Skip to main content
wandb_fc
Projects
korean
Reports
EU AI 법 실무 가이드

EU AI 법 실무 가이드

다가오는 EU AI 법에 대비하는 방법을 다루는 연재의 첫 번째 글 이 글은 AI 번역본입니다. 오역이 의심되면 댓글로 알려주세요.
W&B Legal
Created on September 15|Last edited on September 15
EU AI 법 이 법은 광범위하고 복잡한 규제 체계이며 아직도 발전 중입니다. 금지된 AI 시스템에 대한 금지는 2025년 2월부터 시작되지만, 법의 대부분 조항은 2026년 8월에 발효됩니다. 전 세계 기업들은 상당한 사전 준비가 필요하며, 불이행 시 전 세계 연간 매출의 최대 7%에 달하는 제재를 받을 수 있습니다.
많은 AI 개발자와 기업들로부터 EU AI 법을 이해하고 적용하는 것이 어렵다는 이야기를 듣습니다. 그 주된 이유는 법에서 자주 모호하게 규정된 요구 사항을 충족하기 위한 구체적 기준이 부족하기 때문입니다. 예를 들어, 이 법은 고위험 AI 시스템 사용을 위한 위험 관리 체계의 구축을 요구하지만, 이를 어떻게 구현해야 하는지에 대한 매뉴얼은 아직 없습니다. 반면 미국 정부는 AI 규제와 보조를 맞춘 이행 가이드라인 마련에 주력해 왔으며, 예를 들어 다음과 같은 자료를 공개해 왔습니다. 미국 국립표준기술연구소(NIST) AI 위험 관리 프레임워크 및 관련 통제사항.
이 글은 해당 법을 이해하고 적용하려는 분들께 실질적인 정보와 분석을 제공하기 위한 연재의 첫 번째 기사입니다. 또한 새 규정 체계 아래에서 이행 가이드라인이 명확해짐에 따라 관련 업데이트도 지속적으로 제공하겠습니다.
이 글에서는 EU AI 법의 적용 범위에 실제로 무엇이 포함되는지에 초점을 맞추고, 다가오는 규제 체제에 어떻게 대응할지에 대한 실무적 사례를 함께 살펴보겠습니다.

EU AI 법 간략 개요

EU AI 법은 AI 시스템의 활용(즉, AI가 적용된 제품과 서비스)을 규제하는 데 초점을 맞춥니다. 원칙적으로 모든 AI 시스템에 적용되지만, 다음과 같은 제한적 예외가 있습니다. 국가 안보 목적으로만 사용되는 AI 시스템, 국경 간 법 집행, 과학 연구, 양산 전 개발 단계, 개인적 활동, 그리고 특정한 무료 오픈 소스 모델.
이 법은 또한 광범위한 주체에 적용됩니다. AI 시스템의 제공자, 사용자, 수입자, 유통업자, 제조자가 그 대상입니다. 이에 적용되는 준수 의무는 제공자 (해당 AI 시스템을 개발하고 공급하는 자) 및 배포자 (해당 AI 시스템을 사용하는 자)이 가장 관련성이 높습니다. 이 법은 EU 내 기업에만 영향을 미치는 것이 아니라, EU에서 AI 시스템을 제공하거나 EU 내 개인에게 영향을 미치는 비EU 법인에도 적용됩니다.
EU AI 법은 AI 시스템을 네 가지 위험 등급으로 분류합니다:
  • 허용 불가 위험이러한 AI 시스템은 전면적으로 금지됩니다. 예로는 정부가 사회적 점수 매기기에 사용하는 시스템이나 특정 집단의 취약성을 악용하는 시스템이 포함됩니다.
  • 고위험: 이러한 AI 시스템은 안전, 기본권 또는 핵심 인프라에 영향을 미치며, 엄격한 준수 요건(제8–27조)의 적용을 받습니다. 기본권과 관련된 범주에는 생체인식을 처리하는 시스템, 법 집행과 관련된 시스템, 필수 서비스 접근과 관련된 시스템 등이 포함됩니다.
  • 제한적 위험이러한 AI 시스템은 사용자에게 투명하게 공개되어야 합니다(제50조). 여기에는 챗봇이나 이미지 생성 AI와 같은 생성형 AI 도구가 포함됩니다.
  • 최소 위험이러한 AI 시스템은 규제 대상이 아니며, 워드 프로세서의 기능, 쇼핑이나 엔터테인먼트 앱의 추천 엔진, 스팸 필터 등 전통적인 머신러닝 기법을 사용하는 AI의 상당 부분을 차지합니다.
마지막으로, 이 법은 …을 규제합니다 범용 AI 범용 AI(GPAI). 대부분의 모델 개발자는 이렇게 거대한 시스템을 만들지 않지만, 최첨단 AI 시스템을 개발하는 조직의 경우 추가적인 보고 의무가 생깁니다. 규모에 따라 다음과 같이 구분됩니다.
  • GPAI의 경우 시스템적 위험이 있는 경우, 모델 학습을 위한 누적 연산량이 10^25 FLOPS를 초과하는 경우(또는 EU 집행위원회가 시스템적 위험으로 별도로 지정한 경우)를 의미하며, 엄격한 준수 요건이 적용됩니다(제55조). 여기에는 모델 평가 및 적대적 테스트 수행, 중대한 사고를 AI 사무국과 각국 당국에 보고하는 것이 포함됩니다. 시스템적 위험 범주는 GPT-4, Llama 3 400B와 같은 모델을 대상으로 합니다.
  • GPAI의 경우 시스템적 위험이 없는 경우, 모델 학습을 위한 누적 연산량이 10^25 FLOPS 이하로 정의되며, 의무 사항으로는 기술 및 통합 문서 유지, 저작권 준수 보장, 학습 콘텐츠 요약 제공이 포함됩니다(제53조). 추가로, 위 네 가지 위험 범주를 기준으로 분석을 수행합니다.
참고: GPAI 요건은 AI 시스템 제공자에게만 적용됩니다.
💡
이제 법안에서의 역할과 위험 범주가 어떻게 맞물리는지 보여주는 시나리오를 살펴보겠습니다.

예시 시나리오

전 세계에 사업을 둔 대기업의 채용 부서(편의상 Real Corp)는 수천 개의 공고, 그중 EU 소재 직무를 포함한 포지션에 대해 이력서를 점수화하는 도구를 평가하고 있습니다. 이 도구는 오픈 소스 LLM을 사용해 벤더(편의상 VCorp)가 개발했습니다.

EU AI 법에서 식별할 수 있는 관련 역할은 무엇인가요?

The 제공자 이 시나리오에서 LLM을 제공하는 조직과, 점수화 도구를 개발하여 Real Corp에 판매하려는 벤더가 해당됩니다. The 배포자 Real Corp이며, 이 도구를 사용해 이력서를 점수화할 예정입니다.

관련된 제외 사항이 있나요?

미세 조정, 학습, 설정과 같은 활동은 다음의 제외 범주에 해당합니다 사전 생산 개발그 이유는 해당 활동들이 Real Corp이 EU에서 도구를 배포하기 이전에 이루어지기 때문입니다. 다만 도구가 실제 운영 환경에 배포될 가능성이 있는 만큼, 각 제공자와 배포자는 법의 요구사항을 충족할 준비를 갖추어야 합니다.

위험 범주는 무엇인가요?

Real Corp이 이 도구를 사용해 이력서 점수화에 도움을 받으려는 만큼, 이는 다음 범주에 해당합니다 고위험 범주.
겉으로는 고위험에 해당하는 사용 사례라 하더라도, “의사결정의 결과에 실질적으로 영향을 미치지 않는 등 자연인의 건강, 안전 또는 기본권에 중대한 위해를 초래할 위험이 없”다면 여전히 면제될 수 있다는 점은 주목할 만합니다. 예를 들어, AI 시스템이 좁은 범위의 절차적 업무를 수행하도록 설계되었거나, 이전에 전적으로 사람이 수행하던 활동의 결과를 개선하도록 의도된 경우에는 면제가 적용될 수 있습니다.
우리의 목적상, 이 고용 관련 사용 사례는 고위험 범주에 해당한다고 가정하겠습니다.

공급업체의 “고위험” 의무는 무엇인가요?

제공자로서 공급업체(VCorp)는 다음을 준수해야 합니다 제8조–제15조 다음 요구사항을 이행함으로써 해당 법의 다음 조항을 준수해야 합니다:"
  • 포괄적인 위험 관리 시스템
  • 데이터 품질을 보장하고 편향을 방지하는 적절한 데이터 거버넌스
  • 해당 법을 준수함을 입증하는 VCorp의 기술 문서
  • AI 시스템이 위험을 초래할 수 있는 상황을 식별하고, 운영 환경에서 모니터링하기 위한 로깅 기능
  • 투명한 작동과 안내를 제공하여 사용자가 출력을 해석하고 적절하게 활용할 수 있도록 할 것
  • 효과적인 인간 감독을 위한 설계
  • 적절한 수준의 정확성, 견고성, 그리고 사이버보안
추가적인 제공자 요구사항은 다음에서 확인할 수 있습니다 제16조 해당 법의
💡

그 LLM을 공개한 조직은 어떻게 되나요?

해당 모델이 범용 목적의 GPAI 모델이 아니라 특정 목적을 위해 설계된 경우라도, 고위험 범주에 따른 제공자 의무가 계속 적용됩니다.
우리 시나리오에서는 모델이 체계적 위험이 없는 무료 오픈소스 GPAI 모델이므로(즉, 누적 연산량이 10^25 FLOPs 미만으로 학습��었고, EU 집행위원회에 의해 체계적 위험으로 별도 지정되지 않았음을 의미), 제55조의 의무 중 다음 두 가지만 적용됩니다: 저작권 준수 및 모델 학습에 사용된 콘텐츠 요약 공개또한 고위험 범주에 따른 제공자 의무의 적용을 받습니다.
LLM을 미세조정하거나 개선하는 공급업체(VCorp)는 GPAI 요구사항의 적용 대상은 아니지만, 나머지 법령은 준수해야 합니다.
체계적 위험이 있는 GPAI의 경우 의무가 훨씬 더 엄격합니다. 이에 대해서는 시리즈의 후속 기사에서 자세히 다루겠습니다.

Real Corp의 ‘고위험’ 의무는 무엇인가요?

배포자인 Real Corp는 다음을 준수해야 합니다 제26조 법의:
  • VCorp의 사용 지침을 따르십시오
  • 필요한 지원을 갖춘 적격한 인력에게 인간 감독을 배정하십시오
  • 의도된 목적에 적합하고 대표성이 있는 입력 데이터
  • 위험과 사고를 모니터링하십시오
  • 최소 6개월 동안 로그를 보관하십시오
  • 제27조에 따라 설명된 대로 데이터 보호 영향 평가(DPIA)를 수행하십시오
  • 규제 당국과 협력하십시오
  • 영향을 받는 사람들, 예를 들어 구직자에게 알리십시오

EU AI 법을 준비하는 방법

무엇보다 먼저, 보유한 AI 시스템을 분류하는 것부터 시작해야 합니다특히 공급자와 배포자는 보유한 AI 시스템과 사용 사례를 식별하고, 각 AI 시스템이 어느 위험 범주에 해당하는지, GPAI 시스템의 경우에는 체계적 위험을 수반하는지 평가해야 합니다. 연중 내내 EU 집행위원회의 시행 지침을 지속적으로 모니터링하는 것이 바람직하며, 공식 시행 지침 일정이 다음과 같이 업데이트되었음을 유의하십시오. 추가 주요 일정은 여기에서 확인하십시오또한 지침이 공개되는 대로 당사의 논평과 분석도 함께 제공하겠습니다.

이 글의 어떤 내용도 Weights & Biases 또는 개별 저자의 법률 자문으로 해석되어서는 안 되며, 어떠한 주제에 대해서도 법률 전문가의 자문을 대체할 의도로 작성된 것이 아닙니다.

이 글은 AI로 번역된 기사입니다. 오역이 의심되는 부분이 있으면 댓글로 알려주세요. 원문은 아래 링크에서 확인하실 수 있습니다: 원문 보고서 보기

Created with ❤️ on Weights & Biases.

https://wandb.ai/wandb_fc/korean/reports/EU-AI---VmlldzoxNDM5NDg1Nw
Made with Weights & Biases. Sign up or log in to create reports like this one.