AI 기본법이란 — 시행 현황과 규제 체계
2025년 1월 21일, 「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」(법률 제20676호)이 공포됐다. 1년의 준비 기간을 거쳐 시행령도 2026년 1월 22일 법률 본문과 동시에 발효됐다. 시행령은 2025년 11월 12일 입법예고(의견수렴 마감 12월 22일) 절차를 밟았고, 1월 20일 국무회의 의결을 거쳐 이틀 뒤 법 시행일에 맞춰 함께 발효됐다.
규제 체계는 3단으로 구성된다. 최상단에 법률 본문이 원칙과 의무 범위를 정하고, 시행령이 고영향 AI 적용 영역 등 세부 기준을 규정하며, 가이드라인이 실무 이행 방법을 제시하는 구조다. 주무부처는 과학기술정보통신부(과기정통부)다.
계도기간 정책은 이렇다. 과기정통부는 법 시행 초기 최소 1년 이상 계도기간을 운영하며, 사실조사와 과태료 부과는 인명사고나 인권 훼손 등 중대한 사회적 문제가 발생한 극히 예외적인 경우에만 실시한다고 공식 발표했다. 단, 이 ‘예외적 경우’의 기준이 모호하다는 점이 기업 입장에서 리스크다.
고영향 AI 판단 — 우리 서비스가 해당하는가
법 체계에서 가장 먼저 확인해야 할 것이 고영향 AI 해당 여부다. 고영향 AI로 분류되면 의무 수위가 확연히 높아지기 때문이다.
시행령이 규정하는 주요 적용 영역으로는 보건·의료, 범죄수사·체포 관련 분야가 포함된다. NIA(한국지능정보사회진흥원)가 공개한 고영향 AI 판단 가이드라인(2026년 2월 13일 수정본)은 해당 여부를 확인하는 절차도를 제공한다. 이 확인 절차도는 서비스 성격, 의사결정 자동화 수준, 대상 이용자의 취약성 등을 기준으로 단계별로 판단 경로를 안내한다.
고영향 AI 사업자와 일반 AI 사업자의 의무는 구체적으로 다르다.
| 구분 | 핵심 추가 의무 |
|---|---|
| 고영향 AI 사업자 | 안전성 관리 계획 수립·이행, 결과 기록 보존, 위험성 평가 |
| 일반 AI 사업자 | 생성형 AI 투명성 표시, 기본 이용자 고지 |
회색지대 서비스 — 예컨대 HR 지원 추천이나 금융 신용 보조 판단 도구 — 는 독자적으로 결론 내리기보다 인공지능기본법 지원데스크에 사전 상담을 요청하는 편이 낫다. 법 위반 판단이 사후에 내려지는 것보다 선제적 유권 해석을 받아두는 것이 훨씬 안전하다.
핵심 의무사항 — 법이 사업자에게 요구하는 것
고영향 AI 사업자 책무는 세 축으로 나뉜다. 투명성 확보(시스템 작동 원리 및 주요 결정 과정 공개), 안전성 관리(위험성 평가·모니터링·조치 이행), 결과 기록 보존(일정 기간 운영 이력 보관)이다. 보존 기간 등 세부 기준은 하위 규정에서 구체화될 예정이므로 가이드라인 업데이트를 추적해야 한다.
생성형 AI를 운영한다면 투명성 표시 의무가 적용된다. 이용자에게 AI가 생성한 결과물임을 명시해야 하며, 이 의무는 고영향 AI 여부와 관계없이 생성형 AI를 서비스에 포함한 사업자 전체에 적용된다. 텍스트·이미지·음성·영상 등 형식을 불문한다.
이용자 설명 제공 의무도 눈여겨봐야 한다. AI가 채용·대출·보험·교육 등 주요 결정이나 추천에 관여한 경우, 이용자가 그 과정의 설명을 요청할 수 있는 통로를 제공해야 한다. 단순히 “AI가 분석했습니다”라는 문구만으로는 부족하다.
위반 시 제재는 과태료 체계로 운영된다. 계도기간 중에는 인명사고나 인권 침해 등 극히 예외적인 상황이 아니면 실제 부과되지 않는다. 그러나 계도기간 이후를 감안하면, 지금부터 내부 체계를 갖춰두는 것이 합리적이다.
컴플라이언스 체크리스트 — 단계별 준비 로드맵
아래 단계는 계도기간인 2026년 내에 마무리해야 할 최소 준비 범위다.
1단계: 서비스 분류
자사 AI 서비스가 고영향 AI에 해당하는지 자가진단부터 시작한다. NIA의 고영향 AI 판단 가이드라인 내 확인 절차도를 다운로드해 각 분기점에 답하면서 분류 결과를 기록해두어야 한다. 이 기록 자체가 향후 소명 자료가 된다.
2단계: 문서화
고영향 AI로 분류됐다면 내부 AI 운영 정책 문서를 수립한다. 포함 항목: 시스템 목적·기능 정의, 학습 데이터 출처 및 품질 관리 방식, 위험성 평가 결과, 이상 발생 시 대응 절차. 일반 사업자도 생성형 AI 사용 내역과 외부 API 의존 구조를 문서로 정리해두는 것이 좋다.
3단계: 이용자 고지 구현
생성형 AI를 서비스에 포함한 기업은 UI에 AI 생성물 표시를 추가해야 한다. 구체 구현 예시:
- 챗봇 응답 하단에 “이 답변은 AI가 생성했습니다” 문구 삽입
- 이미지·콘텐츠 생성 기능에 워터마크 또는 메타데이터 표기
- 채용·추천 결과 화면에 “AI 보조 판단 포함” 및 설명 요청 경로 안내
인터페이스 변경 없이 약관에만 명시하는 방식은 불충분하다.
4단계: 거버넌스
AI 운영에 대한 내부 책임자(AI 책임자 또는 담당 부서)를 지정하고, 이상 사례 탐지·내부 보고·외부 기관 보고 절차를 문서화한다. 외부 AI API를 사용한다면 해당 벤더의 서비스 약관이 국내 규제와 충돌하는 부분이 없는지도 점검 대상이다.
5단계: 모니터링
지원데스크(sw.or.kr)와 NIA 공개 페이지를 정기적으로 확인해 가이드라인 업데이트를 추적한다. 계도기간 중 하위 고시·고영향 AI 전체 분류 목록 확정본 등 추가 규정 발표가 예정되어 있다. 이를 놓치면 요건이 소급 적용되는 상황이 될 수 있다. 개인정보보호법 관련 의무와 함께 동시 점검하면 중복 문서화 작업을 줄일 수 있다.
계도기간 오해와 함정 — 지금 당장 준비해야 하는 이유
가장 흔한 오해는 ‘계도기간 = 전면 면책’으로 받아들이는 것이다. 과기정통부 발표를 보면 인명사고나 인권 훼손 등 중대 사건 발생 시 즉시 사실조사와 제재가 가능하도록 열어뒀다. 고영향 AI 서비스라면 계도기간 중에도 중대 사고 하나로 과태료와 시정명령을 동시에 받을 수 있다.
실제로 가장 빠르게 문제가 터질 수 있는 지점은 생성형 AI 투명성 표시 누락이다. 이미 공론화된 이슈인 데다 이용자가 직접 경험하는 영역이라 언론 노출과 민원으로 이어지기 쉽다.
계도기간 중에도 하위 규정 추가 발표가 예정되어 있다는 점도 간과하면 안 된다. 지금은 고영향 AI 전체 분류 목록의 확정본조차 아직 PDF 첨부 형태로만 접근 가능하며, 고시 번호 기반의 공식 리스트가 추가로 발표될 가능성이 있다. 준비 기간에 시간이 더 있다고 느슨하게 있다가 요건이 확대되면 그때부터 대응하기가 훨씬 어려워진다.
선제 대응의 실익도 있다. 공공기관 입찰, 대기업 파트너십, 글로벌 진출 심사에서 AI 컴플라이언스 문서화 이력은 차별화 요소로 작용하기 시작했다. 규제 대응을 마지못해 하는 기업과 선제적으로 체계를 갖춘 기업 사이의 신뢰도 격차는 계도기간이 끝날수록 커진다.
공식 지원 자원 — 가이드라인 5종과 지원데스크 활용법
인공지능기본법 지원데스크(sw.or.kr)는 과기정통부와 KOSA(한국소프트웨어산업협회)가 공동 운영하는 무료 상담 채널이다. 자사 서비스의 고영향 AI 해당 여부처럼 판단이 어려운 회색지대 케이스를 직접 문의할 수 있는 공식 창구다.
지원데스크를 통해 제공되는 가이드라인은 현재 5종이다.
- 고영향 인공지능 판단 가이드라인: 서비스 분류를 위한 확인 절차도 포함. 2026년 2월 13일 수정본이 NIA에 게시됨
- 고영향 인공지능 사업자 책무 가이드라인: 안전성 관리·투명성 확보·기록 보존 실무 기준
- 생성형 인공지능 투명성 확보 가이드라인: 이용자 고지 구현 방법과 표시 기준
- 나머지 2종은 지원데스크 페이지에서 목록 확인 가능
협력 기관도 활용할 수 있다. NIA는 가이드라인 원문 공개와 업데이트를 담당하며, TTA(한국정보통신기술협회)는 기술 표준 관련 문의에, KISDI(정보통신정책연구원)는 정책 연구 자료에, AISI(AI안전연구소)는 AI 안전성 평가 방법론에 각각 강점이 있다.
실무적으로는 지원데스크에 문의하기 전에 NIA가 공개한 가이드라인 최신본을 먼저 읽는 것이 효율적이다. 많은 질문이 가이드라인에서 이미 답변되어 있고, 사전 검토 없이 상담하면 일반적인 설명 반복에 그칠 수 있다.
AI 기본법 대응은 법무·기술·제품 팀이 함께 움직여야 하는 과제다. 계도기간을 준비 시간으로 적극 활용해 서비스 분류부터 이용자 고지 UI 구현까지 체계를 갖춰두면, 계도기간이 끝났을 때 추가 비용 없이 안정적으로 운영할 수 있다.
자주 묻는 질문
Q. 생성형 AI API를 단순히 내부 도구에만 사용해도 투명성 표시 의무가 있나요?
이용자(외부 사용자)에게 직접 노출되지 않는 순수 내부 업무 도구라면 이용자 고지 의무의 직접 적용 대상이 되지 않는다. 다만, 내부 도구가 생성한 결과물이 이용자 응대에 활용된다면 해당 접점에서는 고지 의무가 발생할 수 있다. 경계가 애매한 경우 지원데스크 사전 상담을 권장한다.
Q. 계도기간이 끝나면 과태료가 즉시 부과되나요?
계도기간 종료 후에는 위반 사항에 대해 과태료 부과 절차가 일반화될 수 있다. 다만 법 집행 방식은 추가 하위 규정과 과기정통부 운용 방침에 따라 구체화될 가능성이 있다. 지금 시점에서는 계도기간 종료 시점인 2027년 1월 이전에 핵심 의무 체계를 완성해두는 것이 현실적인 목표다.
Q. 오픈소스 AI 모델을 자체 서버에서 운영하는 경우에도 법이 적용되나요?
모델 출처(오픈소스·상용 API)와 관계없이 AI 기능을 서비스에 포함해 이용자에게 제공한다면 의무 적용 대상이 된다. 오픈소스 모델을 자체 인프라에서 구동하더라도 사업자로서의 책무는 동일하게 발생한다. 참고로, 오픈소스 라이선스 선택도 AI 서비스 구성 시 함께 검토해야 할 사안이다.
Q. 고영향 AI 판단 절차도를 거쳤는데 결과가 불명확합니다. 어떻게 해야 하나요?
판단 절차도 적용 후에도 결론이 모호하다면, 해당 적용 과정을 문서로 남겨두고 인공지능기본법 지원데스크에 서면 또는 온라인 상담을 신청하는 것이 최선이다. 이 상담 이력 자체가 사업자가 성실하게 법령을 검토했다는 소명 자료로 활용될 수 있다.