채용 지원서를 AI로 분류하거나, 고객 응대에 챗봇을 붙여뒀다면 이미 이 법 안에 있을 수 있습니다. 2026년 1월 22일부터 「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」(AI 기본법)이 전면 시행됐고, 법무법인 세종 분석에 따르면 한국은 EU보다 먼저 포괄적인 AI 규제 법률을 실제로 가동한 첫 번째 나라가 됐습니다.
당장 벌금이 날아오는 건 아닙니다. 연합뉴스 보도에 따르면 정부는 과태료 부과와 사실조사에 최소 1년 이상의 유예를 두고, 인명 사고 같은 중대한 문제가 생긴 경우에만 조사에 나선다는 방침입니다. 과학기술정보통신부도 기업 지원 창구를 열 예정입니다. 하지만 유예는 준비 면제가 아닙니다. 지금이 기준을 잡고 내부 체계를 정비할 실질적인 시간입니다.
이 법이 뭘 하려는 건가
법의 공식 명칭은 길지만 목적은 간결합니다. 법무법인 대륜 정리를 보면, AI 기술을 키우는 것과 신뢰할 수 있게 만드는 것을 동시에 추구하는 법입니다. R&D 지원, 표준화, 학습 데이터 시책처럼 진흥 조항이 중심에 있습니다. "AI를 막겠다"는 법이 아니라 "키우되, 영향이 큰 곳은 더 신중하게 보자"는 법입니다.
그렇다고 규제가 없는 건 아닙니다. 어떤 AI를 어디에 쓰느냐에 따라 적용 강도가 달라집니다.
어떤 AI가 더 엄격한 기준을 받나
SK C&C 정리처럼 이 법은 모든 AI를 똑같이 보지 않는 '위험 기반 접근'을 택합니다. 실무적으로 두 가지를 먼저 구분해야 합니다.
고영향 AI는 사람의 생명, 신체 안전, 기본권에 실질적인 영향을 줄 수 있는 시스템입니다. 법무법인 대륜이 예시로 든 분야를 보면 감이 옵니다. 보건·의료, 에너지, 채용·인사 평가, 금융 신용 판단, 범죄 수사·재판 지원, 교통입니다.
생성형 AI는 글, 이미지, 코드처럼 새로운 결과물을 만드는 기능 전반입니다. 결과물이 AI에서 나왔다는 사실을 어떻게 표시하고 고지할지가 주요 의무로 들어옵니다. 다만 투명성 확보 의무가 지나치게 폭넓게 해석될 경우 사소한 AI 활용에도 적용될 수 있다는 우려가 있는 만큼, 세부 기준 확인이 필요합니다.
가장 쉬운 판단 기준이 있습니다. 이 AI가 사람에게 실제 결과를 만들어내느냐입니다. 채용 지원서 필터링, 대출 가능성 판단, 의료 판단 보조 — 이런 기능은 결과가 곧 개인의 권리나 기회에 연결됩니다. 반면 사내 회의 요약 도구는 비교적 거리가 멉니다. 같은 "AI 활용"이어도 법이 보는 무게가 다릅니다.
현재는 '중대한 영향'과 '고영향 AI'의 정확한 판단 기준이 실무적으로 아직 선명하지 않습니다. 흑백논리보다 서비스별 위험도를 나눠보는 실무 감각이 먼저입니다.
기업이 지금 챙겨야 할 것
거창한 조직 개편보다 지금 당장 할 수 있는 것들이 있습니다.
채용, 금융, 의료, 교통처럼 권리·안전과 연결된 기능이 있는지 먼저 확인합니다. 있다면 그 AI가 어떤 데이터를 보고 어떤 판단을 돕는지 내부 문서로 남겨두는 것만으로 출발점이 됩니다. 생성형 AI 기능이 있다면 결과물 고지 방식도 정리해야 합니다.
특히 중요한 건 "왜 이렇게 운영했는지" 설명할 수 있는 기록입니다. 기준이 모호한 시기일수록, 판단 근거를 남긴 회사가 훨씬 유리합니다. 사람의 최종 검토가 들어가는 시점과 예외 처리 절차를 분리해두는 것도 도움이 됩니다. 과학기술정보통신부 지원 창구와 향후 가이드라인을 챙기는 채널은 미리 정해두는 편이 실용적입니다.
스타트업이나 중소기업이라면 처음부터 완벽한 체계를 만들 필요는 없습니다. 사람의 권리와 안전에 가장 가까운 기능부터 먼저 분류하는 것, 그게 가장 현실적인 시작입니다.
개발자와 기획자가 달라져야 할 것
채용, 평가, 추천, 선별 같은 기능은 기술적 정확도로만 끝나지 않습니다. 설명 가능성과 운영 책임이 함께 따라옵니다.
누적 연산량(10²⁶ FLOPS)처럼 단일 수치 기준만으로 AI 위험성을 판단하는 방식은 한계가 있다는 지적이 있습니다. AI 시스템의 위험은 활용 목적, 서비스 환경, 학습 데이터 품질 등 다양한 요소에 따라 달라지기 때문입니다. 현장에서 더 중요한 질문은 이겁니다. 무엇을 위해, 어떤 환경에서, 누구에게 영향을 주는 AI인가.
일반 사용자 입장에서도 변화가 시작됩니다. 내 채용 심사에 AI가 개입했는지, 내 대출 판단에 AI가 쓰였는지를 알 수 있는 흐름이 생겨납니다. 피해 구제 메커니즘은 아직 구체화되지 않았지만, 방향은 분명합니다.
아직 모르는 것
솔직하게 말하면, 이 법은 아직 완성품이 아닙니다. '고영향 AI'의 범위와 '중대한 영향'의 판단 기준이 실무적으로 선명하지 않습니다. 기업 입장에서는 어디까지가 규제 대상인지 헷갈리고, 시민사회에서는 반대로 범위가 너무 좁다는 비판이 동시에 나옵니다.
AI로 인한 피해가 생겼을 때 개인이 어떻게 구제받는지도 법적으로 아직 명확하지 않습니다. EU AI Act, 미국 NIST AI RMF 같은 국제 기준과의 정합성도 앞으로 더 다듬어야 할 부분입니다. 글로벌 서비스를 운영하는 기업이라면 한국 법 하나만 볼 수 없는 상황이 됐습니다.
단정적인 설명보다 지속적인 확인이 필요합니다.
결국 지금 해야 할 것
AI 기본법이 요구하는 건 단순합니다. 영향이 클수록 더 투명하고 더 신중하게 운영하라는 겁니다.
기업은 서비스 분류와 운영 기록부터, 개발자는 기능 설계 단계의 영향 점검부터, 사용자는 AI가 어디에 개입했는지 묻는 습관부터 시작하면 됩니다.
유예가 있다고 지금이 쉬어도 되는 시기는 아닙니다. 기준이 흐릴 때 먼저 움직이는 쪽이, 기준이 굳어진 뒤에 부랴부랴 맞추는 쪽보다 훨씬 유리합니다.
