Molayo

© 2026 Molayo

Dev.to헤드라인2026. 06. 07. 08:44

당신의 AI Wrapper는 합법인가요? SaaS 창업자를 위한 EU AI Act 체크리스트

요약

EU AI Act가 AI Wrapper SaaS 창업자에게 미치는 영향과 규제 준수 사항을 분석합니다. 대부분의 일반적인 AI 서비스는 고위험군에 해당하지 않으므로, 서비스의 용도와 배포 분야에 따른 위험 등급 분류를 이해하는 것이 중요합니다.

핵심 포인트

  • EU AI Act는 AI의 기능과 배포 분야에 따라 위험 등급을 분류함
  • 대부분의 일반적인 AI Wrapper는 고위험군에 해당하지 않음
  • 고위험 AI 시스템은 엄격한 로깅 및 준수 의무가 발생함
  • 사회적 점수 매기기나 잠재의식 조작 기법은 사용이 금지됨

당신은 ChatGPT wrapper를 구축했습니다. 현재 월 반복 매출(MRR) 5,000달러를 달성하고 있습니다. r/SaaS의 한 창업자가 다음과 같은 글을 게시했습니다: "Article 12는 모든 AI 시스템 결정에 대해 로깅(logging)을 요구합니다 — 제 ChatGPT wrapper에도 이것이 필요한가요? 저는 하루에 10,000건의 API 호출이 발생하는데, 모든 호출에 타임스탬프와 추론 과정을 기록할 수는 없습니다." 이 스레드는 100개 이상의 추천을 받았으며, 댓글창은 공포의 소용돌이에 빠져 있습니다.

숨을 고르세요. 실제 답은 Reddit 스레드에서 들리는 것보다 더 간단하며, 덜 무섭습니다.

이 기사는 EU AI Act가 AI wrapper 제품에 정확히 무엇을 요구하는지, 어떤 조항이 실제로 당신에게 적용되는지, 그리고 10분 이내에 준수 여부를 확인하는 방법을 설명합니다. 법학 학위는 필요 없습니다.

공포 vs. 현실

공포: 모든 ChatGPT API 호출이 "AI 시스템 결정(AI system decision)"으로 간주되므로, 하루에 10,000개의 타임스탬프가 찍힌 근거를 기록하지 않으면 벌금을 물게 된다.

현실: Article 12는 **고위험 AI 시스템 (high-risk AI systems)**을 대상으로 합니다 — 그리고 대부분의 AI wrapper는 고위험군이 아닙니다. 이 법안은 두 가지 관문을 통해 고위험을 정의합니다: Article 6(1) (규제 대상 제품의 안전 구성 요소) 및 Annex III (생체 인식, 핵심 인프라, 교육, 고용, 법 집행과 같은 특정 분야에서의 사용). 고객 지원 챗봇이나 블로그 포스트 생성기는 이 두 관문 중 어느 것도 통과하지 않습니다.

법이 실제로 요구하는 사항을 위험 등급별로 나누어 정리하면 다음과 같습니다.

EU AI Act가 당신의 AI Wrapper에 실제로 요구하는 것

이 법안은 네 가지 의무 등급을 생성합니다. 당신의 wrapper는 이 중 정확히 하나에 해당합니다. 모든 것은 당신의 AI가 무엇을 하는지어디에 배포되는지에 달려 있습니다.

Tier 1: 금지됨 (Article 5) — 당신의 제품은 불법입니다

당신의 시스템이 다음 중 하나라도 수행한다면 금지됩니다:

  • 행동을 조작하고 해를 끼치기 위해 잠재의식 기법 (subliminal techniques)을 사용함
  • 아동 또는 장애인의 취약성을 악용함
  • 공공 기관에 의한 사회적 점수 매기기 (social scoring)를 수행함
  • 공공장소에서 실시간 원격 생체 인식 (real-time remote biometric identification)을 사용함 (좁은 예외 사항 제외)

만약 당신의 래퍼(wrapper)가 이 중 어느 것에도 해당하지 않는다면 — 그리고 대부분은 그렇지 않습니다 — 다음 단계로 넘어가도 좋습니다. SaaS AI 제품 중 제5조(Article 5)를 촉발하는 경우는 1% 미만입니다.

Tier 2: 고위험 (High-Risk) (제6조(1)항 + 부속서 III) — 완전한 준수 필요

다음 두 가지 관문(gate) 중 어느 하나라도 충족한다면 당신의 시스템은 **고위험 (high-risk)**에 해당합니다.

관문 A — 안전 구성 요소 (Safety component). 당신의 AI가 EU 조화 입법(EU harmonization legislation, 기계, 의료 기기, 완구, 엘리베이터, 무선 장비 등)의 적용을 받는 제품의 안전 구성 요소이거나, 혹은 당신의 AI 자체가 규제 대상 제품인 경우입니다. 예: 의료 기기에 내장된 AI 진단 모듈.

관문 B — 부속서 III (Annex III) 사용 사례. 당신의 AI가 8가지 규제 분야 중 하나에서 작동하며 EU 내에 배포되는 경우입니다:

  1. 생체 인식 (Biometrics) (감정 인식, 분류)
  2. 핵심 인프라 관리 (Critical infrastructure management)
  3. 교육 및 직업 훈련 (Education and vocational training) (입학, 평가)
  4. 고용 및 근로자 관리 (Employment and worker management) (채용, 승진, 모니터링)
  5. 필수 서비스에 대한 접근 (Access to essential services) (신용 점수 산정, 보험 가격 책정)
  6. 법 집행 (Law enforcement)
  7. 이주 및 국경 통제 (Migration and border control)
  8. 사법 행정 및 민주적 절차 (Administration of justice and democratic processes)

두 관문 중 어느 것도 적용되지 않는다면, 당신의 시스템은 고위험이 아닙니다. 그것으로 끝입니다. 마케팅 문구를 생성하거나, 고객 FAQ에 답변하거나, 회의록을 요약하기 위한 ChatGPT 래퍼는 이 카테고리 중 어디에도 해당하지 않습니다.

만약 당신의 시스템이 고위험에 해당한다면, 제12조(Article 12)에 따라 AI 시스템 작동의 추적 가능성(traceability)을 보장할 수 있는 로그를 유지해야 합니다. 여기에는 각 사용의 날짜 및 시간, 사용된 참조 데이터베이스(있는 경우), 입력 데이터, 그리고 관련된 자연인의 식별 정보 기록이 포함됩니다. 이것이 바로 r/SaaS 창업자가 걱정했던 요구 사항입니다. 이는 오직 고위험 시스템에만 적용됩니다.

Tier 3: 제한적 위험 (Limited Risk) (제52조) — 투명성 의무

다음 조건에 해당하면 당신의 시스템은 이 단계에 속합니다:

  • 자연인과 직접 상호작용함 (예: 챗봇)
  • EU 내에 배포됨
  • 부속서 III(Annex III)에 따른 고위험이 아님

의무 사항은 미미합니다. 문맥상 명백하지 않은 한, 사용자가 AI 시스템과 상호작용하고 있다는 사실을 알려야 합니다. 개별 결정에 대한 로깅(Logging)은 필요 없습니다. 타임스탬프가 찍힌 근거(Rationale)도 필요 없습니다. 그저 공개(Disclosure)만 하면 됩니다.

대부분의 AI Wrapper 창업자들에게 이 단계가 바로 귀하의 계층입니다. 작은 공개 문구 한 줄만 추가하면 규정을 준수하게 됩니다.

Tier 4: 최소 위험 (Minimal Risk) — 의무 없음

귀하의 시스템이 직접적인 인간 상호작용을 포함하지 않고, 안전 구성 요소(Safety component)가 아니며, 부속서 III(Annex III)의 사용 사례에 해당하지 않고, EU 내에 배포되지 않는 경우입니다. 이 경우 법안에 따른 어떠한 의무도 없습니다. 대부분의 내부 도구(Internal tools)와 백엔드 자동화(Back-end automation)가 여기에 해당합니다.

"하지만 저는 하루에 API 호출이 10,000건이나 됩니다"

Reddit 창업자의 구체적인 우려 사항으로 다시 돌아가 보겠습니다. 그는 하루에 10,000건의 호출을 처리하는 ChatGPT Wrapper를 운영하고 있습니다. 그는 모든 호출을 로깅해야 할까 봐 걱정하고 있습니다.

그의 의무를 결정하는 질문 순서는 다음과 같습니다:

  1. 해당 Wrapper가 규제 대상 제품의 안전 구성 요소(Safety component)인가? 거의 확실히 아닙니다. 그것은 범용 텍스트 생성기(General-purpose text generator)입니다.
  2. 부속서 III(Annex III) 섹터에서 작동하는가? 마케팅 도구, 글쓰기 보조 도구, 또는 일반적인 챗봇이라면 아닙니다.
  3. 최종 사용자(End users)와 직접 상호작용하는가? 만약 그렇다면, 제52조(Article 52)가 적용됩니다. 공개 문구를 추가하십시오.
  4. EU에 배포되었는가? 아니라면, 이 법안은 전혀 적용되지 않습니다.

대다수의 AI Wrapper의 경우, 답변은 "제한적 위험(Limited risk) — 공개 문구를 추가하고 계속 진행하십시오"입니다. 10,000건의 API 호출을 로깅할 필요가 없습니다. 타임스탬프도 필요 없습니다. 결정당 근거(Rationale)도 필요 없습니다.

공포는 제12조(Article 12)가 귀하에게 적용되는지 여부를 결정하는 제6조 제1항(Article 6(1)) 및 부속서 III(Annex III)라는 관문을 이해하지 못한 채, 제12조만을 고립시켜 읽는 데서 발생합니다.

Wrapper의 공포는 실재하며, 이는 기회입니다

r/SaaS 스레드의 사용자들이 불안해하는 것은 틀린 것이 아닙니다. EU AI Act는 진정으로 복잡합니다. 중첩된 상호 참조(Cross-references)와 지연된 시행 날짜가 포함된 400페이지 분량의 조밀한 법안입니다. 법안 전문을 직접 읽는 창업자들은 제5조, 제6조, 제12조, 제13조, 제50조 및 부속서 I부터 IX 사이의 상호 참조 속에서 길을 잃게 됩니다.

하지만 이러한 불안감은 실제 법적 노출 정도에 비해 과도합니다. 대부분의 AI Wrapper (AI 래퍼)는 최소한의 의무만을 부담합니다. 가장 두려워하는 창업자들은 체계적인 분류 과정을 거치지 않은 사람들입니다.

이 지점에서 무료 분류 도구(classification tool)는 게임의 판도를 바꿉니다. 방금 Reddit 게시물을 작성하는 데 걸린 시간 동안, 창업자는 12개의 예/아니오 질문에 답하고 자신에게 적용되는 정확한 의무 사항이 포함된 확정적인 위험 등급(risk tier)을 받을 수 있었을 것입니다.

지금 당장 해야 할 세 가지

1. 자신의 위험 등급(Risk Tier)을 파악하세요

추측하지 마세요. 실제 관문들을 하나씩 통과해야 합니다: 제5조 금지된 관행(prohibited practices), 제6조(1) 안전 구성 요소(safety components), 부속서 III(Annex III) 사용 사례, 제52조 투명성(transparency). 답변을 기록해 두십시오.

EU 내 고객 지원을 위한 ChatGPT Wrapper: 제한적 위험 (limited risk). 독일 내 채용을 위한 AI 이력서 스크리너: 고위험 (high-risk). 진단 교육용 합성 의료 이미지를 생성하는 AI: 고위험 (high-risk), 또는 금지될 가능성 있음 (possibly prohibited). 이 차이는 엄청나게 중요합니다. 준수 부담(compliance burden)이 차원이 다르게 달라지기 때문입니다.

2. 고위험군이라면, 첫날부터 로그를 남기세요

만약 귀하의 시스템이 실제로 부속서 III(Annex III)의 관문을 통과한다면(채용, 교육, 신용 또는 생체 인식 분야인 경우), 제12조에 따른 로깅(logging)이 필요합니다. 이는 다음을 의미합니다:

  • 타임스탬프 및 운영자 식별 정보와 함께 각 사용 이벤트를 기록할 것
  • 최소 6개월 동안 로그를 보관할 것
  • 국가 당국(national authorities)의 요청 시 로그를 제공할 수 있도록 보장할 것
  • 데이터의 민감도에 적절한 로그 수준의 보안을 구현할 것

이는 사소하지 않은 인프라 구축 작업입니다. 하지만 이는 오직 귀하가 고위험군일 때만 적용됩니다. 이를 구축하기 전에, '관문 B'가 실제로 귀하에게 적용되는지 먼저 확인하십시오.

3. 제한적 위험군이라면, 고지 사항을 출시하고 다음 단계로 넘어가세요

사용자가 AI와 상호작용하고 있다는 명확한 공지를 추가하십시오. 첫 상호작용이 일어나기 전에 눈에 띄게 배치하십시오. 그것이 전부입니다. 그러면 제52조에 따라 규정을 준수하게 됩니다. 유령 같은 준수 요구 사항에 엔지니어링 사이클을 낭비하지 말고, 귀하의 제품에 집중하십시오.

마감 기한의 혼란: 실제로 언제까지 무엇을 해야 하는가

또 다른 공포의 원인: 창업자들은 서로 상충하는 날짜들을 접해왔습니다. 여기 간단한 해독 결과가 있습니다:

  • 2026년 8월 2일: 고위험 (High-risk) AI 시스템에 대한 주요 집행 날짜입니다. 금지된 관행 (Prohibited practices) 조항은 이미 시행 중입니다. 귀하의 시스템이 고위험군이라면, 이것이 귀하의 마감 기한입니다.
  • 2026년 12월: AI 생성 콘텐츠에 대한 제50조(2)항 워터마킹 (Watermarking) 요구 사항이 발효됩니다.
  • 2027년 12월 (제안됨): Omnibus 규정으로 인해 부속서 III (Annex III) 고위험 분류 요구 사항이 18개월 지연될 수 있으나, 이는 아직 확정되지 않았습니다.

핵심 요약: 귀하가 고위험군이 아니라면, 가장 가까운 엄격한 마감 기한은 워터마킹 공시를 위한 2026년 12월이며, 이는 명확합니다. 만약 고위험군이라면, 부속서 III의 집행 시기가 변동될 수 있음을 인지한 상태에서 2026년 8월 2일을 대비하십시오.

법이 실제로 원하는 것

입법 텍스트의 행간을 읽어보면, EU의 목표는 합리적입니다. 그들은 사람들의 삶에 중대한 영향을 미치는 결정을 내리는 AI 시스템이 문서화되고, 설명 가능하며 (Explainable), 감사 가능 (Auditable) 하기를 원합니다. "귀하의 주문은 화요일에 도착할 것입니다"라고 말하는 챗봇은 중대한 결정이 아닙니다. 하지만 "귀하의 주택 담보 대출이 거절되었습니다"라고 말하는 AI는 중대한 결정입니다.

이 부담은 중대한 사례들에 집중되도록 설계되었습니다. 문제는 텍스트가 중대하지 않은 사례들까지 겁을 줄 수 있을 만큼 광범위하게 작성되었다는 점입니다.

공포 때문에 제품 출시를 멈추지 마십시오. 귀하의 시스템을 분류하고, 귀하의 등급을 이해하며, 법이 실제로 요구하는 것만을 구축하십시오.

다음 단계

지금 바로 귀하의 위험 등급을 확인할 수 있습니다. 법률 교육 없이도 10분과 12개의 질문이면 충분합니다.

내 AI 시스템 분류하기 — 무료

신용카드도, 컨설팅 전화도 필요 없습니다. 오직 귀하의 특정 AI 시스템에 적용되는 정확한 의무 사항을 법안의 조항에 맞춰 매핑해 드립니다.

AI 자동 생성 콘텐츠

본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.

원문 바로가기
0

댓글

0