글로벌 AI 규칙서: EU AI Act 심층 분석 및 한국, 미국, 중국, 일본과의 비교

EU AI ACT와 한국 AI 기본법분석

 

BRANDON TIMES

 

 

EUAI ACT

빨리빨리의 민족 한국, 하지만 AI 법의 제정과 관련해서는 답답하기 조차 합니다.
세계각국의 AI 규제법과 EU의AI ACT 법안을 살펴봅니다.

제1부: 유럽연합의 AI 거버넌스 청사진: 글로벌 표준의 설정

제1장: EU AI Act 해부: 새로운 글로벌 표준의 탄생

 

유럽연합(EU)의 인공지능법(AI Act), 공식 명칭 'Regulation (EU) 2024/1689'는 인공지능(AI) 분야에서 세계 최초로 시도되는 포괄적인 법적 프레임워크입니다.1 이 법은 단순히 기술을 규제하는 것을 넘어, '신뢰할 수 있는 AI'의 개발 및 사용을 위한 조화된 규칙을 수립하는 것을 목표로 합니다. 그 핵심 철학은 혁신을 저해하지 않으면서도 시민의 기본권, 건강, 안전을 최우선으로 보호하는 '위험 기반 접근 방식(risk-based approach)'에 있습니다.1

이 법의 가장 중요한 특징 중 하나는 강력한 역외 적용(extraterritorial reach) 원칙입니다. AI 시스템 개발사나 제공자의 소재지와 관계없이, EU 시장에 제품을 출시하거나 그 결과물이 EU 내에서 활용되는 모든 AI 시스템에 이 법이 적용됩니다.2 이는 EU의 개인정보보호법(GDPR)이 전 세계 데이터 처리 관행에 영향을 미쳤던 것처럼, AI Act 역시 '브뤼셀 효과(Brussels Effect)'를 통해 글로벌 AI 거버넌스의 실질적인 표준으로 자리 잡을 가능성이 매우 높다는 것을 의미합니다. 따라서 EU 시장에 진출했거나 진출을 계획 중인 한국 기업들은 이 법을 단순한 지역 규제가 아닌, 글로벌 비즈니스의 필수 준수 사항으로 인식해야 합니다.

 

위험 기반 피라미드: 4단계 규제 체계

 

AI Act의 규제 논리는 AI 시스템이 초래할 수 있는 위험 수준에 따라 의무를 차등적으로 부과하는 4단계 피라미드 구조에 기반합니다.

1단계: 수용 불가능한 위험 (금지되는 AI)

이 최상위 단계는 EU의 가치와 기본권에 대한 명백한 위협으로 간주되는 특정 AI 시스템의 사용을 전면 금지합니다.1 이는 기술 자체의 문제가 아니라, 특정 용도가 사회에 미치는 해악이 너무 커서 어떠한 경우에도 허용될 수 없다는 사회적 합의를 법제화한 것입니다.

구체적으로 금지되는 사례는 다음과 같습니다.

• 정부 주도의 사회적 점수제(Social Scoring): 중국에서 시행되는 것과 같이 개인의 사회적 행동을 기반으로 점수를 매기고 불이익을 주는 시스템.2
• 인간 행동 조작: 개인의 잠재의식적 취약점을 이용하거나 기만적인 기술을 사용해 신체적·정신적 피해를 유발하도록 인간의 행동을 왜곡하는 시스템.1
• 취약계층 착취: 연령, 신체적 또는 정신적 장애와 같은 특정 그룹의 취약점을 악용하는 시스템.1
• 무차별적인 안면 이미지 스크래핑: 인터넷이나 CCTV 영상에서 안면 이미지를 무차별적으로 수집하여 안면 인식 데이터베이스를 구축하거나 확장하는 행위.1
• 직장 및 교육 기관에서의 감정 인식: 고용이나 교육 환경에서 개인의 감정을 추론하기 위해 AI를 사용하는 행위.1

이러한 금지 조항을 위반할 경우, 최대 3,500만 유로 또는 전 세계 연간 총매출액의 7% 중 더 높은 금액의 과징금이 부과될 수 있습니다.4 이는 EU가 기본권 침해를 얼마나 심각하게 다루고 있는지를 보여주는 강력한 신호입니다.

2단계: 고위험 AI 시스템 (High-Risk AI Systems, HRAIS)

AI Act 규제의 핵심은 바로 이 '고위험 AI 시스템'에 집중됩니다. 이 시스템들은 금지되지는 않지만, 시장에 출시되기 전(ex-ante)부터 전체 수명 주기에 걸쳐 매우 엄격한 의무를 준수해야 합니다.2

고위험 AI는 크게 두 가지 범주로 나뉩니다. 첫째, 의료기기, 장난감, 자동차, 항공 등 기존 EU의 안전 규제가 적용되는 제품의 '안전 부품'으로 사용되는 AI 시스템입니다. 둘째, 법의 부속서 III(Annex III)에 명시된 특정 분야의 AI 시스템으로, 이들은 기본권에 중대한 영향을 미칠 가능성이 크기 때문에 고위험으로 분류됩니다.1

부속서 III에 명시된 주요 고위험 분야는 다음과 같습니다.

• 핵심 인프라 관리: 물, 가스, 전기 등 필수 공공 인프라의 관리 및 운영.1
• 교육 및 직업 훈련: 시험 채점, 입학 사정 등 교육 기회에 대한 접근을 결정하는 시스템.1
• 고용 및 인사 관리: 이력서 분류 소프트웨어, 채용, 승진, 해고 결정에 사용되는 시스템.1
• 필수 서비스에 대한 접근: 대출 신청 거부 등 개인의 신용도를 평가하는 신용평가 시스템.1
• 법 집행 및 사법 행정: 증거의 신뢰성 평가, 판결 보조 등 사법 절차에 사용되는 시스템.1
• 이민, 망명, 국경 통제: 비자 신청의 자동 심사 등.1

이러한 고위험 AI 시스템의 제공자(provider)는 다음과 같은 엄격한 의무를 이행해야 합니다.

• 위험 관리 시스템 구축: AI 시스템의 전체 수명 주기 동안 발생 가능한 위험을 지속적으로 식별, 분석, 평가 및 완화하는 프로세스를 수립하고 문서화해야 합니다.1
• 데이터 및 데이터 거버넌스: 훈련, 검증, 테스트에 사용되는 데이터가 편향이나 차별적 결과를 최소화할 수 있도록 높은 품질을 갖추고, 관련성 있으며, 오류가 없도록 엄격한 데이터 거버넌스 조치를 취해야 합니다.1
• 기술 문서 및 기록 보관: 시스템의 목적, 기능, 한계 등을 상세히 기술한 기술 문서를 작성하고, 시스템의 작동을 추적할 수 있도록 자동으로 생성되는 로그 기록을 보관해야 합니다.1
• 투명성 및 사용자 정보 제공: 시스템을 사용하는 배치자(deployer)가 시스템을 올바르게 이해하고 사용할 수 있도록 명확하고 충분한 정보를 제공해야 합니다.1
• 인간 감독: 시스템이 의도치 않은 결과를 초래하는 것을 방지하거나 최소화할 수 있도록 적절한 수준의 인간 감독이 가능하도록 설계되어야 합니다.1
• 정확성, 견고성, 사이버 보안: 예측 가능한 수준의 정확성을 달성하고, 오류나 비일관성에 대해 견고하며, 사이버 위협으로부터 복원력을 갖추도록 기술적으로 높은 표준을 충족해야 합니다.1
• 적합성 평가 및 CE 마킹: 시장에 출시하기 전에 지정된 기관을 통해 적합성 평가 절차를 거쳐야 하며, 규정 준수를 증명하는 CE 마크를 부착해야 합니다. CE 마크 없이는 EU 내에서 유통 및 판매가 불가능합니다.4
• EU 데이터베이스 등록: 모든 고위험 AI 시스템은 EU가 운영하는 공개 데이터베이스에 등록하여 투명성을 확보해야 합니다.4

3단계: 범용 AI(GPAI) 및 제한된 위험 시스템에 대한 특별 규칙

AI Act는 특정 용례와 무관하게 광범위한 능력을 가진 기반 모델(foundation models)의 중요성을 인식하고, 이에 대한 별도의 규제 체계를 도입했습니다. 이는 입법 과정에서 생성형 AI의 급부상에 대응하기 위해 추가된 매우 중요한 부분입니다.

• 범용 AI 모델(GPAI Models): ChatGPT와 같은 기반 모델은 그 자체로 고위험이 아니더라도, 다양한 다운스트림 애플리케이션의 기반이 되기 때문에 규제 대상이 됩니다.2 모든 GPAI 제공자는 모델의 아키텍처, 성능, 한계 등을 설명하는 기술 문서를 작성하고, EU 저작권법을 준수하기 위한 정책을 수립하며, 훈련에 사용된 데이터 콘텐츠에 대한 상세한 요약을 제공해야 하는 투명성 의무를 부담합니다.2
• 체계적 위험을 가진 GPAI(GPAI with Systemic Risk): 특히 훈련에 사용된 누적 연산량이  FLOPs를 초과하는 등 매우 강력한 성능을 가진 모델은 '체계적 위험'을 가진 것으로 간주되어 추가적인 의무를 부담합니다.2 이들 모델은 모델 평가 수행, 체계적 위험 평가 및 완화, 심각한 사고 보고, 사이버 보안 보장 등 더 높은 수준의 책임을 져야 합니다.
• 제한된 위험 시스템(Limited Risk Systems): 이 범주의 AI 시스템은 주로 투명성 의무에 초점을 맞춥니다. 예를 들어, 챗봇과 상호작용하는 사용자는 자신이 기계와 대화하고 있음을 인지해야 하며, 딥페이크와 같이 AI로 생성되거나 조작된 콘텐츠는 이것이 인공적으로 생성되었음을 명확히 표시해야 합니다.1 이는 사용자가 정보에 기반한 결정을 내릴 수 있도록 신뢰를 보장하기 위함입니다.

4단계: 최소 위험 (Minimal Risk)

스팸 필터, 비디오 게임 내 AI 등 대부분의 AI 애플리케이션은 이 범주에 속합니다.2 AI Act는 이러한 최소 위험 시스템에 대해 어떠한 법적 의무도 부과하지 않으며, 기업들이 자발적으로 신뢰성 강화를 위한 행동 강령(codes of conduct)을 채택하도록 권장합니다.2

이러한 규제 체계의 설계는 단순한 분류를 넘어, 전 세계 AI 가치 사슬이 EU 표준을 향하도록 만드는 전략적 의도를 담고 있습니다. 예를 들어, 한국의 한 기업이 EU 시장에 고위험 의료 진단 AI를 판매하고자 한다면, CE 마크를 획득하기 위해 AI Act의 모든 엄격한 요구사항을 충족해야 합니다.1 만약 이 진단 AI가 제3자의 범용 AI 모델을 기반으로 개발되었다면, 적합성 평가 과정에서 해당 범용 모델의 아키텍처, 훈련 데이터, 편향성 등에 대한 깊이 있는 정보가 요구될 것입니다. 결과적으로 이 한국 기업은 내부를 알 수 없는 '블랙박스' 모델의 사용을 거부하고, EU AI Act가 요구하는 수준의 투명성과 문서를 제공하는 모델만을 선택하게 될 것입니다. 이러한 상업적 수요는 미국이나 한국의 범용 AI 모델 제공자들이 직접적인 규제 대상이 아니더라도, 그들의 주요 고객인 고위험 AI 시스템 제공자들의 요구에 부응하기 위해 EU 스타일의 투명성 표준을 채택하도록 압박하는 강력한 시장 기반의 집행 메커니즘을 창출합니다.

더 나아가, AI Act가 'AI 시스템'을 "입력으로부터 추론하여 예측, 콘텐츠 등의 출력을 생성하도록 설계된 기계 기반 시스템"으로 폭넓게 정의한 것은 매우 중요한 전략적 선택입니다.4 이 정의는 '머신러닝'이나 '신경망'과 같은 특정 기술에 법을 얽매이지 않고, 기술 중립적인 기능(추론을 통해 출력을 생성)에 초점을 맞춥니다. 이는 기술이 발전하여 현재의 패러다임을 넘어서는 새로운 형태의 AI가 등장하더라도, 법을 개정할 필요 없이 지속적으로 규제 범위에 포함시킬 수 있음을 의미합니다. 이러한 미래지향적 정의는 AI Act의 장기적인 안정성과 유효성을 보장하며, 정치적 변동에 따라 규제 방향이 급변할 수 있는 미국의 행정명령 기반 접근 방식과 뚜렷한 대조를 이룹니다.11

 

제2장: 이행 로드맵: 주요 날짜와 마감일

 

EU AI Act는 법의 공식 발효와 실제 적용 시점 사이에 상당한 유예 기간을 두는 단계적 이행 방식을 채택하고 있습니다. 이는 기업과 규제 당국이 새로운 의무에 대비할 시간을 주기 위함입니다. 법률은 2024년 7월 12일 EU 관보에 게재되었고, 20일 후인 2024년 8월 1일에 공식적으로 '발효(entry into force)'되었습니다.4 그러나 '발효'는 법적 효력이 발생하기 시작했다는 의미일 뿐, 모든 조항이 즉시 적용되는 것은 아닙니다. 실제 의무는 아래의 로드맵에 따라 순차적으로 적용됩니다.4

이 로드맵은 기업의 규정 준수팀, 법무팀, 제품 관리자에게 매우 중요한 실무 지침을 제공합니다. 복잡한 법률 조항을 실행 가능한 프로젝트 계획으로 전환시켜 주며, 기업들이 마감일에 맞춰 자원을 효율적으로 배분하고 우선순위를 정할 수 있도록 돕습니다. 예를 들어, 2년의 일반 적용 시한만 보고 안심하고 있던 기업이라도, 이 로드맵을 통해 금지 조항이나 범용 AI 규칙과 같이 훨씬 더 이른 시점에 적용되는 중요한 마감일들을 인지하고 즉각적인 대응에 나설 수 있습니다.

EU AI Act 단계별 이행 타임라인

 

날짜	적용되는 주요 규정	기업에 대한 시사점 (특히 한국 기업)
2025년 2월 2일	'수용 불가능한 위험' AI 시스템에 대한 금지 조항 시행 4	즉각적인 조치 필요: EU 시장을 대상으로 하는 제품 중 사회적 점수제, 특정 생체 인식 감시 등 금지 목록에 해당하는 시스템의 개발 및 배포를 즉시 중단해야 합니다.
2025년 8월 2일	범용 AI(GPAI) 모델에 대한 규칙 적용 4	가치 사슬 점검: 자사 제품에 사용하는 GPAI 모델 제공자가 기술 문서 제공, 저작권 정책 준수 등 투명성 의무를 이행하는지 확인해야 합니다. 이는 '규제 중력 우물' 효과가 본격적으로 나타나는 시점입니다.
2026년 8월 2일	고위험 AI 시스템(HRAIS)에 대한 의무를 포함한 법의 대부분 조항이 일반적으로 적용 4	핵심 준수 마감일: 위험 관리 시스템, 데이터 거버넌스, CE 마킹, EU 데이터베이스 등록 등 고위험 AI 시스템에 대한 완전한 규정 준수 체계를 갖춰야 하는 최종 시한입니다. 모든 제품 개발 주기는 이 날짜를 기준으로 역산하여 계획되어야 합니다.
2027년 8월 2일	기존 EU 법률에 따라 이미 규제되는 제품(예: 의료기기)의 안전 부품인 고위험 AI 시스템에 대한 완전한 적용 6	최종 통합: 의료기기, 기계류 등 특정 산업 분야의 기업들은 기존 산업별 규제에 더해 AI Act의 요구사항까지 완벽하게 통합하여 AI 부품의 규정 준수를 보장해야 합니다.

 

제2부: 한국의 접근법: 기로에 선 AI 강국

제3장: 대한민국의 입법 현황: 프레임워크를 향한 여정

 

대한민국은 세계적인 수준의 AI 기술력과 인프라를 보유한 AI 선도국 중 하나이지만, 아이러니하게도 AI에 대한 포괄적인 기본법은 아직 제정되지 못했습니다. 21대 국회에서 여러 법안이 발의되었으나 회기 만료로 폐기되었고, 22대 국회 들어 다시금 입법 논의가 활발하게 진행되고 있습니다.10 AI 관련 법안이 수없이 발의되고 있다는 사실은 입법부의 높은 관심을 보여주지만, 동시에 사회적 합의가 아직 이루어지지 않았음을 방증하기도 합니다.15

현재 한국 정부와 산업계의 지배적인 기조는 '선(先)진흥, 후(後)규제' 원칙으로 요약될 수 있습니다.10 이는 EU의 '기본권 우선' 접근 방식과는 근본적으로 다른 출발점입니다. 정부는 AI 데이터센터 구축, 국가 대표 거대언어모델(LLM) 개발 지원, 전 산업 분야의 AI 도입 촉진 등 산업 경쟁력 강화에 정책의 초점을 맞추고 있습니다.18 규제는 혁신의 발목을 잡는 장애물로 인식되는 경향이 있으며, 이로 인해 입법 논의는 신중하고 점진적인 방향으로 흐르고 있습니다.

22대 국회에서 발의된 여러 AI 관련 법안들(예: 안철수, 정점식, 권칠승 의원안 등)은 몇 가지 공통적인 특징을 보입니다.10

• 거버넌스 기구 설립: 대부분의 법안은 대통령 소속의 '국가인공지능위원회'와 같은 국가 차원의 컨트롤 타워를 신설하여 AI 전략을 수립하고 정책을 총괄하도록 규정하고 있습니다.10
• '고위험' 또는 '고영향' AI 중심 규제: 법안들은 EU의 용어를 차용하여 '고위험' 또는 '고영향' AI 개념을 도입하고 있으나, 그 정의의 범위가 상대적으로 좁고 부과되는 의무의 수준도 현저히 낮습니다.10
• 사업자 의무의 한계: 핵심적인 사업자 의무는 주로 고위험 AI나 생성형 AI를 사용한다는 사실을 이용자에게 '사전에 고지'하는 것에 국한됩니다.10 이는 EU가 요구하는 포괄적인 위험 관리 및 적합성 평가 체계와는 큰 차이를 보입니다.
• '우선허용, 사후규제' 원칙 명시: 일부 법안은 AI 기술 개발 및 서비스 출시를 원칙적으로 허용하고, 실제 피해가 발생한 경우에만 사후적으로 개입하는 '우선허용, 사후규제' 원칙을 명시하고 있습니다.10 이는 고위험 시스템에 대해 시장 출시 전 적합성 평가를 의무화하는 EU의 사전 규제 모델과 정면으로 배치됩니다.
• 강력한 제재 부재: 권칠승 의원안 등 일부 예외를 제외하면, 대부분의 법안은 위반 시 처벌 조항이 없거나 매우 미미합니다.10 이는 법적 강제보다는 산업계의 자율 규제를 선호하는 정책 방향을 반영합니다.

 

제4장: 두 가지 전략 이야기: 대한민국 대 유럽연합

 

한국과 EU의 AI 규제 접근 방식은 단순한 법률 조항의 차이를 넘어, AI를 바라보는 근본적인 철학의 차이를 드러냅니다. EU는 AI로 인해 발생할 수 있는 잠재적 위험을 사전에 예방하고 인간의 존엄성과 기본권을 보호하는 것을 최우선 가치로 두는 '예방적 권리 중심 모델'을 채택했습니다.8 반면, 한국은 AI를 경제 성장과 국가 경쟁력의 핵심 동력으로 보고, 규제가 혁신을 저해해서는 안 된다는 '실용적 혁신 중심 모델'을 따르고 있습니다. EU가 "AI가 어떻게 해를 끼치는 것을 막을 수 있는가?"라고 묻는다면, 한국은 "규제가 어떻게 AI 발전을 늦추지 않도록 할 수 있는가?"라고 묻는 셈입니다.

이러한 철학적 차이는 구체적인 규제 내용에서 명확하게 나타납니다.

• 규제 범위: EU AI Act는 모든 산업 분야에 동일하게 적용되는 포괄적인 '수평적' 규제입니다. 반면, 한국의 법안들은 AI에 대한 기본 원칙과 방향을 제시하는 '기본법'의 성격이 강하며, 구체적인 규제는 향후 각 산업 분야별로 마련될 가능성을 열어두고 있습니다.8
• 고위험 AI의 정의와 의무: 양측 모두 '고위험'이라는 용어를 사용하지만, EU의 정의가 훨씬 광범위하며, 위험 관리 시스템 구축, 데이터 거버넌스, CE 마킹 등 법적으로 강제되는 의무 목록은 한국 법안들이 제안하는 단순한 고지 의무와는 비교할 수 없을 정도로 포괄적이고 엄격합니다.10
• 집행력: EU의 수백억 원대에 이르는 과징금은 규제의 실효성을 담보하는 강력한 수단입니다. 반면, 한국의 법안들은 대부분 강력한 제재 수단이 결여되어 있어, 법의 준수가 기업의 자율에 맡겨질 가능성이 큽니다.4

한국의 이러한 '지켜보자(wait-and-see)' 접근 방식은 단기적으로 국내 AI 산업의 규제 부담을 덜어주어 혁신을 촉진할 수 있다는 장점이 있지만, 장기적으로는 큰 위험을 내포하는 '하이 리스크, 하이 리턴' 전략입니다. 정부의 목표는 AI 3대 강국으로 도약하는 것이며, 이를 위해 규제 완화와 대규모 투자를 병행하고 있습니다.18 그러나 삼성, 네이버, 카카오와 같은 한국의 대표 AI 기업들은 이미 글로벌 시장에서 활동하고 있으며, EU 시장을 외면할 수 없습니다. 결국 이들 기업은 EU AI Act의 역외 적용 효력 때문에 국내법의 부재와 상관없이 제품과 서비스를 EU 표준에 맞춰 개발하고 검증해야만 합니다.3 명확하고 강력한 국내법이 없다는 것은, 이들 기업이 통일된 기준 없이 각자 복잡한 EU 프레임워크에 대응해야 함을 의미하며, 이는 오히려 규정 준수 비용을 높이고 신뢰할 수 있는 AI 개발에 대한 접근을 사후 대응적으로 만들 수 있습니다. 규제 완화가 가져올 단기적인 혁신 효과가, 글로벌 표준과 동떨어진 국내 규제 환경이 초래할 장기적인 전략적 불이익을 상쇄할 수 있을지는 미지수입니다.

또한, 22대 국회에서만 10개가 넘는 AI 관련 법안이 경쟁적으로 발의되고 있는 현상은 단순한 활발한 논의의 증거가 아니라, AI 입법의 핵심 목적에 대한 근본적인 사회적 갈등이 존재함을 보여줍니다.10 어떤 법안은 산업 진흥과 자금 지원에만 초점을 맞추고, 다른 법안은 소극적인 규제(고지 의무)를 시도하며, 또 다른 일부는 EU와 유사한 금지 조항과 처벌을 제안합니다. 이러한 입법적 파편화는 한국 사회가 AI가 가져올 경제적 기회와 사회적 위험 사이에서 아직 합의점을 찾지 못했음을 드러냅니다. 수년간의 논쟁 끝에 '권리 기반 접근'이라는 강력한 합의를 도출한 EU와는 대조적입니다. 이 내부적 갈등이야말로 입법 지연의 근본적인 원인이며, 산업계를 장기적인 불확실성 속에 머물게 하고 있습니다.

 

제3부: 글로벌 규제 모자이크: 기술 강대국들의 전략

 

한국과 EU의 대조적인 접근 방식은 AI 거버넌스를 둘러싼 더 큰 규모의 글로벌 분화 현상의 일부입니다. 세계는 단일한 AI 규제 모델로 수렴하는 대신, 각기 다른 철학과 목표를 가진 여러 진영으로 나뉘고 있습니다.

 

제5장: 미국: 혁신 친화적, 프레임워크 기반 모델

 

미국은 EU와 같이 단일하고 포괄적인 연방 AI 법률을 제정하는 대신, 행정명령, 기관별 규칙, 자발적 프레임워크, 그리고 잠재적인 주(州) 단위 입법이 혼합된 '패치워크(patchwork)'식 접근을 취하고 있습니다.3

이 접근 방식의 중심에는 대통령 행정명령이 있습니다. 바이든 행정부의 '행정명령 14110'은 '안전하고, 안정적이며, 신뢰할 수 있는 AI' 개발을 목표로, 혁신 촉진과 위험 완화 사이의 균형을 추구했습니다.22 이 명령은 AI 산업 경쟁 촉진, 시민권 보호, 국가 안보 보장, 연방 기관 내 '최고 AI 책임자(Chief AI Officer)' 임명 등 8가지 정책 목표를 제시했습니다.22 그러나 이러한 행정명령 기반 접근의 가장 큰 약점은 정치적 변동성입니다. 트럼프 행정부는 규제 완화와 '미국 우선주의'를 강조하며 이전 행정부의 정책을 뒤집는 경향을 보였으며, 이는 AI 정책 역시 예외가 아님을 시사합니다.11 이러한 불안정성은 기업들에게 장기적인 규제 예측 가능성을 제공하지 못합니다.

미국 접근법의 또 다른 핵심 기둥은 국립표준기술연구소(NIST)가 개발한 'AI 위험 관리 프레임워크(AI Risk Management Framework, RMF)'입니다.24

• 자발적 가이드라인: NIST AI RMF는 법적 구속력이 없는 자발적 가이드라인입니다.25 그 힘은 법적 강제력이 아니라, 사실상의 산업 표준(de facto standard)으로 널리 채택되고 있다는 점에서 나옵니다.
• 핵심 기능: 이 프레임워크는 '거버넌스(Govern), 매핑(Map), 측정(Measure), 관리(Manage)'라는 4가지 핵심 기능을 통해 조직이 AI 수명 주기 전반에 걸쳐 위험 관리를 통합할 수 있는 실용적이고 반복적인 프로세스를 제공합니다.24
• EU AI Act와의 관계: NIST RMF와 EU AI Act는 상호 보완적인 관계로 볼 수 있습니다. RMF가 위험을 관리하는 '방법(how)'에 대한 프로세스를 제공한다면, AI Act는 법적으로 준수해야 할 '내용(what)'과 구체적인 기준을 제시합니다.25

 

제6장: 중국: 국가 중심의 AI 통제 접근법

 

중국의 AI 전략은 2030년까지 세계 AI 패권을 장악한다는 야심 찬 목표와 함께, 국가 안보, 사회 안정, 그리고 국가 통제력 강화라는 목표에 의해 강력하게 추동됩니다.27

중국은 EU와 같은 수평적 일반법 대신, 특정 AI 응용 분야를 겨냥하는 '수직적(vertical)' 규제 방식을 채택하고 있습니다. 대표적인 예로 '인터넷 정보 서비스 알고리즘 추천 관리 규정'이나 '딥페이크 기술 관리 규정' 등이 있습니다.27

특히 주목할 만한 것은 '생성형 AI 서비스 관리 임시 조치'입니다.27

• 적용 범위: 이 조치는 중국 내 '일반 대중'에게 제공되는 서비스에만 적용되며, 기업 내부의 연구개발이나 기업 간(B2B) 서비스는 전략적으로 규제 대상에서 제외하여 산업 발전을 저해하지 않으려는 의도를 보입니다.29
• 제공자 의무: 대중에게 서비스를 제공하는 사업자는 합법적인 출처의 데이터 사용, 생성된 콘텐츠에 대한 지속적인 모니터링 및 검열, AI 생성 콘텐츠임을 명시하는 라벨링, 개인정보 보호 등 매우 엄격한 의무를 부담합니다. 특히, 서비스 제공자는 '콘텐츠 생산자'로서의 책임을 져야 합니다.29
• 국가 통제: 이 모든 조치의 궁극적인 목표는 대중에게 공개되는 모든 AI 생성 콘텐츠가 사회주의 핵심 가치에 부합하고, 국가의 이익이나 사회 안정을 저해하지 않도록 보장하는 데 있습니다.

 

제7장: 일본: 합의와 자율 규제의 '소프트 로(Soft Law)' 경로

 

일본은 EU의 '하드 로(hard law)'와 미국의 시장 방임주의 사이에서, 산업계의 자율 규제와 비구속적인 가이드라인을 통해 위험을 관리하는 제3의 길을 모색하고 있습니다.30

일본 정부는 생성형 AI 사용, 데이터 보호, 공정 경쟁 등 다양한 분야에 대해 법적 구속력은 없지만 기업들이 준수할 것으로 기대되는 가이드라인을 발표해왔습니다.30 이러한 접근은 경직된 법률보다는 유연한 지침을 통해 빠르게 변화하는 기술 환경에 대응하려는 의도입니다.

최근 제정된 'AI 추진법'은 이러한 일본의 철학을 명확히 보여줍니다.31 법의 명칭에서 알 수 있듯이, 이 법은 AI를 규제하기보다는 그 연구개발과 활용을 '촉진'하는 데 목적이 있습니다. 인간 중심, 안전, 프라이버시 등 기본 원칙을 선언하고 국가 AI 전략을 수립할 기구를 설치하는 내용을 담고 있지만, 강력한 규제 조항이나 처벌 규정은 포함하지 않습니다.31 이는 법적 강제와 강력한 제재를 기반으로 하는 EU 모델과 뚜렷한 대조를 이룹니다.

이러한 글로벌 동향을 종합해 보면, 세계는 단일한 AI 거버넌스 모델로 수렴하는 것이 아니라, 세 개의 뚜렷한 축으로 나뉘는 '규제 3극 체제(Regulatory Tripolarity)'가 형성되고 있음을 알 수 있습니다. 첫째는 EU가 주도하는 '권리 기반 법치주의 블록', 둘째는 미국이 대표하는 '시장 주도 혁신주의 블록', 그리고 셋째는 중국의 '국가 통제 안보주의 블록'입니다. 한국이나 일본과 같은 국가들은 이 세 거대 블록의 중력장 안에서 자국의 전략적 위치를 모색해야 하는 상황에 놓여 있습니다.

이 세 모델의 근본적인 차이는 AI의 '위험(risk)'을 무엇으로 정의하는가에 있습니다. 이는 단순한 기술적 논쟁이 아닌, 깊은 이념적 대립을 반영합니다.

• EU에게 가장 큰 위험은 기본적 인권의 침해입니다.1 모든 규제 구조는 이 위험을 완화하기 위해 설계되었습니다.
• 미국에게 가장 큰 위험은 중국과 같은 경쟁자에게 혁신 경쟁에서 뒤처지는 것입니다.11 규제는 개발자의 마찰을 최소화하는 방향으로 설정됩니다.
• 중국에게 가장 큰 위험은 사회 안정과 국가 통제력의 상실입니다.27 규제는 검열과 감시의 도구로 기능합니다.

따라서 'AI 안전'이나 'AI 윤리'에 대한 국제적 논의는 종종 이 근본적인 이념적 갈등을 내포하고 있습니다. 한 국가가 '위험'을 어떻게 정의하는지를 이해하는 것이 그 국가의 전체 AI 전략을 해독하는 열쇠가 됩니다.

 

제4부: 종합 및 전략적 전망

제8장: 글로벌 AI 거버넌스 프레임워크 비교 분석

 

지금까지 논의된 각국의 복잡한 AI 규제 접근 방식을 한눈에 파악하고 전략적 시사점을 도출하기 위해, 핵심적인 차원들을 기준으로 비교 분석한 표는 다음과 같습니다. 이 표는 수천 단어의 분석을 하나의 압축된 형태로 제공함으로써, 바쁜 정책 결정자나 기업 경영진이 글로벌 규제 지형의 핵심을 신속하게 파악할 수 있는 가장 효율적인 도구입니다. 예를 들어, EU의 높은 과징금 4은 일본의 '소프트 로' 접근 방식 31과는 근본적으로 다른 법적 위험 관리 태세를 요구한다는 점을 즉각적으로 보여줍니다.

글로벌 AI 규제 비교 분석표

 

차원	유럽연합	대한민국 (법안 논의)	미국	중국	일본
전체 모델	포괄적, 수평적, 법적 구속력 있는 '하드 로(Hard Law)' 1	원칙 중심의 '기본법', '소프트 로(Soft Law)' 접근 8	행정명령, 자발적 프레임워크, 부문별 규칙의 '패치워크' 11	수직적, 국가 주도, 공공 서비스에 대한 법적 구속력 27	산업 진흥법과 비구속적 가이드라인 기반의 '소프트 로' 30
핵심 철학	권리 기반, 예방 원칙, 신뢰할 수 있는 AI 1	혁신 중심, '선진흥, 후규제' 10	시장 주도, 혁신 중심, 국가 경쟁력 11	국가 통제, 국가 안보, 사회 안정 27	균형 추구, 산업 자율 규제, 사회적 합의 31
위험 접근법	4단계 피라미드: 금지, 고위험, 제한된 위험, 최소 위험 1	'고영향' AI 중심, 고지 의무 부과 10	NIST RMF를 통한 자발적 위험 관리 24	콘텐츠 기반 위험, '불법' 콘텐츠 검열 29	가이드라인 내 안전 및 프라이버시 원칙 제시 30
주요 사업자 의무	위험 관리, 데이터 거버넌스, CE 마킹, 등록 등 광범위한 의무 1	주로 고위험 및 생성형 AI에 대한 고지 의무 17	연방 차원의 법적 의무 없음, NIST RMF 자발적 준수 25	콘텐츠 검열, 데이터 합법성, 사용자 보호, 라벨링 29	비구속적 가이드라인 준수, 기존 법률 적용 30
집행 및 제재	최대 3,500만 유로 또는 전 세계 매출 7%의 강력한 과징금 4	대부분 법안에 제재 조항 부재, 일부에서 벌금/징역 제안 10	연방 AI법상 제재 없음, 기존 기관(FTC 등) 권한에 의존 8	경고, 서비스 중단, 형사 책임, 생성형 AI법에는 과징금 없음 29	AI 추진법에 제재 없음, 기존 법률에 의존 31
법적 현황	Regulation (EU) 2024/1689, 2024년 8월 1일 발효, 단계적 적용 4	다수 법안 국회 계류 중, 제정된 법률 없음 10	행정명령 발효, NIST RMF는 공식 가이드라인 22	다수 규정(생성형 AI, 딥페이크 등) 시행 중 28	'AI 추진법' 2025년 6월 시행 31

 

제9장: 결론: 파편화된 규제의 미래를 항해하는 법

 

분석 결과, 세계 AI 거버넌스는 EU, 미국, 중국을 중심으로 한 세 개의 주요 규제 블록으로 분화되고 있으며, 한국과 일본 같은 기술 강국들은 이들 사이에서 자국의 전략적 방향을 모색해야 하는 복잡한 과제에 직면해 있습니다.

이러한 파편화된 환경 속에서 한국 기업들이 반드시 기억해야 할 핵심은 바로 피할 수 없는 '브뤼셀 효과'입니다. 한국의 국내법이 어떤 방향으로 제정되든, 글로벌 시장을 목표로 하는 기업에게 EU AI Act는 사실상의 글로벌 표준으로 작용할 것입니다. EU 시장에 진출하기 위해서는 규정 준수가 선택이 아닌 필수이기 때문입니다.

따라서 한국의 최적 전략은 단순히 '산업 진흥'에만 머무는 것이 아니라, 혁신 친화적이면서도 글로벌 표준, 특히 EU의 기준과 상호 운용 가능한 '스마트' 규제 프레임워크를 설계하는 것입니다. 이는 국내 기업들에게 글로벌 시장에서 경쟁력 있고 신뢰받는 AI를 구축하기 위한 명확한 로드맵을 제공할 것입니다. 규제라는 도전을 글로벌 경쟁력을 확보하는 전략적 기회로 전환하는 지혜가 필요한 시점입니다.


#EUAIACT법 #AI규제 #글로벌AI거버넌스 #위험기반접근법 #고위험AI #한국AI법 #선진흥후규제 #미국AI정책 #중국AI규제 #일본AI법 #브뤼셀효과 #신뢰할수있는AI

---

---

The Global AI Rulebook: A Deep Dive into the EU's AI Act and a Comparative Analysis with Korea, the US, China, and Japan

Part I: The European Union's Blueprint for AI Governance: Setting the Global Standard

Chapter 1: Deconstructing the EU AI Act: A New Global Standard

 

The European Union's (EU) Artificial Intelligence Act, officially designated as Regulation (EU) 2024/1689, is the world's first comprehensive legal framework for artificial intelligence (AI).1 This legislation transcends mere technical regulation, aiming to establish harmonized rules for the development and use of "trustworthy AI." Its core philosophy is a "risk-based approach" that balances innovation with the paramount protection of citizens' fundamental rights, health, and safety.1

One of the Act's most significant features is its powerful extraterritorial reach. Regardless of where an AI system's developer or provider is located, the law applies to any AI system placed on the EU market or whose output is used within the EU.2 This means that, much like the EU's General Data Protection Regulation (GDPR) influenced global data processing practices, the AI Act is highly likely to become the de facto global standard for AI governance through the "Brussels Effect." Consequently, South Korean companies that have entered or plan to enter the EU market must recognize this law not as a regional regulation, but as a mandatory compliance standard for global business.

 

The Risk-Based Pyramid: A Four-Tiered Framework

 

The regulatory logic of the AI Act is built upon a four-tiered pyramid structure, which imposes differentiated obligations based on the level of risk an AI system could pose.

Tier 1: Unacceptable Risk (Prohibited Practices)

This highest tier imposes an outright ban on specific AI systems considered a clear threat to EU values and fundamental rights.1 This is not a judgment on the technology itself, but a legislative codification of a social consensus that certain applications are too harmful to society to be permitted under any circumstances.

Specifically prohibited practices include:

• Government-led Social Scoring: Systems that score individuals based on their social behavior, leading to detrimental treatment, as seen in China.2
• Manipulation of Human Behavior: Systems that use subliminal techniques or exploit vulnerabilities to distort a person's behavior in a way that causes physical or psychological harm.1
• Exploitation of Vulnerable Groups: Systems that exploit the vulnerabilities of specific groups due to their age or physical or mental disability.1
• Untargeted Scraping of Facial Images: The indiscriminate collection of facial images from the internet or CCTV footage to create or expand facial recognition databases.1
• Emotion Recognition in Workplaces and Educational Institutions: The use of AI to infer an individual's emotions in employment or education settings.1

Violations of these prohibitions can result in fines of up to €35 million or 7% of global annual turnover, whichever is higher.4 This serves as a powerful signal of how seriously the EU treats the infringement of fundamental rights.

Tier 2: High-Risk AI Systems (HRAIS)

The core of the AI Act's regulatory focus is on "High-Risk AI Systems." These systems are not banned but are subject to extremely strict obligations that must be met before they are placed on the market (ex-ante) and throughout their entire lifecycle.2

High-risk AI is broadly divided into two categories. First, AI systems that function as "safety components" of products already covered by existing EU safety legislation, such as medical devices, toys, cars, and aviation. Second, AI systems listed in Annex III of the Act, which are classified as high-risk due to their potential to significantly impact fundamental rights.1

Key high-risk areas specified in Annex III include:

• Management of Critical Infrastructure: The management and operation of essential public infrastructure like water, gas, and electricity.1
• Education and Vocational Training: Systems that determine access to educational opportunities, such as exam scoring and admission assessments.1
• Employment and Workers Management: CV-sorting software, and systems used in recruitment, promotion, or termination decisions.1
• Access to Essential Services: Credit scoring systems that could deny citizens access to loans.1
• Law Enforcement and Administration of Justice: Systems used to evaluate the reliability of evidence or to assist judicial authorities.1
• Migration, Asylum, and Border Control Management: Automated examination of visa applications.1

Providers of these high-risk AI systems must fulfill the following stringent obligations:

• Risk Management System: Establish and document a continuous process to identify, analyze, evaluate, and mitigate potential risks throughout the AI system's lifecycle.1
• Data and Data Governance: Implement strict data governance measures to ensure that the data used for training, validation, and testing is of high quality, relevant, and free of errors to minimize bias and discriminatory outcomes.1
• Technical Documentation and Record-Keeping: Create detailed technical documentation explaining the system's purpose, capabilities, and limitations, and maintain automatically generated logs to trace the system's operation.1
• Transparency and Provision of Information to Users: Provide clear and adequate information to deployers to enable them to understand and use the system correctly.1
• Human Oversight: Design the system to allow for an appropriate level of human oversight to prevent or minimize risks from unintended outcomes.1
• Accuracy, Robustness, and Cybersecurity: Ensure the system achieves a predictable level of accuracy, is robust against errors or inconsistencies, and is resilient to cyber threats.1
• Conformity Assessment and CE Marking: Undergo a conformity assessment procedure by a notified body before market entry and affix a CE mark to demonstrate compliance. Distribution and sale within the EU are prohibited without this mark.4
• Registration in an EU Database: Register all high-risk AI systems in a public, EU-wide database to ensure transparency.4

Tier 3: Specific Rules for General-Purpose AI (GPAI) and Limited Risk Systems

The AI Act recognizes the profound impact of foundation models with broad capabilities and introduces a separate regulatory regime for them. This was a crucial addition during the legislative process to address the rapid rise of generative AI.

• General-Purpose AI (GPAI) Models: Foundation models like ChatGPT are regulated, even if they are not high-risk in themselves, because they serve as the basis for numerous downstream applications.2 All GPAI providers have transparency obligations, including creating technical documentation on the model's architecture and performance, establishing a policy to comply with EU copyright law, and providing a detailed summary of the content used for training.2
• GPAI with Systemic Risk: The most powerful models, particularly those trained with a cumulative computational budget exceeding  FLOPs, are deemed to have "systemic risk" and are subject to additional obligations.2 These models must undergo model evaluations, assess and mitigate systemic risks, report serious incidents, and ensure a high level of cybersecurity.
• Limited Risk Systems: AI systems in this category are primarily subject to transparency obligations. For example, users interacting with a chatbot must be informed that they are communicating with a machine, and AI-generated or manipulated content like deepfakes must be clearly labeled as artificial.1 This is to ensure trust and allow users to make informed decisions.

Tier 4: Minimal Risk

The vast majority of AI applications, such as spam filters or AI in video games, fall into this category.2 The AI Act imposes no legal obligations on these minimal-risk systems, though it encourages companies to voluntarily adopt codes of conduct to enhance trustworthiness.2

The design of this regulatory framework reflects a strategic intent that extends beyond mere classification; it is engineered to create a "compliance gravity well" that pulls the entire global AI value chain toward EU standards. For instance, if a South Korean company wishes to sell a high-risk medical diagnostic AI product in the EU, it must meet all the stringent requirements of the AI Act to obtain the CE mark.1 If this diagnostic tool is built upon a third-party GPAI model, the conformity assessment process will demand in-depth information about that model's architecture, training data, and biases. Consequently, the Korean company will reject any "black box" model and will only select models that provide the level of transparency and documentation required by the EU AI Act. This commercial demand creates a powerful, market-based enforcement mechanism that pressures GPAI providers worldwide—including those in the US and South Korea—to adopt EU-style transparency standards, not because they are directly regulated, but because their key customers require it.

Furthermore, the Act's broad, technology-neutral definition of an "AI system" as "a machine-based system designed to... infer, from the input it receives, how to generate outputs such as predictions, content" is a critical strategic choice.4 By focusing on the function (inferring to generate outputs) rather than the method (e.g., "machine learning" or "neural networks"), the law is not tied to any specific technology. This means that as AI evolves and new paradigms emerge, the Act will remain relevant without needing constant amendment. This future-proof definition ensures the long-term stability and validity of the AI Act, standing in stark contrast to the politically volatile, executive order-driven approach in the United States.11

 

Chapter 2: The Implementation Roadmap: Key Dates and Deadlines

 

The EU AI Act adopts a phased implementation approach, providing a significant grace period between its official entry into force and the actual application of its rules. This is designed to give businesses and regulatory authorities ample time to prepare for the new obligations. The law was published in the EU's Official Journal on July 12, 2024, and officially "entered into force" 20 days later, on August 1, 2024.4 However, "entry into force" is a legal formality; it does not mean all provisions are immediately applicable. The actual obligations will be phased in according to the following roadmap.4

This roadmap is a critical practical guide for corporate compliance teams, legal departments, and product managers. It translates complex legal provisions into an actionable project plan, enabling companies to allocate resources efficiently and prioritize their efforts according to the cascading deadlines. For example, a company that might feel complacent seeing a general two-year application timeline will, through this roadmap, recognize the much earlier deadlines for critical provisions like the prohibitions or GPAI rules, prompting immediate action.

EU AI Act Phased Implementation Timeline

 

Date	Key Provisions Coming into Application	Implications for Businesses (Especially in South Korea)
February 2, 2025	Prohibitions on "unacceptable risk" AI systems become enforceable 4	Immediate Action Required: Companies must immediately cease the development and deployment of any products targeting the EU market that fall under the banned categories (e.g., social scoring, certain biometric surveillance).
August 2, 2025	Rules for General-Purpose AI (GPAI) models apply 4	Value Chain Scrutiny: Companies using GPAI models must ensure their providers comply with transparency obligations. This marks the point where the "compliance gravity well" effect begins in earnest.
August 2, 2026	The majority of the Act, including obligations for high-risk AI systems (HRAIS), becomes generally applicable 4	Core Compliance Deadline: This is the final deadline for having a complete HRAIS compliance framework in place, including risk management, CE marking, and EU database registration. All product development cycles must be planned backward from this date.
August 2, 2027	Full application for HRAIS that are safety components of products already regulated under other EU laws (e.g., medical devices) 6	Final Integration: Companies in specific sectors like medical devices or machinery must ensure their AI components are fully compliant with the AI Act in addition to existing sectoral regulations.

 

Part II: The South Korean Approach: A Nation at a Crossroads

Chapter 3: South Korea's Legislative Landscape: The Pursuit of a Framework

 

Ironically, despite being a global leader in AI technology and infrastructure, South Korea has yet to enact a comprehensive framework law for AI. Several bills were proposed in the 21st National Assembly but were discarded at the end of the session, and legislative discussions have resumed with vigor in the 22nd Assembly.10 The sheer volume of AI-related bills being proposed indicates a high level of legislative interest but also points to a lack of social consensus.15

The prevailing sentiment among the South Korean government and industry can be summarized by the principle of "promotion first, regulation later".10 This is a fundamentally different starting point from the EU's "fundamental rights first" approach. The government's policy focus is on strengthening industrial competitiveness through initiatives like building AI data centers, supporting the development of a national large language model (LLM), and promoting AI adoption across all industries.18 Regulation tends to be viewed as an obstacle to innovation, leading legislative discussions in a cautious and gradual direction.

The various AI-related bills proposed in the 22nd National Assembly (e.g., by representatives Ahn Cheol-soo, Jeong Jeom-sik, and Kwon Chil-seung) share several common features.10

• Establishment of a Governance Body: Most bills propose the creation of a national-level control tower, such as a "National AI Committee" under the President, to formulate AI strategy and oversee policy.10
• Regulation Centered on "High-Risk" or "High-Impact" AI: The bills adopt terminology from the EU, introducing the concept of "high-risk" or "high-impact" AI, but the scope of the definition is relatively narrow, and the imposed obligations are significantly lighter.10
• Limited Provider Obligations: The core obligation for providers is primarily limited to "prior notification" to users that they are interacting with a high-risk or generative AI system.10 This is a far cry from the comprehensive risk management and conformity assessment regime required by the EU.
• Principle of "Priority Permitting, Post-Hoc Regulation": Some bills explicitly state the principle of allowing AI technology development and service launches by default, with regulatory intervention only occurring after actual harm has been identified.10 This directly conflicts with the EU's ex-ante regulatory model, which mandates pre-market conformity assessments for high-risk systems.
• Lack of Strong Enforcement: With a few exceptions, such as the bill proposed by Kwon Chil-seung, most proposals lack significant penalty clauses for violations.10 This reflects a policy preference for industry self-regulation over legal enforcement.

 

Chapter 4: A Tale of Two Strategies: South Korea vs. the European Union

 

The contrasting approaches to AI regulation in South Korea and the EU reveal more than just differences in legal provisions; they expose a fundamental divergence in the philosophy of how to view AI. The EU has adopted a "precautionary, rights-centric model," where the highest value is placed on proactively preventing potential risks and protecting human dignity and fundamental rights.8 In contrast, South Korea follows a "utilitarian, innovation-centric model," viewing AI as a core engine for economic growth and national competitiveness, and believing that regulation should not hinder its development. If the EU asks, "How can we stop AI from causing harm?" South Korea asks, "How can we ensure regulation doesn't slow down AI development?"

This philosophical divide is clearly manifested in specific regulatory content.

• Regulatory Scope: The EU AI Act is a comprehensive "horizontal" regulation that applies uniformly across all industrial sectors. In contrast, South Korean bills are more akin to a "basic law" (기본법), intended to set out fundamental principles and directions, leaving the door open for more detailed regulations to be developed sector-by-sector in the future.8
• Definition and Obligations for High-Risk AI: While both jurisdictions use the term "high-risk," the EU's definition is far broader, and its list of legally mandated obligations—such as risk management systems, data governance, and CE marking—is incomparably more comprehensive and stringent than the simple notification duties proposed in South Korean bills.10
• Enforcement Power: The EU's multi-million Euro fines are a powerful tool to ensure the effectiveness of the regulation. In contrast, most South Korean proposals lack strong enforcement mechanisms, making it likely that compliance will be left to the discretion of companies.4

South Korea's "wait-and-see" approach has the short-term advantage of reducing the regulatory burden on its domestic AI industry and potentially fostering innovation, but it is a "high-risk, high-return" strategy with significant long-term dangers. The government's stated goal is to become a top-three AI nation, and it is pursuing this through a combination of deregulation and massive investment.18 However, South Korea's leading AI companies, such as Samsung, Naver, and Kakao, are already global players who cannot afford to ignore the EU market. Ultimately, due to the extraterritorial effect of the EU AI Act, these companies will have to develop and verify their products and services according to EU standards, regardless of the absence of a domestic law.3 The lack of a clear and strong domestic legal framework means these companies must navigate the complex EU framework on their own, without a unified standard. This could increase compliance costs and make their approach to trustworthy AI development reactive rather than proactive. It remains uncertain whether the short-term innovation boost from deregulation will outweigh the long-term strategic disadvantage of having a domestic regulatory environment that is misaligned with emerging global standards.

Furthermore, the fact that over a dozen competing AI-related bills have been proposed in the 22nd National Assembly is not just a sign of active debate; it reveals a fundamental social conflict over the core purpose of AI legislation.10 Some bills focus solely on industrial promotion and funding, others attempt a light-touch regulatory approach (notification duties), and a few propose EU-like prohibitions and penalties. This legislative fragmentation shows that South Korean society has not yet reached a consensus on the balance between economic opportunity and social risk. This is in stark contrast to the EU, which, after years of debate, forged a strong consensus on a rights-based approach. This internal conflict is the root cause of the legislative delay, leaving the industry in a prolonged state of uncertainty.

 

Part III: Global Regulatory Mosaic: Strategies of Tech Superpowers

 

The contrasting approaches of South Korea and the EU are part of a larger global divergence in AI governance. The world is not converging on a single AI regulatory model but is instead fracturing into several camps with different philosophies and goals.

 

Chapter 5: The United States: A Pro-Innovation, Framework-Driven Model

 

The United States has not enacted a single, comprehensive federal AI law comparable to the EU's. Instead, its approach is a "patchwork" of executive orders, agency-specific rules, voluntary frameworks, and potential state-level legislation.3

At the center of this approach are presidential executive orders. The Biden administration's Executive Order 14110 aimed to balance innovation with risk mitigation under the banner of "Safe, Secure, and Trustworthy" AI.22 This order outlined eight policy goals, including promoting competition in the AI industry, protecting civil rights, ensuring national security, and appointing a "Chief AI Officer" in federal agencies.22 However, the greatest weakness of this executive order-based approach is its political volatility. The Trump administration showed a tendency to reverse the policies of its predecessor, prioritizing deregulation and an "America First" agenda, suggesting that AI policy is no exception.11 This instability fails to provide businesses with long-term regulatory predictability.

Another key pillar of the US approach is the AI Risk Management Framework (RMF) developed by the National Institute of Standards and Technology (NIST).24

• Voluntary Guideline: The NIST AI RMF is a voluntary guideline, not a legally binding regulation.25 Its power stems not from legal force but from its widespread adoption as a de facto industry standard.
• Core Functions: The framework provides a practical, iterative process for organizations to integrate risk management into their AI lifecycle through four core functions: Govern, Map, Measure, and Manage.24
• Relationship with the EU AI Act: The NIST RMF and the EU AI Act can be seen as complementary. The RMF provides the "how" (a process for managing risk), while the AI Act provides the "what" (specific legal requirements and thresholds).25

 

Chapter 6: China: The State-Centric Approach to AI Control

 

China's AI strategy is powerfully driven by its ambitious goal of achieving global AI dominance by 2030, coupled with the objectives of strengthening national security, social stability, and state control.27

Instead of a horizontal general law like the EU's, China has adopted a "vertical" regulatory approach that targets specific AI applications. Notable examples include the "Provisions on the Management of Algorithmic Recommendations in Internet Information Services" and the "Regulations on the Deep Synthesis Management".27

Particularly noteworthy are the "Interim Measures for the Management of Generative AI Services".27

• Scope: These measures apply only to services provided to the "general public" within China, strategically exempting internal R&D and business-to-business (B2B) services to avoid hindering industrial development.29
• Provider Obligations: Providers offering services to the public are subject to extremely strict obligations, including using data from legitimate sources, continuous content monitoring and censorship, labeling of AI-generated content, and protecting personal information. Crucially, the service provider is held responsible as the "content producer".29
• State Control: The ultimate goal of all these measures is to ensure that all publicly available AI-generated content aligns with core socialist values and does not undermine national interests or social stability.

 

Chapter 7: Japan: The "Soft Law" Path of Consensus and Self-Regulation

 

Japan is charting a third way between the EU's "hard law" and American market laissez-faire, seeking to manage risks through industry self-regulation and non-binding guidelines.30

The Japanese government has issued guidelines in various areas, such as the use of generative AI, data protection, and fair competition, which are not legally binding but are expected to be followed by businesses.30 This approach aims to respond to the rapidly changing technological landscape with flexible guidance rather than rigid laws.

The recently enacted "AI Promotion Act" clearly reflects this philosophy.31 As its name suggests, the law's purpose is to "promote" the research, development, and utilization of AI, not primarily to regulate it. It declares fundamental principles like human-centricity, safety, and privacy, and establishes a body to formulate a national AI strategy, but it does not include strong regulatory provisions or penalties.31 This stands in stark contrast to the EU model, which is based on legal enforcement and powerful sanctions.

Synthesizing these global trends, it becomes clear that the world is not converging on a single AI governance model but is fracturing into a "Regulatory Tripolarity" with three distinct axes. The first is the "rights-based, rule-of-law bloc" led by the EU. The second is the "market-driven, innovation-first bloc" represented by the US. And the third is China's "state-controlled, security-first bloc." Nations like South Korea and Japan find themselves in the gravitational pull of these three massive blocs, forced to navigate their strategic positions.

The fundamental difference between these three models lies in how they define the "risk" of AI. This is not a simple technical debate but reflects a deep ideological conflict.

• For the EU, the primary risk is the violation of fundamental human rights.1 The entire regulatory structure is designed to mitigate this risk.
• For the US, the primary risk is losing the innovation race to competitors like China.11 The regulatory posture is designed to minimize friction for developers.
• For China, the primary risk is a loss of social stability and state control.27 Regulations function as tools of censorship and surveillance.

Therefore, international discussions about "AI safety" or "AI ethics" often contain this underlying ideological conflict. Understanding how a country defines "risk" is the key to decoding its entire AI strategy.

 

Part IV: Synthesis and Strategic Outlook

Chapter 8: Comparative Analysis of Global AI Governance Frameworks

 

The following table provides a comparative analysis of the complex AI regulatory approaches of each country, designed to distill key insights and strategic implications. This table serves as the most efficient tool for busy policymakers and business executives to quickly grasp the core of the global regulatory landscape. For example, it immediately highlights that the high fines in the EU 4 demand a fundamentally different legal risk management posture compared to the "soft law" approach in Japan.31

A Comparative Snapshot of Global AI Regulation

 

Dimension	European Union	South Korea (Proposed)	United States	China	Japan
Overall Model	Comprehensive, horizontal, legally binding "hard law" 1	Principles-focused "basic law," "soft law" approach 8	"Patchwork" of EOs, voluntary frameworks, and sectoral rules 11	Vertical, state-driven, legally binding for public services 27	Promotional law with non-binding guidelines ("soft law") 30
Core Philosophy	Rights-based, precautionary principle, trustworthy AI 1	Innovation-centric, "promotion first, regulation later" 10	Market-driven, innovation-focused, national competitiveness 11	State control, national security, social stability 27	Balance-focused, industry self-regulation, consensus 31
Risk Approach	4-tier pyramid: Prohibited, High, Limited, Minimal 1	Focus on "High-Impact" AI with notification duties 10	Voluntary risk management via NIST RMF 24	Content-based risk; censorship of "illegal" content 29	General principles of safety and privacy in guidelines 30
Key Provider Obligations	Extensive: Risk management, data governance, CE marking, registration 1	Primarily notification duties for high-risk and generative AI 17	None legally mandated at federal level; voluntary adherence to NIST RMF 25	Content censorship, data legitimacy, user protection, labeling 29	Adherence to non-binding guidelines; existing laws apply 30
Enforcement & Penalties	Severe fines: up to €35M or 7% of global turnover 4	Most bills lack penalties; some propose fines/imprisonment 10	No specific federal AI penalties; relies on existing agency powers (e.g., FTC) 8	Warnings, service suspension, criminal liability; no monetary fines in GenAI law 29	No specific penalties in AI Promotion Act; relies on existing laws 31
Legal Status	Regulation (EU) 2024/1689, in force Aug 1, 2024; phased application 4	Multiple bills pending in National Assembly; no law passed 10	EOs in effect; NIST RMF is official guidance 22	Multiple regulations in effect (GenAI, Deep Synthesis, etc.) 28	"AI Promotion Act" in effect since June 2025 31

 

Chapter 9: Conclusion: Navigating a Fragmented Regulatory Future

 

The analysis reveals that global AI governance is fracturing into three main regulatory blocs centered around the EU, the US, and China. Tech powerhouses like South Korea and Japan face the complex challenge of charting their strategic course amidst these divergent forces.

In this fragmented environment, the key takeaway for South Korean businesses is the inescapable "Brussels Effect." Regardless of the direction South Korea's domestic legislation takes, the EU AI Act will function as a de facto global standard for any company with international ambitions. Compliance is not an option but a necessity for entering the EU market.

Therefore, South Korea's optimal strategy is not to simply focus on "promotion" but to design a "smart" regulatory framework that is both innovation-friendly and globally interoperable, particularly with EU standards. This would provide domestic companies with a clear roadmap for building globally competitive and trustworthy AI. The time has come for the wisdom to turn the challenge of regulation into a strategic opportunity to secure global competitiveness.

참고 자료

1. AI Act | Shaping Europe's digital future,  https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
2. Artificial Intelligence Act - Wikipedia,  https://en.wikipedia.org/wiki/Artificial_Intelligence_Act
3. EU 인공지능법(EU AI Act): 시사점과 한국기업의 대응전략 - 동아시아재단, https://www.keaf.org/book/EAF_Policy_Debates/The_EU_AI_Act_and_Its_Strategic_Implications_for_South_Korean_AI_Companies
4. The EU AI Act: A Quick Guide,  https://www.simmons-simmons.com/en/publications/clyimpowh000ouxgkw1oidakk/the-eu-ai-act-a-quick-guide
5. EU Artificial Intelligence Act | Up-to-date developments and analyses of the EU AI Act,  https://artificialintelligenceact.eu/
6. 유럽연합 인공지능법(EU AI Act) 제정의 저작권법적 시사점* ** - 인하대학교 법학전문대학원,  https://ils.inha.ac.kr/bbs/ils/3464/120199/download.do
7. '세계 최초' EU AI규제법 2일 발효…전면 시행은 2년 뒤 - 한국무역협회,  https://www.kita.net/board/totalTradeNews/totalTradeNewsDetail.do?no=85448&siteId=2
8. 인공지능기본법(AI 기본법) 주요내용과 소비자정책의 과제 - 한국소비자원,  https://www.kca.go.kr/home/board/download.do?fno=10047487&bid=00000018&did=1003885816&menukey=4083
9. The EU AI Act's Implementation Timeline: Key Milestones for Enforcement - Transcend.io,  https://transcend.io/blog/eu-ai-act-implementation-timeline
10. 대한민국 인공지능법안과 EU 인공지능법, 
    https://yulchonllc.com/legal/2024/202408/AI/legalupdate-kor-240802/PDF/240802_YC_LU_AI_Kor.pdf
11. Key Insights on President Trump's New AI Executive Order and Policy & Regulatory Implications | Publications - Squire Patton Boggs, 
    https://www.squirepattonboggs.com/en/insights/publications/2025/02/key-insights-on-president-trumps-new-ai-executive-order-and-policy-regulatory-implications
12. Implementation Timeline | EU Artificial Intelligence Act, 
    https://artificialintelligenceact.eu/implementation-timeline/
13. AI Act implementation timeline | Think Tank - European Parliament,  https://www.europarl.europa.eu/thinktank/en/document/EPRS_ATA(2025)772906
14. 유럽연합 인공지능법(EU AI Act)의 주요내용 및 시사점 - 소프트웨어정책연구소, 
    https://www.spri.kr/download/23545
15. www.klri.re.kr,  https://www.klri.re.kr/kor/publication/2254/view.do#:~:text=%EC%8A%A4%ED%83%A0%ED%8F%AC%EB%93%9C%20%EC%97%B0%EA%B5%AC%EC%86%8C%20%EB%B6%84%EC%84%9D%20%EA%B2%B0%EA%B3%BC%2C%20%EC%9A%B0%EB%A6%AC%EB%82%98%EB%9D%BC,2%EC%9C%84%EB%A5%BC%20%EA%B8%B0%EB%A1%9D%ED%95%98%EC%98%80%EB%8B%A4.
16. AI 활용과 대응을 위한 입법분야 조사 연구 | 연구보고서 | 발간물 | 한국법제연구원 KLRI,  https://www.klri.re.kr/kor/publication/2254/view.do
17. [광장 뉴스레터] 인공지능 관련 국내 입법 동향, 
    https://www.leeko.com/newsl/techai/202409/techai2409.pdf
18. 새 정부의 인공지능(AI) 정책 및 규제 전망 - Kim & Chang, 
    https://www.kimchang.com/ko/insights/detail.kc?sch_section=4&idx=32208
19. 전방위적 'AI 규제 완화' 닻을 올리다...환영 속 우려 공존 - 교수신문, 
    https://www.kyosu.net/news/articleView.html?idxno=144398
20. 인공지능기본법 제정안 국회 과방위 통과 - Kim & Chang | 김·장 법률 ...,  https://www.kimchang.com/ko/insights/detail.kc?sch_section=4&idx=30837
21. [광장 뉴스레터] 인공지능기본법 국회 본회의 통과, 
    https://www.leeko.com/newsl/techai/202412/202412.pdf
22. Executive Order 14110 - Wikipedia, 
    https://en.wikipedia.org/wiki/Executive_Order_14110
23. Artificial Intelligence for the American People - Trump White House Archives,  https://trumpwhitehouse.archives.gov/ai/
24. Navigating the NIST AI Risk Management Framework with ..., 
    https://www.onetrust.com/blog/navigating-the-nist-ai-risk-management-framework-with-confidence/
25. NIST AI Risk Management Framework: A simple guide to smarter AI governance - Diligent,  https://www.diligent.com/resources/blog/nist-ai-risk-management-framework
26. NIST AI Risk Management Framework: A tl;dr - Wiz,
    https://www.wiz.io/academy/nist-ai-risk-management-framework
27. Navigating China's regulatory approach to generative artificial intelligence and large language models | Cambridge Forum on AI: Law and Governance, 
    https://www.cambridge.org/core/journals/cambridge-forum-on-ai-law-and-governance/article/navigating-chinas-regulatory-approach-to-generative-artificial-intelligence-and-large-language-models/969B2055997BF42DE693B7A1A1B4E8BA
28. China's New AI Regulations - Latham & Watkins LLP, 
    https://www.lw.com/admin/upload/SiteAttachments/Chinas-New-AI-Regulations.pdf
29. China Finalizes Its First Administrative Measures Governing ..., 
    https://www.pillsburylaw.com/en/news-and-insights/china-generative-ai-measures.html
30. 기업을 위한 일본의 AI 규제 - Law.asia, 
    https://law.asia/ko/ai-regulation-businesses-japan/
31. 일본, 「인공지능 관련 기술의 연구개발 및 활용 ... - 한국인터넷진흥원, 
    https://www.kisa.or.kr/post/fileDownload?menuSeq=20201&postSeq=250&attachSeq=1&lang_type=KO
32. 일본의 생성형 AI 관련 가이드라인 속 저작권 쟁점, 
    https://www.copyright.or.kr/information-materials/trend/the-copyright/download.do?brdctsno=52341&brdctsfileno=22223
33. AI는 어떻게 규제되고 있는가 - BC카드 신금융연구소 BCiF, 
    https://bcif.bccard.com/content/detail/409

#EUAIACT법 #AI규제 #글로벌AI거버넌스 #위험기반접근법 #고위험AI #한국AI법 #선진흥후규제 #미국AI정책 #중국AI규제 #일본AI법 #브뤼셀효과 #신뢰할수있는AI