EU AI Act 준수 인프라: 유럽 AI 규정을 충족하는 시스템 구축

2025년 12월 8일 업데이트

2025년 12월 업데이트: GPAI 의무가 2025년 8월 2일부터 시행되고 있습니다. AI Office가 운영되며 가이드라인을 발표하고 있습니다. 2025년 7월에 발표된 행동강령(Code of Practice)이 준수 경로를 제공합니다. 고위험 AI 시스템 요건은 2026년 8월부터 적용됩니다. 위반 시 최대 3,500만 유로 또는 전 세계 매출의 7%에 달하는 벌금이 부과됩니다. 기술 문서화, 로깅, 감사 추적 인프라가 EU 시장 접근을 위한 필수 요건이 되고 있습니다. 기업용 AI 시스템의 약 18%가 적합성 평가가 필요한 고위험으로 분류될 것으로 추정됩니다.

EU AI Act는 2025년 8월 2일 시행이 시작되면서 세계 최초의 포괄적인 AI 규정이 되었으며, 기업들은 단순히 개인정보 보호정책 업데이트 이상의 준수 요건이 필요하다는 것을 깨닫게 되었습니다.¹ 유럽 시장을 대상으로 하는 기업들은 이제 기존 AI 시스템으로는 충족할 수 없는 기술 문서화, 자동 로깅, 데이터 계보 추적, 감사 추적에 관한 인프라 요건에 직면해 있습니다. 대부분의 기업이 적합성을 입증할 기술 아키텍처를 갖추지 못한 상태에서 고위험 AI 시스템 준수를 위한 2026년 8월 마감일이 다가오고 있습니다. 규정을 준수하는 AI 인프라를 구축하려면 규제 요건과 이를 충족하기 위한 엔지니어링 시스템 모두를 이해해야 합니다.

기업이 이해해야 할 규제 프레임워크

EU AI Act는 준수 의무를 결정하는 위험 기반 분류 체계를 수립합니다. 금지 관행—사회적 점수 시스템, 공공장소에서의 실시간 생체 인식, 직장 내 감정 인식 포함—은 2025년 2월 2일부터 불법이 되었습니다.² 범용 AI(GPAI) 모델 의무는 2025년 8월 2일부터 발효되었습니다. 고위험 AI 시스템 요건은 2026년 8월 2일부터 적용되며, 2027년 8월까지 모든 위험 범주에 걸쳐 전면 시행됩니다.

금지된 AI 관행은 최대 3,500만 유로 또는 전 세계 연간 매출의 7% 중 더 높은 금액의 벌금과 함께 즉시 시행됩니다.³ 기업들은 기존 AI 배포를 감사하여 인간 행동을 조작하거나, 취약점을 악용하거나, 법에서 금지하는 실시간 생체 감시를 가능하게 하는 시스템을 식별해야 합니다.

범용 AI 모델(10²³ FLOPS 이상을 사용하여 학습되어 텍스트, 이미지 또는 비디오를 생성할 수 있는 모델)은 기술 문서를 유지하고, 학습 데이터 요약을 공개하며, EU 저작권법을 준수해야 합니다.⁴ 10²⁵ FLOPS를 초과하는 모델은 모델 평가, 사고 보고, 사이버 보안 조치를 포함한 추가적인 시스템적 위험 요건을 충족해야 합니다.

고위험 AI 시스템은 규제 대상 제품의 안전 구성 요소로 사용되는 AI와 핵심 인프라, 고용, 교육, 법 집행, 국경 통제 등 민감한 분야에 배포되는 시스템을 포함합니다.⁵ 이러한 시스템에는 위험 관리 프로세스, 데이터 거버넌스 프레임워크, 기술 문서화, 기록 보관 능력, 인간 감독 메커니즘, 제3자 적합성 평가가 필요합니다.

유럽위원회는 AI 애플리케이션의 5-15%가 고위험으로 분류될 것으로 추정했지만, 106개의 기업용 AI 시스템을 분석한 appliedAI의 연구에 따르면 18%가 명확히 고위험, 42%가 저위험, 40%가 개별 사례별 분류가 필요한 것으로 나타났습니다.⁶ 기업들은 공식적인 평가 없이 자사 시스템이 고위험 의무에서 벗어난다고 가정해서는 안 됩니다.

GPAI 준수가 2025년 8월부터 의무화되었습니다

범용 AI 모델 제공업체들은 2025년 8월 2일에 첫 번째 구속력 있는 마감일을 맞이했으며, 현재 시행 인프라가 운영되고 있습니다. GPAI 준수를 감독하는 EU 기관인 AI Office는 모델 제공업체에 문서를 요청하기 시작했으며, 2026년 8월부터 벌금을 부과할 수 있습니다.⁷

기술 문서화 요건은 GPAI 제공업체가 모델 아키텍처, 학습 방법론, 사용된 컴퓨팅 리소스, 평가 결과에 대한 상세 기록을 유지하도록 의무화합니다.⁸ 문서는 모델이 의도대로 작동함을 입증하고 예측 가능한 위험을 식별해야 합니다. 문서화 표준은 제공업체가 오픈소스로 분류하든 관계없이 모든 GPAI 모델에 적용됩니다.

학습 데이터 투명성 의무는 학습에 사용된 콘텐츠에 대한 "충분히 상세한 요약"을 공개하도록 요구합니다.⁹ 이 요건은 저작권자가 자신의 저작물이 무단으로 사용되었는지 확인할 수 있도록 하기 위한 것입니다. 제공업체는 해당되는 경우 저작권자가 옵트아웃 권리를 행사할 수 있는 메커니즘을 구현해야 합니다.

저작권 준수는 제공업체가 텍스트 및 데이터 마이닝 예외를 포함한 EU 저작권법을 준수하도록 요구합니다. 적절한 승인 없이 학습을 위해 저작권이 있는 콘텐츠를 수집한 기업은 AI Act와 기존 저작권 프레임워크 모두에 따른 책임을 지게 됩니다.

시스템적 위험 모델(10²⁵ FLOPS를 초과하는 모델)은 적대적 테스트, 위험 평가 및 완화, 사고 추적 및 보고, 적절한 사이버 보안 보호를 포함한 추가 의무를 부담합니다.¹⁰ 제공업체는 컴퓨팅 임계값에 도달하거나 도달할 것으로 예상되면 2주 이내에 위원회에 통지해야 합니다.

2025년 7월에 발표된 GPAI 행동강령은 자발적 준수 경로를 제공합니다. 준수는 "위원회의 신뢰를 높이는" 반면, 비준수는 "더 많은 정보 요청 및 접근 요청을 촉발"합니다.¹¹ 행동강령은 투명성, 저작권, 안전/보안 영역을 다룹니다. 서명자는 준수 추정의 혜택을 받으며, 비서명자는 상세한 문서화 또는 갭 분석을 통해 독립적으로 적합성을 입증해야 합니다.

기술 문서화 인프라 요건

AI Act 제11조는 고위험 AI 시스템이 시장 출시 전에 작성되고 지속적으로 업데이트되는 기술 문서를 유지하도록 의무화합니다.¹² 문서는 평가를 수행하는 국가 당국과 인증 기관을 위해 "명확하고 포괄적인 형태로" 규제 준수를 입증해야 합니다.

필수 문서화 요소는 다음을 포함합니다:

• 의도된 목적 및 제공업체 식별을 포함한 AI 시스템의 일반적 설명
• 시스템 요소 및 개발 프로세스에 대한 상세 설명
• 모니터링, 기능, 제어 메커니즘에 대한 정보
• 성능 지표 적절성에 대한 설명
• 포괄적인 위험 관리 시스템 문서
• 관련 수명 주기 변경 및 수정 이력
• 개발 중 적용된 기술 표준
• EU 적합성 선언서
• 시판 후 성능 평가 시스템

중소기업 및 스타트업은 간소화된 문서를 제공할 수 있지만, 축소된 요건도 대부분의 기업이 현재 유지하는 수준을 초과합니다.¹³ 실질적인 과제는 시스템이 발전함에 따라 이 문서를 지속적으로 생성하고 유지하는 것입니다—빠르게 구식이 되는 정적 문서를 만드는 것이 아닙니다.

인프라 영향은 개발 산출물을 자동으로 캡처하고, 모델 버전을 추적하고, 학습 구성을 기록하고, 평가 결과를 보존하는 시스템을 필요로 합니다. 수동 문서화 프로세스는 법이 요구하는 지속적인 준수 모니터링에 확장될 수 없습니다. 기업들은 내장된 문서 생성 기능이 있는 MLOps 플랫폼, 의사 결정 근거를 보존하는 버전 관리 시스템, 개발 환경과 준수 기록 간의 통합이 필요합니다.

MLflow, Weights & Biases, Neptune.ai와 같은 최신 ML 플랫폼은 실험 추적 및 모델 버전 관리를 위한 부분적인 솔루션을 제공합니다. 그러나 대부분의 플랫폼은 규제 문서화를 위해 특별히 설계된 기능—개발자 중심의 실험 로그가 아닌 당국이 요구하는 구조화된 기록을 생성하는 기능—이 부족합니다. 이 격차를 해소하기 위한 목적별 준수 도구가 등장하고 있습니다.

로깅 및 감사 추적 인프라

제12조는 고위험 AI 시스템이 "시스템의 수명 기간 동안 이벤트(로그)의 자동 기록을 기술적으로 허용"하도록 의무화합니다.¹⁴ 로깅 기능은 시스템의 의도된 목적에 적합한 추적성을 가능하게 해야 합니다—시행을 통해 시간이 지나면서 명확해질 모호한 표현입니다.

로그 내용 요건은 다음을 포함합니다:

• 로그 메타데이터: 시스템 식별, 타임스탬프, 보존 기간 문서(최소 6개월 필요)
• 운영 세부 사항: 가명 처리된 사용자 및 클라이언트 식별자, 요청 매개변수, 호출 컨텍스트
• 모델 세부 사항: 사용된 AI 모델에 대한 기술 정보, 성능 지표, 특성 중요도 점수
• 결정 세부 사항: 출력 기록, 신뢰 수준, 인간 감독 조치, 무시 결정 문서¹⁵

인프라 과제는 프로덕션 규모에서 복합됩니다. AI 시스템은 효율적인 압축 및 저장 솔루션이 필요한 대량의 로그를 생성합니다. 로그는 검증을 위해 쿼리가 가능하면서도 준수 요건을 충족하는 특정 메타데이터를 포함해야 합니다. 보존 기간은 수명 주기가 긴 시스템의 경우 수년 동안 연장됩니다.¹⁶

기존의 애플리케이션 로깅 인프라는 부적절한 것으로 판명됩니다. Elasticsearch, Splunk 또는 Datadog과 같은 표준 로그 집계 도구는 운영 원격 측정을 캡처하지만 법이 요구하는 AI 특화 구조화된 필드가 부족합니다. 기업들은 규제 감사에 적합한 형식으로 모델 입력, 출력, 결정 요소, 인간 감독 조치를 캡처하는 목적별 AI 로깅이 필요합니다.

데이터 계보 요건은 데이터가 어디서 발생했는지, 어떻게 변환되었는지, 어떤 시스템이 처리했는지, 어떤 데이터가 특정 모델을 학습, 테스트, 운영했는지를 보여주는 명확하고 감사 가능한 이력을 요구합니다.¹⁷ EU AI Act 준수를 위해 데이터 계보는 학습 데이터가 품질, 관련성, 대표성 요건을 충족했다는 기술적 증거를 제공합니다. 계보 인프라 없이는 데이터 거버넌스 준수를 입증하는 것이 거의 불가능해집니다.

준수 로깅을 구현하려면 대부분의 기업이 계획하지 않은 아키텍처 변경이 필요합니다. 시스템은 지연 시간에 영향을 주지 않으면서 추론 요청과 응답을 캡처해야 합니다. 민감한 데이터는 감사 가능성을 유지하면서 가명 처리되어야 합니다. 저장 시스템은 비용을 관리하면서 수년간 접근성을 유지해야 합니다. 검색 기능은 감사자가 전체 로그 기록을 스캔하지 않고도 특정 결정을 검증할 수 있도록 해야 합니다.

인간 감독 인프라 요건

AI Act는 "human in the loop"를 고위험 시스템의 핵심 원칙으로 포함합니다. 제14조는 개인이 시스템 기능을 이해하고, 출력을 올바르게 해석하고, 출력을 무시하거나 무효화할 시기를 결정하고, 필요할 때 시스템 작동에 개입하거나 중지할 수 있도록 하는 인간 감독 메커니즘을 요구합니다.¹⁸

기술적 구현은 인간의 판단을 위한 충분한 컨텍스트와 함께 AI 결정을 제시하는 인터페이스를 필요로 합니다. 사용자는 시스템이 무엇을 결정했는지뿐만 아니라 왜, 어떤 신뢰 수준이 적용되는지, 어떤 요소가 출력에 영향을 미쳤는지를 이해해야 합니다. 설명할 수 없는 결정을 생성하는 블랙박스 시스템은 정확도와 관계없이 감독 요건을 충족할 수 없습니다.

설명 가능성 인프라는 고위험 애플리케이션에 필수가 됩니다. 고용, 신용, 의료, 법 집행 분야에 모델을 배포하는 기업들은 인간이 의미 있게 검토할 수 있는 해석 가능한 출력이 필요합니다. SHAP 값, 어텐션 시각화, 반사실적 설명 또는 유사한 기술이 개발자 도구로 남아 있지 않고 사용자 인터페이스와 통합되어야 합니다.

무시 및 개입 기능은 인간 운영자가 AI 시스템을 중지하고, 결정을 수정하고, 개입 근거를 문서화할 수 있도록 요구합니다. 시스템은 감사 추적의 일부로 인간 감독 조치를 로깅해야 합니다. 기업들은 무시 결정의 이유와 결과를 캡처하지 않고 단순히 "무시 버튼"을 추가할 수 없습니다.

역량 요건은 기술 시스템을 넘어 확장됩니다. 기업들은 감독을 수행하는 인간이 역할을 효과적으로 수행하기 위한 적절한 AI 리터러시를 갖추도록 해야 합니다.¹⁹ AI 리터러시 의무는 2025년 2월부터 발효되어 제공업체와 배포자가 운영하는 AI 시스템에 대한 충분한 이해를 직원들이 갖추도록 요구합니다.

위험 관리 시스템 요건

고위험 AI 시스템은 문서화된

[번역을 위해 콘텐츠가 잘림]