Molayo

© 2026 Molayo

Dev.to헤드라인2026. 05. 26. 00:52

KI-Omnibus 설명: Lutz Keppeler가 말하는 새로운 AI Act

요약

EU의 새로운 AI 법률 패키지인 KI-Omnibus가 가져올 규제 완화와 기업의 대응 전략을 분석합니다. 고위험 AI 시스템의 의무 적용 기한 유예, AI 교육 의무의 완화, 그리고 AI 학습을 위한 정당한 이익 인정 가능성 등 주요 변화를 다룹니다.

핵심 포인트

  • 고위험 AI 시스템 의무 적용 기한이 2027~2028년으로 유예됨
  • AI 역량 교육 의무가 강제 사항에서 노력 의무로 완화됨
  • AI 학습을 위한 '정당한 이익' 인정 여부가 기업의 핵심 레버리지가 될 전망
  • EU 내 호스팅만으로 GDPR 준수가 보장되지 않으므로 철저한 컴플라이언스 필요

KI-Omnibus는 AI Act의 일부를 유예하고 완화하는 EU 법률 패키지입니다. 5월 초, 이사회와 의회는 3자 협의(Trilog)를 통해 정치적 합의에 도달했습니다. HEUKING의 IT 전문 변호사인 Dr. Lutz Keppeler는 Leonard Schmedding과의 인터뷰를 통해 기업들을 위한 가장 중요한 변화들을 분류하고 분석합니다.

KI-Omnibus와 AI Act: 5월 초에 변경된 사항

상위 개념은 디지털 옴니버스(digitaler Omnibus)입니다. 브뤼셀이 이 부분에서 더 빠르게 합의할 수 있었기 때문에, KI-Omnibus가 정치적으로 분리되었습니다. GDPR(DSGVO) 관련 주제들은 당분간 미결 상태로 남아 있습니다.

고위험 AI 시스템(Hochrisiko-KI-Systeme)의 경우 기한이 크게 유예됩니다. AI 유형에 따라 의무 사항은 2027년 말 또는 2028년 중반에 적용됩니다. 몇 가지 새로운 의무가 추가되는 한편, 중소기업(KMU)을 위한 몇 가지 완화 조치도 도입됩니다.

우리의 결론: 규제 때문에 AI 프로젝트를 중단했던 이들이 가장 좋지 않은 결과를 얻었습니다. 신중한 이들이 계속 기다리는 동안, 경쟁자들은 유스케이스(Use Cases)를 구축하고 있습니다.

제4조 완화: 더 이상 비용이 많이 드는 AI 교육 의무가 없음

컨설턴트들은 수개월 동안 광범위한 AI 역량 교육을 판매해 왔습니다. 우리는 지난 2년 동안 실용주의를 권고해 왔으며, 이제 입법자가 그 뒤를 따랐습니다.

제4조(Artikel 4)가 명확하게 재작성되었습니다. 의무 사항이 노력 의무(Bemühenspflicht)로 바뀌었습니다. 첫 번째 항의 끝에는 개인에 대한 교육 의무를 의미하는 것이 아님을 명시적으로 밝히고 있습니다.

실질적으로 이는 다음과 같습니다: 모든 경영진은 자신의 팀이 어디에 더 많은 **AI 역량 (KI-Kompetenz)**이 필요한지를 스스로 결정합니다. 교육은 여전히 유용하지만, 강제 사항은 아닙니다. 어차피 제4조에는 과태료가 부과되지 않았습니다.

AI 학습을 위한 정당한 이익: 디지털 옴니버스가 가져올 변화

더 큰 규모의 디지털 옴니버스에는 아직 핵심적인 지렛대가 포함되어 있으며, 이는 정치적으로 최종 결정되지 않았습니다. GDPR(DSGVO)의 전문(Erwägungsgrund)에서 AI 학습이 명시적인 정당한 이익(berechtigtes Interesse)으로 간주될 예정입니다.

이는 기업들이 명확한 동의(Einwilligung)를 얻는 경우가 드물기 때문에 매우 중요합니다. 그럼에도 불구하고 GDPR (DSGVO)의 과제는 여전히 남아 있습니다: 투명한 정보 제공, 삭제 의무(Löschpflichten) 규정, 그리고 문서화(Dokumentation) 유지입니다.

벡터 데이터베이스(Vektordatenbanken)와 임베딩(Embeddings)을 사용하는 RAG 시스템의 경우, 두 번째 포인트가 핵심이 될 수 있습니다. 가명 데이터(Pseudonyme Daten)는 재식별(reidentifizieren)이 가능한 컨트롤러(Verantwortlicher)에게만 개인정보로 간주되어야 합니다. 이는 많은 AI 아키텍처(KI-Architekturen)에 있어 거대한 레버리지가 될 것입니다.

Cloud Act와 GDPR 신화: 미국 모델은 자동으로 금지되지 않는다

가장 흔한 신화는 다음과 같습니다: Claude, ChatGPT 또는 Codex를 사용하는 것은 GDPR을 준수하지 않는 것이며, EU 내에 호스팅하면 자동으로 안전하다는 것입니다. 둘 다 틀렸습니다.

컴플라이언스(Compliance)는 체크리스트입니다. 국제 데이터 전송은 계약 조항(Vertragsklauseln)과 안전한 제3국을 통해 해결할 수 있습니다. EU 호스팅만으로는 삭제 의무, 정보 제공, 처리 활동 기록(Verarbeitungsverzeichnis) 문제를 해결할 수 없습니다.

Cloud Act의 경우, 미국 당국은 미국 기업의 데이터에 대해 전 세계적으로 접근할 수 있습니다. 알루미늄 주문에 관한 내부 지식 데이터베이스의 경우 이는 관련성이 낮은 경우가 많습니다. 모든 유스케이스(Use Case)에서는 철저한 리스크 평가(Risikoabwägung)가 중요합니다.

우리는 컨설팅 고객들에게 솔직한 평가를 권장합니다: 이미 Microsoft 365를 사용하고 있다면, Cloud Act에 따른 잔여 리스크를 이미 수용한 것입니다. 여기에 추가로 AI 프로젝트를 차단하는 것은 **눈속임(Augenwischerei)**에 불과합니다.

영업 비밀 보호: 자주 간과되는 측면

GDPR은 기술 도면, 특허, 고객 명단을 보호하지 않습니다. 영업 비밀 보호법(Geschäftsgeheimnisgesetz)은 기업이 해당 정보를 입증 가능하게 보호했을 때만 적용됩니다.

특허 가능한 개념을 공개된 ChatGPT 채팅에서 브레인스토밍하는 사람은 신규성 상실(Neuheitsverlust)의 위험을 감수하는 것입니다. 모델은 이를 학습하며, 나중에 다른 곳에서 해당 아이디어를 출력할 수 있습니다.

해결책은 명확합니다: 자체 데이터에 대한 학습을 제외하는 계약 조항과 하이브리드 접근 방식(Hybridansatz)을 결합하는 것입니다. 표준 작업에는 클라우드 LLM(Cloud-LLMs)을 사용하고, 실제 영업 비밀에는 로컬 모델(lokale Modelle)을 사용하십시오.

AI 에이전시와의 AVV 계약: 실제로 필요한 시점

많은 기업이 첫 번째 AI 프로젝트를 시작하기도 전에 표준 AVV(데이터 처리 계약, Auftragsverarbeitungsvertrag)를 제시합니다. 하지만 이는 종종 잘못된 접근 방식입니다. 고객의 시스템 내에서 작업하는 AI 에이전시가 수탁자로서 개인정보(personenbezogene Daten)를 처리하는 경우는 드뭅니다.

Mock 데이터(가상 데이터)로 충분한 경우, 단순히 설정(Konfiguration)만 수행하는 경우, 또는 AI 솔루션이 고객 측에서 실행되는 경우에는 AVV가 불필요한 경우가 많습니다. 반면, HR 지원자 도구(HR-Bewerber-Tool)를 사용하거나 에이전시가 직접 호스팅을 수행하는 경우에는 상황이 다릅니다.

우리는 모든 AI 유스케이스(Use-Case)를 개별적으로 검토합니다. 이를 통해 고객은 수개월의 계약 협상 시간을 절약할 수 있으며, 구체적인 업무로 인해 발생하지도 않는 의무를 피할 수 있습니다.

결론: KI-Omnibus를 기다리는 자는 패배한다

KI-Omnibus는 가장 큰 컴플라이언스(Compliance) 우려 사항을 완화하고 고위험 시스템(Hochrisiko-Systeme)에 대한 기한을 연장합니다. 지금 계속 기다리는 사람이 가장 큰 손해를 입게 됩니다. 신중한 이들이 우려를 쌓아가는 동안, 경쟁사들은 유스케이스(Use Cases)를 구축하고 있습니다.

실무에서는 다음 세 단계가 효과적입니다: 시스템별 AI Act 분류, DSGVO(GDPR, 유럽 일반 데이터 보호 규칙) 관련 과업의 철저한 문서화, 그리고 AI 관련 계약 조항의 의미 있는 보완입니다. 이는 기업과 AI 에이전시 모두에게 동일하게 적용됩니다.

자주 묻는 질문 (FAQ)

KI-Omnibus란 무엇인가요?

KI-Omnibus는 AI Act의 일부 내용을 연기하고 완화하는 EU 법률 패키지입니다. 5월 초, 이사회(Rat)와 의회(Parlament)는 삼자 협의(Trilog)를 통해 정치적 합의에 도달했습니다. 고위험 AI 시스템에 대한 의무 사항은 유형에 따라 2027년 말 또는 2028년 중반에 적용됩니다. AI 역량에 관한 제4조(Artikel 4)는 노력 의무(Bemühenspflicht) 수준으로 축소되었습니다. 중소기업(KMU)을 위한 완화 조치도 포함되어 있습니다. 더 큰 규모의 DSGVO 완화 조치는 디지털 옴니버스(digitaler Omnibus)에 별도로 포함되어 있으며, 이는 정치적으로 아직 미결 상태입니다.

제4조(Artikel 4) 때문에 기업이 여전히 AI 교육을 제공해야 하나요?

경직된 교육 의무는 더 이상 존재하지 않습니다. 제4조(Artikel 4)는 노력 의무(Bemühenspflicht)로 규정되어 있습니다. 당국은 FAQ와 교육 프로그램을 통해 인식(Awareness)을 높여야 합니다. 첫 번째 항의 끝에는 개별적인 교육 의무가 발생하지 않는다는 점이 명시적으로 기재되어 있습니다. 그럼에도 불구하고 직원들이 AI를 다루는 데 능숙해지도록 만드는 것은 여전히 유익합니다. 결정은 경영진(Geschäftsführer)에게 달려 있으며, 이는 다른 모든 경영 판단(Business-Judgement) 문제와 동일한 논리를 따릅니다.

ChatGPT, Claude 또는 Codex와 같은 미국 모델을 GDPR(DSGVO) 규정에 맞게 사용할 수 있나요?

무조건 안 된다거나 무조건 된다는 답변은 둘 다 틀렸습니다. 국제 데이터 전송은 표준 계약 조항(Standardvertragsklauseln)과 계약적 메커니즘을 통해 구현할 수 있습니다. 투명한 정보 제공, 삭제 개념(Löschkonzept) 및 문서화와 같은 나머지 GDPR(DSGVO) 의무는 계속 적용됩니다. EU 호스팅만으로는 이러한 의무를 충족할 수 없습니다. Microsoft 365를 사용하는 경우 이미 클라우드법(Cloud-Act)에 따른 잔여 리스크를 수용한 것입니다. 각 유스케이스(Use Case)별로 깔끔한 리스크 평가를 수행한다면 대부분의 경우 명확한 '예'라는 답변을 얻을 수 있습니다.

기업은 AI 도입 시 영업 비밀을 어떻게 보호해야 하나요?

영업 비밀 보호법(Geschäftsgeheimnisgesetz)은 소유자가 정보를 입증 가능하게 보호했을 때만 적용됩니다. 특허를 받을 수 있는 아이디어를 개방형 ChatGPT 채팅창에 입력하는 사람은 신규성 상실(Neuheitsverlust)의 위험을 감수하게 됩니다. 입력된 데이터를 학습에 사용하는 것을 제외하는 계약을 체결하는 것이 의무 사항입니다. 민감한 콘텐츠의 경우, 일반적인 업무를 위한 클라우드 LLM(Cloud-LLM)과 실제 비밀을 위한 로컬 모델(lokalem Modell)을 결합한 하이브리드 접근 방식이 권장됩니다. 기술적 및 조직적 보호 조치(Technische und organisatorische Schutzmaßnahmen)는 반드시 문서화되어 있어야 합니다.

기업은 언제 AI 에이전시와 데이터 처리 계약(AVV)을 체결해야 하나요?

AVV (데이터 처리 계약)는 에이전시가 고객의 위임과 지시에 따라 핵심적으로 개인정보 (Personal Data)를 처리하는 경우에만 필요합니다. 단순 컨설팅, 모의 데이터 (Mock-data) 워크플로 및 고객 시스템 내 설정 작업은 대부분 이러한 의무를 발생시키지 않습니다. HR 지원자 도구(HR-Bewerber-Tool)나 에이전시가 직접 호스팅을 수행하는 경우는 상황이 다릅니다. 대기업 템플릿에서 가져온 표준 AVV는 적합하지 않은 경우가 많습니다. 몇 달 동안 계약 협상에 시간을 허비하는 대신, 각 유스 케이스 (Use Case)를 개별적으로 검토해야 합니다.

AI 자동 생성 콘텐츠

본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.

원문 바로가기
0

댓글

0