EU AI Act 2026년 8월 2일 전면 시행: AI를 사용하는 엔지니어가 지금 바로 확인해야 할 구현 체크리스트

2026년 6월 18일 시점에서, EU AI 법(EU AI Act)의 주요 의무가 적용되기까지 남은 기간은 6주 미만이다. 2026년 8월 2일, Article 50의 챗봇(Chatbot) 공개 의무·고위험(High-risk) AI 시스템에 대한 적합성 평가·AI Office에 의한 집행 권한이 일제히 발동된다.

"EU 규제니까 일본 기업은 관계없다"라고 생각하고 있다면 위험하다. EU 사용자에게 서비스를 제공하는 프로덕트는 모두 역외 적용의 대상이 될 수 있다. 본 기사에서는 무엇이 변하며, 무엇을 지금 바로 구현·확인해야 하는지를 정리한다.

대상	8월 2일부터 적용되는 의무	지금 바로 할 일
챗봇·AI 어시스턴트	Article 50: 사용자에게 AI 이용 공개 의무	대화 시작 전후의 공개 UI 추가
...

페널티 상한은 금지 행위 위반 시 3,500만 유로 또는 전 세계 연간 매출액의 7%, 고위험 시스템 미준수 시 1,500만 유로 또는 3% 중 더 높은 쪽이다.

Article 50(1): AI가 대화를 수행하고 있다는 것을, 대화 시작 전 또는 시작 시에 사용자에게 통지해야 한다.

예외가 있다. "문맥이나 상황으로부터 이미 명확한 경우" (예: 명시적으로 AI 캐릭터의 롤플레잉 용도로 구성되어 있는 경우)는 적용 대상에서 제외된다.

Article 50(2): 텍스트·이미지·음성·영상 등의 생성 AI 콘텐츠는, 기계 판독 가능한 형식으로 인공적으로 생성·조작되었음을 나타내는 표식을 부여해야 한다.

EU 위원회 가이드라인에 따르면 "현시점에서 유효성·상호 운용성·견고성·신뢰성의 모든 것을 충족하는 단일 기술은 존재하지 않는다"라고 되어 있으며, 워터마크(Watermark)·메타데이터(Metadata)·전자 지문(Electronic fingerprint) 등의 조합이 요구된다.

최소 구현은 "이 서비스는 AI가 응답합니다"라는 공개를 첫 사용자 메시지보다 전에 표시하는 것이다. 그와 더불어 다음 3가지 점이 설계상의 함정이 될 수 있다.

로그 기록을 구현할 것: 공개를 사용자에게 보여주었다는 사실은 서버 사이드(Server-side)에서 기록해 두어야 한다. 감사·조사 시의 증거가 된다.

다국어 대응: EU 각국 언어로의 공개가 요구된다. 영어로만 대응하는 것은 불충분한 경우가 있다.

콘텐츠 마킹은 기술 선정이 필요함: C2PA에 의한 콘텐츠 이력 정보 부여가 유력한 후보이지만, 아직 표준 책정이 진행 중이므로 EU AI Office의 가이드라인 최종판(2026년 6월경 공개 예정)을 확인한 후 구현 방침을 굳히는 것이 현실적이다.

Annex III에 열거된 8가지 카테고리에 해당하는 AI 시스템은 "고위험 AI 시스템"으로서 한 단계 더 엄격한 의무가 부과된다.

카테고리	대표 사례
바이오메트릭스 (Biometrics)	얼굴 인식·감정 인식·생체 ID
...

고위험 AI로서 부과되는 의무:

리스크 관리 시스템 구축 (Article 9) -
데이터 거버넌스 정비 (Article 10) -
기술 문서 작성·유지 (Article 11) -
로그 자동 기록 기능 (Article 12) -
투명성·이용자 대상 정보 제공 (Article 13) -
인간에 의한 감시 메커니즘 (Article 14) -
적합성 평가 실시·CE 마킹 (Article 43) -
EU AI 데이터베이스 등록 (Article 49)

많은 BtoB SaaS는 "우리는 고위험이 아니다"라고 판단하기 쉽지만, 고용·채용·융자·신용 점수와 관련된 AI 기능은 Annex III에 포함될 가능성이 있다. 채용 후보자의 스크리닝 기능을 추가하는 순간 Annex III 대상이 되는 경우가 있다는 점에 주의가 필요하다.

EU 역내에 사업소가 없는 경우에는 EU 대리인 (Authorized Representative) 지정이 필요하다. 이는 몇 주 만에 준비할 수 있는 성질의 것이 아니므로, 지금 바로 확인을 시작해야 한다.

분류 단계

• 자사 제품의 AI 기능을 목록화하여 "챗봇" "생성 AI 콘텐츠" "Annex III 고위험"의 3가지 종류로 분류했다.
• EU 역내 사용자에게 서비스를 제공하고 있는지 확인했다 (일본 거점이라도 역외 적용의 대상이 된다).

Article 50 대응

• 챗봇·AI 어시스턴트(AI Assistant)에 "AI가 응답합니다"라는 취지의 고지를 대화 시작 전 또는 시작 시점에 추가했다
• 고지 내용을 사용자에게 보여주었다는 사실을 서버 사이드(Server-side) 로그에 기록하는 메커니즘을 구현했다
• EU 권역의 사용자를 위해 고지문을 해당 언어로 표시할 수 있는지 확인했다
• 생성형 AI 콘텐츠(텍스트·이미지·음성·영상)에 기계 판독 가능한 식별 정보를 부여하는 계획을 세웠다
• EU AI Office의 Article 50 최종 가이드라인(2026년 6월 발행 예정)을 확인하는 일정을 잡았다

Annex III 고위험(High-Risk) AI 대응

• 법무·프로덕트 담당자와 협력하여 Annex III 해당 여부 판정을 실시했다
• 고위험 해당 시, 기술 문서(Technical Documentation) 작성 담당자와 일정을 결정했다
• EU 역내에 거점이 없는 경우, EU 대리인(EU Representative) 확보를 검토했다
• EU AI 데이터베이스 등록 절차를 확인했다

사내 AI 도구도 잊지 말 것

• 채용 AI·코드 리뷰 AI·성과 평가 AI 등 자체 개발 도구에 대해서도 동일하게 분류 및 확인을 수행했다
• 벌금 상한선(최대 3,500만 유로 또는 전 세계 매출액의 7%)을 경영진에게 공유했다

"일본 거점이라 역외 적용은 관계없다"라고 판단하는 경우

EU AI Act는 EU 역내 이용자에게 영향을 미치는 AI 시스템에 적용된다 (Regulation (EU) 2024/1689 Article 2(1)(c)). 거점이 일본이라도 EU 사용자에게 SaaS를 제공하고 있다면 대상이 될 가능성이 높다.

"OpenAI/Anthropic의 API를 호출할 뿐이므로, 컴플라이언스(Compliance)는 모델 제공자의 문제다"라고 판단하는 경우

모델 제공자(GPAI 제공자)와 배포자(Deployer, 앱 개발자)의 책임은 분담되어 있지만, 면제되는 것은 아니다. 챗봇 고지 의무(Article 50)는 배포자가 독자적으로 부담한다. 외부 모델을 사용하더라도 자사 서비스의 UI/UX 측면에서 고지를 구현할 필요가 있다.

"UI 구현 팀에 맡기면 완료된다"라고 생각하는 경우

로그 기록·다국어 대응·콘텐츠 마킹·Annex III 판정은 법무·보안·프로덕트 부서가 횡단적으로 움직이지 않으면 누락이 발생한다. 8월 2일까지 6주밖에 남지 않았다. 기술 문서 정비에는 수 주가 소요되므로, 이번 주부터 우선순위 정리를 시작해야 한다.

"EU AI Office의 가이드라인이 아직 최종본이 아니니 기다린다"라는 경우

Article 50의 기본 의무(챗봇 고지)는 가이드라인 확정 전이라도 8월 2일부터 적용된다. 콘텐츠 마킹의 기술 사양은 잠정적으로 결정해야 하지만, 고지 UI와 로그 기록은 지금 바로 구현할 수 있다.

• EU AI Act Implementation Timeline — Future of Life Institute 운영 공식 요약
• Article 50: Transparency Obligations — EU AI Act Explorer
• Guide to Article 50 Transparency Rules — 실무용 가이드
• EU AI Act Compliance Checker — 자사 제품의 해당 여부 판정에 활용 가능
• AI Act Service Desk - European Commission — EC 공식 문의 창구
• EU AI Act 2026 Updates: Compliance Requirements - LegalNodes