정책 공개—훈련 데이터 관련 저작권 정책을 기계 판독 가능한 형식으로 공시해야 한다. 셋째, 시스템적 위험(Systemic Risk) 모델—학습 연산량 10²⁵ FLOP 초과 모델은 추가 레드팀 평가 결과를 EU AI Office에 제출해야 한다. 위반 시 전 세계 연간 매출의 최대 3% 과징금이 부과된다.

한국 개발자·스타트업 적용 범위

핵심 질문은 '내 서비스가 EU 이용자에게 도달하는가'다. EU 내 법인이 없더라도 EU 거주자가 서비스를 사용하면 적용 대상이 될 수 있다. 실무적으로 주의해야 할 시나리오는 다음과 같다.

• API 래퍼 SaaS: Claude·GPT-5·Gemini API를 호출해 결과를 제공하는 서비스는 '배포자(Deployer)' 지위로 분류되며, 투명성 고지 의무가 발생
• AI 생성 콘텐츠 플랫폼: 이미지·텍스트 생성 결과물에 AI 생성 표시(Watermark 또는 메타데이터) 요건 검토 필요
• B2B SaaS: EU 기업 고객 계약 시 AI Act 준수 조항 삽입 요구가 늘어날 전망

즉시 실행 가능한 준비 체크리스트

1. 서비스 내 AI 사용 고지 문구 업데이트—"이 서비스는 AI 모델을 사용합니다" 수준으로도 초기 대응 가능
2. 사용 중인 API 공급사의 GPAI 문서 확보—Anthropic, OpenAI, Google 모두 EU AI Act 준수 문서를 공개 중
3. 로그 보관 정책 수립—고위험 카테고리 해당 시 6개월 이상 로그 보관 권장
4. EU AI Office 공식 가이드라인: digital-strategy.ec.europa.eu/en/policies/ai-act 참조