AI기본법, 현장의 궁금증

2026년 1월 22일 AI기본법이 시행되었습니다. 법 조문은 공개되어 있지만, 실제 현장에서는 "그래서 우리는 어떻게 해야 하는가?"라는 구체적인 질문이 쏟아지고 있습니다.

이 글에서는 AI기본법 시행 이후 실무자들이 가장 많이 묻는 질문 20가지를 정리합니다. 각 질문에 대해 법 조문 근거와 실무 대응 방안을 함께 제시합니다.

적용 대상 관련

내부 업무에만 AI를 사용하면 AI기본법이 적용되는가?

AI기본법의 핵심 의무(투명성 확보, 고영향 AI 의무)는 이용자에게 AI 제품·서비스를 제공하는 사업자에게 적용됩니다. 내부 업무 효율화 목적으로만 AI를 사용하는 경우(예: 사내 문서 요약, 내부 데이터 분석)에는 이러한 의무가 직접 적용되지 않습니다.

다만, 내부 AI 시스템의 결과가 이용자에게 영향을 미치는 의사결정에 사용된다면(예: AI로 분석한 결과를 바탕으로 고객 서비스를 제공), 간접적으로 적용될 수 있으므로 주의가 필요합니다.

ChatGPT 같은 외부 AI 서비스를 이용만 하는 경우에도 해당되는가?

외부 AI 서비스를 단순 이용하는 것만으로는 AI기본법상 사업자 의무가 발생하지 않습니다. 의무는 AI 제품·서비스를 제공하는 사업자에게 부과됩니다.

하지만 외부 AI API를 활용하여 자체 서비스를 구축하고 이용자에게 제공하는 경우에는 AI기본법의 적용 대상이 됩니다. 예를 들어, OpenAI API를 활용하여 고객 상담 챗봇을 만들어 서비스하면 투명성 의무가 적용됩니다.

우리 서비스에서 AI가 차지하는 비중이 작아도 적용되는가?

AI 기능의 비중이 아니라, AI를 이용한 제품·서비스를 제공하는지 여부가 기준입니다. 서비스의 핵심 기능이 AI가 아니더라도, AI를 활용한 부가 기능(예: AI 추천, AI 자동 분류)을 제공한다면 해당 기능에 대해 투명성 의무가 적용됩니다.

스타트업이나 소규모 사업자도 동일하게 적용되는가?

법률상 적용 대상에 사업 규모에 따른 예외 조항은 없습니다. 다만, 과태료 산정 시 사업 규모가 고려 요소로 작용하며, 정부는 중소기업·스타트업을 위한 이행 지원 프로그램을 운영하고 있습니다.

인공지능기본법 지원데스크에서 무료 컨설팅을 받을 수 있으므로, 소규모 사업자는 이를 적극 활용하시기 바랍니다.

투명성 의무 관련

사전 고지는 정확히 어디에 어떻게 해야 하는가?

사전 고지 방법은 서비스 형태에 따라 다릅니다:

  • 웹/앱 서비스: 이용자 화면에 팝업, 배너, 또는 상시 문구로 표시
  • 물리적 제품: 제품 자체 또는 포장에 기재
  • 계약 기반 서비스: 계약서 또는 약관에 명시
  • 오프라인 서비스: 제공 장소에 게시

핵심은 이용자가 서비스 이용 전에 AI가 관여한다는 사실을 인지할 수 있어야 한다는 것입니다.

AI 생성물 표시는 어떤 기술로 구현해야 하는가?

AI기본법은 두 가지 표시를 모두 요구합니다:

  1. 사람 인식 가능 표시: 워터마크, 로고, "AI로 생성됨" 문구 등
  2. 기계 판독 가능 표시: 메타데이터 삽입, C2PA Content Credentials, 디지털 워터마킹 등

시행령은 구체적 기술 표준을 강제하지 않으므로, 사업자가 서비스 특성에 맞는 방법을 선택할 수 있습니다. 다만, C2PA(Coalition for Content Provenance and Authenticity) 기반 구현이 글로벌 호환성 측면에서 권장됩니다.

기존에 AI로 생성한 콘텐츠도 소급 적용되는가?

AI기본법은 시행일(2026년 1월 22일) 이후에 제공되는 AI 생성물에 적용됩니다. 시행일 이전에 생성되어 이미 공개된 콘텐츠에 소급 적용되지는 않습니다.

하지만 시행일 이후에 새로 배포하거나 업데이트하는 콘텐츠에는 표시 의무가 적용됩니다. 기존 콘텐츠를 재활용하거나 재배포하는 경우에도 표시를 추가하는 것이 안전합니다.

딥페이크 표시 의무는 모든 AI 생성 이미지에 적용되는가?

딥페이크 표시 의무는 실제와 구분하기 어려운 가상 생성물에 적용됩니다. 단순한 AI 일러스트레이션이나 명백히 AI가 생성한 것으로 보이는 이미지에는 일반 표시 의무가 적용되고, 딥페이크 수준의 강화된 표시 의무는 적용되지 않습니다.

판단 기준은 **"일반인이 실제와 구분할 수 있는가"**입니다. 실제 인물의 얼굴을 합성하거나, 실제 장면으로 오인할 수 있는 영상을 생성하는 경우에 딥페이크 표시 의무가 적용됩니다.

비가시적 표시만 적용하면 안내를 꼭 해야 하는가?

네, 해야 합니다. 메타데이터나 디지털 워터마킹처럼 이용자가 눈으로 확인할 수 없는 표시만 적용하는 경우, 이용자에게 1회 이상 표시가 포함되어 있다는 사실을 안내해야 합니다.

안내 방법의 예:

  • 서비스 이용 약관에 명시
  • AI 생성물 제공 시 안내 팝업
  • 서비스 FAQ 또는 도움말 페이지에 설명

고영향 AI 관련

고영향 AI에 해당하는지 판단이 어려우면 어떻게 하는가?

과학기술정보통신부는 고영향 AI 판단 가이드라인을 별도로 제공하고 있습니다. 이 가이드라인에는 분야별 해당/비해당 기준과 자가 점검 체크리스트가 포함되어 있습니다.

가이드라인으로도 판단이 어려운 경우, 인공지능기본법 지원데스크(sw.or.kr/AI_act_helpdesk/main.jsp)에 유선 상담 또는 서면 검토를 요청할 수 있습니다.

AI가 최종 결정을 내리지 않고 추천만 하면 고영향 AI가 아닌가?

반드시 그렇지는 않습니다. AI가 "추천"이라는 형태로 제시하더라도, 실무에서 그 추천이 사실상 최종 결정으로 기능한다면 고영향 AI로 분류될 수 있습니다.

예를 들어, AI가 대출 승인/거절을 "추천"하지만 담당자가 99% 그대로 따르는 경우, 이는 사실상 AI가 최종 결정을 내리는 것과 같습니다. Human-in-the-Loop가 형식적이 아닌 실질적으로 작동해야 합니다.

영향평가는 구체적으로 어떻게 실시하는가?

영향평가의 구체적 방법론은 시행령과 가이드라인에서 규정합니다. 일반적으로 다음 항목을 포함합니다:

  1. AI 시스템 개요: 목적, 기능, 사용 데이터
  2. 기본권 영향 분석: 개인정보, 차별, 접근성 등에 대한 영향
  3. 안전성 분석: 오류 발생 가능성과 그 영향
  4. 위험 완화 조치: 식별된 위험에 대한 대응 계획
  5. 모니터링 계획: 운영 중 지속적 감시 방안

영향평가 결과는 기록·보관해야 하며, 감독 기관의 요청 시 제출할 수 있어야 합니다.

계도기간 관련

계도기간 동안은 아무것도 안 해도 되는가?

아닙니다. 계도기간은 "준비 기간"이지 "면제 기간"이 아닙니다. 계도기간 동안에도:

  • 사실조사는 실시될 수 있음
  • 컨설팅 등 이행 지원이 중심이지만, 중대한 위반은 예외
  • 계도기간 이후 즉시 적용되므로 사전 준비 필수

계도기간을 활용하여 투명성 확보 체계를 구축하고, 내부 프로세스를 정비하고, 증빙 기록 체계를 마련해야 합니다.

계도기간은 정확히 언제 끝나는가?

과학기술정보통신부는 **"최소 1년 이상"**으로만 발표했으며, 정확한 종료 시점은 아직 확정되지 않았습니다. 업계의 이행 준비 상황을 보고 결정할 것으로 예상됩니다.

따라서 "1년이 지나면 바로 단속이 시작된다"고 가정하고 준비하는 것이 안전합니다. 2027년 상반기를 목표로 모든 준비를 완료하시기 바랍니다.

계도기간에 이행을 시작한 기록이 나중에 도움이 되는가?

네, 큰 도움이 됩니다. 과태료 산정 시 **"시정 노력"과 "내부 컴플라이언스 체계 구축 여부"**가 감경 요소로 작용합니다. 계도기간 중에 이행을 시작했다는 기록이 있으면:

  • 위반이 고의가 아닌 과실임을 입증
  • 자발적 시정 노력을 증명
  • 내부 컴플라이언스 체계 존재를 입증

다만, 이 기록은 변조 불가능한 형태여야 신뢰성이 인정됩니다. 단순 로그 파일은 사후 수정이 가능하므로 증빙력이 약합니다.

기술 구현 관련

워터마크와 메타데이터 중 어느 것을 우선 구현해야 하는가?

법률은 두 가지 모두 요구하지만, 우선순위를 정한다면:

  1. 사람 인식 가능 표시(워터마크/문구)를 먼저 구현: 구현이 상대적으로 쉽고, 이용자에게 즉시 보이므로 투명성 확보 효과가 큼
  2. 기계 판독 가능 표시(메타데이터)를 후속 구현: 기술적 구현이 더 복잡하지만, 자동화된 검증이 가능

두 가지를 모두 갖추는 것이 최종 목표이며, 계도기간 안에 완료하는 것을 권장합니다.

AI 판단 기록은 얼마나 오래 보관해야 하는가?

AI기본법 시행령에서 구체적인 보관 기간을 규정하고 있으며, 일반적으로 3년 이상 보관이 권장됩니다. 다만 분야별로 다를 수 있습니다:

  • 의료 분야: 의료법상 진료기록 보존 기간(10년)에 준함
  • 금융 분야: 금융 관련 법률상 기록 보존 기간에 준함
  • 일반: 최소 3년 이상

기록은 변조가 불가능하고, 감독 기관 요청 시 즉시 제출 가능한 형태로 보관해야 합니다.

기존 서비스에 투명성 의무를 적용하려면 전체 리팩토링이 필요한가?

대부분의 경우 전체 리팩토링 없이 점진적 적용이 가능합니다:

  1. 사전 고지: 약관 수정 + UI에 안내 문구 추가 → 프론트엔드 수정만으로 가능
  2. AI 생성물 표시: 생성 시점에 워터마크/메타데이터 삽입 로직 추가 → 생성 파이프라인 수정
  3. 기록 보관: AI 호출 시점에 로깅 미들웨어 추가 → 기존 아키텍처에 레이어 추가

크로노젠의 DPU를 예로 들면, 기존 서비스 코드를 건드리지 않고 미들웨어 형태로 AI 판단 기록과 증빙을 자동으로 생성·보관할 수 있습니다.

과태료·제재 관련

과태료는 최대 얼마인가?

AI기본법의 과태료는 위반 유형과 중대성에 따라 차등 부과됩니다. 구체적 금액은 시행령에서 규정하며, EU AI Act(최대 3,500만 유로)에 비하면 상대적으로 낮은 수준입니다.

하지만 과태료 금액보다 더 큰 리스크는 위반 사실 공표입니다. 기업명과 위반 내용이 공개되면 평판 손실, B2B 거래 위축, 투자 유치 어려움 등 금전적 제재를 초과하는 피해가 발생할 수 있습니다.

위반 사실을 자진 신고하면 감경되는가?

네, 자진 신고는 과태료 감경 사유입니다. 또한 다음의 경우에도 감경이 적용됩니다:

  • 위반 행위를 즉시 시정한 경우
  • 이전에 같은 유형의 위반이 없었던 경우
  • 내부 컴플라이언스 체계를 구축하고 있었던 경우

특히 마지막 항목이 중요합니다. 사전에 체계를 갖추고 기록을 남겨 놓았다면, 실수로 위반이 발생하더라도 선의의 노력을 입증할 수 있습니다.

실무 대응 관련

인공지능기본법 지원데스크는 무엇을 도와주는가?

한국소프트웨어산업협회가 운영하는 지원데스크에서 다음 서비스를 제공합니다:

  • 적용 대상 여부 판단 상담
  • 투명성 의무 이행 방안 컨설팅
  • 고영향 AI 해당 여부 서면 검토
  • 영향평가 실시 방법 안내
  • 기타 AI기본법 관련 문의 대응

유선 상담과 서면 검토 모두 가능하며, 무료로 제공됩니다.

AI기본법 대응을 위한 내부 체크리스트가 있는가?

다음 체크리스트로 자가 점검을 시작할 수 있습니다:

적용 대상 확인:

  • AI를 이용한 제품·서비스를 이용자에게 제공하는가
  • 생성형 AI를 사용하는가
  • 고영향 AI 10개 분야에 해당하는가

투명성 의무 이행:

  • AI 기반 운용 사실을 사전 고지하고 있는가
  • AI 생성물에 사람 인식 가능 표시를 적용하고 있는가
  • AI 생성물에 기계 판독 가능 표시를 적용하고 있는가
  • 딥페이크 생성물에 강화된 표시를 적용하고 있는가

기록·증빙:

  • AI 판단 기록을 보관하고 있는가
  • 기록이 변조 불가능한 형태인가
  • 감독 기관 요청 시 즉시 제출 가능한가

조직 체계:

  • 내부 컴플라이언스 담당자를 지정했는가
  • 직원 교육을 실시했는가
  • 사고 발생 시 보고 프로세스가 있는가

결론: 질문이 있다면 지금 확인하라

AI기본법은 시행 초기이므로 불확실한 부분이 많습니다. 하지만 불확실하다고 아무것도 하지 않는 것이 가장 위험한 선택입니다.

확실한 것부터 시작하세요. 투명성 확보 체계 구축, AI 판단 기록 보관, 내부 프로세스 정비는 어떤 해석이 나오든 반드시 필요한 준비입니다. 그리고 판단이 어려운 부분은 인공지능기본법 지원데스크에 문의하세요.

계도기간이 끝나기 전에 준비를 마치면, AI기본법은 위험이 아니라 경쟁력의 원천이 됩니다. 법을 잘 준수하는 사업자는 이용자의 신뢰를 얻고, 파트너의 신뢰를 얻고, 투자자의 신뢰를 얻습니다.