EU, ‘AI 법안’ 적용 시점 조정으로 규제 부담 완화 나서

‘디지털 옴니버스’, 기업 규제 부담 감축 vs 소비자 보호

 

▶ 최근 유럽연합 집행위원회(European Commission)가 발표한 ‘디지털 옴니버스(Digital Omnibus)’ 패키지가 AI 법안(AI Act) 시행 구조를 재조정하면서, ‘이중 목표 전략’(유럽 기업의 규제 부담을 줄이되, 기본권·안전성·신뢰성 기준은 유지)을 공식화한 것으로 평가됨

 

▶ 이번 조정안에는 AI·데이터·사이버보안 전반에 걸친 규칙을 간소화함으로써, 2029년까지 최대 50억 유로의 행정비용 절감이 가능하다는 집행위의 추정이 담겨 있음

 

▶ 집행위는 유럽 비즈니스 월렛(European Business Wallet) 도입으로, 유럽 경제 전반에서 연간 약 1,500억 유로 규모의 절차 비용이 절감될 것으로 전망함

 

▶ 동시에, 고위험(HR) AI 규제의 적용·감독 방식을 현실화하고 기업 규모별 부담을 조정해 AI Act가 “시행 불가능한 규제”가 되지 않도록 제동을 건 움직임이라는 전문가 평가가 뒤따르고 있음

 

❶ 고위험 AI 규정 적용 시점 조정: 최대 16개월 유예 가능

 

- 집행위는 고위험 AI 규정 시행을 기술 표준·지원 도구가 완비되는 시점과 연동하도록 조정했으며, 이에 따라 Annex III 기반 ‘상황별 고위험 시스템(contextual high-risk systems)’의 최종(백스톱) 적용 시한은 2027년 12월 2일로 설정됨

- 이는 기존의 일률적 시행일(2026년 8월)을 경직적으로 고수할 경우 발생할 수 있는 표준 부재 및 국가 감독 인프라 미비 문제를 해결하기 위한 절차적 조정으로 해석됨

- 법률 전문가들은 이를 법률 자체의 구조적 후퇴라기보다는 “단계적·현실적 이행”을 위한 조율로 평가하고 있음

- Annex I 기반 제품 내장형 고위험 시스템의 경우 최대 2028년 8월 2일까지 연동 적용이 가능해, 실제 시차는 시스템 유형에 따라 달라지는 형태임

 

❷ 중소기업(SME·SMC) 규제부담 완화

 

- 기술문서 요구사항 간소화, 품질관리 시스템(QMS) 요구사항의 비례적 적용, 벌금 상한 조정 등 중소기업 친화 조항이 신설됨

- 기술문서 단순화만으로도 연간 약 2억 2,500만 유로 상당의 비용이 절감될 수 있다는 분석이 제시됨

- SMC(small mid-cap)까지 혜택을 확대함으로써, “중소기업이 AI Act의 가장 큰 타격을 받는다”는 비판을 일부 완화하려는 정책 의도가 반영된 것으로 해석됨

 

❸ 사이버보안 신고 ‘원스톱(One-Stop)’ 체계 구축

 

- 기업이 여러 법령에 중복 신고해야 하는 문제를 해소하기 위해 사이버보안 사고 신고 단일화(single-entry point) 체계를 도입함

- 이는 NIS2, CER, GDPR 등 분산돼 있던 신고 체계를 정비해 기업의 반복 보고 부담을 실질적으로 축소하는 핵심 간소화 조치로 평가됨

 

❹ GDPR·AI Act 동시 개정: 민감정보 처리, 조건부 허용

 

- 디지털 옴니버스는 AI Act 쪽에 제4a조(Article 4a)를 신설해 고위험 AI 시스템의 편향(bias) 감지·수정이 불가피한 경우, 특수 범주(special categories)의 개인정보를 엄격한 안전장치 하에서 처리하도록 허용함

- 동시에 GDPR(General Data Protection Regulation)에도 별도 제한적 조정(특수 범주 개인정보의 예외적 처리, 일부 절차 조정)이 포함돼, AI Act와 GDPR 두 법체계가 함께 조정되는 구조를 갖춤

- 단, 이는 어디까지나 “과학적 편향 제거를 위한 최소한의 예외”를 마련한 것으로, 처리 목적·보관기간·접근권한 등에 대한 강력한 보호장치가 필수 전제로 설정됨

 

❺ 데이터 규칙 간소화 및 ‘데이터 유니언(Data Union) 전략’ 발표

 

- 집행위는 데이터 규칙을 데이터법(Data Act) 중심으로 재정렬하고, 중소기업(SME·SMC)을 위한 클라우드 전환(cloud switching) 규칙의 간소화 방안을 제시함

- 또한 유럽 AI 기업의 성장을 위해 ‘고품질·신규 데이터(high-quality & fresh datasets)’ 접근 확대, 데이터랩(data labs), Data Act 법률 지원 헬프데스크 등 지원 도구를 마련함

- 민감한 비개인 정보(non-personal sensitive data)의 역외 이전·취급 기준도 강화해 ‘데이터 주권(Data sovereignty)’ 확보가 중요한 정책 축으로 제시됨

 

❻ 유럽 비즈니스 월렛(European Business Wallet) 도입

 

- 기업이 전자 서명·타임스탬프·전자봉인, 검증된 문서의 생성·저장·교환, 회원국 간 행정기관과의 안전한 의사소통을 디지털 방식으로 수행하도록 지원함

- 집행위는 이를 통해 연간 최대 1,500억 유로 규모의 행정·절차 비용 절감이 가능하다고 분석함. 이는 EU 역내 기업의 국경 간 활동을 실질적으로 단순화하는 인프라 구축이라는 점에서 ‘디지털 단일시장(DSM)’ 전략의 핵심 요소로 평가됨

 

❼ 이해관계자 반응: “혁신에 필요한 조정” vs “소비자 보호 약화 우려”

 

- 빅테크 업계(예: CCIA)는 적용 시점 조정과 문서 간소화를 환영하면서도, 시스템적 위험 판단을 위한 컴퓨팅 임계값 상향 조정, 저작권 조항 표현 개선 등을 요구하며 “보다 명확하고 과감한 조정이 필요하다”는 의견을 제시함

- 반면 BEUC(유럽소비자기구), Finance Watch 등 시민단체는 “이번 조정이 기업 편익 중심으로 설계돼 소비자 권리 약화 위험이 있다”고 비판함

- TIC Council은 “여러 회원국이 감독기관 지정 마감기한을 맞추지 못해 실제 적합성 평가 구조가 가동되지 못한 점이 시행 지연의 실질적 원인”이라고 지적함

- 법률 전문가들은 이번 패키지가 “성급한 규제 완화”라기보다는, 일정·문서·감독의 ‘절차적 재설계(procedural recalibration)’에 가깝다는 해석을 제시함

 

❽ 향후 입법 과정: 의회·이사회에서 치열한 조정 전망

 

- 디지털 옴니버스는 유럽의회·이사회의 공동 결정 절차를 거쳐야 하며, 일부 조항은 최근 채택된 법률을 다시 수정해야 하므로 정치적 저항 및 세부 조정이 불가피한 것으로 전망됨

- 특히 고위험 AI 적용 일정, GDPR 예외 조항, AI Office 권한 범위 등은 최종 협상 단계에서 주요 쟁점으로 부상할 가능성이 높음

 

❾ 폭넓은 정책적 함의: ‘실행 가능한 AI 규제’로의 전환

 

- 이번 조정안은 AI Act의 핵심 원칙을 유지하면서도 실제 시장·산업·행정 인프라가 감당 가능한 형태로 ‘시행 가능성(feasibility)’ 중심의 규제 재설계가 이루어지고 있음을 보여줌

- EU는 2029년까지 행정 부담 25% 감축, 중소기업 규제 부담 35% 감축이라는 광범위한 규제 간소화 목표를 제시한 바 있어, 디지털 옴니버스는 그중 AI·데이터·사이버보안 분야의 핵심 실행 패키지로 기능할 전망임

- 한국 등 AI 규제 입법을 준비 중인 국가에 대해서도 충분한 이행 준비 기간, 중소기업 지원 체계, 데이터 접근성·감독 역량 확보 등 실무 기반의 규제 설계 필요성을 시사하는 사례로 평가될 수 있음

 

▶ 종합해 보면 이번 디지털 옴니버스는 EU의 AI 규제 체계를 후퇴시키는 개정이라기보다는, 표준·도구·감독기구가 준비되어야 실제로 작동할 수 있다는 한계를 보완한 ‘현실 조정판’이라는 해석이 설득력을 얻고 있음

 

▶ 이번 조치(➀ 고위험 AI 규칙 적용 시점을 최대 16개월까지 유연화 ➁ 중소기업 부담 경감 ➂ 데이터·사이버보안 체계 재정렬)는 AI Act가 ‘유럽형 안전·신뢰 모델’을 유지하면서도 산업 경쟁력을 해치지 않도록 하는 정교한 조율 단계로 평가됨

 

▶ 향후 유럽의회·이사회 협상 결과에 따라 조정의 폭이 바뀔 가능성이 있으며, AI Office의 감독 범위, GDPR 개정 폭, 고위험 시스템 적용 일정 등이 최종 EU AI 규제 환경을 결정지을 핵심 변수가 될 것으로 전망됨

▶ EU의 디지털 옴니버스 사례는 AI 규제가 법·제도만의 문제가 아니라, 교육·인재양성·사회적 이해·산업 생태계가 함께 준비되어야 실효성을 갖는다는 점을 보여줌

 

▶ 특히 EU가 중소기업 지원 강화, 표준·도구 개발, 충분한 이행 준비 기간 확보 등 “실행 가능한 규제” 생태계 구축에 주력하고 있다는 점은, 한국도 AI 기본법 입법과 함께 ❶ 초·중·고 AI 교육 및 교원 연수 확대 ❷ 시민 대상 AI 윤리·리터러시 소통 프로그램 강화 ❸ 중소기업·스타트업의 AI 기술 접근성 제고 등 과학기술 교육·문화·소통의 양적·질적 제고가 병행되어야 함을 시사함

 

▶ EU 사례가 보여주듯, AI 규제의 성공은 법 조문이 아니라 사회 구성원 모두가 AI 시대를 이해하고 준비하는 ‘문화적·교육적 기반’에 달려 있으며, 이를 위한 체계적이고 지속적인 정책적 관심이 요구됨

<동향리포트>는 글로벌 과학기술문화, 과학·수학·정보 교육 분야의 정책 의사결정자들을 위한

국가별 정책, 연구조사보고서, 유관기관 동향 등 시의성 있는 유용한 정보를 제공합니다.