법무법인(유) 화우
scroll

법무법인(유한) 화우 소셜 미디어

  1. Home
  2. Insights
  3. 뉴스레터

EU 범용 AI 실천강령

  • 뉴스레터
  • 2025.10.16
EU 범용 AI 실천강령.pdf

EU는 2025년 7월 10일 범용 AI 실천강령(General-Purpose AI Code of Practice) 최종안을 발표하고, 2025년 8월 1일 집행위원회가 이를 채택하며, 범용 AI 모델에 대한 세계 최초의 포괄적 규제 체계를 마련했습니다.

 

범용 AI 실천강령은 투명성, 저작권, 안전 및 보안의 3개 핵심 영역에서 범용 AI 모델 공급자의 구체적 의무사항을 규정하고 있으며, 구조적 위험이 있는 범용 AI 모델에 대해서는 더욱 엄격한 의무를 부과합니다. 한편 중소기업에 대해서는 비례성 원칙을 적용하여 혁신 친화적 환경을 조성하는 동시에, 글로벌 AI 안전성 확보라는 두 마리 토끼를 잡으려는 EU의 정교한 규제 설계가 돋보입니다.

 

범용 AI 실천강령은 EU AI법에서 규정하는 범용 AI 모델 공급자의 의무사항을 이행하는 데 있어 중요한 사전 지침 역할을 할 것이며, 향후 글로벌 AI 규제의 표준이 될 가능성이 높은 만큼 국내 기업들의 선제적이고 체계적인 대응이 그 어느 때보다 중요한 시점입니다.

 

1. 배경 및 제정 경과

2. EU 범용 AI 실천강령의 주요 내용

3. 시사점

 

1. 배경 및 제정 경과

 

EU AI법이 2024년 8월 1일 발효됨에 따라, 해당 법령의 준수를 위한 구체적인 실행 지침 마련의 일환으로 EU AI 사무국 주도하에 범용 AI 실천강령의 제정 작업이 진행되었습니다. 범용 AI 실천강령은 범용 AI 모델 공급자와 구조적 위험이 있는 범용 AI 모델 공급자가 EU AI 법에 규정된 법적 의무를 이행하는 데 필요한 세부 지침을 제공하는 것을 목적으로 하고 있습니다. 2024년 7월 30일 EU AI 사무국이 범용 AI 실천강령 초안 작성을 위한 참여 요청을 공고한 이후, 다양한 이해관계자들의 의견 수렴과 3차례의 초안 공개를 거쳐 2025년 7월 10일 최종안을 발표하고, 2025년 8월 1일 집행위원회가 이를 채택하였습니다.

 

범용 AI 실천강령은 크게 3개 영역인 투명성(Transparency), 저작권(Copyright), 안전 및 보안(Safety and Security)으로 이루어지며, 중소기업 및 스타트업의 부담을 경감하기 위한 규정들을 포함하고 있습니다. 이러한 범용 AI 실천강령과 관련하여, 기술 산업계는 과도한 규제와 영업비밀 침해를 우려하는 반면, 저작권자 및 일부 의회 관계자들은 오히려 규제가 미흡하여 기본권이나 저작권 보호에 구멍이 생길 수 있다고 비판하는 등 이해관계자 간 입장이 대립하는 모습도 보이고 있습니다.

 

 

2. EU 범용 AI 실천강령의 주요 내용

 

가. 투명성(Transparency)

 

투명성 섹션에서는 의무사항1. 문서화를 규정하고, 범용 AI 실천강령의 서명인이 EU AI 법 제53조 제1항 (a) 및 (b)와 해당 부속서(Annexes) XI 및 XII에 따른 투명성 의무 준수에 필요한 이하의 세 가지 이행조치를 기술하고 있습니다. 범용 AI 모델이 수정되어 제공되는 경우 투명성 챕터에 따른 의무는 수정의 범위에 한정합니다.

 

1)  이행조치 1.1. 모델 문서화 및 최신화 유지

 

범용 AI를 시장에 출시할 때, 실천강령에 첨부된 모델 문서화 양식을 참조하여 모델 문서를 준비해야 합니다. 모델 문서에 포함된 정보에 변경사항이 발생하는 경우, 모델이 시장에서 출시된 후 10년 동안 이전 버전의 모델 문서를 유지하면서 새로운 정보를 반영해 업데이트해야 합니다.

 

모델 문서에는 일반 정보, 모델 상세, 유통 방식 및 라이선스, 사용, 학습 과정, 사용 데이터 정보, 컴퓨팅 자원, 에너지 소비량, 추가 정보(체계적 위험이 있는 모델만 기재)가 포함되어야 합니다. 특히 최신 버전에서는 정보의 민감도에 따라 AI 사무국(AIO), 국가 관할 당국(NCAs), 다운스트림 제공자(DPs)에게 제공되는 정보 수준을 명확히 구분합니다.

 

2)  이행조치 1.2. 정보 제공 및 접근 권한 관리

 

웹사이트를 통해 또는 웹사이트가 없다면 다른 방법으로 연락처 정보를 공개하여 AI 사무국 또는 하위(다운스트림)제공자가 모델 문서에 접근 요청을 할 수 있도록 해야 합니다.

 

AI 사무국이 EU AI 법에 따른 업무를 수행하거나 국가 관할 당국이 EU AI 법에 따른 감독 업무를 수행하는 경우 이에 필요한 범위에 한해서 모델 문서의 내용을 요청할 수 있고, 관련 정보를 최근 내용을 기준으로 제공해야 합니다.

 

하위(다운스트림) 공급자에게 '합리적인 기간 내, 예외적인 경우를 제외하고 요청 후 14일 이내' 모델 문서에 있는 정보를 제공해야 하고, 하위공급자가 범용 AI 모델의 기능과 한계를 충분히 이해하고 EU AI 법에 따른 의무를 준수하는데 필요한 추가 정보를 제공해야 합니다.

 

투명성 촉진 측면에서, 문서화된 정보 중 적어도 일부에 대해서 공중에 공개할지 여부를 고려하는 것이 권장됩니다.

 

3)  이행조치 1.3. 정보 품질, 무결성, 보안 확보

 

문서화된 정보의 품질 수준 및 무결성을 확보하여 EU AI법의 의무사항을 준수하고 있다는 증거로서 보존하고, 의도치 않은 변경이 이루어지지 않도록 해야 합니다. 정보 기록, 업데이트 및 보안 등에서 확립된 프로토콜과 표준을 따라야 합니다.

 

 

나. 저작권(Copyright)

 

저작권 섹션에서는 의무사항1. 저작권 정책을 규정하고, 범용 AI 실천강령의 서명인이 EU AI 법 제53조 제1항 (c)를 준수하기 위해 필요한 이하의 다섯 가지 이행조치를 기술하고 있습니다.

 

1)  이행조치 1.1. 저작권 정책 수립과 시행

 

EU 저작권 및 관련 권리에 관한 법률을 준수하기 위한 정책을 수립하고, 이를 최신 상태로 유지하며, 이행할 것을 약속합니다. 본 정책의 이행 및 감독을 담당할 조직 내 책임자(또는 부서)를 지정해야 하고, 본 정책에 대한 요약본을 외부에 공개하고 이를 최신 상태로 유지할 것이 권장 됩니다.

 

2)  이행조치 1.2. 웹 크롤링 시 합법적으로 접근 가능한 저작권 보호 콘텐츠만 복제 및 추출

 

범용 AI 모델 학습이나 텍스트 및 데이터 마이닝 목적으로 웹 크롤러를 사용하거나 제3자를 통해 웹을 크롤링할 때는 접근 제한 기술을 우회하지 않아야 하고, 상업적 규모로 저작권을 지속적이고 반복적으로 침해한다고 EU/EEA의 법원이나 공공기관이 인정한 웹사이트를 웹 크롤링 대상에서 제외해야 합니다.

 

3)  이행조치 1.3. 크롤링 시 권리유보의 식별 및 준수

 

기계판독형 권리 유보를 최신 기술을 포함한 방법으로 식별하고 준수하기 위해 Robot Exclusion Protocol의 공식 표준문서에 명시된 Robot Exclusion Protocol(robots.txt)에 따라 표현된 지침을 탐지하고 따르는 웹 크롤러를 사용하고, 기계판독형 권리 유보 수단(예: 자산 기반 또는 위치 기반 메타데이터)을 식별하고 준수하기 위해 최선의 노력을 다해야 합니다. 또한 권리자가 권리 유보 의사를 기계가 읽을 수 있는 형태로 표시할 수 있는 적절한 표준을 개발하는 데 기여하고, 그 노력을 지지해야 합니다.

 

4)  이행조치 1.4. 저작권 침해 결과물 생성 위험 완화

 

범용 AI 모델이 통합된 하위(다운스트림) AI 시스템이 EU 저작권법 및 관련 권리에 따라 보호되는 저작물을 반복적으로 침해하는 출력물을 생성하는 위험을 완화하기 위하여, ① 모델이 저작권이 있는 학습 데이터를 침해적인 방식으로 재생산하는 것을 방지하기 위한 적절하고 비례적인 기술적 보호 조치를 구현하고, ② 모델의 저작권 침해적 사용을 금지하는 내용을 사용 정책, 이용약관, 또는 이와 동등한 문서에 포함시켜야 합니다.

 

5)  이행조치 1.5. 이의신청 접수 창구 설치 및 담당자 지정

 

영향을 받은 권리자와의 소통을 위한 연락 담당자를 지정하고, 해당 연락처에 대한 정보를 쉽게 접근할 수 있는 형태로 제공해야 합니다. 더불어 저작권자 등이 전자적으로 이의신청을 제출할 수 있는 시스템을 구축해야 하며, 이에 대해 쉽게 접근할 수 있는 정보를 제공해야 합니다.

 

 

다. 안전 및 보안 (Safety and Security)

 

안전 및 보안 섹션에서는 서명인이 EU AI 법의 범용 AI 모델 규정 중에서도 특히 구조적 위험이 있는 범용 AI 모델에 대한 규정을 준수하는 데 필요한 구체적 의무사항을 기술하고 있습니다.

 

1)  의무사항 1. 안전 및 보안 프레임워크 구축

 

구조적 위험을 허용 가능한 수준으로 유지하기 위해서 구조적 위험 평가방법, 구조적 위험 완화 조치, 거버넌스 위험 완화 조치 및 절차를 기술한 프레임워크를 구축해야 합니다.

 

2)  의무사항 2. 구조적 위험 식별

 

구조적 위험 중 본인의 모델에 해당하는 구조적 위험을 선택하여 완화해야 합니다.

 

3)  의무사항 3. 구조적 위험 분석

 

실제 사용 중인 모델의 위험 징후를 추적하고 사용자 피드백, 사고 보고 등을 통해 추가 데이터를 수집하여 분석하는 절차를 가져야 합니다.

 

4)  의무사항 4. 구조적 위험 허용성 판단

 

사전에 정의한 기준에 따라 발생한 구조적 위험이 허용 가능한지 여부를 결정하고, 그 결과에 따라 개발 지속 여부, 출시 시기, 접근 제한 방식 등을 결정해야 합니다.

 

5)  의무사항 5. 위험 완화를 위한 안전조치

 

학습 데이터 필터링 및 정리, 모델의 입력 및 출력을 모니터링하고 필터링, 특정 요청을 거부하기 위해 모델을 미세 조정하는 것과 같이 안전을 위해 모델의 동작을 변경하는 적절한 조치를 취해야 합니다.

 

6)  의무사항 6. 위험 완화를 위한 보안조치

 

모델 가중치에 대한 무단 액세스로 인해 발생할 수 있는 구조적 위험을 완화하기 위해 노력해야 합니다.

 

7)  의무사항 7. 안전 및 보안 모델 보고

 

구조적 위험이 있는 범용 AI 모델에 대해 안전 및 보안 모델 보고서를 작성하여, AI 사무국에 제출해야 합니다. 또한 구조적 위험을 가진 범용 AI 모델에 관한 평가를 적절한 자격을 갖춘 독립 외부 평가자에 의하여 주기적으로 받아야 합니다.

 

8)  의무사항 8. 구조적 위험의 책임 배분

 

조직의 모든 수준에서 구조적 위험에 관하여 감독, 책임자, 지원 및 모니터링, 검증에 대한 관리 책임을 명확히 정의하고 구성원에게 역할을 배분해야 합니다. 더불어 책임을 맡은 구성원에게 인적 자원, 재정적 자원, 컴퓨팅 자원 등 적절한 자원을 할당해야 합니다.

 

9)  의무사항 9. 심각한 사고 보고

 

모델의 전 생애주기 전반에 걸쳐 중대한 사고에 대한 정보를 지체 없이 AI 사무국 및 필요시 국가 권한당국에 보고할 절차를 수립해야 합니다. 출력 추적, 프라이버시 보호 로그 및 메타데이터 분석 등을 통해 사고를 식별해야 하며, 보고 관련 문서 및 데이터는 최소 5년간 보관하고, 유형별로 초기 보고서를 정해진 기한 내에 제출해야 합니다.

 

10)  의무사항 10. 추가 문서화와 투명성 확보

 

AI 모델의 아키텍처, 시스템 통합 방식, 평가 결과, 안전 조치 등을 상세히 문서화하고 최소 10년간 보관해야 하며, AI 사무국의 요청이 있을 경우 이 문서들을 제공해야 합니다. 더불어 시스템적 위험을 평가하고 완화하기 위해, 보안 및 상업적으로 민감한 정보를 제외하고는 '프레임워크 및 모델 보고서'의 요약본을 대중에게 공개해야 합니다.

 

 

3. 시사점

 

가. 기업에의 시사점

 

범용 AI 실천강령은 EU AI 법에서 규정하는 범용 AI 모델 공급자의 의무사항을 이행하는 데 있어 중요한 사전 지침 역할을 할 것이며, 향후 글로벌 AI 규제의 표준이 될 가능성이 높으므로, 기업들은 범용 AI 실천강령의 내용을 검토하여 범용 AI 모델에 관한 EU AI법 규정과 관련한 의무 이행 정도를 점검하고 필요한 경우 추가 조치를 취할 필요가 있습니다.

 

스타트업 및 중소기업에 대해서는 간소화된 이행 방식을 허용할 예정인데, 이는 이들 기업의 규제 준수 부담을 완화하여 AI 분야의 혁신과 경쟁을 촉진하려는 의도로 해석되나, 간소화된 방식이라 할지라도 중소기업 역시 자사의 규모와 역량에 맞는 효율적인 AI 거버넌스 체계를 구축할 필요가 있습니다.

 

범용 AI 모델을 수정하여 사용하는 기업(Modifier)의 책임이 해당 수정 범위로 한정된다는 점은 특히 파운데이션 모델을 기반으로 서비스를 개발하는 수많은 다운스트림 기업들에게 중요한 법적 명확성을 제공하고, 원천 모델 공급자와 수정자 간의 책임 소재를 분명히 하고 있습니다.

 

나. 입법론적 시사점

 

범용 AI 실천강령은 범용 AI 모델에 대한 세계 최초의 포괄적 규제 체계로서, 향후 글로벌 AI 규제의 표준이 될 가능성이 높습니다. 국내 AI 기업의 해외 진출시 EU 시장 접근을 위해서는 해당 규정의 준수가 필수적이라는 점을 고려하여, 사전에 국내법과의 정합성을 확보하여 국제적 규제와 일관성을 이루도록 하여야 합니다. 범용 AI 모델의 급속한 발전과 확산에 대비하여 AI 거버넌스 체계를 선제적으로 구축하고 체계적인 안전 관리 프레임워크를 마련할 필요가 있습니다.

 

범용 AI 실천강령이 중소기업에 대해 비례성 원칙을 적용한 것과 같이, 국내 스타트업과 중소 AI 기업의 혁신 역량을 저해하지 않도록 차등적인 규제체계를 마련하는 등 중소기업 친화적 규제 설계가 필요합니다. 더불어 모델 제공자와 수정자간 책임 범위를 명확히 하여 AI 밸류체인 내 법적 불확실성을 해소하고 산업 안정성을 제고할 필요가 있습니다.

 

 

화우 AI센터는 AI와 관련한 지식재산, 개인정보, 정보보안, 공정거래, 제조물책임, 입법컨설팅, 쟁송 등 모든 법적 영역에서 축적된 경험과 노하우를 기반으로 고객을 위한 최적의 솔루션을 안내해드리고 있습니다. AI와 관련하여 문의사항이 있으신 경우 언제든지 화우에 연락하여 주시기 바랍니다.

관련 분야
#AI센터

관련 구성원

이광욱
이광욱
이근우
이근우
정호선
정호선
구소현
구소현
정종현
정종현
경기룡
경기룡
BACK TO LIST

웹접근성

법무법인(유한) 화우는 장애인 및 비장애인이 동등하게 웹서비스를 이용하실 수 있도록, 웹접근성 지침을 준수하여 웹사이트를 제작하였습니다. 앞으로도 고객의 편리한 이용을 위해 지속적으로 개선해 나갈 예정입니다.

국제정보보호인증 ISO 27001

국제정보보호인증 ISO 27001
최종제출 후 지원서를 수정하실 수 없습니다. 최종제출 전 미리보기로 출력할 수 있습니다. 작성하신 지원서를 최종제출 하시겠습니까?
최종제출 후 지원서를 수정하실 수 없습니다. 최종제출 전 미리보기로 출력할 수 있습니다. 작성하신 지원서를 최종제출 하시겠습니까?