AI 기본법과 하위 법령ㆍ규정
AX(AI Transformation) 컨설팅을 시작하려는 정부부처와 공공기관이 가장 먼저 부딪히는 질문이 있다면 바로 이것입니다. "우리가 따라야 할 법령과 규정이 뭔가요?" 결론부터 말씀드리자면 워낙 빠르게 AI가 발전하고 있어서 이 질문에 명확하게 답을 하기가 어려운 것 같습니다.
AI기본법이 시행되었고, AI 관련 공공부문 가이드라인이 배포되고 있고, 개인정보처리 가이드도 준비되어 있고, 윤리기준이 선포되었으나, 이것들이 서로 어떤 관계인지, AX를 추진하는 실무자 입장에서 무엇이 의무이고 무엇이 권고인지를 한눈에 보여주는 지도나 프레임워크는 존재하지 않습니다.
이 글은 AI 도입과 AX 전환에 관한 법령과 각종 규정을 어느정도 정리해 보려한 노력입니다. AI 기본법을 출발점으로 가이드라인과 규정 등을 우선 정리해 보려 합니다.
1. AI기본법 : 모든 것의 출발점
AI 기본법의 정식 명칭은 「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」입니다. 2024년 12월 국회를 통과했고, 2026년 1월 22일부터 시행되었습니다. EU AI Act에 이어 세계에서 두 번째로 포괄적인 AI 규제 체계를 갖춘 법률이지만, EU AI Act와 중요한 차이가 한가지 있습니다. 우리의 AI 기본법은 규제보다 진흥(振興)에 더 많은 무게를 두고 있다는 점입니다.
AI기본법은 총 6장 43조로 구성되어 있습니다. 제1장 총칙에서 법의 목적과 주요 용어의 정의, 기본원칙을 다루고, 제2장에서 대통령 직속 국가인공지능위원회의 설치와 3년 단위 기본계획 수립 등 AI 거버넌스의 추진체계를 규정하고 있습니다. 그리고 제6장에서 벌칙과 과태료를 정하고 있습니다. 이 글에서는 실무적으로 가장 중요한 제3장부터 제5장을 중심으로 정리합니다.
눈여겨볼 점은 법의 구조 자체가 이 법의 성격을 드러낸다는 겁니다. '산업 육성'이 14개 조문으로 가장 많고, '윤리·신뢰'에 대한 조문이 10개 그리고 규제 조항은 6개로 볼 때, 진흥 중심, 규제는 최소한이라는 법의 철학을 보여줍니다.
법 제3장. 인공지능기술 개발 및 산업 육성
법의 제3장 인공지능기술 개발 및 산업 육성은 정부가 AI 산업을 어떻게 키울 것인가에 대한 의지가 반영되어 있습니다.
조항 앞부분에서는 정부가 AI 기술의 연구개발을 지원하고, 국가 표준을 수립하고, 학습용 데이터의 수집·가공·유통 시책을 마련하도록 정하고 있습니다.
후반부에서는 기업·공공기관의 AI 도입 지원, 중소기업·스타트업 특별지원, 창업 활성화, 타 산업과의 융합 촉진, 걸림돌이 되는 규제 정비를 다루고 있습니다. 산업이 커지려면 사람과 인프라도 따라가야 하니, 전문인력 확보, AI 집적단지 지정, 데이터센터 시책, 규제 샌드박스 같은 실증기반 조성 근거도 마련했습니다. 생태계가 국내에 갇히지 않도록 국제협력·해외진출 지원과 한국인공지능진흥협회 설립 근거도 담겨있습니다.
법 제4장. 인공지능윤리 및 신뢰성 확보
법의 제4장은 "AI를 어떻게 믿고 쓸 수 있게 할 것인가"에 대해 담고 있습니다.
앞부분에서는 자율적인 신뢰 기반을 다룹니다. 정부가 AI 윤리원칙을 수립·공표하고, 민간이 자율적으로 윤리 기준을 만들고 실천할 수 있도록 민간자율인공지능윤리위원회의 설치 근거를 마련했습니다. AI 제품·서비스의 안전성과 신뢰성을 검증·인증해주는 제도의 근거도 여기에 있습니다. 강제가 아니라 자율과 지원이 기조입니다.
후반부로 가면 톤이 바뀝니다. 여기서부터가 사업자에게 실제 의무를 부과하는 규제와 책임의 영역입니다. AI를 활용한 제품·서비스를 제공할 때 그 사실을 이용자에게 미리 알려야 하는 투명성 의무, 대규모 AI 시스템에 대한 안전성 확보 의무가 규정되어 있습니다. 특히 사람의 생명·안전·기본권에 중대한 영향을 미칠 수 있는 고영향 AI에 대해서는 별도의 확인 절차, 위험관리·설명·이용자 보호 등 가중된 사업자 책무, 기본권 영향평가 권고까지 단계적으로 무게를 높여갑니다. 해외 빅테크에 대한 국내대리인 지정 의무도 이 장에 포함되어 있습니다.
정리하면, 제4장은 앞에서는 자율·지원으로 신뢰의 토양을 만들고, 뒤에서는 의무·책임으로 최소한의 안전망을 치는 이중 구조로 설계되어 있습니다.
법 제5장. 보칙
제5장은 앞선 장들에서 정한 내용이 실제로 작동하기 위한 행정적 뒷받침을 담고 있습니다.
먼저 AI 산업 진흥에 필요한 재원을 어떻게 확보할 것인지에 대한 근거를 마련하고 있습니다. 법이 아무리 좋은 지원 정책을 명시해도 예산이 뒷받침되지 않으면 선언에 그치기 때문입니다. 이어서 정부가 AI 산업의 현황을 주기적으로 파악할 수 있도록 실태조사와 통계·지표 작성의 근거를 두고 있습니다. 정책을 만들려면 현장의 숫자를 알아야 하니, 데이터에 기반한 정책 수립을 위한 장치입니다.
나머지 조항은 법의 집행력에 관한 것입니다. 과기정통부 장관의 권한 일부를 산하기관에 위임하거나 업무를 위탁할 수 있는 근거, 법 위반이 의심될 때 사실조사를 할 수 있는 권한, 그리고 이러한 업무를 수행하는 민간 위탁인력에게 공무원에 준하는 법적 책임을 부과하는 조항이 포함되어 있습니다.
화려한 내용은 아니지만, 이 장이 없으면 앞의 네 개 장은 실행 수단 없는 원칙 선언에 머물게 됩니다.
2. AI기본법 시행령 — 무엇을 어떻게, 어디까지 해야하는가?
AI기본법이 "무엇을 해야 하는가"를 선언했다면, 시행령은 "어떻게, 어디까지 해야 하는가"를 규정하고 있습니다.
법률은 큰 원칙과 방향을 담고 있다면, 구체적인 기준과 절차는 시행령에 위임하는 것이 일반적입니다. AI기본법도 마찬가지입니다. 법 본문을 읽으면서 "고영향 AI는 어떤 기준으로 판단하는가", "투명성 의무는 정확히 어디까지 적용되는가", "영향평가에는 무엇을 담아야 하는가" 같은 질문이 남는데, 그 답이 시행령에 들어 있습니다.
시행령은 80여 명의 민간 전문가로 구성된 하위법령 정비단이 산업계·학계·시민단체·관계 부처와 70여 차례의 의견수렴을 거쳐 마련했고, 2025년 11월 입법예고를 거쳐 법과 동시에 시행되었습니다. 법이 추상적으로 남겨둔 부분을 현장에서 실행 가능한 수준으로 구체화한 것이 이 시행령의 역할입니다.
3. 고시
시행령 아래에는 다시 고시와 가이드라인이 있습니다. 고시는 법적 구속력이 있는 행정규칙이고, 가이드라인은 구속력은 없지만 사실상의 이행 기준으로 작동합니다. 과기정통부는 고시 2종과 가이드라인 5종을 법 시행과 함께 공개했습니다. 먼저 고시부터 살펴봅니다.
3-1. 안전성 확보 의무 고시 (법 제32조 근거)
목적: 고성능 AI의 영향력을 고려하여, 고영향 AI의 영역에 해당하지 않더라도 수명주기 전반에 걸친 위험 식별·평가·완화 및 위험관리체계를 구축·이행 하도록 하는 것입니다. 초대형 AI 시스템이 가진 잠재적 위험을 사전에 관리하기 위한 최소한의 의무를 사업자에게 부여합니다.
상세 내용:
적용 대상: 학습에 사용된 누적 연산량이 10의 26승 부동소수점 연산(FLOPs) 이상이고, 최첨단 기술을 적용하며, 위험도가 사람의 기본권에 광범위하고 중대한 영향을 미칠 우려가 있는 경우에 해당하는 AI 시스템입니다. 참고로 EU AI Act는 10²⁵을 기준으로 하고 있어, 한국 기준이 더 완화되어 있습니다.
이행 사항: 안전성 확보 의무의 적용대상, 위험의 식별·평가·완화, 위험관리체계 구축, 결과 제출을 위한 구체적 이행방식을 규정하고 있습니다. 사업자는 위험관리체계를 구축한 뒤 그 이행 결과를 과기정통부에 제출해야 합니다.
3-2. 고영향AI 사업자 책무 고시 (법 제34조 근거)
목적: 사람의 생명·안전·기본권에 중대한 영향을 미치는 고영향 AI를 운영하는 사업자에게, 안전성 확보 의무보다 한 단계 더 무거운 책무를 구체적으로 부여하기 위한 것입니다.
상세 내용:
이행 사항: 위험관리 방안의 수립·운영부터 AI 및 학습용 데이터에 대한 설명가능성 확보, 이용자 보호 방안 운영에 이르기까지 포괄적인 의무가 포함됩니다. 구체적으로는 위험관리방안 수립·운영, AI 결과에 대한 설명방안 시행, 이용자 보호방안 운영, 사람의 관리·감독 체계 구축, 안전성·신뢰성 확보 조치 문서화 및 보관이 요구됩니다.
중복 규제 방지: 다른 법령에 따라 안전성·신뢰성 확보의무에 준하는 조치를 이행하면 해당 책무를 이행한 것으로 인정합니다. 예를 들어 개인정보보호법의 안전관리 조치를 이행한 경우, 그 범위에서는 AI기본법상 책무도 이행한 것으로 간주됩니다.
4. 가이드라인
가이드라인은 고시와 달리 법적 구속력은 없지만, 사업자가 의무를 어떻게 이행하면 되는지를 구체적으로 안내하는 실무 지침입니다. 고시가 "무엇을 해야 한다"를 정한다면, 가이드라인은 "이렇게 하면 된다"를 보여주는 관계입니다.
4-1. 투명성 확보 가이드라인 (법 제31조 근거)
목적: 이용자가 AI 기반 제품·서비스를 이용하고 있다는 사실과, 제공되는 결과물이 인공지능에 의해 생성된 것임을 명확히 인식할 수 있도록 하여, AI 활용 과정에서 발생할 수 있는 혼동과 오인을 방지하는 것입니다.
상세 내용:
사전 고지 의무 (제1항): 고영향 또는 생성형 AI에 기반한 제품·서비스를 제공하려는 경우, 제품·서비스가 해당 인공지능에 기반한다는 사실을 이용자에게 사전 고지해야 합니다. 이용약관·계약서에 명시하거나 앱 구동 화면에 표시하는 방법 등이 제시되어 있습니다.
표시 의무 (제2항): 생성형 AI로 만들어진 결과물에 대해, AI로 생성된 텍스트, 이미지, 영상 등을 다운로드·공유할 때는 사람이 인식할 수 있는 방법(가시·가청적 워터마크 등)으로 표시하거나, 기계가 판독할 수 있는 방법(메타데이터 등)을 적용해야 합니다.
딥페이크 표시 강화 (제3항): 실제와 구분하기 어려운 가상의 생성물(딥페이크 등)의 경우, 반드시 사람이 명확하게 인식할 수 있는 방법으로 표시해야 합니다. 기계 판독만으로는 부족합니다.
면제 사유: 인공지능사업자가 자사 내부 업무를 위해 AI를 사용하는 경우에는 사전고지·표시 의무가 완화됩니다. 또한 제품명·서비스명 등에 AI 활용 사실이 이미 명백한 경우에도 면제됩니다.
의무 주체: 투명성 확보 의무를 이행해야 하는 주체를 이용자에게 인공지능 제품 및 서비스를 직접 제공하는 '인공지능 사업자'로 명확히 규정했습니다. AI를 도구로 활용하는 이용자(예: AI로 영화를 만드는 제작사)는 의무 대상이 아닙니다.
4-2. 안전성 확보 가이드라인 (법 제32조 근거)
목적: 안전성 확보 의무 고시가 정한 의무를 실무 현장에서 어떻게 이행할 수 있는지를 안내하는 것입니다.
상세 내용: 위험 식별·평가의 구체적 방법론, 위험 완화를 위한 기술적·조직적 조치, 안전사고 모니터링 및 대응 체계 구축 방법, 이행 결과 보고서 작성 방법 등 실무 수준의 참고 지침을 담고 있습니다. 고시가 "무엇을 해야 한다"를 정했다면, 이 가이드라인은 "이렇게 하면 된다"를 보여주는 관계입니다.
4-3. 고영향AI 확인(판단) 가이드라인 (법 제33조 근거)
목적: 사업자가 자사 AI 서비스가 고영향AI에 해당하는지를 자체 판단하거나, 과기정통부에 확인을 요청할 때 참고할 수 있는 기준을 제공하는 것입니다.
상세 내용:
판단 기준: 고영향 AI에 해당하려면 먼저 AI기본법 제2조 제4호 각 목에서 정한 영역(에너지, 먹는 물, 보건의료, 의료기기, 원자력, 생체인식, 채용, 대출심사, 교통, 공공서비스, 학생평가 등) 중 하나에 해당되고, 사람의 생명, 신체의 안전 및 기본권의 보호에 중대한 영향을 미치거나 위험을 초래할 우려가 있어야 합니다. 두 가지 요건을 모두 충족해야 합니다.
판단 방법: 부정적 영향과 위험에 초점을 맞추되, AI 시스템의 의도된 목적, 기능, 활용 맥락을 종합적으로 고려합니다. 직접 이용자뿐 아니라 간접적으로 영향을 받는 사람도 고려 대상입니다.
제외 사유: 요건에 해당되어도 최종 의사결정 과정에 사람이 개입하는 경우는 통제할 수 있는 것으로 보고 고영향 AI 대상에서 제외됩니다.
4-4. 고영향AI 사업자 책무 가이드라인 (법 제34조 근거)
목적: 고영향AI 사업자 책무 고시와 짝을 이루는 실무 지침으로, 책무를 어떤 수준에서 어떻게 실행할 수 있는지를 안내하는 것입니다.
상세 내용: 위험관리방안 수립 시 고려해야 할 요소, AI 결과에 대한 설명방안의 구체적 구현 사례, 이용자 보호방안 운영 모델, 사람의 관리·감독 체계를 어떻게 설계할 수 있는지를 모범 사례와 함께 제시합니다. 또한 타법상 동일·유사 조치 이행 시 AI기본법상 책무 이행으로 간주되는 구체적 기준도 안내합니다.
4-5. 영향평가 가이드라인 (법 제35조 근거)
목적: 고영향AI를 활용한 제품·서비스가 사람의 기본권에 미치는 영향을 사전에 평가하는 절차와 방법을 안내하는 것입니다. 영향평가는 법적 의무가 아닌 '권고'이지만, 공공부문 조달에서는 영향평가를 거친 제품을 우선 고려하도록 설계되어 있어 사실상의 진입 요건으로 작동합니다.
상세 내용: 영향평가에 포함해야 할 항목은 시행령 제27조에 구체적으로 명시되어 있으며, 가이드라인은 이를 실무적으로 수행하는 방법을 안내합니다. 영향 대상 및 기본권 유형 식별, 사회·경제적 영향 범위 분석, 사용 행태 분석, 정량·정성 평가지표 설계, 위험 예방 및 개선 계획 수립 등이 포함됩니다. 사업자가 직접 수행할 수도 있고 제3자에게 위탁할 수도 있습니다.