EU AI법 범용 AI 행동강령 최종안 확정—한국 서비스 수출 시 준수 필수

GPAI 행동강령 최종안 핵심 내용

유럽 AI 오피스는 2026년 5월 28일 GPAI 행동강령 4차 개정 최종안을 공식 확정했다. 이 강령은 EU AI법 제55조에 근거하며, 2026년 8월 2일부터 법적 효력이 발생한다.

주요 의무 사항 요약

| 구분 | 일반 GPAI 공급자 | 시스템적 위험 GPAI 공급자 | |---|---|---| | 기술 문서 작성 | 필수 | 필수 (심층) | | 저작권 학습 데이터 공개 요약 | 필수 | 필수 | | 레드팀 평가 | 권고 | 의무 (연 1회 이상) | | 사이버보안 사고 보고 | - | 72시간 이내 | | 에너지 소비 보고 | - | 분기별 의무 |

시스템적 위험 모델 기준은 학습 연산량 10²⁵ FLOP 초과 또는 AI 오피스의 별도 지정이다. 현재 GPT-4 계열, Claude Opus 4, Gemini Ultra 계열이 해당 범주로 분류된다.

한국 개발자·기업에 미치는 영향

직접 영향 대상

• EU 사용자 대상 SaaS·API 서비스를 운영하는 한국 스타트업
• GPAI 모델을 래핑(wrapping)해 EU 내 B2B 솔루션으로 판매하는 경우
• EU 소재 기업과 AI 공동 개발 계약을 체결한 경우

한국 기업이 Anthropic·OpenAI·Google의 API를 활용해 EU 사용자에게 서비스를 제공할 경우, 하류(downstream) 배포자 의무가 적용된다. 이는 사용 목적 문서화, 최종 사용자 투명성 고지, 불법 콘텐츠 생성 방지 기술 조치를 포함한다.

실무 체크리스트

□ EU 내 사용자 비율 및 서비스 범위 파악
□ 사용 중인 기반 모델의 EU AI법 규정 준수 여부 확인
     (공급사 제공 컴플라이언스 문서 수령)
□ 시스템 카드(System Card) 또는 모델 카드 작성
□ 사용자 대상 AI 생성 콘텐츠 명시 고지 UI 구현
□ 개인정보·학습 데이터 처리 관련 GDPR 교차 검토
□ 법무팀 또는 EU AI법 전문 컨설턴트 자문 확보

오픈소스 모델 공급자 예외 조항

공개 가중치(open-weight) 모델 공급자는 일부 의무에서 면제된다. 단, 시스템적 위험 기준을 초과하는 오픈소스 모델은 면제 대상에서 제외된다. Llama 4 Maverick(~400B MoE)의 경우 AI 오피스가 별도 심사 중이며, 최종 분류 결과는 2026년 6월 말 발표 예정이다.

대응 타임라인

• 2026년 6월 30일: 행동강령 서명 기업 1차 목록 공개
• 2026년 8월 2일: GPAI 의무 조항 전면 발효
• 2027년 8월 2일: 고위험 AI 시스템 전체 조항 발효

한국 기업의 경우 KOTRA 브뤼셀 무역관 및 정보통신산업진흥원(NIPA)의 EU AI법 대응 지원 프로그램을 활용할 수 있다.