EU AI Act, 8월 2일: 당신의 AI 에이전트 메모리는 실제로 어디로 가는가?

2026년 8월 2일, EU AI Act의 다음 단계가 적용됩니다. 저는 이것이 당신의 AI 에이전트 하단에 있는 메모리 계층(memory layer)에 무엇을 의미하는지에 대해, 공포를 조장하기보다는 정확하게 말씀드리고자 합니다. 왜냐하면 이 문제를 제대로 파악하는 데 있어 핵심은 바로 정확성이기 때문입니다.

실제로 무엇이 변하는가

이 법안은 클라우드 기반의 AI 메모리를 금지하지 않습니다. 대신, 에이전트 하단의 시스템에 대해 세 가지 측면의 기준을 높입니다: 개인 데이터(personal data)가 어떻게 처리되는지, 그 처리가 얼마나 추적 가능한지, 그리고 삭제 권리(right to erasure)를 얼마나 신뢰성 있게 준수할 수 있는지에 대한 것입니다. 이를 GDPR의 기존 제17조와 결합하면, EU 고객을 보유한 모든 이들에게 다음과 같은 구체적인 질문이 더욱 날카롭게 다가옵니다:

일반적인 회수(recall) 과정 중에, 에이전트 메모리에 있는 개인 데이터는 물리적으로 어디로 가는가?

만약 당신의 메모리 계층 — Mem0, Zep, Letta, 또는 호스팅된 API 뒤에 있는 자체 구축 벡터 DB(vector DB) — 가 데이터를 임베딩(embed), 저장 또는 검색하기 위해 클라우드 서비스로 해당 데이터를 전송한다면, 이제 그것은 당신이 설명하고, 감사(audit)하고, 요청 시 되돌릴(unwind) 수 있어야 하는 데이터 경로(data path)가 됩니다. 이것은 해당 도구들에 대한 마케팅적 주장이 아니라, 아키텍처(architecture)의 속성입니다. 데이터 경로 내의 클라우드(Cloud-in-the-data-path)는 이제 당신이 책임져야 할 영역입니다.

아키텍처 측면의 해답 (법률적 해답이 아님)

저는 변호사가 아니며 이것은 법률적 조언이 아닙니다. 하지만 질문에 답하는 대신 질문 자체를 없애버리는 엔지니어링적 방법이 있습니다: 데이터를 장치(device)에 보관하는 것입니다.

프롬프트 (prompts), 임베딩 (embeddings), 그리고 저장된 메모리가 기기를 절대 벗어나지 않는다면, 추적해야 할 국경 간 전송 (cross-border transfer)도 없고, 계약해야 할 제3자 처리자 (third-party processor)도 없으며, 삭제는 당신이 완전히 제어할 수 있는 로컬 삭제가 됩니다. 이는 단순히 규정 준수 (compliance) 체크를 통과한 것이 아니라, 설계도에서 노출(exposure)이라는 카테고리 자체를 통째로 제거한 것에 가깝습니다.

이것이 바로 로컬 우선 (local-first) 에이전트 메모리 엔진인 SuperLocalMemory의 원리입니다. 클라우드 LLM 호출 없이 핵심 작업을 수행하는 모드들은 민감한 경로가 설계 단계부터 당신의 하드웨어, 즉 당신의 키와 디스크에 머물도록 보장합니다.

"로컬"은 보통 "더 나쁘다"를 의미합니다. 하지만 여기서는 그렇지 않습니다.

팀들이 클라우드 메모리를 찾는 이유는 로컬이 더 약하거나 실행하기 어렵다는 가정 때문입니다. 알아둘 만한 두 가지 사실이 있습니다:

• 이 엔진은 세 편의 arXiv 논문(2603.02240, 2603.14588, 2604.04514)을 기반으로 합니다. 즉, Fisher-Rao 검색 지표 (retrieval metric), 리만 역학 (Riemannian-dynamics) 메모리 생명 주기, 그리고 생물학적 영감을 받은 망각 (forgetting) 메커니즘을 갖추고 있습니다. 발표된 벤치마크에서 업계 최고 수준의 zero-LLM 검색 결과를 보고했습니다. 이것은 단순한 래퍼 (wrapper)가 아닙니다.
• 도입 방법은 명령어 하나면 충분합니다: pip install superlocalmemory. Docker도, 외부 데이터베이스도, 관리해야 할 Neo4j도 필요 없습니다.

또한 v3.6부터는 LLM 호출을 로컬에서 캐싱(caching)하고 압축(compressing)합니다. 따라서 데이터를 장치에 유지하는 동일한 설치만으로도 비용을 절감할 수 있습니다. 하나의 결정으로 규정 준수 태세 (compliance posture)와 비용 최적화를 동시에 달성하는 것입니다.

8월 2일 전까지 실제로 해야 할 일

1. 데이터 경로를 그리세요. 에이전트의 메모리에 대하여: 오늘날 회상 (recall) 기능은 개인 데이터를 어디로 전송합니까? 만약 정직한 답변이 "클라우드 서비스"라면, 그것을 기록하십시오.
2. 그곳에 데이터가 있어야 하는지 결정하세요. 에이전트 메모리의 상당 부분은 기기를 벗어날 필요가 없는 운영 컨텍스트 (operational context)입니다.
3. 민감한 경로는 가능한 한 로컬 (local)로 이동시키세요. 다이어그램 내의 외부 프로세서 (external processors)가 적을수록, 방어해야 할 공격 표면 (surface)이 줄어듭니다.

이것이 **AI 신뢰성 공학 (AI Reliability Engineering)**의 화려하지 않은 핵심입니다. 에이전트가 신뢰할 수 있게 되는 이유는 벤더 (vendor)가 약속하기 때문이 아니라, 데이터가 어디에 머무는지, 그리고 데이터에 대해 무엇을 증명할 수 있는지에 달려 있습니다.

EU 고객을 보유하고 있다면, 이번 달 오후 시간을 할애하여 데이터 경로를 매핑하는 연습을 해볼 가치가 있습니다.

→ github.com/qualixar/superlocalmemory