EU 의회와 이사회가 5월 7일 AI법 핵심 의무를 16개월 연장하는 디지털 옴니버스에 합의했어요. 채용·신용·의료 분야 고위험 AI 기한이 2026년 8월 2일에서 2027년 12월 2일로 미뤄졌어요. 딥페이크 포르노 AI·아동 성착취물 생성 AI 금지는 2026년 12월부터 예정대로 발효돼요.
지난 5월 7일, EU 의회와 이사회가 'AI 디지털 옴니버스(Digital Omnibus on AI)'에 잠정 합의했어요. 핵심 내용은 고위험 AI 시스템 의무 이행 기한을 16개월 연장한다는 거예요. 원래 AI Act의 고위험 의무는 지금으로부터 55일 뒤인 2026년 8월 2일부터 적용될 예정이었어요. 그게 이제 2027년 12월 2일로 미뤄졌어요.
왜 연장됐냐고 하면 — 솔직히 기업들 입장에서 8월까지 준비하기가 너무 빠듯했던 게 가장 큰 이유예요. AI Act의 'Annex III'에 해당하는 고위험 AI는 채용 심사, 신용 평가, 사법 행정, 의료 진단, 국경 관리, 학교 입학 전형 같은 분야에서 쓰이는 AI들이에요. 이 분야 AI에는 기술적 문서화, 위험 관리 시스템, 데이터 거버넌스, 로그 기록, 인간 감독 의무가 통째로 붙는데 — 정작 기업들이 기준으로 삼아야 할 기술 표준(harmonized standards)이 충분히 확정되지 않은 상태였거든요. 무엇을 어떻게 준수해야 하는지 가이드라인이 늦게 나왔고, 2025년부터 준비를 시작했어도 기준이 계속 바뀌었어요.
Annex III에 포함되는 AI 시스템들의 범위를 알면 규모가 얼마나 큰지 감이 와요. 채용 AI(이력서 스크리닝 포함), 은행·보험 신용 평가 AI, 의료 진단 보조 AI, 법원 재범 예측 AI, 국경 관리 AI, 학교 입학 전형 AI — 이런 것들이 전부 해당돼요. 이 분야에서 AI를 운영 중인 기업은 전 세계에 수천 개가 넘어요.
한 가지 흥미로운 건, 기한을 늦추면서 동시에 새로운 금지 항목을 추가했다는 점이에요. 동의 없이 실존 인물의 친밀한 신체 부위나 성행위 장면을 생성하는 AI(딥페이크 포르노)와 아동 성착취물(CSAM) 생성 AI가 명시적으로 금지됐어요. 이 금지 조항들은 빠르게 적용돼서 2026년 12월 2일부터 발효돼요 — 고위험 AI 기한 연장과는 별개로요. 효과적인 방지 조치를 갖춘 경우엔 안전 항목(safe harbour)이 인정돼요.
스타트업과 중소기업 입장에서도 추가 완화가 생겼어요. 기존엔 중소기업(SME)까지만 규제 부담 경감 혜택이 있었는데, 이번 개편으로 소규모 중견기업(small mid-caps)까지 확대됐어요. 또 AI 시스템이 사용자 지원이나 성능 최적화만 담당하고, 그 오작동이 직접 건강·안전 위험을 초래하지 않는 경우엔 고위험으로 자동 분류되지 않도록 명확히 했어요. 이건 상당히 중요한 변화예요 — 많은 기업용 AI 도구들이 "고위험인지 아닌지" 경계에 있었거든요.
잠정 합의 상태라 아직 공식 법적 효력은 없어요. EU 의회와 이사회가 각각 공식 승인을 거쳐야 하고, **관보(Official Journal)**에 게재돼야 발효돼요. 목표는 기존 8월 2일 이전에 완료하는 거예요. 그 전까지는 기술적으로 원래 일정이 유효해요.
글로벌 기업들 입장에선 숨통이 트인 거예요. 8월까지 전면 준수를 목표로 막대한 컨설팅 비용을 쓰던 기업들에게 16개월이 더 생겼으니까요. 반면 비판도 있어요. "채용이나 대출 같은 분야에서 AI를 쓰는 기업들이 규제 없이 운영되는 시간이 그만큼 늘어났다"는 시각이에요.
한국 기업들도 EU 시장에서 AI 기반 제품이나 서비스를 운영 중이라면 이 변경 사항을 꼭 파악해야 해요. 기한이 늘어났다는 건 숨통이 트인 거지만, 결국 준비는 해야 하거든요. 오히려 이 여유 기간에 EU 기술 표준이 더 명확해지면 준비하기 수월해질 수도 있어요. 🇪🇺📋
출처